Im Restaurant ersetzt ein QR-Code häufig schon die Speisekarte. Auch beim Ticketkauf oder für ganz alltägliche Informationen wird das Smartphone als Scanner benutzt. Ein Scan mit der Handy-Kamera führt zu einer "schnellen Antwort" auf einer Internetseite, zu der man mit dem QR-Code weitergeleitet wird. So ein QR-Code ist eigentlich das gleiche wie ein Link - nur eben visuell anders dargestellt.
Das machen sich laut Bankenverband zunehmend Internet-Betrüger für ihre Cyberangriffe zunutze. Wie bei den bisherigen Phishing-Attacken bekommen Bankkunden und –kundinnen auch in diesem Fall eine Datei zugeschickt, per E-Mail oder SMS, die allerdings keinen klassischen Link, sondern einen QR-Code enthält. Unter einem Vorwand werden die Kontoinhaber häufig aufgefordert, persönliche Daten von sich preiszugeben. Das erfolgt dann auf gefälschten Internet-Seiten, zu denen man per QR weitergeleitet wird. Manchmal würden auch gefälschte Rechnungen oder Telefonnummern präsentiert, so der Verband.
Vorsicht bei QR: Virenschutz erkennt die Bilddatei meist nicht
Der Mehraufwand mit dem zwischengeschalteten Code lohnt sich für die Betrüger, weil QR als Bilddatei von Virenschutzprogrammen oder einer Firewall in der Regel nicht erkannt wird, so der Bankenverband.
Die elektronischen Schutzfilter seien meist nur darauf programmiert, die Mails nach Anhängen mit unbekannten und gefährlichen Dateien zu durchsuchen. Ein einfaches Bild mit einem QR-Code wird in der Regel dabei nicht aussortiert - und kann deshalb das Mittel der Wahl für die Cyberkriminellen sein.
Bankenverband warnt auch vor KI als Tool von Cyberkriminellen
Auch die Künstliche Intelligenz (KI) hat längst Einzug gehalten bei den Cyber-Attacken im Bankensektor. Beim sogenannten "Vishing", eine Wortschöpfung aus dem Englischen "Voice" (Stimme) und Phishing geht es darum, echte Stimmen aus dem Alltag täuschend echt nachzuahmen. Wenn beispielsweise ein Familienangehöriger oder der Chef im Büro auf diese Weise zu einem spricht, wird man emotional schnell dazu verleitet, das Falsche zu tun.
Der Bankenverband berichtet von Fake-Sprachnachrichten, die dazu verleiten, Daten herauszugeben oder gar direkt Geld zu überweisen. Kriminelle mit verstellter Stimme berichten von Autounfällen oder gehackten Konten und fordern die Betroffenen auf, umgehend tätig zu werden. Verbraucherschützer empfehlen, trotz der Aufregung Ruhe zu bewahren, keine Daten am Telefon preiszugeben. Im Zweifel sollte man nach der Nummer zu fragen, um einen späteren Rückruf zu versprechen. Die Zeit, die dadurch gewonnen wird, lässt dann eine Überprüfung des Anrufers und seiner Telefonnummer zu.
Vorsicht, wenn überraschender Handlungsdruck aufgebaut wird!
Bei überraschende Nachrichten auf dem Smartphone oder im eigenen E-Mail-Postfach sollten nicht nur Bankkunden und –Kundinnen sofort misstrauisch werden. Häufig meldet sich jemand mit der Behauptung, es gebe zum Beispiel ein Sicherheitsproblem auf dem Smartphone, Tablet oder PC.
Nutzerinnen und Nutzer sollen dann schnell den mitgeschickten QR-Code einscannen und den weiteren Anforderungen folgen. So berichtet die HypoVereinsbank von einem vermeintlichen Microsoft-Techniker, der sich mitten in der Session per Popup-Fenster auf dem PC meldete und behauptete, der Rechner sei infiziert worden und müsse gesperrt werden. Als einziger Ausweg wurde eine Telefonnummer angeboten, die sofort anzurufen war.
Überrumpelungs-Taktik wie beim Enkel-Trick
Häufig geben solche oder ähnliche "Techniker" sich auch als vermeintliche Bankmitarbeiter aus, die für die Sicherheit zuständig seien und Kundinnen und Kunden über eine fehlgeleitete Zahlung informieren wollten. Um diese "betrügerische" Zahlung nun zurückzuholen und den angeblich falschen Vorgang zu löschen, werden dann Daten eingefordert. Banken warnen vor Anrufern, die Zugriff auf den PC fordern. Für das Löschen von Zahlungen sei von Seiten der Bank ein solcher Zugriff gar nicht notwendig und auch nicht die Freigabe von TANs oder Ähnlichem.
Der Trick mit den Kleinanzeigen
Auch das Bezahlen direkt auf den Internetseiten von Verkaufsplattformen ist inzwischen gängige Praxis. Das sichere Bezahlen, das dort versprochen wird, kann zugleich aber auch ein Einfallstor für Betrüger sein. So berichtet die HypoVereinsbank von einer Masche, die auf private Verkäufer abzielt. Wer zum Beispiel auf einem Kleinanzeigenportal wie Ebay seine Ware eingestellt hat, wird unmittelbar danach von einem vermeintlichen Käufer über das Portal kontaktiert und nach Mobilfunknummer oder E-Mail-Adresse gefragt. Angeblich braucht der "Käufer" eine Bestätigung für eine Zahlung, um alles abwickeln zu können. Deshalb schickt er dann eine E-Mail oder eine SMS.
Dabei geht es aber nicht um einen Kauf, sondern nur darum, Daten auszuspähen. Wichtig ist es der Bank zufolge, bei einer solchen Fake-Nachricht auf keinen Link zu klicken und keine Daten dort einzugeben.
"Hier ist Bayern": Der BR24 Newsletter informiert Sie immer montags bis freitags zum Feierabend über das Wichtigste vom Tag auf einen Blick – kompakt und direkt in Ihrem privaten Postfach. Hier geht’s zur Anmeldung!