Woche 3: Von Rechnungsmanipulation bis Abofallen - Vermehrt Betrugsvarianten mit QR-Codes

24.01.2023 - QR-Codes erfreuen sich wachsender Beliebtheit und werden für diverse Zwecke eingesetzt. Nicht nur Links auf Webseiten sind in den Codes hinterlegt, sondern auch ganze Logistikprozesse werden so organisiert. Bei den Rechnungen haben die QR-Codes ebenfalls Einzug gehalten. In der Schweiz werden seit dem 1. Oktober 2022 nur noch Rechnungen mit QR-Code akzeptiert. Dass QR-Codes auch missbraucht werden können liegt auf der Hand. Dies zeigen zwei Beispiele, die dem NCSC in der letzten Woche gemeldet wurden.

Business-E-Mail Compromise – Mit täuschend echter Rechnung - jetzt auch inklusive QR-Code

Angreifer suchen in gehackten E-Mail-Konten vermehrt nach versendeten Rechnungen oder Zahlungsanweisungen. Werden sie fündig, wird die Rechnung kopiert und manipuliert. Die Betrüger ändern die IBAN-Nummer der Rechnung, auf die der Betrag einbezahlt werden soll, und senden diese dem Opfer noch einmal im Namen des eigentlichen Rechnungsstellers zu. Mit irgendeiner fadenscheinigen Begründung wird behauptet, dass sich das Empfängerkonto geändert habe und dass der Empfänger nun auf das neue Konto, das Konto des Betrügers, einzahlen soll.

Bislang beschränkten sich die Angreifer bei diesem Rechnungsmanipulationsbetrug, auch «Business-E-Mail Compromise» genannt, auf die Änderung der IBAN-Nummer in der Rechnung oder wiesen den Rechnungsempfänger einfach darauf hin, dass der Betrag auf ein anderes Konto überwiesen werden soll. Nicht so in diesem Fall, der dem NCSC letzte Woche gemeldet wurde. Die Rechnung wurde täuschend echt manipuliert. Dabei wurde nicht nur die IBAN getauscht, sondern auch der QR-Code entsprechend angepasst. Hinzu kam die Tatsache, dass der Betrag auf ein Schweizer Konto einbezahlt werden soll – dies machte den Betrugsversuch für das Opfer nur schwer erkennbar.

Täuschend echt aussehende Rechnung. IBAN-Nummer sowie QR-Code wurden durch die Betrüger manipuliert.
Täuschend echt aussehende Rechnung. IBAN-Nummer sowie QR-Code wurden durch die Betrüger manipuliert.
  • Sensibilisieren Sie alle Mitarbeitenden, insbesondere die Mitarbeitenden in den Finanzabteilungen und in Schlüsselpositionen über diese möglichen Angriffsweisen.
  • Kommen Sie keinen ungewöhnlichen Zahlungsaufforderungen nach.
  • Verifizieren Sie die Richtigkeit des Auftrages bei ungewöhnlichen Aufforderungen innerhalb der Firma durch telefonische Rücksprache.
  • Sämtliche Prozesse, welche den Zahlungsverkehr betreffen, sollten firmenintern klar geregelt sein und von den Mitarbeitenden in allen Fällen eingehalten werden. (z. B. Vier-Augen-Prinzip, Unterschrift Kollektiv zu zweien).

Wenn der QR-Code plötzlich auf die falsche Webseite geht

In der letzten Woche erhielt das NCSC zudem Meldungen zu einem Informationsschreiben eines Unternehmens, welches per Post versendet worden war. Um den Empfängern die Rückmeldemöglichkeit zu erleichtern, enthielten die Briefe einen QR-Code, der den Empfängern ermöglichte, ohne mühsames Abtippen, direkt auf die richtige Feedback-Seite zu gelangen. Allerdings beklagten sich einige Empfänger beim Absender der Briefe, dass sie auf einer dubiosen Seite gelandet seien, welche Kreditkartendaten verlangt.

Der Hintergrund war zunächst unklar. Eine Manipulation am QR-Code selbst konnte rasch ausgeschlossen werden. Der QR-Code war in allen Briefen identisch, auch bei denjenigen Personen, die das verdächtige Verhalten festgestellt hatten. Der Verdacht fiel deshalb auf den QR-Scanner, insbesondere weil alle Betroffenen immer den gleichen QR-Scanner benutzt hatten. Das NCSC nahm anschliessend den QR-Code-Scanner genauer unter die Lupe. Der Scan-Vorgang zeigte dabei allerdings keine Unregelmässigkeiten und der Link wurde korrekt wiedergegeben. Auffällig war jedoch, dass bei jedem Aufruf im unteren Teil des Bildschirms eine Werbung eingeblendet wurde. Einige dieser Werbungen legen es darauf an, den Benutzer zu verwirren und suggerieren, dass es sich bei der Werbung um einen offiziellen Teil der App handelt.

QR-Code App, welche im unteren Bereich Werbung einblendet. Der Knopf «Start» ist sehr prominent und verleitet gestresste Benutzerinnen und Benutzer statt des richtigen Links, den Link der Betrüger anzuklicken.
QR-Code App, welche im unteren Bereich Werbung einblendet. Der Knopf «Start» ist sehr prominent und verleitet gestresste Benutzerinnen und Benutzer statt des richtigen Links, den Link der Betrüger anzuklicken.

Konkret wird neben dem eigentlichen Link «Verbindung öffnen», der in hellem unscheinbarem Blau umrandet wird, ganz unten in grellem Grün ein Knopf «Start» eingeblendet. Ist man gestresst und schaut sich die Seite nicht genau an, dann drückt man unweigerlich auf den Knopf, der am auffälligsten ist. Genau darauf haben es die Personen, die diese Werbung schalten, abgesehen. Sie kaufen Werbung mit der Absicht, den Benutzer zu verwirren und diesen so zu verleiten, auf den dubiosen Link - in diesem Fall eine Abofalle - zu klicken. Der Anbieter, der seinen Platz für Werbung zur Verfügung stellt und so die App finanziert, kann dagegen kaum etwas unternehmen, da er die Werbung durch Drittfirmen in Auftrag gibt. Er hat keinen Einfluss auf den Inhalt.

Der Hinwies, dass Werbung platziert wird, ist jeweils nur sehr klein eingeblendet und wird deshalb kaum wahrgenommen.

Hinweis, dass der QR-Code Scanner Werbung enthält.
Hinweis, dass der QR-Code-Scanner Werbung enthält.
  • Verwenden Sie zum Scannen von QR-Codes eine zuverlässige und als sicher anerkannte Anwendung (Apps). Der Vorteil dabei ist, dass Ihr Gerät Sie auffordert, die Aktion zu bestätigen, bevor der im QR enthaltene Code ausgeführt wird. Sowohl bei Apple als auch bei Android kann auch die Kamera QR-Codes erkennen.
  • Nach dem Scannen und vor dem Ausführen wird bei den meisten Scannern eingeblendet, was für eine Aktion ausgeführt wird, respektive auf welche Seite verlinkt wird. Überprüfen Sie diese Angaben.
  • Geben Sie niemals Anmeldeinformationen auf einer Website ein, auf die Sie über einen QR-Code zugegriffen haben.
  • Bevor Sie einen QR-Code scannen, betrachten oder berühren Sie ihn, um zu sehen, ob es sich nicht nur um einen Aufkleber handelt, der auf dem Original angebracht ist.
  • Wenn Sie einen QR-Code scannen, der etwas Bösartiges enthält, benachrichtigen Sie sofort den Besitzer des Ortes (Zeitschrift, Website, usw.), an dem Sie ihn entdeckt haben.

Weitere Informationen finden Sie auf unserer Webseite:

Aktuelle Zahlen und Statistiken

Die Anzahl Meldungen der letzten Woche nach Kategorien sind publiziert unter:

Aktuelle Zahlen

Letzte Änderung 24.01.2023

Zum Seitenanfang

https://www.ncsc.admin.ch/vanity/ncsc/23w03-de