Betrugsmasche Quishing: QR-Code-Phishing nimmt zu
www.heise.de
Das LKA und die Verbraucherzentrale NRW warnen vor zunehmenden Betrug mit Quishing: Phishing mit QR-Codes.

Phishing und die üblichen Betrügereien kennt man ja eigentlich aus dem Onlinebereich, aber gerade schafft die Branche auch den Sprung ins analoge. Betrugsmaschen kommen als angeblich offizieller Brief der Bank in den Briefkasten, QR-Codes sind gefälscht und es gibt sogar gefälschte Falschpark-Strafzettel (!). Redet mit euren Eltern, Großeltern, Geschwistern, Freunden und Arbeitskollegen darüber, denn das sind definitiv Maschen, die höchst lukrativ sein dürften, sich daher in Zukunft weiter verbreiten sollten und die kaum einer auf dem Schirm hat.

Die Verbraucherzentrale NRW zeigt ein Foto eines gefälschten Commerzbank-Briefes, dem zufolge die Empfänger das Photo-TAN-Verfahren “erneuern” müssten. Im konkreten Fall regte Verdacht, dass die Empfängerin aus München gar kein Konto bei der Bank besitzt. Auch die fehlende persönliche Ansprache wäre ein Hinweis für Empfänger, dass der Brief nicht von der echten Bank stammen kann. Vermeintliche Bank-Briefe zum Abgreifen von Informationen

Das LKA NRW schreibt, dass die Kriminellen “über diesen Weg insbesondere schutzwürdige persönliche Daten und Passwörter” ausspähen. In den konkreten Fällen sollen Opfer ihre Bankdaten preisgeben. Perfide an der Masche: “Die Opfer scannen mit ihrem Mobiltelefon einen QR-Code ein und folgen dem Link dahinter. Je nach Gerät und Browser ist hierbei auf den ersten Blick nicht zu erkennen, dass der Link nicht zu der tatsächlichen Website des Anbieters führt, sondern zu einer Fake-Seite. Dort geben die Opfer dann ihre Zugangsdaten ein oder veranlassen einen Geldtransfer”, erklären die Strafverfolger.

Diverse Varianten der Betrugsversuche mit QR-Codes traten in jüngerer Zeit auf: Anfang des Monats warnte etwa das LKA Niedersachsen davor, dass Briefe in der Post als Absender etwa Banken fälschen und mit dem QR-Code auf Phishing-Seiten umlenken, um dort verwertbare Informationen von den Opfern abzugreifen. Kurz zuvor fielen falsche QR-Codes an Ladesäulen für Elektroautos auf, die falsche Zahlungsadressen für das sogenannte Ad-hoc-Laden angeben und so Geld der Opfer direkt abzocken. Die Phishing-Seiten sind so geschickt gebaut, dass die erste Eingabe nach einem Fehlversuch aussieht, sodass Opfer die Daten einfach ein zweites Mal eingeben und dann tatsächlich laden können – der Betrug fällt erst deutlich später auf.#

Vor rund zwei Wochen wurde bekannt, dass Betrüger Klarsichtbeutel mit einer Bitcoin-Paper-Wallet und einem gefälschten Einzahlungsbeleg auf Gehwege verteilen, derzeit vorrangig im Münchener Raum. Wer versucht, das vermeintliche Geld auf der Bitcoin-Wallet nach Scan des QR-Codes und dem Besuch der darin verlinkten Webseite auszahlen zu lassen, muss angeblich eine Transfergebühr zahlen. Anschließend gibt es jedoch anstatt Geld aus der Wallet eine Fehlermeldung. Eine weitere Masche kam seit Ende vergangenen Jahres zum Einsatz: Betrüger haben insbesondere in Berlin gefälschte Strafzettel an Autos geheftet, der aufgedruckte QR-Code führt auf eine offiziell wirkende Webseite, auf der vermeintliche Falschparker dann die angeblich fällige Geldbuße zahlen sollen.