Quishing
Wie Hacker E-Ladesäulen manipulieren
Cyberkriminelle haben einen neuen Trick entdeckt. Per Quishing, also dem PhishingPhishing via QR-Codes, versuchen die HackerHacker Kreditkarten- oder Kontoinformationen von ahnungslosen Nutzerinnen und Nutzern abzugreifen. Das funktioniert beispielsweise beim Bezahlen an Ladestationen für E-Autos. Alles zu Hacker auf CIO.de Alles zu Phishing auf CIO.de
Welche Cybergefahren drohen? Bleiben Sie immer auf dem Laufenden mit den Newslettern von CSO.
Dort überkleben die Datendiebe den originalen QR-Code mit einem eigenen, gefälschten QR-Code-Aufkleber. Wenn Besitzerinnen und Besitzer von E-Autos nach dem Laden ihres E-Autos per QR-Code bezahlen wollen - beispielsweise, wenn die Lade-App nicht funktioniert -, landen sie auf einer Fake-Seite, die vom Aussehen der Website des Ladensäulen Betreibers täuschend ähnlich sieht. Hinterlassen dort die User ihre Bezahldaten, versuchen die Hacker, damit Geld vom Konto ihrer Opfer abzuzweigen.
Hacker stören Mobilfunk
Anfang August berichtete "Auto Motor Sport" über die neu aufkommende Cyber-Gefahr an den Ladesäulen. Demzufolge gehen die Hacker teilweise äußerst raffiniert vor und blockieren mit Störsendern den Mobilfunkempfang im Umfeld der von ihnen manipulierten Ladesäulen, um so die Nutzung der QR-Codes zu erzwingen.
"Vor allem frisch gebackene, mit öffentlichen Ladesäulen noch nicht so vertraute E-Autofahrer sind gefährdet", zitiert das Automobil-Branchenmedium den IT-Sicherheitsexperte Eddy Willems. Dieser berichtet von zahlreichen Fällen aus Belgien, den Niederlanden, Frankreich, Spanien, Italien und Deutschland. Seiner Einschätzung nach sei das Ladesäulen-Quishing "innerhalb der EU definitiv ein Problem, wenn nicht weltweit."
ADAC fordert mehr Sicherheit von Ladesäulenbetreibern
Der ADAC forderte die Ladestationsbetreiber auf, ihre Bezahllösungen betrugssicher zu gestalten. Eine Möglichkeit seien dynamische QR-Codes, die nicht auf einem Aufkleber aufgedruckt sind, sondern auf einem Display angezeigt werden. Alternativ könnten Betreiber auch ganz auf QR-Codes verzichten und Kartenterminals für die Direktbezahlung einsetzen.
Die Ladesäulen-Nutzerinnen und -Nutzer mahnte der Automobilclub, die QR-Codes genau anzusehen und zu prüfen, ob diese möglicherweise überklebt seien. Außerdem sollte man die Websites, auf die die QR-Codes weiterleiteten, genau auf Fehler oder unseriös wirkende Auffälligkeiten scannen, raten die ADAC-Vertreter.