Vor und nach den Weihnachtsfeiertagen fanden und finden Betrugsversuche statt, bei denen unerwartete Pakete an Adressen geschickt werden. Aus der Freude über ein Geschenk kann aber schnell ein Schrecken werden. Den Hype um Mystery-Boxen machen sich die Betrüger ebenfalls zu Nutze, indem sie QR-Codes in die Boxen stecken und diese entsprechend labeln.
Neben preiswerten Artikeln enthalten die Pakete nämlich auch einen QR-Code, den Nutzer mit der Kamera ihres Smartphones scannen können. Da sie nicht wissen, wer das Paket verschickt hat, liegt es nahe, dass die Empfänger den Code scannen, um weitere Informationen über das Paket zu erhalten. Auf diese Neugier setzen die Cyberkriminellen.
Denn dieses unerwartete „Geschenk“ stammt in Wirklichkeit von ihnen. Bei diesem als „Brushing“ bezeichneten Betrug ist das Paket nur ein Trick, um Nutzer neugierig zu machen, den QR-Code zu scannen. Scannen sie den Code, werden sie auf eine gefälschte Webseite weitergeleitet und aufgefordert, persönlichen Daten einzugeben, um weitere Informationen über das Paket zu erhalten. Aber statt mehr über den Absender und seine Intentionen zu erfahren, werden die Daten an Cyberkriminelle weitergegeben, die damit allerlei Betrug im Namen des Opfers durchführen.
Beliebt ist beispielsweise, dass die Nutzerdaten für Online-Bewertungen genutzt werden, um bestimmte Produkte oder Dienstleistungen auf einschlägig bekannten Webseiten abzugeben.
Sicherheitsexperte und CISO-Advisor Dr. Martin Krämer von KnowBe4 gibt Verbrauchern die folgenden Tipps, damit sie nicht Opfer des Brushing-Betrugs werden: „Nutzer sollten nach Erhalt eines unerwarteten Pakets niemals den beigelegten QR-Code scannen, egal wie neugierig man ist. Jeder dieser QR-Codes sollte wie ein Link in einer Phishing E-Mail behandelt werden. Darüber hinaus ist dies ein Warnzeichen, denn unerwartete Warensendungen könnten ein Zeichen dafür sein, dass die Adresse oder Anmeldedaten des Empfängers aus dem Darknet eingekauft wurden, um daraus Profit zu schlagen. Nutzer sollten daraufhin alle Account Passwörter, die sie bei öffentlich zugänglichen Portalen hinterlegt haben, überprüfen und eventuell ändern. Noch immer gilt der Ratschlag, Passwörter nur einmalig zu vergeben. Bei einschlägig bekannten Shops und Einkaufsplattformen sollten die letzten Bestellungen überprüft werden, um etwaige Paketsendungen überprüfen zu können. Es bleibt die Regel, nichts im Internet ist umsonst, Nutzer zahlen im Zweifel mit ihren Daten.“
Info: Weitere Warnhinweise finden Verbraucher unter anderem auch bei DHL hier: https://www.dhl.de/de/toolbar/footer/sicherheitshinweise.html
#KnowBe4
