Skip to main content

Schutz vor QR-Code Phishing (Quishing) an Ladestationen

Sichere Nutzung der Ad-hoc-Lademöglichkeit

Was ist Quishing?

Beim Quishing (zusammengesetzt aus QR-Code und Phishing) verwenden Kriminelle QR-Codes, um ahnungslose Nutzer auf betrügerische Webseiten zu locken. Da QR-Codes in vielen Bereichen des täglichen Lebens anzutreffen sind, lassen sich viele Nutzer leicht dazu verleiten, QR-Codes zu scannen, ohne die Quelle oder den Inhalt zu überprüfen. Werden manipulierte QR-Codes verwendet, können Nutzer beispielsweise auf eine gefälschte Seite geleitet werden, auf der Kriminelle dann Nutzer- oder Zahlungsdaten abgreifen oder eine schädliche Datei herunterladen.

 

Wir möchten Sie für das Thema sensibilisieren und Sie darüber informieren, wie Sie Quishing erkennen, was Sie dagegen tun können und an wen Sie sich im Verdachtsfall oder bei einem Quishing-Vorfall wenden können.

Ist Quishing auch an Ladestationen möglich?

QR-Codes werden auch an Ladestationen eingesetzt. Je nach Anbieter wird damit beispielsweise auf eine Lade-App oder den Kundenservice verlinkt. Nahezu flächendeckend werden QR-Codes an Ladestationen für das sogenannte Ad-hoc-Laden eingesetzt. Hierzu wird in der Regel ein Sticker an der Ladesäule angebracht. Einige Anbieter verwenden je nach Ladehardware auch dynamisch generierte QR-Codes, die im Display der Ladesäule angezeigt werden. Auch hier können Betrüger durch zusätzlich an der Ladesäule angebrachte QR-Codes versuchen, den Nutzer zum Scannen des gefälschten QR-Codes zu verleiten.

Wie funktioniert das Ad-hoc-Laden mit QR-Codes?

Mit dem Ad-hoc-Laden bieten wir einen registrierungsfreien Zugang zu unseren öffentlichen Ladestationen. Dazu scannen Sie mit Ihrem Smartphone den QR-Code an der Ladesäule, geben alternativ den auf dem Ad-hoc-Sticker aufgedruckten Link manuell ein oder lesen mit einem kompatiblen Smartphone den NFC-Tag aus. Sie gelangen dann auf eine Website, auf der Sie den Tarif für den jeweiligen Ladepunkt einsehen, Ihre Zahlungsdaten eingeben und anschließend den Ladevorgang starten können. Nach dem Ladevorgang erhalten Sie einen Beleg per E-Mail.

 

Kriminelle könnten also versuchen, den QR-Code an der Ladesäule zu überkleben oder auszutauschen und dann über eine gefälschte Website Ihre Daten abzugreifen. Im Rahmen von Wartungen oder Serviceeinsätzen überprüfen wir unsere Ladestationen regelmäßig diesbezüglich. Bisher ist uns kein Fall von Quishing an unseren Ladestationen bekannt.

Beispiel eines Ad-hoc Stickers auf öffentlichen Ladestationen
Beispiel eines Ad-hoc Stickers an einer öffentlichen Ladestation

Wie kann ich einen manipulierten QR-Code an einer TankE Ladestation erkennen?

Unsere Ad-hoc Sticker mit aufgedrucktem QR-Code sind gelgefüllte 3D-Sticker. Sie finden darauf neben dem QR-Code auch die Nummer des jeweiligen Ladepunktes (EVSE-ID), einen Short-Link sowie unsere Hotline-Rufnummer.

 

Das Scannen des QR-Codes, die Eingabe des Short-Links oder die NFC-Funktion des Ad-hoc Stickers an der Ladestation leiten Sie auf die sogenannte Ad-hoc-Website (auch genannt „Direct Payment“). Der aufgedruckte Short-Link beginnt mit chrg.me/ und leitet dann auf eine längere Web-Adresse beginnend mit https://www.chrg.direct/ weiter. Mit dem Klick auf „Jetzt kostenpflichtig Laden“ werden Sie auf die Website unseres Zahlungsdienstleisters weitergeleitet, die Web-Adresse beginnt mit https://payment.unzer/. Bitte überprüfen Sie vor der Eingabe Ihrer Zahlungsinformationen, ob die URL und Angaben zum gewählten Ladepunkt passen.

Was kann ich noch gegen Quishing tun?

Die folgenden Hinweise helfen ebenfalls, Quishing zu erkennen. Diese Maßnahmen gelten nicht nur an Ladestationen, sondern für alle Arten von QR-Codes:

  1. Prüfen Sie, ob der QR-Code verdächtig aussieht, z.B. weil er einen vorhandenen Sticker überklebt oder neben einem vorhandenen QR-Code angebracht wurde.
  2. Seien Sie besonders vorsichtig, wenn der QR-Code dazu auffordert, eine unbekannte App herunterzuladen oder ungewöhnliche Zahlungen zu leisten.
  3. Smartphones zeigen in der Regel zunächst eine Vorschau des gescannten Links an, der sich hinter dem QR-Code verbirgt.
  4. Vergewissern Sie sich, dass Ihr Gerät auf dem neusten Softwarestand ist bzw. über eine Sicherheitssoftware verfügt, die potenziell schädliche Links oder Downloads erkennt.
  5. Geben Sie keine Zugangsdaten, Passwörter oder Zahlungsinformationen ein, wenn Ihnen die URL der aufgerufenen Website verdächtig oder unbekannt vorkommt.

An wen kann ich mich bei einem Quishing-Vorfall oder einem Verdachtsfall wenden?

Sollten Sie manipulierte oder überklebte QR-Codes an einer unserer Ladestationen feststellen, informieren Sie uns bitte per E-Mail, Kontaktformular oder Telefon. Wenn Sie direkt von Quishing betroffen sind, informieren Sie bitte zusätzlich die Polizei, um Strafanzeige zu erstatten, sowie Ihre Bank, um das betreffende Zahlungsmittel sperren zu lassen und die unberechtigte Transaktion abzulehnen.

 

Falls Sie sich auf einer gefälschten Website angemeldet haben, ändern Sie Ihre Passwörter für alle relevanten Dienste. Wenn Sie eine App heruntergeladen haben, die Ihnen verdächtig vorkommt oder Sie auf eine unsichere Website weitergeleitet hat, führen Sie auf Ihrem Gerät einen Malware-Scan durch.