Täuschend echt sieht der Brief aus: Es ginge um die Aktualisierung des photoTAN-Verfahrens, steht darin. Das Logo der großen Bank lässt kein Misstrauen aufkommen, keine Rechtschreibfehler, selbst Unterschriften von vermeintlichen Mitarbeitern sind aufgeführt. Dazu ein QR-Code mit der Bitte, unter dem Link das photoTAN-Verfahren zu aktualisieren.
Doch es handelt sich um Betrug. Hinter dem Link versteckt sich nämlich eine Website, die auf den ersten Blick echt aussieht, aber nur dem Zweck dient, sensible Bankdaten und damit Geld abzustauben. Aktuell sind in mehreren Bundesländern – auch in NRW – solche Briefe im Umlauf. Das Landeskriminalamt NRW warnt vor dem sogenannten "Quishing" – der Begriff leitet sich von "QR-Code" und "Phishing" ab.
Wie funktioniert der Betrug?
Oft geht es um Zahlungen: Man scannt den QR-Code und kommt zu einer echt aussehenden Website, die angeblich von der Bank, dem Stromanbieter oder der Stadt stammt. Dort geben Betroffene dann ihre Zahlungsdaten ein und sich somit in die Hände der Betrüger.
Wo kann mir ein gefälschter QR-Code begegnen?
Theoretisch überall, wo die quadratischen Codes zum Einsatz kommen. In den letzten Wochen wurden vermehrt gefälschte Briefe von Banken gemeldet, aber die Verbraucherzentrale berichtet auch von anderen Einsatzorten für den Betrug: auf Ladesäulen für E-Autos oder auf gefälschten Strafzetteln. Die Gefahr: Man sieht dem Code nicht direkt an, was sich dahinter verbirgt.
Wie kann ich mich schützen?
Sich zu schützen, ist gar nicht so leicht, weil die gefälschten Dokumente echt aussehen und dem QR-Code seine Herkunft zunächst nicht anzusehen ist. Folgende Maßnahmen können trotzdem das Risiko, auf "Quishing" hereinzufallen, vermindern:
- Generelles Misstrauen, wenn Geld angefordert wird. Im Zweifel lieber bei der Bank direkt nachfragen. (Vorsicht: Die Nummer auf dem Brief könnte auch gefälscht sein!)
- Manche Handys zeigen beim Scannen den Link hinter dem QR-Code an, bevor er geöffnet wird. Wenn das nicht automatisch passiert, gibt es (kostenlose) Apps, die das ermöglichen.
- Vor allem, wenn es um Geld geht: den Link genau unter die Lupe nehmen.
- Beim Online-Banking die Multi-Faktor-Authentifizierung nutzen: Also einstellen, dass die Zahlung zum Beispiel per App oder SMS bestätigt werden muss, bevor sie rausgeht.
Was kann ich tun, wenn ich Opfer geworden bin?
Betroffene werden gebeten, sich an die Polizei zu wenden. Wenn bereits Geld an Betrüger überwiesen wurde, sollten sie die Bank bitten, das Konto zu sperren – das geht zum Beispiel über den Sperr-Notruf 116 116.
Unsere Quellen:
- Polizei Köln
- Landeskriminalamt NRW
- Verbraucherzentrale