Aktuell müssen E-Auto Fahrer an Ladesäulen besonders wachsam sein. Betrüger überkleben dort echte QR-Codes mit gefälschten Varianten. Diese Quishing-Masche hat das Ziel, an persönliche Kreditkartendaten zu gelangen. Cyberkriminalität zeigt sich hier in einer neuen Dimension.
Phishing per QR-Code: Eine neue Gefahr
In der Automobil-Zeitschrift „Auto, Motor und Sport“ wird auf diese Bedrohung hingewiesen. Das Scannen eines QR-Codes soll die Kunden zu vermeintlichen Betreiber-Websites führen. Geben sie dann ihre Zahlungsinformationen ein – wird dies zu einem Leckerbissen für die Täter. Die Kreditkartendaten werden abgezogen und missbraucht.
Der Fall von Martin P.
Kürzlich berichtete ein Benutzer namens Martin P. von einem Vorfall. Seine Lade-App funktionierte zunächst nicht. Er scannte daraufhin einen überklebe QR-Code an einer Ladesäule. Unversehens öffnete sich eine Seite – die wie die offizielle von Ubitricity aussah. Als P. die Kreditkartendaten eingab, bemerkte er in seiner Banking-App eine Freigabe-Anfrage über 2․000 rumänische Leu. Die Alarmglocken läuteten. Sofort stoppte er die Zahlung und ließ seine Karte sperren. Die Betrugsmasche war ihm nun bewusst.
Entdeckungen an weiteren Ladesäulen
Aufmerksam geworden, entdeckte Martin P. ähnliche gefälschte QR-Codes an fünf weiteren Ladesäulen. Unbekannte hatten sie über die echten Codes geklebt. P. erstattete bei der Polizei Anzeige und informierte Ubitricity. Künftig wird er beim Scannen immer die „Nagelprobe“ machen. Dabei hebt er mit seinem Fingernagel den Aufkleber an um zu überprüfen, ob sich darunter ein echter Code verbirgt. Er äußert sich besorgt: „Tätern wird es zu leicht gemacht, wenn QR-Codes nur aufgeklebt sind.“
Wie funktioniert Quishing?
Die Automobil-Zeitschrift beschreibt, dass durch den veränderten QR-Code die Cyberkriminellen die Kreditkartendaten mitlesen können. Diese Daten nutzen sie anschließend für illegale Abbuchungen. Besonderes Augenmerk muss auf die Tatsache gelegt werden. Dass Laden dennoch möglich ist. In der Nähe positionierte Täter können sogar Störsender einsetzen um den Empfang zu blockieren. Diese Technik stellte sich als möglich heraus während Martin P.s App plötzlich ausstieg.
Eine schleichende Gefahr
In einem weiteren betrügerischen Szenario gelangen Opfer auf gefälschte Websites der Betreiber. Nach der Eingabe ihrer Zahldaten ist ein Laden nicht weiterhin möglich. Die Betroffenen denken an einen einmaligen Fehler und versuchen es erneut – diesmal erfolgreich. In Belgien konnte man beobachten – dass viele Geschädigte erst mit der Kreditkartenabrechnung von den Abbuchungen erfuhren.
Quishing-Masche breitet sich europaweit aus
IT-Sicherheitsexperte Eddy Willems spricht über die Bedrohungen. Besonders unerfahrene E-Autofahrer die noch nicht mit öffentlichen Ladesäulen vertraut sind, seien oft die Hauptziele. Willems verweist auf Fälle in Belgien den Niederlanden Frankreich, Spanien und Italien. Seinen Aussagen nach ist die Quishing-Betrugsmasche ein ernstzunehmendes Problem – nicht nur in Europa, allerdings möglicherweise weltweit.
Maßnahmen zur Täuschungsvermeidung
Das Fazit der Automobil-Zeitschrift bringt einige Möglichkeiten zur Vorbeugung ins Spiel. Sicherheitsvorkehrungen wie die Anzeige von QR-Codes auf Bildschirmen oder die Nutzung von speziellen Lade-Apps die gefälschte Codes erkennen, könnten helfen. So bleibt den Nutzern ein sichereres Lade-Erlebnis hoffentlich nicht verwehrt.
Kommentare