Falsche Bankbriefe und überklebte QR-Codes
Neue Betrugsmasche „Quishing“: Gefälschte QR-Codes im Umlauf
Die Verbraucherzentrale Nordrhein-Westfalen warnt aktuell vor einer neuen Betrugsmasche, die sich vergleichsweises schnell in Deutschland ausbreitet: „Quishing“. Kriminelle nutzen dabei QR-Codes, um Menschen auf gefälschte Webseiten zu locken und über diese dann sensible Daten zu stehlen oder Geld zu ergaunern. Diese Masche verbindet digitale Angriffe mit traditionellen Kommunikationswegen und stellt eine wachsende Bedrohung dar.
Auch die DKB warnt bereits vor falschen QR-Codes
Falsche Bankbriefe und überklebte QR-Codes
Zur Illustration der Bedrohungslage verweist die Verbraucherzentrale Nordrhein-Westfalen auf einen aktuellen Fall aus Bayern. Im laufenden Monat wurde hier eine Münchnerin Opfer eines Quishing-Betrugsversuchs. Sie erhielt einen angeblichen Brief von der Commerzbank, der sie aufforderte, ihr „photoTAN-Verfahren“ zu aktualisieren. Im Brief war ein QR-Code enthalten, der jedoch nicht zur echten Bankseite, sondern zu einer von den Tätern betriebenen Webseite führte. Dort eingegebene Daten würden direkt in die Hände der Kriminellen gelangen. Das Landeskriminalamt Nordrhein-Westfalen warnt, dass auf diese Weise auch unberechtigte Geldtransfers möglich sind.
Eine weitere Variante des „Quishing“ betrifft E-Ladesäulen für Elektroautos. Hier überkleben Kriminelle die QR-Codes, die zur Bezahlung genutzt werden, mit eigenen, manipulierten Codes. Nutzer, die diese scannen, werden auf falsche Bezahlseiten weitergeleitet. Der ADAC rät dazu, die QR-Codes an Ladesäulen genau zu prüfen und, wenn möglich, alternative Zahlungsmethoden wie eine App oder das Display der Ladesäule zu nutzen.
Gefälschter Commerzbank-Brief mit überdecktem QR-Codes
Auch gefälschte Strafzettel im Umlauf
Auch im Straßenverkehr sind die Betrüger aktiv. In einigen Städten wurden gefälschte Strafzettel an Autos angebracht, die einen QR-Code zur direkten Bezahlung der vermeintlichen Geldstrafe enthalten. Diese Codes führen ebenfalls auf betrügerische Webseiten. Betroffene sollten im Zweifel den Strafzettel bei der Polizei überprüfen lassen.
Um sich vor „Quishing“ zu schützen, sollten QR-Codes nur dann gescannt werden, wenn ihre Echtheit zweifelsfrei feststeht. Es empfiehlt sich die Nutzung von QR-Code-Scannern, die die enthaltenen Informationen anzeigen, bevor sie eine Aktion ausführen. Verdächtige Briefe sollten durch Kontaktaufnahme mit dem angeblichen Absender überprüft werden, jedoch nicht über die im Schreiben angegebene Telefonnummer. Falls bereits ein Schaden entstanden ist, sollten Betroffene sofort die Polizei und ihre Bank informieren oder den Sperr-Notruf 116116 wählen.
Also eines muss man den Tätern lassen: Kreativität
Hab mich schon vor über 10 Jahren gefragt warum keiner QR Codes oder NFC Tags dafür nutzt.
Das habe ich auch gerade gedacht
Früher lagen gefälschte Überweisungsformulare in den Banken aus.
Jetzt QRCodes….
In den Kommentaren zur Codescanner App (https://www.iphone-ticker.de/versteckte-codescanner-app-oeffnet-links-und-extrahiert-text-238526/) wurde die App Qrafter genannt. Macht einen tollen Eindruck (man kann die genutzten Werbenutzungszwecke sehr gut zusammenstutzen) und damit werden ein oder mehrere QR-Codes erst als Klartext angezeigt und dann kann man entscheiden, ob man sie mit Safari öffnen will. Und das kann man mit iOS 18 ja dann auch ins Kontrollzentrum bringen.
https://apps.apple.com/de/app/qrafter-qr-code-scanner/id416098700
Barcode + QR Code Scanner https://apps.apple.com/de/app/barcode-qr-code-scanner/id522354642 von Cocologics (ProCamera Macher) https://www.iphone-ticker.de/barcode-schlanke-gratis-app-zum-code-scannen-64602/
QR Pop https://apps.apple.com/de/app/qr-pop/id1587360435 von Shawn Davis. https://www.iphone-ticker.de/geheimtipp-qr-pop-qr-code-generator-fuer-iphone-mac-und-watch-229289/
Für Android den QR Scanner (PFA) https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner von der
SECUSO Research Group vom Karlsruher Institut für Technologie.
Wo findet man solche QR-Scanner, die den Inhalt erst anzeigen?
Zwigt die Apple Kamera das auch im Klartext, oder nicht?
Klares Jain. Die iPhone-Kamera-App zeigt das Ziel unter dem QR-Code meist abgeschnitten an. Also „http://stadtverwaltung-…“
Das ist ziemlich perfide. Auch viele echte QR-Codes weisen auf Webseiten, die mit dem eigentlichen Briefschreiber nicht viel gemeinsam haben, z.b. wenn der Absender einen Dienstleister bemüht. Eine unerwartete URL im QR-Code kann man nicht auf Anhieb als Phishing-Versuch erkennen.
Barcode + QR Code Scanner https://apps.apple.com/de/app/barcode-qr-code-scanner/id522354642 von Cocologics (ProCamera Macher) https://www.iphone-ticker.de/barcode-schlanke-gratis-app-zum-code-scannen-64602/
oder QR Pop https://apps.apple.com/de/app/qr-pop/id1587360435 von Shawn Davis. https://www.iphone-ticker.de/geheimtipp-qr-pop-qr-code-generator-fuer-iphone-mac-und-watch-229289/
Für Android den QR Scanner (PFA) https://play.google.com/store/apps/details?id=com.secuso.privacyFriendlyCodeScanner von der SECUSO Research Group vom Karlsruher Institut für Technologie. https://secuso.aifb.kit.edu/QR_Scanner.php
Was ich noch nicht ganz verstehe: auf die beschriebene Art bekommen sie Logindaten/account-pw, aber wie kommen sie an OTP/TAN für die eigentliche Transaktion?
Vielleicht richtet der gequishte(?) den Tätern ein neues TAN-Verfahren ein. Oder die erstellen direkt am besten automatisiert die Transaktion und bitten dann unter irgendeinem Vorwand noch um die Eingabe einer TAN. Ist einiges denkbar eigentlich. Nur eine weitere Hürde.
Die wird direkt angefragt; eingegeben und Zack ist die Überweisung raus…
Wenn sie damit ihr eigenes Gerät für TAN aktiviert bekommen. Man braucht ja den genannten Altivierungslink aus dem ursprünglichen Brief. Denke sie aktivieren sich einfach selbst eine TAN-App und können dann so viel freigeben, wie sie brauchen
Naja, es kommt wohl auch drauf an, welches Verfahren für den zweiten Faktor genutzt wird.
Bei Verfahren über eine extra App, bei der der Nutzer keine Freigabe-TAN mehr sieht (und so auch nicht weitergeben kann), dürfte man vermutlich recht sicher sein (zumindest solange das Smartphone mit der App nicht geklaut wird).
Aber wenn die Bank noch TANs nutzt (z.b. über TAN-Generatoren aus Software oder Hardware) und der Nutzer diese TANs dann auf der Webseite eingeben muss, ist der Betrug durchaus möglich.
Wenn das Opfer sich auf der echten Bankseite wähnt, sich dort einloggt, verrät es Login Name und Passwort an die Kriminellen. Die können dann sofort (also live) selbst einen Login auf der echten Bankseite mit den gerade erbeuteten Logindaten durchführen und werden nun ggfs. nach einer TAN gefragt. Über die Fake-Seite werden sie diese Abfrage dann an das Opfer live weitergeben. Das wird die TAN generieren und an die Kriminellen weiterreichen (wie gesagt, man wähnt sich ja auf der echten Bankseite, und die Fake-Seite verhält sich ja im Grunde wie die echte, ggfs. nur klein wenig langsamer, weil die Kriminellen ja noch live zwischen Opfer und echter Bank sitzen und die abgegriffenen Daten weiterleiten müssen). Und nachdem das Opfer nun bei der echten Bank eingeloggt ist (indirekt über die Kriminellen), kann es von der Fake-Seite zu den neuen „Sicherheitsmaßnahmen“ geführt werden, die natürlich wieder durch TANs „abgesichert“ werden. Und dadurch bekommen die Kriminellen dann die Möglichkeit Abbuchungen vorzunehmen. Das Opfer liefert auf Wunsch ja die passenden TANs.
Das Verfahren funktioniert aber nur, wenn die Täter live dabei sind, um die abgephishten Daten auch sofort nutzen zu können, denn TANs verfallen sonst ja schnell und werden unbrauchbar. Aber vermutlich lässt sich vieles auch automatisieren, so dass Algorithmen da ohne große Verzögerungen live zwischen Opfer und echter Bank vermitteln.
Dem Opfer könnten aber zumindest Abbuchungen auffallen, denn ein TAN-Generator sollte anzeigen, für was die TAN genutzt wird. Beim Login fällt das noch nicht auf, aber spätestens wenn die Fakeseite eine TAN für die Freigabe für das neue angebliche Sicherheitsverfahren anfordert, der TAN-Generator aber eine Abbuchung von 2000€ anzeigt, sollte man stutzig werden.
Dass die URL aus dem QR-Code nicht der der Original-Bank entspricht, sollte auch stutzig machen, aber leider ist es nicht immer so, dass Banken (oder Diensteanbieter generell) immer nur eine eindeutige Domain nutzen. Viele nutzen mehrere Domains, nicht alle sind offensichtlich zuordenbar, insofern sind hier geschickte Fälschungen möglich, die nicht wirklich auffallen müssen. Hier sollte man diese Betreiber der Originalteile in die Pflicht nehmen, dass diese auch tatsächlich immer eindeutige Domains nutzen.
Vor der Masche wurde auch hier schon vor einigen Wochen gewarnt:
https://www.polizei-praevention.de/aktuelles/gefaelschte-briefpost-im-namen-von-diversen-banken-mit-qr-code.html
Krass und irgendwie auch erschreckend…
Wenn ich solche Mails/Briefe erhalte, rufe ich meine Bank erstmal direkt an!
Nervig, aufwändig, aber wenigstens sicher
Ich finde das war schon immer ein Problem. Wie viele Leute ich nicht sehe, die gnadenlos jeden QR-Code der an einer Laterne hängt abscannen und aufrufen ….
Ich kann immer nur sowas wie Q-Rafter empfehlen, der checkt jede URL gegen Google Security und löst auch erstmal Shortlinks auf (was auch noch ein Problem bei den QR ist, da oft ein link.to oder ähnlich genutzt wird).
Ich nutze für jeden Code seit Jahren Q-Rafter Pro
Hat aber auch die typischen Faktoren für einen Fake.
– unpersönliche Anrede
– Angst aufbauen
– Druck ausüben mit einer schnellen und direkten Handlungsaufforderung zu reagieren.
„Es empfiehlt sich die Nutzung von QR-Code-Scannern, die die enthaltenen Informationen anzeigen, bevor sie eine Aktion ausführen“ -> Empfehlungen?
Apple Camera-App macht doch genau das.
Quishing ist noch viel weiter verbreitet. Es wird nicht nur bei Zahlungssystemem genutzt, sondern auch um Trojaner zu verbreiten indem zum Test von Software z.B. Spielen eingeladen wird.
Die app barcode scanners liest alles an Codes:
https://apps.apple.com/de/app/barcode-scanners/id504201315
Und zeigt diese vorher an, bevor diese ausgeführt werden. Darum nutze ich eigentlich nie die iPhone qr app die alles sofort ausführt.
es ist einfach zum kotzen, dass es offensichtlich so viele kriminelle Menschen gibt, die ihren Mitmenschen ihr sauer verdientes Geld klauen wollen. die Strafen können gar nicht hart genug sein für dieses asoziale Pack!
Das Schreiben ließt sich schon sehr abgedroschen. Wiederholt sich oft und klingt allgemein nach zu viel.
Wirtschaftskriminalität ist eine Bagatelle. Wird gar nicht ernst genommen. Ob es um 1000 € geht oder um 100 Millionen. Egal. Da kommst du nicht mehr als drei Jahre in den Knast.
Ist doch ein alter Hut, wird schon lange gemacht
Und alle wollen KI
Einfach lachhaft digitales Deutschland
Wenn die Foto App schon selbstständig auf die Idee kommt QR Codes live zu erkennen ist das schon ein schwerwiegender Fehler.
Sollte abschaltbar sein.