1. Juli 2025, 8:00 Uhr | Lesezeit: 3 Minuten
Immer häufiger nutzen Betrüger gefälschte QR-Codes an Parkautomaten, um ahnungslose Autofahrer auf täuschend echte Phishing-Seiten zu lenken. Die Masche, bekannt als „Quishing“, ermöglicht es Kriminellen, sensible Zahlungsdaten abzugreifen, und das meist unbemerkt.
An Parkscheinautomaten in mehreren Städten sind zuletzt manipulierte QR-Codes entdeckt worden. Diese Masche nennt man „Quishing“. Kriminelle überdecken die offiziellen Codes von Parkanbietern und leiten Nutzer auf betrügerische Webseiten weiter. Dort werden persönliche Daten abgefragt, etwa Kreditkarteninformationen oder Fahrzeuginformationen. In einem dokumentierten Fall führte das zur Abbuchung eines vierstelligen Betrags. Die Polizei rät zur Vorsicht und warnt vor einem Trend, der sich bundesweit ausweitet.
Quishing einfach und kurz erklärt
Bevor wir auf den aktuellen Fall eingehen, noch eine allgemeine Erklärung, worum es sich bei der Masche handelt: Quishing ist eine Form des Phishings, bei der Betrüger QR-Codes einsetzen, um Nutzer auf gefälschte Webseiten zu leiten. Anders als klassische Phishing-Mails, die oft von Sicherheitssoftware erkannt werden, bleiben QR-Codes in der Regel unkontrolliert, da sie als Bilddateien verarbeitet werden.
Die Täter nutzen professionell gestaltete QR-Code-Aufkleber, um Seriosität vorzutäuschen, und fragen auf den gefälschten Seiten sensible Daten wie Passwörter, Kreditkartennummern oder Kontoinformationen ab. Ziel ist es, diese Daten zu missbrauchen oder Geldbeträge direkt abzubuchen.
Gefälschte QR-Codes mit täuschend echter Optik
Die aktuelle Betrugsmasche ist einfach, aber effektiv: Betrüger überkleben den echten QR-Code auf dem Parkautomaten mit einem täuschend echt wirkenden Aufkleber. Scannt man diesen, öffnet sich nicht wie erwartet die Bezahlseite des Parkanbieters, sondern eine gefälschte Website. Besonders perfide: Diese Phishing-Seiten imitieren das Design bekannter Dienste so genau, dass viele Nutzer den Betrug nicht sofort erkennen.
Das Landeskriminalamt Niedersachsen hat vor Kurzem explizit vor dieser Quishing-Methode gewarnt. In mehreren niedersächsischen Städten wurden Fälle gemeldet, bei denen entsprechende QR-Code-Aufkleber entdeckt wurden.
Lesen Sie auch: Wo kommt eigentlich der Begriff Phishing her?
Gefahr für unachtsame und technisch ungeschützte Nutzer
Ein besonderes Risiko besteht für Nutzer mit veralteter Smartphone-Software. Denn QR-Codes werden als grafische Objekte nicht automatisch von Virenschutzprogrammen geprüft. Anders als bei Phishing-Mails greifen keine Sicherheitsmechanismen, die den Zugriff auf schädliche Inhalte blockieren. Wer QR-Codes im Alltag unbedacht scannt und direkt Zahlungsdaten eingibt, läuft Gefahr, Opfer solcher Angriffe zu werden. Auch bei E-Ladesäulen hat man bereits ähnliche Aufkleber entdeckt.
Achtung! Gefälschte Bank-Briefe im Umlauf
7 Regeln des FBI für den Umgang mit QR-Codes
Neue Masche! Internetbetrüger kontaktieren Opfer erneut
So kann man sich gegen Quishing schützen
Die Polizei empfiehlt, beim Scannen von QR-Codes besonders aufmerksam zu sein. Nutzer sollten prüfen, ob der Code zur Originalbeschriftung gehört oder Betrüger möglicherweise einen Aufkleber darüber angebracht haben. Wer den mobilen Parkservice nutzen möchte, sollte die App des jeweiligen Anbieters direkt aus dem offiziellen App-Store laden und den Zonen-Code manuell eingeben.
Zudem können QR-Scanner-Apps von Drittanbietern hilfreich sein: Diese zeigen vorab die Zieladresse an und ermöglichen eine Einschätzung, ob es sich um eine seriöse Website handelt. Wer Opfer eines solchen Betrugs geworden ist, sollte umgehend seine Bank kontaktieren, die Karte sperren lassen und Anzeige bei der Polizei erstatten.