QR-Code-Betrug: Kriminelle greifen jetzt per Brief an

Cyberkriminelle wechseln die Strategie: Statt E-Mails landen gefälschte Bankbriefe im Briefkasten. Die perfide Masche kombiniert vertrauenswürdiges Papier mit digitalen Phishing-Fallen – und hebelt so moderne Sicherheitssysteme aus.

Das Perfide an der neuen Angriffswelle: Während Spam-Filter verdächtige E-Mails blockieren, landet der physische Brief ungefiltert auf dem Küchentisch. Die Rechnung der Betrüger geht auf – das Vertrauen in gedruckte Post ist deutlich höher als in digitale Nachrichten.

Die Verbraucherzentralen schlagen Alarm. Aktuell häufen sich Meldungen über täuschend echte Briefe im Namen von Commerzbank, Barclays und Volksbanken Raiffeisenbanken.

Der Aufbau folgt einem simplen Muster: Kunden sollen angeblich ihr PhotoTAN-Verfahren aktualisieren oder ein Sicherheitszertifikat erneuern. Dafür müssen sie einen aufgedruckten QR-Code scannen. Wer das tut, landet auf einer gefälschten Webseite, die Zugangsdaten abgreift oder Schadsoftware installiert.

Passend zum Thema QR‑Code-Betrug: Viele Android‑Nutzer unterschätzen, wie schnell sich Trojaner via gefälschter Apps einschleusen und Banking‑Apps kapern. Ein kostenloser Praxis‑Ratgeber erklärt die 5 wichtigsten Schutzmaßnahmen – von App‑Quellen prüfen über Berechtigungen bis zu sicheren Backup‑Routinen – damit Sie Phishing‑QRs und Malware auf dem Smartphone wirkungsvoll abwehren. Gratis-Sicherheitspaket für Android herunterladen

Die Verbraucherzentrale warnt konkret vor Briefen, die zur Bestätigung von Telefonnummern oder zur Verlängerung von Authentifizierungsverfahren auffordern.

Parkscheinautomaten als Betrugsfalle

Das Landeskriminalamt Niedersachsen warnt vor einer zweiten Angriffswelle: Betrüger überkleben die QR-Codes an Parkscheinautomaten mit eigenen Aufklebern. Die gefälschten Sticker wirken professionell und tragen Hinweise wie “Scan & Pay”.

So funktioniert die Masche:

• Autofahrer scannen den manipulierten Code für Dienste wie EasyPark oder PayByPhone
• Sie werden auf gefälschte Zahlungsseiten umgeleitet
• Parkgebühren landen direkt bei den Kriminellen
• Kreditkartendaten inklusive CVC-Code werden abgegriffen

Der Betrug fällt oft erst Wochen später auf – wenn unberechtigte Abbuchungen auftauchen oder ein Strafzettel wegen Falschparkens eintrifft.

Malware übernimmt Banking-Apps

Sicherheitsforscher von ThreatFabric haben eine neue Generation von Android-Trojanern identifiziert. Die Schadsoftware Sturnus und RatOn verbreitet sich gezielt über QR-Code-Kampagnen.

Die Angriffskette läuft in drei Schritten ab: Nutzer scannen einen QR-Code und werden zur Installation einer vermeintlichen Sicherheits-App aufgefordert. Die Malware umgeht dabei den Google Play Store. Sobald installiert, legt sich der Trojaner unsichtbar über echte Banking-Apps. Gibt der Nutzer seine Zugangsdaten ein, landen sie direkt bei den Betrügern.

RatOn geht noch weiter: Der Trojaner nutzt NFC-Relay-Angriffe und kann Konten in Echtzeit leeren.

Warum die hybride Strategie funktioniert

Die Kombination aus physischen und digitalen Angriffen hebelt zwei zentrale Schutzmechanismen aus:

Technische Filter greifen bei Briefpost nicht. Firewalls und Spam-Filter können einen Brief im Briefkasten nicht stoppen.

Psychologische Barrieren fallen. Der haptische Reiz eines Briefes oder die Alltagssituation am Parkautomaten senken die natürliche Skepsis gegenüber verdächtigen Anfragen.

Dazu kommt ein technisches Problem: Auf dem Smartphone-Display lässt sich die Ziel-URL eines QR-Codes schwerer überprüfen als am PC. Viele Kamera-Apps öffnen Links sofort oder zeigen nur verkürzte URLs an.

Weihnachtsgeschäft als Risikofaktor

Experten rechnen mit einer Intensivierung der Angriffe während des Weihnachtsgeschäfts. Mit dem steigenden Paketaufkommen dürften auch gefälschte Benachrichtigungskarten zunehmen – nach dem Muster “Ihr Paket konnte nicht zugestellt werden, scannen Sie hier”.

Drei Regeln zum Schutz:

• Keine QR-Codes aus unaufgeforderten Briefen scannen
• Webseiten von Banken manuell im Browser eintippen
• Bei Parkautomaten die App direkt öffnen und Zonennummer eintippen statt Aufkleber zu scannen

Im Zweifel gilt: Lieber den Kundenservice über eine bekannte Nummer kontaktieren, als einen fremden Code zu scannen.

PS: Diese 5 einfachen Maßnahmen schützen Ihr Android vor QR‑Code‑Malware und Banking‑Trojanern wie Sturnus oder RatOn. Der Gratis‑Leitfaden zeigt Schritt‑für‑Schritt, welche Einstellungen Sie sofort ändern sollten, wie Sie gefälschte Apps erkennen und welche Vorkehrungen echte Banking‑Apps sicher halten. Viele Leser berichten, dass kleine Anpassungen schon spürbar schützen. Kostenloses Android‑Schutzpaket anfordern