02.08.2024, 8:27 Uhr
An Ladesäulen überkleben Cyber-Kriminelle die QR-Codes zum Anmelden mit Fälschungen. Ihr Ziel: die Kontodaten! Betrugsfälle sind aus ganz Europa bekannt. Die Masche nennt sich Quishing, abgeleitet von Phishing.
Die Lade-App funktioniert nicht. Also scannt Martin Person den an der Säule aufgeklebten QR-Code. Augenscheinlich öffnet sich die offizielle Seite des Betreibers Ubitricity, der 44-Jährige gibt seine Kreditkarten-Daten ein. Doch dann erscheint in der Online-Banking-App des Tesla-Fahrers eine Freigabe-Anforderung über 2.000 rumänische Leu (402 Euro). Der Berliner bricht den Vorgang ab, lässt die Kreditkarte sperren. Etwas später entdeckt er den Auslöser des Betrugsversuchs: Falsche QR-Codes an fünf Lade-Laternen, die Unbekannte über die echten Codes geklebt hatten. Person erstattet Anzeige, meldet den Vorfall Ubitricity. Sein Fazit: "Tätern wird es zu leicht gemacht, wenn QR-Codes nur aufgeklebt sind. Das ist eine Einladung par excellence."
Parkscheibe, Ladesäule und Co - Diese skurrilen Verkehrsregeln lauern auf deutschen Strassen
8:26 Min.
Durch den veränderten QR-Code können die Cyber-Kriminellen die auf der echten Website eingegebenen Kreditkarten-Daten mitlesen und für die illegale Abbuchung verwenden. Das Tückische: Laden ist ganz normal möglich. Eventuell blockieren Täter in der Nähe sogar mit Störsendern den Handyempfang oder die Säule selbst, um die QR-Code-Nutzung zu erzwingen. So wie eventuell bei Martin Person, dessen App plötzlich aussetzte. Dazu aber liegen Ubitricity keine Erkenntnisse vor.
Betreiber-Website gefälscht
In einer leicht abgewandelten Betrugsvariante landen Opfer auf gefälschten Websites, die so aussehen wie die der Säulenbetreiber. Nach Eingabe der Zahldaten ist Laden dann aber unmöglich. Die Betrugsopfer versuchen es erneut, landen dieses Mal auf der korrekten Seite und glauben an einen einmaligen Fehler. In Belgien haben Geschädigte die Abbuchungen erst mit der monatlichen Kreditkarten-Abrechnung bemerkt.
"Vor allem frisch gebackene, mit öffentlichen Ladesäulen noch nicht so vertraute E-Autofahrer sind gefährdet", sagt der IT-Sicherheitsexperte Eddy Willems. Ihm sind Fälle aus Belgien, den Niederlanden, Frankreich, Spanien, Italien und Deutschland bekannt. Das sogenannte Ladesäulen-Quishing (abgeleitet von Phishing) sei "innerhalb der EU definitiv ein Problem, wenn nicht weltweit."
Der Experte findet es besser, wenn die QR-Codes auf Bildschirmen statt als Aufkleber erscheinen. "Das ist sicher. Außer, jemand hackt die Ladesäule. Davon habe ich aber noch nicht gehört, und es wäre auch sehr schwierig."
So reagiert Ionity
Einem Warnhinweis von Ionity zufolge könnte genau das aber der Fall gewesen sein. Darin heißt es, "dass QR-Codes, die auf einigen unserer Ladegeräte angezeigt werden, von Betrügern manipuliert werden können." Angezeigt statt aufgeklebt? Ionity will die Formulierung nicht kommentieren. Die Firma wolle sich "bei diesem so brisanten Thema weniger auf aktuelle Ereignisse, sondern viel mehr auf Lösungen fokussieren und dazu Stellung nehmen." Der Rat: Kunden sollten "beim Scannen von QR-Codes stets sicherstellen, dass sie auf unsere offizielle Zahlungswebsite weitergeleitet werden." Tipps zu sicheren Bezahlmethoden gebe es auf der Website, Verdächtiges solle sofort gemeldet werden.
Konkurrent E.ON verweist darauf, dass es seit 2021 keine Quishing-Vorfälle mehr gegeben habe. Der Anbieter empfiehlt seinen Kunden die eigene Lade-App, die auch ohne QR-Code funktioniere. Beim Scannen per App würden falsche QR-Codes erkannt. Wer ad hoc laden wolle, könne an der Autobahn Kreditkarten-Lesegeräte nutzen.
Kunden sollen wachsam sein
Die Stadtwerke München kennen keine Quishing-Fälle an ihren rund 1.400 Wechselstrom-Säulen mit Klebe-Codes. Ein Sprecher rät Kunden, "sorgfältig zu prüfen, ob der durch den QR-Code generierte Link auch auf die Seiten von ladenetz.de oder Smart Lab führt" – die Websites von Partner und Zahlungsplattform.
Auch EnBW weiß nichts von Quishing-Fällen an seinen Säulen und plant auch nicht, "den QR-Code in der Bildschirmanzeige der Ladestationen zu integrieren." Beim Scannen via App würden falsche QR-Sticker erkannt.
Ubritricity erklärt, in Berlin an "weniger als 30 Säulen" gefälschte QR-Sticker gefunden zu haben. Kein Betroffener sei finanziell zu Schaden gekommen. "QR-Codes sind leider grundsätzlich keine fälschungssichere Authentifizierungsform, aber im Rahmen einer diskriminierungsfreien öffentlichen Ladeinfrastruktur zwingend notwendig. Sie bilden den derzeitigen Marktstandard der Ladetechnologie ab", so eine Sprecherin. Des Sicherheitsmangels und der davon ausgehenden Manipulationsgefahr seien sich alle Ladesäulenbetreiber bewusst.
Martin Person macht bei Klebe-Codes jetzt immer die "Nagelprobe". Er hebt den Aufkleber per Fingernagel leicht an, um zu sehen, ob darunter vielleicht ein zweiter steckt.
Fazit
Ein Leser von auto motor und sport wurde beim Laden seines E-Autos Opfer eines Betrugsversuchs durch manipulierte QR-Codes an Ladesäulen. Täter klebten gefälschte QR-Codes über die echten, um Kreditkartendaten abzufangen und illegale Abbuchungen vorzunehmen. Sicherheitsmaßnahmen wie die Anzeige von QR-Codes auf Bildschirmen oder die Nutzung von Lade-Apps, die gefälschte Codes erkennen, könnten solche Vorfälle verhindern.
Dieser Artikel kann Links zu Anbietern enthalten, von denen auto motor und sport eine Provision erhalten kann (sog. „Affiliate-Links“). Weiterführende Informationen hier.