Ladesäulen-Quishing

Betrug an der Ladestation: Wie Cyber-Kriminelle Elektromobilisten schädigen

5.8.2024, 15:45 Uhr
Wer an öffentlichen Ladestationen den QR-Code zum Bezahlen nutzt, sollte aufmerksam vorgehen.

© Opel Wer an öffentlichen Ladestationen den QR-Code zum Bezahlen nutzt, sollte aufmerksam vorgehen.

Kaum hat sich die Elektromobilität auf breiterer Front etabliert, da ruft sie auch schon Betrüger auf den Plan. Offenkundig haben die Kriminellen gut nachgedacht, wie sie aus dem Elektro-Trend Kapital schlagen können und sind dann auf eine perfide Methode gekommen, vor der jetzt die Zeitschrift Auto, Motor und Sport warnt.

Gefälschter QR-Code

Opfer des sogenannten "Quishings" sind Elektromobilisten, die ihr Fahrzeug mit frischem Strom versorgen möchten und zum Bezahlen weder eine App noch eine Ladekarte nutzen, sondern den an der Ladesäule angebrachten QR-Code. Was sie nicht ahnen: Der Code ist nicht echt, sondern wurde von den Tätern mit einem veränderten überklebt.

Nun ergeben sich zwei Möglichkeiten, illegal ans Geld der Fahrstrom-Kunden zu gelangen. Die erste: Mithilfe des abgewandelten QR-Codes erkennen die Täter die auf der Website des Ladesäulenbetreibers eingegebenen Kreditkartendaten und nutzen diese dazu, Geld abzubuchen. Verdacht schöpfen die Geschädigten zunächst nicht, denn der Ladevorgang funktioniert problemlos und wie gewohnt. Laut Auto, Motor und Sport kommt es vor, dass die Täter mit Störsendern den Handyempfang oder die Ladesäule selbst blockieren, um ihre Opfer dazu zu zwingen, von App oder Ladekarte auf den QR-Code auszuweichen.

Auf Fake-Seite weitergeleitet

Die zweite Möglichkeit: Über den falschen QR-Code werden die Ladekunden auf eine Website weitergeleitet, die der des Ladesäulenbetreibers zwar sehr ähnlich sieht, in Wahrheit aber eine gefälschte ist. Auf dieser Fake-Seite gibt das Opfer dann seine Bezahldaten ein, kann aber nicht laden. Deshalb wird ein zweiter Versuch unternommen, der dann auf die richtige Website und zu einem erfolgreichen Ladevorgang führt. Das wiegt insofern in Sicherheit, als der erste, vergebliche Anlauf als einmaliges Scheitern interpretiert und schnell vergessen wird. Erst viel später, wenn die Kreditkarten-Abrechnung vorliegt, wird die illegale Abbuchung offenbar.

"Quishing" setzt sich aus den Begriffen "QR" und "Phishing", des Abschöpfens von Daten also, zusammen. Auf die neue Betrugsmasche ist die Fachzeitschrift von Leserseite aus aufmerksam gemacht worden und zitiert nun einen IT-Experten, der Ladesäulenbetreibern dazu rät, den QR-Code nicht als Aufkleber am Ladepunkt anzubringen, sondern digital auf dessen Display anzuzeigen. Kunden sollten nach dem Scannen des Codes sorgfältig darauf achten, dass sie auf die richtige Seite weitergeleitet werden – oder am besten gleich die App verwenden, bei der es keinen QR-Code braucht.

Keine Kommentare