Identität und Geld gestohlen: Aktuell solltet ihr Briefe von Banken genau untersuchen
Es ist eine neuere Methode im Repertoir von Cyberkriminellen: Der Betrug mithilfe von QR-Codes, auch „Quishing“ genannt, abgeleitet von den Worten „QR-Code“ und „Phishing“. Allerdings kommen die betrügerischen Nachrichten heute nicht mehr nur per E-Mail oder SMS.
Weil viele Menschen bei solchen Nachrichten misstrauischer sind, haben sich die Betrüger offenbar noch kreativere Wege für die QR-Code-Masche einfallen lassen: Jetzt verschicken sie falsche Bank-Briefe, kleben gefälschte QR-Codes auf die Ladesäulen für E-Autos oder klemmen parkenden Autos gefälschte Strafzettel hinter die Scheibenwischer, wie die Verbraucherzentrale in ihrem Phishing-Monitor berichtet.
Wie funktioniert die Quishing-Methode?
Aktuell verschicken die Betrüger:innen offenbar vor allem Briefe, die so aussehen, als kämen sie von der Bank. Sowohl in Nordrhein-Westfalen (NRW) als auch in Niedersachen warnen die Landeskriminalämter bereits vor diesen Schreiben.
Dabei verschicken die Kriminellen offenbar im großen Stil gefälschte Briefe im Namen verschiedener Kreditinstituten, die vom Anschreiben und der Gestaltung her täuschend echt wirken. Die Schreiben suggerieren dringlichen Handlungsbedarf, etwa weil die Verifizierung des Kontos erneuert werden müsse.
Scannen die Angeschriebenen mit ihrem Mobiltelefon dann den QR-Code, werden sie zu einer Fake-Seite weitergeleitet. Dort sollen die Nutzer:innen dann ihre Zugangsdaten eingeben. Tun sie das, gehen die den Betrüger:innen in die Falle. Denn die wollen an die Login-Daten fürs Online-Banking heran. Auch die Abfrage von sicherheitsrelevanten TAN oder die Bestätigung per TAN-App ist in dieser Betrugsvariante möglich.
Ebenso werden solche Fake-Seiten oft genutzt, um an persönliche Daten der User zu kommen: ein Scan des Personalausweises, Gehaltsnachweise, Telefonnummern. Diese Daten dienen dem Identitätsdiebstahl. Damit beantragen die Täter mitunter Kredite oder gründen sogar Unternehmen.
Quishing im Namen von Banken
Die Verbraucherzentrale berichtet beispielsweise von einer Frau aus München, die einen solchen Brief im August 2024 angeblich von der Commerzbank bekommen hatte – obwohl sie dort gar kein Konto besitzt. Im Brief wurde sie aufgefordert, ein „photoTAN-Verfahren zur Sicherheit Ihrer Bankgeschäfte“ zu aktualisieren.
Einen ähnlichen Fall schildert ein Linkedin-Nutzer: Auch er bekam ein Schreiben, dass angeblich von der Commerzbank stammte, obwohl er dort gar nicht Kunde ist. „Der Brief ist wirklich gut gemacht. Nur dass Arno Walter unterschrieben hat, der vor mehr als einem Jahr die Commerzbank verlassen hat. Und Aydin Sahin ist inzwischen bei der UBS“, kommentiert der Nutzer.
Beide Fälle zeigen: Die Betrüger gehen hier offenbar mit einer flächendeckenden Kampagne vor, wobei sie sich der Namen großer Geldinstitute bedienen, da dann die Wahrscheinlichkeit steigt, Kund:innen zu erwischen, die dort tatsächlich ein Konto haben und eher auf den gefälschten Brief hereinfallen. Das Landeskriminalamt Niedersachsen zeigt in seiner Warnung Beispiel, die im Namen der Commerzbank, der Deutschen Bank und der Targo-Bank verschickt wurden.
Schon die hohe Qualität der Briefe und die Tatsache, dass sich die Betrüger:innen die Mühe machen, Briefe zu verschicken, zeigt: Die Methode ist auf einem neuen Level angekommen. Auch der geschilderte Fall mit dem angeblichen Targo-Bank-Brief unterstreicht, wie „professionell“ die Cyberkriminellen arbeiten. Nachdem der Kunde nicht auf den Brief hereingefallen war, fassten die Betrüger noch einmal mit einer SMS nach. Als diese wieder ignoriert wurde, kam es kurze Zeit später zu einem Anruf durch die Täter.
Quishing mit Bitcoin-Gier
In Bayern haben Betrüger eine etwas andere Quishing-Masche entwickelt. Dort platzieren Kriminelle vermeintliche Bitcoin-Paper-Wallets, die zur Aufbewahrung von Bitcoin in Papierform verwendet werden. Gemeinsam mit einem Zahlungsbeleg über 10.000 Euro werden diese in durchsichtigen Plastiktütchen auf die Straße gelegt. So soll der Finder animiert werden, nachzuschauen, ob auf der Wallet tatsächlich so viel Bitcoin sind.
Auch hier werden Finder:innen, die den QR-Code einscannen, auf eine gefälschte Internetseite geführt, auf der persönliche Daten eingegeben werden sollen. Das Versprechen: Gegen eine Bearbeitungsgebühr von rund 3 Prozent soll das Geld ausgezahlt werden. Wer dazu seine Kontodaten eingibt, ist den Betrüger:innen ins Netz gegangen.
Wie du dich vor Quishing schützen kannst
Wie die Beispiele zeigen, sollte man also mit QR-Codes auch im „realen“ Leben vorsichtig umgehen. Diese Tipps können dich vor betrügerischen QR-Codes schützen:
- Am besten solltest du einen QR-Code nur scannen, wenn du genau weißt, von wem er kommt und dass er seriös ist. Nutze einen QR-Code-Scanner: Er zeigt dir die hinterlegten Informationen erst mal an und setzt sie nicht sofort um. Enthält der Code die Adresse einer Internetseite, prüfe nach, ob diese wirklich dem echten Anbieter – also beispielsweise deiner Bank – gehört.
- Du hast einen zweifelhaften Brief mit QR-Code bekommen? Dann frag zuerst beim (echten!) Absender nach, ob die Information wirklich von ihm stammt. Verlasse dich nicht auf die im Brief angegebene Telefonnummer, sondern recherchiere diese unabhängig.
- Bei der Ladesäule kannst du nachprüfen, ob der QR-Code überklebt wurde – falls ja, lieber nicht scannen!
- Du bist bereits aufs Quishing hereingefallen? Dann melde dich auf jeden Fall bei der Polizei – und falls du Geld bezahlt hast auch bei deiner Bank.