Tatort Ladesäule: Betrug mit gefälschten QR-Codes
Wer sein Elektroauto an einer Ladesäule aufladen will, sollte aufmerksam sein. Auch hier versuchen Betrüger mittlerweile, an Kontodaten und mehr zu gelangen.
Den QR-Code scannen, Bezahl-Daten eingeben, Auto aufladen, weiter fahren. Klingt einfach. Aber Vorsicht: E-Autofahrer sollten sich den QR-Code-Aufkleber öffentlicher Ladesäule genau anschauen. Denn es gibt eine Betrugsmasche mit gefälschten QR-Code-Aufkleber, berichtet die «Auto, Motor und Sport» (17/2024). Im Visier: ein E-Autofahrer an einer Ladesäule in Berlin.
Die Masche: Scannt man den gefälschten QR-Code, landet man auf einer gefälschten Bezahlseite, wo die Kreditkartendaten von Ahnungslosen abgegriffen werden. «Quishing» nennt sich das, also Phishing per QR-Code. Auch aus anderen Ländern seien Fälle bekannt – etwa Belgien, den Niederlanden, Frankreich, Spanien, Italien.
Bezahl-App klappt nicht? Achtung!
Der Verdacht laut «Auto, Motor und Sport»: Möglicherweise versuchten die Betrüger, mit Störsendern die Nutzung der App zu verhindern – und so E-Autofahrer zum Scannen des Codes zu zwingen. Das Fatale: Das Laden funktionierte in der Regel wie gewohnt. So landeten die E-Autofahrer zunächst auf einer Internetseite, die der Webseite des Ladesäulen-Betreibers zum Verwechseln ähnlich sah.
Dort gaben die E-Autofahrer ihre Bezahldaten ein, aber gelangten nicht an den Strom. Zunächst. Perfide: Die Cyberkriminellen hatten den Vorgang aber wohl so programmiert, dass Kunden im zweiten Anlauf auf der richtigen Webseite des Lade-Dienstleisters landen – und so den ersten Fehlversuch keine Bedeutung zusprachen.
Was tun?
Den Aufkleber immer genau anschauen. Ist er nur aufgeklebt? Steckt darunter vielleicht ein zweiter QR-Code des eigentlichen Betreibers?
Bei manchen Betreibern gibt es zusätzlich einen Code auf dem Display. Dann besser diesen scannen. Die QR-Code-Aufkleber können einfacher manipuliert werden. Oder wenn möglich die Lade-App des Betreibers oder das Kreditkarten-Lesegerät nutzen.
Erscheint eine hohe Summe im Display, die abgebucht werden soll, oder kommt Nutzern die Webseite des Betreibers seltsam vor, besser den Vorgang abbrechen und die Kreditkarte zur Sicherheit sperren. Im Zweifel an den Betreiber oder die Polizei wenden, um auf den möglichen Betrug aufmerksam zu machen.