{"id":11279,"date":"2024-12-09T09:30:36","date_gmt":"2024-12-09T08:30:36","guid":{"rendered":"https:\/\/www.psw-group.de\/blog\/?p=11279"},"modified":"2024-12-09T15:32:57","modified_gmt":"2024-12-09T14:32:57","slug":"retro-wird-modern-quishing-per-brief","status":"publish","type":"post","link":"https:\/\/www.psw-group.de\/blog\/retro-wird-modern-quishing-per-brief\/","title":{"rendered":"Retro wird modern: Quishing kommt jetzt per Brief"},"content":{"rendered":"

Mit steigenden Sicherheitsvorkehrungen und dem wachsenden Bewusstsein f\u00fcr Online-Betrugsmaschen haben Cyberkriminelle ihre Strategien angepasst und greifen nun auf scheinbar altmodische Methoden zur\u00fcck: den Brief. Durch geschickte Kombination aus digitaler und analoger T\u00e4uschung versuchen Kriminelle, die gewachsene Vorsicht bei Links im Internet zu umgehen und Menschen \u00fcber klassische Informationswege auf gef\u00e4lschte Internetseiten zu locken. Ihr Mittel zum Zweck: Falsche QR-Codes. Erfahren Sie im Beitrag, was es mit der neuen Betrugsmasche namens Quishing auf sich hat und wie Sie sich sch\u00fctzen k\u00f6nnen.<\/p>\n

Update vom Dezember 2024<\/strong>: Aktuell wird die Quishing-Masche in Verbindung mit Parkscheinautomaten vermehrt eingesetzt. Mehr Infos und n\u00fctzliche Sicherheitstipps lesen Sie am Ende dieses Artikels<\/a>.<\/p>\n

Was ist Quishing?<\/h2>\n

\u201eQuishing\u201c ist eine Betrugsmethode, bei der Cyberkriminelle QR-Codes verwenden, um Phishing-Angriffe auszuf\u00fchren. Der Name setzt sich aus \u201eQR-Code\u201c und \u201ePhishing\u201c zusammen und beschreibt den Vorgang, bei dem die Opfer statt eines Links einen QR-Code scannen. Dieser Code f\u00fchrt sie dann oft unbemerkt auf eine betr\u00fcgerische Website, auf der vertrauliche Daten wie Passw\u00f6rter oder Bankinformationen abgefragt werden.<\/p>\n

Der Vorteil f\u00fcr die Betr\u00fcger: QR-Codes wirken unverd\u00e4chtig und sind inzwischen allgegenw\u00e4rtig \u2013 auf Rechnungen, in der Gastronomie, bei Spendenaktionen, in Museen, Zoos und vielen anderen Orten. Da QR-Codes f\u00fcr den Betrachter auf den ersten Blick nicht erkennbar machen, welche Seite sich hinter ihnen verbirgt, greifen viele Menschen vertrauensvoll darauf zu, was den Betr\u00fcgern in die H\u00e4nde spielt.<\/p>\n

Quishing selbst ist nicht neu (wir haben schon Anfang 2022 in unserem Blog<\/a> \u00fcber diese Methode berichtet ). Neu ist aber, dass die Betrugsversuche jetzt per Post kommen.<\/p>\n

Quishing per Brief: So funktioniert die neue Betrugsmasche<\/h2>\n

Die neue Betrugsmasche beim Quishing verbindet die digitale Welt mit klassischen Kommunikationsmethoden. Was auf den ersten Blick unauff\u00e4llig und hilfreich wirkt, entpuppt sich als gef\u00e4hrliche Falle: Die neue Quishing-Masche setzt auf vermeintlich offizielle Briefe, die das Vertrauen der Empf\u00e4nger gewinnen sollen, indem sie im Design und Wortlaut seri\u00f6se Institutionen nachahmen, um ihre Opfer zu t\u00e4uschen. Diese Briefe k\u00f6nnen Bankmitteilungen, Zahlungsaufforderungen oder Strafzettel sein. In ihnen findet sich ein QR-Code, der \u2013 wenn unbedarft gescannt \u2013, die Opfer auf eine gef\u00e4lschte Website f\u00fchrt.<\/p>\n

Ein Grund f\u00fcr die Verbreitung dieser Methode ist die steigende Sensibilisierung der Menschen gegen\u00fcber typischen Phishing-Angriffen. Da viele mittlerweile vorsichtiger mit Links und E-Mails umgehen, verlagern die Kriminellen ihre Angriffe auf analoge Wege wie Briefe oder Flyer, die durch ihre h\u00e4ufige Verwendung im Alltag als harmlos und vertrauensw\u00fcrdig wahrgenommen werden. Quishing zeigt, wie geschickt Betr\u00fcger digitale Technik mit klassischen Kommunikationsmitteln kombinieren, um Sicherheitsbarrieren zu umgehen und sensible Daten zu stehlen.<\/p>\n

Quishing-Beispiel: Der gef\u00e4lschte Bankbrief<\/h3>\n

Stellen Sie sich vor, Sie erhalten per Post einen scheinbar offiziellen Brief von Ihrer Bank, in dem steht, dass aufgrund von \u201eunregelm\u00e4\u00dfigen Aktivit\u00e4ten\u201c auf Ihrem Konto eine \u00dcberpr\u00fcfung Ihrer Daten notwendig sei. Der Brief enth\u00e4lt alle typischen Merkmale: das Logo der Bank, offizielle Schriftarten und sogar eine Telefonnummer f\u00fcr \u201eR\u00fcckfragen\u201c. Im Text wird erkl\u00e4rt, dass Sie durch Scannen des beigef\u00fcgten QR-Codes direkt zu Ihrem Konto gelangen k\u00f6nnen, um die Identit\u00e4t zu best\u00e4tigen. Tats\u00e4chlich f\u00fchrt der QR-Code jedoch nicht zur Bank, sondern auf eine t\u00e4uschend echt aussehende Phishing-Seite, die darauf ausgelegt ist, sensible Informationen wie Zugangsdaten oder Bankkontoinformationen zu stehlen.<\/p>\n

Das Gef\u00e4hrliche daran: Anders als bei E-Mail-Links, die mittlerweile oft durch Filter oder durch den gesunden Menschenverstand als verd\u00e4chtig eingestuft werden, wirken QR-Codes auf Papierbriefe noch vertrauensw\u00fcrdig. Zudem geben QR-Codes dem Betrachter keine Einsicht, welche Seite sich wirklich dahinter verbirgt \u2013 beim Scannen landet man sofort auf der gewollten, oft t\u00e4uschend echt nachgebildeten Webseite.<\/p>\n

Vorsicht: Gef\u00e4lschte QR-Codes auf E-Auto-Lades\u00e4ulen<\/h3>\n

Neben Briefen finden sich gef\u00e4lschte QR-Codes mittlerweile auch an \u00f6ffentlichen Orten, zum Beispiel auf Ladestationen f\u00fcr Elektroautos. Die Verbraucherzentrale hat in letzter Zeit vermehrt vor dieser Variante gewarnt. In diesen F\u00e4llen kleben die Betr\u00fcger gef\u00e4lschte QR-Codes direkt auf die Ger\u00e4te, die die Benutzer angeblich zur Zahlungsabwicklung auf eine Webseite leiten sollen. E-Auto-Besitzer, die diese Codes scannen, gelangen so auf eine gef\u00e4lschte Seite, auf der sie dazu aufgefordert werden, Zahlungsdaten oder Bankinformationen einzugeben. Durch die Kombination eines vertrauensw\u00fcrdigen Ortes \u2013 einer Lades\u00e4ule \u2013 und eines einfachen QR-Codes haben die Kriminellen hier eine weitere M\u00f6glichkeit gefunden, an sensible Daten zu gelangen<\/p>\n

Schutz vor Quishing per Brief: So bleiben Sie sicher<\/h2>\n

Mit der Zunahme von Quishing-Angriffen wird es immer wichtiger, auf Zeichen zu achten, die auf Betrug hindeuten. Im Folgenden finden Sie hilfreiche Tipps, um sich effektiv gegen diese neue Betrugsmasche zu wappnen.<\/p>\n

1. Verifizieren Sie das Anliegen: Haben Sie \u00fcberhaupt ein Konto bei dieser Bank?<\/strong>
\nDer erste Schritt zur \u00dcberpr\u00fcfung eines solchen Briefes ist denkbar einfach: \u00dcberlegen Sie, ob Sie tats\u00e4chlich Kunde beim Absender \u2013 der vermeintlichen Bank oder Beh\u00f6rde \u2013 sind. Wenn Sie ein Schreiben oder eine Mahnung von einer Institution erhalten, mit der Sie in keinerlei Verbindung stehen, handelt es sich sehr wahrscheinlich um einen Quishing-Angriff. Eine vermeintliche Nachricht von einer Bank, bei der Sie kein Konto haben, sollten Sie am besten ignorieren und sicherheitshalber vernichten.<\/p>\n

2. Der Schreibstil: Achten Sie auf Rechtschreibung und die Art der Anrede<\/strong>
\nViele Quishing-Briefe wirken auf den ersten Blick t\u00e4uschend echt, doch oft gibt es kleinere Hinweise, die auf eine F\u00e4lschung hindeuten. Ein h\u00e4ufiger Fehler in solchen Schreiben ist die allgemeine Anrede, beispielsweise \u201eSehr geehrter Kontoinhaber\/in\u201c statt einer konkreten Anrede mit Ihrem Namen. Offizielle Institutionen, besonders Banken, sprechen ihre Kunden normalerweise direkt und pers\u00f6nlich an. Allgemeine und unpers\u00f6nliche Formulierungen sollten Sie immer misstrauisch machen. Auch Rechtschreib- und Grammatikfehler k\u00f6nnen Hinweise auf einen gef\u00e4lschten Brief sein.<\/p>\n

3. Im Zweifel: Direkt nachfragen<\/strong>
\nWenn Sie unsicher sind, ob ein Brief echt ist, ist es ratsam, direkt bei der entsprechenden Bank oder Beh\u00f6rde nachzufragen. Nutzen Sie daf\u00fcr jedoch nicht die in dem Schreiben m\u00f6glicherweise angegebene Telefonnummer, sondern suchen Sie die Kontaktinformationen selbstst\u00e4ndig auf der offiziellen Website des Unternehmens heraus. Eine kurze Nachfrage kann Sie vor einem potenziellen Datenverlust sch\u00fctzen, und die Bank oder Beh\u00f6rde kann Ihnen gegebenenfalls mitteilen, ob das Schreiben wirklich von ihnen stammt.<\/p>\n

4. URL und QR-Code-Einstellungen pr\u00fcfen<\/strong>
\nEin QR-Code kann gerade deshalb gef\u00e4hrlich sein, weil er nicht auf den ersten Blick zeigt, welche Webseite sich hinter ihm verbirgt. Viele Kamera-Apps und QR-Code-Scanner bieten jedoch eine Vorschau der URL, bevor Sie die Webseite tats\u00e4chlich \u00f6ffnen. Pr\u00fcfen Sie die angezeigte URL genau: Handelt es sich um die offizielle Seite Ihrer Bank oder sieht die URL verd\u00e4chtig aus? Passen Sie Ihre Kamera- oder QR-App-Einstellungen so an, dass Ihnen immer die Zieladresse angezeigt wird, bevor Sie dem Link folgen. Dies kann oft schon verhindern, dass Sie auf eine Phishing-Website weitergeleitet werden.<\/p>\n

5. Nutzen Sie Multi-Faktor-Authentifizierung beim Online-Banking<\/strong>
\nEine der besten Ma\u00dfnahmen zum Schutz vor unbefugten Zugriffen auf Ihre Bankdaten ist die Multi-Faktor-Authentifizierung (MFA). Diese stellt sicher, dass bei jeder Transaktion oder Kontoanmeldung ein zus\u00e4tzlicher Sicherheitsnachweis erforderlich ist \u2013 etwa eine Best\u00e4tigung per App oder SMS. Selbst wenn Ihre Zugangsdaten in die H\u00e4nde von Betr\u00fcgern geraten sollten, wird die Multi-Faktor-Authentifizierung den Missbrauch Ihrer Daten deutlich erschweren, da die Kriminellen zus\u00e4tzlich Zugriff auf Ihr Mobilger\u00e4t oder eine andere Sicherheitsmethode br\u00e4uchten.<\/p>\n

Fazit: Kreativit\u00e4t der Cyberkriminellen kennt keine Grenzen<\/h2>\n

Die digitale Sensibilisierung<\/a> der Nutzer hat Cyberkriminelle zu immer neuen und oft \u00fcberraschenden Methoden inspiriert. Quishing per Brief zeigt, dass Kriminelle l\u00e4ngst nicht mehr nur auf das Internet setzen, sondern zunehmend analoge Wege nutzen, um ihre Opfer zu t\u00e4uschen. Bleiben Sie deshalb bitte stets kritisch bei unerwarteten Schreiben und folgen Sie nur QR-Codes aus vertrauensw\u00fcrdigen Quellen. Wenn Sie unsicher sind, pr\u00fcfen Sie alle Details des Briefes genau und kontaktieren Sie im Zweifel die Institution. Ein gesundes Misstrauen kann Sie vor erheblichen finanziellen und datenschutzrechtlichen Sch\u00e4den bewahren.<\/p>\n

Update: Quishing via Parkscheinautomaten<\/h2>\n

Die Betrugsmasche Quishing breitet sich zunehmend in Verbindung mit Parkscheinautomaten aus. Seit November 2024 warnen sowohl die Stadt Hannover als auch die Polizei vor manipulierten QR-Codes des Betreibers „EasyPark“ an Automaten. Diese betr\u00fcgerischen QR-Codes leiten Nutzer auf gef\u00e4lschte Zahlungsseiten, um pers\u00f6nliche und finanzielle Daten zu stehlen.<\/p>\n

Tipps zur Sicherheit<\/h3>\n

Hier sind wichtige Tipps, um sich vor der EasyPark-Quishing-Masche zu sch\u00fctzen, die aber auch f\u00fcr andere ParkApp-Dienstleister beachtet werden k\u00f6nnen:<\/p>\n

    \n
  1. Umgang mit QR-Codes<\/strong>\n