Ein Brief der Commerzbank, ordnungsgemäß frankiert mit 85 Cent, mit Banken-Logo und dem üblichen Briefkopf, Unterschrift der Bankvorstände – alles wirkt echt. Und doch ist es ein ganz besonders perfider Betrugsversuch per QR-Code, der offenbar massenhaft an ahnungslose Menschen verschickt wird.
In diesem Beitrag zeige ich, wie ein solcher Betrugsbrief aussieht – und wie man sich vor solchen Angriffen schützen kann.
Ich hätte nicht gedacht, dass mir ein ebenso dreister wie handwerklich gut gemachter Betrug einmal persönlich in die Hände fallen würde. Es ist ein Betrugsversuch an Bankkunden, die den Betrüger viel Geld kosten, denn das Briefporto zum Verschicken der betrügerischen Briefe muss er ja ganz real zahlen. (Oder lassen sich digitale Briefmarken-Codes der Post womöglich fälschen und die Scam-Briefe damit kostenlos verschicken?)
Zunächst aufgefallen ist mir erst einmal nur: Die Empfängerin des Briefs, eine ältere Dame, ist sich ziemlich sicher, dass sie kein Konto bei der Commerzbank hat und auch nie etwas mit dieser Bank zu tun hatte. Wäre sie Commerzbank-Kundin, und hätte sie ein modernes Smartphone – wahrscheinlich hätte sie den QR-Code in dem Brief gescannt und wäre den Betrügern auf den Leim gegangen.
Denn natürlich fehlt das wichtigste Merkmal für Online-Scam nicht: ein Bedrohungsszenario. Das Photo-TAN-Verfahren müsse wegen gehäufter Betrugsversuche (was für Ironie) aktualisiert werden. Damit man wieder auf sein Konto zugreifen könne, müsse man es umgehen per Scan des QR-Codes reaktivieren.
Was mich dann bei genauerer Betrachtung noch stutzig gemacht hat: Außer dem QR-Code enthält der Brief keinerlei Kontaktmöglichkeit zu der Bank: keine E-Mail-Adresse, keine Hotline-Telefonnummer. Der Empfänger wird also geschickt dazu genötigt, den QR-Code zu scannen. Denn das ist die einzige Handlungsoption, die dieser Brief eröffnet.
Erst wenn man sich die URL genau ansieht, die der QR-Code enthält, wird klar. Es handelt sich um Betrug:
Die angesteuerte Domain ist nämlich nicht die vorgebliche commerzbank.de – sondern in Wirklichkeit eine kryptische .com-Domain. Eine seriöse Bank würde so eiwas niemals tun.
Welchen Schaden der QR-Code in diesem Betrügerbrief anrichten würde? Keine Ahnung. Ich will es lieber nicht ausprobieren. Etwas Gutes kann es jedenfalls nicht bedeuten, wenn die Betrüger den auch finanziell relativ großen Aufwand auf sich nehmen, und Briefe physisch mit der Post verschicken. Es scheint sich für sie jedenfalls zu lohnen.
Wie kann man sich vor solchen QR-Code-Attacken schützen?
QR-Codes sind genauso praktisch, wie höchst gefährlich. Denn sie öffnen eine URL im Internet, von der man vorher nicht weiß, wohin sie führt und was sie tut. Fährt sie auf eine Scam-, Phishing- oder Betrugs-Website? Lädt sie schädlichen Code oder eine betrügerische App aufs Handy?
Man sollte QR-Codes nicht blind vertrauen. Das gilt besonders bei Quellen, die man nicht genau verifizieren kann – also genau genommen auch Speisekarten in Restaurants, besonders aber QR-Codes irgendwo an einem Laternenpfahl oder an anderen öffentlichen, anonymen Orten.
Bei QR-Code-Scannern auf Smartphones muss man zwar die aufzurufende URL typischerweise erst bestätigen. Aber die URL wird dabei nur stark verkürzt angezeigt, so wie im Screenshot vom Google-Android-QR-Code-Scanner zu sehen: Da sieht alles gut aus, als URL wird commerzbank.de angezeigt – den fatalen Rest der langen Scam-URL verschluckt der Scanner.
Schützen kann man sich letztlich nur mit einem – leider etwas umständlicheren – Prüfen der kompletten URL aus einem QR-Code. Für Android gibt es dafür beispielsweise die App QRQR, die wirklich die komplette URL anzeigt – wenn man in den Optionen zuvor aktiviert, dass URLs nicht direkt aufgerufen, sondern vorher angezeigt werden.