Phishing per Briefpost: Kriminelle geben sich als Banken aus und versenden QR-Codes
von André Westphal | 2 Kommentare
Das Landeskriminalamt Niedersachsen (LKA) warnt aktuell vor gefälschter Briefpost. So nutzen Kriminelle die Namen von Banken, um QR-Codes zu verschicken. In den entsprechenden Schreiben, die per Snail-Mail eingehen, weist man die Empfänger auf vermeintliche, wichtige Angelegenheiten im Zusammenhang mit ihrem Konto hin. Am Ende soll zur Überprüfung bzw. Aktualisierung der Stammdaten ein QR-Code gescannt werden. Der führt natürlich zu einer Fake-Website, über welche die Betrüger sich Zugang zu eurem Konto verschaffen wollen.
Dabei hofft man offensichtlich, dass so ein klassischer Brief eine höhere Glaubwürdigkeit erzeugt als eine von vielen täglichen Spam-E-Mails. Immerhin müssen die Täter ja eure korrekte Adresse kennen. Aktuell sind dem LKA Niedersachsen glücklicherweise noch keine entstandenen Schäden bekannt. Denn die Menschen, die sich an die Polizei gewandt haben, waren alle bedacht genug, den Kriminellen nicht auf den Leim zu gehen. Dabei geben sich die Betrüger mal als Commerzbank und mal als Deutsche Bank aus. Es ist aber möglich, dass noch die Namen weiterer Banken missbraucht werden.
Wie ihr seht, sind die gefälschten Schreiben durchaus gut gemacht. Erkennbar wird der Betrug aber im Grunde, sobald der QR-Code gescannt wird, denn der führt eben nicht zu einer echten Banking-Website, sondern zu einem Fake. Wer da also genau auf die URL schaut, wird schnell gewarnt sein. Dafür ist es aber möglicherweise notwendig, in der Adresszeile bis zum Ende zu wandern. So kann der Anfang des gefälschten Links vielleicht noch plausibel wirken.
Woher haben die Täter die Adressen?
Woher könnten die Betrüger nun die Adressen der Empfänger haben? Jene dürften sie aus vergangenen Leaks und Hacks bezogen haben. Laut dem LKA Niedersachsen könne man aber bei der bisher geringen Anzahl an bekannten Betroffenen auch nicht ausschließen, dass diese vielleicht in der Vergangenheit auf Phishing hereingefallen sind und ihre Adressdaten selbst preisgegeben haben.
Wer so einen Brief erhält, sollte im Zweifelsfall einfach direkt seine Bank kontaktieren und nachfragen. Das klärt die Sache schnell und sicher auf. Auch die Anzeige bei der örtlichen Polizei oder Onlinewache ist zu empfehlen. Dabei sollte das eingescannte/abfotografierte Täterschreiben übermittelt werden, auch damit die Polizei möglicherweise neue Abwandlungen erfassen kann.
Wie immer mein Rat: Sensibilisiert auch eure weniger technikaffinen Kontakte für diese neue Masche.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
Weiterer Tipp: Eine QR-Scanner-App nutzen, die den QR-Code nur einliest und standardmäßig als Klartext anzeigt. Da gibt es dann keine bösen Überraschungen wegen zu langer URLs, die mit anderen Auslesemethoden ja (wie im Artikel dargelegt) nur abgeschnitten dargestellt werden. Ja, das ist unbequemer als über die Kameraapp des eigenen Handys, aber gerade bei Bankgeschäften kann man leinder nicht „paranoid“ genug sein.
Ich glaube, schon vor knapp 30 Jahren gab es das geflügelte Wort „Passwort = Bookmark“ – was so viel bedeutete, dass man bei Webseiten, in denen man ein Passwort eingeben muss, man selber die URL aus den eigenen Bookmarks nutzen soll oder man sogar noch besser die URL vollständig selber eingibt und NIEMALS Links aus Mails (nichts anderes ist letztendlich der QR-Code in der Briefpost) nutzen soll.
Danke für den Hinweis, die Verbrecher werden immer besser und dreister.