Auf einen Blick
- Quishing: Betrugsversuche mit QR-Codes in Briefen und öffentlichen Orten
- Cyberkriminelle nutzen QR-Codes, um persönliche Daten zu stehlen
- Wichtige Verhaltenstipps zum Schutz vor Quishing-Angriffen
«Bitte warnt eure Leserschaft vor diesen Phishing-Briefen!», sagt Blick-Leserin Karin Thalmann (57)* aus Winterthur ZH. Wie viele andere ist sie aufmerksam gegenüber Betrugsversuchen im Internet. Doch bei herkömmlicher Post wähnt sich die IV-Rentnerin irrtümlicherweise in Sicherheit.
Sie hat neulich einen Brief erhalten, vermeintlich von der Schweizerischen Post verschickt. Darin wird sie aufgefordert, wegen eines unzureichend frankierten Briefs sich über einen aufgedruckten QR-Code einzuloggen und dort 2.90 Franken zu überweisen. Dafür müsste sie dann persönliche Informationen eingeben.
Thalmann scannt unbedacht den QR-Code und beginnt, ihr Passwort einzugeben. Zum Glück fehlerhaft, sodass sich die Seite aufhängt. Sie kriegt kalte Füsse und bricht den Vorgang ab. «Trotzdem bin ich jetzt verunsichert, ob ich eine Malware auf meinem Smartphone habe und ich weiss gar nicht, wie ich dies überprüfen kann», sagt sie gegenüber Blick. Vorsichtshalber hat sie alle wichtigen Passwörter geändert. Ihr erst vor zwei Monaten gekauftes Samsung-Handy will sie zurücksetzen.
Betrugsversuche auf allen Kanälen
Thalmann wäre fast Opfer eines Quishing-Versuchs geworden. «Quishing» setzt sich zusammen aus den Begriffen QR-Code und Phishing. Gemeint ist damit eine Art von Cyberangriff, bei dem QR-Codes verwendet werden, um Personen zum Besuch bösartiger Websites oder zum Herunterladen schädlicher Inhalte zu verleiten. Diese Methode verbreitet sich immer öfter, da wir immer häufiger QR-Codes im Alltag nutzen, etwa bei Zahlungen oder auch für Zugriff auf Menüs im Restaurant.
Das machen sich Cyberkriminelle zunutze. Und kombinieren dabei die digitale Betrugsmasche mit klassischen Informationswegen, wie Postbriefen. Oder sie verteilen gefälschte Parkbussenzettel, auf denen mittels QR-Code bezahlt werden soll. Auch bei Parksäulen oder an Ladestationen sind die richtigen QR-Codes teils mit gefälschten QR-Codes überklebt, die zu bösartigen Websites führen. Teils werden auch falsche Werbeplakate aufgehängt, mit dem Hinweis, dass sich bei Teilnahme via QR-Code etwas gewinnen lässt.
Karin Thalmann hat eigentlich schon Erfahrung damit: Vor einem Monat hat sie einen ähnlichen Brief erhalten, angeblich von Meteo Schweiz, der sie dazu aufforderte, eine Unwetter-Warn-App zu installieren. «Darauf fiel ich nicht herein, aber beinahe auf den neuen Versuch mit dem Post-Absender!», schliesst sie.
Tipps zur Prävention
Der Schweizerischen Post sind die vielen Betrugsversuche in ihrem Namen bekannt. Auf einer dedizierten Website erklärt sie, wie man Betrugsversuche erkennt und was man bei erkannten Betrugsversuch unternehmen sollte.
Immer mehr Unternehmen werden als vermeintliche Absender für Betrugsversuche missbraucht. Deshalb hier nochmals die wichtigsten Verhaltenstipps zum Schutz vor Quishing:
- Scanne einen QR-Code nur, wenn du absolut sicher bist, dass er seriös ist. Zuerst sollte der Info-Code angezeigt sein, d.h. der Link sollte nicht direkt eine Website öffnen.
- Schau dir die Link-Adresse genau an und achte auf Schreibfehler, seltsame Satzzeichen oder andere Unregelmässigkeiten.
- Hast du einen suspekten Brief erhalten, rufe beim Absender an, um zu prüfen, ob dieser den Brief tatsächlich verschickt hat. Recherchiere die Telefonnummer selber, statt jene aus dem Brief zu nehmen.
- Niemals unüberlegt den QR-Code scannen! Lass dich nicht von Dringlichkeits-Aufforderungen im Brief unter Druck setzen.
- Ist an einem öffentlichen Ort ein QR-Code überklebt, scanne ihn nicht und rapportiere diesen Sachverhalt an den Betreiber.
- Bist du auf einen Betrug hereingefallen, wende dich umgehend an die Polizei.
* Name der Redaktion bekannt