Ein Mann aus Landquart GR und seine Frau fahren gern mit dem Elektroauto in die Ferien. 2024 sind die beiden in Schottland unterwegs, 2025 in Norwegen. In Schottland habe er die Batterie einmal an einer Ladestation im Hinterhof des Hotels über Nacht aufladen wollen, erzählt er.
Das geht via App von verschiedenen Anbietern, mit speziellen Ladekarten oder unter anderem auch direkt mit der Kreditkarte an der Ladesäule. Nicht überall ist aber jede dieser Optionen verfügbar, und jedes Land hat wieder andere Anbieter und Apps. Häufig ist an der Ladesäule aber auch ein QR-Code angebracht. Dieser lässt sich mit dem Handy scannen. Dann wird man auf die Seite des Anbieters weitergeleitet, kann dort die Zahlungsdaten eingeben, die Säule freischalten und den Strom beziehen. Funktioniert im Normalfall auch problemlos – wenn es sich um einen echten QR-Code handelt.
Im schottischen Hinterhof klappt es nicht
Der Schweizer Tourist erzählt «Espresso», er habe in jenem schottischen Hinterhof den QR-Code gescannt. «Ich wurde dann auf eine Homepage geleitet, die ich bislang nicht kannte.» Aber das sei ja häufig so, dass man im Ausland die Anbieter anfangs nicht kenne, und die Seite habe einen professionellen Eindruck gemacht.
Der E-Auto-Lenker gibt die Kreditkarten-Daten ein und will die Säule freischalten. «Das hat nicht funktioniert». Er vermutet einen technischen Defekt und fährt zu einer nahe gelegenen, anderen Ladestation. Dort klappt es. Der Tourist macht sich weiter keine Gedanken.
Kreditkarte gesperrt
Nach den Ferien erlebt er dann einen Schreckmoment. Seine Kreditkartenanbieterin, die Cembra Money Bank, sperrt seine Karte. Das passiere automatisch, wenn «ungewöhnliche oder auffällige Bewegungen festgestellt werden», schreibt die Medienstelle der Cembra allgemein auf Anfrage von SRF. Zum konkreten Beispiel äussert sie sich nicht.
Jemand probierte von Kreta aus eine Belastung meiner Karte
Der Kunde erfährt aber, es habe jemand in einem Warenhaus in England auf seine Kosten shoppen wollen. Dank der vorsorglichen Karten-Sperrung ist dies aber misslungen. Wie die Gauner an seine Daten gekommen sind, kann sich der Mann zu diesem Zeitpunkt aber noch nicht erklären.
Erst im Jahr darauf geht ihm langsam ein Licht auf. Auf seiner Norwegen-Reise scannt er erneut an der E-Ladestation einen QR-Code. Wieder klappt es nicht mit dem Laden. Diesmal wird ihm die Karte kurz darauf erneut vorsorglich gesperrt. «Jemand probierte von Kreta aus eine Belastung.» Der Betroffene vermutet nun, dass die mit der Stromtankstelle verbundene App gehackt sein könnte. Und er meldet sich bei «Espresso», um andere zu warnen.
«Quishing» – eine schon länger bekannte Masche
Die Apps gelten laut den Experten des Bundesamtes für Cybersicherheit (BACS) als sicher. Im vorliegenden Beispiel deutet alles auf das sogenannte «Quishing» (QR-Code und Phishing) hin. Betrüger überkleben dabei die echten QR-Codes mit einer Fälschung, um die Opfer auf eine Fake-Anbieterseite zu lotsen. Das Phänomen ist auch in der Schweiz schon länger bekannt. Hierzulande hat man aber bislang in erster Linie auf Parkuhren und -automaten solch gefälschte QR-Codes entdeckt. Aktuelle Betrugsfälle wegen manipulierter E-Ladestationen in der Schweiz oder im Ausland sind indes weder dem BACS noch der Cybercrimepolice der Kantonspolizei Zürich bekannt, heisst es dort.
