Betrugsmasche Quishing: QR-Code-Phishing nimmt zu
Das LKA und die Verbraucherzentrale NRW warnen vor zunehmenden Betrug mit Quishing: Phishing mit QR-Codes.
(Bild: Bild erstellt mit KI in Bing Designer durch heise online / dmk)
Unterschiedliche Formen des Phishings mit QR-Codes sind inzwischen bekannt geworden. Nun warnen das Landeskriminalamt und die Verbraucherzentrale Nordrhein-Westfalens, dass die Betrugsmasche mit dem Namen "Quishing" – ein Kunstwort aus "QR-Code" und "Phishing" – zunimmt.
(Bild: Verbraucherzentrale NRW)
Die Verbraucherzentrale NRW zeigt ein Foto eines gefälschten Commerzbank-Briefes, dem zufolge die Empfänger das Photo-TAN-Verfahren "erneuern" müssten. Im konkreten Fall regte Verdacht, dass die Empfängerin aus München gar kein Konto bei der Bank besitzt. Auch die fehlende persönliche Ansprache wäre ein Hinweis für Empfänger, dass der Brief nicht von der echten Bank stammen kann.
Vermeintliche Bank-Briefe zum Abgreifen von Informationen
Das LKA NRW schreibt, dass die Kriminellen "über diesen Weg insbesondere schutzwürdige persönliche Daten und Passwörter" ausspähen. In den konkreten Fällen sollen Opfer ihre Bankdaten preisgeben. Perfide an der Masche: "Die Opfer scannen mit ihrem Mobiltelefon einen QR-Code ein und folgen dem Link dahinter. Je nach Gerät und Browser ist hierbei auf den ersten Blick nicht zu erkennen, dass der Link nicht zu der tatsächlichen Website des Anbieters führt, sondern zu einer Fake-Seite. Dort geben die Opfer dann ihre Zugangsdaten ein oder veranlassen einen Geldtransfer", erklären die Strafverfolger.
Diverse Varianten der Betrugsversuche mit QR-Codes traten in jüngerer Zeit auf: Anfang des Monats warnte etwa das LKA Niedersachsen davor, dass Briefe in der Post als Absender etwa Banken fälschen und mit dem QR-Code auf Phishing-Seiten umlenken, um dort verwertbare Informationen von den Opfern abzugreifen. Kurz zuvor fielen falsche QR-Codes an Ladesäulen für Elektroautos auf, die falsche Zahlungsadressen für das sogenannte Ad-hoc-Laden angeben und so Geld der Opfer direkt abzocken. Die Phishing-Seiten sind so geschickt gebaut, dass die erste Eingabe nach einem Fehlversuch aussieht, sodass Opfer die Daten einfach ein zweites Mal eingeben und dann tatsächlich laden können – der Betrug fällt erst deutlich später auf.#
Aktuell mehrere Quishing-Maschen in freier Wildbahn
Vor rund zwei Wochen wurde bekannt, dass Betrüger Klarsichtbeutel mit einer Bitcoin-Paper-Wallet und einem gefälschten Einzahlungsbeleg auf Gehwege verteilen, derzeit vorrangig im Münchener Raum. Wer versucht, das vermeintliche Geld auf der Bitcoin-Wallet nach Scan des QR-Codes und dem Besuch der darin verlinkten Webseite auszahlen zu lassen, muss angeblich eine Transfergebühr zahlen. Anschließend gibt es jedoch anstatt Geld aus der Wallet eine Fehlermeldung. Eine weitere Masche kam seit Ende vergangenen Jahres zum Einsatz: Betrüger haben insbesondere in Berlin gefälschte Strafzettel an Autos geheftet, der aufgedruckte QR-Code führt auf eine offiziell wirkende Webseite, auf der vermeintliche Falschparker dann die angeblich fällige Geldbuße zahlen sollen.
Vor dem Eingeben von Daten auf Webseiten, deren Adresse in QR-Codes kodiert sind, sollte zunächst geprüft werden, ob die URL korrekt sein kann. Eine Überprüfung etwa durch einen Anruf bei der vermeintlichen Quelle kann in einigen Fällen Klarheit schaffen, ob etwa ein Strafzettel echt sein kann. Allerdings gibt es auch hier bereits negative Beispiele: Ein Leser wies uns kürzlich auf solch einen Photo-TAN-Brief hin, von dem seine Bank bei einer telefonischen Anfrage nicht sagen konnte, ob er echt oder falsch ist. Hier müssen auch die Kreditinstitute offenbar noch nachbessern.
(dmk)
