Bedrohungslage

Retro wird modern: Quishing kommt jetzt per Brief

9. Dezember 2024 von Marek Röhner

Quishing per Brief
©Korea Saii - Adobe Stock

5
(2)

Mit steigenden Sicherheitsvorkehrungen und dem wachsenden Bewusstsein für Online-Betrugsmaschen haben Cyberkriminelle ihre Strategien angepasst und greifen nun auf scheinbar altmodische Methoden zurück: den Brief. Durch geschickte Kombination aus digitaler und analoger Täuschung versuchen Kriminelle, die gewachsene Vorsicht bei Links im Internet zu umgehen und Menschen über klassische Informationswege auf gefälschte Internetseiten zu locken. Ihr Mittel zum Zweck: Falsche QR-Codes. Erfahren Sie im Beitrag, was es mit der neuen Betrugsmasche namens Quishing auf sich hat und wie Sie sich schützen können.

Update vom Dezember 2024: Aktuell wird die Quishing-Masche in Verbindung mit Parkscheinautomaten vermehrt eingesetzt. Mehr Infos und nützliche Sicherheitstipps lesen Sie am Ende dieses Artikels.

Was ist Quishing?

„Quishing“ ist eine Betrugsmethode, bei der Cyberkriminelle QR-Codes verwenden, um Phishing-Angriffe auszuführen. Der Name setzt sich aus „QR-Code“ und „Phishing“ zusammen und beschreibt den Vorgang, bei dem die Opfer statt eines Links einen QR-Code scannen. Dieser Code führt sie dann oft unbemerkt auf eine betrügerische Website, auf der vertrauliche Daten wie Passwörter oder Bankinformationen abgefragt werden.

Der Vorteil für die Betrüger: QR-Codes wirken unverdächtig und sind inzwischen allgegenwärtig – auf Rechnungen, in der Gastronomie, bei Spendenaktionen, in Museen, Zoos und vielen anderen Orten. Da QR-Codes für den Betrachter auf den ersten Blick nicht erkennbar machen, welche Seite sich hinter ihnen verbirgt, greifen viele Menschen vertrauensvoll darauf zu, was den Betrügern in die Hände spielt.

Quishing selbst ist nicht neu (wir haben schon Anfang 2022 in unserem Blog über diese Methode berichtet ). Neu ist aber, dass die Betrugsversuche jetzt per Post kommen.

Quishing per Brief: So funktioniert die neue Betrugsmasche

Die neue Betrugsmasche beim Quishing verbindet die digitale Welt mit klassischen Kommunikationsmethoden. Was auf den ersten Blick unauffällig und hilfreich wirkt, entpuppt sich als gefährliche Falle: Die neue Quishing-Masche setzt auf vermeintlich offizielle Briefe, die das Vertrauen der Empfänger gewinnen sollen, indem sie im Design und Wortlaut seriöse Institutionen nachahmen, um ihre Opfer zu täuschen. Diese Briefe können Bankmitteilungen, Zahlungsaufforderungen oder Strafzettel sein. In ihnen findet sich ein QR-Code, der – wenn unbedarft gescannt –, die Opfer auf eine gefälschte Website führt.

Ein Grund für die Verbreitung dieser Methode ist die steigende Sensibilisierung der Menschen gegenüber typischen Phishing-Angriffen. Da viele mittlerweile vorsichtiger mit Links und E-Mails umgehen, verlagern die Kriminellen ihre Angriffe auf analoge Wege wie Briefe oder Flyer, die durch ihre häufige Verwendung im Alltag als harmlos und vertrauenswürdig wahrgenommen werden. Quishing zeigt, wie geschickt Betrüger digitale Technik mit klassischen Kommunikationsmitteln kombinieren, um Sicherheitsbarrieren zu umgehen und sensible Daten zu stehlen.

Quishing-Beispiel: Der gefälschte Bankbrief

Stellen Sie sich vor, Sie erhalten per Post einen scheinbar offiziellen Brief von Ihrer Bank, in dem steht, dass aufgrund von „unregelmäßigen Aktivitäten“ auf Ihrem Konto eine Überprüfung Ihrer Daten notwendig sei. Der Brief enthält alle typischen Merkmale: das Logo der Bank, offizielle Schriftarten und sogar eine Telefonnummer für „Rückfragen“. Im Text wird erklärt, dass Sie durch Scannen des beigefügten QR-Codes direkt zu Ihrem Konto gelangen können, um die Identität zu bestätigen. Tatsächlich führt der QR-Code jedoch nicht zur Bank, sondern auf eine täuschend echt aussehende Phishing-Seite, die darauf ausgelegt ist, sensible Informationen wie Zugangsdaten oder Bankkontoinformationen zu stehlen.

Das Gefährliche daran: Anders als bei E-Mail-Links, die mittlerweile oft durch Filter oder durch den gesunden Menschenverstand als verdächtig eingestuft werden, wirken QR-Codes auf Papierbriefe noch vertrauenswürdig. Zudem geben QR-Codes dem Betrachter keine Einsicht, welche Seite sich wirklich dahinter verbirgt – beim Scannen landet man sofort auf der gewollten, oft täuschend echt nachgebildeten Webseite.

Vorsicht: Gefälschte QR-Codes auf E-Auto-Ladesäulen

Neben Briefen finden sich gefälschte QR-Codes mittlerweile auch an öffentlichen Orten, zum Beispiel auf Ladestationen für Elektroautos. Die Verbraucherzentrale hat in letzter Zeit vermehrt vor dieser Variante gewarnt. In diesen Fällen kleben die Betrüger gefälschte QR-Codes direkt auf die Geräte, die die Benutzer angeblich zur Zahlungsabwicklung auf eine Webseite leiten sollen. E-Auto-Besitzer, die diese Codes scannen, gelangen so auf eine gefälschte Seite, auf der sie dazu aufgefordert werden, Zahlungsdaten oder Bankinformationen einzugeben. Durch die Kombination eines vertrauenswürdigen Ortes – einer Ladesäule – und eines einfachen QR-Codes haben die Kriminellen hier eine weitere Möglichkeit gefunden, an sensible Daten zu gelangen

Schutz vor Quishing per Brief: So bleiben Sie sicher

Mit der Zunahme von Quishing-Angriffen wird es immer wichtiger, auf Zeichen zu achten, die auf Betrug hindeuten. Im Folgenden finden Sie hilfreiche Tipps, um sich effektiv gegen diese neue Betrugsmasche zu wappnen.

1. Verifizieren Sie das Anliegen: Haben Sie überhaupt ein Konto bei dieser Bank?
Der erste Schritt zur Überprüfung eines solchen Briefes ist denkbar einfach: Überlegen Sie, ob Sie tatsächlich Kunde beim Absender – der vermeintlichen Bank oder Behörde – sind. Wenn Sie ein Schreiben oder eine Mahnung von einer Institution erhalten, mit der Sie in keinerlei Verbindung stehen, handelt es sich sehr wahrscheinlich um einen Quishing-Angriff. Eine vermeintliche Nachricht von einer Bank, bei der Sie kein Konto haben, sollten Sie am besten ignorieren und sicherheitshalber vernichten.

2. Der Schreibstil: Achten Sie auf Rechtschreibung und die Art der Anrede
Viele Quishing-Briefe wirken auf den ersten Blick täuschend echt, doch oft gibt es kleinere Hinweise, die auf eine Fälschung hindeuten. Ein häufiger Fehler in solchen Schreiben ist die allgemeine Anrede, beispielsweise „Sehr geehrter Kontoinhaber/in“ statt einer konkreten Anrede mit Ihrem Namen. Offizielle Institutionen, besonders Banken, sprechen ihre Kunden normalerweise direkt und persönlich an. Allgemeine und unpersönliche Formulierungen sollten Sie immer misstrauisch machen. Auch Rechtschreib- und Grammatikfehler können Hinweise auf einen gefälschten Brief sein.

3. Im Zweifel: Direkt nachfragen
Wenn Sie unsicher sind, ob ein Brief echt ist, ist es ratsam, direkt bei der entsprechenden Bank oder Behörde nachzufragen. Nutzen Sie dafür jedoch nicht die in dem Schreiben möglicherweise angegebene Telefonnummer, sondern suchen Sie die Kontaktinformationen selbstständig auf der offiziellen Website des Unternehmens heraus. Eine kurze Nachfrage kann Sie vor einem potenziellen Datenverlust schützen, und die Bank oder Behörde kann Ihnen gegebenenfalls mitteilen, ob das Schreiben wirklich von ihnen stammt.

4. URL und QR-Code-Einstellungen prüfen
Ein QR-Code kann gerade deshalb gefährlich sein, weil er nicht auf den ersten Blick zeigt, welche Webseite sich hinter ihm verbirgt. Viele Kamera-Apps und QR-Code-Scanner bieten jedoch eine Vorschau der URL, bevor Sie die Webseite tatsächlich öffnen. Prüfen Sie die angezeigte URL genau: Handelt es sich um die offizielle Seite Ihrer Bank oder sieht die URL verdächtig aus? Passen Sie Ihre Kamera- oder QR-App-Einstellungen so an, dass Ihnen immer die Zieladresse angezeigt wird, bevor Sie dem Link folgen. Dies kann oft schon verhindern, dass Sie auf eine Phishing-Website weitergeleitet werden.

5. Nutzen Sie Multi-Faktor-Authentifizierung beim Online-Banking
Eine der besten Maßnahmen zum Schutz vor unbefugten Zugriffen auf Ihre Bankdaten ist die Multi-Faktor-Authentifizierung (MFA). Diese stellt sicher, dass bei jeder Transaktion oder Kontoanmeldung ein zusätzlicher Sicherheitsnachweis erforderlich ist – etwa eine Bestätigung per App oder SMS. Selbst wenn Ihre Zugangsdaten in die Hände von Betrügern geraten sollten, wird die Multi-Faktor-Authentifizierung den Missbrauch Ihrer Daten deutlich erschweren, da die Kriminellen zusätzlich Zugriff auf Ihr Mobilgerät oder eine andere Sicherheitsmethode bräuchten.

Fazit: Kreativität der Cyberkriminellen kennt keine Grenzen

Die digitale Sensibilisierung der Nutzer hat Cyberkriminelle zu immer neuen und oft überraschenden Methoden inspiriert. Quishing per Brief zeigt, dass Kriminelle längst nicht mehr nur auf das Internet setzen, sondern zunehmend analoge Wege nutzen, um ihre Opfer zu täuschen. Bleiben Sie deshalb bitte stets kritisch bei unerwarteten Schreiben und folgen Sie nur QR-Codes aus vertrauenswürdigen Quellen. Wenn Sie unsicher sind, prüfen Sie alle Details des Briefes genau und kontaktieren Sie im Zweifel die Institution. Ein gesundes Misstrauen kann Sie vor erheblichen finanziellen und datenschutzrechtlichen Schäden bewahren.

Update: Quishing via Parkscheinautomaten

Die Betrugsmasche Quishing breitet sich zunehmend in Verbindung mit Parkscheinautomaten aus. Seit November 2024 warnen sowohl die Stadt Hannover als auch die Polizei vor manipulierten QR-Codes des Betreibers „EasyPark“ an Automaten. Diese betrügerischen QR-Codes leiten Nutzer auf gefälschte Zahlungsseiten, um persönliche und finanzielle Daten zu stehlen.

Tipps zur Sicherheit

Hier sind wichtige Tipps, um sich vor der EasyPark-Quishing-Masche zu schützen, die aber auch für andere ParkApp-Dienstleister beachtet werden können:

  1. Umgang mit QR-Codes
    • EasyPark-QR-Codes leiten nur zur App oder zu offiziellen Download-Seiten. Prüfen Sie vor dem Scannen, ob der QR-Code auf offizieller Beschilderung angebracht ist.
    • Nutzen Sie im Zweifel direkt die EasyPark-App.
    • Verdächtige QR-Codes sollten sofort der Polizei gemeldet werden.
  2. Erkennen legitimer Kommunikation
  3. Erkennen von Betrugsversuchen
    • EasyPark fordert niemals Passwörter, PINs, Zahlungsdaten oder Geldüberweisungen an.
    • Es gibt keine Aufforderungen zur Installation fremder Apps oder zur Bezahlung von Strafgebühren per Telefon oder E-Mail.
  4. Sicherer Umgang mit Bankdaten
    • Ändern Sie Ihr Passwort sofort, falls Sie den Verdacht auf Konto-Kompromittierung haben.
    • Kontaktieren Sie Ihre Bank bei unautorisierten Transaktionen oder verdächtigen Abbuchungen.

 

Beitrag vom 29. Oktober 2024

Wie hat Ihnen dieser Artikel gefallen?

Average rating 5 / 5. Vote count: 2


0 Kommentar(e)

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu