Warnung vor aktueller Betrugswelle mit gefälschten Briefen
Auf keinen Fall sollten Praxen der Aufforderung in den Briefen folgen. Denn der enthaltene QR-Code führt auf eine gefälschte Internetseite. Gibt man dort seine Zugangsdaten ein und klickt auf Anmelden, können sich Betrüger die vertraulichen Zugangsdaten aneignen und auf das Konto zugreifen.
Offizielle Website aufrufen
Die apoBank gibt aktuelle Sicherheitshinweise auf ihrer Internetseite. Demnach sollen Kunden Zugangsdaten nur über die offizielle Website und App der apoBank eingeben. Außerhalb dieser Kanäle frage die apoBank niemals nach persönlichen Zugangsdaten oder TAN-Nummern, teilt die Bank mit. Wer bereits Daten preisgegeben oder Überweisungen durchgeführt hat, solle unverzüglich die Betrugs-Hotline der apoBank kontaktieren.
Betrüger nutzen zahlreiche Varianten
Phishing erfolgt häufig per E-Mail, es gibt aber mittlerweile zahlreiche Varianten und Wege – per SMS, Anruf oder QR-Code in einem seriös wirkenden Brief.
In ihrem Fortbildungsportal für Medizinische Fachangestellte stellt die KBV eine Schulung zum Thema Phishing für Praxisangestellte bereit. Eine Anleitung, wie Ärztinnen und Ärzte das Fortbildungsportal nutzen können, um ihr Praxisteam zu schulen, gibt es hier.
Angriffe auf die IT-Sicherheit in Arzt- und Psychotherapiepraxen erfolgen häufig initial per E-Mail. Die IT-Sicherheitsrichtlinie der KBV enthält eine Vorgabe für den Umgang mit Spam bei E-Mails. Demnach sollten Praxisteams grundsätzlich alle Spam-E-Mails ignorieren und löschen, nicht auf unerwünschte E-Mails antworten und Links in solchen E-Mails nicht anklicken.
Phishing per QR-Code
Verbraucherzentrale und Bundesamt für Sicherheit in der Informationstechnik warnen seit einiger Zeit vor der Betrugsmasche Phishing per QR-Code („Quishing“). Betrüger nutzen hierbei aus, dass man bei einem QR-Code nicht wissen kann, welche Informationen wirklich hinterlegt sind.
Dabei überkleben Betrüger mittlerweile auch seriöse QR-Codes in Bussen und Bahnen, an Parkscheinautomaten oder auf Plakaten mit ihren betrügerischen QR-Codes. Oder sie verschicken täuschend echte Briefe im Namen seriöser Firmen und Verbände. Daher ist bei QR-Codes generell Vorsicht geboten.
Aktuelle Phishing-Welle
Bei der aktuellen Phishing-Welle geben sich Betrüger als Deutsche Apotheker- und Ärztebank (apoBank) aus, um von deren Kunden individuelle Zugangsdaten wie PIN und Passwort abzugreifen.
So gehen Betrüger vor
Zunächst senden die Betrüger einen Brief an die Praxen mit einem QR-Code und einer Aufforderung, darüber Änderungen der Bank (z. B. Wechsel des Sicherheitsverfahrens) zu bestätigen. Auf einer Webseite mit dem nachgebautem Auftritt der apoBank sollen dann die Zugangsdaten eingegeben werden.
So können sich Praxen schützen
- Generelle Skepsis bei QR-Codes: Seien Sie stets skeptisch bei QR-Codes, auch wenn sie von scheinbar bekannten Quellen stammen.
- Direktes Aufrufen der Ziel-URL: Anstatt den QR-Code zu scannen, rufen Sie die Internetseite direkt auf.
- Misstrauen bei Dringlichkeit: Scannen Sie keine QR-Codes, die unter Druck oder unter dem Vorwand von dringenden Problemen angeboten werden.
- Schnelles Handeln: Wenn Sie bereits Daten preisgegeben oder Überweisungen durchgeführt haben, kontaktieren Sie unverzüglich die offizielle Betrugs-Hotline der apoBank: 0211 59794-7777.
- Warnung weitergeben: Informieren Sie Ihre Kolleginnen und Kollegen und andere, die betroffen sein können, über die Betrugsversuche. Ein frühzeitiger Warnhinweis kann im Ernstfall viel Schaden verhindern.