Neue Betrugs­masche: Gefälschte QR-Codes von Easypark im Umlauf

» News » Neue Betrugs­masche: Gefälschte QR-Codes von Easypark im Umlauf
  • Lesedauer:5 min Lesezeit

Betrüger nutzen digitale Parkan­gebote als Phishing-Lockvogel

Immer mehr deutsche Städte melden Fälle einer neuen Betrugs­masche mit den QR-Codes der Firma Easypark. Offenbar nutzen Krimi­nelle die digitalen Codes auf den Parkschein­au­to­maten, um ahnungslose Autofahrer auf eine betrü­ge­rische Phishing-Webseite zu locken. Nach Angaben der Polizei sind die Fake-Aufkleber bisher in Hannover, Landau und Berlin aufge­taucht. Lesen Sie deshalb hier, wie der Betrug mit den Stickern im Einzelnen abläuft und wie Sie sich davor schützen können.

Neue Betrugsmasche: Gefälschte QR-Codes von Easypark im Umlauf
panuwat phimpha / shutterstock.com

Parkticket per App bezahlen: Bequem, aber riskant

Das Ticket einfach und bequem aus der Ferne bezahlen – das versprechen digitale Park-Apps wie Easypark, deren rosa Branding mittler­weile auf gefühlt jedem Parkau­to­maten in deutschen Großstädten zu finden ist.

Ganz so „easy“ scheint das aber nicht immer zu klappen und wie bei jeder techni­schen Neuerung, die mehr Komfort verspricht, entstehen auch hier neue Cyber­ri­siken und Sicherheitslücken.

So häufen sich derzeit die Fälle, in denen QR-Codes von Easypark gefälscht werden, um die Kredit­kar­ten­daten von Kunden zu ergaunern, wie das Landes­kri­mi­nalamt (LKA) Nieder­sachsen in einer aktuellen Mitteilung erklärt.

LKA warnt vor täuschend echten Aufklebern

"Dabei sind die Aufkleber ziemlich gut gestaltet und nutzen missbräuchlich das Logo des Dienst­an­bieters und sogar die passende Farbe als Rahmen", so die Landes­po­lizei. Die Zahl der aufge­spürten Fake-Codes soll sich bislang im „im unteren zweistel­ligen Bereich“ bewegen. Laut Angaben der Stadt Hannover fielen die gefälschten Codes den Mitar­beitern von Easypark erstmalig am 12. November 2024 auf.

Wer den QR-Code einscannt, um den Parkvorgang zu starten, wird demnach auf eine betrü­ge­rische Websei­ten­nach­bildung weiter­ge­leitet, die laut dem LKA „nahezu identisch zur Origi­nal­seite gestaltet“ ist.

Daher auch das Kunstwort Quishing, das sich aus dem Oberbe­griff für die maschinell lesbaren Codes und der im Netz altbe­kannten Phishing-Methode zum Abgreifen sensibler Daten zusammensetzt.

Kunden werden aufge­fordert, ihre Kredit­kar­ten­daten einzugeben

Als Lockvogel-URL wird die ebenfalls am Original angelehnte Adresse Easypark.live genutzt. Wie bei der offizi­ellen App von Easypark kann dort eine Parkzone ausge­wählt und das Kennzeichen sowie die Parkdauer einge­geben werden. Am Ende des Formulars schnappt die Falle dann zu und fordert zur Eingabe der Kredit­kar­ten­daten für die Bezahlung auf.

Ob und inwieweit dann Beträge abgebucht werden, ist laut dem LKA derzeit noch unklar. „Es kann sein, dass die Täter die Kredit­kar­ten­daten auch für andere Zwecke missbräuchlich sammeln und später einsetzen", so die Landes­po­li­zei­be­hörde aus Nieder­sachsen. Aktuell sei die betrü­ge­rische Webseite aber nicht mehr erreichbar.

Auch der Anbieter Easypark selbst warnt auf seiner Webpräsenz vor dem Quishing-Betrug. Dem Dienst­leister zufolge leiten die hausei­genen QR-Codes nie zu einer externen Page, sondern immer nur zur Easypark-App selbst um. Im Übrigen seien die Codes immer Teil des offizi­ellen Designs der Werbe­tafeln und niemals nur angeklebt.

Quishing ist kein neues Phänomen

Schon seit einiger Zeit nutzen Krimi­nelle die weit verbreitete Leich­tigkeit der Nutzer beim Scannen von QR-Codes aus, um an sensible Daten zu gelangen. So wurden gefälschte Codes bereits auf vermeint­lichen Briefen von der Bank, auf Straf­zetteln oder sogar auf Ladesäulen für Elektro­autos entdeckt.

Um den Betrügern nicht auf den Leim zu gehen, lohnt es sich, die folgende Sicherheits-Checkliste zu beachten:

  • Den QR-Code genau anschauen: Achten Sie darauf, dass er tatsächlich mit der offizi­ellen Homepage verlinkt ist. Scannen Sie den Code nicht blind – überprüfen Sie im Zweifelsfall auch den URL-Link, der im Browser angezeigt wird. Eine sichere Seite beginnt in der Regel mit „https://www.“ und endet mit „.de“, sofern die Dienst­leistung in Deutschland angeboten wird. Bei ungewöhn­lichen Endungen wie „.live“ oder „.de.vu“ sollten die Alarm­glocken angehen.
  • Nutzen Sie direkt die App: In der Regel lässt sich die benötigte App auch direkt auf dem eigenen Smart­phone ohne Umleitung über einen QR-Code öffnen. Nehmen Sie die Umständ­lichkeit in Kauf, um Risiken zu minimieren.
  • Prüfen Sie den QR-Code vor dem Scannen: Manchmal lassen sich kleine Unter­schiede in der Darstellung erkennen, etwa eine abwei­chende Schriftart oder ein zusätz­licher, verdäch­tiger Buchstabe in der URL. Wenn der QR-Code verdächtig aussieht oder sich von den bekannten Codes unter­scheidet, sollte man lieber gleich die Finger davon lassen.
  • Melden Sie verdächtige Codes: Wenn Ihnen ein QR-Code auffällt, der eventuell manipu­liert wurde, melden Sie dies umgehend dem zustän­digen Dienst­leister. So können auch andere Kunden vor Betrug geschützt werden.

Bußgeld­vor­würfe stets über Geblitzt.de prüfen lassen

Bei Geblitzt.de arbeitet die CODUKA GmbH eng mit großen Anwalts­kanz­leien zusammen und ermög­licht es Betrof­fenen, sich gegen Bußgelder, Punkte und Fahrverbote zu wehren.

Rechts­schutz­ver­si­che­rungen übernehmen die Kosten eines vollstän­digen Leistungs­spek­trums unserer Partner­kanz­leien. Ohne eine vorhandene Rechts­schutz­ver­si­cherung übernimmt die CODUKA GmbH als Prozess­fi­nan­zierer die Kosten der Prüfung der Bußgeld­vor­würfe und auch die Selbst­be­tei­ligung Ihrer Rechtsschutzversicherung.

Täglich erreicht das Geblitzt.de-Team eine Flut von Anfragen. 12 % der betreuten Fälle werden einge­stellt, bei weiteren 35 % besteht die Möglichkeit einer Strafreduzierung.

Quelle: golem.de