Phishing per Briefpost: Kriminelle geben sich als Banken aus und versenden QR-Codes
Das Landeskriminalamt Niedersachsen (LKA) warnt aktuell vor gefälschter Briefpost. So nutzen Kriminelle die Namen von Banken, um QR-Codes zu verschicken. In den entsprechenden Schreiben, die per Snail-Mail eingehen, weist man die Empfänger auf vermeintliche, wichtige Angelegenheiten im Zusammenhang mit ihrem Konto hin. Am Ende soll zur Überprüfung bzw. Aktualisierung der Stammdaten ein QR-Code gescannt werden. Der führt natürlich zu einer Fake-Website, über welche die Betrüger sich Zugang zu eurem Konto verschaffen wollen.
Dabei hofft man offensichtlich, dass so ein klassischer Brief eine höhere Glaubwürdigkeit erzeugt als eine von vielen täglichen Spam-E-Mails. Immerhin müssen die Täter ja eure korrekte Adresse kennen. Aktuell sind dem LKA Niedersachsen glücklicherweise noch keine entstandenen Schäden bekannt. Denn die Menschen, die sich an die Polizei gewandt haben, waren alle bedacht genug, den Kriminellen nicht auf den Leim zu gehen. Dabei geben sich die Betrüger mal als Commerzbank und mal als Deutsche Bank aus. Es ist aber möglich, dass noch die Namen weiterer Banken missbraucht werden.
Wie ihr seht, sind die gefälschten Schreiben durchaus gut gemacht. Erkennbar wird der Betrug aber im Grunde, sobald der QR-Code gescannt wird, denn der führt eben nicht zu einer echten Banking-Website, sondern zu einem Fake. Wer da also genau auf die URL schaut, wird schnell gewarnt sein. Dafür ist es aber möglicherweise notwendig, in der Adresszeile bis zum Ende zu wandern. So kann der Anfang des gefälschten Links vielleicht noch plausibel wirken.
Woher haben die Täter die Adressen?
Woher könnten die Betrüger nun die Adressen der Empfänger haben? Jene dürften sie aus vergangenen Leaks und Hacks bezogen haben. Laut dem LKA Niedersachsen könne man aber bei der bisher geringen Anzahl an bekannten Betroffenen auch nicht ausschließen, dass diese vielleicht in der Vergangenheit auf Phishing hereingefallen sind und ihre Adressdaten selbst preisgegeben haben.
Wer so einen Brief erhält, sollte im Zweifelsfall einfach direkt seine Bank kontaktieren und nachfragen. Das klärt die Sache schnell und sicher auf. Auch die Anzeige bei der örtlichen Polizei oder Onlinewache ist zu empfehlen. Dabei sollte das eingescannte/abfotografierte Täterschreiben übermittelt werden, auch damit die Polizei möglicherweise neue Abwandlungen erfassen kann.
Wie immer mein Rat: Sensibilisiert auch eure weniger technikaffinen Kontakte für diese neue Masche.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Weiterer Tipp: Eine QR-Scanner-App nutzen, die den QR-Code nur einliest und standardmäßig als Klartext anzeigt. Da gibt es dann keine bösen Überraschungen wegen zu langer URLs, die mit anderen Auslesemethoden ja (wie im Artikel dargelegt) nur abgeschnitten dargestellt werden. Ja, das ist unbequemer als über die Kameraapp des eigenen Handys, aber gerade bei Bankgeschäften kann man leinder nicht „paranoid“ genug sein.
Ich glaube, schon vor knapp 30 Jahren gab es das geflügelte Wort „Passwort = Bookmark“ – was so viel bedeutete, dass man bei Webseiten, in denen man ein Passwort eingeben muss, man selber die URL aus den eigenen Bookmarks nutzen soll oder man sogar noch besser die URL vollständig selber eingibt und NIEMALS Links aus Mails (nichts anderes ist letztendlich der QR-Code in der Briefpost) nutzen soll.
Danke für den Hinweis, die Verbrecher werden immer besser und dreister.
Unfassbar was täglich für einen Unsinn auf die Leute einprasselt. Es wird nicht besser sondern immer schlimmer. Jetzt bekommt man sogar noch Post von diesen Abzockern. Danke für den Hinweis! Das kannte ich tatsächlich noch nicht.
Man sollte sich dringend auch um seine Passwörter kümmern und immer die neusten Sicherheitsvorkehrungen der Bank nutzen. Wie zum Beispiel Push-Tan. Passwörter regelmäßig ändern und dazu Apple Passörter, Google Passwörter oder etwas ähnliches nutzen. Selbst der kleinste popelige Shop bei dem man sich vielleicht registriert und etwas gekauft hat kann gehackt worden sein.
Einfach nur ätzend diese Sche**e.
Oder sich die Mühe machen und Geldgeschäfte wieder bei einer Präsenzbank zu erledigen – man geht in eine Filiale zu einem Menschen an einem Schalter und erledigt dort vor ort Dinge wie Kontoeröffnungen, -änderungen seiner Daten usw.
Ja unbequem und leider bauen viele Geldinstitute ja gerade ihre Dependanzen im realen Leben zugungsten virtueller Präsenz ab.
Aber es wird wohl kein Gaunersyndikat eine Fake-Sparkassenfiliale einrichten bei der man dann seine Bankdaten preisgibt.
Alles virtuell verringert den aufwand nicht nur für Kunden und die geldinstitute sondern eben auch für Betrüger.
Sensible Aktionen sollten wieder an physische prozesse vor ort gebunden werden. Das ist am sichersten.
Krass wie viele Leute auf sowas reinfallen. Muss sich ja lohnen. So ein Brief kostet 1 € pro Stück und wenn von 1000 Empfänger 1 reinfällt, dann muss man ihm ja schon 2000 € vom Konto ziehen können, damit sich das rentiert.
wenn ich so bei den Ü60igern höre auf was die noch hereinfallen, dann wird denen bei sowas das Konto leer geräumt.
Enkeltrick
Spielhallentrick
Telefonverkäufe…
unglaublich wie dumm Leute sein können.
Würde niemals Leuten, von denen ich keine Leistung bezogen habe Geld schicken.
Hallo star,
Deine sichtweise menschen über 60 hier „Dummheit“ zu attestieren ist doch sehr oberflächlich.
Denke mal an das Hörspiel „Krieg der Welten“.
Radio war damals ein für viele Menschen neues medium.
Und die reportagemäßige Inzenierung der literarischen Vorlage als Hörspiel wurde von vielen Hörern die die Möglichkeiten des neuen mediums nicht erfaßten, für bare Münze genommen.
Zwar gab es keine Massenpanik – das fällt wohl in den Bereich einer Urban Legend – aber es bleibt daß viele Zuhörer den fiktiven Charakter des Programms nicht erkannten.
Die waren auch nicht alle dumm.
Phishing über Mail, gefaakete Webseiten oder gar Briefe mit einem aufgedruckten Code – letztere werden ja von den Banken selbst als sicheres Kommunikationsmedium z. B. für kartenfreischaltungen eingesetzt – täuschen auch Menschen die weder dumm noch naiv oder einfach „alt“ sind.
Da hilft nur Aufklärung , statt für neue Fondsprodukte zu werben sollten Banken und Sparkassen hier viel aktiver werden.