c’t: Smartphone-Kameras anfällig für QR-Code-Betrug Manipulierte Links bleiben unerkannt
Hannover, 22. August 2025 – QR-Codes begegnen uns heute überall – beim Online-Banking, in Restaurants oder auf Miet-E-Scootern. Gerade dort werden sie gerne missbraucht: Betrüger überkleben die Originalcodes und lotsen Nutzer so auf manipulierte Webseiten. Europas führendes IT- und Technikmagazin c’t deckt auf, wie diese Sicherheitslücke ausgenutzt wird und empfiehlt QR-Code-Reader-Apps von Drittanbietern.
„Nehmen wir einen E-Scooter von Bolt: Die echten QR-Codes des Anbieters führen zu einer Adresse bei bolt.eu. Betrüger können jedoch einen gefälschten Code anbringen, der etwa zu ‚de.escooters.bolt.mobi.mba’ weiterleitet“, erläutert c’t-Redakteur Mirko Dölle. „Die Smartphone-Kamera zeigt dann nur ‚bolt.mob...’ an – was auf den ersten Blick völlig seriös wirkt.“ Das Problem liegt nicht nur bei Bolt, sondern ist auf sämtliche vergleichbare Situationen anzuwenden.
Die Täuschung funktioniert, weil die Kamera-Apps von Apple und Android beim Scannen des QR-Codes – vermeintlich hilfreich – nur das Wesentliche verkürzt anzeigen: Bei Android-Geräten erscheint lediglich der Anfang der Webadresse, bei iPhones können Phisher eine spezielle Adresskodierung ausnutzen. „Betrüger könnten zum Beispiel die URL ‚bolt.mobi.mba‘ verschleiern, indem sie den Punkt vor ‚mba’ durch ‚%2e’ ersetzen. Die iPhone-Kamera zeigt dann nur ‚bolt.mobi%2emba’ an – für viele Nutzer unverfänglich und leicht mit ‚bolt.mobi’ zu verwechseln“, erläutert Dölle die Funktionsweise. Als Vorkehrung hat c’t die Domain mobi.mba gekauft, damit diese dafür nicht mehr missbraucht werden kann.
Die Gefahr lauert in vielen Bereichen: „Wir sehen manipulierte QR-Codes auch auf Wahlplakaten, an Supermarktregalen und sogar in Schaufenstern“, berichtet der Redakteur. „Überall dort, wo Verbraucher schnell und unkompliziert Informationen abrufen oder Rabatte erhalten wollen, schlagen die Betrüger zu.“ Die gefälschten Websites sehen täuschend echt aus. Nutzer werden zur Registrierung und Eingabe ihrer Kunden-Account-Daten oder Zahlungsinformationen aufgefordert – genau wie bei legitimen Diensten. Erst wenn sich nach Dateneingabe nichts tut, bemerken die Opfer den Betrug.
„Besonders gefährlich sind gefälschte EPC-QR-Codes auf Rechnungen“, warnt Dölle. „Diese enthalten komplette Überweisungsdaten. Wer sie direkt in seine Banking-App einscannt, überweist womöglich hohe Summen an Betrüger.“ Die sensiblen Daten sind dann bereits an die Kriminellen übermittelt und das Geld meist unwiederbringlich verloren.
Als Schutz empfiehlt die c’t-Redaktion, die QR-Code-Funktion der Smartphone-Kamera zu deaktivieren. Stattdessen sollten Nutzer Scanner-Apps von Drittanbietern verwenden, etwa „Barcode Scanners“ (iOS) respektive „Barcode Scanner“ (Android) von Cognex. „Diese Apps zeigen die komplette, unverfälschte Webadresse an. Vor allem aber gilt: Niemals blind vertrauen und keine sensiblen Daten auf Websites eingeben, die man über QR-Codes erreicht hat.“
Für die Redaktionen: Auf Wunsch schicken wir Ihnen gerne den vollständigen Artikel zur Rezension.
Nutzen Sie unsere Presse-Newsletter: Damit informieren wir Sie über aktuelle Pressemitteilungen, Neuigkeiten aus dem Medienhaus heise und neueste Inhalte aus unseren Print- und Digitalangeboten – melden Sie sich direkt an!
