Bundeskriminalamt
  1. Start
  2. Prävention & Opferhilfe
  3. Internet
  4. Phishing/Smishing/Quishing

Phishing/Smishing/Quishing

Phishing bzw. Smishing, was ist das genau?

Beim sogenannten Quishing handelt es sich um eine Form des Phishing, allerdings werden QR Codes anstelle der Links verwendet („QR + Phishing“). Diese falschen QR Codes können beispielsweise auf gefälschten, Login-Seiten, Fake-Zahlungsseiten, in E-Mails aber auch „analog“ auf Flyern oder Automaten, in Restaurants oder Clubs, eigentlich überall, wo QR Codes nicht besonders auffallen, angebracht sein. Nach dem Scannen der Codes gelangen die Opfer auf eine sehr gut gefälschte Internetseite, beispielsweise einer Bank, eines Online Händlers oder eines anderen Anbieters, bei dem man sich typischerweise mit einloggen und mittels Passwort anmelden muss. Eine besondere Gefahr besteht hier, weil Smartphones die völlig unverdächtig aussehenden Codes scannen, die Website kann sofort geöffnet werden. Die Anwender achten meistens nicht auf die tatsächliche Webadresse, diese ist auch oft der realen sehr ähnlich. Zudem ist der Umgang mit QR Codes heutzutage normal und unverfänglich.

Warnsignale

  • Der Text der Nachricht weist auf dringenden Handlungsbedarf hin, beispielsweise: „Damit Sie weiterhin von anderen Unternehmen gefunden werden und in unserer Datenbank verbleiben, bitten wir Sie, Ihre Daten umgehend zu aktualisieren.“
  • Es werden Konsequenzen angedroht: „Wenn Sie dies nicht tun, müssen wir Ihr Konto leider schließen.“
  • Sie werden aufgefordert, vertrauliche Informationen einzugeben, beispielsweise Ihre PIN für Ihren Online-Banking-Zugang oder eine Kreditkartennummer.
  • Die E-Mail enthält Links oder Formulare, die Sie ausfüllen sollen.
  • Die E-Mail scheint von einer Ihnen bekannten Person, Firma oder Behörde zu stammen, die Aufforderung des Absenders erscheint Ihnen jedoch ungewöhnlich.
  • Die Anrede in der E-Mail ist unpersönlich: „Sehr geehrter Kunde“, „Sehr geehrter Nutzer“.
  • Offensichtlich nachträglich angebrachte Pickerl sind mit einem Code versehen.
  • Es handelt sich um unerwartete E-Mails mit QR Codes oder E-Mails bei denen der Anhang eines QR Codes unüblich ist.
  • Nach Scannen des QR Codes werden Sie aufgefordert, Daten einzugeben.

Wie kann ich mich schützen?

  • Generell sollten Sie jeden Link in E-Mails oder sozialen Netzwerken sorgfältig prüfen, bevor Sie daraufklicken. Enthält eine Internetadresse zwar den Namen des Instituts, aber ungewöhnliche Zahlen, Zeichen oder Schreibweisen ist Vorsicht geboten. Besser ignorieren den Link und rufen die Seite direkt auf.
  • Wenn Sie nach einer TAN gefragt werden, ohne eine Transaktion durchgeführt zu haben, handelt es sich um eine Phishing-Seite.
  • Seien Sie vorsichtig, wenn Sie nach der Anmeldung bei Ihrer Bank aufgefordert werden, bekannte Daten wie Name, Adresse oder IBAN erneut einzugeben. Es handelt sich höchstwahrscheinlich um eine gefälschte Seite. 
  • Die Aktualisierung der Computersoftware und des Betriebssystems sowie die Installation zusätzlicher Anti-Viren-Programme schützen vor möglichen Phishing-Attacken
  • Seien Sie skeptisch, wenn sie Nachrichten von unbekannten Absendern erhalten. Banken, Dienstleister oder Behörden werden Sie niemals per E-Mail, SMS oder Messengerdienst zur Herausgabe von Passwörtern auffordern. Im Zweifel suchen Sie sich die Telefonnummer des Absenders selbst heraus und lassen sich die Nachricht vom Absender telefonisch bestätigen. E-Mail-Anhänge in den Formaten „.exe“ oder „.scr“ können Schadsoftware enthalten, die beim Öffnen direkt auf das Gerät geladen wird. Durch Doppelendungen wie „.pdf.exe“ wird versucht, Sie in die Irre zu führen.
  • Nach Möglichkeit verwenden Sie bei den Online Shop- oder E-Mail-Konten die Zwei-Faktor-Authentifizierung, denn durch die zweite Stufe der Identifizierung können die Täter auch mit dem erlangten Passwort nicht auf Ihre Daten zugreifen.
  • Scannen Sie keine QR Codes „zum Spaß“ oder aus Neugier. Achten Sie besonders im öffentlichen Raum auf die beschriebenen Warnsignale bei QR Codes.
  • Achten Sie nach dem Scannen ganz genau auf die Bezeichnung der Webadresse, die am Bildschirm angezeigt wird. Hinterfragen Sie, ob diese stimmen kann. Achten sie besonders auf die Domain, wenn diese beispielsweise auf -.at enden sollte, aber etwas anderes dort steht.
  • Öffnen Sie keine Anhänge aus unerwarteten E-Mails oder E-Mails mit unbekannten Absendern. Folgen Sie auch keinen Links oder scannen QR Codes.
  • Geben Sie keinesfalls Daten in Online Portale ein, wenn Sie über einen Link dorthin gelangt sind. Besuchen Sie die offiziellen Seiten der behaupteten Unternehmen oder Institute oder kontaktieren Sie einen Mitarbeitenden.
  • Informieren Sie sich regelmäßig über aktuelle Fallen auf Watchlist Internet – Online-Betrug, -Fallen & -Fakes im Blick .

Was, wenn es mal passiert ist?

  • Wenn Sie auf einen dieser Links geklickt haben und Zahlungsdaten eingegeben haben, lassen Sie unverzüglich Ihre Online-Banking-Dienste bzw. Ihr Bankkonto und Ihre Karten sperren. 
  • Wenn Sie Opfer von Cyberkriminalität geworden sind, erstatten Sie Anzeige bei der Polizei.
  • Dokumentieren Sie Zahlungs- und Kontoinformationen der Betrüger.
  • Überwachen Sie Ihre Kontobewegungen und informieren Sie Ihre Bank über unberechtigte Abbuchungen.
  • Ändern Sie Ihre Zugangsdaten und Passwörter, falls Sie diese angegeben haben.
  • Bei Betrugsverdacht können Sie sich an die Cybercrime-Meldestelle des Bundeskriminalamtes unter against-cybercrime@bmi.gv.at wenden (diese Meldung ersetzt nicht die Anzeige)
  • Wenn Ihr Unternehmen von einem Cyberangriff, Ransomware oder Verschlüsselungstrojanern betroffen ist, können Sie sich an die Cybersecurity-Hotline der Wirtschaftskammer Österreich unter 0800 888 133 wenden.
  • Bei Quishing-Verdacht: Wenn Sie bereits vertrauliche Daten wie Logins, Passwörter, Bankdaten aller Art, Telefonnummern oder Ähnliches eingegeben haben, kontaktieren Sie das „echte“ Unternehmen, geben Sie den Sachverhalt bekannt. Bringen Sie zur Anzeigeerstattung bei der Polizei alles mit, was als Beweis dienen könnte (wo war der QR Code angebracht, auf welche URL hat er geführt), was für ein Schaden ist entstanden. Screenshots und gespeicherte Inhalte können hilfreich sein. 

Weiterführende Links und Hinweise

Präventionstipps kompakt finden Sie unter Service/Download.

Letzte Aktualisierung: 16. Juni 2026