Logo
Aktuell Kriminalität

Warnung vor gefährlichen QR-Codes

Angeblich schreibt die Deutsche Bank Kunden an. Doch dahinter stecken in Wirklichkeit Betrüger

Solche betrügerischen Briefe sind derzeit in Stuttgart im Umlauf.  FOTO: BOCK
Solche betrügerischen Briefe sind derzeit in Stuttgart im Umlauf. FOTO: BOCK
Solche betrügerischen Briefe sind derzeit in Stuttgart im Umlauf. FOTO: BOCK

STUTTGART. Die Frau aus Bad Cannstatt wundert sich. Per Post hat sie einen Brief von der Deutschen Bank bekommen. »Aktualisierung Ihres photoTAN-Verfahrens« lautet die Betreffzeile. Danach wird der »sehr geehrten Kontoinhaberin« erklärt, das Sicherheitsverfahren beim Online-Banking müsse »aufgrund aktueller Vorfälle« aus Sicherheitsgründen synchronisiert werden. Dazu solle sie den aufgedruckten QR-Code scannen. Das freilich tut sie nicht – denn sie ist gar keine Kundin der Deutschen Bank.

Dieses und ähnliche Schreiben tauchen derzeit auch in Stuttgart zahlreich auf. Manche Empfänger haben in den vergangenen Wochen offenbar sogar mehrere davon bekommen. Die Briefe sehen täuschend echt aus. Im aktuellen deutet nur das Datum darauf hin, dass etwas nicht stimmen könnte. Dort wird der »10. October« angegeben. Wer aber Kunde der Deutschen Bank ist, könnte das Schreiben durchaus für echt halten.

Dramatischer Anstieg

Zumal es mit der Post gekommen ist. Jahrelang haben Experten angesichts der Flut an Betrugsversuchen per Telefon, E-Mail, SMS oder WhatsApp darauf hingewiesen, dass seriöse Informationen in der Regel nicht auf diesen Wegen, sondern auf dem herkömmlichen Postweg verschickt werden. Das machen sich nun Kriminelle zunutze.

Und das offenbar nicht selten. »Das kommt vermehrt vor«, sagt Stephan Widmann von der Stuttgarter Polizei. Das sieht man auch bei der Verbraucherzentrale Baden-Württemberg so: »Insgesamt haben die Betrugsfälle zum Karten- und Kontomissbrauch dramatisch zugenommen«, sagt Niels Nauhauser, der Abteilungsleiter Altersvorsorge, Banken, Kredite. Ein Einfallstor seien Phishing-E-Mails oder jüngst sogar QR-Phishing in Briefform. Diese Schreiben ließen sich längst nicht in jedem Fall zweifelsfrei von echten E-Mails oder Prozessen einer Bank unterscheiden.

Für den besonders raffinierten Betrug per QR-Code gibt es inzwischen sogar einen eigenen Begriff: Quishing. Er setzt sicht zusammen aus QR und Phishing, also dem kriminellen Abfischen von Daten.

Besonders hinterhältig und recht neu ist die Methode, wenn sie Papierform und Digitales verbindet so wie bei den Bankbriefen. Das ist aber längst nicht alles. So sind bundesweit schon Fälle bekannt, in denen an Ladesäulen für Elektroautos die Original-Aufdrucke mit betrügerischen QR-Codes überklebt worden sind. Besonders aus Berlin wird gemeldet, dass Kriminelle sogar gefälschte Strafzettel mit QR-Codes hinter die Scheibenwischer klemmen.

Wer die Codes scannt, ist auf dem besten Weg, den Tätern in die Falle zu gehen. »Letztlich geht es immer darum, an die Bankdaten der Opfer zu kommen«, sagt Polizeisprecher Widmann. Gelegentlich werde die Methode sogar bei Internet-Verkaufsportalen angewendet.

Bei der Verbraucherzentrale gibt man allerdings den Geldinstituten eine Mitschuld, obwohl die die Briefe ja gar nicht verschicken. »Die vorgelegten Beschwerden zu diesen Straftaten belegen einen strukturellen Missstand der sicherheitsrelevanten Abläufe bei den Banken, den Kriminelle allzu leicht ausnutzen können«, kritisiert Niels Nauhauser. Alle Banken drängten ihre Kundschaft ins Online-Banking, auch Ältere, die das gar nicht wollten oder nur wenig Erfahrung damit hätten. Damit wachse auch die Verantwortung, für die notwendige Sicherheit zu sorgen, heißt es bei der Verbraucherzentrale.

Dies werde allerdings von den Unternehmen nicht immer so gesehen. »Die Banken machen es potenziellen Betrügern viel zu einfach. Schlimmer noch: Sie werfen Kundinnen und Kunden eigenes Verschulden vor und weigern sich, für die Schäden aufzukommen«, sagt Nauhauser. Dabei sei den Betroffenen kein Verschulden vorzuwerfen, wenn ihre Kreditkartendaten gestohlen würden, Banken Zahlungen ohne Zwei-Faktor-Authentifizierung zuließen oder die Sicherheitsmaßnahmen nicht ausreichend seien. »Wir fordern den Gesetzgeber auf, die Zahlungsdienstleister stärker in die Verantwortung zu nehmen, ihre Zahlungsdienste besser vor Missbrauch zu schützen«, sagt Niels Nauhauser von der Verbraucherzentrale.

Nicht ungeprüft scannen

Im aktuellen Fall warnt die Deutsche Bank auf ihrer Internetseite vor diversen Betrugsmaschen – auch vor den Briefen. Die ändern ihren Inhalt und ihre Optik allerdings immer wieder. Wie hoch die Schäden sind, die durch die Methode entstehen, kann man bei der Polizei nicht sagen.

Dort empfiehlt man dringend, aufmerksam zu sein. Man solle den QR-Code nicht ungeprüft scannen, wenn man Zahlungsdaten eingeben soll, heißt es dort. Wenn möglich, solle man die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes abschalten, damit er nicht automatisch geöffnet wird.

Alle Internet-Links, deren Ursprung im Ausland liege, seien Indizien für Betrugsversuche. Vorsicht sei auch bei allgemeinen Formulierungen wie »sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber« angebracht. Wenn es Zweifel gebe, sollten Kunden dringend ihre Bank kontaktieren – allerdings nicht über die auf den Schreiben angegebenen Kontaktmöglichkeiten. Und sei etwa an einer E-Auto-Ladesäule ein QR-Code überklebt, empfehle es sich, ihn nicht zu scannen. (GEA)