Einmal den Parkschein online bezahlen, das E-Auto an der Ladesäule aufladen – und zack, schlagen Betrüger zu. Trickbetrüger haben sich Autofahrer als neue Opfer ausgesucht. Die fiese Abzock-Masche hat auch schon einen Namen: Quishing! Zusammengesetzt wird das Wort aus QR-Code und Phishing. Mit gefälschten QR-Codes an Ladesäulen und Parkscheinautomaten versuchen technisch versierte Gauner an fremde Kreditkarten- und Kontodaten zu kommen. Auch in Berlin.
QR-Codes sind im Alltag auf dem Vormarsch. Selbst im Fernsehen werden sie inzwischen eingeblendet. Statt erst umständlich lange Internetadressen auf dem Handy einzutippen, muss man mit der Handykamera nur einen QR-Code einscannen und wird anschließend auf eine Internetseite weitergeleitet.
Betrüger überkleben echte QR-Codes mit Fälschungen
QR steht für Quick Response, also schnelle Antwort. Komplexe Informationen werden so verkürzt dargestellt, dass Nutzer sie rasch abrufen können. Per QR-Code funktioniert inzwischen auch die Bezahlung an Ladesäulen und Parkscheinautomaten.
Aufladen, bezahlen, weiterfahren: Dieser eigentlich völlig normale Vorgang kann neuerdings für Fahrer von Elektroautos ein Risiko bergen, berichtet etwa der Automobilclub ADAC. Der Trick der Betrüger ist eigentlich ganz simpel: Sie überkleben die richtigen QR-Codes an den Säulen mit ihren eigenen – die beim Einscannen mit der Handykamera dann auf falsche, aber täuschend echt aussehende Fake-Internetseiten führen.
Auf der Fake-Seite hinterlassen Kunden ihre Kontodaten, mit denen die Betrüger dann versuchen, Geld abzubuchen, berichtet der ADAC. Besonders perfide: Beim zweiten Bezahlversuch, weil der erste ja nicht funktionierte, werden die Kunden dann übrigens auf die korrekte Webseite weitergeleitet, was sie den anfänglichen Fehlversuch vergessen lässt.
Auch das Unternehmen EasyPark hat in mehreren deutschen Städten, darunter Berlin und Hannover, mit gefälschten QR-Codes und den Folgen zu kämpfen. Die QR-Codes sehen auf den ersten Blick echt aus, auch die Abfrage nach Parkzone, Kennzeichen und Parkzeit wirkt seriös. Leichtgläubig haben viele Autofahrer dann ihre Kreditkartendaten eingegeben. EasyPark warnt jetzt: „Echte QR-Codes sind immer in unsere Schilder integriert und nicht als einzelne Aufkleber angebracht.“ Sicherer wäre es, beim Bezahlen die App des Unternehmens zu nutzen.
Auch der ADAC rät, keinen überklebten QR-Code zu scannen. Einige Betreiber haben auch zusätzlich einen Code im Display, es ist also ratsam, diesen anstelle des QR-Codes zu scannen. Aus Sicht des Mobilitätsclubs sind die Betreiber der Ladestationen aufgefordert, die Bezahllösungen möglichst betrugssicher zu gestalten. Eine Möglichkeit sind dynamische QR-Codes, die nicht auf einem Aufkleber aufgedruckt sind, sondern auf einem Display angezeigt werden. Alternativ könnten Betreiber auch ganz auf QR-Codes verzichten und Kartenterminals für die Direktbezahlung einsetzen.
Selbst Strafzettel, die hinter dem Scheibenwischer klemmen, sind nicht immer sicher, berichtet die Verbraucherzentrale Niedersachsen. In einigen Städten bieten Ordnungsämter Autofahrern an, ihre Strafzettel direkt zu bezahlen – ebenfalls über einen QR-Code. „Auch hier nutzen Kriminelle diese Methode aus, indem sie gefälschte Strafzettel mit falschen QR-Codes unter den Scheibenwischern der Autos befestigen“, heißt es. Deshalb: Strafzettel genau prüfen. Sind Sie unsicher, klären Sie das mit der Polizei.
So können Sie sich vor Quishing schützen
Die Verbraucherzentrale in Niedersachsen gibt Tipps, wie Sie Quishing-Fallen vermeiden können und Betrug erkennen. Auch gefälschte Briefe mit QR-Codes, die angeblich von Banken kommen, sind im vergangenen Jahr schon aufgetaucht. Gut zu erkennen: Bei den gefälschten Schreiben werden Sie oft mit „Sehr geehrte Kontoinhaberin, sehr geehrter Kontoinhaber“ angesprochen, nicht aber mit ihrem richtigen Namen.
QR-Code überklebt: Ist der QR-Code an einer Ladesäule möglicherweise überklebt, scannen Sie ihn nicht. Verfügt zum Beispiel eine Ladesäule über ein Display, sollte der Code von dort gescannt werden.
Aufmerksam sein: Scannen Sie den QR-Code nicht ungeprüft, wenn Sie Zahlungsdaten eingeben sollen. Prüfen Sie unbedingt die Internetadresse, ob es sich etwa um die Adresse Ihrer Hausbank handelt.
Inhalte nicht automatisch öffnen: Schalten Sie, wenn möglich, die Funktion für ein sofortiges Öffnen eines gelesenen QR-Codes ab. Manche QR-Code-Scanner zeigen zunächst den Link an: Liegt die Quelle im Ausland, kann das ein Indiz für einen schadhaften QR-Code sein (beispielsweise „.ru“). Auch bei Shortlinks ist Vorsicht geboten, da das eigentliche Ziel des Links nicht angezeigt wird.
Bank kontaktieren: Haben Sie Zweifel, dass der Brief und QR-Code darauf echt sind? Nutzen Sie nicht die auf dem Brief angegebenen Kontaktmöglichkeiten, sondern recherchieren Sie diese selbst.