Warnung vor einer neuen Betrugsmasche, die als Quishing aber länger bekannt ist. Betrüger überkleben QR-Codes auf Parkscheinautomaten von easypark, aktuell wohl in Hannover. Opfer, denen das nicht auffällt, werden dann auf die Fake-Seiten der Betrüger gelockt, wo dann Informationen abgegriffen werden.
Anzeige
Wachsendes Problem Quishing
Inzwischen finden sich an vielen Stellen des täglichen Lebens sogenannte QR-Codes. Per Handykamera gesannt, wird eine URL für eine Zielseiten angezeigt und kann im Browser aufgerufen werden. Vom QR-Code auf Tischen von Gaststätten, mit denen die Speisekarte am Handy abgerufen werden können über QR-Codes auf Werbetafeln im öffentlichen Raum bis hin zu QR-Codes auf Rechnungen, um diese leichter per Smartphone in einer Banking-App überweisen zu können, reicht die Bandbreite.
Aber dieser "Komfort" hat auch seine Risiken. Neben dem klassischen E-Mail-Phishing, sowie SMS-Phishing auf Mobilfunkgeräte breitet sich auch der Missbrauch von QR-Codes, mit denen Nutzer auf obskure Seiten gelockt werden sollen aus. Kommen QR-Codes über E-Mails zum Opfer, spricht man von Quishing.
Ich hatte vor einem Jahr (Oktober 2023) im Blog-Beitrag Quishing (QR-Code-Phishing), ein wachsendes Problem auf dieses Thema hingewiesen. Eine auch seit Jahren mir bekannte Spielart besteht darin, QR-Codes im öffentlichen Raum durch "Fake-QR-Codes" zu überkleben. Auch so sollen Opfer auf obskure Seiten gelockt werden – wobei der Aufwand deutlich höher als bei Quishing per E-Mail ist. Nun scheint der Angriff auf Parkscheinautomaten ausgedehnt worden zu sein.
Quishing bei Parkscheinautomaten
Es ist ein unschöner Trend, dass Kommunen dazu übergehen, Parkscheinautomaten durch Park-Apps von Anbietern wie easypark & Co. zu ersetzen. Du musst dann per Handy deinen Parkschein lösen. Ich hatte mich bereits im Sommer 2023 im Beitrag Der tägliche App- und Cloud-Irrsinn über diesen Trend echauffiert. Mich störte vor allem, dass Du als Kunde bei Fehlern und Missbrauch schlicht nichts tun kannst, außer zu zahlen. Eine Kurzrecherche ergab zig Beschwerden von App-Nutzern, denen Park-Tickets in Städten belastet wurden, in denen sie niemals waren. Zudem sind ja mehrere Anbieter am Start und Du brauchst "die richtige App" zum Lösen des digitalen Park-Tickets
Anzeige
Im Dezember 2023 hatte ich dann im Beitrag EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023) über einen Datenabfluss bei diesem Anbieter berichtet. Passte! Obwohl: Die Kunden und Kundinnen haben aber "riesiges Glück" gehabt. Laut Anbieter waren nur weniger wichtige Daten (wie Name, Telefonnummer, Anschrift und/oder E-Mail-Adresse) betroffen. Na denn.
Nun kommt die nächste Angriffswelle: Quishing (QR-Code-Phishing) bei easypark Parkscheinautomaten. Cyberkriminelle überkleben die QR-Codes, die an Parkscheinautomaten von easypark angebracht sind. Scannt das Opfer diese Fake QR-Codes, landet es nicht auf der Internetseite des Parkraumbewirtschafters wie easypark, sondern auf Fake-Seiten. Ziel der Kriminellen ist es, Finanzdaten des Opfers auf diesen Phishing-Seiten abzugreifen.
Aktuell gibt es Warnungen der Landeshauptstadt sowie der Polizei Hannover vor dieser Masche, wie man in dieser Pressemitteilung erfährt. Betrüger überkleben die auf Parksäulen angebrachten QR-Codes des Anbieters easypark durch gefälschte QR-Codes.
Diese Fake QR-Code-Aufkleber an Parkscheinautomaten führen, wenn das Opfer nicht aufpasst, im Smartphone auf eine Fake-Internetseite, wo dann Bezahldaten abgefragt werden. Diese Fake-Seite ist nahezu identisch zur Originalseite gestaltet, sodass die Fälschung nicht sofort auffällt. Der Original QR-Code von easypark ist schlicht schwarz-weiß, während die gefälschte Variante einen pinkfarbenen Rahmen um den QR-Code und in der Mitte den Schriftzug easypark aufweist. Vielen Opfern fällt nicht auf, dass es nicht die Internetseite des Parkraumbewirtschafters ist, die da aufgerufen ist.
Den Mitarbeitenden der Stadt Hannover waren die Aufkleber mit dem falschen QR-Code bei der Leerung der Parkscheinautomaten am 12. November 2024 aufgefallen. Inzwischen wurde damit begonnen, die Parkautomaten im Stadtgebiet Hannover zu kontrollieren und die entsprechenden Aufkleber zu entfernen.
Breitere Welle?
Das Thema ist aber nicht auf Hannover begrenzt. Entsprechende Fälle waren vorher aus Berlin und aus Landau bekannt geworden. In allen Fällen versuchen Unbekannte persönliche Daten über die Park-App des externen Betreibers easypark abzugreifen. Im Diskussionsbereich des Blogs hat sich ein Leser aus der Schweiz gemeldet und merkte an, dass es die Masche in der Schweiz schon länger gebe, Mitte 2024 in der Westschweiz und kürzlich in Basel. Er hat dann zwei Artikel Gauner fälschen QR-Codes auf Parkautomaten und Polizei warnt vor der fiesen QR-Code-Betrugsmasche zum Thema "Park & Phish" verlinkt.
Das Thema wird zunehmen, da zahlreiche Kommunen aktuell planen, die Bezahlung per Bargeld an den Parkscheinautomaten aus Kostengründen endgültig abzuschaffen. Zukünftig geht es dann nur per App mit dem Slogan: "Digitale Parklösungen für mehr Komfort und Flexibilität". Ein Leser, der mich ebenfalls auf diesen Trend hinwies, meinte dazu: "Vorausgesetzt wird bei uns die App von Smartparking".
Sicherheitstipps für Nutzer
Generell werden (z.B. in der oben verlinkten Pressemitteilung) folgende Ratschläge beim Scannen unbekannter QR-Codes gegeben:
- Genau auf den Namen der Internetseite achten, die beim Scan des Codes angezeigt wird. Im obigen Kontext wird statt easypark.de die falsche Seite easypark.live aufgerufen. Das gilt für alle gescannten QR-Codes – z.B. auch auf Rechnungen oder Briefen (siehe auch meinen Beitrag Phishing-Alarm: Sparkassen, QR-Code in Bank-Briefen, ELSTER).
- An Parkautomaten darauf achten, dass keine kleineren Aufkleber über einen anderen QR-Code geklebt sind. Solche Aufkleber nicht scannen. Der Ratschlag "Im Verdachtsfall einen Parkschein mit Münzgeld oder Kartenzahlung erwerben." ist teilweise Humbug, wenn die Kommunen auf Park-App only setzen.
Auch den Ratschlag "Installieren der Park-App im Zweifel direkt über einen App-Store ohne Nutzung des QR-Codes" finde ich kontraproduktiv. Der gemeine Nutzer hat inzwischen die Pflicht, gefühlt Drölf-Millionen Apps auf seinem Smartphone zu installieren, um überhaupt noch auf's Klo gehen zu können oder parken zu dürfen. Dass man ggf. mit der Park-App (und anderen Apps) getrackt wird, ist nochmals eine andere Geschichte.
Scheint aber dringlich zu sein, der ADAC hat den Artikel Neue Betrugsmasche mit QR-Codes: Quishing an Parkautomaten zum Sachverhalt veröffentlicht, da die QR-Code-Parkraumbewirtschaftung es Betrügern sehr leicht macht, das zu missbrauchen. Auch im TV habe ich es gestern in einem Beitrag gesehen – der WDR berichtet beispielsweise hier.
Digitalisierung: Kann man nichts machen …
Ich sehe das Thema inzwischen pragmatisch: "Kollateralschaden der Digitalisierung allerorten, kannst Du nix machen. Dafür sind wir nun modern mit Internet an jeder Milchkanne." Ja, ich weiß, es ist unfaire Dialektik, trifft den Sachverhalt aber wie den "Nagel auf den Kopf". Ist die digitale Dividende, die die Leute mit zunehmender Digitalisierung mit Selbstscanner-Kassen, digitalen Bezahlmodellen etc. zahlen werden. Denn überall lauert die Gefahr der Manipulation und für Betrug. Und alles im Namen des Fortschritts.
Anzeige
Der Äpp-Wahn ersetzt nun leider immer mehr das eigentlich praktische SMS-Parken. Einfach Zone:Kfz-Kennzeichen:Minuten an eine angezeigte Nummer geSMSt, Rückbestätigung per SMS und 5-10 Minuten vor Ablauf eine Erinnerungs-SMS mit der Möglichkeit, die Zeit zu verlängern. Und klappte sogar ohne SmartPhone …
"Generell werden folgende Ratschläge beim Scannen unbekannter QR-Codes gegeben"
Es fängt schon damit an einen QR-Scanner zu verwenden, der nicht einfach was mit dem Code macht (etwa Webseite öffnen, wo häufig die URL ausgeblendet oder nur ein Bruchteil angezeigt wird), sondern dem Nutzer die QR Infos erst einmal nur in lesbarer Form anzeigt und auch beim Datenschutz / Privatsphäre gibt es bei den Scanner-Apps große Unterschiede.
Tja, das haben wir nun von all dem Streben nach "fortschrittlicher" Bequemlichkeit!
Und der "Dummheit" wird Tür und Tor doch auch bereitwillig gern geöffnet – ob nun von den Gesetzgebern im Namen der "Wirtschaftsförderung" oder den Nutzern! 🤷♂️
Ich zahl meine Parkgebühren noch altmodisch per Münzen ;-P Da kann man je nach Standort zwar auch schon von "bazocke" reden, aber Betrug sit da nicht möglich.
Ist halt so wenn die Leute Sicherheit gegen Bequemlichkeit eintauschen… who cares, jeder bekommt genau das was er verdient. Karma is ne bitch ;-P
Aber bei nem überklebten Barcode sollte man doch sowieso hellhörig werden…
Das wäre noch zu prüfen, ob die Kommunen Digitalzwang ausüben dürfen, denn das gesetzliche Zahlungsmittel ist immer noch Bargeld und die Kommunen haben bei der Parkraumbewirtschaftung ein Monopol. Ich würde dort nur mit Parkscheibe parken und dann mal sehen auf welcher gerichtlichen Ebene das endgültig gekippt wird.
Bargeld geht ja weiterhin (im Bild oben ist gerade noch "Auch ohne" [Bargeld]) zu erkennen. Da wird das Experiment mit der Parkscheibe eher teuer (es sei denn, man klebt den QR-Aufkleber über den Münzschlitz).
Ist aber leider nicht mehr immer der Fall. In dem von mir verlinkten Rant-Beitrag war es so, dass nur App ging, "Rentner ohne Handy" sollten 5 oder 10 Euro Aufpreis zahlen – damals hab ich auf den Besuch des Hessentags in Pfungstadt verzichtet. Und bei einer Recherche stieß ich auf Kommunen, wo es hieß: Parken nur noch mit App.
Und woher soll der Nutzer wissen, dass "easypark.de" und nicht "easypark.live" die richtige Adresse ist?
Das ist doch genauso witzlos wie die altbekannte Empfehlung, bei einer Webseite das Zertifikat zu überprüfen.
Die 'frisierten' QR-Codes finden sich auch gern an Ladesäulen.
Besonders gemein: Beim 'ad hoc'-Laden erwartet man die Frage nach dem Zahlungsmittel sogar…
Abhilfe: Entsprechende App selbst starten und die Säulennummer eingeben. Ist etwas umständlicher, aber sicher vor Geldumleitung.
Wie sagte doch vor nicht allzu langer Zeit einer von der FDP (weiß leider nicht mehr obs der Lindner selbst oder einer seiner Bücklinge war): "Digitalisierung first, Bedenken second". Das ist dann wohl das Ergebnis davon. Ich persönlich wäre bei solchen Parkbereichen, wo wirklich nur App geht doch sehr aufgeschmissen. Ich habe nämlich kein privates Smartphone (und will eigentlich auch keins) und das Firmengerät nehme ich bei Privatfahrten natürlich nicht mit.