Normalerweise versuchen Kriminelle, den Menschen etwas zu nehmen. Ihnen Geschenke zu schicken, gehört nicht zu ihrem Repertoire. Mit einer Ausnahme. Beim sogenannten Brushing profitieren tatsächlich die „Opfer“. Sie erhalten unterschiedliche Waren zugeschickt, die sie auch behalten dürfen. Die freundlichsten Kriminellen der Welt also? Nicht ganz. Denn der eigentliche Betrug findet an einer anderen Stelle statt.
➔ Niemand ist sicher: Auch deine Marken-Technik könnte gefälscht sein
Eine neue Variante von Brushing
Üblicherweise verschicken die Täter Pakete an fremde Adressen in Deutschland, um anschließend im Namen der Empfänger bei Amazon und Co. positive Rezensionen verfassen zu können. Sie verdienen also nicht an den Warenempfängern, sondern an einem höheren Produktumsatz. Und da nicht bestellte Ware grundsätzlich nicht bezahlt werden muss, können die „Opfer“ die Produkte nach Auffassung der Verbraucherzentrale behalten. Mehr dazu in unserem Brushing-Ratgeber.
Also ein zumindest aus Empfängersicht opferloses Verbrechen? Nicht ganz. Oder zumindest nicht mehr. Denn nach Angaben des Sicherheitsdienstleisters Knowbe4 kursiert derzeit auch eine weitere Brushing-Variante. Und diese ist für Betroffene deutlich gefährlicher.
Demnach erhalten Empfänger nicht nur unbestellte Geschenkpakete, sondern – im Lieferumfang enthalten – auch böswillige QR-Codes. Diese Masche ist auch bekannt als Quishing. Scannt man einen QR-Code, öffnet sich eine gefälschte Webseite. Hier wird man aufgefordert, persönliche Daten preiszugeben, um weitere Informationen über das Paket zu erhalten. Stattdessen landen die Daten jedoch bei Cyberkriminellen und können anschließend für Identitätsdiebstahl oder gezielte Phishing-Angriffe auf die Empfänger verwendet werden.
„Nutzer sollten nach Erhalt eines unerwarteten Pakets niemals den beigelegten QR-Code scannen, egal wie neugierig man ist“, sagt Sicherheitsexperte Martin Krämer von KnowBe4. Laut Amazon droht den Tätern der Entzug ihrer Verkaufsberechtigung, zurückgehaltene Zahlungen und nicht zuletzt eine Strafanzeige.
QR-Codes bereits eingescannt?
Solltest du den QR-Code bereits eingescannt und Daten preisgegeben haben, empfiehlt es sich je nach Art der Daten, Passwörter abzuändern, eine Zwei-Faktor-Authentifizierung einzurichten oder betroffene Geldkarten sperren zu lassen. Ferner kann eine zeitnahe Anzeige bei der Polizei helfen, sollten später Probleme mit Identitätsdiebstahl bestehen. Grundsätzlich raten wir jedoch davon ab, verdächtige QR-Codes auch nur einzuscannen. Denn abseits von Phishing können diese auch einen sofortigen Download von Schadsoftware einleiten.
Über unsere Links
Mit diesen Symbolen kennzeichnen wir Partner-Links. Wenn du so einen Link oder Button anklickst oder darüber einkaufst, erhalten wir eine kleine Vergütung vom jeweiligen Website-Betreiber. Auf den Preis eines Kaufs hat das keine Auswirkung. Du hilfst uns aber, inside digital weiterhin kostenlos anbieten zu können. Vielen Dank! Preisangaben basieren auf dem Zeitpunkt der Veröffentlichung dieses Artikels und können Schwankungen unterliegen.
