Betrug per QR-Code – Quishing

Internetbetrug

In der digitalen Welt von heute sind QR-Codes allgegenwärtig. Sie ermöglichen es uns, schnell und einfach auf Informationen zuzugreifen, kontaktlos zu bezahlen oder Webseiten zu besuchen, indem wir nur unsere Smartphone-Kamera nutzen. Diese Praktikabilität und Benutzerfreundlichkeit werden jedoch zunehmend von Cyberkriminellen ausgenutzt. Ein besonders hinterhältiger Betrug, der sich dieser Technologie bedient, ist als „Quishing“ bekannt – eine Mischung aus QR-Code und Phishing.

Als spezialisierter Fachanwalt für IT-Recht, der täglich Betroffene solcher Angriffe berät, möchte ich in diesem Artikel umfassend über Quishing aufklären, typische Angriffsstrategien beleuchten und betroffenen Verbrauchern rechtliche und praktische Handlungsmöglichkeiten aufzeigen. Mein Ziel ist es, die Leser für die Risiken zu sensibilisieren und ihnen Werkzeuge an die Hand zu geben, um sich effektiv vor solchen Betrügereien zu schützen.

Update 29.08.2024 – Vorsicht vor gefälschten QR-Codes auf Bankbriefen und Strafzetteln

Bankbriefe und Strafzettel enthalten oft QR-Codes, die Abläufe erleichtern sollen. Doch Vorsicht ist geboten, denn es kursieren gefälschte QR-Codes.

Zunehmende Bedrohung durch „Quishing“

Kriminelle nutzen vermehrt sogenannte Quishing-Angriffe, bei denen gefälschte QR-Codes eingesetzt werden. Im Gegensatz zu herkömmlichen Phishing-Angriffen werden diese nicht nur digital, sondern auch über die Post, an Ladesäulen für E-Autos und auf falschen Strafzetteln verbreitet.

Die Verbraucherzentrale hat kürzlich vor aktuellen Quishing-Versuchen im Namen der Commerzbank gewarnt. Ein Beispiel: Eine Frau, die keine Kundin der Commerzbank ist, erhielt einen Brief mit einem QR-Code, der angeblich zur Aktualisierung des PhotoTAN-Verfahrens dient. Dieser QR-Code führt jedoch auf eine Phishing-Seite.

Warnungen von Landeskriminalämtern

Bereits Anfang August warnte das LKA Niedersachsen vor ähnlichen Angriffen im Namen großer deutscher Banken. Auch das LKA Nordrhein-Westfalen (NRW) gab bekannt, dass Betrüger in mehreren Bundesländern versuchen, über gefälschte QR-Codes an persönliche Daten und Passwörter zu gelangen. Laut LKA NRW ist oft nicht sofort ersichtlich, dass der Link zu einer gefälschten Website führt, wo Opfer ihre Zugangsdaten preisgeben oder Geldtransfers initiieren.

Die Verbraucherzentrale warnt ebenfalls vor falschen Strafzetteln für Falschparker. In einigen Städten hinterlässt das Ordnungsamt QR-Codes zur direkten Zahlung bei Parkverstößen. Berichte aus Berlin zeigen, dass Kriminelle dies ausnutzen, um vermeintliche Parksünder auf Phishing-Seiten zu locken.

Schutzmaßnahmen gegen Quishing

Um sich vor Quishing-Angriffen zu schützen, sollten Nutzer QR-Codes nur dann scannen, wenn sie die Seriosität der Quelle sicher einschätzen können. Oftmals kann man einen Phishing-Versuch bereits an der URL der Zielseite erkennen. Viele QR-Code-Scanner bieten die Möglichkeit, die URL vor dem Öffnen anzuzeigen.

Bei Verdacht auf einen Betrugsversuch sollte immer über offizielle Kanäle Kontakt zum Absender aufgenommen werden, um die Echtheit des QR-Codes zu bestätigen. Wenn bereits sensible Daten preisgegeben wurden, ist es wichtig, sofort die Polizei zu informieren. Je nach Art der Daten kann es ratsam sein, die eigene Bank zu kontaktieren und das Bankkonto sperren zu lassen.

Was ist Quishing?

Der Begriff „Quishing“ setzt sich aus den Wörtern „QR-Code“ und „Phishing“ zusammen. Phishing beschreibt dabei die Methode, mit gefälschten Nachrichten oder Webseiten an persönliche Informationen wie Passwörter oder Kreditkartendaten zu gelangen. Quishing überträgt dieses Prinzip auf QR-Codes. Kriminelle verwenden dabei manipulierte QR-Codes, um ahnungslose Nutzer auf betrügerische Webseiten zu locken oder Malware auf deren Smartphones zu installieren.

Mechanismen und Funktionsweise: QR-Codes sind quadratische Muster, die mit einem Smartphone gescannt werden können, um schnell eine URL, einen Text oder eine Aktion (wie das Öffnen einer App) auszuführen. Da die Informationen in einem QR-Code für das menschliche Auge nicht sichtbar sind, ist es für Nutzer unmöglich, auf den ersten Blick zu erkennen, ob der Code sicher ist. Dies macht es für Cyberkriminelle leicht, gefälschte QR-Codes zu erstellen, die auf bösartige Webseiten führen oder schädliche Inhalte enthalten. Solche Codes können an öffentlichen Orten angebracht, in E-Mails versendet oder in soziale Medien eingebettet werden, um ihre potenziellen Opfer zu erreichen.

Wie läuft ein Quishing-Angriff ab?

Typische Szenarien: Ein Quishing-Angriff kann in verschiedenen Formen auftreten. Ein bekanntes Beispiel ist das Platzieren von gefälschten QR-Codes auf Werbeplakaten oder in Einkaufszentren. Diese Codes versprechen dem Nutzer zum Beispiel Zugang zu einem Rabattgutschein oder zu weiteren Informationen zu einem Event. Sobald der Code gescannt wird, gelangt der Nutzer jedoch auf eine Webseite, die Schadsoftware auf sein Gerät herunterlädt oder ihn dazu verleitet, persönliche Informationen preiszugeben.

Ein weiteres häufiges Szenario ist das Versenden von E-Mails, die angeblich von vertrauenswürdigen Quellen stammen, wie Banken oder bekannten Online-Diensten. Diese E-Mails enthalten QR-Codes, die den Empfänger auffordern, seine Kontodaten zu bestätigen oder an einem Gewinnspiel teilzunehmen. Ein Scan des Codes führt dann zu einer gefälschten Webseite, die darauf abzielt, persönliche Daten abzufangen.

Beispiele aus der Praxis: In der Vergangenheit gab es bereits Fälle, in denen Cyberkriminelle QR-Codes in sozialen Medien verbreiteten, die zu Phishing-Webseiten führten. Auch an Parkautomaten wurden gefälschte QR-Codes angebracht, die Nutzer auf Webseiten umleiteten, auf denen sie Zahlungsdaten eingeben mussten. In einem weiteren Fall wurden gefälschte QR-Codes auf die Rechnungen eines Restaurants geklebt, um Zahlungen auf das Konto der Betrüger umzuleiten.

Warum sind QR-Codes so anfällig für Missbrauch?

Technische Hintergründe: Die Struktur von QR-Codes macht es schwierig, auf den ersten Blick zwischen legitimen und betrügerischen Codes zu unterscheiden. Da die URL, die der QR-Code enthält, erst nach dem Scan sichtbar wird, kann der Nutzer nicht vorab überprüfen, ob die Webseite vertrauenswürdig ist. Ein weiterer Faktor ist, dass QR-Codes sehr einfach erstellt werden können, was es Cyberkriminellen ermöglicht, in kürzester Zeit massenhaft gefälschte Codes zu generieren und zu verbreiten.

Psychologische Faktoren: QR-Codes suggerieren eine gewisse Bequemlichkeit und Schnelligkeit. Viele Nutzer scannen diese Codes, ohne viel nachzudenken, weil sie es gewohnt sind, QR-Codes als harmlose Werkzeuge des Alltags zu sehen. Diese Nachlässigkeit spielt den Betrügern in die Hände. Außerdem erwecken QR-Codes oft den Anschein von Modernität und Vertrauenswürdigkeit, insbesondere wenn sie im Kontext von bekannten Marken oder Unternehmen verwendet werden.

Rechtliche Konsequenzen und Handlungsmöglichkeiten für Betroffene

Für Betroffene eines Quishing-Angriffs ist es wichtig, schnell zu reagieren. Hier sind die Schritte, die man unternehmen sollte, sowie die rechtlichen Möglichkeiten, die zur Verfügung stehen:

Erste Schritte nach einem Angriff: Wenn ein Nutzer feststellt, dass er Opfer eines Quishing-Angriffs geworden ist, sollte er sofort seine Bank oder seinen Zahlungsdienstleister kontaktieren, um unautorisierte Transaktionen zu verhindern. Ebenso ist es ratsam, das betroffene Gerät auf Malware zu überprüfen und gegebenenfalls eine Sicherheitssoftware zu nutzen, um Bedrohungen zu entfernen. Der Angriff sollte bei der Polizei angezeigt werden, da eine Anzeige den Ermittlungsbehörden hilft, Muster zu erkennen und möglicherweise weitere Opfer zu schützen.

Rechtliche Unterstützung: In Deutschland haben Opfer von Cyberkriminalität das Recht, rechtliche Schritte einzuleiten. Ein spezialisierter Fachanwalt für IT-Recht kann Betroffene beraten, welche Ansprüche sie geltend machen können und gegen wen. In einigen Fällen können Schadenersatzansprüche gegen die Täter bestehen. Wenn der Täter nicht identifiziert werden kann, was bei Cyberkriminalität oft der Fall ist, besteht die Möglichkeit, gegen Unternehmen oder Dienstleister vorzugehen, die nicht ausreichend Schutzmaßnahmen implementiert haben.

Fallstudien und Praxisbeispiele: In meiner täglichen Praxis als Fachanwalt für IT-Recht habe ich mehrere Fälle begleitet, in denen Verbraucher Opfer von Quishing geworden sind. In einem Fall wurde ein Verbraucher durch einen QR-Code auf eine Webseite geleitet, die eine täuschend echt aussehende Bankseite imitierte. Dort gab er seine Kontodaten ein, die dann von den Betrügern verwendet wurden, um Geld von seinem Konto zu stehlen. In einem anderen Fall scannten Mitarbeiter eines Unternehmens einen QR-Code, der auf einem Poster in ihrer Stadt angebracht war und ihre Smartphones mit Malware infizierte, die Unternehmensdaten stahl. In beiden Fällen konnten wir durch schnelle rechtliche Schritte den Schaden begrenzen und die Betroffenen unterstützen.

Schutzmaßnahmen gegen Quishing

Aufklärung und Sensibilisierung: Die beste Verteidigung gegen Quishing ist Aufklärung. Verbraucher sollten sich der Risiken bewusst sein und lernen, wie sie sich schützen können. Das beginnt mit einem grundlegenden Misstrauen gegenüber QR-Codes aus unbekannten Quellen. Wenn ein QR-Code auf einem Poster oder einer Webseite erscheint, sollte der Nutzer sich fragen, ob dieser wirklich notwendig ist und ob die Quelle vertrauenswürdig ist.

Technologische Lösungen: Es gibt mittlerweile zahlreiche Apps und Programme, die den sicheren Umgang mit QR-Codes unterstützen. Diese Apps zeigen beispielsweise die URL an, bevor der Nutzer sie öffnet, und warnen vor potenziell gefährlichen Webseiten. Unternehmen können ihre QR-Codes mit digitalen Signaturen versehen, die ihre Authentizität bestätigen, und so das Risiko von Fälschungen minimieren.

Praktische Tipps:

  1. Nutze Sicherheitssoftware: Installiere eine gute Sicherheitssoftware auf deinem Smartphone, die vor schädlichen Webseiten und Downloads warnt.
  2. Sei vorsichtig bei E-Mails: Wenn eine E-Mail einen QR-Code enthält und dich auffordert, diesen zu scannen, sei besonders vorsichtig. Überprüfe den Absender und den Kontext der Nachricht genau.
  3. Verwende Scanner-Apps mit Sicherheitsfunktionen: Es gibt Apps, die nicht nur QR-Codes scannen, sondern auch die Sicherheit der damit verbundenen Inhalte überprüfen. Diese können eine zusätzliche Schutzschicht bieten.

Technologische Lösungen und Prävention

Entwicklungen in der Cybersicherheit: Die Cybersicherheitsbranche arbeitet kontinuierlich daran, neue Methoden zum Schutz vor Quishing zu entwickeln. Eine vielversprechende Technologie ist die Verwendung von QR-Codes, die nur in Kombination mit bestimmten Sicherheitsprotokollen funktionieren. Diese Codes könnten so programmiert werden, dass sie nur von autorisierten Geräten oder innerhalb bestimmter Netzwerke gescannt werden können, was ihre missbräuchliche Nutzung erheblich erschwert.

Standardisierung und Richtlinien: Ein weiterer wichtiger Schritt wäre die Einführung von internationalen Standards für die Erstellung und Nutzung von QR-Codes. Durch eine Zertifizierung könnten QR-Codes gekennzeichnet werden, die von vertrauenswürdigen Quellen stammen. Diese Standards könnten auch festlegen, wie Unternehmen und öffentliche Einrichtungen ihre QR-Codes schützen und kennzeichnen sollten, um Missbrauch zu verhindern.

Zukunftsperspektiven: Mit der zunehmenden Verbreitung von QR-Codes in allen Lebensbereichen ist es unerlässlich, dass sowohl Verbraucher als auch Unternehmen ein Bewusstsein für die damit verbundenen Risiken entwickeln. Die Zukunft könnte auch die Implementierung von Technologien wie Blockchain umfassen, um die Authentizität von QR-Codes sicherzustellen. Solche technologischen Fortschritte könnten dazu beitragen, das Vertrauen in QR-Codes wiederherzustellen und gleichzeitig die Sicherheit zu erhöhen.

Schlussfolgerung

Quishing ist eine ernstzunehmende Bedrohung, die das Vertrauen in eine weit verbreitete Technologie erschüttert. Während QR-Codes viele Vorteile bieten, sind sie auch ein Einfallstor für Cyberkriminalität. Es ist daher entscheidend, dass Verbraucher sich der Risiken bewusst sind und proaktiv Maßnahmen ergreifen, um sich zu schützen. Unternehmen und Entwickler von Sicherheitstechnologien müssen weiterhin innovative Lösungen entwickeln, um diese Bedrohung zu bekämpfen.

Als Fachanwalt für IT-Recht rate ich Betroffenen, bei einem Verdacht auf Quishing sofort rechtliche Beratung in Anspruch zu nehmen, um ihre Rechte zu schützen und möglichen Schaden zu begrenzen. Die Digitalisierung bringt viele Chancen, aber auch Herausforderungen – und es liegt in unserer Verantwortung, gemeinsam daran zu arbeiten, die digitale Welt sicherer zu machen.

Schreiben Sie einen Kommentar

sechzehn + 1 =

Consent Management Platform von Real Cookie Banner