Das Phishing mittels QR-Codes, auch Quishing genannt, gibt es bereits seit mehreren Jahren. Erst vor einigen Wochen berichteten wir über gefälschte Bank-Briefe mit QR-Codes. Die Täter sind jedoch immer weiter erfinderisch und verwenden aktuell professionell gefertigte Aufkleber, um potentielle Parkplatznutzer zu betrügen. Zudem möchten wir auf noch einen weiteren Fall von Quishing hinweisen, der erst kürzlich in Niedersachsen aufgefunden wurde.
In der Stadt Hannover sind nun an mehreren Parkautomaten (bisher noch unterer 2-stelliger Bereich) Aufkleber mit QR-Codes aufgefunden worden, die vorgeben, vom Bezahlanbieter easypark zu sein.
Dabei sind die Aufkleber ziemlich gut gestaltet und nutzen dabei missbräuchlich das Logo des Dienstanbieters und sogar die passende Farbe als Rahmen.
Die Täter überklebten zum Teil die Original-QR Codes auf den Automaten. Vereinzelt wurden zwei, aber auch nur ein Aufkleber aufgefunden.
Nach Auskunft der Stadt Hannover wurden die Mitarbeiterinnen und Mitarbeiter gezielt auf die Suche geschickt, um sämtliche Aufkleber zu finden und um die Parkplatzkunden vor Schaden zu bewahren. Die Stadt Hannover warnt bereits vor der Gefahr.
Wie erkenne ich die Fälschung?
Die Fälschung ist für ungeübte Personen nicht unbedingt sofort erkennbar. Hier haben die Täter an einigen Stellen jedoch unsauber gearbeitet und den Aufkleber schief oder über andere Schriftfelder geklebt. Dies muss aber nicht immer so sein. Natürlich sind auch gefälschte QR-Codes für andere Anbieter möglich. Erkenntnisse dazu liegen uns aktuell noch nicht vor.
Jedoch, es ist ein zusätzlicher Aufkleber. Die Originalbeschriftung des Automaten wird deutlich überklebt.
Der QR-Code führt nicht zu originalen App des Anbeiters (wenn diese bereits installiert ist oder alternativ zum Download im jeweiligen App-Store/Playstore). Der Code führt nur zu einer Webseite, was beim echten Anbieter nicht der Fall ist. Weitere Tipps vom Anbieter siehe weiter unten.
Was passiert beim Scannen?
Wer nun seine Smartphone Kamera zum Einscannen des QR-Codes nutzt, bekommt z.B. auf dem iPhone einen Kurzlink angezeigt. Für die Kurzlink-Erstellung wurde ein seriöser Internetanbieter verwendet. Dieser Kurzlink zeigt jedoch nicht das eigentliche Ziel an, so dass man nicht unbedingt sofort erkennen kann, dass hier zu einer gefälschten Seite umgeleitet wird. Wird der Kurzlink dann geöffnet, wird auf die gefälschte Webseite easypark.live. weitergeleitet. Dort wird man zunächst aufgefordert, die passende Parkzone zu wählen.
Ist die Parkzone ausgewählt, soll das Kennzeichen eingegeben werden.
Im Anschluss wird die Parkzeit bestimmt. Hierbei fällt bereits auf, dass Parkzeiten möglich wären, die die Höchstparkdauer vor Ort deutlich überschreiten. In unserem Beispiel wurde auch nur der Betrag von 0 Euro angezeigt. Ob der Fehler immer besteht, können wir nicht sagen.
Nun geht es an die Bezahlung. Hier wird zur Eingabe von Kreditkartendaten aufgefordert.
Ob ein Betrag und welcher Betrag in diesem Moment abgebucht wird, ist derzeit nicht bekannt. Es kann sein, dass die Täter die Kreditkartendaten auch für andere Zwecke missbräuchlich sammeln und später einsetzen.
Ich habe den falschen Code gescannt und „bezahlt“. Was muss ich nun tun?
Kontaktieren Sie umgehend Ihren Kartenanbieter und lassen Sie die Karte vorsorglich sperren. Notfalls können Sie das auch über den Sperr-Notruf 116116 machen.
Erstatten Sie Anzeige bei Ihrer örtlichen Polizeidienststelle oder über die Onlinewache. Prüfen Sie vorsorglich die Kontoauszüge.
Die echte Firma easypark warnt bereits vor einer solchen Betrugsmasche
Auf der echten Webseite des Anbieters https://www.easypark.com/de/so-erkennst-du-betrug wird aktuell vor diversen Betrugsmaschen gewarnt. Für das Quishing gibt easypark folgende Tipps:
Wenn Du an Orten parkst, an denen EasyPark verfügbar ist, kannst Du auf QR-Codes stoßen. So stellst Du sicher, dass Du mit einem echten EasyPark-QR-Code und nicht mit einem gefälschten interagierst:
EasyPark-QR-Codes: Wenn Du die App bereits auf Deinem Handy hast, führen unsere QR-Codes Dich direkt dorthin. Falls Du die App noch nicht hast, leiten die QR-Codes Dich zum Download im App Store. Unsere Codes führen Dich nur zum Download der EasyPark-App im Apple App Store oder Google Play Store.
Prüfe den Code vor dem Scannen: Achte darauf, dass der QR-Code Teil der offiziellen Beschilderung ist. Wenn es wie ein Aufkleber aussieht oder sich an einem ungewöhnlichen Ort befindet, könnte es sich um einen Betrug handeln.
Unsicher? Nicht scannen: Wenn Dir etwas seltsam vorkommt, scanne den Code nicht. Öffne die EasyPark-App direkt und gib den Zonencode manuell ein. Falls Du unsere App noch nicht hast, kannst Du sie hier herunterladen.
Verdächtige Codes melden: Falls Du einen verdächtigen QR-Code entdeckst, melde diesen der Polizei und Deiner örtlichen Behörde.
Sei vorsichtig: Du solltest immer vorsichtig sein, wenn Du Kartendaten außerhalb der App registrierst oder wenn Dich jemand auf einem Parkplatz anspricht.
Diese Tipps können wir uneingeschränkt empfehlen!
Was kann ich noch machen?
QR-Codes sind eine nützliche Sache in der heutigen Zeit und ersparen viel Zeit bei der Eingabe von Daten. Leider können diese Daten nicht einfach so vom Nutzer überprüft werden. Schwerer wird es, wenn sogenannte Kurzlinks verwendet werden. Hat man dieses ungeprüft gescannt und geklickt, landet man schnell bei der Zielseite, App oder sonstigen Funktion. So möglicherweise auch bei einer Fälschung. Besonders auf den schmalen Displays der Smartphones ist ein Link zu einer Webseite im Browser nicht immer gut zu lesen. Hier kann es schnell passieren, dass nur der vordere Teil des Links sichtbar im Browser zu sehen ist, der dem Nutzer augenscheinlich echt erscheint. Dies gestallten die Täter absichtlich so. Der eigentliche und somit gefährliche (falsche) Teil des Links ist dann erst beim Weiterscrollen nach rechts im Link zu sehen.
Der Umgang mit QR-Codes sollte geübt werden. Nutzen Sie sichere und Ihnen bekannte Codes, mit denen Sie testen können, wie sich Ihr Smartphone verhält, was Ihnen angezeigt wird und was ggf. sofort ausgelöst wird. Vereinzelt kann dies je nach Smartphone oder App eine Vorschau der zu erwartenden Webseite sein. Es gibt auch zusätzliche Apps, die hierbei hilfreich sein können, dass man nicht ungewollt auf gefälschten Seiten landet.
Und noch ein kurioser Quishing-Vorfall aus Niedersachsen
Im Bereich des Harzes wurde vor einigen Wochen eine Outdoor-Spendebox des Harzklub e.V. Schulenber mit einem Aufkleber beklebt. Hier wurde zu einer Spende mittels Bitcoins aufgefordert. Der Betreiber der Spendendose, die eigentlich nur für Münz- und Papiergeld vorgesehen ist, hat den Aufkleber sofort nach Kenntniserlangung entfernt. Es wurde eine Anzeige von Amts wegenbei der Polizeiinspektion Goslar erstellt.
Wer hier den QR-Code scannt hat, wenn nicht zufälligerweise die passende Crypotwerte-App installiert war, Glück gehabt. Ohne die App ergibt der Scan für nicht crypto-affine Personen keinen Sinn. Anders würde es zu einer Bezahl-Möglichkeit kommen. Auch hier gilt der Aufruf, Anzeige zu erstatten, wenn man auf die Masche hereingefallen ist. Gleiches gilt auch für neu aufgefundene Aufkleber.
Wo sind noch Fälschungen denkar?
Wie bereits in der Einleitung erwähnt, haben in den letzten Wochen Täter QR-Codes mit gefälschten Bank-Schreiben verschickt. Jedoch sind natürlich überall Fälschungen möglich, wie auch der Fall aus dem Bereich der PI Goslar zeigt. Im Netz sind Berichte über gefälschte Strafzettel mit QR-Codes oder gefälschten QR-Codes an Ladestationen zu finden. (Hierzu liegen uns in Niedersachsen noch keine Erkenntnisse vor). Es gilt somit der Grundsatz: Vorsicht bei der Nutzung von unbekannten QR-Codes! Diese sollten in Ruhe geprüft werden! Besonders dann, wenn diese unerwartet zu einer Webseite führen und nicht zu der sonst bekannten und bereits installierten App.