QRishing auf Mallorca: Betrüger kapern Parkautomaten und Restaurant-Codes

Unter dem Begriff „QRishing“ manipulieren Kriminelle QR-Codes an Parkautomaten, Strandkiosken und in Restaurants, um an Kreditkartendaten zu gelangen. Besonders betroffen sind Palma und stark frequentierte Küstenabschnitte.

Manipulierte Parkautomaten im Visier der Täter

Die Hafenbehörde und der städtische Parkdienst in Palma haben zahlreiche Fälle dokumentiert. Kriminelle überkleben offizielle QR-Codes der ORA-Zonen mit täuschend echten Stickern. Darauf stehen Aufforderungen wie „Scan and Pay“ oder „Escanea y Paga“.

Banking, E-Mails, Fotos – auf keinem anderen Gerät speichern wir so viele sensible Daten wie auf dem Smartphone, was es zum Hauptziel für Betrüger macht. Dieser kostenlose Ratgeber zeigt Ihnen, wie Sie Ihr Android-Gerät mit 5 einfachen Schritten effektiv vor Hackern und Datenmissbrauch schützen. 5 sofort umsetzbare Schutzmaßnahmen entdecken

Wer den Code scannt, landet nicht auf dem offiziellen Zahlungsportal, sondern auf einer betrügerischen Website. Die Kopien sind optisch kaum vom Original zu unterscheiden: Logos, Farbschemata und Aufbau entsprechen den echten Portalen. Die Opfer geben dort Kennzeichen und Kreditkartendaten ein – und erhalten am Ende nicht einmal ein gültiges Parkticket. Bußgelder sind die Folge.

Die Hafenpolizei ist verstärkt im Einsatz, um die Aufkleber zu entfernen. Bürger können verdächtige Funde unter der Hotline 971 228 487 melden. Der städtische Parkservice SMAP prüft derzeit alle Automaten in der Stadt.

Betrug weitet sich auf Gastronomie und Strände aus

Die Masche beschränkt sich längst nicht mehr auf Parkplätze. In Restaurants und Bars, die seit der Pandemie auf digitale Speisekarten setzen, tauchen manipulierte QR-Codes auf den Tischen auf. Statt zur Menükarte führt der Scan auf Seiten, die eine Registrierung verlangen oder Gewinnspiele bewerben. In manchen Fällen installiert sich im Hintergrund Schadsoftware auf dem Handy.

Die Betrüger gehen mit psychologischer Präzision vor. Die Codes are fest in die Umgebung integriert – etwa auf Tischaufstellern oder an Strandkiosken. Die Hemmschwelle der Nutzer sinkt, vor allem im Urlaub unter Zeitdruck oder in entspannter Stimmung. Kaum jemand prüft die URL im Browser genau.

Sicherheitsexperten betonen: Die Technik hinter der Täuschung ist simpel, nutzt aber das blinde Vertrauen in öffentliche Infrastruktur aus. In Belgien und Frankreich gab es bereits ähnliche Wellen. Dort verschickten Betrüger sogar gefälschte Bankbriefe mit QR-Codes zur „Kartenaktivierung“.

So einfach funktioniert die Täuschung

QR-Codes sind für das menschliche Auge nicht lesbar. Anders als bei einer ausgeschriebenen Webadresse fallen Buchstabendreher oder Unregelmäßigkeiten nicht auf. Erst nach dem Scan wird der Link sichtbar – oft nur verkürzt oder in einer Vorschau, die viele ignorieren.

Auf der gefälschten Seite sammeln die Täter E-Mail-Adressen, Telefonnummern und Bankverbindungen. Die Daten werden sofort für unberechtigte Transaktionen oder Identitätsdiebstahl genutzt. In einigen Fällen folgten Abbuchungen in erheblicher Höhe direkt nach der Eingabe.

Ein einziger falscher Scan kann ausreichen, um Kriminellen Zugriff auf Ihr gesamtes digitales Leben zu gewähren. Erfahren Sie in diesem gratis PDF-Ratgeber, wie Sie WhatsApp, PayPal und Online-Banking auf Ihrem Android-Smartphone endlich sicher nutzen. Kostenlosen Sicherheits-Ratgeber herunterladen

Ein weiteres Risiko: Trojaner. Über Sicherheitslücken in älteren Browsern oder Betriebssystemen können Angreifer Schadsoftware installieren. Das ermöglicht langfristigen Zugriff auf das Gerät, das Mitlesen von Nachrichten oder das Abfangen von Einmal-Passwörtern fürs Online-Banking.

So schützen Sie sich

Die Policía Nacional empfiehlt Reisenden, QR-Codes im öffentlichen Raum stets physisch zu prüfen. Wirkt ein Code wie ein nachträglich angebrachter Aufkleber oder überdeckt er unsauber den Originalcode? Dann Finger weg.

Nach dem Scannen die URL in der Adressleiste genau anschauen. Vertrauenswürdige Seiten der öffentlichen Verwaltung auf Mallorca nutzen gesicherte Verbindungen (https) und spezifische Domainendungen. Fehlt das Sicherheitszertifikat oder wirkt die Domain kryptisch: Seite sofort schließen.

Besser: Für Parkgebühren offizielle Apps aus den App-Stores nutzen statt den Umweg über gescannte Codes an den Automaten.

In der Gastronomie gilt: Verlangt ein QR-Code für die Speisekarte eine Anmeldung mit sensiblen Daten oder Kreditkarteninformationen? Dann handelt es sich mit hoher Wahrscheinlichkeit um Betrug. Seriöse Anbieter fordern für eine PDF-Speisekarte keine persönlichen Daten.

Die Herausforderung der digitalen Infrastruktur

Der Anstieg der QRishing-Fälle zeigt eine Schwachstelle in der schnellen Digitalisierung touristischer Dienstleistungen. Kontaktlose Zahlungen und digitale Informationen erhöhen den Komfort – aber die physische Sicherheit der Hardware hat nicht Schritt gehalten. Die Verantwortung wird zunehmend auf den Endverbraucher verlagert, der in fremder Umgebung und mit Sprachbarrieren kämpft.

Sicherheitsexperten fordern manipulationssichere Siegel oder die Integration der Codes direkt in die Displays der Automaten. Solange das nicht flächendeckend umgesetzt ist, bleibt die öffentliche Infrastruktur ein attraktives Ziel für Cyberkriminelle. Sie profitieren von der hohen Fluktuation und Anonymität in Urlaubsgebieten.

Der finanzielle Schaden ist oft nur ein Teil des Problems. Viele Urlauber berichten von emotionalem Stress, wenn Konten während der Reise gesperrt werden müssen oder Ausweisdaten in falsche Hände geraten. Die spanische Justiz steht vor der Herausforderung, dass die Täter international agieren und die Spur des Geldes über Kryptowallets oder Auslandskonten verwischen.

Ausblick für die Sommersaison

Für die Hauptsaison planen die Behörden eine Informationskampagne in mehreren Sprachen. Urlauber sollen bereits bei der Ankunft am Flughafen oder im Hotel für das Thema sensibilisiert werden. Die Kontrollen in touristischen Zonen werden intensiviert.

Anbieter von Sicherheitssoftware arbeiten an Lösungen, die QR-Codes beim Scan-Vorgang auf ihre Reputation prüfen und bekannte Phishing-URLs blockieren. Bis diese Technologien standardmäßig auf allen Geräten sind, bleibt die individuelle Aufmerksamkeit die wichtigste Verteidigungslinie. Jede Meldung über einen manipulierten Code hilft, das Netzwerk der Betrüger schneller zu zerschlagen.

de | wissenschaft | 69278438 |