Mitten in der Stadt: Handy-Nutzer in akuter Gefahr

Quishing: Eine Betrugsmasche, die jeden treffen kann

In den vergangenen Monaten häufen sich polizeiliche Berichte rund um eine zwar nicht neue, aber besonders tückische Betrugsmasche. Wer dieser zum Opfer fällt, könnte einerseits sein Erspartes und seine Nutzerdaten unfreiwillig mit Dritten teilen. Und muss andererseits mit Identitätsdiebstahl rechnen. Letzteres kann im schlimmsten Fall sogar strafrechtliche Folgen haben – für das Opfer. Dabei wirkt die als Quishing betitelte Betrugsmasche auf den ersten Blick ziemlich harmlos.

Das Wort Quishing setzt sich aus den beiden Begriffen „QR“ und „Phishing“ zusammen. Eine Kombination, die es den Tätern ermöglicht, auch offline zu agieren. Alles, was sie dafür tun müssen, ist, einen Phishing-Link in die Form eines QR-Codes zu bringen, auszudrucken und die digitale Landmine irgendwo in einem Ballungsraum zu platzieren – beispielsweise in Form eines Flyers, eines Plakats oder eines Aufklebers. Zu weiteren beliebten Herangehensweisen gehören an Autos angebrachte Strafzettel oder per Post zugestellte physische Briefe. Das Ergebnis ist in all diesen Fällen jedoch stets dasselbe.

Was passiert, wenn man den QR-Code scannt?

Wer auf die Quishing-Masche hereinfällt und den QR-Code mit seinem Smartphone scannt, landet auf einer gefälschten Website – etwa auf der Seite einer staatlichen Behörde oder einer Bank. Ab hier sind mehrere unterschiedliche Szenarien möglich. So könnten die Cyberkriminellen etwa darauf aus sein, unter Vorspiegelung falscher Tatsachen an die Nutzerdaten ihrer Opfer zu gelangen. Dazu gehören sowohl persönliche Daten als auch Banking-Informationen und Zugänge. Erstere lassen sich anschließend für personalisierte Phishing-Maschen sowie Identitätsdiebstahl nutzen. Insbesondere der Identitätsdiebstahl kann dabei gefährlich werden. So sind Fälle bekannt, in denen sich Kriminelle fremde Identitäten aneigneten und mit ihrer Hilfe Straftaten begangen. Wurden daraufhin Anzeigen erstattet, stand die Polizei nicht etwa bei den Tätern, sondern bei dem nichtsahnenden Identitätsspender vor der Haustür.

Bleiben noch die Banking-Informationen. Je nach Art der Betrugsmasche können Cyberkriminelle mit ihrer Hilfe die Sicherheitsvorkehrungen des dazugehörigen Kreditinstituts umgehen und Geld vom Konto des Opfers abbuchen. Mit Blick auf die zuvor erwähnten Strafzettel könnte das Opfer alternativ auch selbst dazu verleitet werden, den Tätern Geld zu überweisen, um das vermeidliche Bußgeld zu begleichen. Hier sind der Kreativität kaum Grenzen gesetzt. Doch es gibt noch eine weitere Möglichkeit.

Zu guter Letzt kann es auch vorkommen, dass das Scannen eines QR-Codes im Rahmen einer Quishing-Masche den Download von Malware einleitet. Diese kann je nach Art etwa Nachrichten, Zugangsdaten, Bilder, Videos, Adressen, Kontaktdaten und Banking-Informationen an Dritte übermitteln. Auch die gänzliche Übernahme des Smartphones per Fernzugriff ist denkbar. Daher empfiehlt es sich, App-Installationen aus unbekannten Quellen auf Android-Smartphones nur in Ausnahmefällen zuzulassen, wenn man sich wirklich ganz sicher sein kann, dass die App valide ist.

Kann man sich vor Quishing schützen?

Das Wichtigste zuerst: Einen unbekannten QR-Code sollte man generell niemals scannen, wenn es nicht notwendig ist. Eine weitere Schutzmöglichkeit bieten QR-Code-Scanner, welche die fragliche URL nicht unmittelbar aufrufen, sondern zunächst einmal auf dem Display einblenden. Auf diese Weise merkt man noch vor dem eigentlichen „Klick“, dass eine Verlinkung etwa nicht auf die Seite der ING DiBa führt. Der Link-Checker von NordVPN kann dabei unterstützend zum Einsatz kommen.

Ferner gilt es, auch auf die Aufmachung, den Inhalt und die Rechtschreibung rund um den QR-Code zu achten – also den Flyer, Plakat oder Brief. Finden sich auf einem Strafzettel beispielsweise viele Fehler, ist die Wahrscheinlichkeit eher gering, dass das Schreiben tatsächlich vom Ordnungsamt verfasst wurde. Und eine ähnliche Herangehensweise empfiehlt sich auch mit Blick auf die Website, sollte diese bereits aufgerufen worden sein. Gibt es hier ein Impressum? Sind die Logos korrekt? Sind Zertifikate anklickbar?

Bereits hereingefallen? Betroffene müssen schnell sein

Sollten Cyberkriminelle Eure Daten mittels Quishing entwendet haben, empfiehlt es sich, sämtliche betroffenen Passwörter auszutauschen und anschließend verstärkt nach personalisierten Phishing-Angriffen per Mail, SMS, Telefon und Brief Ausschau zu halten. Zudem kann die Einrichtung einer sogenannten Zwei-Faktor-Authentifizierung (in den Einstellungen der jeweiligen Dienste) dabei helfen, den Kriminellen einen weiteren Riegel vorzuschieben. Und bei einem Verdacht auf einen Virus sollte das Smartphone auf die Werkseinstellungen zurückgesetzt werden.

Wurde hingegen unrechtmäßig Geld vom Bankkonto abgebucht, sollte das eigene Kreditinstitut schnellstmöglich kontaktiert und in Kenntnis gesetzt werden. Mit etwas Glück lässt sich der Betrag noch zurückholen. Ferner kann der Kundendienst das Konto sperren, um es vorläufig vor weiteren Übergriffen zu schützen. Dies können Bankkunden auf Wunsch auch bequem unter der Rufnummer 116 116 (Sperr-Notruf) bewerkstelligen. Anschließend bleibt nur noch eines zu tun: Betroffene sollten eine Anzeige bei der Polizei erstatten. Die Wahrscheinlichkeit, die Täter zu stellen und bereits entwendete Geldsummen wieder zurückzuholen, ist in solchen Fällen zwar vergleichsweise gering. Dafür ist man besser geschützt, sollte die eigene Identität gestohlen und für illegale Machenschaften verwendet werden.