Online-Shopping ist heute ein fester Bestandteil des täglichen Lebens: Lebensmittel, Kleidung und andere Waren werden mit nur wenigen Klicks zu uns nach Hause geliefert. Online-Shopping-Fans, von denen es viele gibt, vergessen manchmal ein Paket oder verpassen einen Anruf des Kurierdienstes. Es überrascht nicht, dass dies von Angreifern ausgenutzt wird, die gefälschte Lieferbenachrichtigungen als Köder verwenden.
Ein Beispiel hierfür sind Cyberkriminelle, die sich als der internationale Expresskurierdienst DHL ausgeben. Doch statt des üblichen Phishing-Links ist es ein QR-Code, der in der erhaltenen E-Mail enthalten ist, der diese Art von Betrug in Gang setzt. Wie und warum, das ist das Thema dieses Beitrags.
„Ihr Paket ist in der Poststelle eingetroffen“
Ein Angriff beginnt mit einer E-Mail, die scheinbar von DHL stammt. Obwohl die Absenderadresse aus einer zufälligen Wortfolge besteht, die keinerlei Ähnlichkeit mit dem Namen des Kurierdienstes hat, ist der Inhalt der Nachricht recht überzeugend: Firmenlogo, Auftragsnummer (wenn auch gefälscht) und angebliches Eingangsdatum eines Pakets.
Die Nachricht selbst (in diesem Fall auf Spanisch) besagt, dass eine Bestellung in einer örtlichen Poststelle eingetroffen ist, aber der Kurierdienst nicht in der Lage war, sie persönlich zuzustellen. Normalerweise wird ein solcher Köder von einem Link begleitet, um „das Problem zu lösen“, aber dieses Mal gibt es stattdessen einen QR-Code.
Ein QR-Code ist ein ziemlich vielseitiges Werkzeug. Er kann zum Beispiel verwendet werden, um eine WLAN-Verbindung herzustellen, einen Einkauf zu bezahlen oder zu bestätigen, dass Sie eine Eintrittskarte für ein Konzert oder einen Film gekauft haben. Am häufigsten werden sie jedoch für die Offline-Verbreitung von Links verwendet: Das Scannen eines schwarz-weißen Quadrats, das auf Produktverpackungen, Werbeplakaten, Visitenkarten oder anderswo erscheinen kann, führt schnell zur entsprechenden Webseite.
Selbstverständlich haben die Angreifer in diesem Fall nicht die Benutzerfreundlichkeit im Auge. Die Idee scheint zu sein, dass falls das Opfer die E-Mail zunächst auf einem Computer öffnet, es den QR-Code trotzdem mit einem Smartphone lesen muss, was bedeutet, dass die bösartige Webseite auf dem kleinen Bildschirm eines Mobiltelefons geöffnet wird, wo Anzeichen von Phishing schwerer zu erkennen sind. Aufgrund des begrenzten Platzes in mobilen Browsern sind die URLs nicht vollständig sichtbar. Und in Safari wurde die Adressleiste kürzlich an den unteren Rand des Bildschirms verschoben, wo viele Nutzer gar nicht hinschauen. Das spielt den Cyberkriminellen direkt in die Hände, denn die URL ihrer gefälschten Webseite sieht ganz anders aus als die offizielle: Das Wort DHL taucht nicht einmal auf.
Auch der Text der Webseite ist klein, sodass die Designfehler weniger auffallen. Auf jeden Fall sind es nicht allzu viele: Die Seite begrüßt die Benutzer mit den typischen gelben und roten Farben, der Firmenname wird unten angezeigt, und der Text ist bis auf ein paar Kleinbuchstaben am Anfang von Sätzen ziemlich fehlerlos.
Dem Opfer wird mitgeteilt, dass das Paket innerhalb von 1 bis 2 Tagen eintreffen wird; um es zu erhalten, wird es aufgefordert, seinen Vor- und Nachnamen sowie seine Adresse mit Postleitzahl anzugeben. Der Zustelldienst fragt tatsächlich nach solchen Informationen, sodass kein Verdacht aufkommt.
Doch damit ist das Datensammeln noch nicht beendet. Auf der nächsten Seite wird das Opfer aufgefordert, noch sensiblere Informationen preiszugeben: Bankkartendaten, einschließlich des CVV-Codes auf der Rückseite – angeblich, um die Lieferung zu bezahlen. Die Angreifer nennen keinen Betrag, sondern erwähnen nur, dass die Kosten von der Region abhängen, und versichern, dass das Geld erst abgebucht wird, wenn das Paket eintrifft. Tatsächlich verlangt die echte DHL die Zahlung für die Zustellung im Voraus, wenn die Bestellung aufgegeben wird. Falls ein Kunde den Kurier tatsächlich verpasst, wird ein weiterer kostenloser Zustellversuch unternommen.
Was machen die Kriminellen mit Ihren Zugangsdaten?
Es ist unwahrscheinlich, dass die Kriminellen die Karte des Opfers sofort belasten. Dadurch bringt das Opfer die Abbuchung nicht mit der gefälschten „DHL“-E-Mail in Verbindung. Wahrscheinlicher ist, dass sie die Zahlungsdaten im Dark Web verkaufen und der Käufer dort später das Geld abhebt – wenn das Opfer das nicht existierende Paket vielleicht schon vergessen hat.
Wie Sie sich schützen können
In diesem Fall gelten alle klassischen Regeln zum Schutz vor Cyberbetrug:
Wenn Sie eine E-Mail erhalten, die vorgibt, von einem bekannten Dienst zu stammen, überprüfen Sie immer die E-Mail-Adresse des Absenders. Steht nach dem @ nicht der echte Name des Unternehmens, handelt es sich höchstwahrscheinlich um einen Betrug. Weitere Erkennungszeichen finden Sie in unserem separaten Beitrag.
Falls Sie ein Paket erwarten, notieren Sie sich unbedingt den Sendungsverfolgungscode und überprüfen Sie den Status auf der offiziellen Webseite, indem Sie diese über Favoriten öffnen oder die URL manuell in eine Suchmaschine eingeben.
Um auf Nummer sicher zu gehen, verwenden Sie beim Scannen von QR-Codes unseren Kaspersky QR Scanner (verfügbar für Android und iOS. Die App teilt Ihnen mit, falls der Code auf eine gefährliche Webseite verweist.
Statten Sie alle Geräte mit einem zuverlässigen Antivirus mit Anti-Phishing- und Anti-Betrugsschutz aus, der Sie rechtzeitig vor jeder Gefahr warnt.