Briefpost mag grundsätzlich einen seriösen Eindruck machen. Verlassen sollte man sich auf dieses Gefühl aber nicht. Denn derzeit versenden Betrüger gefälschte Schreiben deutscher Banken mit QR-Codes, warnt das Landeskriminalamt (LKA) Niedersachsen. Wer einen dieser Codes scannt und dem darin hinterlegten Link folgt, landet auf einer gefälschten Banking-Seite und wird zur Eingabe sensibler Daten aufgefordert.
Das sollte man natürlich nicht tun, denn die Kriminellen verfolgen das Ziel, Zugriff aufs eigene Onlinebanking zu erhalten. Aufhänger in den Briefen ist den Angaben zufolge die Behauptung, aufgrund von EU-Vorschriften die Identität der Kundinnen und Kunden überprüfen zu müssen.
Griff zum Hörer bringt Klarheit
Wer sich unsicher ist, ob so ein Schreiben echt ist, dem rät das LKA, telefonisch bei der Bank nachzufragen. Vorsicht: Man sollte nur eine bekannte Nummer wählen und bloß nicht dem womöglich gefälschten Brief einen Kontakt entnehmen.
Zuletzt hatten etwa an E-Auto-Ladesäulen aufgedruckte QR-Codes für Schlagzeilen gesorgt, die Betrüger mit QR-Code-Stickern überklebt hatten. Aber auch gefälschte QR-Codes in vermeintlichen Werbe-Mails sind seit Jahren ein Problem.
Quishing kann viele Ziele haben
Neben Zugängen zum Onlinebanking können es die Kriminellen bei solchen QR-Code-Phishing-Angriffen (auch als Quishing bezeichnet) auf Anmeldedaten für alle möglichen Dienste und Konten abgesehen haben. Ebenso kann es sein, dass QR-Codes den Download und die Installation von Schadsoftware anstoßen sollen.
Egal, ob digital, auf Papier oder irgendwo aufgedruckt: Verbraucherinnen und Verbraucher sollten immer im Hinterkopf behalten, dass QR-Codes überklebt, manipuliert werden oder bereits mit betrügerischen Absichten erstellt worden sein können.
Vorsichtsmaßnahmen beim Umgang mit QR-Codes:
- Am Smartphone sollte man das sofortige Öffnen von Links aus QR-Codes heraus möglichst deaktivieren, rät das LKA. Stattdessen sollte erst einmal nur der Link oder ein Vorschaubild der Webseite hinter dem Link angezeigt werden. Solche Vorschauen sind meist voreingestellt, wenn man die Smartphone-Kamera oder einen Browser wie Firefox als Scanner nutzt.
- Links aus QR-Codes vor dem Öffnen ganz genau anschauen: Handelt es sich um die erwartete Webseite ohne Tippfehler, Zahlen- oder Buchstabendreher? Ist die eigentliche Domain vielleicht gar nicht auf einen Blick zu erkennen, sondern steht ganz am Ende eines sehr langen Links? Ist die eigentliche Adresse verborgen, weil der Link von einem Dienst zum Verkürzen von Internetadressen stammt?