Vorsicht Falle: Betrug an der Ladesäule

1. Quishing

Über die erste Methode wurde bereits viel öffentlich berichtet. Hier versuchen Betrüger, über gefälschte QR-Codes die Kunden auf gefälschte Webseiten umzuleiten, um so an die Zahlungsdaten und damit das Geld der Kunden zu kommen.

IONITY
IONITY

Viele große Betreiber gehen inzwischen offen damit um und warnen ihre Kunden. So gibt es beispielsweise bei Enbw einen Blogbeitrag zum Thema. Auch bei IONITY im Kundensupport gibt es entsprechende Hinweise. Grundsätzlich sollte man versuchen, solche Codes zu meiden. Falls es sich doch nicht vermeiden lässt, dann wachsam sein! Als Kunde sollte man natürlich zuerst schauen, ob die Codes überklebt sind, aber theoretisch könnten die Betrüger ja komplett eigene Aufkleber erstellen und die originalen ablösen. Dynamische, also im Display angezeigte Codes, sind eine mögliche Abhilfe auf der Betreiberseite für mehr Sicherheit. Aber auch dann können es Betrüger noch mit zusätzlichen Aufklebern zu vermeintlichen Sonderpreisen oder günstigen Pauschalangeboten in Kombination mit einem QR-Code versuchen. Geschädigt wird bei dieser Masche übrigens ausschließlich der Kunde.

2. Fake Accounts

Geschädigt sind hier ausschließlich die Fahrstromanbieter, sogenannte EMPs. Gemeint sind also nicht die Betreiber der Stationen, sondern Anbieter für vertragsbasiertes Laden. Die teilweise komfortablen Angebotsbedingungen sind dabei potentielle Angriffspunkte für Betrüger. Stellen Sie sich vor, Sie gehen in einen Supermarkt und melden sich an der Info, schreiben eine IBAN, einen Namen und eine Adresse auf einen Zettel. Und dann gewährt Ihnen der Supermarkt einen Monat lang einzukaufen, um erst danach zu prüfen, ob Ihre Angaben korrekt waren und Sie wirklich bezahlen. Bei Fahrstromanbietern gibt es sowas. Oft wird zwar im App-Account die Kreditkarte als Zahlungsmedium gewählt, aber auch hier kann trotz tagesaktueller Überprüfung bei der angeschlossenen Bank möglicherweise nach 4 Wochen bei der ersten Monatsrechnung nichts zu holen sein. Einen Monat Gratisladen mag jetzt zunächst nicht nach einem großen Schaden klingen. Aber wenn Betrüger täglich viele Ladevorgänge per App freischalten und das als Dienstleistung in Chatgruppen anbieten, kann der Schaden pro Account an nur einem Tag bei mehreren hundert Euro liegen. Über solche Angriffe reden die Betreiber natürlich nicht öffentlich, aber es gibt im Markt Indizien, die darauf hindeuten, dass sich Anbieter gegen solche Angriffe zur Wehr setzen. So informierte Elli seine Kunden vom Juli 2024 zu anstehenden Änderungen. Darin heißt es:

Elli-AGB-Änderung, Mail an Kunden
Elli-AGB-Änderung, Mail an Kunden

“Optimierte Zahlungen: Die Zahlungen erfolgen nun unmittelbar nach Abschluss jedes Ladevorgangs. Dadurch wird der Abrechnungsprozess transparenter und schneller.” Was hier so blumig beschrieben wird, haben mir nextmove-Youtube-Zuschauer in Mails eher als lästig beschrieben. In der Praxis also eine gefühlte Verschlechterung – sowas macht der Anbieter wohl nicht freiwillig.Hier ist wohl eher Schadensbegrenzung das Ziel, damit Betrüger eben nicht mehr einen ganzen Monat Umsatz machen können. Offiziell war damals aber von Betrugsabwehr natürlich keine Rede.

Vor einigen Wochen gab es dann die nächste AGB-Änderung bei Elli, die vermutlich auch einen mittleren Shitstorm beim Elli-Support auslöste. Damals tauchte tatsächlich auch das Wort Betrug erstmals offiziell auf. Die Überschrift: “Wir verbessern unsere Dienstleistungen”

Elli-AGB-Änderung, Mail an Kunden
Elli-AGB-Änderung, Mail an Kunden

Zum einen wurden die AGB zum besseren Verständnis umfangreich im Wortlaut überarbeitet. Für besondere Aufregung sorgte dann dieser Passus: “Faire Nutzung: Um die Verfügbarkeit für alle Benutzer zu gewährleisten und unser Betrugsrisiko zu verringern, haben wir die zulässige Nutzung unserer Ladeservices beschrieben. Übermäßige monatliche Ladevolumen (z. B. über 300 kWh) können zu einer Sperrung der Ladeservices führen.” Damit besteht also auch der offizielle Bezug zur Betrugsabwehr. Aber 300kWh bedeuten in der Praxis gerade mal 1500km für eine Urlaubsfahrt. Auf Grund vieler Nachfragen hat Elli das auch in einer weiteren Kundenmail nochmal klargestellt: “Unsere Richtlinien zum Ladeverhalten einfach erklärt”

Elli-Mail an Kunden
Elli-Mail an Kunden

Dort heißt es: “Eine intensivere private Nutzung, beispielsweise in den Ferien, bei längeren Arbeitswegen, Roadtrips, häufigen Wochenendausflügen oder Besuchen bei Familie und Freunden in anderen Regionen, wird hierbei als normale Nutzung eingestuft.“ Und weiter: “Eine mögliche Sperrung oder Kündigung erfolgt nie automatisch, sondern nur nach sorgfältiger Prüfung.” Es folgt eine weitere Sicherheitsstufe: “Vor Beginn eines Ladevorgangs kann eine Vorautorisierung Ihrer Zahlungsart erfolgen.” Und auch das Wort Betrug fällt erneut: “Wenn Zahlungen im Wert von 25 € oder mehr ausstehen oder mindestens zwei Rechnungen nicht bezahlt werden, können wir vorübergehend den Ladezugang sperren, um unser Betrugsrisiko zu mindern. Der volle Zugriff wird wiederhergestellt, sobald der ausstehende Betrag bezahlt wurde.” Die Betrugsabwehr zieht sich wie ein roter Faden durch die neuen AGB und die Kundenkommunikation. Aber bei Fake Accounts ist in erster Linie “nur” der Anbieter geschädigt. Die Kunden zahlen die Zeche nur indirekt über höhere Preise, ähnlich wie bei Ladendiebstahl.

3. Feindliche Übernahme

Die feindliche Übernahme funktioniert ähnlich zum Fake-Account – mit einem kleinen Unterschied. Die Betrüger wählen den Weg über einen echten Kunden-Account und somit auch das hinterlegte Bezahlmedium. In erster Linie sind hier also zunächst die Kunden das Opfer! Und es geht nicht nur um Geld, es geht auch um Bewegungsprofile und den Zugang zum Fahrzeug – nämlich dann, wenn der Lade-Account mit dem Fahrzeug-Account verknüpft ist, zum Beispiel bei Charge My Hyundai.

Hyundai-Kundenmail zur Betrugs-Vorsorge
Hyundai-Kundenmail zur Betrugs-Vorsorge

In einer Hyundai-Kundenmail heißt es: “Wichtig: Bitte aktualisieren Sie das Passwort Ihres Hyundai Accounts.” Und man kommt schnell zur Sache: “Wir möchten Sie darüber informieren, dass wir verdächtige Aktivitäten im Zusammenhang mit unbefugten Anmeldungen und einer darauffolgenden Nutzung des Charge myHyundai-Dienstes festgestellt haben.“ In der Praxis kommt dies einer feindlichen Übernahme gleich. Die Empfänger der Mail waren aber selbst nicht betroffen, sondern es ging hier um eine Vorsorgemaßnahme um weitere Angriffe abzuwehren. Aus dem Wortlaut der Mail, kann man indirekt ablesen, wie der Betrug funktioniert: “Es gibt keinerlei Hinweise darauf, dass Ihr Hyundai Account betroffen ist oder dass auf unserer Seite ein Datenleck vorliegt.” Die Kunden werden aufgefordert, ein neues Passwort zu vergeben: “Bitte verwenden Sie dieses Passwort ausschließlich für Ihren Hyundai Account und nutzen Sie keines, das Sie bereits bei einem anderen Online-Dienst eingesetzt haben.“ Offenbar waren also weder Hyundai selbst noch der Ladepartner Digital Charging Solutions von einem Datenklau betroffen, sondern die passenden Kombinationen aus Email und Passwort wurden von den betroffenen Kunden vermutlich vielfach in online-Shop-accounts oder anderswo verwendet und dort gestohlen und dann im Paket verkauft. Damit testen sich die Kriminellen einmal quer durchs Internet und schauen, wo man damit Umsätze machen kann und landen als Kuckucksei im Ladeaccount von echten Kunden. Dann ist der Versuch, in möglichst kurzer Zeit viel Umsatz zu machen, weil sie immer damit rechnen müssen, vom Kunden oder dem Ladeanbieter entdeckt zu werden. Viel Umsatz zu generieren funktioniert aber nicht mit nur einem Auto, sondern in dem man die preisreduzierte Freischaltung von Ladestationen, quasi als Dispatcher aus der Ferne über die App, in geschlossenen Chatgruppen an gewerbliche E-Auto-Nutzer verkauft, zum Beispiel Fahrdienste. Die meisten Anbieter erlauben dabei auch parallele Sessions, also mehrere parallele Ladevorgänge. Dies könnte man zwar von der Anbieterseite technisch ausschließen, einige tun dies auch. Allerdings ist es in der Praxis so, dass manchmal Ladevorgänge vor allem im AC-Bereich im System nicht sauer beendet werden und zumindest die Zeit tagelang weiterläuft – solange können legale Kunden den Account dann auch nicht mehr nutzen. Wenn der Kunde den Betrug nicht selbst bemerkt, haben die Anbieter natürlich verschiedene Alarmsysteme, um auffällige Aktivitäten zu entdecken und dann manuell zu prüfen. Ein betroffener Zuschauer hat uns eine entsprechende Email weitergeleitet. Darin heißt es: “Der Schutz Ihrer personenbezogenen Daten und Ihres Charge myHundai Ladekontos ist uns sehr wichtig. Aus diesem Grund haben wir vor Kurzem Ihr Charge myHundai Konto vorübergehend gesperrt.” Und weiter: “Im Rahmen unserer Sicherheitsmaßnahmen haben wir festgestellt, dass über Ihr Konto auffällige Ladevorgänge vorgenommen wurden oder versucht wurde Ladevorgänge zu starten, welche uns bekannten Betrugsmustern entsprechen. Wir haben daher Grund zur Annahme, dass Dritte sich mit gültigen Zugangsdaten in Ihren Hyundai Account angemeldet haben und so auch Zugriff auf Ihren Charge myHundai Account erhalten haben.” Der Kuckuck saß also nicht nur auf dem Girokonto, sondern auch im Auto! Und dann wird die Masche nochmal bestätigt: “Unserem Sicherheitsteam sind laufende Angriffe auf Zugänge zu Ladediensten bekannt. Dabei werden aus Datenleaks bekannte Kombinationen aus E-Mail-Adressen und Passwörtern getestet. Wir vermuten, dass die Zugangsdaten, die Sie für Ihren Hyundai Account – und somit auch für unseren Service – nutzen, an anderer Stelle abhandengekommen und so in falsche Hände geraten sind.” Also kein Hack bei Charge my Hyundai! Der Kunde wird weiterhin informiert, welche persönlichen Daten alle eingesehen werden konnten und dass diese auch für anderweitige Angriffe genutzt werden könnten. Zum Laden heißt es: “Durch die Sperre Ihres Kontos haben wir bereits sichergestellt, dass keine weiteren Ladevorgänge gestartet werden können.” Und weiter: “Ändern Sie unbedingt das Passwort für Ihren Hyundai Account; sollten Sie keinen Zugriff mehr auf Ihr Konto haben nutzen Sie bitte die Funktion „Passwort vergessen?”. Es wird also kein Link versendet, der sofort wieder Pishing-Verdacht wecken könnte, sondern der Kunde soll die ihm bekannten sicheren Wege gehen. Erst danach wird der Account vom Support manuell wieder freigegeben.

Und dann doch der freundliche Hinweis: “Wichtig ist es darüber hinaus auch sämtliche andere von Ihnen im Internet genutzte Accounts zu prüfen und auch dort Passwörter zu ändern.” Außerdem wird der Kunde aufgefordert, Anzeige bei der Polizei zu erstatten. Wer die betrügerischen Umsätze am Ende tragen muss, ist aktuell noch offen.

Was können Kunden gegen diese Masche tun?

– Starke Passwörter verwenden und diese immer nur 1x benutzen
– Girokonto im Blick behalten
– Ungenutzte Ladekonten schließen oder kündigen (also nicht nur die App löschen, sondern vorher den Account löschen oder das Bezahlmedium entfernen)
– Push-Nachrichten in der App erlauben, sofern diese angeboten werden

Was können die Anbieter noch verstärkt tun:

– Push-Nachrichten anbieten
– 2-Faktor-Authentifizierung, z.B. über einen zusätzlichen Code per SMS oder Mail

4: Der Gutschein Betrug

Öffentliches Laden kann für Kunden eine Eintrittshürde in die Welt der Elektromobilität sein. Deshalb arbeiten manche Hersteller im Marketing für Neuwagen mit Ladegutscheinen, also einem Startguthaben für öffentliches laden, teilweise bis zu 4000€. Nicht jeder Kunde braucht die, also werden sie auf Marktplätzen gerne mal zum Verkauf angeboten. Hier besteht zum einen das Risiko, dass der Gutscheincode ungültig ist. Es gab aber auch Fälle, in denen vermutlich gestohlene Codes zum Verkauf angeboten wurden. Oft sind sie dann auffällig günstig. So beispielsweise bei einem Angebot im Forum Smart Emotion – nur 100€ für 1000€ Gutschein.

betrügerisches gutschein-Angebot im Forum SmartEmotion
betrügerisches gutschein-Angebot im Forum SmartEmotion

Noch dazu wurde der Gutscheincode vor Bezahlung übermittelt, damit der Käufer sieht, dass es auch funktioniert. Hier wurde aber von anderen Nutzern der Betrugsverdacht gemeldet und das Angebot vom Admin entfernt und an den Herausgeber der Gutscheine Digital Charging Solutions gemeldet. Spätestens dann, wenn so wie hier beim gleichen Anbieter mehrere Gutscheine verfügbar sind, sollte man Abstand nehmen.

5. Die Ladekarten Doublette

Ladekarten sind einfach und bequem und in der Praxis, nach Plug&Charge, oft der zweitschnellste Weg, die Ladesäule freizuschalten. Aber sie stehen auch seit Jahren als unsicheres Medium in der Kritik, weil sie völlig unverschlüsselt arbeiten. Außerdem sind sie leicht zu kopieren oder künstlich zu erzeugen. Die einzige Sicherheit besteht in der Vielzahl der möglichen Varianten, dass man also über das Prinzip Zufall als Betrüger nicht zum Erfolg kommt. Einfache Möglichkeiten wären also, die Ladekarte heimlich zu kopieren oder zu versuchen mit zusätzlichen Kartenlesern an des Säulen an die Nummern zu kommen. Beides ist aber vergleichsweise aufwändig und die Anzahl der erbeuteten Nummern gering, sodass ein kommerzieller Betrug damit kaum möglich ist, weil man ja im Normalfall nur wenige Tage oder Wochen auf einer Karte betrügen kann, bis der Schwindel auffliegt. Aber – in Europa sind tausende Anbieter mit Millionen von Kartendaten vernetzt. Sollte es hier ein Leak oder einen Angriff geben, kann das Thema in wenigen Wochen eskalieren und dazu führen, dass nur noch eine flächendeckende Kartensperrung hilft. Denn wenn es einmal ein Einfallstor gibt, besteht akute Wiederholungsgefahr und neue Karten sind erneut gefährdet. Über eine Vielzahl von gestohlenen Datensätzen blieben die Betrüger auch länger unerkannt, z.B. dann, wenn Sie jede Kartennummer immer nur einmal benutzen. Dann ist kein Muster erkennbar, es gibt immer wieder neue Geschädigte mit kleinen Beträgen bei verschiedenen Anbietern und die bisherigen Betrugserkennungs-Algorithmen schlagen nicht an – quasi ein Katz- und Maus-Spiel. Aktuell sind solche Fälle noch selten, also wirklich sehr sehr selten, aber es gibt sie. Zumindest ein offensichtlicher Betrugsfall ist dem Autor bekannt. Der Geschädigte war 78 Jahre alt und dem Autor persönlich bekannt. Der Kunde nutzte gelegentlich eine Enbw-Ladekarte, gab diese jedoch nie aus der Hand. Innerhalb weniger Tage wurden auf seinem Kundenkonto über 300€ betrügerisch geladen. Die Reiserouten zeigen, dass es mindestens zwei Doubletten gab.

Screenshots aus der Kunden-App mit betrügerischen Umsätzen
Screenshots aus der Kunden-App mit betrügerischen Umsätzen

Teilweise gab es parallele Sessions mit mehreren hundert km Entfernung.Die EnBW Hotline bestätigte damals dem Kunden, dass die Ladevorgänge via Karte aktiviert wurden. Aber zum Glück waren die Push-Nachrichten aktiviert und als das Handy öfter brummte, wurde der Senior dann skeptisch und bezog Familienangehörige mit ein, die dann sofort Alarm schlugen. Bei Enbw kann man in der App die Karte sogar selbst deaktivieren. Trotz wiederholter Supportanfragen war EnBW innerhalb von 3 Monaten nicht in der Lage, den Fall zu klären. Nachdem Stefan Moeller den Fall dann intern vorgetragen hatte, wurden die Rechnungen am Folgetag storniert und zumindest ihm gegenüber wurde ehrliches Bedauern zum Ausdruck gebracht.

Mit EnBW, Elli und Digital Charging Solutions sind in diesem Kontekt gleich drei große Namen gefallen, vermutlich die Top 3 in Deutschland oder sogar Europa. Digital Charging Solutions verantwortet unter anderem die Ladeangebote für BMW, Mercedes, Kia, Hyundai, Smart sowie den eigenen Tarif Charge Now. Bei einem weiteren großen Anbieter, nämlich EWE go, hatte Moeller das Thema noch direkt angefragt. Der Registrierungsprozess in der EWE-Go-App wirkt auf den ersten Blick sehr unkompliziert und damit potentiell betrugsanfällig. Abgefragt werden lediglich ungeprüfte Daten wie Name, Adresse und  IBAN  – dann ist die App sofort einsatzbereit. EWE schrieb dazu: “Betrugsversuchen im Zusammenhang mit Ladekarten und Lade-Apps begegnet EWE Go mit gezielten Präventionsmaßnahmen.” Und eine wichtige Maßnahme nennt man auch: “So wird z.B. ein Ladevorgang per App in Deutschland erst dann gestartet, wenn die Nutzer:innen direkt an der Station sind und dies vor Ort bestätigen.”

Meldung in der EWE-Go-APP
Meldung in der EWE-Go-APP

Freunde und Kollegen aus der Ferne freischalten geht dann also nicht, aber die Fälle zuvor haben ja gezeigt, dass diese Einschränkung absolut Sinn macht. Weiter schreibt EWE: “Die EWE Go App liefert zahlreiche Funktionen, die den Ladevorgang transparent und mögliche Betrugsversuche für die Nutzer:innen sofort sichtbar machen.” Gemeint sind z.B. Push Nachrichten während des Ladevorgangs. Außerdem sind parallelen Sessions bei EWE Go nicht möglich.:

In seinem Youtube-Video warnt Moeller: “Wir sind an dem Punkt, wo Kriminelle Gefallen am Thema gefunden haben und es sind weitere Angriffe zu erwarten!” Zumindest an gezeigten Beispielen zeigt sich aber, dass alle Anbieter umfangreiche Sicherheitsmaßnahmen treffen, die im einen oder anderen Fall auch mal den Komfort einschränken können. Aber auch die Nutzer sind in der Pflicht, vor allem beim Thema Passwortsicherheit. Dazu gibt es auch spezielle Ratgeber der Verbraucherzentrale.