Autofahrer, die ihr Elektroauto an einer öffentlichen Ladesäule aufladen, sollten unbedingt darauf achten, dass Sie ihre Kreditkartendaten nicht irrtümlich an Betrüger weitergeben. Die Zeitschrift auto motor und sport berichtet von Fällen, in denen Betrüger die QR-Codes an den Ladesäulen überkleben und über einen falschen QR-Code die Kreditkartendaten unbemerkt mitlesen können. Anschließend versuchen die Betrüger, vom Bankkonto Geld abzubuchen. Bei einer weiteren Betrugsmasche werden die Kunden über den falschen QR-Code auf eine täuschend echt nachgemachte Webseite des Ladesäulenbetreibers geleitet und hinterlassen dort ihre Kontodaten. Das Betrugsprogramm ist hier so programmiert, dass die Ladekunden im zweiten Anlauf auf der korrekten Website landen – und den anfänglichen Fehlversuch so schnell vergessen.
auto motor und sport hat aus dem Leserkreis einige Fälle dokumentieren können. „Vor allem frischgebackene, mit öffentlichen Ladesäulen noch nicht so vertraute E-Autofahrer sind gefährdet“, sagt der IT-Sicherheitsexperte Eddy Willems in auto motor und sport. Ihm sind Fälle aus Belgien, den Niederlanden, Frankreich, Spanien, Italien und Deutschland bekannt. Das sogenannte Ladesäulen-Quishing, abgeleitet von Phishing, sei „innerhalb der EU definitiv ein Problem, wenn nicht weltweit“, so Willems. Ladesäulenbetreibern rät der Experte zum Verzicht von Aufklebern, die Codes sollten im Display angezeigt werden. „Das ist sicher. Außer, jemand hackt die Ladesäule. Davon habe ich aber noch nicht gehört, und es wäre auch sehr schwierig.“
Die von auto motor und sport befragten Ladesäulenbetreiber bestreiten das Problem des Ladesäulen-Quishings. Allerdings mahnen alle zu höchster Vorsicht. Ionity rät, dass Kunden „beim Scannen von QR-Codes stets sicherstellen, dass sie auf unsere offizielle Zahlungswebsite weitergeleitet werden“. E.ON empfiehlt die Nutzung der eigenen Lade-App, die auch ohne QR-Code funktioniere. Wer ad hoc laden wolle, könne an der Autobahn Kreditkarten-Lesegeräte nutzen. Die Stadtwerke München betreiben rund 1400 Säulen mit aufgeklebten QR-Codes. Quishing-Fälle habe es dennoch nicht gegeben. EnBW vertraut ebenfalls auf seine Aufkleber und plant nicht, „den QR-Code in der Bildschirmanzeige der Ladestationen zu integrieren“. Beim Scannen via App würden falsche QR-Sticker erkannt. Konkurrent Ubitricity erklärt, in Berlin an „weniger als 30 Säulen“ gefälschte QR-Sticker gefunden zu haben. Aber kein Betroffener sei finanziell zu Schaden gekommen. „QR-Codes sind leider grundsätzlich keine fälschungssichere Authentifizierungsform, aber im Rahmen einer diskriminierungsfreien öffentlichen Ladeinfrastruktur zwingend notwendig. Sie bilden den derzeitigen Marktstandard der Ladetechnologie ab“, so die Ubitricity-Sprecherin.
Redakteur: Claudius Maintz
auto motor und sport hat aus dem Leserkreis einige Fälle dokumentieren können. „Vor allem frischgebackene, mit öffentlichen Ladesäulen noch nicht so vertraute E-Autofahrer sind gefährdet“, sagt der IT-Sicherheitsexperte Eddy Willems in auto motor und sport. Ihm sind Fälle aus Belgien, den Niederlanden, Frankreich, Spanien, Italien und Deutschland bekannt. Das sogenannte Ladesäulen-Quishing, abgeleitet von Phishing, sei „innerhalb der EU definitiv ein Problem, wenn nicht weltweit“, so Willems. Ladesäulenbetreibern rät der Experte zum Verzicht von Aufklebern, die Codes sollten im Display angezeigt werden. „Das ist sicher. Außer, jemand hackt die Ladesäule. Davon habe ich aber noch nicht gehört, und es wäre auch sehr schwierig.“
Die von auto motor und sport befragten Ladesäulenbetreiber bestreiten das Problem des Ladesäulen-Quishings. Allerdings mahnen alle zu höchster Vorsicht. Ionity rät, dass Kunden „beim Scannen von QR-Codes stets sicherstellen, dass sie auf unsere offizielle Zahlungswebsite weitergeleitet werden“. E.ON empfiehlt die Nutzung der eigenen Lade-App, die auch ohne QR-Code funktioniere. Wer ad hoc laden wolle, könne an der Autobahn Kreditkarten-Lesegeräte nutzen. Die Stadtwerke München betreiben rund 1400 Säulen mit aufgeklebten QR-Codes. Quishing-Fälle habe es dennoch nicht gegeben. EnBW vertraut ebenfalls auf seine Aufkleber und plant nicht, „den QR-Code in der Bildschirmanzeige der Ladestationen zu integrieren“. Beim Scannen via App würden falsche QR-Sticker erkannt. Konkurrent Ubitricity erklärt, in Berlin an „weniger als 30 Säulen“ gefälschte QR-Sticker gefunden zu haben. Aber kein Betroffener sei finanziell zu Schaden gekommen. „QR-Codes sind leider grundsätzlich keine fälschungssichere Authentifizierungsform, aber im Rahmen einer diskriminierungsfreien öffentlichen Ladeinfrastruktur zwingend notwendig. Sie bilden den derzeitigen Marktstandard der Ladetechnologie ab“, so die Ubitricity-Sprecherin.
Redakteur: Claudius Maintz
