Diese Betrugsmasche ist ganz neu in Köln: Wer in diesen Tagen ein auf dem Bürgersteig ausgelegtes Tütchen mit einem bedruckten Zettel findet, hat es vermutlich nicht mit einem verlorenen Gegenstand zu tun. Der Inhalt ist eine vermeintliche „Paper-Wallet“. Diese Ausdrucke können zur Aufbewahrung der Kryptowährung Bitcoin in Papierform verwendet werden, also vergleichbar mit einem Wertpapier oder einem Scheck. Suggeriert wird, dass der Inhalt des Tütchens viel wert ist - in einem Fall rund eine Viertelmillion Euro. In München, Hamburg und Berlin wurden in der Vergangenheit schon Bitcoin-Köder gesichtet, jetzt liegen sie auch in der Kölner Südstadt und anderen Veedeln auf dem Gehweg. Die Polizei nennt diese Betrugsmasche „Quishing“. Wir beantworten die wichtigsten Fragen dazu.

Was ist „Quishing“?

Beim Quishing (eine Wortschöpfung aus Phishing, das „Abfischen“ sensibler Daten im Internet, mithilfe von QR-Codes) versuchen Betrüger über QR-Codes an sensible Daten zu gelangen. Ursprünglich bestimmt für den Einsatz in der Logistik für die Automobilindustrie, haben QR-Codes („Quick Response“, deutsch: „schnelle Antwort“) längst Einzug in den Alltag erhalten. Gescannt werden sie mit der Kamera des Smartphones. Seit der Corona-Pandemie werden sie noch häufiger zum Abrufen von Informationen verwendet, etwa von Verkehrsunternehmen, Restaurants oder Museen.

Scannt der Finder eines ausgelegten Bitcoin-Köders also den dort aufgedruckten QR-Code, gelangt er auf eine gefälschte Webseite. Gibt er dann den auf das Papier gedruckten Pin-Code ein, zeigt die vermeintliche Wallet, also die virtuelle Brieftasche, einen hohen Geldbetrag an. In einem der Rundschau bekannten Fall sind das fast 25.000 Euro in Bitcoins. Gegen eine „Bearbeitungsgebühr“ von vier Prozent soll das Guthaben ausgezahlt werden. Diese rund 1000 Euro müssen allerdings vorab gezahlt werden. Alles Betrug natürlich: Das auf dem Bürgersteig ausgelegte Tütchen soll also den Eindruck erwecken, dass man mit nur einem Klick Zugriff auf die wertvollen Bitcoins erhält. Tatsächlich sind Täterinnen und Täter nur auf Daten und Geld aus.

Wie viele Kölner Fälle sind bereits bekannt?

„Die Polizei Köln verzeichnet in diesem Jahr erstmalig sogenannte Quishing-Fälle durch Bitcoin-Wallet-Ausdrucke“, teilt ein Pressesprecher auf Nachfrage der Rundschau mit. Bislang seien Ermittlungsverfahren in weniger als zehn Fällen eingeleitet worden. Wie zu erfahren war, wurden alleine in der Polizeiwache an der Stolkgasse in einer Woche acht solcher Tütchen abgegeben. „In keinem der bekannten Fälle ist bislang ein finanzieller Schaden entstanden“, so der Polizeisprecher weiter. Das Phänomen „Quishing“ wird im Kriminalkommissariat für Cybercrime bearbeitet. Die Ermittlerinnen und Ermittler gehen in diesem Zusammenhang sowohl digitalen als auch analogen Spuren nach, um Tatverdächtige zu identifizieren, so die Polizei. Noch dauerten die Ermittlungen an.

Was soll man tun, wenn man so einen Bitcoin-Köder auf dem Bürgersteig findet?

„Wenn Ihnen etwas verdächtig vorkommt, scannen Sie den QR-Code nicht“, rät das Kölner Kriminalkommissariat für Cybercrime. Die angezeigte URL, also die Internetadresse, solle man nach dem Scannen des Codes und vor dem Öffnen einer Seite, genau überprüfen. Liegt die Quelle im Ausland, könnte auch das bereits ein Indiz auf einen schadhaften QR-Code sein. „Besonders auf kleinen Smartphone-Displays kann der gefährliche Teil des Links leicht übersehen werden“, so die Kölner Polizei. „Erstatten Sie umgehend Strafanzeige bei der Polizei, wenn Sie selbst von einem Quishing-Fall betroffen sind.“ Zudem bittet die Polizei Tütchen mit gefälschten QR-Codes bei der nächsten Polizeiwache abzugeben.

Verbraucherzentralen warnen zudem vor weiteren unechten QR-Codes, die zum Beispiel auf Parkautomaten, E-Ladesäulen oder Fahrkartenautomaten über die echten QR-Codes aufgeklebt werden. Zum Teil erreichen gefälschte Codes ihre Opfer auch per Briefpost, als gefälschte Briefe von Banken oder getarnt als falsche Strafzettel.