Betrugswelle: Falsche Strafzettel und Gerichtsbescheide im Umlauf

Die Betrüger setzen auf SMS, QR-Codes und täuschend echte Briefe.

QR-Codes als Einfallstor für Betrug

In Texas haben Ermittler eine besonders perfide Variante des Phishings entdeckt. Das Sheriff-Büro von Harris County berichtet von SMS-Nachrichten, die angeblich von Gerichten stammen. Die Texte enthalten offizielle Siegel und fordern zur Zahlung von Strafgeldern auf – per QR-Code.

Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam gegen Cyberkriminalität schützen kann. In 4 Schritten zur erfolgreichen Hacker-Abwehr

Wer den Code scannt, landet auf einer gefälschten Zahlungsseite. „Behörden fordern niemals Zahlungen per QR-Code in SMS an“, stellt das Sheriff-Büro klar. Die Masche ist gefährlich, weil sie die üblichen Browser-Sicherheitsfilter umgeht.

Ähnliche Fälle gibt es in Michigan. Dort erhalten Bürger Briefe mit dem Briefkopf der Staatspolizei. Gefordert werden „Bearbeitungsgebühren“ für angebliche Freigaben. Die Behörde stellt klar: Solche Schreiben sind zu 100 Prozent gefälscht.

Betrug mit Baugenehmigungen und Messeständen

Die Welle erfasst auch Kommunalverwaltungen. Im Benton County im Bundesstaat Washington geben sich Kriminelle als Planungsbehörden aus und verlangen Überweisungen für erfundene Genehmigungsgebühren. Die Mails sind so professionell gestaltet, dass selbst erfahrene Mitarbeiter sie kaum von echten unterscheiden können.

Auf dem Land schlagen Betrüger sogar bei Volksfesten zu. Das Sheriff-Büro von Rock County ermittelt gegen einen Unbekannten, der sich als Verantwortlicher der 4-H-Messe ausgab und von Ausstellern Zahlungen forderte.

Sicherheitslücke: Vertrauen in Behörden-IT schwindet

Der Zeitpunkt der Betrugswelle ist kein Zufall. Eine Studie der IT-Berater Deloitte und des Verbands NASCIO zeigt: Nur noch 22 Prozent der obersten IT-Sicherheitsbeauftragten der US-Bundesstaaten sind „sehr zuversichtlich“, dass sie ihre Daten schützen können. 2022 waren es noch 48 Prozent.

Die größten Sorgen bereiten Sicherheitslücken bei externen Dienstleistern (78 Prozent), Phishing-Angriffe (67 Prozent) und KI-gestützte Attacken (55 Prozent). 16 Prozent der Behörden mussten zuletzt sogar ihre IT-Budgets kürzen.

Milliarden-Schäden durch raffinierte Angriffe

Parallel zu den lokalen Betrugsfällen läuft eine massive globale Phishing-Kampagne. Microsoft identifizierte zwischen dem 14. und 16. April über 35.000 Angriffsversuche auf 13.000 Organisationen in 26 Ländern. 92 Prozent der Angriffe zielten auf die USA – vor allem auf Gesundheitswesen, Finanzsektor und Technologiebranche.

Die Hacker nutzen eine Technik namens „Adversary-in-the-Middle“. Statt bloß Passwörter zu stehlen, fangen sie Authentifizierungs-Tokens ab und umgehen so die Zwei-Faktor-Authentifizierung. Tarnung: E-Mails mit dem Betreff „Verhaltenskodex“.

CEO-Fraud: Warum selbst erfahrene Mitarbeiter auf gefälschte Chef-E-Mails hereinfallen. Ein kostenloser Report zeigt, welche psychologischen Tricks Hacker gezielt einsetzen und wie Firmen aus Verwaltung, Handel und Produktion reagieren sollten. Kostenlosen Anti-Phishing-Leitfaden jetzt herunterladen

Ein spektakulärer Fall zeigt, wie hoch die Schäden sein können: Die Behörden in Singapur konnten mit internationaler Hilfe rund 6,6 Millionen US-Dollar (etwa 6,1 Millionen Euro) zurückholen, die ein Rohstoffhändler durch manipulierte E-Mail-Domains verloren hatte.

USA verschärfen Abwehrmaßnahmen

Die US-Bundesbehörde für Cybersicherheit CISA hat ein neues Programm namens „CI Fortify“ gestartet. Betreiber kritischer Infrastruktur müssen Pläne vorlegen, wie sie „Wochen bis Monate“ ohne externe Internetverbindung auskommen – etwa bei einem Cyberangriff oder militärischen Konflikt.

Ziel ist der Schutz vor staatlich gesteuerten Hackergruppen wie Salt Typhoon oder Volt Typhoon. Die Strategie setzt auf strikte Trennung von Verwaltungs- und Betriebsnetzen sowie manuelle Backup-Prozesse.

Auch international wächst der Druck. Die Türkei verabschiedete Anfang Mai eine umfassende nationale Cybersicherheitsstrategie. Daten werden darin als „nationales Gut“ eingestuft, der Aufbau eigener Technologien für Energie, Finanzen und Verteidigung priorisiert.

Was Bürger jetzt wissen müssen

Sicherheitsexperten raten zu einem einfachen Prinzip: Bei jeder unaufgeforderten Zahlungsaufforderung – ob per SMS, Mail oder Brief – gilt: erst prüfen, dann zahlen. Keine QR-Codes aus unbekannten Nachrichten scannen, keine Überweisungen auf verdächtige Konten tätigen.

Für Unternehmen und Behörden bleibt die Herausforderung, das Vertrauensdefizit zu schließen. Immerhin arbeiten Anbieter wie CrowdSrike mit Partnern wie Cognizant und KPMG an KI-gestützten Sicherheitslösungen, die Schwachstellen schneller erkennen sollen.

Bis dahin gilt: Wer einen verdächtigen Strafzettel oder Gerichtsbescheid erhält, sollte ihn ignorieren und bei der örtlichen Polizei oder der US-Verbraucherschutzbehörde FTC melden.

de | wissenschaft | 69284405 |