Aktuelle Warnungen

Nimmt man den bekannten Begriff „Phishing“ und kombiniert ihn mit „QR-Code“, erhält man den Namen für eine neue Betrugsvariante namens Quishing. Die Idee dahinter ist nicht neu, nämlich Menschen dazu zu bringen, eine gefälschte Webseite aufzurufen und dort persönliche Daten bekanntzugeben oder Spionagesoftware herunterzuladen.

Ersatz für den Link
Nicht die QR-Codes selbst sind das Problem, sondern das Ziel, zu dem sie verweisen. Sie sind somit einfach nur ein Ersatz für die bisher üblichen gefälschten Links und eröffnen zudem neue Möglichkeiten. Die Kriminellen können sie nicht nur in E-Mails einsetzen, sondern auch auf Papier. Im Namen bekannter Institutionen und Unternehmen versenden sie Briefe mit der Aufforderung, den QR-Code mit dem Handy einzuscannen, um ein angelblich vorhandenes Problem mit dem Kundenkonto zu beheben.

Strafzettel und E-Auto-Ladesäulen
Tatsächlich neu und besonders heimtückisch sind Fälle, in denen QR-codes auf Parkautomaten und E-Auto-Ladesäulen mit gefälschten QR-Codes überklebt werden. Das fällt optisch kaum auf und natürlich landet man dann auch noch auf einer täuschend echt nachgebauten Webseite. So wird versucht, an Kontodaten zu gelangen. Auch gefälschte Strafzettel fürs Falschparken wurden schon gesichtet.

Fazit
Die Vorsichtsmaßnahmen bleiben die gleichen wie beim Phishing: Hinterfragen der Herkunft von Brief oder E-Mail sowie des Links, Nachfragen über einen offiziellen Kanal statt der im Schreiben angegebenen Kontaktmöglichkeiten, Zurückhaltung bei der Weitergabe persönlicher Daten. Was dazukommt ist die Möglichkeit, dass in der Öffentlichkeit angebrachte QR-Codes durch Überkleben manipuliert werden.

Eine KONSUMENT-Leserin berichtet:
"Ich erhielt heute eine Nachricht von einer mit unbekannten österreichischen Handynummer mit der Mitteilung (von Finanz Online): Ihre Daten laufen am XX-XX-24 ab. Aktualisieren Sie Ihre Daten unter: https://gv-bmf-at-finanzonline.net/finanzonline/at.

Ich bin mir sicher dass es sich um eine betrügerische Nachricht handelt, da mir, wenn ich mich bei Finanz Online einlogge, nichts dergleichen angezeigt wird."

Wir gehen gleichfalls von einer Betrugsabsicht aus. Noch dazu lautet die korrekte Adresse von Finanz Online
https://finanzonline.bmf.gv.at

Ihr KONSUMENT-Team

Seit Jahren ist Phishing, das „Fischen“ nach personenbezogenen Daten, ein großes Problem. In KONSUMENT 6/24 haben wir umfassend über aktuelle Betrugsmaschen berichtet (konsument.at/neue-phishingmethoden), sowie einen Fall von Telefonbetrug geschildert.

Identitätsdiebstahl
Selbst wenn man durch Phishing kein Geld verliert, wird man durch Identitätsdiebstahl zum Opfer. Das zeigt der Erfahrungsbericht eines Lesers, der über WhatsApp und Facebook von einer Person namens M. K. (Name der Redaktion bekannt, Anm.) kontaktiert wurde. Sie bot ihm Werkzeug zum Kauf an.

In der Folge wurde von der Person eine österreichische Wohnadresse übermittelt, eine Kontonummer, die auf eine andere Person mit deutschem Namen lautete, allerdings zu einer litauischen Bank gehörte, und M. K. schickte sogar Fotos von sich selbst sowie des eigenen Personalausweises.

Unser Leser hatte schon bald den Verdacht, dass es sich um ein unseriöses Angebot handelte und M. K. nichts Gutes im Schilde führte. Unabhängig davon ist die Wahrscheinlichkeit gegeben, dass hier zwei Personen namens M. K. im Spiel sind – eine, die nur vorgibt, es zu sein, und eine, deren abfotografierter Personalausweis ergaunert wurde und nun ohne ihr Wissen für betrügerische Machenschaften verwendet wird. Dies kann zu unangenehmen Situationen führen, etwa wenn online Waren bestellt werden, die an eine fremde Adresse geliefert werden, während die Rechnung an die reale Person ergeht.

Misstrauisch bleiben
Das Problem: Daten, die einmal im Internet kursieren, sind schwer wieder einzufangen. Man kann nur im Vorfeld misstrauisch und vorsichtig bleiben.