{"id":306239,"date":"2024-11-19T14:16:04","date_gmt":"2024-11-19T13:16:04","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=306239"},"modified":"2024-11-19T14:48:31","modified_gmt":"2024-11-19T13:48:31","slug":"warnung-vor-quishing-bei-easypark-parkscheinautomaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/19\/warnung-vor-quishing-bei-easypark-parkscheinautomaten\/","title":{"rendered":"Warnung vor Quishing bei easypark-Parkscheinautomaten"},"content":{"rendered":"

\"SicherheitWarnung vor einer neuen Betrugsmasche, die als Quishing aber l\u00e4nger bekannt ist. Betr\u00fcger \u00fcberkleben QR-Codes auf Parkscheinautomaten von easypark<\/em>, aktuell wohl in Hannover. Opfer, denen das nicht auff\u00e4llt, werden dann auf die Fake-Seiten der Betr\u00fcger gelockt, wo dann Informationen abgegriffen werden.<\/p>\n

<\/p>\n

Wachsendes Problem Quishing<\/h2>\n

\"\"Inzwischen finden sich an vielen Stellen des t\u00e4glichen Lebens sogenannte QR-Codes<\/a>. Per Handykamera gesannt, wird eine URL f\u00fcr eine Zielseiten angezeigt und kann im Browser aufgerufen werden. Vom QR-Code auf Tischen von Gastst\u00e4tten, mit denen die Speisekarte am Handy abgerufen werden k\u00f6nnen \u00fcber QR-Codes auf Werbetafeln im \u00f6ffentlichen Raum bis hin zu QR-Codes auf Rechnungen, um diese leichter per Smartphone in einer Banking-App \u00fcberweisen zu k\u00f6nnen, reicht die Bandbreite.<\/p>\n

Aber dieser \"Komfort\" hat auch seine Risiken.\u00a0Neben dem klassischen E-Mail-Phishing, sowie SMS-Phishing auf Mobilfunkger\u00e4te breitet sich auch der Missbrauch von QR-Codes, mit denen Nutzer auf obskure Seiten gelockt werden sollen aus. Kommen QR-Codes \u00fcber E-Mails zum Opfer, spricht man von Quishing.<\/p>\n

Ich hatte vor einem Jahr (Oktober 2023) im Blog-Beitrag Quishing (QR-Code-Phishing), ein wachsendes Problem<\/a> auf dieses Thema hingewiesen. Eine auch seit Jahren mir bekannte Spielart besteht darin, QR-Codes im \u00f6ffentlichen Raum durch \"Fake-QR-Codes\" zu \u00fcberkleben. Auch so sollen Opfer auf obskure Seiten gelockt werden – wobei der Aufwand deutlich h\u00f6her als bei Quishing per E-Mail ist. Nun scheint der Angriff auf Parkscheinautomaten ausgedehnt worden zu sein.<\/p>\n

Quishing bei Parkscheinautomaten<\/h2>\n

Es ist ein unsch\u00f6ner Trend, dass Kommunen dazu \u00fcbergehen, Parkscheinautomaten durch Park-Apps von Anbietern wie easypark<\/em> & Co. zu ersetzen. Du musst dann per Handy deinen Parkschein l\u00f6sen. Ich hatte mich bereits im Sommer 2023 im Beitrag Der t\u00e4gliche App- und Cloud-Irrsinn<\/a> \u00fcber diesen Trend echauffiert. Mich st\u00f6rte vor allem, dass Du als Kunde bei Fehlern und Missbrauch schlicht nichts tun kannst, au\u00dfer zu zahlen. Eine Kurzrecherche ergab zig Beschwerden von App-Nutzern, denen Park-Tickets in St\u00e4dten belastet wurden, in denen sie niemals waren. Zudem sind ja mehrere Anbieter am Start und Du brauchst \"die richtige App\" zum L\u00f6sen des digitalen Park-Tickets<\/p>\n

Im Dezember 2023 hatte ich dann im Beitrag\u00a0EasyPark Opfer eines Cyberangriffs, Datenabfluss hat stattgefunden (Dez. 2023)<\/a> \u00fcber einen Datenabfluss bei diesem Anbieter berichtet. Passte! Obwohl: Die Kunden und Kundinnen haben aber \"riesiges Gl\u00fcck\" gehabt. Laut Anbieter waren nur weniger wichtige Daten (wie Name, Telefonnummer, Anschrift und\/oder E-Mail-Adresse) betroffen. Na denn.<\/p>\n

Nun kommt die n\u00e4chste Angriffswelle: Quishing (QR-Code-Phishing) bei easypark<\/em> Parkscheinautomaten. Cyberkriminelle \u00fcberkleben die QR-Codes, die an Parkscheinautomaten von easypark<\/em> angebracht sind. Scannt das Opfer diese Fake QR-Codes, landet es nicht auf der Internetseite des Parkraumbewirtschafters wie easypark,<\/em> sondern auf Fake-Seiten. Ziel der Kriminellen ist es, Finanzdaten des Opfers auf diesen Phishing-Seiten abzugreifen.<\/p>\n

\"Quishing-Warnung<\/p>\n

Aktuell gibt es Warnungen der Landeshauptstadt sowie der Polizei Hannover vor dieser Masche, wie man in dieser Pressemitteilung<\/a> erf\u00e4hrt. Betr\u00fcger \u00fcberkleben die auf Parks\u00e4ulen angebrachten QR-Codes des Anbieters easypark<\/em> durch gef\u00e4lschte QR-Codes.<\/p>\n

Diese Fake QR-Code-Aufkleber an Parkscheinautomaten f\u00fchren, wenn das Opfer nicht aufpasst, im Smartphone auf eine Fake-Internetseite, wo dann Bezahldaten abgefragt werden. Diese Fake-Seite ist nahezu identisch zur Originalseite gestaltet, sodass die F\u00e4lschung nicht sofort auff\u00e4llt. Der Original QR-Code von easypark<\/em> ist schlicht schwarz-wei\u00df, w\u00e4hrend die gef\u00e4lschte Variante einen pinkfarbenen Rahmen um den QR-Code und in der Mitte den Schriftzug easypark<\/em> aufweist. Vielen Opfern f\u00e4llt nicht auf, dass es nicht die Internetseite des Parkraumbewirtschafters ist, die da aufgerufen ist.<\/p>\n

Den Mitarbeitenden der Stadt Hannover waren die Aufkleber mit dem falschen QR-Code bei der Leerung der Parkscheinautomaten am 12. November 2024 aufgefallen. Inzwischen wurde damit begonnen, die Parkautomaten im Stadtgebiet Hannover zu kontrollieren und die entsprechenden Aufkleber zu entfernen.<\/p>\n

Breitere Welle?<\/h2>\n

Das Thema ist aber nicht auf Hannover begrenzt. Entsprechende F\u00e4lle waren vorher aus Berlin und aus Landau bekannt geworden. In allen F\u00e4llen versuchen Unbekannte pers\u00f6nliche Daten \u00fcber die Park-App des externen Betreibers easypark<\/em> abzugreifen. Im Diskussionsbereich des Blogs hat sich ein Leser aus der Schweiz gemeldet und merkte an, dass es die Masche in der Schweiz schon l\u00e4nger gebe, Mitte 2024 in der Westschweiz und k\u00fcrzlich in Basel. Er hat dann zwei Artikel\u00a0Gauner f\u00e4lschen QR-Codes auf Parkautomaten<\/a> und\u00a0Polizei warnt vor der fiesen QR-Code-Betrugsmasche<\/a> zum Thema \"Park & Phish\" verlinkt.<\/p>\n

Das Thema wird zunehmen, da zahlreiche Kommunen aktuell planen, die Bezahlung per Bargeld an den Parkscheinautomaten aus Kostengr\u00fcnden endg\u00fcltig abzuschaffen. Zuk\u00fcnftig geht es dann nur per App mit dem Slogan: \"Digitale Parkl\u00f6sungen f\u00fcr mehr Komfort und Flexibilit\u00e4t\". Ein Leser, der mich ebenfalls auf diesen Trend hinwies, meinte dazu: \"Vorausgesetzt wird bei uns die App von Smartparking\".<\/p>\n

Sicherheitstipps f\u00fcr Nutzer<\/h2>\n

Generell werden (z.B. in der oben verlinkten Pressemitteilung) folgende Ratschl\u00e4ge beim Scannen unbekannter QR-Codes gegeben:<\/p>\n