raphael klesen unternehmensfinanzierung webp.jpgfabian kehrer bankrecht kapitalmarktrecht webp.jpg

Neue professionelle Betrugsmasche – Phishing per Brief (sog. „Brief-Quishing“)

Über Fälle, in denen Bankkunden durch betrügerische Anrufe und E-Mails vorgeblicher Bankmitarbeitenden zur Preisgabe von Zugangsdaten zum Online-Banking oder Freigabe von Aufträgen in der TAN-App veranlasst werden sollen, wurde in den letzten Jahren vielfach und umfassend in den Medien berichtet. Kaum behandelt wurde hingegen eine in den vergangenen Wochen vermehrt auftretende Betrugsmasche, mit der Phishing-Angriffe nun anhand täuschend echt aussehender Briefe erfolgen.

Gefälschte Bankbriefe im Umlauf

Bei dieser Betrugsmasche versenden die Betrüger Briefe an Kunden und Nicht-Kunden der Banken, die mit einem echten Banken-Logo sowie der korrekten postalischen Anschrift der entsprechenden Bank versehen sind. Auch im Übrigen scheinen die Briefe auf den ersten Blick seriös und authentisch zu sein. Für einen Laien ist das Schreiben kaum noch von einem echten Schreiben der Bank zu unterscheiden. Nur bei genauerer Prüfung lassen sich Unstimmigkeiten erkennen, im Falle eines gefälschten Schreibens der Commerzbank etwa anhand der Unterzeichner des Briefs, die heute überhaupt nicht mehr bei der Commerzbank tätig sind. Ein Detail, das Verbrauchern nicht bekannt sein kann. Daneben lassen sich die betrügerischen Schreiben oftmals anhand allgemeiner Formulierungen erkennen. So beginnen die Schreiben regelmäßig mit „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“. Die Banken hingegen sprechen die jeweiligen Kunden typischerweise persönlich an.

In den Schreiben werden die Briefadressaten aufgefordert, einen Quick Respond Code (sog. QR-Code) zu scannen, beispielsweise um eine angeblich erforderliche Sicherheitsaktualisierung des TAN-Verfahrens oder eine andere Aktion vorzunehmen. Tatsächlich führt der gescannte QR-Code allerdings auf eine gefälschte Website, die der Website der Bank täuschend ähnlich sieht. Dort soll der Kunde seine persönlichen Bankdaten eingeben. Kommt er den Anweisungen nach, erhalten die Betrüger letztlich Zugriff auf das Online-Banking des Kunden. Dieses Vorgehen wird als „Quishing“ (QR-Code-Phishing) bezeichnet und stellt eine Erweiterung der üblichen Phishing-Masche dar. Mitte August 2024 warnte auch das LKA Niedersachsen in einer Pressemitteilung vor derartigen gefälschten Briefen im Namen verschiedener Banken und der Gefahr des Quishing.

Mithilfe der Kundendaten können die Täter sodann Transaktionen starten, welche jedoch grundsätzlich von den Kunden mittels zweitem Faktor autorisiert werden müssen. Im Grundsatz droht dem Kunden lediglich bei einer Autorisierung ein Schaden. Mittels entsprechender Hinweise in den betrügerischen Schreiben, etwa auf das zu aktualisierende Sicherheitssystem, wird allerdings ein schlüssiger Sachverhalt vorgetäuscht, aufgrund dessen der Kunde beispielsweise die Registrierung neuer Geräte autorisiert.

Empfehlungen für die Banken

Während viele Verbraucher inzwischen Kenntnis von den Gefahren betrügerischer E-Mails und SMS haben, ist die Betrugsmasche mittels Brief noch weitgehend unbekannt. Die davon ausgehenden Gefahren sind dadurch umso größer. Auf Seiten der Banken kann es daher lohnend sein, durch geeignete Maßnahmen die Kunden über die aktuelle Brief-Betrugsmasche zu informieren sowie Möglichkeiten aufzuzeigen, einen gefälschten von einem echten Brief der Bank zu unterscheiden. So kann die Gefahr, Opfer eines Brief-Quishing-Angriffs zu werden, für die Kunden zumindest abgemildert werden.

Vor dem Hintergrund der neuen Betrugsmasche ist zudem ein besonderes Augenmerk auf die Warnhinweise bei den Autorisierungen zu legen. Infolge der professionell und aufwendig gestalteten Briefe wird sich eine, für etwaige Gegenansprüche der Bank nötige, grobe Fahrlässigkeit durch die Herausgabe der Kundendaten kaum herleiten lassen. Bei diesen Fällen wird maßgeblich sein, ob die Warnhinweise der jeweiligen Bank deutlich genug sind und sich aufgrund der Autorisierung eine grobe Fahrlässigkeit des Kunden herleiten lässt. In diesen Fällen fordert die Rechtsprechung nunmehr (qualifizierte) Warnhinweise und es ist den Banken zu empfehlen, ein wiederholtes Freigeben mit Bestätigung über das Lesen des (qualifizierten) Warnhinweises in der App vorzusehen und diese Vorgänge jeweils zu dokumentieren. Die Qualifizierung der Warnhinweise ist insbesondere dann anzuraten, wenn ein neuer Zugang zum Online-Banking und/oder eine elektronische Karte freigegeben werden soll. Hier muss explizit darauf hingewiesen werden, dass nach der Freigabe von einem neuen Gerät Transaktionen möglich sind, ohne dass das Gerät, das die Freigabe erteilt, noch eingebunden werden müsste. (vgl. zu den Anforderungen an die Warnhinwiese).

Empfehlung für die Bankkunden

Für die Empfänger der Briefe gibt es einige einfache und hilfreiche Vorgehensweisen, um sich vor der Betrugsmasche mittels Quishing effektiv zu schützen:

  • Das erhaltene Schreiben sollte auf etwaige Auffälligkeiten überprüft werden (z.B. unpersönliche Anreden wie „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“).
  • Der Links zur Website sollte vorab dahingehend überprüft werden, ob es sich tatsächlich um die Internetadresse des Kreditinstituts handelt. Liegt die Quelle im Ausland, kann dies Indiz auf einen schadhaften QR-Code sein (z.B. „.ru“). Besondere Vorsicht ist bei Shortlinks geboten, da das eigentliche Ziel des Links nicht angezeigt wird.
  • Im Zweifelsfall sollte bei Erhalt eines Schreibens mit QR-Code oder Online-Link das entsprechende Kreditinstitut kontaktiert werden. Dabei sind die richtigen Kontaktdaten auf der Website des Kreditinstituts, im Online-Banking-Account oder auf dem Kontoauszug zu finden; niemals sollten die Kontaktdaten auf dem empfangenen Brief genutzt werden.

Wurden bereits persönliche Bankdaten an die Betrüger weitergeleitet, sollte das Kreditinstitut unverzüglich informiert und der Kontozugang gesperrt werden.

Kontakt > mehr