Quishing-Betrug am Parkplatz oder an der Ladesäule beginnt oft mit einem kaum sichtbaren Aufkleber: Kriminelle überkleben den echten QR-Code eines Park- oder Ladeanbieters und leiten Autofahrer auf eine täuschend nachgebaute Zahlungsseite, berichtet die Techify. Dort sollen Betroffene Kennzeichen, Kreditkartendaten, Bankverbindungen oder Zugangsdaten eingeben – häufig unter Zeitdruck, weil der Parkvorgang oder das Laden des Elektroautos schnell gestartet werden soll.
Besonders riskant sind öffentliche Orte, an denen Nutzer einen QR-Code erwarten und selten hinterfragen: Parkscheinautomaten, Hinweisschilder, Ladesäulen, Parkhauszufahrten oder angebliche Strafzettel. Im Juni 2026 warnte die Stadt Stuttgart erneut vor manipulierten Aufklebern mit der Aufschrift „Direkt bezahlen“. Die Codes führten nicht zur vorgesehenen Park-App, sondern zu betrügerischen Internetseiten, auf denen Bankdaten abgefragt wurden.
Was Quishing ist und warum Parkplätze ein ideales Angriffsziel sind
Der Begriff Quishing verbindet „QR-Code“ mit „Phishing“. Statt eines anklickbaren Links in einer E-Mail verwenden die Täter einen quadratischen Code, hinter dem sich eine manipulierte Webadresse verbirgt. Das Smartphone erkennt den Inhalt erst beim Scannen und zeigt häufig nur eine verkürzte Vorschau der Zieladresse. Wer in diesem Moment auf „Öffnen“ tippt, verlässt die sichtbare Umgebung des Automaten und landet auf einer Website, deren Herkunft schwerer einzuschätzen ist.
Parkplätze und Ladestationen eignen sich besonders gut für diese Masche. Autofahrer stehen unter Zeitdruck, möchten einen Parkschein lösen oder den Ladevorgang beginnen und rechnen ohnehin mit einer digitalen Zahlung. Ein professionell gedruckter Aufkleber fällt auf einer Säule voller Bedienhinweise, Warnsymbole und Tarifinformationen kaum auf.
Die gefälschte Seite übernimmt häufig Farben, Logos und Formularfelder des echten Dienstes. Sie fragt zunächst scheinbar plausible Angaben wie Kennzeichen, Standortnummer oder Ladepunkt ab. Anschließend folgen Kreditkartennummer, Ablaufdatum und Sicherheitscode.
Der QR-Code selbst enthält keine sichtbare Warnung. Entscheidend ist deshalb nicht, ob sich der Code technisch scannen lässt, sondern wohin er führt und welche Daten die anschließend geöffnete Seite verlangt.
Das Risiko endet nicht immer bei einer einzelnen Kartenzahlung. Gestohlene Kontaktdaten können für spätere Anrufe, SMS oder E-Mails verwendet werden. Täter geben sich dabei beispielsweise als Bankmitarbeiter aus und behaupten, eine verdächtige Buchung stoppen zu müssen.
„Fraudsters have been placing fake QR codes over the genuine ones.“
— IONITY in einer aktuellen Warnung zu manipulierten Codes an Ladepunkten.
So funktioniert der QR-Code-Betrug Schritt für Schritt
Die Vorbereitung erfordert für Täter weder Zugriff auf die Technik des Parkautomaten noch einen Eingriff in die Ladesäule. Ein gedruckter Aufkleber reicht aus, wenn er glaubwürdig gestaltet und über dem Originalcode platziert wird. Die eigentliche Manipulation findet anschließend auf einer externen Website statt.
Zunächst registrieren die Täter eine Domain, die dem Namen eines bekannten Park- oder Ladeanbieters ähnelt. Häufig werden Buchstaben vertauscht, Bindestriche ergänzt oder Begriffe wie „pay“, „parking“, „charge“ und „direct“ kombiniert. Danach kopieren sie Gestaltungselemente der echten Zahlungsseite.
Der manipulierte QR-Code wird an einem öffentlich zugänglichen Standort angebracht. Nutzer scannen ihn mit der Kamera-App und öffnen die vorgeschlagene Adresse. Die gefälschte Seite verlangt eine Zahlung, zeigt anschließend jedoch möglicherweise eine Fehlermeldung oder einen angeblichen Abbruch.
Damit verschleiern die Täter, dass die Daten bereits übertragen wurden. Der Fahrer versucht den Vorgang erneut, wechselt zu einer App oder bezahlt am Automaten. Dadurch fällt der erste Betrugsversuch oft nicht sofort auf.
Der typische Ablauf sieht so aus:
- Täter erstellen eine täuschend ähnliche Zahlungsseite.
- Ein QR-Code wird mit dieser Seite verknüpft.
- Der Code wird auf einen Automaten oder eine Ladesäule geklebt.
- Das Opfer scannt den Aufkleber mit dem Smartphone.
- Die Seite fragt Fahrzeug- und Zahlungsdaten ab.
- Die eingegebenen Informationen werden an die Täter übertragen.
- Es folgen Testabbuchungen, Kartenmissbrauch oder weitere Kontaktversuche.
- Gleichzeitig kann der echte Park- oder Ladevorgang unbezahlt bleiben.
Im März 2026 wurde in Schwabenheim an der Selz ein Fall bekannt, bei dem ein Aufkleber an einer öffentlichen Ladesäule auf eine gefälschte Zahlungsseite führte. Auffällig war, dass der Aufkleber den Namen eines anderen Energieunternehmens zeigte als die tatsächliche Säule. Nach der Dateneingabe wurde versucht, die Kreditkarte des Nutzers zu belasten; die Zahlung wurde jedoch nicht freigegeben.
Woran Sie einen gefälschten QR-Code am Automaten erkennen
Ein manipulierter Code kann professionell gedruckt sein und muss keine offensichtlichen Rechtschreibfehler enthalten. Die zuverlässigste Prüfung beginnt deshalb direkt am Automaten. Betroffene sollten nicht nur den Code ansehen, sondern die gesamte Beschriftung mit dem übrigen Gerät vergleichen.
Ein Aufkleber mit leicht abstehenden Ecken ist ein deutliches Warnsignal. Dasselbe gilt für Luftblasen, Klebereste, ungewöhnlich glänzendes Material oder einen zweiten Aufkleber unter dem sichtbaren Code. Mit dem Finger lässt sich häufig ertasten, ob eine zusätzliche Schicht aufgebracht wurde.
Auch gestalterische Abweichungen sind relevant. Der Name des Anbieters muss mit den Angaben auf der Säule, dem Display und dem Tarifaufkleber übereinstimmen. Ein fremdes Logo oder eine andere Schriftart sollte nicht als bloßer Druckfehler abgetan werden.
Gefälschte QR-Codes erkennen Nutzer besonders häufig an folgenden Merkmalen:
- Der Code befindet sich auf einem nachträglich aufgeklebten Etikett.
- Unter dem Aufkleber sind Ränder eines weiteren Codes sichtbar.
- Farben, Schrift oder Logo passen nicht zum restlichen Automaten.
- Der angebliche Zahlungsanbieter wird an keiner anderen Stelle genannt.
- Die Standort- oder Säulennummer fehlt auf der geöffneten Seite.
- Die Zieladresse enthält Schreibfehler oder zusätzliche Begriffe.
- Eine sofortige Kreditkartenzahlung wird als einzige Option dargestellt.
- Die Seite verlangt ein Onlinebanking-Passwort oder eine Banking-PIN.
- Ein ungewöhnlich niedriger Testbetrag soll „zur Verifizierung“ bezahlt werden.
- Die Website erzeugt künstlichen Zeitdruck oder droht mit einer sofortigen Strafe.
| Prüfpunkt | Unauffälliger Vorgang | Mögliches Betrugszeichen |
|---|---|---|
| Befestigung | Code ist Bestandteil der Originalbeschriftung | Aufkleber liegt über einem älteren Code |
| Anbieter | Name stimmt mit Säule und Display überein | Fremdes Logo oder abweichender Firmenname |
| Internetadresse | Klare Hauptdomain des Betreibers | Zusätze, Tippfehler oder ungewöhnliche Domainendung |
| Zahlungsweg | App, Karte, Ladekarte oder Terminal verfügbar | QR-Code wird als einzige Möglichkeit dargestellt |
| Dateneingabe | Tarif, Kennzeichen und reguläre Kartenzahlung | Banking-PIN, Passwort oder TAN werden verlangt |
| Bestätigung | Vorgang erscheint am Automaten oder in der App | Nur die Website meldet eine angebliche Zahlung |
Ein Schloss-Symbol im Browser reicht nicht als Echtheitsnachweis. Es zeigt lediglich, dass die Verbindung zur geöffneten Website verschlüsselt ist. Auch eine betrügerische Seite kann ein gültiges TLS-Zertifikat besitzen und deshalb als HTTPS-Adresse erscheinen.
Die Internetadresse ist wichtiger als das Design der Seite
Nach dem Scannen zeigt Android oder iOS normalerweise eine Vorschau des gefundenen Links. Diese Vorschau sollte vollständig gelesen werden, bevor die Website geöffnet wird. Besonders relevant ist der Teil der Adresse unmittelbar vor der Domainendung wie „.de“, „.com“ oder „.eu“.
Bei bezahlen.anbieter.de lautet die eigentliche Domain anbieter.de. Bei anbieter.de.parken-direkt.com gehört die Seite dagegen zu parken-direkt.com. Der bekannte Anbietername steht dort lediglich in einer Subdomain und beweist keine Verbindung zum echten Unternehmen.
Täuschungen nutzen häufig ähnlich aussehende Zeichen. Ein kleines „l“ kann wie ein großes „I“ wirken, während die Zahl „0“ den Buchstaben „O“ ersetzt. Auf einem schmalen Smartphone-Display fallen solche Unterschiede nur bei genauer Betrachtung auf.

Öffnen Sie bei Zweifeln nicht den vorgeschlagenen Link. Geben Sie die bekannte Adresse des Betreibers selbst ein oder starten Sie dessen bereits installierte App.
Eine automatisch vorgeschlagene Zahlung sollte außerdem nicht bestätigt werden, wenn der Browser einen Download startet, die Installation einer App außerhalb des App-Stores verlangt oder ein Konfigurationsprofil anbietet. Besonders unter Android können inoffizielle Installationsdateien zusätzliche Risiken verursachen. Wie sich verdächtige APK-Dateien, nachgebaute Apps und ungewöhnliche Berechtigungen erkennen lassen, zeigt der Beitrag über gefährliche Fake-Apps und inoffizielle APK-Dateien.
Parkplatz oder Ladesäule: Welche Zahlungswege sicherer sind
Die sicherste Methode hängt von der vorhandenen Infrastruktur ab. Eine bereits installierte App des tatsächlichen Betreibers reduziert das Risiko, weil die Zahlung nicht über einen beliebigen Aufkleber gestartet wird. Die App sollte jedoch aus dem offiziellen App Store oder Google Play stammen und vorab eingerichtet worden sein.
An Ladesäulen sind Ladekarten, RFID-Chips, kontaktlose Bankkartenzahlung und die offizielle Betreiber-App meist besser kontrollierbar als ein spontan gescannter Code. Bei Parkautomaten können Münzen, Kartenleser oder bekannte Park-Apps eine Alternative sein. Nutzer sollten dabei die Standortnummer direkt vom Gerät übernehmen.
Ein Kartenleser kann ebenfalls manipuliert sein, doch ein aufgeklebter QR-Code lässt sich wesentlich schneller und unauffälliger austauschen. Wo kontaktloses Bezahlen angeboten wird, sollte das Display des Automaten den Betrag und den erfolgreichen Abschluss bestätigen.
Probleme mit Smartphone-Wallet, Bankkarte oder NFC lassen sich mit den Schritten für kontaktloses Bezahlen unter Android und iPhone systematisch prüfen.
| Zahlungsart | Vorteil | Zu prüfen |
| Offizielle Betreiber-App | Keine spontane Weiterleitung über fremden Code | App-Name, Herausgeber, Standortnummer |
| Ladekarte oder RFID | Zahlung ohne Eingabe der Kartendaten im Browser | Richtiger Tarif und Betreiberverbund |
| Kontaktlose Bankkarte | Zahlung direkt am Terminal | Betrag und Bestätigung auf dem Display |
| Münzen oder Chipkarte | Keine Weitergabe von Online-Zahlungsdaten | Gültigkeit und korrekte Buchung |
| QR-Code | Schnell und ohne vorherige Registrierung | Aufkleber, Domain, Betreiber und Datenabfrage |
| Telefonische Aktivierung | Direkter Kontakt zum Anbieter möglich | Nummer nur von der Säule oder offiziellen App verwenden |
IONITY empfiehlt Nutzern ausdrücklich, verdächtige Aufkleber auf überklebte Ränder und abweichende Farben zu prüfen. Als Alternativen nennt der Betreiber die eigene App sowie kontaktlose Kartenzahlung, sofern am Standort ein entsprechendes Terminal vorhanden ist.
„Always double-check the web address.“
— Sicherheitshinweis des Ladeanbieters IONITY zur Kontrolle der Zahlungsdomain.
Welche Daten eine echte Zahlungsseite niemals verlangen sollte
Eine reguläre Kartenzahlung kann Kartennummer, Ablaufdatum, Karteninhaber und Sicherheitscode erfordern. Je nach Bank folgt eine Freigabe in der Banking-App oder über ein 3-D-Secure-Verfahren. Die Zahlungsseite benötigt jedoch weder das vollständige Onlinebanking-Passwort noch die Karten-PIN.
Besonders verdächtig ist eine Aufforderung, eine TAN direkt in das Formular des Parkplatzanbieters einzutragen. Freigabecodes gehören ausschließlich in den klar erkennbaren Prozess der Bank. Dabei müssen Betrag und Zahlungsempfänger kontrolliert werden.
Die QR-Code-Phishing-Seite kann zusätzlich Telefonnummer, E-Mail-Adresse und Fahrzeugkennzeichen abfragen. Diese Angaben wirken passend zum Parkvorgang, ermöglichen aber später einen glaubwürdigen Betrugsanruf. Täter können das Kennzeichen und den vermeintlichen Zahlungszeitpunkt nennen, um sich als Bank, Parkplatzbetreiber oder Sicherheitsabteilung auszugeben.
Brechen Sie den Vorgang sofort ab, wenn folgende Daten verlangt werden:
- Onlinebanking-Benutzername und vollständiges Passwort;
- Karten-PIN;
- mehrere TANs hintereinander;
- Wiederherstellungscode eines Google-, Apple- oder Microsoft-Kontos;
- Freigabe einer Geräteanmeldung, die nichts mit der Zahlung zu tun hat;
- Installation einer Fernwartungs-App;
- Upload von Personalausweis oder Reisepass ohne nachvollziehbaren Grund;
- Überweisung auf ein angebliches Sicherheitskonto;
- Bestätigung einer Zahlung mit abweichendem Betrag oder Empfänger.
Wer häufig digitale Zahlungen und Konten verwendet, sollte für wichtige Zugänge phishingresistente Anmeldeverfahren nutzen. Eine ausführliche Anleitung erklärt, wie sich Passkeys bei Google, Apple und Microsoft einrichten lassen. Passkeys sind an die echte Domain gebunden und werden auf einer nachgebauten Login-Seite normalerweise nicht für den Originaldienst angeboten.
Was Sie tun müssen, wenn Sie den Code nur gescannt haben
Das bloße Scannen eines QR-Codes verursacht normalerweise noch keinen finanziellen Schaden. Entscheidend ist, welche Aktion danach ausgeführt wurde. Wurde nur die Linkvorschau angezeigt und die Website nicht geöffnet, sind meist keine weiteren Schritte erforderlich.
Auch das Öffnen einer Seite führt nicht automatisch zum Diebstahl von Kreditkartendaten. Dennoch sollten keine Downloads bestätigt, keine App installiert und keine Browserberechtigungen erteilt werden. Die Seite ist zu schließen, ohne Formulare auszufüllen.
Wurde eine Datei heruntergeladen, sollte sie nicht geöffnet werden. Unter Android ist zu kontrollieren, ob die Installation aus unbekannten Quellen zugelassen wurde. Auf dem iPhone müssen unbekannte Konfigurationsprofile, Kalenderabonnements oder Geräteverwaltungen geprüft werden.
Die passende Reaktion richtet sich nach dem erreichten Schritt:
- Nur gescannt: Link nicht öffnen und Code am Standort melden.
- Website geöffnet: Tab schließen und Browser-Downloads prüfen.
- Kontaktdaten eingegeben: Mit gezielten Phishing-Anrufen und Nachrichten rechnen.
- Kartendaten eingegeben: Karte sofort über die Bank-App sperren oder Bank anrufen.
- Zahlung bestätigt: Umsatz dokumentieren und unverzüglich reklamieren.
- Banking-Daten eingegeben: Onlinebanking sperren und Zugangsdaten ändern.
- App installiert: Netzwerk trennen, App entfernen und Berechtigungen prüfen.
- Passwort verwendet: Passwort auf einem sauberen Gerät ändern und Sitzungen abmelden.
Kartendaten eingegeben: Sofortmaßnahmen in der richtigen Reihenfolge
Nach der Eingabe von Kreditkartendaten zählt jede Minute. Täter testen gestohlene Karten häufig zunächst mit kleinen Beträgen. Eine geringe Vormerkung darf deshalb nicht als harmloser Systemtest angesehen werden.
Die Karte sollte über die offizielle Banking-App gesperrt werden. Ist das nicht möglich, muss die auf der Karte, dem Kontoauszug oder der offiziellen Bankwebsite genannte Nummer verwendet werden. Telefonnummern auf der verdächtigen Zahlungsseite sind ungeeignet.
Danach sollten Screenshots der Website, die vollständige Internetadresse, Standort, Uhrzeit und Fotos des QR-Aufklebers gesichert werden. Der manipulierte Aufkleber sollte nicht eigenmächtig entfernt werden, wenn dadurch mögliche Spuren zerstört werden. Der Betreiber kann den Standort absperren oder die zuständige Stelle informieren.
Nach einem Quishing-Angriff sind diese Schritte sinnvoll:
- Karte oder betroffenes Zahlungsmittel sperren;
- Bank über die mögliche Kompromittierung informieren;
- vorgemerkte und gebuchte Umsätze kontrollieren;
- unbekannte Zahlungen sofort reklamieren;
- Browser-Verlauf und vollständige URL dokumentieren;
- Park- oder Ladeanbieter benachrichtigen;
- Standort und Nummer des Automaten notieren;
- Fotos des Aufklebers und der gesamten Säule aufnehmen;
- bei Datenmissbrauch oder Abbuchungen Anzeige erstatten;
- E-Mail- und Bankkonto in den folgenden Wochen engmaschig beobachten.
Wurde dasselbe Passwort auch bei anderen Diensten verwendet, muss es dort ebenfalls geändert werden. Beim Google-Konto sollten aktive Geräte, Wiederherstellungsdaten und verdächtige Anmeldungen kontrolliert werden. Der Leitfaden zum Absichern eines Google-Kontos mit Passkeys, Zwei-Faktor-Authentifizierung und Geräteprüfung beschreibt die erforderlichen Kontrollen in der richtigen Reihenfolge.
— Hinweis der Stadt Stuttgart zu den manipulierten QR-Aufklebern an Parkscheinautomaten.

Warum nach der ersten Zahlung weitere Betrugsversuche folgen können
Die gestohlenen Informationen ergeben zusammen ein detailliertes Profil. Telefonnummer, Kennzeichen, Kreditkartentyp, vermeintlicher Betreiber und Zeitpunkt der Zahlung können in späteren Gesprächen verwendet werden. Ein Anrufer wirkt dadurch glaubwürdiger als bei einem gewöhnlichen Werbe- oder Betrugsanruf.
Typisch ist die Behauptung, die Bank habe eine verdächtige Zahlung erkannt. Anschließend soll das Opfer eine Push-Nachricht bestätigen, eine TAN nennen oder Geld auf ein „sicheres Konto“ überweisen. Eine echte Bank verlangt keine Überweisung auf ein Schutzkonto.
Auch die angezeigte Rufnummer beweist nicht, wer anruft. Täter können die übermittelte Anruferkennung manipulieren und eine deutsche Nummer oder sogar eine scheinbar bekannte Servicehotline anzeigen lassen. Wie diese Technik funktioniert und weshalb ein Rückruf über eine selbst recherchierte Nummer nötig ist, erklärt der Beitrag über Call-ID-Spoofing mit deutschen Telefonnummern.
Folgende Anschlussversuche sind möglich:
- angeblicher Anruf der Bank wegen einer verdächtigen Zahlung;
- SMS mit einem Link zur Rückerstattung;
- E-Mail über eine nicht bezahlte Parkgebühr;
- Forderung einer zusätzlichen Freischaltgebühr;
- gefälschter Supportanruf des Ladeanbieters;
- Aufforderung zur Installation einer Fernwartungs-App;
- Push-Freigabe für eine tatsächlich von den Tätern ausgelöste Zahlung;
- Drohung mit Mahnkosten oder Abschleppen.
Wer nach einem verdächtigen Scan kontaktiert wird, sollte das Gespräch beenden. Danach wird die Bank oder der Anbieter über eine selbst eingegebene Adresse beziehungsweise eine bekannte App kontaktiert.
So prüfen Betreiber und Nutzer einen verdächtigen Standort
Ein einzelner Aufkleber kann mehrere Fahrer betreffen, bevor er entdeckt wird. Eine schnelle Meldung an Betreiber, Stadtverwaltung, Parkhausgesellschaft oder Ladesäulenanbieter verhindert deshalb weitere Dateneingaben. Für die Bearbeitung werden möglichst genaue Angaben benötigt.
Die Meldung sollte den Standort, die Nummer des Automaten oder Ladepunkts und eine Beschreibung des Aufklebers enthalten. Fotos müssen sowohl den Code als auch die gesamte Säule zeigen. Nur eine Nahaufnahme des QR-Codes reicht oft nicht, um den Standort eindeutig zuzuordnen.
Nutzer sollten den Code nicht mehrfach testweise öffnen. Auch Freunde oder andere Fahrer dürfen nicht aufgefordert werden, die Weiterleitung zu prüfen. Der Betreiber kann den Link in einer geschützten Analyseumgebung untersuchen und die Domain melden lassen.
Eine brauchbare Meldung enthält:
- genaue Adresse oder Position im Parkhaus;
- Ebene, Stellplatzbereich oder Fahrtrichtung;
- Nummer des Parkautomaten oder Ladepunkts;
- Datum und Uhrzeit der Entdeckung;
- Foto der gesamten Anlage;
- Nahaufnahme des Aufklebers;
- sichtbare Zieladresse aus der Linkvorschau;
- Name des angeblichen Zahlungsanbieters;
- Angabe, ob Daten eingegeben oder Zahlungen ausgelöst wurden;
- Kontaktdaten für Rückfragen, sofern gewünscht.
Schutzmaßnahmen für den Alltag
Eine einfache Gewohnheit verhindert einen großen Teil der Angriffe: Zahlungs-Apps werden vor der Reise installiert und nicht erst unter Zeitdruck auf dem Parkplatz gesucht. Der Herausgeber der App, die Zahl der Downloads und die angegebene Website müssen zusammenpassen.
Favorisierte Betreiber können im Browser gespeichert werden. Bei einer spontanen Zahlung wird die Adresse dann über das Lesezeichen geöffnet und nicht über einen Aufkleber. Noch besser ist die direkte Nutzung der bereits angemeldeten App.
Auf dem Smartphone sollte die automatische Öffnung erkannter QR-Links deaktiviert bleiben. Die Kamera darf die Adresse anzeigen, aber nicht ohne Bestätigung laden. So bleibt Zeit, Domain und Anbieter zu prüfen.
Für wichtige Konten gelten zusätzliche Schutzregeln:
- für jeden Dienst ein eigenes Passwort verwenden;
- Passwortmanager statt wiederverwendeter Kennwörter einsetzen;
- Zwei-Faktor-Authentifizierung aktivieren;
- Passkeys nutzen, wenn der Dienst sie unterstützt;
- Betriebssystem und Browser aktualisieren;
- unbekannte App-Installationen blockieren;
- Zahlungsbenachrichtigungen der Bank aktivieren;
- Kartenlimits für Onlinezahlungen festlegen;
- gespeicherte Karten regelmäßig kontrollieren;
- ungenutzte Konten und Zahlungsmittel entfernen.
Fragen und Antworten zu Quishing auf Parkplätzen und an Ladesäulen
Kann ein QR-Code das Smartphone bereits beim Scannen infizieren?
Das reine Erfassen des Codes mit der Kamera führt normalerweise nicht zu einer Infektion. Gefährlich wird es, wenn die verknüpfte Website geöffnet, eine Datei heruntergeladen, eine App installiert oder eine Berechtigung erteilt wird. Betriebssystem und Browser sollten dennoch aktuell sein.
Reicht das HTTPS-Schloss als Beweis für eine sichere Zahlungsseite?
Nein. HTTPS verschlüsselt die Verbindung, bestätigt aber nicht, dass die Website dem echten Parkplatz- oder Ladeanbieter gehört. Betrüger können für ihre Domains ebenfalls gültige Zertifikate erhalten. Entscheidend sind Domain, Anbietername und Zahlungsablauf.
Muss die Karte gesperrt werden, wenn nur die Kartennummer eingegeben wurde?
Ja, sobald Kartennummer, Ablaufdatum und Sicherheitscode auf einer verdächtigen Seite eingegeben wurden, sollte die Bank kontaktiert werden. Die Daten können gespeichert worden sein, selbst wenn keine Zahlung angezeigt wurde.
Kann ein echter Betreiber QR-Code-Aufkleber verwenden?
Ja. Ein Aufkleber ist nicht automatisch betrügerisch. Er muss jedoch unbeschädigt sein, zum genannten Betreiber passen und auf dessen tatsächliche Domain führen. Bei Unsicherheit sollte die offizielle App oder eine andere Zahlungsmethode genutzt werden.
Warum funktioniert der Parkvorgang trotz angeblich erfolgreicher Zahlung nicht?
Die gefälschte Seite ist nicht mit dem Parkautomaten oder der Ladesäule verbunden. Sie kann eine Bestätigung anzeigen, obwohl keine Parkzeit gebucht und kein Ladevorgang gestartet wurde. Deshalb muss die erfolgreiche Aktivierung zusätzlich am Automaten, in der Betreiber-App oder am Display kontrolliert werden.
Was ist sicherer: QR-Code, NFC oder Betreiber-App?
Eine bereits installierte offizielle Betreiber-App oder eine direkte Kartenzahlung am integrierten Terminal ist meist leichter zu kontrollieren. QR-Codes können ebenfalls legitim sein, lassen sich im öffentlichen Raum aber besonders einfach überkleben. Unabhängig von der Methode müssen Betrag, Betreiber und Bestätigung geprüft werden.
Sie können dies und weitere nützliche Informationen auf unserer Website nachlesen. Wir empfehlen Ihnen außerdem die Lektüre folgender Artikel: Anruf mit deutscher Nummer: Wie Betrüger aus dem Ausland Call-ID-Spoofing einsetzen
