Derzeit sind in mehreren Bundesländern gefälschte Briefe von Banken im Umlauf, vor denen unter anderem das LKA warnt. Die neue Betrugsmasche funktioniert über QR-Codes. So können Sie ein falsches Schreiben erkennen und vorgehen.
Betrügerinnen und Betrüger finden immer wieder neue Wege, um an die sensiblen Daten ihrer Opfer zu kommen. Sie kontaktieren sie per WhatsApp, SMS oder per E-Mail – alles Wege, die vor allem bei Bankangelegenheiten eher unseriös wirken und die Alarmglocken schrillen lassen.
Das wissen auch die Kriminellen und versuchen es derzeit in mehreren Bundesländern vermehrt via Post. Dabei versenden sie gefälschte Schreiben deutscher Banken, wie der Commerzbank, der Deutschen Bank oder der Targo Bank. In diesen Briefen sollen die Kundinnen und Kunden einen QR-Code scannen und dem darin hinterlegten Link folgen. Dieses Vorgehen wird auch als "Quishing" bezeichnet – eine Kombination aus den Wörtern "QR-Code" und "Phishing".
Der Link führt Sie schließlich auf eine Banking-Seite, die gefälscht ist. Auf den ersten Blick ist dies aber nicht erkennbar. Die Opfer müssen nun entweder ihre sensiblen Daten eingeben oder einen Geldtransfer veranlassen. Unter anderem die Landekriminalämter (LKA) Niedersachsen und Nordrhein-Westfalen warnen vor der Masche. Wer dahinter steckt, ist ihnen bislang nicht bekannt.
Gut zu wissen
- Bei solchen QR-Code-Phishing-Angriffen muss es nicht nur um Zugänge zum Onlinebanking gehen. Kriminelle haben es auf Anmeldedaten für alle möglichen Dienste und Konten abgesehen. Ebenso kann es sein, dass QR-Codes den Download und die Installation von Schadsoftware anstoßen sollen.
Neue Betrugsmasche: Briefe sehen auf den ersten Blick seriös aus
Aufhänger in den Briefen ist dem LKA Niedersachsen zufolge unter anderem die Behauptung, aufgrund von EU-Vorschriften die Identität der Kundinnen und Kunden überprüfen zu müssen. Wir haben ebenfalls Post bekommen, allerdings mit einer anderen Begründung.
In unserem konkreten Fall haben wir einen Brief von der Commerzbank erhalten. Der Grund für das Schreiben ist angeblich eine "Aktualisierung Ihres photoTAN-Verfahrens zur Sicherheit Ihrer Bankgeschäfte".
Das Tückische an der Masche: Die Briefe sind wirklich gut gemacht. Die korrekte postalische Anschrift ist auf dem Schreiben abgedruckt, das Logo der jeweiligen Bank prangt darauf und es finden sich auch keine auffälligen Rechtschreibfehler. Unser Brief hat außerdem einen Betreff und sogar die Vorstände haben angeblich unterschrieben.
Auf den ersten Blick ist nicht zu erkennen, dass Kriminelle am Werk sind. In unserem Fall sind wir auf den Brief nicht hereingefallen, weil wir schlichtweg kein Konto bei der ausgewiesenen Bank haben.
Aber wie erkennt man dann, dass es sich um eine Fälschung handelt? Banken fordern Sie schlichtweg nicht dazu auf, Ihre photoTAN per QR-Code zu aktualisieren, darauf weist die Commerzbank auf ihrer Seite hin. Zudem sollten Sie immer stutzig werden, wenn Sie nicht mit Ihrem richtigen Namen angesprochen werden, sondern etwa mit "Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber".
Auch die umständliche Formulierung am Ende "Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit" ist der Verbraucherzentrale zufolge ungewöhnlich. Dazu zählen auch Sätze wie "Wir bitten Sie daher, Ihr photoTAN-Verfahren umgehend zu aktualisieren" oder "Bitte beachten Sie, dass diese Aktualisierung für alle Kunden verpflichtend ist". Lassen Sie sich von solchen Formulierungen nicht unter Druck setzen, darauf zielen die Täter ab.
Haben Sie einen solchen Brief erhalten und den Betrug erkannt, scannen Sie auf keinen Fall den QR-Code und erstatten Sie Anzeige bei der Polizei oder nutzen Sie die Onlinewache. Dazu rät das LKA Niedersachsen. Übermitteln Sie am besten auch das Schreiben. So bleibt die Polizei über neue oder veränderte Maschen auf dem aktuellen Stand.
Wie kommen die Täter an meine Daten?
- Kriminelle können auf mehreren Wegen an Ihre Daten gekommen sein. Es ist möglich, dass eine Plattform, wie beispielsweise ein Onlineshop, gehackt wurde und Ihre hinterlegten Daten in die falschen Hände gelangt sind. Oder Sie haben Ihre Daten in der Vergangenheit fälschlicherweise auf einer Phishingseite eingegeben. Auch eine Kombination aus beiden Varianten ist denkbar.
LKA rät zu Multi-Faktor-Authentifizierung
Wenn Sie sich unsicher sind, ob ein Brief Ihrer Bank auch wirklich echt ist, rufen Sie am besten direkt beim Absender an. Nutzen Sie dafür allerdings nicht die abgedruckte Telefonnummer. Auch hinter dieser können die Kriminellen stecken.
Entnehmen Sie die Kontaktdaten am besten einem früheren Schreiben Ihrer Bank, gehen Sie direkt auf die Webseite des Kreditinstituts oder schauen Sie in Ihrem Online-Banking nach, dort ist häufig eine Telefonnummer hinterlegt.
Außerdem rät das LKA Nordrhein-Westfalen, zum Schutz Ihrer Daten generell immer eine Multi-Faktor-Authentifizierung zu nutzen. Selbst wenn die Betrüger Passwörter und Ähnliches von Ihnen erhalten haben, fehlt ihnen dann der zweite oder dritte Faktor.
Lesen Sie auch
Vorsicht im Umgang mit QR-Codes: So gehen Sie am besten vor
Egal, ob digital, auf Papier oder irgendwo aufgedruckt: Behalten Sie immer im Hinterkopf, dass QR-Codes überklebt, manipuliert werden oder bereits mit betrügerischen Absichten erstellt worden sein können. Scannen Sie einen QR-Code deswegen auch nur, wenn Sie sich wirklich sicher sind, dass dahinter eine seriöse Absicht steckt.
Das LKA Niedersachsen rät, das sofortige Öffnen von Links aus QR-Codes heraus möglichst zu deaktivieren. Verwenden sie am besten einen QR-Code-Scanner, der die Informationen zunächst nur anzeigt und nicht sofort umsetzt. So können Sie sich den Link oder das Vorschaubild der Webseite ansehen.
Prüfen Sie dabei genau, wohin der Link führt. Handelt es sich um die erwartete Webseite ohne Tippfehler, Zahlen- oder Buchstabendreher? Ist die eigentliche Domain vielleicht gar nicht auf einen Blick zu erkennen, sondern steht ganz am Ende eines sehr langen Links? Ist die eigentliche Adresse verborgen, weil der Link von einem Dienst zum Verkürzen von Internetadressen stammt?
Im Zweifel gilt: Öffnen Sie die Webseite nicht.
Ist es zu spät? Wenden Sie sich an die Polizei
Haben Sie bereits den QR-Code gescannt und Ihre sensiblen Daten eingegeben? Dann wenden Sie sich umgehend an die Polizei. Sollten Sie sogar bereits Geld bezahlt haben, informieren Sie sofort Ihre zuständige Bank oder rufen Sie den Sperr-Notruf 116116 an.
Verwendete Quellen
- polizei-praevention.de: Gefälschte Briefpost im Namen von diversen Banken mit QR-Code
- lka.polizei.nrw: "Quishing": Gefälschte Briefe von vermeintlichen Kreditinstituten im Umlauf
- verbraucherzentrale.de: "Quishing": Falsche QR-Codes in Bank-Briefen und im Straßenverkehr
- Verbraucherzentrale Hamburg: Phishing-Angriff aufs Konto – jetzt auch als Brief per Post
- commerzbank.de: Phishing-Briefe mit gefälschtem QR-Code
- Mit Material der dpa
"So arbeitet die Redaktion" informiert Sie, wann und worüber wir berichten, wie wir mit Fehlern umgehen und woher unsere Inhalte stammen. Bei der Berichterstattung halten wir uns an die Richtlinien der Journalism Trust Initiative.