Gefälschte QR-Codes: Wie Sie sich vor der Betrugsmasche schützen

Autor: dpa, Redaktion (lr) | Kategorie: Geld und Recht | 29.11.2024

Neue Betrugsmasche mit QR-Codes an Parkscheinautomaten.
Foto: Valentin Gensch/dpa

Hinter QR-Codes verstecken sich WLAN-Passwörter, Menükarten oder Tickets – aber auch Betrüger. Aktuell warnt die Polizei vor Betrugsmaschen an Parkscheinautomaten. Was Sie über Quishing wissen müssen und wie Sie sich schützen können.

Um an Geld und persönliche Daten zu kommen, denken sich Betrüger immer wieder neue Maschen aus. Gerade tauchen vermehrt manipulierte QR-Codes an Parkplätzen auf, warnt die Polizei in Baden-Württemberg. Hier lesen Sie, wie man Quishing erkennt und wie man sich davor schützt.

Betrug mit QR-Codes an Parkscheinautomaten

Wer einen gefälschten QR-Code scannt, dem kann eine böse Überraschung blühen. Die Polizei in Baden-Württemberg warnt derzeit vor einer Betrugsmasche mit manipulierten QR-Codes an Parkscheinautomaten, sogenanntes Quishing. Kriminelle überkleben dabei den echten mit einem manipulierten Code. Wer den Fake nicht erkennt, ist schnell sein Geld los.

In Freiburg waren Ende November an mehreren Automaten gefälschte QR-Codes entdeckt worden, wie die örtliche Polizei mitteilte. Im September war eine Frau auf einem Parkplatz in Baden-Baden durch die Masche um 2.000 Euro betrogen worden. Betrüger hätten dort echte QR-Codes der Firma EasyPark überklebt. 

"Bisher sind uns Betrugsversuche in Landau, Baden-Baden, Hannover, Berlin und Frankfurt bekannt", sagte Nico Schlegel, Geschäftsführer von EasyPark Deutschland, auf dpa-Nachfrage. Ob weitere Städte betroffen sein werden, könne man nicht absehen.

Was ist Quishing?

Der Begriff Quishing setzt sich aus den Wörtern "Quick Response" (QR) und "Phishing" zusammen. Beim Phishing versuchen Kriminelle über gefälschte E-Mails, Kurznachrichten oder Briefe an persönliche Daten zu gelangen.

Beim Quishing nutzen sie dafür manipulierte QR-Codes. Diese funktionieren wie ein Link. Wenn Betroffene einen manipulierten Code scannen, werden sie auf eine "täuschend echte" Internetseite weitergeleitet. Dort werden sie dann dazu aufgefordert, Konto- oder Zugangsdaten anzugeben.

Was machen die Betrüger mit den Daten?

Mit den vertraulichen Angaben können Kriminelle die Bankkonten ihrer Opfer plündern, Bestellungen im Internet aufgeben oder auch Schadsoftware installieren. Auch ein Identitätsklau ist denkbar.

Im Fall der gefälschten QR-Codes an Parkscheinautomaten bezahlen Autofahrerinnen und Autofahrer, die auf die Masche hereinfallen, der Cybersicherheitsagentur Baden-Württemberg zufolge womöglich doppelt. "Die Bezahlung landet dann auf einem falschen Konto und Sie bezahlen neben der Parkgebühr, die dann an Kriminelle geht, möglicherweise auch noch ein Knöllchen", warnt die Behörde auf ihrer Internetseite.

Wie kann ich mich vor Quishing schützen?

  • An Parkuhren, Ladesäulen oder anderen Bezahlsystemen im öffentlichen Raum sollte der QR-Code der Polizei zufolge unbeschädigt und ordnungsgemäß angebracht sein.
  • Fake-Codes würden oft als Sticker über die Originalcodes geklebt.
  • Wer einen Code scannt, bekommt meist zunächst den Link auf dem Smartphone angezeigt. Dieser sollte vor dem Öffnen überprüft werden. Wenn in dem Link Satzzeichen oder Tippfehler enthalten sind, könnte das auf eine Fälschung hinweisen. Das Landeskriminalamt (LKA) Baden-Württemberg empfiehlt zudem, die Funktion zum automatischen Öffnen von Links über einen QR-Code, wenn möglich, zu deaktivieren.
  • EasyPark selbst rät, die EasyPark-App aus dem App-Store herunterzuladen. Wenn der QR-Code geöffnet wird, öffne sich die App dann automatisch. Wenn die Anwendung nicht auf dem Smartphone installiert ist, führe ein echter QR-Code direkt zum App-Store – aber niemals zu einer Internetseite.
  • Wird man zur Eingabe von Kredtkartendaten aufgefordert, sollte man besonders vorsichtig sein. Besteht ein begründeter Verdacht, sollte man den Vorgang abbrechen.

Auch an E-Auto-Ladesäulen und in gefälschten Schreiben von Banken oder dem Finanzamt versuchen Kriminelle mit QR-Codes ihr Glück, heißt es von der Cybersicherheitsagentur Baden-Württemberg. Die dort enthaltenen QR-Codes führen auf gefälschte Webseiten, auf denen Kriminelle die eingegebenen Daten gezielt abschöpfen.

Im Zweifel könne man den Absender des QR-Codes per Telefon anfragen und sich die Echtheit der E-Mail oder des Briefes bestätigen lassen, so die Behörde.

Was kann ich tun, wenn ich Opfer eines Betrugs geworden bin?

Im Fall eines Betrugs sollten Betroffene die Polizei informieren und Anzeige erstatten. Das geht über die Online-Wachen oder bei einer örtlichen Polizeidienststelle. Betrugsopfer sollten sofort ihre betroffene Bankkarte sperren lassen und sich gegebenenfalls neue Passwörter einrichten, rät die Polizei.

Zudem sollte man die Kontoabbuchungen im Blick behalten. Wer bereits eine Zahlung veranlasst hat, sollte seine Bank informieren.

Weiterlesen auf oekotest.de: