Der gefälschte QR-Code sieht täuschend echt aus. In seiner Mitte ist das Unternehmenslogo von EasyPark aufgedruckt, darunter steht "Scan & Pay". Wer den Code jedoch mit seinem Handy abscannt, gelangt auf eine gefälschte Internetseite. Autofahrer müssen dort Parkzone, Kennzeichen und Parkzeit angeben und werden dann dazu aufgefordert, ihre Kreditkartendaten einzugeben. Auf diese haben es die Betrüger offenbar abgesehen.
Falsche QR-Codes erkennen
EasyPark ist in vielen Städten Nordrhein-Westfalens aktiv, zum Beispiel in Düsseldorf, Köln, Duisburg oder Bonn. Die gefälschten QR-Codes sind aktuell in der niedersächsischen Landeshauptstadt Hannover aufgefallen. Mitarbeiter der Stadt hatten sie dort als Aufkleber auf Automaten entdeckt, als sie Parkscheinautomaten geleert hatten. Einen ähnlichen Vorfall hatte es im Oktober im pfälzischen Landau gegeben.
Das Unternehmen EasyPark warnt auf seiner Webseite: "Echte QR-Codes sind immer in unsere Schilder integriert und nicht als einzelne Aufkleber angebracht." Und wer auf Nummer Sicher gehen will, solle zum Bezahlen am besten die App des Unternehmens nutzen. Hier sollte man auf jeden Fall darauf achten, dass es wirklich die echte App ist, runtergeladen von einer vertrauenswürdigen Software-Plattform, wie zum Beispiel dem Play Store von Google oder dem App-Store von Apple.
Betrugsmasche "Quishing" nimmt zu
Das sogenannte Quishing nimmt schon seit einiger Zeit zu. Es ist eine Form des "Phishings": Betrüger versuchen, mit Hilfe von QR-Codes nach sensiblen Daten von Betrügern zu "fischen". Die Betrugsmasche wird bei Kriminellen beliebter, weil die Opfer oft nicht merken, dass sie auf eine gefälschte Webseite weiter geleitet werden. "Wenn man einfach den QR - Code scannt, und sich eine Internetseite öffnet, weiß man nicht unbedingt, ist dass die richtige oder die falsche", erklärt Hauke Mormann von der Verbraucherzentrale NRW.
"Tausende" Betrugsmöglichkeiten
Das ist in vielen Bereichen möglich, sagt Martin Mehlhorn vom Landeskriminalamt NRW. "Theoretisch gibt es tausende Möglichkeiten, mittlerweile in unserem digitalisierten Leben, an Parksäulen, an Elektrosäulen, wo man den Strom tanken kann, oder auch gefakte Schreiben von Banken, von Finanzämtern." Vor einigen Monaten zum Beispiel wurden zehntausende Briefe verschickt, die angeblich von der Commerzbank kamen, tatsächlich aber von Betrügern. Auch in diesen Briefen befand sich ein QR-Code, über den die Bankkundinnen und -kunden ihre Bankdaten eingeben sollten.
Und auch die Aufkleber-Masche ist nicht neu, die gab es es auch schon an Ladesäulen für E-Autos. Das Ziel ist immer das gleiche: Betrüger versuchen an Geld oder vertrauliche Daten wie Konto- oder Kreditkartennummern zu kommen.
Warnung vor falschen QR-Codes an Automaten. WDR Studios NRW. 18.11.2024. 00:56 Min.. Verfügbar bis 18.11.2026. WDR Online.
Wie kann man sich schützen?
Es gibt Möglichkeiten, sich vor Quishing zu schützen. Login Seiten von Banken sollten Nutzer niemals googlen, stattdessen die Web-Adresse von Hand in die Browserleiste eingeben oder ein Lesezeichen setzen. Außerdem sollten der QR-Code Scanner oder die Kamera-App die Adresse anzeigen, die verlinkt ist, bevor die Seite geöffnet wird.
Um auf Nummer sicher zu gehen, sollten Nutzer die offiziellen Apps der Anbieters benutzen, also bei Parkgebühren zum Beispiel die App von Easypark. Diese Apps sollten nur von vertrauenswürdigen Plattformen wie dem App-Store oder bei Google Play heruntergeladen werden. Martin Mehlhorn vom LKA empfiehlt, am besten gar nicht auf Webseiten zu gehen, sondern nur auf den Hersteller - Apps zu bezahlen: "Weil, was die Betrüger nicht können, ist auf die App des Herstellers zugreifen."
Unsere Quellen:
- "EasyPark"
- Landeskriminalamt Niedersachsen
- Stadt Hannover
- Landeskriminalamt Nordrhein - Westfalen
- Verbraucherzentrale NRW