Vorsicht vor solchen Aufklebern mit QR-Codes!
Phishing mittels QR-Codes, auch Quishing genannt, gibt es bereits seit mehreren Jahren. Erst vor einigen Wochen berichtete e110 über gefälschte Bank-Briefe mit QR-Codes. Die Täter sind jedoch weiter erfinderisch. Aktuell verwenden sie professionell gefertigte Aufkleber, um potentielle Parkplatz-Nutzer zu betrügen.
In Hannover klebten an mehreren Parkautomaten Aufkleber mit QR-Codes. Sie geben vor, vom Bezahlanbieter «EasyPark» zu sein. Dabei sind die Aufkleber ziemlich gut gestaltet und nutzen dabei missbräuchlich das Logo des Dienstanbieters und sogar die passende Farbe als Rahmen.
Die Täter überklebten damit zum Teil die Original-QR Codes auf den Automaten. Vereinzelt wurden zwei oder auch nur ein Aufkleber gefunden. Nach Auskunft der Stadt Hannover wurden die Mitarbeiter gezielt auf die Suche geschickt, um sämtliche Aufkleber zu finden und um die Parkplatzkunden vor Schaden zu bewahren.
Wie ist die Fälschung zu erkennen?
Für ungeübte Personen ist die Fälschung nicht unbedingt sofort erkennbar. An einigen Stellen haben die Täter jedoch unsauber gearbeitet und den Aufkleber schief oder über andere Schriftfelder geklebt. Das muss aber nicht immer so sein. Natürlich sind auch gefälschte QR-Codes für andere Anbieter möglich. Erkenntnisse dazu liegen aktuell noch nicht vor.
Von der Polizei sichergestellt: Rollen mit gefälschten QR-Code-Aufklebern.
Aber es ist ein zusätzlicher Aufkleber. Die Originalbeschriftung des Automaten wird deutlich überklebt. Der QR-Code führt nicht zur originalen App des Anbieters, sofern diese bereits installiert ist oder alternativ zum Download im jeweiligen App-Store bzw. Playstore. Der falsche Code führt nur zu einer Webseite, was beim echten Anbieter nicht der Fall ist.
Was passiert beim Scannen?
Wer nun sein Smartphone zum Einscannen des QR-Codes nutzt, bekommt um Beispiel auf dem iPhone einen Kurz-Link angezeigt. Für die Erstellung dieses Links wurde ein seriöser Internet-Anbieter verwendet. Dieser Kurz-Link zeigt allerdings nicht das eigentliche Ziel an, so dass man nicht unbedingt sofort erkennen kann, dass hier zu einer gefälschten Seite umgeleitet wird. Wer den Kurz-Link dann öffnet, wird auf die gefälschte Webseite «easypark.live». weitergeleitet. Dort wird man zunächst aufgefordert, die passende Parkzone zu wählen.
Im Anschluss wird die Parkzeit bestimmt. Hierbei fällt bereits auf, dass Parkzeiten möglich wären, die die Höchstparkdauer vor Ort deutlich überschreiten. Nun geht es ans Bezahlen und man wird zur Eingabe von Kreditkartendaten aufgefordert. Ob ein Betrag und welcher Betrag in diesem Moment abgebucht wird, ist derzeit nicht bekannt. Es kann sein, dass die Täter die Kreditkartendaten auch für andere Zwecke missbräuchlich sammeln und später einsetzen.
Falschen Code gescannt und „bezahlt“. Was jetzt?
Man sollte umgehend den Kartenanbieter kontaktieren und die Karte vorsorglich sperren lassen. Notfalls kann man das auch über den Sperr-Notruf «116116» machen. Außerdem sollte man Anzeige bei der örtlichen Polizei erstatten und vorsorglich die Kontoauszüge prüfen.
«easypark» warnt
Auf der echten Webseite des Anbieters https://www.easypark.com/de/so-erkennst-du-betrug wird aktuell vor diversen Betrugsmaschen gewarnt. Für das Quishing gibt «easypark» folgende Tipps. So stellt man sicher, dass man mit einem echten «EasyPark»-QR-Code und nicht mit einem gefälschten interagiert:
- Wenn die App bereits auf dem Handy geladen ist, führen die echten QR-Codes direkt zum wahren Anbieter. Wer die App noch nicht hat, wird durch die echten QR-Codes zum Download im App Store geleitet. Diese Codes führen nur zum Download der «EasyPark»-App im Apple App Store oder Google Play Store.
- Den Code sollte man vor dem Scannen prüfen, indem man darauf achtet, dass der QR-Code Teil der offiziellen Beschilderung ist. Wenn er wie ein Aufkleber aussieht oder sich an einem ungewöhnlichen Ort befindet, handelt es sich vermutlich um Betrug.
- Wer unsicher ist, sollte ihn nicht scannen. Dann sollte man die «EasyPark»-App direkt öffnen und den richtigen Zonencode manuell eingeben. Wer die App noch nicht hat, sollte sie spätestens dann herunterladen.
- Verdächtige Codes sollten unbedingt gemeldet werden – und zwar bei der Polizei.
- Vorsicht auch, wenn man Kartendaten außerhalb der App registriert oder wenn man auf einem Parkplatz in dieser Sache von einem Fremden angesprochen wird.
QR-Codes sind eine nützliche Sache in der heutigen Zeit und ersparen viel Zeit bei der Eingabe von Daten. Leider können diese Daten nicht ohne weiteres vom Nutzer überprüft werden. Besonders auf den schmalen Displays der Smartphones ist ein Link zu einer Webseite im Browser nicht immer gut zu lesen. Hier kann es schnell passieren, dass nur der vordere Teil des Links sichtbar im Browser zu sehen ist, der dem Nutzer augenscheinlich echt erscheint. Das gestalten die Täter absichtlich so. Der eigentliche und somit gefährliche (falsche) Teil des Links ist dann erst beim Weiterscrollen nach rechts im Link zu sehen.
Der Umgang mit QR-Codes sollte geübt werden. Man sollte sichere und bekannte Codes verwenden, mit denen man testen kann, wie sich das eigene Smartphone verhält, was angezeigt wird und was eventuell sofort ausgelöst wird. Vereinzelt kann dies je nach Smartphone oder App eine Vorschau der zu erwartenden Webseite sein. Es gibt auch zusätzliche Apps, die hierbei hilfreich sein können, dass man nicht ungewollt auf gefälschten Seiten landet.
Kurioser Quishing-Vorfall
Im Harz wurde vor einigen Wochen eine Outdoor-Spendenbox des «Harzklubs Schulenberg e.V.» mit einem Aufkleber beklebt. Hier wurde zu einer Spende mittels Bitcoins aufgefordert. Der Betreiber der Spendendose, die eigentlich nur für Münz- und Papiergeld vorgesehen ist, hat den Aufkleber sofort entfernt, als er davon hörte.
Wer diesen QR-Code gescannt hat und nicht zufällig die passende Cryptowerte-App installiert hatte, hat Glück gehabt. Ohne die App ergibt der Scan für nicht «crypto-affine» Personen keinen Sinn. Anders würde es zu einer Bezahl-Möglichkeit kommen. Auch hier gilt: Sofort Anzeige erstatten, wenn man auf die Masche hereingefallen ist!
(Quelle: LKA Niedersachsen)
Fotos: LKA Niedersachsen
25.11.24 wel