Gefälschte E-Mails, SMS und Messanger-Nachrichten, mit denen Betrüger und Betrügerinnen mindestens an Personendaten gelangen wollen – im besten Fall beziehungsweise schlimmsten Fall für das Opfer werden auch gleich die Kontodaten abgefangen, um von diesem Konto dann Geld abzuheben. Dass es eine neue Betrugsmasche per Bankschreiben gibt, dafür warnen unter anderem das Landeskriminalamt (LKA) Niedersachsen und das Landeskriminalamt Nordrhein-Westfalen.

Quishing: Fake-Bankschreiben mit QR-Code
Die Kriminellen verschicken gefälschte Schreiben von deutschen Banken, zum Beispiel von der Deutschen Bank, der Commerzbank und der Targobank. In solch einem Brief befindet sich ein QR-Code. Der Kunde oder die Kundin soll den QR-Code scannen und dem hinterlegten Link folgen.

Der Link führt zu einer gefälschten Banking-Seite, die der echten Banking-Seite täuschend ähnlich sieht. Das Opfer soll auf der Fake-Webseite entweder seine Daten eingeben oder einen Geldtransfer veranlassen.

Dieses ganze Vorgehen, also Fake-Schreiben mit QR-Code, um Daten abzufassen, wird als „Quishing“ bezeichnet: eine Wortzusammensetzung aus „QR-Code“ plus „Phishing“. Das Wort „Phishing“ wiederum hat mit dem englischen Begriff „Fishing“ für „Angeln“ zu tun: Über gefälschte SMS, E-Mails und Webseiten sollen Personen- und Bankdaten „geangelt“ werden. Oder es wird ein Schadsoftware heruntergeladen. „Quishing“ ist also ein Spezialfall von „Phishing“.

Video

Quishing: Was ist zu tun?
Das LKA Niedersachsen schrieb in einer offiziellen Warn-Mitteilung vom 6. August 2024 als Hilfestellung: „Wer beim Scannen des QR-Codes genau hinschaut und aufmerksam ist, erkennt, dass der Link beispielsweise zu einer Webseite mit der Endung ,.ru‘ führt oder ein sogenannter Shortlink ist, dessen eigentliches Ziel so nicht erkennbar ist.“

Am besten wird das sofortige Öffnen eines QR-Code-Links deaktiviert: „Einige Smartphones können dies einstellen oder zeigen vorab lediglich eine kleine Vorschau des Ziels“, ein Bild von der Webseite inklusive. „Zudem kann es sein, dass die Täter den Link so gestalten, dass auf dem Smartphone in der Adresszeile des Browsers zunächst nur eine plausibel klingende Webadresse steht. Erst weiter hinten im Link“, das heißt außerhalb des angezeigten Bildschirms, kann die Fälschung möglicherweise erkannt werden.

Vor dem eventuellen Scannen eines gefälschten CR-Codes kann auch ein Nachfragen bei der eigenen Bank vor Ort, ob ein solches Schreiben überhaupt echt ist, helfen.