Die Volksbank im Münsterland warnt aktuell vor einer neuen Betrugsmasche, die täuschend echt aussieht und viele Kundinnen und Kunden verunsichert. Kriminelle versenden derzeit Briefe, die wie offizielle Bankpost gestaltet sind – inklusive Logo, Briefkopf und korrekter Schriftgestaltung. Doch der Inhalt hat es in sich: Empfängerinnen und Empfänger werden dazu aufgefordert, einen QR-Code zu scannen, um angeblich ihr Sicherheitsverfahren oder die TAN-App „SecureGo“ zu aktualisieren.
Wer dieser Aufforderung folgt, gelangt auf eine täuschend echt nachgebildete Internetseite. Dort fragen die Betrüger gezielt sensible Daten ab – darunter Benutzername, PIN und persönliche Angaben wie Telefonnummer oder Geburtsdatum. In manchen Fällen folgt anschließend sogar ein Anruf, bei dem die Täter versuchen, Freigaben für Transaktionen zu erzwingen. Das Ziel: Zugriff auf Konten und Ersparnisse.
Die Masche wirkt deshalb so gefährlich, weil die Briefe professionell gestaltet sind. Sie tragen den Namen „Volksbanken Raiffeisenbanken eG“, enthalten echte Banklogos und teilweise korrekte Adressdaten. Der Eindruck eines offiziellen Schreibens entsteht sofort. Die Täter nutzen dabei gezielt die hohe Glaubwürdigkeit von Bankpost aus, um Opfer in Sicherheit zu wiegen.
Der Betrug läuft nach dem Prinzip des sogenannten „Quishing“ – also Phishing über QR-Codes. Statt auf einen Link in einer E-Mail klicken Betroffene in diesem Fall auf den Code, der auf dem Brief abgedruckt ist. Das führt direkt auf eine gefälschte Login-Seite. Dort werden Daten abgegriffen, mit denen die Kriminellen später Überweisungen oder andere Bankgeschäfte im Namen der Opfer ausführen können.
Die Volksbank Münsterland rät allen Kundinnen und Kunden, genau hinzuschauen:
Echtes Bankpost erkennt man daran, dass keine QR-Codes zur Eingabe von Online-Banking-Daten verwendet werden.
Offizielle Schreiben enthalten keine Aufforderung, persönliche Zugangsdaten, PIN oder TAN preiszugeben.
Der Absender ist immer die konkrete Bankfiliale, nicht eine allgemeine Bezeichnung wie „Volksbanken Raiffeisenbanken eG“.
Verdächtige Formulierungen wie „letzte Frist“, „Sicherheitsupdate“ oder „Verifizierung erforderlich“ sind typische Warnsignale.
Wer einen solchen Brief erhält, sollte ihn nicht beantworten, keinen QR-Code scannen und keine Daten eingeben. Im Zweifel empfiehlt es sich, den Brief persönlich in der Filiale vorzulegen oder telefonisch über die bekannte Nummer der Bank nachzufragen – niemals über die im Schreiben genannte Hotline.
Wer bereits einen QR-Code aus einem solchen Brief gescannt oder Daten eingegeben hat, sollte sofort handeln. Die Bankzugänge müssen umgehend gesperrt werden, um weitere Schäden zu verhindern. Dazu kann der zentrale Sperr-Notruf 116 116 rund um die Uhr genutzt werden. Außerdem sollte die Volksbank direkt kontaktiert und der Vorfall geschildert werden.
Auch die Polizei rät dazu, den Betrugsversuch zu melden. Solche Informationen helfen, Täterstrukturen besser zu erkennen und andere Kundinnen und Kunden zu schützen.
Die Volksbank Münsterland betont in ihrer Mitteilung, dass sie niemals QR-Codes oder Links per Post verschickt, über die Kundinnen und Kunden Zugangsdaten eingeben sollen. Alle sicherheitsrelevanten Mitteilungen werden ausschließlich über die offiziellen Kanäle – etwa das elektronische Postfach oder die VR-Banking-App – übermittelt.
Die Methode, über QR-Codes Phishing zu betreiben, ist bundesweit auf dem Vormarsch. Cyberkriminelle nutzen sie inzwischen nicht nur in E-Mails, sondern auch auf Plakaten, Flyern oder eben in Briefen. Da QR-Codes in der Regel Vertrauen auslösen und Nutzer sie mit dem Smartphone öffnen, bemerken viele erst zu spät, dass sie auf einer gefälschten Seite gelandet sind.
Laut Verbraucherschützern häufen sich die Fälle seit Mitte des Jahres. Betroffen sind nicht nur Volksbanken, sondern auch Sparkassen und Direktbanken. Der Digitalverband Bitkom warnt, dass Quishing zu den am stärksten wachsenden Betrugsmethoden im Onlinebanking gehört.
