München, 02.09.2024. QR-Codes begegnen uns in vielen Situationen. Da war es wohl nur eine Frage der Zeit, dass Kriminelle sie für betrügerische Zwecke beim Online-Banking nutzen. Aktuell warnt die Commerzbank vor Phishing-Briefen, in denen Kunden aufgefordert werden, ihre Daten mittels eines QR-Codes zu aktualisieren.
„Finger weg und den Brief vernichten. Dahinter steckt nur eine weitere Betrugsmethode, um an sensible Bankdaten zu kommen und dann das Konto der Opfer zu plündern“, sagt Rechtsanwalt István Cocron, CLLB Rechtsanwälte. Auch die Commerzbank warnt auf ihrer Homepage vor dem Betrugsversuch. Der QR-Code führe auf eine Phishing-Seite. Daher sollte den Anweisungen in dem Brief auf gar keinen Fall gefolgt werden. Die Commerzbank stellt klar, dass sie ihre Kunden nicht per QR-Code auffordert, ihre photoTAN zu aktualisieren.
Phishing ist eine weit verbreitete und bekannte Betrugsmasche, mit der Cyber-Kriminelle versuchen an sensible Bankdaten ihrer Opfer zu kommen und dann die Konten leerzuräumen. Üblicherweise erhalten die potenziellen Opfer eine E-Mail oder SMS, die scheinbar von ihrer Bank kommt. Darin werden sie unter Angabe von Gründen wie Aktualisierung der Kontodaten aufgefordert, einem Link zu folgen oder einen Button anzuklicken. So werden sie auf eine Webseite geleitet und sollen dort sensible Bankdaten eingeben. Folgen sie der Anweisung, schnappt die Falle zu und die Betrüger plündern das Konto. Dann hilft nur noch, das Konto umgehend sperren zu lassen. Häufig ist es dann aber schon zu spät.
Die aktuelle Masche geht nach einem ähnlichen Prinzip vor. Neu dabei sind vor allem zwei Dinge: der QR-Code und der Versand per Brief. „Ein Brief, der vermeintlich von der Bank kommt, schafft zunächst Vertrauen. Der Gedanke an einen Betrugsversuch kommt bei einem Brief nicht so schnell auf wie bei betrügerischen Mails oder SMS“, so Rechtsanwalt Cocron.
Hinzu kommt, dass die Fake-Briefe gut gemacht sind und dem Original der Commerzbank täuschend ähnlich sehen, wie der Bayerische Rundfunk (BR) online berichtet. Logo der Bank, der korrekte Name des Adressaten – alles passe. Wer einen Fehler entdecken will, müsse schon ganz genau hinsehen. So sei der Name des Aufsichtsratsvorsitzenden der Commerzbank in der Fußzeile falsch angeben, so der BR. Das wird jedoch kaum jemand prüfen. Wer also darauf vertraut, dass der Brief echt ist und den QR-Code scannt, wird auf eine gefälschte Webseite geführt und hier sollen Bankdaten eingeben werden. Diese landen dann direkt bei den Betrügern.
Diese Masche ist kein Einzelfall und nicht auf die Commerzbank begrenzt. Auch im Namen anderer Banken hat es schon solche Briefe gegeben. Das Landeskriminalamt Niedersachsen warnt bspw. neben vermeintlichen Briefen von der Commerzbank auch vor Fake-Briefen im Namen der Deutschen Bank oder der Targo Bank.
Dass sich diese Betrugsmasche noch auf andere Banken und Sparkassen ausweitet, ist nicht ausgeschlossen. Rechtsanwalt Cocron: „Wer trotz aller Vorsicht auf solche Phishing-Versuche hereinfällt, kann Geld, das die Betrüger erschlichen haben, in vielen Fällen von der Bank zurückfordern. Der Bankkunde selbst haftet nur, wenn ihm grobe Fahrlässigkeit nachgewiesen werden kann.“