Warnung vor Quishing bei easypark-Parkscheinautomaten

Sicherheit (Pexels, allgemeine Nutzung)Warnung vor einer neuen Betrugsmasche, die als Quishing aber länger bekannt ist. Betrüger überkleben QR-Codes auf Parkscheinautomaten von easypark, aktuell wohl in Hannover. Opfer, denen das nicht auffällt, werden dann auf die Fake-Seiten der Betrüger gelockt, wo dann Informationen abgegriffen werden.


Anzeige

Wachsendes Problem Quishing

Inzwischen finden sich an vielen Stellen des täglichen Lebens sogenannte QR-Codes. Per Handykamera gesannt, wird eine URL für eine Zielseiten angezeigt und kann im Browser aufgerufen werden. Vom QR-Code auf Tischen von Gaststätten, mit denen die Speisekarte am Handy abgerufen werden können über QR-Codes auf Werbetafeln im öffentlichen Raum bis hin zu QR-Codes auf Rechnungen, um diese leichter per Smartphone in einer Banking-App überweisen zu können, reicht die Bandbreite.

Aber dieser "Komfort" hat auch seine Risiken. Neben dem klassischen E-Mail-Phishing, sowie SMS-Phishing auf Mobilfunkgeräte breitet sich auch der Missbrauch von QR-Codes, mit denen Nutzer auf obskure Seiten gelockt werden sollen aus. Kommen QR-Codes über E-Mails zum Opfer, spricht man von Quishing.

Ich hatte vor einem Jahr (Oktober 2023) im Blog-Beitrag Quishing (QR-Code-Phishing), ein wachsendes Problem auf dieses Thema hingewiesen. Eine auch seit Jahren mir bekannte Spielart besteht darin, QR-Codes im öffentlichen Raum durch "Fake-QR-Codes" zu überkleben. Auch so sollen Opfer auf obskure Seiten gelockt werden – wobei der Aufwand deutlich höher als bei Quishing per E-Mail ist. Nun scheint der Angriff auf Parkscheinautomaten ausgedehnt worden zu sein.

Quishing bei Parkscheinautomaten

Es ist ein unschöner Trend, dass Kommunen dazu übergehen, Parkscheinautomaten durch Park-Apps von Anbietern wie easypark & Co. zu ersetzen. Du musst dann per Handy deinen Parkschein lösen. Ich hatte mich bereits im Sommer 2023 im Beitrag Der tägliche App- und Cloud-Irrsinn über diesen Trend echauffiert. Mich störte vor allem, dass Du als Kunde bei Fehlern und Missbrauch schlicht nichts tun kannst, außer zu zahlen. Eine Kurzrecherche ergab zig Beschwerden von App-Nutzern, denen Park-Tickets in Städten belastet wurden, in denen sie niemals waren. Zudem sind ja mehrere Anbieter am Start und Du brauchst "die richtige App" zum Lösen des digitalen Park-Tickets


Anzeige

Im Dezember 2023 hatte ich dann im Beitrag EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023) über einen Datenabfluss bei diesem Anbieter berichtet. Passte! Obwohl: Die Kunden und Kundinnen haben aber "riesiges Glück" gehabt. Laut Anbieter waren nur weniger wichtige Daten (wie Name, Telefonnummer, Anschrift und/oder E-Mail-Adresse) betroffen. Na denn.

Nun kommt die nächste Angriffswelle: Quishing (QR-Code-Phishing) bei easypark Parkscheinautomaten. Cyberkriminelle überkleben die QR-Codes, die an Parkscheinautomaten von easypark angebracht sind. Scannt das Opfer diese Fake QR-Codes, landet es nicht auf der Internetseite des Parkraumbewirtschafters wie easypark, sondern auf Fake-Seiten. Ziel der Kriminellen ist es, Finanzdaten des Opfers auf diesen Phishing-Seiten abzugreifen.

Quishing-Warnung aus Hannover

Aktuell gibt es Warnungen der Landeshauptstadt sowie der Polizei Hannover vor dieser Masche, wie man in dieser Pressemitteilung erfährt. Betrüger überkleben die auf Parksäulen angebrachten QR-Codes des Anbieters easypark durch gefälschte QR-Codes.

Diese Fake QR-Code-Aufkleber an Parkscheinautomaten führen, wenn das Opfer nicht aufpasst, im Smartphone auf eine Fake-Internetseite, wo dann Bezahldaten abgefragt werden. Diese Fake-Seite ist nahezu identisch zur Originalseite gestaltet, sodass die Fälschung nicht sofort auffällt. Der Original QR-Code von easypark ist schlicht schwarz-weiß, während die gefälschte Variante einen pinkfarbenen Rahmen um den QR-Code und in der Mitte den Schriftzug easypark aufweist. Vielen Opfern fällt nicht auf, dass es nicht die Internetseite des Parkraumbewirtschafters ist, die da aufgerufen ist.

Den Mitarbeitenden der Stadt Hannover waren die Aufkleber mit dem falschen QR-Code bei der Leerung der Parkscheinautomaten am 12. November 2024 aufgefallen. Inzwischen wurde damit begonnen, die Parkautomaten im Stadtgebiet Hannover zu kontrollieren und die entsprechenden Aufkleber zu entfernen.

Breitere Welle?

Das Thema ist aber nicht auf Hannover begrenzt. Entsprechende Fälle waren vorher aus Berlin und aus Landau bekannt geworden. In allen Fällen versuchen Unbekannte persönliche Daten über die Park-App des externen Betreibers easypark abzugreifen. Im Diskussionsbereich des Blogs hat sich ein Leser aus der Schweiz gemeldet und merkte an, dass es die Masche in der Schweiz schon länger gebe, Mitte 2024 in der Westschweiz und kürzlich in Basel. Er hat dann zwei Artikel Gauner fälschen QR-Codes auf Parkautomaten und Polizei warnt vor der fiesen QR-Code-Betrugsmasche zum Thema "Park & Phish" verlinkt.

Das Thema wird zunehmen, da zahlreiche Kommunen aktuell planen, die Bezahlung per Bargeld an den Parkscheinautomaten aus Kostengründen endgültig abzuschaffen. Zukünftig geht es dann nur per App mit dem Slogan: "Digitale Parklösungen für mehr Komfort und Flexibilität". Ein Leser, der mich ebenfalls auf diesen Trend hinwies, meinte dazu: "Vorausgesetzt wird bei uns die App von Smartparking".

Sicherheitstipps für Nutzer

Generell werden (z.B. in der oben verlinkten Pressemitteilung) folgende Ratschläge beim Scannen unbekannter QR-Codes gegeben:

  • Genau auf den Namen der Internetseite achten, die beim Scan des Codes angezeigt wird. Im obigen Kontext wird statt easypark.de die falsche Seite easypark.live aufgerufen. Das gilt für alle gescannten QR-Codes – z.B. auch auf Rechnungen oder Briefen (siehe auch meinen Beitrag Phishing-Alarm: Sparkassen, QR-Code in Bank-Briefen, ELSTER).
  • An Parkautomaten darauf achten, dass keine kleineren Aufkleber über einen anderen QR-Code geklebt sind. Solche Aufkleber nicht scannen. Der Ratschlag "Im Verdachtsfall einen Parkschein mit Münzgeld oder Kartenzahlung erwerben." ist teilweise Humbug, wenn die Kommunen auf Park-App only setzen.

Auch den Ratschlag "Installieren der Park-App im Zweifel direkt über einen App-Store ohne Nutzung des QR-Codes" finde ich kontraproduktiv. Der gemeine Nutzer hat inzwischen die Pflicht, gefühlt Drölf-Millionen Apps auf seinem Smartphone zu installieren, um überhaupt noch auf's Klo gehen zu können oder parken zu dürfen. Dass man ggf. mit der Park-App (und anderen Apps) getrackt wird, ist nochmals eine andere Geschichte.

Scheint aber dringlich zu sein, der ADAC hat den Artikel Neue Betrugsmasche mit QR-Codes: Quishing an Parkautomaten zum Sachverhalt veröffentlicht, da die QR-Code-Parkraumbewirtschaftung es Betrügern sehr leicht macht, das zu missbrauchen. Auch im TV habe ich es gestern in einem Beitrag gesehen – der WDR berichtet beispielsweise hier.

Digitalisierung: Kann man nichts machen …

Ich sehe das Thema inzwischen pragmatisch: "Kollateralschaden der Digitalisierung allerorten, kannst Du nix machen. Dafür sind wir nun modern mit Internet an jeder Milchkanne." Ja, ich weiß, es ist unfaire Dialektik, trifft den Sachverhalt aber wie den "Nagel auf den Kopf". Ist die digitale Dividende, die die Leute mit zunehmender Digitalisierung mit Selbstscanner-Kassen, digitalen Bezahlmodellen etc. zahlen werden. Denn überall lauert die Gefahr der Manipulation und für Betrug. Und alles im Namen des Fortschritts.


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

14 Antworten zu Warnung vor Quishing bei easypark-Parkscheinautomaten

  1. Jens sagt:

    Der Äpp-Wahn ersetzt nun leider immer mehr das eigentlich praktische SMS-Parken. Einfach Zone:Kfz-Kennzeichen:Minuten an eine angezeigte Nummer geSMSt, Rückbestätigung per SMS und 5-10 Minuten vor Ablauf eine Erinnerungs-SMS mit der Möglichkeit, die Zeit zu verlängern. Und klappte sogar ohne SmartPhone …

  2. Frank sagt:

    "Generell werden folgende Ratschläge beim Scannen unbekannter QR-Codes gegeben"

    Es fängt schon damit an einen QR-Scanner zu verwenden, der nicht einfach was mit dem Code macht (etwa Webseite öffnen, wo häufig die URL ausgeblendet oder nur ein Bruchteil angezeigt wird), sondern dem Nutzer die QR Infos erst einmal nur in lesbarer Form anzeigt und auch beim Datenschutz / Privatsphäre gibt es bei den Scanner-Apps große Unterschiede.

  3. User007 sagt:

    Tja, das haben wir nun von all dem Streben nach "fortschrittlicher" Bequemlichkeit!
    Und der "Dummheit" wird Tür und Tor doch auch bereitwillig gern geöffnet – ob nun von den Gesetzgebern im Namen der "Wirtschaftsförderung" oder den Nutzern! 🤷‍♂️

  4. Luzifer sagt:

    Ich zahl meine Parkgebühren noch altmodisch per Münzen ;-P Da kann man je nach Standort zwar auch schon von "bazocke" reden, aber Betrug sit da nicht möglich.

    Ist halt so wenn die Leute Sicherheit gegen Bequemlichkeit eintauschen… who cares, jeder bekommt genau das was er verdient. Karma is ne bitch ;-P

    Aber bei nem überklebten Barcode sollte man doch sowieso hellhörig werden…

  5. mw sagt:

    Das wäre noch zu prüfen, ob die Kommunen Digitalzwang ausüben dürfen, denn das gesetzliche Zahlungsmittel ist immer noch Bargeld und die Kommunen haben bei der Parkraumbewirtschaftung ein Monopol. Ich würde dort nur mit Parkscheibe parken und dann mal sehen auf welcher gerichtlichen Ebene das endgültig gekippt wird.

    • Jens sagt:

      Bargeld geht ja weiterhin (im Bild oben ist gerade noch "Auch ohne" [Bargeld]) zu erkennen. Da wird das Experiment mit der Parkscheibe eher teuer (es sei denn, man klebt den QR-Aufkleber über den Münzschlitz).

      • Günter Born sagt:

        Ist aber leider nicht mehr immer der Fall. In dem von mir verlinkten Rant-Beitrag war es so, dass nur App ging, "Rentner ohne Handy" sollten 5 oder 10 Euro Aufpreis zahlen – damals hab ich auf den Besuch des Hessentags in Pfungstadt verzichtet. Und bei einer Recherche stieß ich auf Kommunen, wo es hieß: Parken nur noch mit App.

        • Held der Arbeit sagt:

          Hier bei uns in der Stadt (65.000 EW zwischen K und D) wurden vor kurzem alle geschlossenen Parkflächen und Parkhäuser auf Kamerasystem umgestellt. Im Grunde ok, doch die Bezahlautomaten nehmen nur noch EC Karte oder Kreditkarte.
          Und da dauert der Bezahlvorgang mitunter elend lange, wenn ein ungeübter Bürger (was er auch durchaus sein darf!!) den Prozess der Kennzeicheneingabe, Wahl des Zahlmittels (welche KArte, PIN Nummer eingeben mit 10 genervten weiteren Leuten im Rücken) nicht sofort auf die Reihe bekommt.
          Da dauert das Zahlen heute 3x so lange wie zuvor mit Ticket einschieben, Euro einwerfen, zum Auto gehen.
          Und da kommt dann auch die App des Dienstleisters ins Spiel, mit welcher man per QR-Code die Warteschlange umgehen kann und stolz (mit frisch gephishten Daten?) zum Auto läuft…

    • Thierry sagt:

      Gemäß Artikel 3 GG handelt es sich bei digitalem Zwang um einen Diskriminierungsfall. Wer eine öffentliche Dienstleistung betreibt, muss diese Dienstleistung barrierefrei zur Verfügung stellen, und die Möglichkeit erlassen, mit Bargeld zu zahlen. Eine Meldung kann bei der Diskriminierungsstelle der Gemeinde eingereicht werden. Weiterhin sollte man das LDI (Landesamt für Datenschutz und Informationsfreiheit) über den Fall informieren.

  6. Bernd Bachmann sagt:

    Und woher soll der Nutzer wissen, dass "easypark.de" und nicht "easypark.live" die richtige Adresse ist?

    Das ist doch genauso witzlos wie die altbekannte Empfehlung, bei einer Webseite das Zertifikat zu überprüfen.

  7. Werner sagt:

    Die 'frisierten' QR-Codes finden sich auch gern an Ladesäulen.

    Besonders gemein: Beim 'ad hoc'-Laden erwartet man die Frage nach dem Zahlungsmittel sogar…

    Abhilfe: Entsprechende App selbst starten und die Säulennummer eingeben. Ist etwas umständlicher, aber sicher vor Geldumleitung.

  8. Daniel A. sagt:

    Wie sagte doch vor nicht allzu langer Zeit einer von der FDP (weiß leider nicht mehr obs der Lindner selbst oder einer seiner Bücklinge war): "Digitalisierung first, Bedenken second". Das ist dann wohl das Ergebnis davon. Ich persönlich wäre bei solchen Parkbereichen, wo wirklich nur App geht doch sehr aufgeschmissen. Ich habe nämlich kein privates Smartphone (und will eigentlich auch keins) und das Firmengerät nehme ich bei Privatfahrten natürlich nicht mit.

  9. Sven Fischer sagt:

    Wie will man auch einen QR Code irgendwie schützen, oder verifizieren? Es fehlt imho ein weiter/zweiter Faktor zur Prüfung, ob der Code ok ist. Das ist dann wieder davon abhängig, wie das umgesetzt wird.

    Wenn ich jetzt einen QR Code scanne, kann man schlecht sehen, wo der Link hingeht. Ich schaue mir auch nicht die ellenlange URL an, zumal das auf dem Schlaufone im Browser zu piepzig ist.

    • Anonymous sagt:

      Mit einem zertifizierten Volks-Smartphone, das nur Whitelist Apps und Whitelist Dienste zulässt und keinerlei eigene Internetaufrufe. Undenkbar? Noch. Für die "Sicherheit" werden die Leute auch sowas fressen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.