Belgisch energiebedrijf meldt laadpaalfraude met valse QR-codes
Het Belgische energiebedrijf EnergyVision heeft betalingen via QR-codese op laadpalen uitgeschakeld, nadat criminelen hier via malafide QR-codes misbruik van maakten. Volgens de energieleverancier gaat het om een 'honderdtal' slachtoffers die elk voor driehonderd euro werden opgelicht.
"Let op: Ad hoc betalingen via QR-code op publieke laadpunten zijn tijdelijk uitgeschakeld door frauduleuze QR-stickers. We adviseren voor een 100 procent veilige betaling, je laadpas te gebruiken. Recent via QR-code betaald? Neem contact op met je bank", aldus EnergyVision op X. Voor het betalen van een laadbeurt biedt EnergyVision zowel de optie om met een laadpas te betalen, als een ad-hocbetaling door een QR-code op een laadpaal te scannen.
De meeste eigenaren van een elektrische auto betalen met de laadpas. Zo'n vijf procent doet dat door een QR-code te scannen. EnergyVision moest deze betaalmethode aanbieden omdat dit een voorwaarde was om de laadpalen te mogen plaatsen. Criminelen hebben hier nu misbruik van gemaakt door malafide QR-codes over de codes van EnergyVision te plakken.
"Wie probeerde te laden via zo’n code kreeg een webpagina te zien om te betalen. Deed je dat, dan kreeg je een foutmelding maar werd wel 300 euro van je rekening gehaald. Vervolgens werd je doorgestuurd naar de juiste pagina waar je opnieuw kon betalen waar dat uiteraard wel lukte. Daardoor kon je alsnog laden en viel het dus niet meteen op dat je bestolen was", zegt Maarten Michielssens, ceo van EnergyVision, tegenover Het Laatste Nieuws.
"Gelukkig betaalt maar vijf procent van onze klanten via die codes, de meeste gebruiken laadpasjes. Maar het gaat toch om een honderdtal slachtoffers die telkens 300 euro kwijt zijn", gaat Michielssens verder. Het energiebedrijf onderzocht na een klacht tweeduizend laadpalen. Op twintig daarvan waren de malafide QR-codes geplaatst. In Frankrijk en het Verenigd Koninkrijk hebben soortgelijke fraudegevallen zich ook voorgedaan.
Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen. Dan blijf je aan de licentie voldoen.
Ik denk dat voldoende mensen hier in trappen als ze de laadpas vergeten zijn of er bij de QR code de tekst staat:
Betaal via QR code en krijg 40% korting (tot x datum)
Aan de beveiliging van laadpassen is trouwens ook nog wel het een en ander te verbeteren.
Dan heb je ook nog de slagvaardige, resultaatgerichte types die het maar al te vaak heel slagvaardig tot manager schoppen, en die van goed nadenken over de nadelen van iets vooral zien hoeveel tijd dat kost en hoe dat snelle resultaten frustreert. Die leren een stuk minder makkelijk dan gemiddeld dat het toch echt nodig kan zijn. Voer het ver genoeg door en je komt uit op de "move fast and break things"-mentaliteit van bijvoorbeeld Facebook. Met "move fast" scoort en verdient men stevig, terwijl "break things" iets is waar maar al te vaak vooral anderen last van hebben. Zover doorgevoerd is dat een ronduit parasitaire benadering, die helaas wel succesvol is.
Daar kan je inmiddels al vele jaren ook nog de aanslag bij optellen die sociale media en smartphones op de aandacht van mensen doen, producten die gemaakt zijn om zoveel mogelijk aandacht van mensen op te slokken en die daardoor snel, intuïtief denken stimuleren en rustig, verstandig nadenken hinderen. Dat zal ook niet bevorderlijk zijn voor een goed resultaat.
Als dit soort effecten heel algemeen zijn (en ik vrees dat ze dat zijn) dan komen ze vanzelf ook in overheidsorganisaties terecht die bijvoorbeeld voorwaarden voor laadpalen opstellen. Hier is overduidelijk vooral nagedacht over hoe cool het werkt als het goed gaat en niet over hoe makkelijk het mis kan gaan. En het onbenul heeft niet alleen maar bij een enkeling gezeten, dat onbenul overstemde de stemmen van mensen die beter nadachten, voor zover die er nog waren.
Ik ben vandaag een beetje pessimistisch over de mensheid en hoe die bezig is, vrees ik.
Ik denk dat voldoende mensen hier in trappen als ze de laadpas vergeten zijn of er bij de QR code de tekst staat:
Betaal via QR code en krijg 40% korting (tot x datum)
Zelfde als bij infiltratie een prepareerd blaadje maken en die tussen de prints stoppen als die gaande zijn of ergens tussen een presentatie voorbereiding leggen. Mensen zijn nou eenmaal nieuwsgierig en snel afgeleid dus werkt perfect.
Een contact van mij heeft op verzoek van een niet nader genoemde winkelketen eens een pentest uitgevoerd. Aanval methode was QR codes over een reeks magazijn boxen.Die zat binnen een dag in hun voorraadbeheer en kon een eigen shipment aanmaken heef toen een reeks USB sticks prepareert en verzonden naar het bedrijf zelf. En omdat het dus werkelijk vanaf het bedrijf kwam lagen er ineens een stuk of 20 prepareerde USB sticks wat niemand wist waar ze voor waren met alle gevolgen van dien bij het inpluggen. Pijnlijk genoeg was hun IT een van de eerste afdelingen die het had ingeplugd.
Verzin wat nieuws voor: iets dat leesbaar is voor een mens en voor een app, zo moeilijk is dat echt niet meer met de huidige generatie mobieltjes. Die kan hele gezichten al herkennen, dan is een beetje tekst scannen ook geen probleem.
Want als de link gewoon energiebedrijf-voorbeeldje[.]nl/laden/paal-zoetermeer-123 zegt snapt iedereen wat er staat en of dat betrouwbaar is.
Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen. Dan blijf je aan de licentie voldoen.
Het blijft een erg lastig probleem.
Hoe weet jij, als automobilist die stopt bij "EEN" laadpaal naar welke site je moet gaan voor DIE laadpaal provider ?
Als je geen doorgewinterde kenner bent van alle paal-operators - dan kijk je op de sticker op de paal, bijvoorbeeld.
Mooi groene band "Weer een laadpaal van eco-green-deal.com ! .
Ga naar eco-green.tt om te betalen. Paalpaal nummer BE0134 . Ideal, cc, paypal supported.
Of scan de QR code .
En daar sta je dan met je lege auto en je security bewustzijn dat je "geen QR code moet scannen" .
Als je _reeds_ een app (of een token) hebt van de juiste (/alle) operators is het redelijk oplosbaar , maar de QR code zal nu juist bedoeld zijn (en , terecht ge-EIST zijn) dat je ook zonder "abonnement vooraf bij de zoveelste operator" bij zo'n paal terecht kunt.
Allemaal eilandjes waarbij je eerst een abonnement moet hebben voor 'ons ecosysteem' is precies waarom een generiek product niet van de grond komt .
En tientallen operators waarbij je bij "allemaal" een abonnement (en een token, en een app, en maandelijkse kosten) om een beetje dekking te hebben "overal" waar je wilt laden is wat er mis is met het "het" oplaad-model.
Ik bedoel dat er helemaal geen site behoort te staan. Die behoort in de bookmark van de browser van de gebruiker te staan. Of nog beter:
Die QR code scan je met een smartphone. Dan is het een heel klein kunstje om een app te maken die de data van de QR code inleest en je dan naar een hardcoded website stuurt. De QR code hoeft dan niet meer te bevatten dan het serienummer van de paal.
Ik bedoel dat er helemaal geen site behoort te staan. Die behoort in de bookmark van de browser van de gebruiker te staan.
Die komen daar, die hebben niets in hun browser staan. Die willen alleen laden en daarvoor betalen.
Of ga jij beweren dat jij de juiste site van die Belgische laadpaal al in je browser hebt staan??
Ik bedoel dat er helemaal geen site behoort te staan. Die behoort in de bookmark van de browser van de gebruiker te staan. Of nog beter:
Die QR code scan je met een smartphone. Dan is het een heel klein kunstje om een app te maken die de data van de QR code inleest en je dan naar een hardcoded website stuurt. De QR code hoeft dan niet meer te bevatten dan het serienummer van de paal.
Zie EnergyVision: aanbesteding laat geen tussenkomst van app toe. Dat is dwingende Europese regelgeving. Klant moet adhoc kunnen betalen zonder tussenkomst van app of pas.
Alleen nog de kunst voor de security bedrijven die dit implementeren om daar dan weer genoeg geld voor te eisen.
Verzin wat nieuws voor: iets dat leesbaar is voor een mens en voor een app, zo moeilijk is dat echt niet meer met de huidige generatie mobieltjes. Die kan hele gezichten al herkennen, dan is een beetje tekst scannen ook geen probleem.
Want als de link gewoon energiebedrijf-voorbeeldje[.]nl/laden/paal-zoetermeer-123 zegt snapt iedereen wat er staat en of dat betrouwbaar is.
Al doende leert men.
Verzin wat nieuws voor: iets dat leesbaar is voor een mens en voor een app, zo moeilijk is dat echt niet meer met de huidige generatie mobieltjes. Die kan hele gezichten al herkennen, dan is een beetje tekst scannen ook geen probleem.
Want als de link gewoon energiebedrijf-voorbeeldje[.]nl/laden/paal-zoetermeer-123 zegt snapt iedereen wat er staat en of dat betrouwbaar is.
Jeez. Je vindt iets van security, je zit op een forum waar met regelmaat de bank fraudes langskomen met (leesbare) phishing URLs , en wat denk je :
Dat mensen aan de URL precies weten dat ie klopt .
total-green-energy.tt/paal123 .
green-energy-vision.com/paal123 . Is dat geen paal van EnergyVision ? Hoe kan ik dat nou weten als ik daar sta ?
Hoe weet ik _uberhaupt_ dat de paal op kerkweg 13 van EnergyVision hoort te zijn ? Oh, omdat er een sticker op zit, met de URL (leesbaar, en QR ...)
Hoe moet je als 'vreemde' bezoeker nou weten van welk bedrijf de paal is ? Dat kunnen er zoveel zijn.
Dat maakt dit zo'n moeilijk probleem - voor 'gast' gebruikers zonder abonnement/token van de betreffende paal-operator.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Chief Information Security Officer
Met jou als Chief Information Security Officer werken we samen aan het inrichten van een digitale leer-, werk- en onderzoeksomgeving en investeren in digitalisering. De beveiliging van alle daarbij gebruikte middelen en informatie én het zorgen voor bewustzijn bij alle partijen is hierbij een belangrijke pijler. Daar kom jij in beeld.
IT Security Officer
Utrecht heeft jou nodig! Als Information Security Officer vertaal je beleid naar technische uitvoering. Dit is cruciaal voor het waarborgen van de informatiebeveiliging van onze inwoners. Je krijgt de kans om betrokken te zijn bij complexe projecten met de nieuwste technologieën en kunt jouw stempel drukken op innovatie. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.