Quishing: Vorsicht vor neuer Betrugsmasche mit QR-Codes
Betrüger haben wieder eine neue Masche entwickelt, um an die Daten von Bankkunden zu kommen. Aktuell werden gefälschte Briefe verschickt, die vermeintlich von der Bank sind und einen QR-Code enthalten. Darin heißt es, der Empfänger müsse ein paar Sicherheitsverfahren für das Online-Banking aktualisieren. Dafür müsse man nur den QR-Code im Brief scannen, auf der Website die Daten eingeben und fertig. Doch diese Briefe stammen nicht von der Bank, sondern von Betrügern, die auf diese Weise die Kontodaten und PINs der Bankkunden abgreifen wollen.
Gefälschte Briefe von Banken mit QR-Codes
Diese neue Masche wird als „Quishing“ bezeichnet – eine Kombination aus „QR-Code“ (Quick Response) und „Phishing“ (Password Fishing). Und sie funktioniert, denn im Gegensatz zu Phishing-Mails, vor denen Verbraucher inzwischen ausgiebig gewarnt wurden und die sich oft durch Überprüfung des Absenders erkennen lassen, wirken diese Briefe seriöser.
Doch es gibt ein paar Kriterien, auf die Empfänger achten können, um sich vor solchen Quishing-Briefen zu schützen. Ein sicheres Zeichen ist, wenn der Brief von einer Bank kommt, bei der man kein Kunde ist. Außerdem enthalten die gefälschten Briefe häufig merkwürdige Formulierungen. So berichtet die Verbraucherzentrale unter anderem, dass der Empfänger mit „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“, und nicht mit dem richtigen Namen angesprochen wird. Die Bank würde ihre Kunden persönlich ansprechen, vor allem wenn es sich um ein Anliegen zu einem bestimmten Konto handelt und nicht um eine allgemeine Information. Viele den Behörden gemeldete Quishing-Schreiben enthielten scheinbar auch eine recht umständliche Formulierung am Ende: „Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit.“ Empfänger von Bankschreiben mit solchen Formulierungen sollten Vorsicht walten lassen und im Zweifelsfall bei ihrer Bank anrufen, um zu klären, ob der Brief wirklich von dort stammt.
Vorsicht vor QR-Codes an Ladesäulen und Parkautomaten
Doch die Betrüger haben noch eine weitere neue Methode entwickelt, um mithilfe von QR-Codes sensible Kontodaten abzugreifen. So wurden inzwischen schon häufiger an Ladesäulen für E-Autos oder an Parkautomaten gefälschte QR-Codes angebracht. In der Annahme, die Zahlung für den Park- oder Ladevorgang durchzuführen, geben die Nutzer dann ihre persönlichen Daten ein (z. B. Passwort oder Kreditkartennummer) und schon haben die Betrüger Zugriff auf das Geld.
Um sich in diesen Situationen zu schützen, sollte man QR-Codes immer auf dem Display (sofern vorhanden) der Ladesäule oder des Kassenautomaten scannen. Viele Parkraum- und E-Mobility-Anbieter verfügen auch über eigene Apps oder Ladekarten. Dann sollte man den Buchungs- bzw. Zahlungsvorgang immer über diese Apps oder im Zweifelsfall auch einfach über den Browser auf dem Smartphone vornehmen.
Allgemeine Sicherheitstipps für Zahlungsvorgänge
Um gefälschte QR-Codes zu erkennen – unabhängig davon, ob in Briefen oder auf Ladesäulen u. Ä. –, sollten Verbraucher zum Scannen immer eine QR-Code-Scanner-App nutzen. Denn anders als die vorinstallierte Kamera-App der meisten Smartphones zeigen diese Programme in der Regel die vollständige URL der mit dem QR-Code verlinkten Website an, bevor diese besucht wird. Die kritische Überprüfung dieser Ziel-URL kann bereits darauf hindeuten, dass etwas nicht stimmt. Diesen Tipp sollte man grundsätzlich beim Scannen von QR-Codes befolgen, nicht nur in den oben beschriebenen Situationen. Vor allem aber dann, wenn Zahlungsdaten abgefragt werden.
Ein weiterer allgemeingültiger Sicherheitstipp: Die Login-Seiten von Banken sollten nie über Links aus Mails, SMS oder über Suchmaschinen aufgerufen werden. Stattdessen sollte die URL manuell eingegeben werden oder über Lesezeichen im Browser. Für die Zahlung von Park- oder Ladevorgängen sollte man die App des Anbieters über den offiziellen App-Store suchen und installieren und keinen QR-Code dafür nutzen.
Wer doch auf eine solche Betrugsmasche hereinfällt, sollte zunächst eine Anzeige bei der Polizei stellen. Handelt es sich um einen Quishing-Brief, sollte außerdem die jeweilige Bank informiert werden. Betrügerische Mails und Briefe können zudem an die Verbraucherzentrale weitergeleitet werden. Haben die Betrüger bereits mithilfe der abgegriffenen Daten Geld vom Konto abgehoben, steht die Anwaltskanzlei Lenné den Opfern gerne zur Seite. Unter Umständen kann die Buchung noch zurückgeholt werden. In solchen Fällen lohnt es sich, schnell zu reagieren und die Kommunikation mit der Bank uns zu überlassen. Lassen Sie sich hierzu einfach in einem kostenlosen Erstgespräch von uns beraten.
Kerstin Messerschmidt
Angestellte Rechtsanwältin
Wir helfen Ihnen gerne! Kontaktieren Sie uns. Oder vereinbaren Sie hier online einen Termin für eine telefonische kostenfreie Erstberatung.