Es erscheint alles so einfach zu funktionieren. Da sitzen wir zum Beispiel gemütlich im Restaurant und wollen bestellen. Der bereitliegende QR-Code soll die Speisekarte aufs Handy bringen. Doch statt dessen will das Handy nicht mehr funktionieren. Wie vorsichtig wir beim QR-Code scannen seien sollten, hat luckx – das magazin recherchiert.
Alles ganz einfach
Schnell einen QR-Code (Quick-Response-Code) scannen und schon gelangt man direkt zur Speisekarte im Restaurant, Anmeldemaske für eine Ticketbuchung oder auf ein Rechnungsformular. Ein schneller und bequemer Weg, um lästiges Tippen auf dem Smartphone oder Tablet zu vermeiden. Aber Vorsicht: Auch QR-Codes können für Phishing-Angriffe missbraucht werden. So schicken Cyber-Kriminelle beispielsweise eine E-Mail mit der Aufforderung, einen QR-Code einzuscannen, um ein Dokument oder eine Rechnung zu öffnen. Der Link führt dann auf eine gefälschte Seite, mit dem Ziel, persönliche Daten abzufischen. Oder aber es wird ein zeitlicher Handlungsdruck aufgebaut: Es gebe zum Beispiel ein Sicherheitsproblem auf dem Smartphone, Tablet oder PC. Der Nutzer solle den QR-Code schnellstmöglich einscannen und den weiteren Anforderungen folgen. Tatsächlich gelangt man auch auf diese Weise direkt auf eine betrügerische Website.
Warum dieser Cyber-Angriff besonders gefährlich ist: IT-Sicherheitssoftware wie Anti-Viren-Programme oder die Firewall erkennen solche Phishing-Nachrichten nicht. Die Sicherheitsprogramme scannen zwar Mails auf verdächtige Anhänge. Der QR-Code wird aber nicht als Anhang, sondern als Bild erkannt. Auf diese Weise gelangen die Phishing-Mails direkt in das Postfach ihrer potenziellen Opfer.
Sicherheitsabfragen per QR-Code
Sicherheitsabfragen per QR-Code durch die 2-Faktor-Authentifizierung gehören mittlerweile zu unserem Alltag, so dass wir nicht skeptisch werden, wenn wir zum Scannen eines QR-Codes aufgefordert werden. Doch auch für QR-Codes gilt: Diese nur aus vertrauenswürdigen Quellen scannen und im Zweifel den Link nicht öffnen und die geforderten Daten nicht eingeben. Wer unsicher ist, kontaktiert am besten den Absender auf einem anderen Weg.
Sprachprogramme, die mithilfe von künstlicher Intelligenz (KI) wie beispielsweise Chat Bots arbeiten, können Textbausteine innerhalb von Sekunden verarbeiten. Cyberkriminelle können solche Programme nutzen, um Phishing-Mails zu korrigieren oder Texte anzupassen, so dass es für den Empfänger noch schwieriger wird, deren Echtheit zu erkennen.
Deshalb unbedingt die E-Mail-Adresse des Absenders auf Unstimmigkeiten prüfen. Diese lassen sich zum Beispiel mit früheren E-Mails vergleichen. Insbesondere sollte dabei dabei genau auf die Schreibweise der Adresse geachtet werden. Oft werden E-Mail-Adressen verwendet, die sich nur durch ein Zeichen von der echten Adresse unterscheiden. Anhänge und Links in E-Mails sollten stets kritisch geprüft werden. Im Zweifel unbedingt den Absender über einen anderen Zugang der offiziellen Website oder App aufsuchen. Im Zweifel eher löschen als antworten. Wenn es wichtig ist, wird der Absender noch einmal Kontakt aufnehmen.
Außerdem lässt sich die Zieladresse vor dem Klick auf den Link prüfen, indem der Mauszeiger über den Linktitel gehalten wird. Die Zieladresse wird dann in einem Popup-Fenster oder in der Fußzeile des Fensters angezeigt. Unbedingt beachten, dass die Seite mit https:// beginnt und auch auf die korrekte Schreibweise einer bereits bekannten Internetseite prüfen. Oft verwenden Betrüger eine sehr ähnliche Internetadresse, um Seriosität und Vertrauenswürdigkeit vorzutäuschen.
Sprachnachrichten ebenfalls prüfen
Auch beim so genannten „Vishing“ – das Wort setzt sich zusammen aus den englischen Begriffen Voice und Phishing – nutzen die Betrüger die Möglichkeiten der KI, um Stimmen nahezu perfekt nachzuahmen. Mit Hilfe solch einer Fake-Sprachnachricht soll man dazu verleitet werden, Daten herauszugeben oder gar direkt Geld an die Kriminellen zu überweisen: „Ich hatte einen Auto-Unfall, Du musst mir Geld überweisen.“ „Ihr Konto ist gehackt worden“. Selbst Stimmen von Vorgesetzten können nachgebildet werden, um telefonisch einen sehr eiligen und vertraulichen Auftrag für eine Überweisung an Mitarbeitende der Buchhaltung durchzugeben. Hier muss man sich zwingen, Ruhe zu bewahren und keine persönlichen Daten am Telefon preiszugeben. Im Zweifel nach der Telefonnummer fragen und einen Rückruf versprechen. So gewinnt man Zeit und kann die Telefonnummer des Anrufenden und die Echtheit des Anrufs überprüfen.
Falsche Telefonnummer
Beim „Spoofing“ (Englisch für “Fälschen“ oder “Vortäuschen”) versuchen Angreifer ebenfalls, eine vertrauenswürdige Kommunikation vorzutäuschen, um an persönliche Daten zu gelangen. Beim „Call-ID-Spoofing“ wird durch technische Manipulation auf dem Display eine andere Anrufer-Nummer angezeigt, als die von der der Anruf tatsächlich erfolgt. Damit wird ein „echter“ Anruf, bespielweise der Bank oder einer Behörde vorgetäuscht.
Wichtigste Regel: Am Telefon nicht unter Druck setzen lassen. Die Bank, die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), Europol oder die Polizei wird niemals telefonisch zur Herausgabe persönlicher Daten, wie zum Beispiel Bankkontodaten, drängen. So sollte das Gespräch beendet und anschließend die Bank und Polizei informiert werden, um den Sachverhalt zu klären beziehungsweise anzuzeigen. Auf keinen Fall dafür die angezeigte Rückrufunktion des Telefons verwenden, sondern die bekannte Nummer manuell wählen. Auch sollten sich Angerufene nicht auf ein Angebote zur Fernwartung des Rechners wegen angeblicher Bedrohung oder technischer Probleme einlassen. Auch sollten Aufforderungen zur Zahlung auf ein „sicheres“ Konto am Telefon nicht eingegangen werden.
Falsche Nachrichten von sozialen Medien
Wer sich in dem beruflichen Netzwerk angemeldet hat, kennt die regelmäßigen Nachrichten: „Sie wurden in so und so viel Suchen gefunden“ „Sie haben eine Kontaktanfrage oder Nachricht bekommen“. Auch diese Meldungen können täuschend echt nachgebildet sein mit dem Ziel, an persönliche Anmeldedaten zu kommen, oder auf eine andere gefälschte Seite weiterzuleiten. Erkennen kann man die betrügerischen Mails an kleinen Fehlern, z.B. „Linkedin“ statt „LinkedIn“, eine unübliche Absenderadresse, kleine Ungenauigkeiten im Text oder Logo. Klickt man den betrügerischen Link an, wird man auf eine Fake-Seite weitergeleitet, um auf diese Weise an persönliche Daten wie zum Beispiel die Telefonnummer zu gelangen. Ist diese in den Händen der Betrüger, wird versucht, mit gezielten Anrufen an weitere persönliche Daten zu gelangen.
Übertragen lassen sich diese Betrugsmaschen auf andere Social-Media-Kanäle: Ganz gleich, ob Facebook, Instagram, „X“ oder Nachrichten vom E-Mail-Dienstleister. Man sollte bei jeder Nachricht im Hinterkopf die Möglichkeit bedenken, dass es sich um einen Betrug handeln kann. Und gerade vor zu schnellen, unbedachten Klicks sollte man sich hüten.