Na elektro nabíječkách hrozí podvod s QR kódy. Falešná nálepka!

Na elektro nabíječkách hrozí podvod s QR kódy. Falešná nálepka pošle řidiče na stránku, kde zadá kartu útočníkům

Podvodníci opět řádí a tentokrát si vybrali elektro nabíječky. Stačí naskenovat QR kód, zadat platební údaje a přijdete o své peníze.

i Zdroj fotografie: Tesla

Případ z tiskové zprávy policejního prezidia v Mohuči není ojedinělý ani exotický. Ukazuje, že platební podvody u stojanů se už netýkají jen klasických benzínových pump a starého skimmingu. Přesouvají se na veřejné nabíječky, kde řidiči elektromobilů platí přes QR kódy a mobilní web. Tři techniky (skimming terminálu, podvržený QR kód a sociální manipulace při zadávání PIN) dohromady tvoří trojúhelník rizik, který lze ale odhalit ještě předtím, než přiložíte kartu nebo stisknete „Zaplatit“. Stačí vědět, kam se podívat.

Skimming: parazit uvnitř čtečky

Skimming je nejstarší z trojice. Pachatel připevní na čtečku karty nebo klávesnici stojanu tenké zařízení, které zachytí data z magnetického proužku a zároveň zaznamená PIN, buď přes falešnou klávesnici, nebo miniaturní kameru. Podle FBI stojí skimming finanční instituce a spotřebitele přes 25 miliard korun ročně a terčem jsou právě čerpací stojany, bankomaty i POS terminály.

Záludnost spočívá v tom, že část skimmerů bývá připojena přímo na vnitřní kabeláž stojanu, zvenku je nevidíte. Proto samotný pohled na slot nestačí. Americká Federální obchodní komise doporučuje kombinaci tří kroků:

  • Zkontrolovat panel stojanu – má být zavřený, bez stop po páčení, s neporušenou bezpečnostní pečetí.
  • Zahýbat čtečkou – legitimní čtečka sedí pevně. Pokud se hýbe, klouže nebo má jinou barvu než na vedlejším stojanu, něco nesedí.
  • Hledat škrábance, zbytky lepidla a nesourodé díly – překryvná klávesnice bývá o milimetr vyšší, jinak tvarovaná nebo z jiného plastu.

Nejúčinnější obrana? Bezkontaktní platba. Tap-to-pay generuje jednorázový token, takže i kdyby skimmer na stojanu byl, nezachytí nic použitelného.

Quishing: přelepený QR kód, který vás pošle na falešný web

Právě tohle se stalo ve Schwabenheimu. Na stojan provozovaný společností EWR někdo nalepil QR kód s logem „RWE“. Řidič ho naskenoval, otevřel se mu zdánlivě běžný platební web a zadal údaje karty. Následoval pokus o neoprávněné zatížení účtu; k autorizaci nakonec nedošlo, ale jen díky štěstí a rychlé reakci.

Quishing (phishing přes QR kódy) je novější vlna, kterou policie Porýní-Falce řadí vedle smishingu a klasického phishingu jako rostoucí hrozbu ve veřejném prostoru. ADAC upozorňuje, že veřejné nabíječky jsou pro tento typ podvodu obzvlášť atraktivní: statické QR samolepky se snadno přelepí, uživatel platí ad hoc přes mobilní web a údaje karty zadává ručně do telefonu.

Na co se dívat u nabíječky:

  • Přelepený štítek – okraje samolepky odstávají, pod ní prosvítá jiný kód, povrch je nerovný.
  • Nesoulad brandingu – kód říká „RWE“, ale stojan provozuje jiná firma. Nebo naopak: logo operátora chybí úplně.
  • Podezřelá URL – po naskenování zkontrolujte adresu v prohlížeči. Chybějící diakritika, zvláštní doména, překlepy: to jsou varovné signály.
  • Nezvykle vysoká částka na displeji telefonu – falešný web může rovnou žádat autorizaci vyšší platby.

Bezpečnější alternativou je použít oficiální aplikaci operátora nebo nabíjecí kartu. QR kód generovaný přímo na displeji stojanu je spolehlivější než samolepka, protože ho pachatel nemůže jednoduše přelepit.

Důležitý regulatorní detail: podle výkladu Evropské komise k nařízení AFIR, který cituje Ministerstvo dopravy ČR, statický QR kód na nálepce vůbec nesplňuje požadavek na bezpečné platební zařízení a je výslovně označen jako zvlášť náchylný k podvodu. Problém tedy není jen kriminální kreativita, je to i konstrukční slabina starších platebních řešení.

Shoulder surfing: někdo vám kouká přes rameno

Třetí technika nevyžaduje žádnou elektroniku. Stačí pozorný pohled. Pachatel se postaví za vás u bankomatu, terminálu nebo stojanu a sleduje, jak zadáváte PIN. Německá policejní prevence popisuje typický scénář: jeden člověk odvádí pozornost (ptá se na cestu, upozorňuje na „spadlou bankovku“), zatímco druhý sleduje klávesnici. Pak stačí kartu ukrást nebo zkopírovat.

U čerpacích stanic i nabíječek má shoulder surfing ještě jednu variantu: pachatel vás tlačí do „rychlé“ platby přes odkaz, který vám pošle na telefon, nebo nabízí „pomoc“ s platebním terminálem. Jakýkoli tlak na nestandardní platební cestu je varovný signál.

Obrana je jednoduchá: PIN vždy zakryjte druhou rukou. Vybírejte stojan blíž ke kameře nebo k obsluze. A pokud vás někdo u stojanu osloví s nabídkou pomoci při placení, zdvořile odmítněte.

Český kontext: veřejně doložený případ chybí, riziko ne

Ve veřejně dostupných výstupech Policie ČR ani České obchodní inspekce se nám nepodařilo dohledat konkrétní popsaný případ skimmingu nebo quishingu přímo na české čerpací či veřejné nabíjecí stanici. ČOI u nabíjecích stanic řešila hlavně technickou bezpečnost a značení, u pump technologické požadavky, ne karetní podvody.

To ale neznamená, že se to v Česku neděje nebo dít nemůže. Česká veřejná dobíjecí síť rychle roste; Ministerstvo dopravy uvádí bezmála 7 700 dobíjecích bodů, přičemž jen ČEZ provozuje přes tisíc stojanů. Čím víc stojanů s ad hoc QR platbou, tím víc potenciálních cílů. A technika přelepení samolepky nevyžaduje žádné speciální vybavení ani znalosti.

Co dělat, když máte podezření

Pokud u stojanu cokoli nesedí (čtečka se hýbe, QR kód vypadá přelepený, URL v telefonu je podezřelá), neplaťte. Nic neskenujte. Vyfoťte detail stojanu a kontaktujte obsluhu nebo operátora nabíječky.

Pokud jste už údaje zadali:

  • Okamžitě zablokujte kartu přes aplikaci nebo nonstop linku své banky.
  • Zkontrolujte výpis; podezřelé transakce reklamujte jako neautorizované.
  • Podejte oznámení na policii.

Po každém tankování nebo nabíjení si zapněte push notifikace od banky. Neautorizovaný pokus o platbu pak uvidíte v reálném čase, ne až na měsíčním výpisu.

Ve Schwabenheimu stačil jeden přelepený QR kód a pár minut. Vám stačí pár vteřin pozorného pohledu, abyste totéž odhalili ještě předtím, než telefon vytáhnete z kapsy.

Diskuze Vstoupit do diskuze
Zobrazit další články