Betrug mit QR-Codes US-Polizei warnt vor Abzocke an Parkscheinautomaten
Parkuhren
Foto:Jim Thompson / ZUMA Wire / IMAGO
Betrüger haben in den USA versucht, Autofahrer mithilfe von Aufklebern abzuzocken. Sie platzierten QR-Codes (Quick-Response-Codes) auf Parkscheinautomaten, die den Anschein erweckten, als könnte man damit flink mit dem Handy eine Bezahlseite für das Ticket öffnen. Doch wer den Code mit seinem Smartphone abscannte, landete stattdessen auf einer Phishing-Website.
Im US-Bundesstaat Texas wurden offenbar zum Jahreswechsel mehrere Parkscheinautomaten beklebt, wie »The Verge« berichtet . Laut Click2Houston.com waren unter anderem Automaten in Houston betroffen. Außerdem warnte die Polizei die Bürgerinnen und Bürger in San Antonio und der Hauptstadt Austin per Twitter vor der Betrugsmasche. Die Polizei hat nach eigenen Angaben die Ermittlungen aufgenommen.
Der Betrug ist für Ticketkäufer nicht leicht zu erkennen. Denn die Parkscheinautomaten akzeptieren neben Bargeld und Kreditkarten tatsächlich Onlinezahlungen. Allerdings ist dafür eine spezielle App nötig. Die Anleitung für die Zahlung per App ist seitlich auf den Parkscheinautomaten aufgedruckt – direkt darunter klebten die mittlerweile entfernten QR-Codes der Betrüger.
Wer zu übermütig war und lieber den QR-Code scannte, anstatt die Anleitung zu lesen, landete auf einer eigens von den Betrügern angelegten Website. In weißen Buchstaben auf schwarzem Hintergrund war dort »Quick Pay Parking« zu lesen. Seitenbesucher hatten unter anderem die Möglichkeit, sich mit einem Fingertipp auf »Login« zu registrieren und Bankverbindungsdaten anzugeben. Aus den bisherigen Berichten geht allerdings nicht hervor, ob es wirklich Opfer gab, denen das passierte.
Die Rückkehr der QR-Codes
Die Klötzchen-Codes erleben derzeit eine Renaissance. Vor einigen Jahren waren QR-Codes noch ein belächeltes Marketinginstrument, das auf Bahnhofsplakaten abgedruckt war, um Joghurt-Websites schneller mit dem Smartphone zu öffnen. Doch mittlerweile sind QR-Codes dank Restaurant-Check-ins, Corona-Impfnachweisen und Freischaltung von Elektro-Scootern fast überall im Alltag angekommen.
Betrügern spielt die einfache Bedienung in die Hände. Anstatt auffällige Internetadressen einzutippen, müssen Nutzerinnen und Nutzer lediglich ihre Smartphone-Kamera auf das Pixelquadrat ausrichten und per Fingertippen die hinterlegte Website aufrufen. Apps von Drittanbietern braucht man dafür nicht mehr. Die Kamera-Apps der Betriebssysteme Android und iOS erkennen QR-Codes mittlerweile automatisch.
Das Problem: Die URL wird beim Scannen nur verkürzt oder gar nicht angezeigt. Eine Betrügerseite ist also nicht auf den ersten Blick zu erkennen. Die Internetadresse lässt sich erst im Browser überprüfen, wenn es vielleicht schon zu spät ist und der Download einer Schadsoftware gestartet ist. Außerdem ermöglicht ein Scan auch das automatische Verbinden mit einem WLAN , das von Angreifern betrieben wird. Nicht verschlüsselte Daten, die über so ein WLAN geschickt werden, können dann mitgelesen werden.
Wer sichergehen will, sollte Websites lieber direkt im Browser oder über Suchmaschinen ansteuern und Smartphone-Anwendungen in App-Stores suchen. Außerdem sollte man darauf achten, dass es sich bei einem QR-Code um das Original handelt und niemand den Barcode überklebt hat.
