Eine Hand greift an einen QR-Code auf einer Parksäule 3 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK

Bankbrief, Ladesäule, Parkautomat Quishing - Neue Betrugsmasche mit QR-Codes

14. November 2024, 17:57 Uhr

Inhalt des Artikels:

Alles beginnt mit einem täuschend echten Brief von der Bank, der einen QR-Code enthält. Man müsse ein paar Sicherheitsverfahren für das Online-Banking aktualisieren, heißt es darin. Alles kein Problem und schnell erledigt - am besten den QR-Code im Brief scannen, Daten eingeben und fertig. Das Problem: Der Brief stammt gar nicht von der Bank, sondern von Betrügern, die an Kontodaten und PINs kommen wollen.

Und offensichtlich funktioniert die Masche. Denn im Gegensatz zu E-Mails, die sich oft schon durch einen kritischen Blick auf den Absender enttarnen lassen, wirken Briefe meist seriöser. "Quishing" heißt der neue Cyber-Betrugstrend - zusammengesetzt aus "QR-Code" (Quick Response) und "Phishing" (Password Fishing), dem illegalen Abfischen von sensiblen Daten.

Ein Mann mit einem Smartphone 3 min
Bildrechte: MITTELDEUTSCHER RUNDFUNK
3 min

Brisant Do 12.09.2024 17:10Uhr 02:58 min

Rechte: MITTELDEUTSCHER RUNDFUNK

Video

Echter Absender vs. Fake-Absender

Wer solche Briefe bekommt, sollte sich erst mal fragen, ob man überhaupt ein Konto bei der betreffenden Bank hat. So hatte eine Frau aus München Fake-Post von einer Bank bekommen, bei der sie aber gar keine Kundin ist. So war der Schwindel letztlich aufgeflogen.

Außerdem verraten sich die Betrüger meist auch mit merkwürdigen Formulierungen: Auffällig ist laut Verbraucherzentrale unter anderem, dass das Schreiben mit "Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber" beginnt - und nicht mit dem richtigen Namen der angeschriebenen Person. Eine echte Bank würde das so nicht machen.

Symbolbild: Ein Mann und eine Frau sitzen am 26.06.2017 an einem Tisch mit Unterlagen und lesen gemeinsam einen Brief (gestellte Szene).
Ganz genau lesen! In den gefälschten Briefen stößt man auf merkwürdige und gestelzte Formulierungen. Bildrechte: picture alliance / dpa Themendienst | Christin Klose

Im Zweifel: Bei der Bank anrufen

In vielen aufgetauchten Quishing-Schreiben findet sich auch eine eher umständliche Formulierung am Ende: "Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit."

Schon beim Lesen des Wortes "sofort" sollte man skeptisch sein. Ein einfacher Anruf bei der Bank kann hier Klarheit bringen.

Unglücklche Frau schaut auf Smartphone
Springt der QR-Scan gleich auf die hinterlegte Internetseite, sollte man das in den Einstellungen ändern. Bildrechte: IMAGO / Depositphotos

Falsche QR-Codes an Ladesäulen und Parkautomaten

Doch nicht nur mit Briefen versuchen Betrüger an sensible Kontodaten zu kommen: Auch mit gefälschten QR-Codes auf Ladesäulen für E-Autos oder an Parkautomaten wurde offenbar schon Kasse gemacht. Wer in der Eile nicht richtig hinschaut und zu schnell seine persönlichen Daten eingibt (z.B. die Kreditkartennummer oder Passwörter), ist schnell mal sein Geld los.

Der Tipp: Verfügt die Ladesäule über ein Display, sollte der Code dort gescannt werden. Viele E-Mobility-Anbieter arbeiten auch mit Apps oder Ladekarten, die sicherer sind. Im Zweifel sollte man den QR-Code außen vor lassen und manuell über den Smartphone-Browser auf die Anbieter-Webseiten gehen.

Ist es dann doch passiert und man ist auf die Betrugsmasche reingefallen, sollte unbedingt eine Anzeige bei der Polizei gestellt und die Bank informiert werden.

Ein weißes E-Auto lädt an einer Ladesäule der Leipziger Stadtwerke.
Wer auf einen falschen QR-Code an der Ladesäule reinfällt, sollte bei der Polizei eine Anzeige machen. Bildrechte: IMAGO / PicturePoint

Wie kann man sich schützen?

Wichtiges Hilfsmittel: Nicht nur bei gefälschten Bankbriefen kann eine QR-Code-Scanner-App hilfreich sein. Diese Programme von Drittanbietern zeigen vollständig an, auf welcher Internetseite man später landet - anders als über die native Kamera-App der meisten Smartphones. Oft ist schon die angezeigte Ziel-URL ein Hinweis darauf, dass etwas nicht stimmen könnte.

Um sich vor Quishing-Attacken zu schützen, sollte man beim Scannen von QR-Codes generell nicht sorglos sein. Die Ziel-URL sollte immer genau überprüft werden, insbesondere wenn Zahlungsdaten abgefragt werden. Unerwarteten Aufforderungen zum Scannen von QR-Codes sollte grundsätzlich misstraut werden.

Auch Login-Seiten von Banken sollte man nie über eine Suchmaschine suchen, sondern immer von Hand eingeben oder mit Lesezeichen arbeiten. Beim Parken oder Laden von Elektroautos sollten nur Apps aus den offiziellen App-Stores verwendet werden.

Dieses Thema im Programm: Das Erste | BRISANT | 14. November 2024 | 17:15 Uhr

Weitere Themen