Schnell einen Quick-Response-Code (kurz und umgangssprachlich: QR-Code) scannen ist bequem, um z.B. zur Speisekarte im Restaurant, der Anmeldemaske für eine Ticketbuchung oder auf ein Rechnungsformular zu gelangen. Doch Vorsicht: Die QR-Codes werden verstärkt für Phishing-Angriffe missbraucht.
Cyber-Kriminelle schicken beispielsweise eine E-Mail mit der Aufforderung, einen QR-Code einzuscannen, um ein Dokument oder eine Rechnung zu öffnen. Der Link führt dann auf eine gefälschte Seite, mit dem Ziel, persönliche Daten abzufischen. Oder aber es wird ein zeitlicher Handlungsdruck aufgebaut: Es gebe zum Beispiel ein Sicherheitsproblem auf dem Smartphone, Tablet oder PC. Der Nutzer solle den QR-Code schnellstmöglich einscannen und den weiteren Anforderungen folgen. Tatsächlich gelangt man auch auf diese Weise direkt auf eine betrügerische Website.
Warum dieser Cyber-Angriff besonders gefährlich ist: IT-Sicherheitssoftware wie Anti-Viren-Programme oder die Firewall erkennen solche Phishing-Nachrichten nicht. Die Sicherheitsprogramme scannen zwar Mails auf verdächtige Anhänge. Der QR-Code wird aber nicht als Anhang, sondern als Bild erkannt. Auf diese Weise gelangen die Phishing-Mails direkt in das Postfach ihrer potenziellen Opfer.
Sicherheitsabfragen per QR-Code durch die 2-Faktor-Authentifizierung gehören mittlerweile zu unserem Alltag, so dass wir nicht skeptisch werden, wenn wir zum Scannen eines QR-Codes aufgefordert werden. Doch auch für QR-Codes gilt: Diese nur aus vertrauenswürdigen Quellen scannen und im Zweifel den Link nicht öffnen und die geforderten Daten nicht eingeben. Wenn Sie unsicher sind, kontaktieren Sie den Absender auf einem anderen Weg.
Cyberkriminelle nutzen zur Optimierung ihrer Angriffe jetzt auch KI
Sprachprogramme, die mithilfe von künstlicher Intelligenz (KI) wie beispielsweise Chat Bots arbeiten, können Textbausteine innerhalb von Sekunden verarbeiten. Cyberkriminelle können solche Programme nutzen, um Phishing-Mails zu korrigieren oder Texte anzupassen, so dass es für den Empfänger noch schwieriger wird, deren Echtheit zu erkennen.
Prüfen Sie im Zweifel die E-Mail-Adresse des Absenders auf Unstimmigkeiten. Sie können diese zum Beispiel mit früheren E-Mails vergleichen. Achten Sie dabei genau auf die Schreibweise der Adresse, oft werden E-Mail-Adressen verwendet, die sich nur durch ein Zeichen von der echten Adresse unterscheiden. Anhänge und Links in E-Mails sollten Sie stets kritisch prüfen. Im Zweifel suchen Sie den Absender selbst über einen anderen Zugang der offiziellen Website oder App.
Sie können die Zieladresse vor dem Klick auf den Link prüfen, indem Sie den Mauszeiger über den Linktitel halten. Die Zieladresse wird Ihnen dann in einem Popup-Fenster oder in der Fußzeile des Fensters angezeigt. Achten Sie darauf, dass die Seite mit https:// beginnt und auch auf die korrekte Schreibweise einer Ihnen bereits bekannten Internetseite. Oft verwenden Betrüger eine sehr ähnliche Internetadresse, um Seriosität und Vertrauenswürdigkeit vorzutäuschen.
Auch beim so genannten „Vishing“ – das Wort setzt sich zusammen aus den englischen Begriffen Voice und Phishing – nutzen die Betrüger die Möglichkeiten der KI, um Stimmen nahezu perfekt nachzuahmen.
Mit Hilfe solch einer Fake-Sprachnachricht soll man dazu verleitet werden, Daten herauszugeben oder gar direkt Geld an die Kriminellen zu überweisen: „Ich hatte einen Auto-Unfall, Du musst mir Geld überweisen.“ „Ihr Konto ist gehackt worden“. Selbst Stimmen von Vorgesetzten können nachgebildet werden, um telefonisch einen sehr eiligen und vertraulichen Auftrag für eine Überweisung an Mitarbeitende der Buchhaltung durchzugeben. Hier muss man sich zwingen, Ruhe zu bewahren und keine persönlichen Daten am Telefon preiszugeben. Im Zweifel nach der Telefonnummer fragen und einen Rückruf versprechen. So gewinnt man Zeit und kann die Telefonnummer des Anrufenden und die Echtheit des Anrufs überprüfen.
Hinter falsch angezeigter Telefonnummer können sich Betrüger verbergen
Beim „Spoofing“ (Englisch für “Fälschen“ oder “Vortäuschen”) versuchen Angreifer ebenfalls, eine vertrauenswürdige Kommunikation vorzutäuschen, um an persönliche Daten zu gelangen. Beim „Call-ID-Spoofing“ wird durch technische Manipulation auf dem Display eine andere Anrufer-Nummer angezeigt, als die von der der Anruf tatsächlich erfolgt. Damit wird ein „echter“ Anruf, bespielweise Ihrer Bank oder einer Behörde vorgetäuscht.
Wichtigste Regel: Lassen Sie sich am Telefon nicht unter Druck setzen. Ihre Bank, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Europol oder die Polizei wird Sie niemals telefonisch zur Herausgabe persönlicher Daten, wie zum Beispiel Bankkontodaten, drängen. Sie sollten das Gespräch beenden und anschließend die Bank und Polizei anrufen, um den Sachverhalt zu klären beziehungsweise anzuzeigen. Verwenden Sie dafür aber nicht die Rückrufunktion des Telefons, sondern wählen Sie die Ihnen bekannte Nummer manuell. Lassen Sie sich auch nicht auf Angebote zur Fernwartung Ihres Rechners wegen angeblicher Bedrohung oder technischer Probleme ein. Auch sollten Sie Aufforderungen zur Zahlung auf ein „sicheres“ Konto am Telefon nicht nachkommen.
Gefälschte Nachrichten von LinkedIn oder anderen sozialen Medien
Wer sich in einem beruflichen Netzwerk angemeldet hat, kennt die regelmäßigen Nachrichten: „Sie wurden in so und so viel Suchen gefunden“ „Sie haben eine Kontaktanfrage oder Nachricht bekommen“. Auch diese Meldungen können täuschend echt nachgebildet sein mit dem Ziel, an Ihre persönliche Anmeldedaten zu kommen, oder Sie auf eine andere gefälschte Seite weiterzuleiten.
Erkennen kann man die betrügerischen Mails an kleinen Fehlern, z.B. „Linkedin“ statt „LinkedIn“, eine unübliche Absenderadresse, kleine Ungenauigkeiten im Text oder Logo. Klickt man den betrügerischen Link an, wird man auf eine Fake-Seite weitergeleitet, um auf diese Weise an persönliche Daten wie zum Beispiel die Telefonnummer zu gelangen. Ist diese in den Händen der Betrüger, wird versucht, mit gezielten Anrufen an weitere persönliche Daten zu gelangen.
Übertragen lassen sich diese Betrugsmaschen auf andere Social-Media-Kanäle: Ganz gleich, ob Facebook, Instagram, „X“ oder Nachrichten vom E-Mail-Dienstleister. Man sollte bei jeder Nachricht im Hinterkopf die Möglichkeit bedenken, dass es sich um einen Betrug handeln kann. Also: Keine schnellen, unbedachten Klicks!
QUELLE: Bundesverband deutscher Banken