Gefälschte QR-Codes an Parkautomaten: Der Betrug geht weiter

Hannover (dpa/tmn) - Betrüger haben Parkautomaten offenbar wieder verstärkt ins Visier genommen. In verschiedenen niedersächsischen Städten seien die aufgedruckten QR-Codes, die den Download oder Start von Park-Apps wie «PayByPhone» oder «Easypark» auslösen sollen, mit falschen QR-Codes überklebt worden, warnt das Landeskriminalamt Niedersachsen.

Die QR-Codes der Betrüger führten zu einer gefälschten Webseite, auf der unter Missbrauch des Namens des jeweiligen Parkapp-Anbieters Fahrzeug- und Kreditkartendaten abgegriffen werden sollen.

Sofort vierstellige Summe abgebucht

In einem Fall in Goslar sei es zu einer Abbuchung einer vierstelligen Summe vom Konto des Geschädigten gekommen, nachdem dieser die geforderten Daten eingegeben hatte, so das LKA weiter. Durch eine schnelle Kontaktaufnahme zur Bank habe das Geld aber noch gerettet werden können.

Wer bereits Kundin oder Kunde eines Park-App-Anbieters ist, startet die Anwendung am besten sicherheitshalber immer selbst und scannt an Parkautomaten gar keine QR-Codes mehr an ein. Und wer die Park-App eines anderen Anbieters installieren muss oder möchte, findet die Anwendung im jeweiligen App-Store sicher auch so.

Bank informieren, Karte sperren, Anzeige erstatten

Opfer eines QR-Code-Phishing-Angriffs - auch als Quishing bezeichnet - sollten so schnell wie möglich ihre Bank informieren und die Karte sperren lassen. Dann gilt es, Anzeige zu erstatten und weiterhin die Kontobewegungen im Blick zu behalten, rät das LKA.

Auch wenn nun zumindest in den aktuell betroffenen niedersächsischen Kommunen Parkautomaten auf Manipulationen hin überprüft werden: Neue Sticker sind schnell geklebt und die Betrüger können es jederzeit und überall versuchen.

Genau hinschauen oder knibbeln

Deshalb hilft nur genaues Hinschauen oder auch Knibbeln, um Überklebungen zu enttarnen. Ein flüchtiger Blick genügt nicht, weil die betrügerischen Sticker professionell gestaltet und teils sogar mit den Schriftzügen und Farben der Parkapp-Anbieter versehen sind.

Von Betrügern überklebte QR-Codes an Parkautomaten, aber auch an E-Auto-Ladesäulen waren bereits vergangenes Jahres vermehrt aufgefallen. Bei Überklebungen sollte man die Polizei oder den örtlich zuständigen Ordnungsdienst informieren.

Codes auch in gefälschten Mails und Briefen

Aber nicht nur im öffentlichen Raum sind QR-Codes mit Vorsicht zu genießen. Auch in gefälschten Werbe-Mails und Briefen, die etwa Schreiben von Banken imitieren, tauchen sie auf.

Fast immer geht es den Betrügern darum, sensible Daten wie Bezahl- oder Kontoinformationen sowie Log-ins abzugreifen. Es kann aber auch sein, dass das Quishing den Download und die Installation von Schadsoftware zum Ziel hat.

Tipps zum sicheren Umgang mit QR-Codes

• Am Smartphone sollte man das sofortige Öffnen von Links aus QR-Codes heraus möglichst deaktivieren, rät das LKA. Stattdessen sollte erst einmal nur der Link oder ein Vorschaubild der Webseite hinter dem Link angezeigt werden. Solche Vorschauen sind meist voreingestellt, wenn man die Smartphone-Kamera oder einen Browser wie Firefox als Scanner nutzt.
   
• Links aus QR-Codes vor dem Öffnen ganz genau anschauen: Handelt es sich um die erwartete Webseite ohne Tippfehler, Zahlen- oder Buchstabendreher? Ist die eigentliche Domain vielleicht gar nicht auf einen Blick zu erkennen, sondern steht ganz am Ende eines sehr langen Links? Ist die eigentliche Adresse verborgen, weil der Link von einem Dienst zum Verkürzen von Internetadressen stammt?