image

Belgisch energiebedrijf meldt laadpaalfraude met valse QR-codes

vrijdag 10 mei 2024, 07:59 door Redactie, 15 reacties

Het Belgische energiebedrijf EnergyVision heeft betalingen via QR-codes op laadpalen uitgeschakeld, nadat criminelen hier via malafide QR-codes misbruik van maakten. Volgens de energieleverancier gaat het om een 'honderdtal' slachtoffers die elk voor driehonderd euro werden opgelicht.

"Let op: Ad hoc betalingen via QR-code op publieke laadpunten zijn tijdelijk uitgeschakeld door frauduleuze QR-stickers. We adviseren voor een 100 procent veilige betaling, je laadpas te gebruiken. Recent via QR-code betaald? Neem contact op met je bank", aldus EnergyVision op X. Voor het betalen van een laadbeurt biedt EnergyVision zowel de optie om met een laadpas te betalen, als een ad-hocbetaling door een QR-code op een laadpaal te scannen.

De meeste eigenaren van een elektrische auto betalen met de laadpas. Zo'n vijf procent doet dat door een QR-code te scannen. EnergyVision moest deze betaalmethode aanbieden omdat dit een voorwaarde was om de laadpalen te mogen plaatsen. Criminelen hebben hier nu misbruik van gemaakt door malafide QR-codes over de codes van EnergyVision te plakken.

"Wie probeerde te laden via zo’n code kreeg een webpagina te zien om te betalen. Deed je dat, dan kreeg je een foutmelding maar werd wel 300 euro van je rekening gehaald. Vervolgens werd je doorgestuurd naar de juiste pagina waar je opnieuw kon betalen waar dat uiteraard wel lukte. Daardoor kon je alsnog laden en viel het dus niet meteen op dat je bestolen was", zegt Maarten Michielssens, ceo van EnergyVision, tegenover Het Laatste Nieuws.

"Gelukkig betaalt maar vijf procent van onze klanten via die codes, de meeste gebruiken laadpasjes. Maar het gaat toch om een honderdtal slachtoffers die telkens 300 euro kwijt zijn", gaat Michielssens verder. Het energiebedrijf onderzocht na een klacht tweeduizend laadpalen. Op twintig daarvan waren de malafide QR-codes geplaatst. In Frankrijk en het Verenigd Koninkrijk hebben soortgelijke fraudegevallen zich ook voorgedaan.

Reacties (15)
10-05-2024, 09:36 door Anoniem
Had dat gisteren gelezen. Je kunt maar beter een laadpas gebruiken.
10-05-2024, 10:33 door Briolet - Bijgewerkt: 10-05-2024, 10:38
Het lijkt me zinloos om deze betaalmethode uit te schakelen. Als je zo'n malafide QR code laad en daarna niet de domeinnaam checkt, dan kun je nog steeds de foute betaling doen. Je hebt het hooguit eerder door omdat je na doorsturen naar de echte site niet meer kunt betalen.

EnergyVision moest deze betaalmethode aanbieden omdat dit een voorwaarde was om de laadpalen te mogen plaatsen
En het is de vraag of ze niet in overtreding zijn als de deze betaalmethode uitschakelen. Zo te lezen was dit aanbieden een voorwaarde in hun licentie.

Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen. Dan blijf je aan de licentie voldoen.
10-05-2024, 10:43 door Anoniem
Vanuit het bedrijf snap ik de keuze; maar in principe kan iedereen een QR code plakken op elke laadpaal. Zelfs die van de gemeente.

Ik denk dat voldoende mensen hier in trappen als ze de laadpas vergeten zijn of er bij de QR code de tekst staat:
Betaal via QR code en krijg 40% korting (tot x datum)
10-05-2024, 10:50 door MathFox
EnergyVision moest deze betaalmethode aanbieden omdat dit een voorwaarde was om de laadpalen te mogen plaatsen.
Wat voor onbenul moet je zijn om een fraudegevoelige betaalmethode te eisen in je aanbestedingsvoorwaarden?

Aan de beveiliging van laadpassen is trouwens ook nog wel het een en ander te verbeteren.
10-05-2024, 12:39 door Anoniem
Door MathFox:
EnergyVision moest deze betaalmethode aanbieden omdat dit een voorwaarde was om de laadpalen te mogen plaatsen.
Wat voor onbenul moet je zijn om een fraudegevoelige betaalmethode te eisen in je aanbestedingsvoorwaarden?
Dat onbenul is helaas heel algemeen. Mensen denken aan het doel dat ze willen bereiken. Denken over wat er mis mee kan gaan gaat niet over dat doel maar juist over van alles dat niet het doel is. Daar goed mee omgaan is iets dat de meeste mensen niet van nature hebben maar moeten leren.

Dan heb je ook nog de slagvaardige, resultaatgerichte types die het maar al te vaak heel slagvaardig tot manager schoppen, en die van goed nadenken over de nadelen van iets vooral zien hoeveel tijd dat kost en hoe dat snelle resultaten frustreert. Die leren een stuk minder makkelijk dan gemiddeld dat het toch echt nodig kan zijn. Voer het ver genoeg door en je komt uit op de "move fast and break things"-mentaliteit van bijvoorbeeld Facebook. Met "move fast" scoort en verdient men stevig, terwijl "break things" iets is waar maar al te vaak vooral anderen last van hebben. Zover doorgevoerd is dat een ronduit parasitaire benadering, die helaas wel succesvol is.

Daar kan je inmiddels al vele jaren ook nog de aanslag bij optellen die sociale media en smartphones op de aandacht van mensen doen, producten die gemaakt zijn om zoveel mogelijk aandacht van mensen op te slokken en die daardoor snel, intuïtief denken stimuleren en rustig, verstandig nadenken hinderen. Dat zal ook niet bevorderlijk zijn voor een goed resultaat.

Als dit soort effecten heel algemeen zijn (en ik vrees dat ze dat zijn) dan komen ze vanzelf ook in overheidsorganisaties terecht die bijvoorbeeld voorwaarden voor laadpalen opstellen. Hier is overduidelijk vooral nagedacht over hoe cool het werkt als het goed gaat en niet over hoe makkelijk het mis kan gaan. En het onbenul heeft niet alleen maar bij een enkeling gezeten, dat onbenul overstemde de stemmen van mensen die beter nadachten, voor zover die er nog waren.

Ik ben vandaag een beetje pessimistisch over de mensheid en hoe die bezig is, vrees ik.
10-05-2024, 13:28 door Anoniem
Door Anoniem: Vanuit het bedrijf snap ik de keuze; maar in principe kan iedereen een QR code plakken op elke laadpaal. Zelfs die van de gemeente.

Ik denk dat voldoende mensen hier in trappen als ze de laadpas vergeten zijn of er bij de QR code de tekst staat:
Betaal via QR code en krijg 40% korting (tot x datum)
Favoriete manier van fysieke pentesters. Bundeldje QR code stickers met test malware plakken zijkant van printer, koffiezet apparaat, magenetron, prullenbak en vervolgens wachten tot iemand het heeft aangeklikt.

Zelfde als bij infiltratie een prepareerd blaadje maken en die tussen de prints stoppen als die gaande zijn of ergens tussen een presentatie voorbereiding leggen. Mensen zijn nou eenmaal nieuwsgierig en snel afgeleid dus werkt perfect.

Een contact van mij heeft op verzoek van een niet nader genoemde winkelketen eens een pentest uitgevoerd. Aanval methode was QR codes over een reeks magazijn boxen.Die zat binnen een dag in hun voorraadbeheer en kon een eigen shipment aanmaken heef toen een reeks USB sticks prepareert en verzonden naar het bedrijf zelf. En omdat het dus werkelijk vanaf het bedrijf kwam lagen er ineens een stuk of 20 prepareerde USB sticks wat niemand wist waar ze voor waren met alle gevolgen van dien bij het inpluggen. Pijnlijk genoeg was hun IT een van de eerste afdelingen die het had ingeplugd.
10-05-2024, 14:20 door eMilt
Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen.
Op de paal staat dat je naar (bijvoorbeeld) EnergyVision.be moet gaan en dat wordt de oplichters met een sticker vervangen door LaadpaalBE.net. Denk je dat er mensen zijn die het dan opeens niet meer vertrouwen?
10-05-2024, 17:31 door Anoniem
Laten we toch eens stoppen met QR codes te gebruiken voor mobieltjes: je weet niet wat er staat en met scannen kun je al in qhishing trappen (het scannen an sich is al gevaarlijk!).
Verzin wat nieuws voor: iets dat leesbaar is voor een mens en voor een app, zo moeilijk is dat echt niet meer met de huidige generatie mobieltjes. Die kan hele gezichten al herkennen, dan is een beetje tekst scannen ook geen probleem.

Want als de link gewoon energiebedrijf-voorbeeldje[.]nl/laden/paal-zoetermeer-123 zegt snapt iedereen wat er staat en of dat betrouwbaar is.
10-05-2024, 19:04 door Anoniem
Door Briolet:
Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen. Dan blijf je aan de licentie voldoen.

Het blijft een erg lastig probleem.

Hoe weet jij, als automobilist die stopt bij "EEN" laadpaal naar welke site je moet gaan voor DIE laadpaal provider ?

Als je geen doorgewinterde kenner bent van alle paal-operators - dan kijk je op de sticker op de paal, bijvoorbeeld.

Mooi groene band "Weer een laadpaal van eco-green-deal.com ! .
Ga naar eco-green.tt om te betalen. Paalpaal nummer BE0134 . Ideal, cc, paypal supported.

Of scan de QR code .

En daar sta je dan met je lege auto en je security bewustzijn dat je "geen QR code moet scannen" .

Als je _reeds_ een app (of een token) hebt van de juiste (/alle) operators is het redelijk oplosbaar , maar de QR code zal nu juist bedoeld zijn (en , terecht ge-EIST zijn) dat je ook zonder "abonnement vooraf bij de zoveelste operator" bij zo'n paal terecht kunt.

Allemaal eilandjes waarbij je eerst een abonnement moet hebben voor 'ons ecosysteem' is precies waarom een generiek product niet van de grond komt .
En tientallen operators waarbij je bij "allemaal" een abonnement (en een token, en een app, en maandelijkse kosten) om een beetje dekking te hebben "overal" waar je wilt laden is wat er mis is met het "het" oplaad-model.
10-05-2024, 20:10 door Briolet
Door eMilt:
Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen.
Op de paal staat dat je naar (bijvoorbeeld) EnergyVision.be moet gaan en dat wordt de oplichters met een sticker vervangen door LaadpaalBE.net. Denk je dat er mensen zijn die het dan opeens niet meer vertrouwen?

Ik bedoel dat er helemaal geen site behoort te staan. Die behoort in de bookmark van de browser van de gebruiker te staan. Of nog beter:

Die QR code scan je met een smartphone. Dan is het een heel klein kunstje om een app te maken die de data van de QR code inleest en je dan naar een hardcoded website stuurt. De QR code hoeft dan niet meer te bevatten dan het serienummer van de paal.
10-05-2024, 21:50 door Anoniem
Door Briolet:
Ik bedoel dat er helemaal geen site behoort te staan. Die behoort in de bookmark van de browser van de gebruiker te staan.
Die QR code is er nou net voor degenen die niet vantevoren een of ander abonnement genomen hebben bij die paal.
Die komen daar, die hebben niets in hun browser staan. Die willen alleen laden en daarvoor betalen.
Of ga jij beweren dat jij de juiste site van die Belgische laadpaal al in je browser hebt staan??
10-05-2024, 23:14 door Anoniem
Door Briolet:
Door eMilt:
Ze hadden de QR code anders moeten ontwikkelen. Dus niet via de QR code naar de site gaan, maar handmatig (Of via een app van de leverancier) naar de betaal-site gaan en vanaf daar de QR code inlezen om het laadpaalnummer over te dragen.
Op de paal staat dat je naar (bijvoorbeeld) EnergyVision.be moet gaan en dat wordt de oplichters met een sticker vervangen door LaadpaalBE.net. Denk je dat er mensen zijn die het dan opeens niet meer vertrouwen?

Ik bedoel dat er helemaal geen site behoort te staan. Die behoort in de bookmark van de browser van de gebruiker te staan. Of nog beter:

Die QR code scan je met een smartphone. Dan is het een heel klein kunstje om een app te maken die de data van de QR code inleest en je dan naar een hardcoded website stuurt. De QR code hoeft dan niet meer te bevatten dan het serienummer van de paal.

Zie EnergyVision: aanbesteding laat geen tussenkomst van app toe. Dat is dwingende Europese regelgeving. Klant moet adhoc kunnen betalen zonder tussenkomst van app of pas.
12-05-2024, 00:41 door Anoniem
Goed bezig. Pas als het geld gaat kosten, gaan ze geld uitgeven aan security.

Alleen nog de kunst voor de security bedrijven die dit implementeren om daar dan weer genoeg geld voor te eisen.
12-05-2024, 06:35 door Anoniem
Door Anoniem: Laten we toch eens stoppen met QR codes te gebruiken voor mobieltjes: je weet niet wat er staat en met scannen kun je al in qhishing trappen (het scannen an sich is al gevaarlijk!).
Verzin wat nieuws voor: iets dat leesbaar is voor een mens en voor een app, zo moeilijk is dat echt niet meer met de huidige generatie mobieltjes. Die kan hele gezichten al herkennen, dan is een beetje tekst scannen ook geen probleem.

Want als de link gewoon energiebedrijf-voorbeeldje[.]nl/laden/paal-zoetermeer-123 zegt snapt iedereen wat er staat en of dat betrouwbaar is.
Dat het niet door iedereen te controleren is precies de reden waarom we niet (meer) elektronisch stemmen.
Al doende leert men.
12-05-2024, 20:27 door Anoniem
Door Anoniem: Laten we toch eens stoppen met QR codes te gebruiken voor mobieltjes: je weet niet wat er staat en met scannen kun je al in qhishing trappen (het scannen an sich is al gevaarlijk!).
Verzin wat nieuws voor: iets dat leesbaar is voor een mens en voor een app, zo moeilijk is dat echt niet meer met de huidige generatie mobieltjes. Die kan hele gezichten al herkennen, dan is een beetje tekst scannen ook geen probleem.

Want als de link gewoon energiebedrijf-voorbeeldje[.]nl/laden/paal-zoetermeer-123 zegt snapt iedereen wat er staat en of dat betrouwbaar is.

Jeez. Je vindt iets van security, je zit op een forum waar met regelmaat de bank fraudes langskomen met (leesbare) phishing URLs , en wat denk je :

Dat mensen aan de URL precies weten dat ie klopt .
total-green-energy.tt/paal123 .

green-energy-vision.com/paal123 . Is dat geen paal van EnergyVision ? Hoe kan ik dat nou weten als ik daar sta ?

Hoe weet ik _uberhaupt_ dat de paal op kerkweg 13 van EnergyVision hoort te zijn ? Oh, omdat er een sticker op zit, met de URL (leesbaar, en QR ...)

Hoe moet je als 'vreemde' bezoeker nou weten van welk bedrijf de paal is ? Dat kunnen er zoveel zijn.

Dat maakt dit zo'n moeilijk probleem - voor 'gast' gebruikers zonder abonnement/token van de betreffende paal-operator.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.