Mittels der Quishing-Betrugsmasche locken Cyberkriminelle ihre Opfer in die Falle. Besonders sind sie auf das Kreditkartendaten-Abfischen aus.
Gegenwärtig ist an Ladesäulen für E-Autos erhöhte Achtung geboten. Cyberkriminelle überkleben darauf bestehende QR-Codes zum Anmelden mit Fälschungen. Die sogenannte Quishing-Betrugsmasche soll den Tätern dabei einen Zugang zu Kreditkartendaten verschaffen.
Quishing-Betrugsmasche: Phishing mithilfe von QR-Codes
Die Automobil-Zeitschrift Auto, Motor und Sport weist aktuell darauf hin, dass an Ladesäulen für E-Autos die Quishing-Betrugsmasche auf dem Vormarsch ist. Gutgläubige Kunden scannen dabei vor dem Aufladen ihres E-Autos an den Ladesäulen den QR-Code, der sie vermeintlich auf Betreiber-Websites leitet. Geben sie dann ihre Kreditkartendaten zur Bezahlung ein, greifen Betrüger diese ab und missbrauchen sie für eigene Abbuchungen.
QR-Code wird zur Falle
Konkret bezog sich Auto, Motor und Sport auf einen diesbezüglichen Hinweis von Martin P. Bei ihm funktionierte zunächst die Lade-App nicht. Infolge scannt der Berliner den an der Säule aufgeklebten QR-Code. Anschließend öffnete sich vermeintlich die offizielle Site des Betreibers Ubitricity. Hier gibt er die Kreditkartendaten ein.
Seine Aufmerksamkeit erregte dann allerdings in der Online-Banking-App eine Freigabe-Anforderung über 2.000 rumänische Leu (402 Euro). Wie die Automobil-Zeitschrift berichtet, brach der Tesla-Fahrer an der Stelle den Vorgang sofort ab. Zudem ließ er seine Kreditkarte sperren. Wenig später erschloss sich ihm die Quishing-Betrugsmasche als Auslöser.
Einmal darauf aufmerksam geworden, entdeckte er an gleich fünf weiteren Laternenladesäulen solche gefälschten QR-Codes. Unbekannte hatten diese über die echten Codes geklebt. P. erstattete zum einen Anzeige bei der Polizei. Zum anderen meldet den Vorfall Ubitricity. Künftig macht er „bei Klebe-Codes jetzt immer die „Nagelprobe“. Dabei hebt er den Aufkleber per Fingernagel leicht an, um zu sehen, ob darunter vielleicht ein zweiter steckt“. P. resümiert: „Tätern wird es zu leicht gemacht, wenn QR-Codes nur aufgeklebt sind. Das ist eine Einladung par excellence.“
Über die verschiedenen Vorgehensweisen hinsichtlich der Quishing-Betrugsmasche informiert Auto, Motor und Sport:
„Durch den veränderten QR-Code können die Cyberkriminellen die auf der echten Website eingegebenen Kreditkarten-Daten mitlesen und für die illegale Abbuchung verwenden. Das Tückische: Laden ist ganz normal möglich.
In einer leicht abgewandelten Betrugsvariante landen Opfer auf gefälschten Websites, die so aussehen wie die der Säulenbetreiber. Nach Eingabe der Zahldaten ist Laden dann aber unmöglich. Die Betrugsopfer versuchen es erneut, landen dieses Mal auf der korrekten Seite und glauben an einen einmaligen Fehler. In Belgien haben Geschädigte die Abbuchungen erst mit der monatlichen Kreditkarten-Abrechnung bemerkt.“
Ladesäulen-Quishing ist europaweit auf dem Vormarsch
IT-Sicherheitsexperte Eddy Willems führt gegenüber Auto, Motor und Sport aus, dass „vor allem frisch gebackene, mit öffentlichen Ladesäulen noch nicht so vertraute E-Autofahrer“ gefährdet seien. Er weist auch auf weitere europaweit aufgetretene Fälle aus Belgien, den Niederlanden, Frankreich, Spanien und Italien hin. Ihm gemäß sei die Quishing-Betrugsmasche an Ladesäulen „innerhalb der EU definitiv ein Problem, wenn nicht weltweit.“
Auto, Motor und Sport führt als Fazit an, mit Sicherheitsmaßnahmen „wie die Anzeige von QR-Codes auf Bildschirmen oder die Nutzung von Lade-Apps, die gefälschte Codes erkennen“, könne man solche Vorfälle zu verhindern.
