Das bezahlen per QR-Code ist einfach und schnell - doch es birgt Risiken, wie das sogenannte "Quishing".
Quelle: Colourbox
Dass Betrüger das Internet für kriminelle Aktivitäten nutzen, dürfte die wenigsten überraschen. Neuer ist die Methode des "Quishings": Dabei werden QR-Codes genutzt, um an das Geld von potenziellen Opfern zu kommen.
Manipulierte QR-Codes
Beim Quishing - eine Zusammensetzung aus "QR-Code" und "Phishing" - gehen Täter dabei besonders perfide vor: Wie die Verbraucherzentralen berichten, werden manipulierte QR-Codes an Ladesäulen angebracht, mit gefälschten Strafzetteln verbreitet und neuerdings als Bankbriefe an Haushalte verschickt.
Fast jeder gibt im Netz Daten preis. Sie werden von IT-Konzernen gesammelt und weiterverkauft. Wie können sie geschützt werden?29.01.2024 | 28:28 min
Scannt man einen gefälschten QR-Code und folgt dem dazugehörigen Link, landet man auf einer gefälschten Banking-Seite, auf der man sich einloggen soll, berichtet das Landeskriminalamt (LKA) Niedersachsen. Opfer würden anschließend durch verschiedene Prozesse geführt, bis sie ihr echtes Onlinebanking freischalteten.
QR ist das Kürzel für "Quick Response", also "schnelle Antwort". Damit ist gemeint, dass man komplexe Informationen so verkürzt darstellt, dass sie schnell abgerufen werden können. Nach demselben Prinzip funktionieren Barcodes oder Strichcodes.
Mit QR-Codes können Nutzer so zu verschiedenen Inhalten geführt werden. Beispielsweise während der Corona-Pandemie dienten QR-Codes zum Nachweis eines Corona-Tests oder einer Schutzimpfung. Quelle: Bertelsmann-Stiftung
Gefälschte Bankbriefe, die täuschend echt aussehen
Das Vertrauen der Opfer versuchen Kriminelle offenbar mit gefälschten Bankbriefen zu gewinnen: Wie das LKA Niedersachsen erklärt, werden dazu neben der korrekten Empfängeradresse auch die Logos und die korrekte Anschrift des Bankinstituts verwendet. Dem LKA Niedersachsen liegen bereits vermeintliche Briefe der Targo-Bank, der Deutschen Bank sowie der Commerzbank vor - dabei handelt es sich um Fälschungen.
Der Bankkunde erhält plötzlich und unerwartet einen Brief mit korrekter postalischer Anschrift und dem Logo/der Anschrift der tatsächlich zugehörigen Bank.
Diese echten Quishing-Briefe stellte das LKA Niedersachsen ZDFheute zur Verfügung:
Gefälschtes Schreiben der "Commerzbank"
Bisher sind dem LKA Niedersachsen nur die Fälle mit den Namen "Deutsche Bank", "Commerzbank" und "Targo-Bank" gemeldet worden.
Quelle: LKA Niedersachsen
Eine Sprecherin der Commerzbank teilte auf Anfrage von ZDFheute mit, das genannte Brief-Phishing sei ihrem Geldinstitut bekannt: "Es handelt sich nicht um ein neues Phänomen." Mit Hilfe "vielfältiger Maßnahmen" erkenne man neu gestartete Phishing-Kampagnen zeitnah, so die Sprecherin. Zudem verhindere man "aktiv die Verwertung durch die Phishing-Täter". Kundinnen und Kunden werden auf der Internetseite der Commerzbank gewarnt. Zu Schäden macht das Unternehmen keine Angaben.
So schützen Sie sich vor Betrug mit QR-Codes:
Seien sie beim Scannen von QR-Codes aufmerksam: Scannen Sie einen QR-Code nicht, wenn Sie Zweifel haben, dass er seriös ist.
Schalten Sie, wenn möglich, die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes ab. Einige QR-Code-Scanner zeigen zunächst den Link an - einen Hinweis kann die Endung des Links geben: Liegt die Quelle im Ausland, kann das ein Indiz auf einen schadhaften QR-Code sein (beispielsweise ".ru"). Auch bei Shortlinks ist Vorsicht geboten, da das eigentliche Ziel des Links nicht angezeigt wird.
Sollten Sie einen Brief mit einem zweifelhaften QR-Code und ggf. einer Anmeldungsaufforderung erhalten haben, kontaktieren Sie das Unternehmen oder die Bank. Nutzen Sie dafür nicht die auf dem Brief angegebenen Kontaktmöglichkeiten, sondern recherchieren Sie selbst.
Enthält ein Brief eine allgemeine Anrede ("Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber") wird zur Vorsicht geraten.
Prüfen Sie bei Bezahlvorgängen wie an einer Ladesäule, ob der QR-Code möglicherweise überklebt wurde. Falls das so ist, scannen Sie ihn nicht. Verfügt zum Beispiel eine Ladesäule über ein Display, sollte der Code von dort gescannt werden.
Haben Sie Zweifel, ob ein Strafzettel möglicherweise eine Fälschung ist - etwa, weil Daten (Kennzeichen, Ort des Verstoßes etc.) nicht abgebildet sind, gehen Sie mit dem vermeintlichen Strafzettel zur Polizei, um den Sachverhalt zu klären.
Wenn Sie Opfer eines mutmaßlichen Betrugs geworden sind, wenden Sie sich an die Polizei. Sollten Sie bereits Geld bezahlt haben, informieren Sie Ihre Bank oder kontaktieren Sie den Sperr-Notruf 116116.
Wie die Täter an die Adressdaten kommen
Die Verbraucherzentrale berichtet von einem Fall aus München: Dort hat eine Frau im August 2024 einen Brief der Commerzbank erhalten, der sie aufforderte, ein "photoTAN-Verfahren zur Sicherheit Ihrer Bankgeschäfte" zu aktualisieren. Dazu enthielt der Brief einen auffällig platzierten QR-Code, der auf eine Internetseite von mutmaßlichen kriminellen Abzockern führte. Weil die Frau zuvor keine Kundin der Commerzbank war, wurde sie stutzig.
Der Branchenverband Bitkom schätzt den Schaden durch Cyberangriffe bei 148 Milliarden Euro pro Jahr.13.05.2024 | 4:41 min
Auf die Frage, woher die Täter an die Daten ihrer Opfer kommen, gibt es laut dem LKA Niedersachsen mehrere Antworten: So ist es möglich, dass Kontaktdaten durch Hackerangriffe in die Hände der Kriminellen gerieten - oder das Opfer in vergangenen Phishing-Aktionen seine Informationen auf dubiosen Plattformen mitteilte. Auch die Kombination verschiedener Datenbestände sei denkbar.
Betrüger nutzen Ladesäulen und Strafzettel
Doch Täter nutzen nicht nur täuschend echte Fake-Briefe, um Opfer auf ihre Seite zu locken: Wie die Verbraucherzentrale berichtet, werden manipulierte QR-Codes auch an Ladesäulen für E-Autos angebracht. Besonders gefährlich: Kriminelle haben dabei offenbar reale Codes für das Bezahlen des Ladevorgangs überklebt, sodass Menschen nicht auf die echte Bezahlseite des Anbieters geführt werden - sondern in die Hände von Betrügern.
- So wird auf Second-Hand-Plattformen betrogen
- Betrug mit KI-Stimmen am Telefon: Was Sie tun können
Auch gefälschte Strafzettel können zur Falle werden: Dass einige Städte das Bezahlen von Strafzetteln per QR-Code anbieten, nutzen auch hier Kriminelle für sich, indem sie falsche Strafzettel mit manipulierten Codes an parkenden Autos anbringen - so geschehen in Berlin, berichten Verbraucherschützer.
Zum Erfolg der Täter ist bisher wenig bekannt: Zumindest in Niedersachsen hätten Betroffene den Betrug rechtzeitig bemerkt, so das LKA - hier gebe es noch keine finanziellen Schäden.
