Politie: Stickers met QR-code op parkeerautomaten zijn van oplichters

Op steeds meer plekken in Nederland is sprake van betaald parkeren. Oplichters weten dat en maken er misbruik van, zo waarschuwen verschillende gemeentes én de politie. Op parkeerautomaten worden stickers met valse QR-codes aangetroffen. De QR-code leidt naar een nepsite van – in dit geval – de populaire parkeer-app EasyPark. Maar wie op die manier denkt snel te betalen, raakt juist een hoop geld kwijt. Oplichters hopen zo namelijk jouw bank- of creditcardgegevens te bemachtigen.

Helemaal nieuw is deze oplichtingstruc niet. Zo werd er afgelopen mei nog voor gewaarschuwd door de politie Amsterdam.

Eerder werd de truc met de QR-code op parkeerautomaten al op andere plaatsen in Europa gesignaleerd, waaronder in de Belgische plaats Brugge, in Duitsland en in Ierland.

Voor wie deze waarschuwingen destijds heeft gemist, lichten we nog eens toe hoe dit precies werkt én waar je op moet letten.

Sinds kort doen er min of meer tegelijkertijd meerdere waarschuwingen de ronde, en dat is reden om extra alert te zijn. Het is immers niet ondenkbaar dat deze valse QR-stickers van 'EasyPark' of vergelijkbare stickers opduiken op parkeerautomaten bij jou in de buurt.

Eén waarschuwing dateert van 13 november, maar is deze week via RTL Nieuws breder onder de aandacht gebracht. Dat betreft een waarschuwing van de gemeente Maastricht, waarin werd verkondigd dat er op meerdere parkeerautomaten in de stad stickers met het EasyPark-logo en een QR-code zijn aangetroffen.

De gemeente Maastricht zegt hierover het volgende: "Deze QR-code leidt naar een pagina die om creditcardgegevens vraagt. EasyPark heeft bevestigd dat dit oplichting betreft."

De oplichters zijn grondig te werk gegaan. Volgens de gemeente Maastricht zijn deze stickers op maar liefst 20 parkeerautomaten aangetroffen.

Of er mensen in zijn getrapt, is niet bekend. Tegenover RTL Nieuws durft een woordvoerder het in ieder geval niet uit te sluiten: "Er zijn bij ons geen meldingen binnengekomen van burgers. Maar dat zegt zeker niet dat er geen mensen slachtoffer zijn geworden. Ook omdat we veel buitenlandse bezoekers hebben."

Ook in de gemeente Sittard-Geleen was het raak. Daar waarschuwde de gemeente op 18 november voor stickers met QR-codes op verschillende parkeerautomaten.

In dat geval betrof het een sticker van PayByPhone met daarop een QR-code die naar een nepsite leidt. PayByPhone is net als EasyPark een parkeer-app die gebruikers in staat stelt om parkeerkosten via hun telefoon te betalen, alleen is PayByPhone in Nederland een stuk minder ingeburgerd.

En ook in Amsterdam is het wederom raak, zo heeft de gemeente vandaag bekendgemaakt. Op verschillende parkeerautomaten in de stad – waar precies wordt niet duidelijk – zijn stickers met QR-codes aangetroffen.

Het wordt nergens expliciet genoemd, maar uit het begeleidende beeldmateriaal leiden we af dat het óók in Amsterdam om valse EasyPark-stickers gaat.

De gemeente Amsterdam zegt zelf: "Als u de QR-code scant, gaat u naar een nepwebsite waar criminelen bank- of creditcardgegevens proberen te stelen. Scan deze code niet!"

Volgens RTL Nieuws zijn in de gemeenten die melding hebben gemaakt van deze oplichtingstruc alle stickersvan de betreffende parkeerautomaten verwijderd of onbruikbaar gemaakt.

Oplettende lezers hadden het al door, maar deze valse QR-codes – feitelijk niets meer en niets minder dan scanbare links – leiden je naar valse, nagemaakte websites die qua huisstijl erg op die van EasyPark en PayByPhone lijken.

Mobiel betalen raakt steeds meer ingeburgerd en in dit geval lijkt het allemaal extra betrouwbaar omdat de stickers er redelijk professioneel uitzien. De EasyPark-sticker met de valse QR-code is bijvoorbeeld opgemaakt in de EasyPark-huisstijl, compleet met paarse kleur en EasyPark-logo.

Op de sticker staat bovendien "Scan & Pay". Onbewust kunnen mensen zo de indruk krijgen dat het een officiële EasyPark-sticker betreft en dat het handiger en sneller is om via de QR-code te betalen dan om het via de parkeerautomaat te regelen.

Kortom, het wordt gepresenteerd als een service, in plaats van als oplichtingstruc. Toch is dat laatste wel degelijk het geval. Daarover nu meer.

In deze specifieke gevallen verwees de QR-code in het geval van EasyPark naar een valse EasyPark-website. Voor de gemeente Sittard-Geleen geldt dat er via de QR-code werd verwezen naar een valse PayByPhone-pagina. Zelfde principe, iets andere uitvoering.

Op deze sites werden bezoekers enkele vragen gesteld, waaronder de verwachte parkeerduur en het kenteken. Dat is informatie die oplichters voor het uitvoeren van de oplichtingstruc zélf niet per se nodig is. Dat je dit tóch kunt invullen, is echter bewust zo ingericht: de bedoeling is dat het betrouwbaar overkomt en dat mensen minder snel argwaan krijgen als ze een parkeeractie 'afrekenen' zonder dat bijvoorbeeld bekend is wat het kenteken is.

Daarna wordt er om andere gegevens gevraagd. Denk dan aan creditcardgegevens of inloggegevens voor internetbankieren. Jij denkt deze gegevens in te voeren om een transactie te kunnen voltooien, maar in werkelijkheid stuur je deze informatie naar oplichters.

Met deze informatie zullen zij vervolgens proberen om op jouw kosten bestellingen te plaatsen of om in te breken in jouw online bankomgeving om grote geldbedragen weg te sluizen.

Wellicht weinig verrassend, maar een oplichtingstruc in de vorm van een valse QR-code op een sticker kun je óók in een iets ander jasje gieten en elders toepassen.

Helaas gebeurt dat ook, zo meldt Taxameter Centrale – leverancier van onder meer parkeerautomaten – op de website: "Deze vorm van fraude (valse QR-codes, red.) komt helaas steeds vaker voor, onder andere op openbare plekken zoals laadpalen en parkeerautomaten."

Een concreet Nederlands voorbeeld hebben wij (nog) niet, maar dat is ongetwijfeld slechts een kwestie van tijd. Afgelopen mei werd er door verschillende media bijvoorbeeld nog gewaarschuwd voor specifiek deze truc bij laadpalen van EnergyVision. Volgens de Vlaamse publieke omroep VRT zijn er in Brussel op deze manier verschillende bestuurders opgelicht.

Goed om te weten: het is hoogst ongebruikelijk dat exploitanten van parkeerautomaten of andere betaalautomaten een sticker met een QR-code op het apparaat bevestigen om klanten in staat te stellen de betaling te bespoedigen. Er schiet ons geen voorbeeld te binnen van een betaalautomaat waarbij klanten echt via een sticker met QR-code worden verzocht te betalen.

Wél biedt ABN AMRO klanten bijvoorbeeld de mogelijkheid om bij een Geldmaat geld op te nemen via een QR-code zonder dat een bankpas nodig is. Dat gaat echter via de ABN AMRO-app waarin je éérst een poging tot inloggen moet bevestigen, en de QR-code verschijnt vervolgens op het scherm van de Geldmaat. Kortom, dat gaat via interne, beveiligde banksoftware en niet via een sticker op het apparaat. Dit is feitelijk dus iets heel anders, we noemen het slechts om het verschil te benadrukken en verwarring te voorkomen.

Zie je tóch een QR-code op een parkeerautomaat, een laadpaal of een vergelijkbaar apparaat? Wees dan alert en op je hoede. Paniek is daarentegen ook weer niet nodig. Het scannen van een QR-code hoeft op zich namelijk niet per definitie gevaarlijk te zijn, zolang je goed weet wat je doet én je in staat bent om te herkennen wanneer je op een nepsite zit. Meestal geldt dat het bezoeken van zo'n site op zich niet per definitie gevaarlijk is. Het gevaar schuilt 'm vrijwel altijd in het invullen van gegevens.

Toch raden wij het scannen van QR-codes af als je niet zeker genoeg bent van je zaak, en dat geldt al helemaal als ze op stickers zitten die op parkeerautomaten, geldautomaten of laadpalen zijn geplakt.

Moet je toch parkeer- of laadgeld betalen? Doe dat dan via een mobiele parkeer-app of via de interface van het apparaat zelf. In principe kan iedereen namelijk een QR-code maken, dus het feit dat er zo'n sticker op een automaat zit, betekent allerminst dat het officieel is.

Twijfel je? Meld het in het geval van twijfel bij de gemeente of de exploitant van de automaat. Zij kunnen desgevraagd bevestigen of een sticker met een QR-code op een parkeerautomaat een officiële betaalmethode is. Maar zoals toegelicht is daarvan in het geheel geen sprake. Gewoon niet scannen en direct een melding doen, mocht je zoiets zien.

In april waarschuwden wij al voor oplichtingstrucs waarin QR-codes een prominente rol spelen. In dit goed gelezen artikel doen we alles uit de doeken.

Bron: Gemeente Amsterdam, gemeente Maastricht, gemeente Sittard-Geleen, RTL Nieuws, VRT.be