Mallorca schon gebucht? Spanische Polizei schlägt Alarm vor neuer Betrugswelle.

QR-Codes kennt mittlerweile jeder. Und trotz bestimmter technischer Hürden wissen auch immer mehr Handy-Besitzer, wie diese QR-Codes im öffentlichen Raum mit ihrem Handy gescannt werden.

Aber jetzt wird dieses Abfotografieren von QR-Codes, um an bestimmte damit verbundene Informationen zu kommen, zunehmend zum Risiko. In den großen Metropolen tauchen immer häufiger gefälschte QR-Codes auf.

Die spanische Polizei warnt jetzt Mallorca-Urlauber vor einer Zunahme der Betrugsmasche mit dem relativ neuen Begriff „Quishing“, eine Mischung aus QR-Code und Phishing. Die spanische Policía Nacional hat in den letzten Tagen eine klare Warnung herausgegeben.

Kriminelle kleben gefälschte QR-Codes an stark frequentierten Stellen. Sie überkleben echte QR-Codes mit eigenen Aufklebern oder bringen neue an. Das passiert vor allem an Orten, wo Urlauber ganz automatisch scannen, etwa auf Speisekarten in Restaurants und Cafés, an Parkautomaten in Palma, Magaluf, Alcúdia und anderen Hotspots oder auf gefälschten Strafzetteln hinter den Scheibenwischern.

Nach dem Scan landet man auf einer täuschend echten Website, oft von Banken oder Park-Apps, die nach Kreditkartendaten, TANs oder Logins fragt. Manchmal wird sogar Schadsoftware aufs Handy geschmuggelt. Die Polizei sagt: „Die perfekte Betrugsmasche macht kein Geräusch.“

Die Masche ist aber längst kein reines Mallorca-Problem. In Deutschland gibt es bereits konkrete Fälle. In Baden-Baden wurde im September 2024 eine Frau Opfer. Sie scannte an einem Parkautomaten einen überklebten EasyPark-QR-Code – wenige Tage später waren rund 2.000 Euro von ihrem Konto verschwunden.

Auch das LKA Niedersachsen warnte mehrmals vor ähnlichen Fällen in Bad Harzburg, Goslar, Celle, Braunschweig und Hannover. Dort klebten Betrüger gefälschte Sticker über echte Park-QR-Codes, mehrere Autofahrer verloren vierstellige Beträge. Auch der ADAC berichtete.

Leichter gesagt als getan: Wer sich schützen will, sollte QR-Codes nur scannen, wenn die Quelle eindeutig bekannt ist. Überklebte Sticker oder ungewöhnlich platzierte Codes sind ein klares Warnsignal und sollten ignoriert werden. Es empfiehlt sich, in der Kamera-App die Vorschau der vollständigen URL zu aktivieren und diese genau zu prüfen. Aber schon hier scheitern viele technisch. Auch kleine Abweichungen wie „easy-park.live“ statt „easypark.de“ verraten den Fake. Aber wie soll man das im Urlaub verifizieren, wo sich die Sprachen mindestens mischen?

Im Zweifelsfall ist es besser, die offizielle App einfach mit der Hand einzutippen oder gleich bar zu bezahlen. Aber was tun, wenn man bereits einen verdächtigen Code gescannt hat? Hier sollten man sofort alle Aktionen am Handy abbrechen, die Bank anrufen und vorsorglich unter dem Sperr-Notruf 116 116 Karten sperren lassen. Vorsichtshalber die Passwörter ändern, das Handy auf Schadsoftware prüfen und Anzeige bei der Polizei erstatten.

Faustregel leider: Umso mehr QR-Codes desto mehr Betrugsversuche. Mit ein bisschen Vorsicht lässt sich das Risiko minimieren. Wo sie eine Leistung im Urlaub nur mit einem QR-Code bekommen/bezahlen können, verzichten Sie besser darauf. Und wer sich gegen die Abschaffung des Bargelds wendet, erhält hier ein schlagkräftiges weiteres Argument.