Quishing: Reale Gefahr bei Ladestationen
QR-Codes sind in beinahe allen Lebensbereichen zu finden. Bei statischen QR-Codes haben Betrüger:innen leider leichtes Spiel. Keine Sorge. Mit FINETELLIGENCE sind Sie sicher: Denn wir bauen auf dynamische QR-Codes in Kombination mit Click2Pay bei Ladestationen. Doch warum sind statische QR-Codes überhaupt legal? Haben Sie zuvor schon von Quishing gehört? Was ist das? Wie funktioniert das? Wie können Sie sich schützen?
Lassen Sie uns ganz am Anfang starten. Seit April 2024 ist die AFIR – die Alternative Fuel Infrastructure Regulation – in der EU in Kraft. Die AFIR soll die europäische Ladeinfrastruktur für E-Fahrzeuge attraktiver und transparenter machen. So muss es künftig für E-Autofahrer:innen möglich sein, mit einer gängigen Zahlungskarte – beispielsweise einer Debit- oder Kreditkarte – zu bezahlen. Für Ladepunkte mit einer Leistung von weniger als 50 kW können allerdings ebenso spezifische QR-Codes als elektronisches Zahlungsmittel vorhanden sein.
Laut AFIR ist der “Sicherheit des Zahlungsvorgangs” sowohl mit statischen als auch dynamischen QR-Codes genüge getan. Ja, mag schon sein, aber die Praxis zeigt leider anderes. Vor wenigen Wochen erst ging ein Beitrag eines belgischen Ladesäulenbetreibers viral – ein falscher QR-Code leitete E-Autofahrer:innen nach dem Laden auf eine falsche Seite weiter.
Siehe da, da lauert etwas Gefährliches, das nennt sich “Quishing”. Doch was genau verbirgt sich hinter diesem Begriff, und wie können Sie sich davor schützen?
Was ist Quishing?
Beim QR-Code Phishing, kurz Quishing, zusammengesetzt aus „QR“ und „Phishing“, werden Nutzer:innen mit QR-Codes zu gefälschten Websites geleitet. So auch Autofahrer:innen beim Bezahlen im Zuge des Ladevorganges. Es ist leider schon fast zu einfach: QR-Code überkleben und schon ist die Umleitung fertig.
Diese Methode ist besonders skrupellos, da QR-Codes in der Regel als bequemes und sicheres Mittel zur schnellen Informationsübermittlung betrachtet werden. Cyberkriminelle haben aber nicht nur an der Ladestelle leichtes Spiel: QR-Codes sind allgegenwärtig für Zahlungen sowie zum Login auf manchen Websites.
Mit der zunehmenden Verbreitung von QR-Codes in unserem Alltag – sei es in Restaurants, für andere Zahlungen oder beim Einloggen auf Websites – bieten sie eine attraktive Angriffsfläche für Cyberkriminelle. Nicht zuletzt, da das Bewusstsein dafür nach wie vor nicht allzu groß ist.
Wie funktioniert Quishing?
Der Ablauf eines Quishing-Angriffs ist relativ einfach, aber effektiv:
- Erstellung eines falschen QR-Codes: Cyberkriminelle generieren einen QR-Code, der auf eine Phishing-Website verweist.
- Verbreitung des QR-Codes: Die Verbreitung funktioniert bei fast allen Werbemedien – Social Media bis zum bedruckten Plakat – oder eben durch das Überdecken beziehungsweise das Überkleben eines bestehenden “richtigen” QR-Codes. Letztere Variante bietet sich beispielsweise für Ladestationen an.
- Scan eines falschen QR-Codes: Nutzer:innen werden beim Scannen eines falschen QR-Codes auf eine gefälschte Website weitergeleitet. Wenn dann auch noch Anmeldedaten oder Zahlungsdetails eingegeben werden, findet der Datendiebstahl – und bei Zahlungsdetails auch noch Gelddiebstahl – statt.
Wie können Sie sich schützen?
Um sich vor Quishing-Angriffen zu schützen, gibt es einige Tipps, die sie befolgen können.
- Vorsicht beim Scannen: Scannen Sie keine QR-Codes von unbekannten oder verdächtigen Quellen.
- Überprüfen Sie die URL: Viele QR-Scanner-Apps zeigen die URL an, bevor sie Sie weiterleiten. Überprüfen Sie die URL sorgfältig und stellen Sie sicher, dass sie legitim ist, bevor Sie fortfahren.
- Verwenden Sie Sicherheitssoftware: Einige Antiviren- und Sicherheitssoftwarelösungen erkennen bösartige QR-Codes und können Sie warnen.
- Wissen schützt: Informieren Sie Ihr Umfeld über Quishing oder teilen Sie diesen Beitrag weiter 😉
- An der Ladesäule QR-Code überprüfen: Bevor Sie einen QR-Code an der Ladesäule oder anderen Plätzen scannen, achten Sie auf Zeichen von Überkleben.
Fazit
Quishing ist allgegenwärtig. Trotz der genannten Maßnahmen sind statische QR-Codes unsicher. Die sicherere Variante? Dynamische QR-Codes. Dabei leitet der Link im QR-Code zu einem zweiten Link weiter. Jene können dynamisch verändert werden und Nutzer:innen sind geschützt.
Um die „Sicherheit des Zahlungsvorganges“ also umfänglich gewährleisten zu können, gibt es nur den Weg zum dynamischen QR-Code in Kombination mit Click2Pay. Die E-nfinity Payment-Lösung von FINETELLIGENCE sorgt mit dynamischen QR-Codes für sichere Zahlungsvorgänge für CPOs und E-Autofahrer:innen!