Advarer mot ladesvindel med Qr-koder

Hundrevis av danske elbileiere lurt inn på svindelside.

Publisert 29. mai 2024

– Det var en Qr-kode der jeg vanligvis legger ladebrikken, forklarer elbileier og utvikler Jonas Engberg Jørgensen, som kan ha reddet mange dansker fra kredittkortsvindel.

Qr-koden var klistret til en elbillader hos den danske ladekjeden Clever og hadde påskriften «Scan and pay». Den ledet til en falsk nettside som samlet inn kortinformasjon fra brukerne som forsøkte å lade.

– Nettsiden var laget for å se ut som Clever sin, viste København og en 22 kW lader ledig. Herfra ville man nok typisk gått videre til å betale, forklarer Jørgensen.

Men Jørgensen, som er DevOps-ingeniør hos Beo.io i Danmark, begynte i stedet å snoke i det som skjulte seg bak nettstedet. Der fant han både kortnummer, og over hundre IP-adresser fra andre som hadde scannet QR-koden.

Dette synet møtte Jonas Jørgensen da han skulle lade elbilen sin. Det skulle vise seg at svært mange mennesker har forsøkt å scanne Qr-koden som ikke har noen forbindelse med ladeselskapet Clever. Jonas Engberg Jørgensen

Nettsiden er utformet for å se ut som en legitim ladernettside, med informasjon om pris per kilowattime, og om laderen er ledig. Men Clever bruker ikke en nettside for å selge ladetid.

Trykker du deg videre får du lov til å gi fra deg viktig kortinformasjon. Svindlerne brukte ikke informasjonen med en gang, men lagret den i stedet i en liste.

Gjorde seg usynlig etter første besøk

Jonas Engberg Jørgensen er DevOps-ingeniør i Beo.io og ble nok litt mer nysgjerrig enn svindlerne ventet seg da han støtte på Qr-koden deres. — Privat

– Nettsiden hadde tre ting å trykke på. Avbryt eller betal, i tillegg til en knapp som skulle vist vilkår - men som ikke virket. Trykket du på betal fikk du opp et nettskjema for å legge inn kredittkortnummeret ditt.

Jørgensen forklarer at det ikke skjedde noe med en gang. Nettsiden forsøkte ikke faktisk å ta betalt, men samlet i stedet informasjonen fra brukerne. Etterpå gjorde den seg usynlig for brukeren:

– Nettsiden sammenliknet IP-adressen til telefonen din med listen, og hvis du hadde vært der før lenket den i stedet videre til den offisielle Clever-appen.

Fra 120 til 140 besøkende på få minutter

Slik så det ut da Jørgensen hentet ut listen over IP-adresser som hadde vært innom. Hver slik er antakeligvis én mobiltelefon eller bruker som har scannet Qr-koden i håp om å få betale. De to siste delene av IP-adressen er tatt bort. I en annen liste lå kortinformasjonen som folk hadde lagt igjen. — Jonas Engberg Jørgensen

Etter å ha sett på koden i nettstedet fant han to lister. Den ene viste IP-adressene til telefonene som hadde vært på besøk.

– Der var det 120 IP-er, men det steg raskt og var oppe i 140 etter få minutter. Men de tømte den på et tidspunkt - da lå det plutselig ingen der.

Jørgensen jaktet videre i databasene som lå tilgjengelig, og fant en oversikt som viste hele kortnummer, med utløpsdato og sikkerhetskode.

– Der var det 3–4 kortnummer, men det kan ha vært flere før databasen ble tømt, forklarer han.

Tok ned siden og kontaktet bank

Det var på en slik lader den falske QR-koden var limt på. — Clever

Jørgensen støtte på Qr-koden tirsdag formiddag klokken 10. To timer senere var svindelen tatt av nett.

Underveis kontaktet han både selskapet som leverer viderelenking for Qr-koden og selskapet som nettsiden var lagret på. Det skal nå ikke lenger være mulig å bruke Qr-koden eller finne nettsiden.

Det ene av kortnumrene som ble lagret klarte han også å få kontakt med banken til.

– De skulle kontakte kunden og få stengt kortet, forklarte Jørgensen.

– Det ble som å dykke ned i et kaninhull. Jeg skulle gjerne fått gjort noe annet på jobb den dagen, sa dansken som kan ha berget mange fra å gi fra seg kortnumrene sine til en Qr-kode på en elbillader.

Etter å ha tatt ned svindelnettstedet har Jonas Jørgensen og hans kollega Kasper Bræmer-Jensen delt informasjon så andre elbilister skal være klar over faren ved ukjente Qr-koder på elbilladere.

Clever: Saken er politianmeldt

– Vi ble tirsdag gjort opmerksom på at det var klistret scam-QR-koder på noen av våre ladestasjoner i København. Saken er meldt til politiet, hjemmesidene er stengt ned, og vi er i gang med å fjerne klistermerkene. Clever har aldri brukt QR-koder til betaling – og kommer heller ikke til å gjøre det, da risikoen for svindel er for høy, forteller pressetalsmann Jeppe Christensen i Clever til Tek.no.

– Hvis man ser en QR-kode på en Clever-ladestasjon skal man ikke scanne den, understreker han.

Ladeleverandøren sier de aldri tidligere har opplevd denne svindelmetoden. Deres råd er å laste ned og bruke appen når du skal lade trygt.

Mer: - Vi sjekker Qr-kodene våre

Norske Mer-ladere bruker Qr-koder, men selskapet sier de sjekkes jevnlig og at de ikke har opplevd at kunder har blitt lurt. — Finn Jarle Kvalheim, Tek.no

Qr-koder brukes på en del norske ladestasjoner, deriblant de fra ladenettverket Mer. Men de sier det ikke er noen stor risiko ved løsningen.

– Vi har ved ett tilfelle, for et par år siden, oppdaget et dårlig forsøk på erstatte QR-koden, så dette er ikke en stor utfordring på våre ladere. Vi har heller ingen rapporterte tilfeller hvor kunder har blitt lurt, forklarer kommunikasjonssjef Tone Tversland i Mer.

Hun påpeker også at det kun er dropin-kundene deres som kan lade med kombinasjonen av Qr-kode og at de da skal havne rett inne i Vipps-appen.

– Sikker lading er uansett en prioritet hos oss, og vi har jevnlig inspeksjon på våre ladere. Sjekk av QR-koden er en del av inspeksjonsrutinen, forklarer hun videre.

– Det vil alltid være en risiko forbundet med digitale betalingsløsninger og vi oppfordrer alle våre drop-in kunder til å være oppmerksomme, og melde tilbake til oss dersom de mot formodning skulle oppdage uregelmessigheter.

Mer om

Elbillading Elbil Sikkerhet Svindel