Die Deutsche Bank schreibt derzeit vermeintlich massenhaft Kunden an. Doch es handelt sich um Betrüger. Die verschicken gefährliche QR-Codes mittlerweile auch per Brief, weil das seriöser wirkt. Oder kleben sie an Ladesäulen.
Die Frau aus Bad Cannstatt wundert sich. Per Post hat sie einen Brief von der Deutschen Bank bekommen. „Aktualisierung Ihres photoTAN-Verfahrens“ lautet die Betreffzeile. Danach wird der „sehr geehrten Kontoinhaberin“ erklärt, das Sicherheitsverfahren beim Online-Banking müsse „aufgrund aktueller Vorfälle“ synchronisiert werden. Dazu solle sie den aufgedruckten QR-Code scannen. Das freilich tut sie nicht – denn sie ist gar keine Kundin der Deutschen Bank.
Dieses und ähnliche Schreiben tauchen derzeit auch in Stuttgart zahlreich auf. Manche Empfänger haben in den vergangenen Wochen offenbar sogar mehrere davon bekommen. Die Briefe sehen täuschend echt aus. Im aktuellen deutet nur das Datum darauf hin, dass etwas nicht stimmen könnte. Dort wird der „10. October“ angegeben. Wer aber Kunde der Deutschen Bank ist, könnte das Schreiben durchaus für echt halten.
Zumal es per Post gekommen ist. Jahrelang haben Experten angesichts der Flut an Betrugsversuchen per Telefon, E-Mail, SMS oder WhatsApp darauf hingewiesen, dass seriöse Informationen in der Regel nicht auf diesen Wegen, sondern auf dem herkömmlichen Postweg verschickt werden. Das machen sich nun Kriminelle zunutze.
Und das offenbar nicht selten. „Das kommt vermehrt vor“, sagt Stephan Widmann von der Stuttgarter Polizei. Das sieht man auch bei der Verbraucherzentrale Baden-Württemberg so: „Insgesamt haben die Betrugsfälle zum Karten- und Kontomissbrauch dramatisch zugenommen“, sagt Niels Nauhauser, der Abteilungsleiter Altersvorsorge, Banken, Kredite. Ein Einfallstor seien Phishing-E-Mails oder jüngst sogar QR-Phishing in Briefform. Diese Schreiben ließen sich längst nicht in jedem Fall zweifelsfrei von echten E-Mails oder Prozessen einer Bank unterscheiden.
Quishing als neue Methode
Für den besonders raffinierten Betrug per QR-Code gibt es inzwischen sogar einen eigenen Begriff: Quishing. Er setzt sicht zusammen aus QR und Phishing, also dem kriminellen Abfischen von Daten. Besonders hinterhältig und recht neu ist die Methode, wenn sie Papierform und Digitales verbindet so wie bei den Bankbriefen. Das ist aber längst nicht alles. So sind bundesweit schon Fälle bekannt, in denen an Ladesäulen für Elektroautos die Original-Aufdrucke mit betrügerischen QR-Codes überklebt worden sind. Besonders aus Berlin wird gemeldet, dass Kriminelle sogar gefälschte Strafzettel mit QR-Codes hinter die Scheibenwischer klemmen. Wer die Codes scannt, ist auf dem besten Weg, den Tätern in die Falle zu gehen. „Letztlich geht es immer darum, an die Bankdaten der Opfer zu kommen“, sagt Polizeisprecher Widmann. Gelegentlich werde die Methode sogar bei Internet-Verkaufsportalen angewendet.
Bei der Verbraucherzentrale gibt man allerdings den Geldinstituten eine Mitschuld, obwohl die die Briefe ja gar nicht verschicken. „Die vorgelegten Beschwerden zu diesen Straftaten belegen einen strukturellen Missstand der sicherheitsrelevanten Abläufe bei den Banken, den Kriminelle allzu leicht ausnutzen können“, kritisiert Nauhauser. Alle Banken drängten ihre Kundschaft ins Online-Banking, auch Ältere, die das gar nicht wollten oder nur wenig Erfahrung damit hätten. Damit wachse auch die Verantwortung, für die notwendige Sicherheit zu sorgen.
Kritik an den Banken
Dies werde allerdings von den Unternehmen nicht immer so gesehen. „Die Banken machen es potenziellen Betrügern viel zu einfach. Schlimmer noch: Sie werfen Kundinnen und Kunden eigenes Verschulden vor und weigern sich, für die Schäden aufzukommen“, sagt Nauhauser. Dabei sei den Betroffenen kein Verschulden vorzuwerfen, wenn ihre Kreditkartendaten gestohlen würden, Banken Zahlungen ohne Zwei-Faktor-Authentifizierung zuließen oder die Sicherheitsmaßnahmen nicht ausreichend seien. „ Wir fordern den Gesetzgeber daher auf, die Zahlungsdienstleister stärker in die Verantwortung zu nehmen, ihre Zahlungsdienste besser vor Missbrauch zu schützen“, sagt Nauhauser.
Im aktuellen Fall warnt die Deutsche Bank auf ihrer Internetseite vor diversen Betrugsmaschen – auch vor den Briefen. Die ändern ihren Inhalt und ihre Optik allerdings immer wieder. Wie hoch die Schäden sind, die durch die Methode entstehen, kann man bei der Polizei nicht sagen.
Lieber bei der Bank nachfragen
Dort empfiehlt man dringend, aufmerksam zu sein. Man solle den QR-Code nicht ungeprüft scannen, wenn man Zahlungsdaten eingeben soll, heißt es dort. Wenn möglich, solle man die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes abschalten, damit er nicht automatisch geöffnet wird. Alle Links, deren Ursprung im Ausland liege, seien Indizien für Betrugsversuche. Vorsicht sei auch bei allgemeinen Formulierungen wie „sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“ angebracht. Wenn es Zweifel gebe, sollten Kunden ihre Bank kontaktieren – allerdings nicht über die auf den Schreiben angegebenen Kontaktmöglichkeiten. Und sei etwa an einer Ladesäule ein QR-Code überklebt, empfehle es sich, ihn nicht zu scannen.