Die Gefahr lauert unscheinbar in Form eines gewöhnlichen QR-Codes. In mehreren europäischen Ländern kursieren derzeit Berichte über eine neue Betrugsmasche an öffentlichen Ladestationen für Elektroautos. Kriminelle überkleben dabei die echten QR-Codes an den Säulen, um an die Kreditkarten-Daten der Nutzerinnen und Nutzer zu gelangen. Wer den vermeintlich echten Quick-Response-Code scannt, landet auf einer gefälschten Website, die vom Original des Herstellers kaum zu unterscheiden ist. Nach Eingabe der Kreditkarten-Daten buchen die Cyberbetrüger Geld vom Konto ab: Opfer berichten von mehreren Hundert Franken. Um Schlimmeres zu verhindern, sollten Betroffene umgehend ihre Karte sperren lassen.
Europaweites Problem
Diese neuartige Betrugsmasche wird als Quishing bezeichnet – eine Wortkreation aus den Begriffen «QR» und «Phishing». Laut Medienberichten sind bereits Fälle aus Deutschland, Frankreich, Belgien, Holland, Spanien und Italien bekannt. Betroffene ärgern sich dabei nicht nur über die Kriminellen, sondern auch über die Ladesäulen-Betreiber: Sie würden wenigstens eine Mitschuld an der Situation tragen, da es den Betrügern bei den aufgeklebten Codes viel zu einfach gemacht würde. Deutlich sicherer wären etwa Methoden wie die Darstellung der Codes auf dem Display oder die Möglichkeit einer Direktzahlung per Kreditkarte.
Vorsicht statt Nachsicht
Besonders E-Auto-Neulinge müssen auf der Hut sein: Da sie das Design der echten QR-Codes meist noch nicht kennen und mit dem Bedienen der Säulen noch nicht so vertraut sind, ist bei ihnen das Risiko grösser, auf die Fake-Aufkleber reinzufallen. Betroffene raten zur «Nagelprobe»: Der Grossteil der gefälschten Sticker sei von minderer Qualität und könnte relativ einfach mit dem Fingernagel abgelöst werden. Kommt darunter ein zweiter Code zum Vorschein, muss man von einem Betrugsversuch ausgehen.
Die Ladesäulenbetreiber wiederum raten dazu, vor jeder Eingabe von Bankdaten die Adresse der Website genau zu kontrollieren und beim Scannen von QR-Codes sicherzustellen, dass man auf die offiziellen Zahlungswebsites weitergeleitet wird. Noch sicherer ist es, wenn anstelle der QR-Codes die offiziellen Lade-Apps der Anbieter oder das Kreditkarten-Lesegerät zur Zahlung genutzt werden.