Quishing

Wie Hacker E-Ladesäulen manipulieren

12.08.2024 von Martin Bayer
Augen auf an der Ladesäule. Mit gefälschten QR-Codes versuchen Hacker, sensible Konto- und Kreditkartendaten zu klauen.
Bevor Sie den QR-Code an der Ladesäule scannen, sollten Sie lieber zwei Mal hinschauen. Hacker kleben gerne gefälschte QR-Codes auf die Säulen, um an ihre Finanzdaten zu kommen.
Foto: KOTL - shutterstock.com

Cyberkriminelle haben einen neuen Trick entdeckt. Per Quishing, also dem Phishing via QR-Codes, versuchen die Hacker Kreditkarten- oder Kontoinformationen von ahnungslosen Nutzerinnen und Nutzern abzugreifen. Das funktioniert beispielsweise beim Bezahlen an Ladestationen für E-Autos.

Welche Cybergefahren drohen? Bleiben Sie immer auf dem Laufenden mit den Newslettern von CSO.

Dort überkleben die Datendiebe den originalen QR-Code mit einem eigenen, gefälschten QR-Code-Aufkleber. Wenn Besitzerinnen und Besitzer von E-Autos nach dem Laden ihres E-Autos per QR-Code bezahlen wollen - beispielsweise, wenn die Lade-App nicht funktioniert -, landen sie auf einer Fake-Seite, die vom Aussehen der Website des Ladensäulen Betreibers täuschend ähnlich sieht. Hinterlassen dort die User ihre Bezahldaten, versuchen die Hacker, damit Geld vom Konto ihrer Opfer abzuzweigen.

Hacker stören Mobilfunk

Anfang August berichtete "Auto Motor Sport" über die neu aufkommende Cyber-Gefahr an den Ladesäulen. Demzufolge gehen die Hacker teilweise äußerst raffiniert vor und blockieren mit Störsendern den Mobilfunkempfang im Umfeld der von ihnen manipulierten Ladesäulen, um so die Nutzung der QR-Codes zu erzwingen.

"Vor allem frisch gebackene, mit öffentlichen Ladesäulen noch nicht so vertraute E-Autofahrer sind gefährdet", zitiert das Automobil-Branchenmedium den IT-Sicherheitsexperte Eddy Willems. Dieser berichtet von zahlreichen Fällen aus Belgien, den Niederlanden, Frankreich, Spanien, Italien und Deutschland. Seiner Einschätzung nach sei das Ladesäulen-Quishing "innerhalb der EU definitiv ein Problem, wenn nicht weltweit."

ADAC fordert mehr Sicherheit von Ladesäulenbetreibern

Der ADAC forderte die Ladestationsbetreiber auf, ihre Bezahllösungen betrugssicher zu gestalten. Eine Möglichkeit seien dynamische QR-Codes, die nicht auf einem Aufkleber aufgedruckt sind, sondern auf einem Display angezeigt werden. Alternativ könnten Betreiber auch ganz auf QR-Codes verzichten und Kartenterminals für die Direktbezahlung einsetzen.

Die Ladesäulen-Nutzerinnen und -Nutzer mahnte der Automobilclub, die QR-Codes genau anzusehen und zu prüfen, ob diese möglicherweise überklebt seien. Außerdem sollte man die Websites, auf die die QR-Codes weiterleiteten, genau auf Fehler oder unseriös wirkende Auffälligkeiten scannen, raten die ADAC-Vertreter.