Schreiben und Paketbenachrichtigungen im Briefkasten machen per se einen seriösen Eindruck, insbesondere wenn sie von der Bank oder auch von DHL zu stammen scheinen. Verlassen darf man sich auf diesen ersten Eindruck aber keinesfalls.

Denn derzeit versenden Betrüger wieder gefälschte Schreiben deutscher Banken mit QR-Codes, warnt das Landeskriminalamt (LKA) Niedersachsen. Und in den sozialen Medien warnen Nutzerinnen und Nutzer vor gefälschten DHL-Benachrichtigungskarten mit QR-Codes im Briefkasten.

Zwei Maschen, ein Ziel: Sensible Daten erbeuten

Beide Maschen haben das gleiche Ziel: Kriminelle wollen erreichen, dass Empfängerinnen und Empfänger die Codes scannen, dem hinterlegten Link auf gefälschte Banking- oder DHL-Seiten folgen und dort persönliche Daten, Zugangs- oder Zahlungsinformationen eingeben. Diese sensiblen Daten werden dann etwa für weitere Betrügereien missbraucht - oder sie ebnen Angreifern sogar den Weg ins persönliche Online-Banking.

Vor einer Welle gefälschter Bankschreiben, die auffordern, wegen Änderungen im Zahlungsverkehr per QR-Code-Scan Kundendaten zu verifizieren, hatte das LKA schon im Sommer gewarnt. Wer sich aktuell unsicher ist, ob so ein Schreiben echt ist, dem raten die Ermittler, telefonisch bei der Bank nachzufragen. Achtung: Unbedingt eine bekannte Nummer wählen und bloß nicht dem womöglich gefälschten Brief einen Kontakt entnehmen.

Sicher ist sicher: Sendungsnummer auf Webseite eingeben

Und zu den DHL-Benachrichtigungen: Echte Karten vom Zusteller haben keinen QR-Code. Auf ihnen ist ein Belegausdruck aufgeklebt, der Empfängernamen, Sendungsnummer und Abholort nennt. Wer mehr Informationen zur Sendung benötigt, gibt auf «https://www.dhl.com» ganz oben die Sendungsnummer ein und klickt auf «Verfolgen». DHL hat auch eine Seite mit Informationen zur Betrugserkennung eingerichtet.

Zuletzt hatten etwa auch an E-Auto-Ladesäulen oder Parkautomaten aufgedruckte QR-Codes für Schlagzeilen gesorgt, die Betrüger mit eigenen QR-Code-Stickern überklebt hatten. Gefälschte QR-Codes in vermeintlichen Werbe-Mails sind schon seit Jahren ein Problem.

Quishing: Jeder QR-Code kann manipuliert oder betrügerisch sein

Neben Zugängen zum Online-Banking können es die Kriminellen bei solchen QR-Code-Phishing-Angriffen (auch als Quishing bezeichnet) auf Anmeldedaten für alle möglichen Dienste und Konten abgesehen haben. Ebenso kann es sein, dass QR-Codes den Download und die Installation von Schadsoftware anstoßen sollen.

Egal, ob digital, auf Papier oder irgendwo aufgedruckt: Verbraucherinnen und Verbraucher sollten immer im Hinterkopf behalten, dass QR-Codes überklebt und manipuliert werden können oder vielleicht bereits mit betrügerischen Absichten erstellt worden sind.

Vorsichtsmaßnahmen beim Umgang mit QR-Codes

• Am Smartphone sollte man das sofortige Öffnen von Links aus QR-Codes heraus möglichst deaktivieren, rät das LKA. Stattdessen sollte erst einmal nur der Link oder ein Vorschaubild der Webseite hinter dem Link angezeigt werden. Solche Vorschauen sind meist voreingestellt, wenn man die Smartphone-Kamera oder einen Browser wie Firefox als Scanner nutzt.
• Links aus QR-Codes vor dem Öffnen ganz genau anschauen: Handelt es sich um die erwartete Webseite ohne Tippfehler, Zahlen- oder Buchstabendreher? Ist die eigentliche Domain vielleicht gar nicht auf einen Blick zu erkennen, sondern steht ganz am Ende eines sehr langen Links? Ist die eigentliche Adresse verborgen, weil der Link von einem Dienst zum Verkürzen von Internetadressen stammt?