Handyhase Logo Handyhase Logo Text
So funktioniert die Betrugsmasche

Neue Betrugsmasche Quishing: Fieses Phishing mit QR-Codes

Eine neue Betrugsmasche sorgt für Ärger: Kriminelle verschicken gefälschte Bank-Briefe und locken Opfer mithilfe von QR-Codes auf Fake-Internetseiten. Auf diese Weise lassen sich Bankkonten plündern. Doch es gibt noch weitere Methoden, die Dir das Geld aus der Tasche ziehen könnten. Das solltest Du über das sogenannte Quishing wissen.
Quishing: Betrug per QR-Code

Quishing

Quishing: So funktioniert die Betrugsmasche

Wenn Betrüger mithilfe von QR-Codes nach sensiblen Passwörtern „fischen“, ist neuerdings von Quishing die Rede. Die Idee ist simpel, aber dürfte in Deutschland schon zu ersten Opfern geführt haben: Cyberkriminelle verschicken auf dem klassischen Postweg gefälschte Briefe von Banken. In diesen wirst Du aufgefordert, mithilfe eines QR-Codes das PhotoTAN-Verfahren Deines Onlinebankings zu reaktivieren. Nur so könne sichergestellt werden, dass Du weiterhin via Internet Finanztransaktionen durchführen kannst.

Das Perfide: Der QR-Code, den Du beispielsweise mit Deinem Smartphone einscannst, führt Dich auf eine nachgebildete Webseite, die aussieht wie die Deiner Bank. Diese dient nur einem Zweck: Dort sollst Du Deine echten Kontodaten, einzelne TANs, Infos zum TAN-Aktivierungsbrief und dergleichen eingeben. Ist das geschehen, haben die Betrüger diese sensiblen Daten gestohlen. Im schlimmsten Fall können sie so auf Dein Konto zugreifen und es leerräumen.

Auch ist davon die Rede, dass nach dem Erbeuten der Zugangsdaten und Deiner Mobilfunknummer ein falscher Bankmitarbeiter anrufen könnte, um weitere Informationen und damit Zugang zum Banking von Dir zu erhalten.

Einige Banken meldeten schon solch nachgemachte Briefpost, darunter die Commerzbank, die Targobank, die Deutsche Bank und die Hypovereinsbank. Weitere Kreditinstitute dürften ebenfalls betroffen sein – also möglicherweise auch Deins. Das Landeskriminalamt NRW gibt an, dass es zu Quishing-Vorfällen bereits in mehreren Bundesländern kam.

Weitere Betrugsmaschen mit Ladesäulen und Strafzetteln

Andere Arten von Quishing häuften sich in den vergangenen Wochen und Monaten:

  • Betrüger überkleben an E-Ladesäulen die dort üblichen QR-Codes mit anderen QR-Stickern. Scannst Du diesen zum Bezahlen nach dem Tanken ein, kommst Du auch hier zu einer falschen Webseite. Dort könnten Deine Kreditkarten- oder Konto-Daten in falsche Hände gelangen, wie der ADAC berichtet.
  • In diversen Städten ist das Bezahlen von Strafzetteln über einen QR-Code nicht unüblich. Den stellt das Ordnungsamt oder die Polizei aus. Auch hier kam es in der näheren Vergangenheit zu gefälschten Strafzetteln, die unter die Scheibenwischer geparkter Autos gesteckt wurden. Es ist ebenfalls das Ziel der Kriminellen, an Deine sensiblen Informationen zu kommen oder gar sofort Geld durch eine Überweisung zu erhalten.

Die Vorgehensweise ist immer identisch: Manipulierte QR-Codes führen Dich zu gefälschten Webseiten, auf denen Du um Deine Daten gebracht werden sollst.

Wie kann ich mich vor Quishing schützen?

Obwohl es in unserer schnelllebigen Zeit nicht so einfach ist: Nimm Dir die Zeit, um einen Brief Deiner Bank genauestens zu prüfen. Bei den im Netz kursierenden Beispielen überraschen zwar die fehlerfreien, sehr professionellen Anschreiben, aber auch bei diesen gibt es eine Auffälligkeit: Bei den betrügerischen Briefen fehlt oft eine persönliche Ansprache mit Deinem Namen – so viel Mühe machen sich die Cyberkriminellen (bisher) nicht.

Weitere Vorgehensweisen sollten sein:

  • Scanne am besten QR-Codes nur dann ein, wenn Du sicher bist, dass es sich um eine seriöse Quelle handelt.
  • Dein QR-Code-Scanner, zum Beispiel Deine Smartphone-Kamera (oder separate App), sollte die Internetseite erst anzeigen, bevor Du sie aufrufen kannst. Prüfe vorab, ob der Link korrekt ist oder zu einer dubios klingenden Seite führt. Zeigt Deine bisherige Scanner-Software die Internetseite nicht vor dem Öffnen an, halte nach einer App-Alternative Ausschau. Unter Android kann das zum Beispiel die kostenlose App QR & Barcode Scanner sein.
  • Kontaktiere im Zweifel immer Deine Bank über den offiziellen Kundenservice oder logge Dich auf dem gewohnten Weg ins Onlinebanking ein, um die Echtheit des Briefes zu überprüfen. Der Support weiß Rat, ebenfalls erhalten Bankkunden oftmals parallel zu Postbriefen in ihre digitalen Postfächer eine Kopie des Anschreibens (oder Warnungen über aktuelle Betrugsmaschen).
  • Gib bei (vermeintlichen) Anrufen Deiner Bank niemals Zugangsdaten weiter oder bestätige telefonisch TAN-Anforderungen. Mit großer Wahrscheinlichkeit hast Du in einem solchen Fall bereits einen Betrüger am Telefon.
  • Entscheide Dich stets für eine Multi-Faktor-Authentifizierung fürs Online-Banking. Somit fehlt den Kriminellen der zweite oder dritte Faktor, sie können also nicht auf Dein Konto zugreifen oder Transaktionen durchführen.
  • Hast Du den QR-Code doch schon gescannt und bist auf der Webseite gelandet, gib bei Unsicherheit auf keinen Fall weitere Daten ein. Fake-Seiten besitzen meist kein Impressum oder verfügen über untypische Adressen (URLs), die sie entlarven könnten.
  • Überprüfe an E-Ladesäulen stets, ob dort abgebildete QR-Codes überklebt wurden. Ist dies der Fall, scanne den Code keinesfalls ein und kontaktiere den Anbieter.
  • Nutze an der E-Ladesäule die offizielle Lade-App oder die korrekte Webseite des Anbieters zum Bezahlen. Gehe also nicht die vermeintliche Abkürzung über den QR-Code.
  • Bist Du Dir bei einem Strafzettel unsicher, ob dieser echt ist, wende Dich an das zuständige Ordnungsamt oder die nächste Polizeidienststelle.

Letztlich ist Quishing eine weitere Form des Phishings. Die Ideen der Kriminellen werden immer arglistiger, aber wie bei jedem Betrugsversuch gilt: Mit genügend Ruhe, Überlegung, Skepsis und Recherche bist Du auf der sicheren Seite.

Was tun, wenn ich Opfer von Quishing geworden bin?

Nicht geil, sehr ärgerlich! Aber wenn Du merken solltest, dass Du auf einen Quishing-Betrüger hereingefallen bist, darfst Du keine Zeit verlieren. Gehe folgendermaßen vor:

  • Rufe den Sperr-Notruf 116116 an und sperre über diesen das betroffene Konto, das Online-Banking und ggf. Deine Giro-, Debit- und Kreditkarten.
  • Informiere schleunigst Deinen Bankbetreuer bzw. den Service Deiner Bank. So kannst Du ggf. weiteren Schaden vermeiden und andere potenzielle Opfer schützen.

Lesetipps zum Thema

Die besten QR-Code Apps
Bankbetrug: Phishing-Briefe mit gefälschtem QR-Code in Umlauf
Vishing: Betrug am Telefon (Bildquelle: Pixabay @ mohamed_hassan)
Vishing: Vorsicht vor Phishing am Telefon
Betrug am Telefon erkennen: So gehst Du gegen nerviges Dauerklingeln vor
Heimlicher Notruf am Handy
Heimlicher Notruf am Handy: So funktioniert der stille Hilferuf
694a9e7b2dbc4b73a5f97cd82609ddec
Sven Wernicke
Profilbild von Sven Wernicke
Denkt Sven an sein erstes eigenes Handy, fühlt er sich alt: Das Siemens S6 war 1996 aber echt nicht schlecht. Um diese Zeit herum bastelte er simple Webseiten mit Microsoft Frontpage und schrieb erste Texte für eigene Projekte. Am Interesse für Telefone, Trends und technische „Spielzeuge“ hat sich nichts geändert. Seit 2005 ist Sven freiberuflich als Blogger, Redakteur, Berater tätig. Und hat nach wie vor viel Spaß am Tippen.

Kommentar verfassen

Hinweis: Beiträge werden vor Veröffentlichung von der Redaktion geprüft.
Name
E-Mail
optional, wird nicht veröffentlicht

Mit Absenden des Formulars akzeptiere ich die Datenschutzerklärung und die Nutzungsbedingungen.

Newsletter abonnieren

*“ zeigt erforderliche Felder an

Einfach E-Mail-Adresse eintragen und wir halten Dich zu den besten Deals & News auf dem Laufenden
Datenschutz*
Dieses Feld dient zur Validierung und sollte nicht verändert werden.
0