Datendiebstahl

Wie kann ich mich vor gefälschten QR-Codes schützen?

Hinter QR-Codes verstecken sich WLAN-Passwörter, Menükarten oder Tickets - aber auch Betrüger. Aktuell vermehrt im Visier: Parkscheinautomaten. Treffen kann es einen überall.

29.11.2024 UPDATE: 29.11.2024 04:02 Uhr 2 Minuten, 16 Sekunden
QR-Code-Pishing an Parkscheinautomaten
In Freiburg hat die Polizei vor wenigen Tagen gefälschte QR-Codes entdeckt.

Stuttgart (dpa/lsw) - Vorsicht Falle: Wer einen gefälschten QR-Code scannt, dem droht eine böse Überraschung. Die Polizei in Baden-Württemberg warnt derzeit vor einer Betrugsmasche mit manipulierten QR-Codes an Parkscheinautomaten, sogenanntes Quishing.

Kriminelle überkleben dabei den echten mit einem manipulierten Code. Wer den Fake nicht erkennt, ist im Nu sein Geld los. Doch es gibt Tipps, wie man einen möglichen Betrug früh genug erkennt.

Was ist Quishing?

Der Begriff Quishing setzt sich aus den Wörtern "Quick Response" (QR) und "Phishing" zusammen. Beim "Phishing" versuchen Kriminelle über gefälschte E-Mails, Kurznachrichten oder Briefe an persönliche Daten zu gelangen. Beim Quishing nutzen sie dafür manipulierte QR-Codes. Die funktionieren wie ein Link. Wenn Betroffene einen manipulierten Code scannen, werden sie auf eine "täuschend echte" Internetseite weitergeleitet. Dort werden sie dann dazu aufgefordert, Konto- oder Zugangsdaten anzugeben.

Welche Fälle sind aktuell bekannt?

Derzeit kommt Quishing vermehrt im Zusammenhang mit Parkscheinautomaten vor. In Freiburg waren Ende November an mehreren Automaten gefälschte QR-Codes entdeckt worden, wie die örtliche Polizei mitteilte. Im September war eine Frau auf einem Parkplatz in Baden-Baden durch die Masche um 2.000 Euro betrogen worden. Betrüger hätten dort echte QR-Codes der Firma EasyPark überklebt. 

"Bisher sind uns Betrugsversuche in Landau, Baden-Baden, Hannover, Berlin und Frankfurt bekannt", sagte Nico Schlegel, Geschäftsführer von EasyPark Deutschland, auf dpa-Nachfrage. Ob weitere Städte betroffen sein werden, könne man nicht absehen. Da QR-Codes inzwischen fester Bestandteil des alltäglichen Lebens seien, müssten Verbraucherinnen und Verbraucher aufmerksam sein und sich bestmöglich vor einem Betrug schützen.

Was machen die Betrüger mit den Daten?

Mit den vertraulichen Angaben können Kriminelle die Bankkonten ihrer Opfer plündern, Bestellungen im Internet aufgeben oder auch Schadsoftware installieren. Auch Identitätsklau ist denkbar.

Im Fall der gefälschten QR-Codes an Parkscheinautomaten bezahlen Autofahrerinnen und Autofahrer, die auf die Masche hereinfallen, der Cybersicherheitsagentur Baden-Württemberg zufolge womöglich doppelt. "Die Bezahlung landet dann auf einem falschen Konto und Sie bezahlen neben der Parkgebühr, die dann an Kriminelle geht, möglicherweise auch noch ein Knöllchen", warnt die Behörde auf ihrer Internetseite.

Woran erkenne ich einen gefälschten QR-Code?

An Parkuhren, Ladesäulen oder anderen Bezahlsystemen im öffentlichen Raum sollte der QR-Code der Polizei zufolge unbeschädigt und ordnungsgemäß angebracht sein. Fake-Codes würden oft als Sticker über die Originalcodes geklebt. Wer einen Code scannt, bekommt meist zunächst den Link auf dem Smartphone angezeigt. Dieser sollte vor dem Öffnen überprüft werden. Wenn in dem Link Satzzeichen oder Tippfehler enthalten sind, könnte das auf eine Fälschung hinweisen.

Wie kann ich mich noch schützen?

Das Landeskriminalamt (LKA) Baden-Württemberg empfiehlt, die Funktion zum automatischen Öffnen von Links über einen QR-Code, wenn möglich, zu deaktivieren. EasyPark selbst rät, die EasyPark-App aus dem App-Store herunterzuladen. Wenn der QR-Code geöffnet wird, öffne sich die App dann automatisch. Wenn die Anwendung nicht auf dem Smartphone installiert ist, führe ein echter QR-Code direkt zum App-Store - aber niemals zu einer Internetseite.

Auch an E-Auto-Ladesäulen und in gefälschten Schreiben von Banken oder dem Finanzamt versuchen Kriminelle mit QR-Codes ihr Glück, heißt es von der Cybersicherheitsagentur. Im Zweifel könne man den Absender des QR-Codes per Telefon anfragen und sich die Echtheit der E-Mail oder des Briefes bestätigen lassen, so die Behörde.

Was kann ich tun, wenn ich Opfer eines Betrugs geworden bin?

Im Fall eines Betrugs sollten Betroffene die Polizei informieren und Anzeige erstatten. Das geht über die Online-Wachen oder bei einer örtlichen Polizeidienststelle. Betrugsopfer sollten sofort ihre betroffene Bankkarte sperren lassen und sich gegebenenfalls neue Passwörter einrichten, rät die Polizei. Zudem sollte man die Kontoabbuchungen im Blick behalten.

© dpa-infocom, dpa:241129-930-302577/1