Düsseldorf. Immer öfter nutzen Kriminelle gefälschte QR-Codes für ihre Betrügereien. Bei der neuesten Masche müssen vor allem Autofahrer aufpassen.

Rabatte im Restaurant, Infos über Veranstaltungen, Mieten von E-Scootern oder Bezahlen von Parktickets: QR-Codes begegnen den Menschen im Ruhrgebiet im täglichen Leben immer öfter. In so einem QR-Code können bis zu 7089 Ziffern oder 4296 Zeichen, einschließlich Satz- und Sonderzeichen, gespeichert werden. Das heißt, damit lassen sich auch längere Ausdrücke wie Internet-Adressen verschlüsseln. QR steht für „Quick Response“ (schnelle Antwort) und hält, was der Name verspricht. Hat man den Code mit seiner Handy-Kamera eingescannt, wird man binnen Sekunden zu der integrierten Web-Adresse geführt – mühsames Eintippen überflüssig. Doch die Einfachheit hat ihre Tücken.

QR-Codes: Gefahr ist auf den ersten Blick nicht ersichtlich

Denn die Gefahr bei QR-Codes ist, dass es auf den ersten Blick nicht ersichtlich ist, wohin sie tatsächlich führen. Sie können auf eine offizielle Seite verweisen, aber auch zu einem Fake-Shop auf einer gefälschten Adresse. Die Smartphones merken den Unterschied in der Regel nicht. Denn ein QR-Code wird von den meisten Sicherheitsprogrammen nur als Bild erkannt und nicht für ein Risiko gehalten. Das öffnet Betrügereien Tür und Tor. Quishing nennt sich das Phänomen – ein Kunstwort zusammengesetzt aus den Begriffen „QR“ und dem bisher vor allem bei falschen E-Mails eingesetzten „Phishing“.

Auch auf den Original-Automaten gibt es einen QR-Code. Hier ist alles okay, immer öfter aber überkleben Kriminelle den Code mit einer Fälschung.
Auch auf den Original-Automaten gibt es einen QR-Code. Hier ist alles okay, immer öfter aber überkleben Kriminelle den Code mit einer Fälschung. © FUNKE Foto Services | Lars Fröhlich

Derzeit sind vor allem Autofahrer ins Visier von Cyber-Kriminellen geraten. Und zwar dann, wenn sie ihr Fahrzeug parken wollen. In mehr als 600 deutschen Städten – darunter auch in Essen, Duisburg oder Dortmund – geht das recht einfach mithilfe des Parkdienstleisters „Easypark“. Wer nicht bar oder mit Karte zahlen möchte, kann an den zahlreichen Automaten des Anbieters einfach einen QR-Code zwecks Abrechnung einscannen.

Diese QR-Codes werden nun seit einiger Zeit von Unbekannten einfach mit gefälschten QR-Codes überklebt. Wer eine dieser Fälschungen einscannt, wird – ohne es zu merken – auf falsche Internetseiten umgeleitet. Dort lässt sich wie in der Original-App von „Easypark“ eine Parkzone auswählen sowie das Kennzeichen und eine Parkdauer eingeben. Anschließend sollen die Kreditkartendaten eingegeben werden.

Falsche Internetseiten sehen täuschend echt aus

Aufgefallen ist der neue Trick zuerst in Berlin. Wenig später meldeten Landau und Hannover manipulierte Automaten, seit einigen Tagen sind die falschen Aufkleber auch in Düsseldorf aufgetaucht. Bis sie von den Kriminellen in weiteren Städten eingesetzt werden, ist es nach Einschätzung der Polizei nur eine Frage der Zeit.

Allem Anschein nach sind dabei keine Anfänger am Werk. Die Aufkleber nutzten „missbräuchlich das Logo des Anbieters“ und seien überhaupt „ziemlich gut gestaltet“, hat das Landeskriminalamt in Hannover festgestellt. Genau wie die Internetseiten, auf die die Opfer geleitet werden. Sie sind nach Einschätzung des LKA „nahezu identisch zur Originalseite gestaltet“, haben allerdings die Adresse easypark.live statt easypark.de.

„Ob ein Betrag und welcher Betrag abgebucht wird, ist derzeit nicht bekannt. Es kann sein, dass die Täter die Kreditkartendaten auch für andere Zwecke missbräuchlich sammeln und später einsetzen“, schreibt das LKA. Diese Daten, warnen Sicherheits-Experten wie Patrycja Schrenk, Geschäftsführerin der Internet-Sicherheitsfirma PSW Group, könnten von den Kriminellen unter anderem dazu genutzt werden, um Einkäufe auf Online-Plattformen im Namen der ahnungslosen Nutzer zu tätigen. Im vorliegenden Fall, so das LKA, sei die Adresse Easypark.live nicht mehr abrufbar.

Auch in Herne gibt es Handyparken schon seit längerer Zeit.
Auch in Herne gibt es Handyparken schon seit längerer Zeit. © FUNKE Foto Services | Klaus Pollkläsener

Easypark warnt auf seinen Internetseiten dennoch weiterhin vor dem Quishing-Betrug und gibt Tipps zur Erkennung von Fälschungen. Dem Anbieter zufolge leiten seine QR-Codes nie zu einer Webseite, sondern stets zur Easypark-App. Falls diese noch nicht auf dem Handy installiert sei, führten die Codes nur zum Download der App. Außerdem seien die Codes immer Teil der offiziellen Beschilderung. „Wenn es wie ein Aufkleber aussieht oder sich an einem ungewöhnlichen Ort befindet, könnte es sich um einen Betrug handeln“, warnt das Unternehmen.

Aller Raffinesse zum Trotz kann man sich auch nach Einschätzung von IT-Experten vor Quishing schützen. Handys mit den gängigen Betriebssystemen Android und iOS öffnen die hinterlegten Webseiten in der Regel nicht automatisch, sondern zeigen die Adresse als Vorschau an. Vorsicht ist hier vor allem bei verkürzten Links geboten. Ist man erst einmal weitergeleitet worden, sollte man einen genauen Blick auf die Webseite werfen, die sich da geöffnet hat. Wirkt sie nicht vertrauenswürdig – etwa wegen vieler Rechtschreibfehler oder merkwürdigen Formulierungen – empfiehlt es sich, die Aktion abzubrechen.

QR Codes: Vorsicht auch bei Anschreiben von Geldinstituten

Die Täuschung mit gefälschten QR-Codes beschränkt sich übrigens nicht auf manipulierte Parkscheinautomaten. Sie ist auch schon bei Ladesäulen für E-Autos oder für gefälschte „Knöllchen“ oder Schreiben großer Geldinstitute genutzt worden. Teilweise ging der Schaden für einzelne Betroffene dabei in den fünfstelligen Bereich.

„Trustwave“, einer der großen Anbieter von Cybersicherheitslösungen, hat dann auch einen kurzen, aber wichtigen Tipp für QR-Fans: „Denken Sie nach, bevor Sie etwas einscannen.“

Lesen Sie auch