Die Masche nennt sich „Quishing“, eine Wortschöpfung aus „QR“ und „Phishing“. Besonders tückisch: Viele Kamera-Apps auf Smartphones zeigen nur einen verkürzten Ausschnitt der Adresse an. Was wie eine harmlose Domain aussieht, kann in Wahrheit auf ganz andere Server führen. So genügt es, auf einem E-Scooter oder Werbeplakat den Originalcode mit einem präparierten Aufkleber zu überkleben – und schon leitet der nächste Scan auf eine gefälschte Bezahlseite.
Auch QR-Codes auf Rechnungen sind ein Einfallstor. Die sogenannten EPC-Codes für Überweisungen enthalten komplette Kontodaten. Kriminelle fälschen sie gezielt, um Geldströme unbemerkt umzuleiten.