Betrüger manipulieren erneut Parkautomaten mit gefälschten QR-Codes
von caschy | 34 Kommentare
Parkautomat mit falschem QR-Code Aufkleber aus Goslar. Quelle Polizei Goslar
Die QR-Code-Betrügereien an Parkautomaten nehmen wieder zu. Nach den Vorfällen im November 2024 tauchen nun erneut manipulierte QR-Codes in Niedersachsen auf. Betroffen sind diesmal die Städte Bad Harzburg, Goslar und Hannover, wo Kriminelle die originalen Codes der Parkanbieter Pay by Phone und easypark mit gefälschten Aufklebern überdeckt haben.
Die Masche der Betrüger ist dabei perfide: Sie führen arglose Nutzer auf täuschend echt aussehende Phishing-Seiten. In Goslar wurde bereits ein Fall bekannt, bei dem ein Autofahrer nach dem Scannen eines manipulierten Codes einen vierstelligen Betrag von seinem Konto verlor, wie die örtliche Polizei mitteilte.
Die Stadtverwaltung Hannover reagierte prompt und entfernte bereits entdeckte gefälschte Aufkleber. Ob weitere Städte betroffen sind oder ob es sich in Goslar, Bad Harzburg und Hannover um identische Fälschungen handelt, ist derzeit noch unklar.
Wer Opfer dieser Betrugsmasche geworden ist, sollte unverzüglich seine Bank kontaktieren und Anzeige bei der Polizei erstatten. Eine Überprüfung der Kontoauszüge sowie der offiziellen Parkanbieter-App auf ungewöhnliche Buchungen ist dringend anzuraten.
Der sicherste Weg ist die Nutzung der originalen Apps der Parkanbieter. Diese bieten in der Regel GPS-Ortung oder Zonencodes zur eindeutigen Identifizierung des Parkplatzes. Die Installation sollte vorab in Ruhe über die offiziellen App-Stores erfolgen. Alternativ steht meist auch die klassische Barzahlung am Automaten zur Verfügung.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wird geladen ...
immernoch? können die app store betreiber nicht verpflichtend verlangen,dass qr scanner die ziel url zeigen müssen? ist nicht seit gestern bekannt
Das ändert nix. Der Normalo hat keine Ahnung, ob easypark-de-bezahlen.com/de echt ist oder nicht.
Abgesehen davon zeigen die eingebauten Scanner das bereits an, wenn auch meist nur den Host.
es freut mich,die zahlreichen ideen
qr codes gibts mind so lang wie smartphones
man darf nicht zu bequem sein und muss sich damit so beschäftigen wie mit anderen sachen
manche sind einfach zu faul und zu naiv
man kann sich nicht darauf verlassen,dass alles abgesichert wird
weiß nicht wie die zertifizierungen laufen zb bei shops
es gibt ratings für seiten man muss nur die ziel url zeigen und daneben den seitenranking
ich spinne hier nur so rum mit den ideen
weiß nicht,ob es systemeigene qr scanner gibt,sonst sollte man sich
einen holen der sicherheitszertifiziert ist oder seriöse quellen befragen
es dürften die meisten einen qr scanner haben
halt schlecht oder gar nicht informiert
je weniger man sich bei technikeinsatz informiert desto größer die unfälle
sei es eier-,wasserkocher,kreissäge oder smartphone
anscheinend kümmert sich keiner um das problem,die medien berichten nur
wie immer
der weg zur problemlösung bricht leider bei den medien ab
hoffe wir können den bis zum ziel verlängern
kann man es nicht einfach per paypal bezahlen und notfalls bei bedarf verlängern?
muss alles der gesetzgeber vorschreiben damit es menschlich zugeht?
dreistellig fürs parken freigeben? oder mietet man dabei gleich ein auto?
Und das hilft genau was? Dann ist die Ziel-URL eben easypark.rw oder easypark.parkautomat.de oder easypark.de.ep oder… Der Durchschnittsbürger hat keine Sachkenntnis, wie eine URL zu lesen ist und kann auch nicht validieren, dass DIESE url die erwartete ist.
Meine Meinung ist, dass wir eine staatliche App brauchen, innerhalb derer verlässliche Daten ausgetauscht werden können, und innerhalb der sich solche Dinge abspielen wie Ausweisverlängerung, Kontozugang, Arztdiagnosen etc., und dass solche Dinge nicht mehr über das freie Internet laufen, mit klick hier und knips da und “2FA über Mails an GMX“. Wenn irgendjemand es schafft, in dieser Staats-App den Namen “easaypark“ zu registrieren, fliegt der sofort wieder.
Es kann ja irgendwie nicht der Weg sein, jeden Tag 10 Mails von seiner Bank zu bekommen, und eine davon ist echt. Das ist auch für IT-Profis nicht mehr zu bewältigen.
Den Service gibt es bundID und der funktioniert europaweit.
Aber Apple App Review Prozess schützt iPhone Nutzer doch aktiv vor sowas
Ja Jonas, iPhone-Nutzer sind hier durchgehend geschützt. Aber bedenke auch die einigen wenigen Android-Nutzer. Es ist offensichtlich, dass Android-Nutzer dieser Masche schutzlos ausgeliefert sind.
Echt? Wie schützt denn der APP review Prozess davor via QR Code auf eine Phishing Seite gelenkt zu werden? Es ist eine Seite, die sich im Browser öffnet und keine App. Oder gibt’s bei Apple auch nen „scanned QR code review process“?
Naja die URL wird nur begrenzt etwas nutzen, da auch die legalen Anbieter teilweise Dienste Nutzen . Wenn die URL dann mit qrcode.ia.de anfängt und dann am Ende nur eine Weiterleitung auf das eigentliche Ziel ist nützt das auch nichts und so etwas nutzen ja durchaus Anbieter und natürlich auch Weiterleiungslinks von anderen Anbietern
Interessant ist eigentlich die Frage wie versucht werden konnte eine 4 stellige Summe abzubuchen eigentlich sollte doch nach Eingabe der Kreditkartennummer eine Zweifaktor Autorisierung getriggert werden und da müsste man eigentlich die Summe freigeben hier könnte ein Fehler im System sein
Hier bei einer freien Tankstelle kannst du 24/7 am Automaten tanken. Da gibst du quasi 250€ an der Karte frei (gezwungenermaßen, zur Absicherung der Tankstelle) und zahlst final was du getankt hast.
Denke das ist hier ähnlich.
4 Stellig freigeben erscheint mir ehrlich gesagt verrückt. Sowohl beim Tanken als auch beim Parken (da noch viel mehr)
Persönlich tanke ich öfter mit der Shell App das kann ich den Betrag der blockiert wird auswählen und die Säule würde gar nicht mehr erlauben in der Praxis nehme ich immer 100€ damit kann ich volltanken (E10 und ein 44 Liter Tank, der in der Regel nicht völlig leer ist so dass es meistens eher 32-36 Liter sind)
Aber eine 4 Stellige Summe beim Parken würde ich nicht freigeben
Ich schätze die Zahl der Smartphonenutzer, die mit der Information „Ziel-URL“ rein gar nichts anfangen können, auf 80 bis 90 Prozent. Denen nützt das gar nichts. Und die restlichen 10 bis 20 Prozent sind nicht betroffen, weil sie ohnehin wissen, wie man sich vorsichtig verhält, um soetwas zu vermeiden.
Das wäre nur die erste Stufe. Zum einen werden oft URL-Shortener verwendet, also Umleitungen über Kurz-URL. Damit siehst du die End-URL ebenfalls. Über Codes aus anderen Sprachen kannst du oftmals eine URL so verändern, dass sie optisch korrekt aussieht, aber auf ein anderes Ziel weist. Und wenn aus Platzgründen nicht die komplette URL angezeigt wird, kann man über Subdomains ein korrektes Ziel vortäuschen.
QR-Codes bleiben nach wie vor gefährlich. Sie sind ein Link wie jeder andere und können entsprechend manipuliert werden.
Braunschweig ist ebenfalls betroffen.
Was druckt man den Code auch da auf? Der gehört auf ein Display und sollte sich auch mal ändern.
Da hast Du etwas falsch verstanden. Der Code ist für Leute, die die App noch nicht haben. Die resultierende URL bringt den Nutzer über eine OS-Weiche in „seinen“ App-Store. Mehr nicht eigentlich.
Ich nehme mal an, die falschen Codes leiten die Nutzer stattdessen direkt in einen „Ticketshop“, in dem er seine Kartendaten eintippen muss.
Er meinte wohl auf ein Display bei der Ladeinfrastruktur, da wo auch angezeigt wird wie schnell du grade lädst etc. Dann kann der QR Code nicht einfach überklebt werden, vor allem wenn man einfach das Bild auf dem Display mit dem QR Code immer etwas wandern lässt (Ähnlich wie beim DVD Logo 😀 )
Es wäre so viel einfacher, wenn man den QR-Code nur auf dem Display anzeigen würde, und zwar so, dass da auch andere Informationen gezeigt werden können. Ein gefälschter QR-Code-Aufkleber fällt so sofort auf.
Mist diese per App Zahlen Erfolgsgeschichte nimmt ein jähes Ende.
Ich zahle schon seit Jahren meine Parkgebühren per App und habe dadurch einige Euros gespart.
Eine Lösung könnte sein, dass sich gar keine gedruckten QR Codes auf den Automaten befinden. Stattdessen wird dieser auf einen Display angezeigt. Dann müsste schon jemand den Automaten hacken.
Vielleicht wäre es eine Möglichkeit eine kleine Plexiglasscheibe mit einem leichten Abstand anzubringen. Dann würde man sehen wenn etwas überklebt worden ist und das „Original“ noch darunter zu sehen ist.
Aber besser fände ich wenn Städte ihre eigene App herausbringen. München macht das seit Jahren und das funktioniert super. Die App ist kostenlos und es kostet auch keine zusätzlichen Gebühren. Außer den hohen Parkgebühren.
Hier in Berlin ist es eine Katastrophe, weil auf jedem Automaten gefühlt 20 verschiedene Anbieter kleben. Mich hat es einen halben Tag gekostet die verschiedenen Anbieter und ihre Preise zu recherchieren. Am Ende habe ich mich dann für Parkster entschieden, weil die keine zusätzlichen Gebühren auf die Parkgebühren erheben.
Nein danke, ich möchte nicht für jede Stadt eine separate App laden.
Wer sich über zu viele Anbieter beschwert, sollte nicht fordern, dass jede Stadt noch ihre eigene App macht – das macht’s nur unübersichtlicher.
Wie steht so schön im Artikel: an vielen Automaten ist auch Barzahlung möglich.
Ein Beispieel daß Barzahlung ein zumindest für den Zahlenden sichereres Mittel sein kann:
Automaten – hier liegt dann das Verlustrisiko beim Automatenaufsteler , nicht beim zahlenden.
So lange solche Betrugsmaschen an Automaten nicht sicher auszuschließen sind, sollte man bar zahlen – Groschengrab ist eben hier wenigstens für den Zahlpflichtigen die sicherere Alternative.
Oder wie wäre es mit einem „dynamischen“ QR-Code– entweder auf einem Bildschirm – dafür sollte e-Ink reichen, der nur angezeigt wird wenn man einen Bezahlvorgang initialisiert – das fällt auf wenn der überklebt ist – oder ein QR-code-Drucker der immer einen kleinen Bon mit dem QR-code ausdruckt?
Da muß man dann schon tief ins Gerät eingreifen um zu manipulieren.
Fix aufgebrachte QR-codes sind betrugsanfällig und sollten daher schnellstens als Inkassomethode verboten werden. Oder aber mit einer Entschädigungspflicht für alle Betrogenen im Falle eines Mißbrauchs – dann muß man nichts verbieten dann ändern das die Automatenaufsteller von ganz alleine.
Ich habe einmal die App (nicht via QR-Code) runtergeladen. Das ist auch sicher und spare jetzt gegenüber Bargeldzahlung.
Welche App nutzt du denn? Bei den Apps die ich kenne, kommen immer Servicegebühren zum Parkpreis dazu – bei mir 29 Cent. Minutengenaue Abrechnung (wie früher) gibt’s auch nicht mehr. Es wird immer auf die nächste volle oder halbe Stunde (je nach Parkzone) aufgerundet. Habe zumindest eben mal durch meine Historie geguckt und da stehen nur „volle Stunden“ als Parkdauer. Also Geld spart man mit den Apps höchstens wenn man sonst ein Parkticket für 6 Stunden zieht, aber nach 2 Stunden schon wieder fährt. Was man sich aber spart ist das Ärgern mit Parkautomaten, die nur Bargeld oder nur Girocard nehmen.
Sicher? Ich habe easypark, nutze es aber nicht, weil es damit TEURER wird.
… sollte man bar zahlen …
Ganz sicher nicht. Ich verzichte doch nicht auf die Vorteile des digitalen Bezahlen, weil ein paar Vollidioten meinen mit Abzocke Geld abgreifen zu wollen.
Solche Probleme gibt es immer, auch beim Barzahlen. Ganz früher standen auch Leute auf dem Park & Ride und haben Tickets verkauft. Die hatten nix mit der Stadt zu tun und haben gefälschte Tickets verkauft.
Man kann zwar für Barzahlung sein, aber man muss auch erkennen das es oft Nachteile hat. Viele Automaten wechseln nicht und nehmen nur Münzen, außerdem muss man die Zeit im vor raus kennen die man Parken will, bei Apps hat man den Vorteil man bucht sich ein und wieder aus.
Das gilt natürlich nur für Parken im öffentlichen Raum in einem Parkhaus mag die Sache anders aussehen da zahlt man auch nur das was man braucht und hat oft die Möglichkeit mit Geldscheinen oder auch Kreditkarte direkt zu zahlen
Einfach die App manuell im Appstore laden, fertig.
Scheinbar halten die Anbieter die Zielgruppe für nicht schlau genug sowas durchzuziehen.
Gleichzeitig muten sie denen aber unausgegorenen Quatsch zu.
Durchdacht geht anders; scheinbar schließt man da einfach nur von sich auf andere.
Ich hätte so einen QRC maximal als Fallback zur Identifikation von Bezahlsäule/Ladebereich angeboten (für den unwahrscheinlichen Fall z.B. Ortung klappt nicht).
Dann könnten Spaßvögel maximal einen dieser beiden Punkte verändern, ohne Profit zu schlagen. Das Geld würde nach wie vor beim gleichen Anbieter landen und die Bezahlung der Dienstleistung ist zweifelsfrei protokolliert.
Wenn die ´Begradigung´ dem Anbieter dann regelmässig zu viel Aufwand verursachen würde, hätte man über die anderen Vorschläge mit Display oder Versatz nachdenken können.
Besser jedenfalls als einfach irgendsowas ömmeliges hinzuklatschen.
Die Stadt Rostock gab letzte Woche auch eine Warnung wegen überklebter QR Codes auf Parkschein Automaten raus. Scheint ziemlich großflächig organisiert zu sein.