… und dabei Schadcodes und Viren ins Haus schleppt. Nein, nein. Kein Corona. Auch keine Grippe. Ich rede von Computerviren und Phishing-Attacken! Moment, werden Sie jetzt vielleicht sagen. Computerviren und Phishingnachrichten bringt nicht der Briefträger ins Haus, sondern höchstens der E-Mail-Bote – also Outlook oder Thunderbird.
Unerwünschte Werbung (SPAM) und Phishing-Attacken kommen natürlich über E-Mail. Das liegt daran, dass viele Menschen per E-Mail erreichbar sind und es mittlerweile riesige Listen gibt, mit Millionen … ach, was rede ich … Milliarden E-Mail-Adressen. Und weil das Versenden einer Mail nichts kostet, schicken Betrüger halt Mails und keine Briefe. Denn wenn nur ein winzig kleiner Teil der Empfänger (selbst im Promille-Bereich) auf die Phishing-Mail reinfällt, sind das immer noch genug, um ein – zwar illegales – aber durchaus gutes Einkommen zu generieren.
In meinen Vorträgen zu IT-Sicherheit erzähle ich seit Jahren, dass insbesondere Banken niemals per E-Mail dazu auffordern würden, dass man sich irgendwo einloggt und so seine Zugangsdaten hinterlässt. Banken schreiben einem einen Brief, wenn sie was wollen! Und weil das Geld kostet – also Arbeit, Papier und Porto – schicken Cyberkriminelle keine Briefe.
Das stimmt…e. Bis Ende August. Wie der aus dem TV bekannte Anwalt Marc Maisch aus anwalt.de berichtet, stellten (echte) Postboten mehreren Menschen in München (gefälschte) Briefe von der Commerzbank zu. Eine Empfängerin so eines Briefes war Petra F.. In diesem Brief wurde Frau F. aufgefordert, das TAN-Verfahren des Online-Bankings ihres Commerzbank-Kontos regelmäßig zu aktualisieren. Über einen QR-Code könne sie das sehr schnell und einfach machen – das Ganze sei zudem verpflichtend für alle Kunden.
Folgt man jedoch dem QR-Code auf dem Brief und gibt dort seine Daten ein, wird man ziemlich sicher Geld verlieren. Denn die angebliche Seite der Commerzbank wird von Betrügern betrieben. Vermutlich von den gleichen Banden, die sonst Phishingmails »im Namen der Commerzbank« oder anderer Geldinstitute versenden. So gelangen sie an Zugangsdaten zum Onlinebanking und eine gültige TAN, mit der sie sofort eine Überweisung tätigen. Das Problem: Der Kunde hat die Zahlungsanweisung dann (zwar unbewusst!) autorisiert und könnte deshalb auf dem Schaden sitzen bleiben.
An den Briefen stimmte alles. Das Briefpapier, das Logo, die Schriftart. Nur ein klitzekleiner Fehler lässt sich finden: Im Kleingedruckten auf dem Briefpapier ganz unten, wo der Handelsregistereintrag steht, findet sich noch der Name eines bereits ausgeschiedenen Vorstands. Ein Kunde wird das niemals wissen. Petra F. aus München ist der Schwindel auch nicht deshalb aufgefallen. Sie hat es an etwas anderem gemerkt, was auch bei Phishing-E-Mails das ein oder andere potentielle Opfer an der Echtheit des Schreibens zweifeln lässt: Petra F. hat gar kein Konto bei der Commerzbank.
QR-Codes – Fluch und Segen zugleich. Wer aufpasst und nachprüft, welche URL nach abscannen des QR-Codes geöffnet werden soll, kann unter Umständen einen Hinweis auf die Fälschung erhalten.
Vorausgesetzt der QR Scanner öffnet nicht automatisch die hinterlegte Seite ( so wie das leider die meisten Scanner tun).
Das ist allerdings richtig. :-&
Wer allerdings solch einen Scanner verwendet, dem ist genausowenig zu helfen wie dem, der einfach auf irgendwelche Links einer Mail oder auf einer Seite klickt, ohne sich vorher die vollständige URL anzeigen zu lassen die geöffnet werden soll.
Der Link im QR Code war hervorragend gemacht. Es sieht für einen Laien wie commerzbank.de?id=xyz aus. Ich kopiere ihn hier mal mit ein paar Leerzeichen rein, er geht eh nicht mehr.
https:// commerzbank.de-id-j5tr6j0xmvzw7gih4sdg6p4bae0xbbcg0p0r10w47lvb6skd5x .com
Da würde ich meine Hand nicht ins Feuer legen, dass selbst Leute, die ihn sich ansehen glauben, das passt schon. Vor allem auf dem Handy!
Das ist tatsächlich seeeeehr gut gemacht. Das kommt aber glücklicherweise nicht allzuoft vor, zumindest momentan noch. Meist sind es dilettantisch gemachte Fälschungen.