Noch dreister und ausgeklügelter: Betrüger fischen nun auch per klassischem Postbrief, Strafzetteln oder an E-Ladesäulen nach Kontodaten. QR-Codes machen es möglich.
Mit immer perfideren Tricks versuchen Kriminelle, Kontodaten von Bankkunden zu erbeuten. Neuerdings laufen Phishing-Betrugsmaschen nicht mehr nur über digitale Kanäle wie E-Mails ab, warnen Verbraucherschützer. Zuletzt sorgten gefälschte Bankschreiben für Aufsehen, die Kundinnen und Kunden im Briefkasten hatten. Fallen außerhalb des Internets lauern auch bei Strafzetteln und Ladesäulen für Elektroautos.
Der Brief der Commerzbank sieht täuschend echt aus. Unter der Betreffzeile „Aktualisierung Ihres photo-TAN-Verfahrens zur Sicherheit Ihrer Bankgeschäfte“ werden Kontoinhaber aufgefordert, einen beigefügten QR-Code zu scannen, um weiterhin Zugriff für Überweisungen und andere Bankgeschäfte zu behalten. QR-Codes können mit der Smartphone-Kamera ausgelesen werden, sie führen zu Webseiten. In diesem Fall allerdings zu einer, die von Kriminellen betrieben wird.
Neue Abzocke namens Quishing
Wer den QR-Code scannt und seine Daten dort eintippt – etwa für den Zugang zum Online-Banking – gibt sie in die Hände der Betrüger. In manchen Fällen werden so direkt Geldtransfers veranlasst, warnte das Landeskriminalamt (LKA) Nordrhein-Westfalen jüngst. Die neue Abzocke mit QR-Codes nennt sich Quishing. Der Begriff setzt sich zusammen aus QR-Code und Phishing. Letzteres umschreibt eine bereits seit Längerem weit verbreitete Masche, bei der Kriminelle versuchen, etwa mit betrügerischen E-Mails, SMS oder Chatnachrichten sensible Daten von Bankkunden abzufischen.
Bemerkenswert am Fake-Brief der Commerzbank ist die professionelle Machart. Anders als viele Phishing-E-Mails enthält er keine Rechtschreibfehler oder sonstige sofort erkennbar verdächtige Formulierungen. Hinzu kommt der bei solchen Betrugsversuchen bislang ungewöhnliche analoge Zustellungsweg, bei dem Kriminelle die Empfänger über deren persönliche Adressen anschreiben und dabei sogar Portokosten in Kauf nehmen. Ein wesentlich aufwendigeres und gezielteres Verfahren als Phishing, wo meist plump über große Verteiler nach Passwörtern gefischt wird.
Erst bei genauerer Betrachtung sieht man bei dem gefälschten Commerzbank-Brief Ungereimtheiten. Unterschrieben haben angeblich Arno Walter und Aydin Sahin, zwei Ex-Manager, die das Geldhaus bereits verlassen haben. Die Verbraucherzentrale hält zudem für auffällig, dass das Schreiben mit „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“ beginne und nicht mit dem richtigen Namen der angeschriebenen Person. Auch am Ende sei eher umständlich und ungewöhnlich formuliert: „Vielen Dank für Ihr Verständnis und Ihre sofortige Kooperation in dieser Angelegenheit.“
Welche Dimension die neue Betrugsmasche hat, und welcher finanzielle Schaden dadurch schon entstand, ist bislang unklar. „Aktuell sind in einigen Bundesländern gefälschte Briefe im Umlauf, die den Anschein erwecken, von namhaften Kreditinstituten zu stammen“, warnte das Landeskriminalamt Nordrhein-Westfalen vergangene Woche. Die Commerzbank rät Kundinnen und Kunden: „Folgen Sie den Anweisungen dieser Briefe auf keinen Fall und vernichten Sie diese umgehend.“ Das Geldhaus verschicke keine Aufforderungen zur Aktualisierung von Kontodaten per QR-Code.
Betrug auch an Ladesäulen für E-Autos
Laut Verbraucherzentrale beschränkt sich der neue Abzocktrick nicht auf gefälschte Briefe. Betrügerische QR-Codes seien auch schon an Ladestellen für E-Autos sowie auf gefälschten Strafzetteln aufgetaucht. Das ist besonders heimtückisch, da die Codes hier zur schnellen bargeldlosen Bezahlung verbreitet sind. An E-Ladesäulen sind sie mitunter per Aufkleber angebracht, die Kriminelle mit eigenen QR-Codes überkleben können, die Nutzer auf betrügerische Internetseiten leiten. Der ADAC ruft die Betreiber deshalb auf, nur noch dynamische Codes über Displays als Bezahloption anzuzeigen.
Die neuen Methoden zeigen, dass Betrüger immer ausgeklügelter vorgehen, um an Passwörter zu gelangen. Sie sind in der Gesamtbetrachtung aber nur der Gipfel des Eisbergs. Phishing über E-Mail, SMS oder Chatdienste wie Whatsapp floriert derweil ebenso weiter wie klassischer Telefonbetrug – etwa der Enkeltrick, bei dem sich Kriminelle als Verwandte meist älterer Menschen ausgeben, um an deren Geld zu kommen. Insgesamt nimmt der Betrug mit Zahlungskarten und Bankkonten laut Daten des Bundeskriminalamts (BKA) seit Jahren deutlich zu.
Das BKA veröffentlicht zwar keine konkreten Zahlen, die sich speziell auf Phishing beziehen. Die offizielle Kriminalstatistik weist in der Rubrik „Computerbetrug mittels rechtswidrig erlangter Daten von Zahlungskarten“ für 2023 jedoch einen Anstieg um gut 60 Prozent zum Vorjahr auf 21 617 Fälle aus. Gegenüber 2019 haben sich solche Straftaten demnach mehr als verdoppelt. Dabei ist die Dunkelziffer bei Internetkriminalität traditionell hoch. In der weiter gefassten Kategorie „Betrug und Computerbetrug mittels rechtswidrig erlangter unbarer Zahlungsmittel“ nahmen die Fälle 2023 um 14 Prozent auf mehr als 90 000 zu.