Gegenwärtig wird mit gefälschten QR-Codes vermehrt versucht, vor allem Bankdaten abzufischen – vorzugsweise an E-Ladesäulen und bei Strafzetteln.
Die kriminelle Fantasie von Ganoven kennt keine Grenzen. Ihre Betrugsmethoden haben wenig Mühe, sich den immer raffinierteren Sicherheitssystemen im Digitalbereich anzupassen. Die jüngste Masche, vor derzeit Polizei und Verbraucherzentralen warnen: Quishing, eine Wortkombination aus „QR-Code“ und „Phishing“. Die kleinen schwarzweiß gemusterten Quadrate werden in den letzten Jahren so gut wie überall als Informationsträger eingesetzt.
Quishing ist nur möglich, weil heutzutage so gut wie jeder ein Smartphone besitzt, das diese QR-Codes abscannen kann. „QR“ steht für „Quick Response“ (schnelle Antwort) und wurde ursprünglich Mitte der 1990er Jahre in Japan für den Logistikbereich erfunden. Inzwischen werden QR-Codes ähnlich wie Barcodes für jede Art von kurzer Infoübertragung verwendet. Und diese Tatsache nutzen Cyberkriminelle aus, um an persönliche Daten wie Kontonummern, Kreditkartendetails etc. zu gelangen. In der Regel lenken die Codes auf manipulierte Websites.
Man erhält einen Brief von der Hausbank mit der Aufforderung zur eigenen Sicherheit mittels QR-Code das TAN-Verfahren oder ähnliche Sicherheitsmaßnahmen zu reaktivieren. Andernfalls funktioniert das Online-Banking nicht mehr. Was gutgläubige Bankkunden dann oft machen: Sie scannen den gefälschten Code und gelangen auf eine Fake-Website, die sie alles abfragt, was ein Betrüger benötigt, um Zugriff auf das Konto zu bekommen. Vorsicht auch vor Anrufen in diesem Zusammenhang, es könnten die Betrüger sein, die noch mehr sensible Daten erfragen wollen.
Gegenmaßnahme: Die Verbraucherzentrale rät, bei Briefen von der Bank darauf zu achten, ob der Kontoinhaber mit Namen angesprochen wird. Ein unverbindliches „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“ sollte misstrauisch machen. Wer sich unsicher ist, kontaktiert die Bank, ob tatsächlich Briefe mit QR-Code verschickt wurden.
Der Umstand, dass es kein einheitliches Bezahlsystem bei den verschiedenen Anbietern von E-Ladesäulen gibt, spielt Cyberkriminellen in die Hände. Oft wird mit QR-Codes gearbeitet, um die Rechnung zu begleichen. E-Ladesäulen sind aber leider nicht betrugssicher eingerichtet. Betrüger müssen nur ihre falschen QR-Codes über die echten kleben, um Autofahrer auf die falsche Website zu locken, wo diese dann Kreditkarten- oder Kontodaten nichtsahnend angeben. Natürlich geht die Bezahlung nicht durch und der Betroffene wiederholt den Vorgang. Laut ADAC führt der QR-Code nun auf die korrekte Website. Der Kunde bezahlt und vergisst den ersten Fehlversuch. Seine Konto- oder Kreditkartendaten sind allerdings schon längst bei den Betrügern.
Gegenmaßnahme: Checken, ob der aufgeklebte QR-Code nicht manipuliert wurde. Oft haben Ladesäulen noch einen Display mit dem Code, in so einem Fall diesen dort abscannen. Überhaupt kein QR-Code ist notwendig, wenn Nutzer über die entsprechende App bzw. Ladekarte die Rechnung begleichen.
Steckt ein Strafzettel wegen Falschparkens vom Ordnungsamt oder von der Polizei am Scheibenwischer, so kann man vielerorts mit QR-Code die Geldbuße sofort begleichen. Es ist als Service gedacht. Doch auch hier wurden bereits Betrugsfälle gemeldet. Das heißt gefälschte Strafzettel führten den Parksünder auf eine Betrugs-Website, um an seine Bankdaten zu gelangen.
Gegenmaßnahme: Strafzettel genau checken. Wer sich nicht sicher ist, sollte bei der Polizei die Echtheit des Dokuments prüfen lassen.
(thy)
Cyberangriffe: Wie sich Firmen und Reisende dagegen schützen
Fieser Phishing-Trick: Wenn das Hotel erneut nach Daten fragt
Lufthansa-Streik: Achtung, Online-Betrüger unterwegs