iphone-ticker.de — Alles zum iPhone. Seit 2007. 38 573 Artikel

Falsche Bankbriefe und überklebte QR-Codes

Neue Betrugsmasche „Quishing“: Gefälschte QR-Codes im Umlauf

Artikel auf Mastodon teilen.
30 Kommentare 30

Die Verbraucherzentrale Nordrhein-Westfalen warnt aktuell vor einer neuen Betrugsmasche, die sich vergleichsweises schnell in Deutschland ausbreitet: „Quishing“. Kriminelle nutzen dabei QR-Codes, um Menschen auf gefälschte Webseiten zu locken und über diese dann sensible Daten zu stehlen oder Geld zu ergaunern. Diese Masche verbindet digitale Angriffe mit traditionellen Kommunikationswegen und stellt eine wachsende Bedrohung dar.

Dkb Qr Code

Auch die DKB warnt bereits vor falschen QR-Codes

Falsche Bankbriefe und überklebte QR-Codes

Zur Illustration der Bedrohungslage verweist die Verbraucherzentrale Nordrhein-Westfalen auf einen aktuellen Fall aus Bayern. Im laufenden Monat wurde hier eine Münchnerin Opfer eines Quishing-Betrugsversuchs. Sie erhielt einen angeblichen Brief von der Commerzbank, der sie aufforderte, ihr „photoTAN-Verfahren“ zu aktualisieren. Im Brief war ein QR-Code enthalten, der jedoch nicht zur echten Bankseite, sondern zu einer von den Tätern betriebenen Webseite führte. Dort eingegebene Daten würden direkt in die Hände der Kriminellen gelangen. Das Landeskriminalamt Nordrhein-Westfalen warnt, dass auf diese Weise auch unberechtigte Geldtransfers möglich sind.

Eine weitere Variante des „Quishing“ betrifft E-Ladesäulen für Elektroautos. Hier überkleben Kriminelle die QR-Codes, die zur Bezahlung genutzt werden, mit eigenen, manipulierten Codes. Nutzer, die diese scannen, werden auf falsche Bezahlseiten weitergeleitet. Der ADAC rät dazu, die QR-Codes an Ladesäulen genau zu prüfen und, wenn möglich, alternative Zahlungsmethoden wie eine App oder das Display der Ladesäule zu nutzen.

Quishing Commerzbank Brief 1

Gefälschter Commerzbank-Brief mit überdecktem QR-Codes

Auch gefälschte Strafzettel im Umlauf

Auch im Straßenverkehr sind die Betrüger aktiv. In einigen Städten wurden gefälschte Strafzettel an Autos angebracht, die einen QR-Code zur direkten Bezahlung der vermeintlichen Geldstrafe enthalten. Diese Codes führen ebenfalls auf betrügerische Webseiten. Betroffene sollten im Zweifel den Strafzettel bei der Polizei überprüfen lassen.

Um sich vor „Quishing“ zu schützen, sollten QR-Codes nur dann gescannt werden, wenn ihre Echtheit zweifelsfrei feststeht. Es empfiehlt sich die Nutzung von QR-Code-Scannern, die die enthaltenen Informationen anzeigen, bevor sie eine Aktion ausführen. Verdächtige Briefe sollten durch Kontaktaufnahme mit dem angeblichen Absender überprüft werden, jedoch nicht über die im Schreiben angegebene Telefonnummer. Falls bereits ein Schaden entstanden ist, sollten Betroffene sofort die Polizei und ihre Bank informieren oder den Sperr-Notruf 116116 wählen.

29. Aug 2024 um 09:30 Uhr von Nicolas Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden

    30 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
  • In den Kommentaren zur Codescanner App (https://www.iphone-ticker.de/versteckte-codescanner-app-oeffnet-links-und-extrahiert-text-238526/) wurde die App Qrafter genannt. Macht einen tollen Eindruck (man kann die genutzten Werbenutzungszwecke sehr gut zusammenstutzen) und damit werden ein oder mehrere QR-Codes erst als Klartext angezeigt und dann kann man entscheiden, ob man sie mit Safari öffnen will. Und das kann man mit iOS 18 ja dann auch ins Kontrollzentrum bringen.
    https://apps.apple.com/de/app/qrafter-qr-code-scanner/id416098700

  • Wo findet man solche QR-Scanner, die den Inhalt erst anzeigen?

  • Das ist ziemlich perfide. Auch viele echte QR-Codes weisen auf Webseiten, die mit dem eigentlichen Briefschreiber nicht viel gemeinsam haben, z.b. wenn der Absender einen Dienstleister bemüht. Eine unerwartete URL im QR-Code kann man nicht auf Anhieb als Phishing-Versuch erkennen.

  • Was ich noch nicht ganz verstehe: auf die beschriebene Art bekommen sie Logindaten/account-pw, aber wie kommen sie an OTP/TAN für die eigentliche Transaktion?

    • Vielleicht richtet der gequishte(?) den Tätern ein neues TAN-Verfahren ein. Oder die erstellen direkt am besten automatisiert die Transaktion und bitten dann unter irgendeinem Vorwand noch um die Eingabe einer TAN. Ist einiges denkbar eigentlich. Nur eine weitere Hürde.

    • Die wird direkt angefragt; eingegeben und Zack ist die Überweisung raus…

    • Crack Federvieh

      Wenn sie damit ihr eigenes Gerät für TAN aktiviert bekommen. Man braucht ja den genannten Altivierungslink aus dem ursprünglichen Brief. Denke sie aktivieren sich einfach selbst eine TAN-App und können dann so viel freigeben, wie sie brauchen

    • Naja, es kommt wohl auch drauf an, welches Verfahren für den zweiten Faktor genutzt wird.

      Bei Verfahren über eine extra App, bei der der Nutzer keine Freigabe-TAN mehr sieht (und so auch nicht weitergeben kann), dürfte man vermutlich recht sicher sein (zumindest solange das Smartphone mit der App nicht geklaut wird).

      Aber wenn die Bank noch TANs nutzt (z.b. über TAN-Generatoren aus Software oder Hardware) und der Nutzer diese TANs dann auf der Webseite eingeben muss, ist der Betrug durchaus möglich.

      Wenn das Opfer sich auf der echten Bankseite wähnt, sich dort einloggt, verrät es Login Name und Passwort an die Kriminellen. Die können dann sofort (also live) selbst einen Login auf der echten Bankseite mit den gerade erbeuteten Logindaten durchführen und werden nun ggfs. nach einer TAN gefragt. Über die Fake-Seite werden sie diese Abfrage dann an das Opfer live weitergeben. Das wird die TAN generieren und an die Kriminellen weiterreichen (wie gesagt, man wähnt sich ja auf der echten Bankseite, und die Fake-Seite verhält sich ja im Grunde wie die echte, ggfs. nur klein wenig langsamer, weil die Kriminellen ja noch live zwischen Opfer und echter Bank sitzen und die abgegriffenen Daten weiterleiten müssen). Und nachdem das Opfer nun bei der echten Bank eingeloggt ist (indirekt über die Kriminellen), kann es von der Fake-Seite zu den neuen „Sicherheitsmaßnahmen“ geführt werden, die natürlich wieder durch TANs „abgesichert“ werden. Und dadurch bekommen die Kriminellen dann die Möglichkeit Abbuchungen vorzunehmen. Das Opfer liefert auf Wunsch ja die passenden TANs.

      Das Verfahren funktioniert aber nur, wenn die Täter live dabei sind, um die abgephishten Daten auch sofort nutzen zu können, denn TANs verfallen sonst ja schnell und werden unbrauchbar. Aber vermutlich lässt sich vieles auch automatisieren, so dass Algorithmen da ohne große Verzögerungen live zwischen Opfer und echter Bank vermitteln.

      Dem Opfer könnten aber zumindest Abbuchungen auffallen, denn ein TAN-Generator sollte anzeigen, für was die TAN genutzt wird. Beim Login fällt das noch nicht auf, aber spätestens wenn die Fakeseite eine TAN für die Freigabe für das neue angebliche Sicherheitsverfahren anfordert, der TAN-Generator aber eine Abbuchung von 2000€ anzeigt, sollte man stutzig werden.

      Dass die URL aus dem QR-Code nicht der der Original-Bank entspricht, sollte auch stutzig machen, aber leider ist es nicht immer so, dass Banken (oder Diensteanbieter generell) immer nur eine eindeutige Domain nutzen. Viele nutzen mehrere Domains, nicht alle sind offensichtlich zuordenbar, insofern sind hier geschickte Fälschungen möglich, die nicht wirklich auffallen müssen. Hier sollte man diese Betreiber der Originalteile in die Pflicht nehmen, dass diese auch tatsächlich immer eindeutige Domains nutzen.

  • Krass und irgendwie auch erschreckend…

    Wenn ich solche Mails/Briefe erhalte, rufe ich meine Bank erstmal direkt an!

    Nervig, aufwändig, aber wenigstens sicher

  • Ich finde das war schon immer ein Problem. Wie viele Leute ich nicht sehe, die gnadenlos jeden QR-Code der an einer Laterne hängt abscannen und aufrufen ….
    Ich kann immer nur sowas wie Q-Rafter empfehlen, der checkt jede URL gegen Google Security und löst auch erstmal Shortlinks auf (was auch noch ein Problem bei den QR ist, da oft ein link.to oder ähnlich genutzt wird).
    Ich nutze für jeden Code seit Jahren Q-Rafter Pro

  • Hat aber auch die typischen Faktoren für einen Fake.

    – unpersönliche Anrede
    – Angst aufbauen
    – Druck ausüben mit einer schnellen und direkten Handlungsaufforderung zu reagieren.

  • „Es empfiehlt sich die Nutzung von QR-Code-Scannern, die die enthaltenen Informationen anzeigen, bevor sie eine Aktion ausführen“ -> Empfehlungen?

  • Quishing ist noch viel weiter verbreitet. Es wird nicht nur bei Zahlungssystemem genutzt, sondern auch um Trojaner zu verbreiten indem zum Test von Software z.B. Spielen eingeladen wird.

  • es ist einfach zum kotzen, dass es offensichtlich so viele kriminelle Menschen gibt, die ihren Mitmenschen ihr sauer verdientes Geld klauen wollen. die Strafen können gar nicht hart genug sein für dieses asoziale Pack!

  • Das Schreiben ließt sich schon sehr abgedroschen. Wiederholt sich oft und klingt allgemein nach zu viel.

  • Wirtschaftskriminalität ist eine Bagatelle. Wird gar nicht ernst genommen. Ob es um 1000 € geht oder um 100 Millionen. Egal. Da kommst du nicht mehr als drei Jahre in den Knast.

  • Und alle wollen KI
    Einfach lachhaft digitales Deutschland

  • Wenn die Foto App schon selbstständig auf die Idee kommt QR Codes live zu erkennen ist das schon ein schwerwiegender Fehler.
    Sollte abschaltbar sein.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPhone, iPad, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 38573 Artikel in den vergangenen 6278 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2024 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven