Hessen Betrug mit QR-Codes: Polizei warnt vor "Quishing"

Cyberkriminelle haben eine neue Betrugsmasche: Sie kleben falsche QR-Codes auf Ladesäulen oder Parkautomaten, um ahnungslosen Kunden Geld aus der Tasche zu ziehen. Polizei und Verbraucherschützer warnen - und geben Tipps, wie man sich schützen kann.

Sie kleben an Parkscheinautomaten, an Ladesäulen für E-Autos oder kommen in Form von Bankbriefen oder Strafzetteln daher: Mit betrügerischen QR-Codes versuchen Kriminelle in jüngster Zeit vermehrt, an Kreditkartendaten von Kundinnen und Kunden zu kommen.

Die Polizei ist alarmiert, auch die Verbraucherzentrale warnt vor der neuen Betrugsmasche.

Ermittler sprechen in dem Zusammenhang von "Quishing" - eine Wortschöpfung aus QR-Code und Phishing, also Fischen nach Passworten. Dabei wird über den echten QR-Code zum Bezahlen etwa am Automaten ein neuer Code geklebt, der auf eine gefälschte Internetseite führt.

Dort werden die Kunden aufgefordert, ihre Kreditkartendaten einzugeben. Die Seiten seien täuschend echt nachempfunden, so die Polizei.

Autofahrer in Frankfurt bemerkt Betrug

In Frankfurt seien bereits falsche QR-Aufkleber an Parkautomaten aufgetaucht, warnt die Polizei. Aufmerksam darauf machte die Beamten ein Autofahrer, dem die Betrugsmasche aufgefallen war. Da er schon mehrfach seine Parkgebühren über den am Automaten angebrachten QR-Code beglichen hatte, fielen ihm schnell Unstimmigkeiten auf, wie die Polizei berichtet. Tatsächlich war der originale Code mit einem falschen überklebt worden.

Weitere betrügerische Aufkleber fand die Polizei bei einer Überprüfung zwar nicht mehr, sie geht aber davon aus, dass "möglicherweise weitere Automaten im Stadtgebiet so manipuliert wurden".

Nie selbstklebende QR-Codes benutzen

Die Firma Easypark warnt auf der eigenen Internetseite bereits vor der Betrugsmasche. Das Unternehmen betreibt Apps, über die Parkgebühren abgerechnet werden können. "Wir verwenden niemals selbstklebende QR-Codes auf unseren Schildern", betont Easypark. Die Codes seien immer gedruckt und in die Schilder integriert.

Um sich vor der Betrugsmasche zu schützen, rät der Parkdienst, immer direkt über die Easypark-App für die Parkplätze zu bezahlen. Dazu rät auch der Allgemeine Deutsche Automobil-Club (ADAC). "Wer ganz sicher gehen möchte, hat außerdem an den meisten Parkautomaten noch die Möglichkeit, mit Bargeld oder mit der Kreditkarte direkt zu bezahlen", schreibt der ADAC.

LKA warnt vor gefälschten Bankbriefen

Deutschlandweit sind bereits konkrete Betrugsversuche mit aufgeklebten QR-Codes registriert worden. Das Landeskriminalamt (LKA) in Wiesbaden rät daher ebenfalls dazu, keinen sichtbar überklebten QR-Code zu scannen. "Hat die Ladesäule ein Display, sollte der Code dort gescannt werden", empfehlen die Beamten. Noch sicherer sei das Benutzen einer Bezahl-App.

Den Ermittlern vom LKA ist der QR-Code-Betrug bislang vor allem in Briefform bekannt: "In unseren Beratungsstellen hatten wir tatsächlich überwiegend Betroffene, die gefakte Briefe von vermeintlichen Banken erhalten haben."

Gefälschter Sparkassen-Brief

Die vermeintlichen Bankbriefe würden aber oft als Fälschung erkannt, weil die Betroffenen gar kein Konto bei dem jeweiligen Geldinstitut haben.

Verbraucherzentrale: "Vorher prüfen"

Das Thema "Quishing" beschäftigt auch die Verbraucherzentrale Hessen. Die Betrugsmasche sei besonders tückisch, weil die gefälschten Codes nicht etwa über den digitalen Weg unter die Menschen gebracht werden, heißt es in der Mitteilung. "Die betrügerischen Codes kommen per Briefpost, an Ladesäulen für E-Autos, Parkscheinautomaten sowie auf gefälschten Strafzetteln", heißt es in der Mitteilung.

Weil man bei QR-Codes nicht sofort sehen kann, welche Informationen sie enthalten, würden sie zunehmend von Kriminellen missbraucht. Verbraucherinnen und Verbraucher könnten sich schützen, indem sie den Code nur dann scannen, "wenn Sie sich über dessen Echtheit sicher sind und vorher prüfen können, wo er hinführt".

Quelle: HR