Truffe di ricarica, vittime i clienti di EnergyVision – Vandali anti Tesla di nuovo in azione – Fabbriche di batterie: Stellantis investe in Spagna / Settimana flash.
Truffe di ricarica: 300 euro sottratti a chi pagava con Qr code
Vasta truffa ai danni dei clienti del network di stazioni di ricarica belga EnergyVision, che offre la possibilità di pagare con bancomat o carta di credito. All’atto del pagamento compariva una pagina fake da compilare, ultimata la quale (inserendo tutti i dati con il QR code) sullo schermo usciva la scritta ‘Errore’. Il cliente veniva poi reindirizzato alla pagina giusta, con la quale portava a termine correttamente l’operazione. Ma senza rendersi conto che, con la prima schermata, gli erano stati sottratti 300 euro dal conto. “In questo modo non era immediatamente ovvio che eri stato derubato“, ha spiegato Maarten Michielssens, amministratore delegato di EnergyVision. “Abbiamo inoltrato gli indirizzi delle stazioni di ricarica alla polizia. Speriamo che siano in grado di vedere dalle telecamere di sorveglianza chi ha messo in atto la truffa. Fortunatamente, solo il 5% dei nostri clienti paga tramite QR code, la maggior parte utilizza schede di ricarica. Ma stiamo parlando comunque di un centinaio di persone che hanno perso 300 euro ciascuna“.
Truffe di ricarica e… Tornano in azione i vandali anti-Tesla
Tornano in azione i vandali anti-Tesla, odiatori del marchio più in vista della rivoluzione elettrica. In passato hanno colpito anche in Italia, soprattutto a Milano. Ora sono tornati in azione negli Usa, premendo di mira dozzine di Cybertruck in un parcheggio di Ford Lauderdale, in Florida. Le scritte sulle fiancate dei pick-up Tesla prendono di mira direttamente il patron di Tesla, Elon Musk, con frasi senza bisogno di traduzione come “Fuck Elon“. Secondo il sito americano Electrek, i mezzi erano parcheggiati in attesa di un intervento da parte della Casa per un problema al motorino che aziona il tergicristallo. Non è chiaro se si tratta di scritte facilmente amovibili o se invece l’intervento risulterà più costoso. Non risultano al momento commenti né da parte di Tesla né della Polizia locale, ma si presume che un’area di questo genere fosse presidiata da telecamere.
Batterie Stellantis: si punta ancora sulla Spagna, l’Italia…
Gli ottimi rapporti del governo spagnolo con Stellantis sembrano dare frutti decisamente migliori rispetto al muro contro muro a cui stiamo assistendo in Italia. Da noi è tutto fermo (vedi il rinvio della Gigafactory di Termoli). A Madrid sta entrando a pieno regime anche il nuovo impianto di assemblaggio-batterie che fornirà tutte le Citroën C4 e C4 X elettriche, prodotte proprio nella capitale iberica. Siamo a Villaverde, a meno di 10km dalla Puerta del Sol, il cuore di Madrid. Citroën spiega che la costruzione di questo impianto si è resa necessaria per l’aumento della domanda delle due Citroën. La capacità produttiva annua è di 50.000 batterie, ma si lavora per migliore logistica ed efficienza ed essere in grado di adattarsi a eventuali aumenti della domanda. Le batterie prodotte a Villaverde sono composte da 17 moduli agli ioni di litio, gestiti da un’unità di controllo elettronico (BMU). Ogni batteria ha una capacità di 54 kWh e pesa 340 kg.
- L’auto elettrica nasconde dei rischi? Ne resteremo prigionieri? Guarda il nuovo VIDEO di Paolo Mariano
Da quello che leggo sui cybertrick c’è scritto “fuck elon”, ho il vago sospetto che c’e l’abbiano con Musk e non tanto con Tesla!
Negli states il vecchio Muskettone ha pian piano guadagnato la fama di fascio/nazi!
Oltretutto, avercela con Tesla non significa essere contro le auto elettriche o contro la tutela dell’ambiente né significa essere dei sostenitori delle motorizzazioni a fonti fossili
Mi riferisco all’inciso del vandalismo su i Cybertruck… la Redazione dovrebbe pensarci bene a divulgare le azioni di vandali contro le auto Tesla… il mondo è pieno di cretini fomentati da divulgatori a livello di Sacerdoti integralisti che ci mettono un secondo a rifare queste “bravate” anche da noi
Per inciso la redazione ha riportato la notizia anche in modo non impeccabile. Suggerisco qui altra lettura con tanto di video: https://www.vrt.be/vrtnws/nl/2024/05/08/quishing-laadpalen-qr-codes-energyvision/
“All’atto del pagamento compariva una pagina fake da compilare, ultimata la quale (inserendo tutti i dati con il QR code) sullo schermo usciva la scritta ‘Errore’”
Detta così avete scritto una cosa molto inesatta (ma capisco che l’argomento è tecnico). Molto semplicemente veniva apposto un QR code finto adesivo al posto di quello originale e gli utenti he ko sca scansionavano atterravano su un sito fake dove inserivano i dati della carta di credito pensando così di completare il pagamento. A voi sembrerà che io stia usando le stesse parole vostre ma non è così. È pari pari pari pari il rischio che avevo illustrato io mesi fa e che anche un bambino di 7 anni è in grado di realizzare.
C’era un commento che feci sui rischi da truffa da Qrishing https://www.vaielettrico.it/e-gap-fase-due-dopo-i-van-le-ultrafast-senza-rete/ motivo per cui secondo me i Qrcode nelle colonnine da ricarica andavano assolutamente vietati … peccato che un informatico che stimo, Guido, anziché darmi manforte mi venne contro come un treno … beh, come dico sempre, il tempo è galantuomo, l’alert sulla sicurezza che avevo lanciato si è puntualmente verificato … c.v.d.
Ripeto la questione per chi non vuole leggersi tutto il thread. A meno che non sia richiesta un’app PROPRIETARIA per la scansione dei QR-Code (per proprietaria intendo l’app creata da un operatore di ricarica, a titolo di esempio come potrebbe essere un’app di una eventuale BeCharge, EnelX, NextCharge per capirci …), la scansione dei QR-Code tramite fotocamera o app generiche è PERICOLOSISSIMA perché se il QR-Code viene falsificato poi ci si perdono soldi … esattamente come avvenuto in questo caso … adesso di cosa sarò accusato, di aver suggerito a un hacker come fare per guadagnare illecitamente?
Leggo che Maarten Michielssens, amministratore delegato di EnergyVision, dice “Fortunatamente, solo il 5% dei nostri clienti paga tramite QR code”. Già solo per questo si è sparato sui piedi. In che senso … fortunatamente? Se è rischioso pagare in quel modo non dovreste prevedere (più) quella modalità né dovevate offrirla. La fortuna non c’entra niente, serve solo un po’ di cultura sulla sicurezza informatica, a tutti i livelli …
se ho capito, la discussione tra informnatici che citi era più sottile, cioè che non è il QRcode in sé a permettere la truffa, ma il doversi collegare al volo a un sito nuovo senza apposita App in caso di roaming su operatore sconosciuto
in qualunque modo venga comunicato il sito nuovo, potrebbe essere una scritta di testo invece di QRcode, di nuovo messa con un adesivo, o un sito fasullo trovato con google
concettualmente mi sembra un po’ simile ai lettori di carte bancomat sovrapposti ai bancomat veri, se l’estetica del bancomat ( o della colonnina ) sembra non originale è un rischio mettere direttamente i dati bancari
a parte usare app (codici dinamici o pre registrazione o altro), magari il qr code o le scritte, dovrebbero apparire a schermo della colonnina, invece che su adesivi esterni, o essere serigrate in metallo su placche montate a filo, così non sono contraffabili con gli adesivi?
/// ma il doversi collegare al volo a un sito nuovo senza apposita App in caso di roaming su operatore sconosciuto ///
no. Spiego. Se tu dici ad una persona una cosa del genere “per pagare inquadra questo qr-code con la tua app e segui le istruzioni a video” stai utilizzando un meccanismo di pagamento rischioso perché, a meno di non prendere particolari contromisure che non sto qui a dirti e che non sono affatto banali, quello che succede è che un bambino di 7 anni ti frega. Come? Spiego.
Crea un sito “tistofregando.it” e dentro fa una pagina html con scritto “inserisci qui i dati della carta di credito per completare il pagamento e avviare la ricarica”. Ovviamente i soldi non andranno mai al gestore della colonnina ma nel conto corrente del bambino di 7 anni. Dopo aver ricevuto i soldi, comparirà una pagina di errore e si inviterà l’utente a ripetere l’operazione. Questa volta magari l’utente viene rediretto da tistofregando.it a veroSitoEnergia.it dove davvero il pagamento servirà a fare la ricarica.
Il bambino va su questo sito qui https://www.the-qrcode-generator.com/ e in quel sito, dove leggi “enter url”, digita questa url: https://www.tistofregando.it . Come vedi sulla destra compare un qr-code che punterà al suo sito truffa. Quindi il bambino sul suo PC farà STAMPA ma anziché stampare su un foglio di carta stamperà su un foglio di carta adesivo. Poi stacca l’adesivo e lo va a mettere SOPRA il qr-code originale.
Finito. Con un lavoro di 10 minuti e con scarsissime conoscenze informatiche ti sei creato una trappola per polli, quelli che andranno a ricaricare l’auto usando il pagamento tramite QR-Code finiranno per regalarti i soldi.
Ora dovresti aver già capito cosa succede all’incauto automobilista. Quando si avvicina alla colonnina, tira fuori il suo smartphone e con la app preinstallata (molti cellulari hanno un’icona rapida per fare la scansione dei qr-code) scannerizzano il QR-Code. Il QR-Code mostrerà l’indirizzo scansionato che è tistofregando.it e lo mostrerà all’utente. E’ probabile che l’hacker di 7 anni, nonostante la giovane età, sia abbastanza maturo da non chiamare il sito tistofregando.it bensì qualcosa di plausibile del tipo pagamenticolonnine.eu o qualcosa del genere, in modo che l’incauto automobilista tenda a fidarsi. Quindi la vittima accede al sito, riempie la form di pagamento con i dati della carta e ricevere come risposta “errore. Per favore ripeti l’inserimento”. Come spiegato in realtà i dati sono stati acquisiti e l’hacker potrebbe prelevare i soldi subito o più avanti. A seguito del messaggio di errore il sito tistofregando.it mostrerà questa volta il sito vero della società che gestisce le colonnine: la vittima reinserirà nuovamente i dati e questa volta riuscirà a ricaricare.
Cosa serve per perpetrare questa truffa? 4 cose:
– costruirsi un sito web che accetti i pagamenti, cosa che un informatico impiega 10 minuti a fare (esageriamo: un’ora)
– generare un qr-code, tempo stimato 30 secondi
– stampare il qr-code sulla propria stampante usando carta plastificata adesiva, tempo stimato 45 secondi (in base alla velocità della stampante)
– una qualunque società così sciocchina da accettare i pagamenti NON PRESIDIATI (come quelli self alla colonnina) tramite la tecnica dei qr-code stampati
Perché parlavo, in modo “accademico”/teorico, di app proprietaria? Perché se usi una app, ad esempio quella della società teorica EnelXXX per fare un giro del genere, certo l’app non si farà ingannare da finte url e andrà a ricercare nel qr-code altre informazioni (come l’identificativo della colonnina, per abilitarlo). Ovviamente è una soluzione teorica perché quella del qr-code è una strada che questi sventurati hanno deciso di percorrere proprio per evitare di imporre l’installazione di una app sul telefono (tipico uso per utente occasionale o straniero). Per questo la strada del qr-code per le ricariche è sempre una grandissima st…upidaggine.
Grazie a Dio adesso c’è la legge che obbliga a usare i pos nelle colonnine (è concesso ancora un po’ di tempo per adeguare le vecchie colonnine), quindi questo meccanismo sarà totalmente inutile perché se hai la carta di credito è ovvio che è più veloce e sicuro inserirla nel pos che non fare tutto questo giro assurdo.
Beh stiamo parlando dell’ abc, è ovvio che non ci si può assolutamente fidare di un adesivo che sia il QR o un URL. Siamo proprio sulle cose banali qui, non serve essere un informatico per capire la pericolosità di certe cose.
Chi ti contesta questo evidentemente ha grossi problemi di comprendonio.
Purtroppo le truffe invece si stanno sempre più evolvendo, diffondendo e direi complicando per l’utente finale. (in Romania, ma ci sono scuole di cracker all’avanguardia, in primis la Hackerville dove si trovano gli hacker e cracker tra i più pericolosi del pianeta)
Nemmeno il POS è sicuro e lo sappiamo benissimo.
Di fatto secondo me manca di base una tutela per l’utente, ovvero le banche ti chiedono tutti i dati possibili per identificarti, per capire chi sei, mentre la stessa cosa non succede al contrario, ovvero quando è l’utente che deve capire da chi provengono certi avvisi, certe comunicazioni. Via email possiamo tentare di controllare l’IP di provenienza, ma anche questo non sarebbe sufficiente, perchè è possibile falsificare anche quello purtroppo.
Non ne parliamo via sms o whatapp, quindi ricevendo messaggi, avvisi al proprio smarthone, peggio ancora.
A me fa spesso rabbia vedere queste email delle banche che invitano a diffidare dei messaggi a stare all’erta per eventuali truffe, perchè spesso sono proprio loro che non mettono in atto le sicurezze necessarie e le tutele corrette verso l’utente finale. Più di qualche volta tanto per fare un esempio banale ho ricevuto delle comuncazioni bancarie via email di una certa rilevanza non con il dominio della banca stessa, ma addirittura con domini diversi per scoprire che erano di società di servizi bancari associate alle banche stesse in questione, lasciandomi davvero stupefatto. Ho dovuto contattare per due volte direttamente l’assistenza di due banche per sapere se effettivamente erano messaggi validi o phishing, ed erano validi. Cosa scandalosa questa, ma ce ne sono ben altre da dire sui comportamenti delle banche, ovvero di chi gestisce le comunicazioni verso i clienti.
Le banche pretendono tutto da noi, purtroppo viceversa non è la stessa cosa. E se dovesse succedere di essere truffati hai voglia prima di ottenere i rimborsi, prima di tutto le banche sfruttano la lentezza e lungaggine delle vie giudiziarie, e se alla fine si arriva ad una sentenza positiva grazie ad un giudice salomonico (non sempre si è così fortunati) nel frattempo possono essere passati anche 4-5 anni.
Mi fermo qui, avrei molte altre cose da dire, ma mi sono allungato già troppo.
Diffondere uno standard interoperabile per il plug&charge ed ottenere un funzionamento simil SuC di Tesla.
Colleghi l’auto, la colonnina legge il tuo VIN che deve essere associato ad un sistema di pagamento valido.
ok grazie, anche se questa parte mi era chiara, redirezione a un sito fasullo per la lettura delle credenziali
l’esempio dei lettori di carte sovrapposti ai bancomat, anche se non sono “indirizzi scritti su adesivi”, pensavo all’analogia concettuale in senso più ampio, truffe in cui qualcosa di posticcio apposto “redireziona per prendere i dati”
tornando agli adesivi sulle colonnine, l’osservazione era un’altra, cioè che la base per la truffa è una redirezione ingannevole al primo contatto (approfittando di una sede in cui si ha fretta o ci si sente confidenti), fatta in qualsiasi modo, adesivo posticcio con scritta di testo o adesivo qr-code posticcio o potrebbe anche essere riuscire a ben posizionare in google il sito fasullo con ild ominio simile a quello corretto, uno ci finirebbe dalle ricerche goggle
per questo chiedevo se poteva andare una placca serigrafata o una immagine a video non facile da modificare.. stess astartegia adittata sui bancomat, rendere più difficile l’apposizione di qualcosa di posticcio senza che si noti..
nell’ipotesi di voler conservare anche questa modalità alle colonnine in roaming senza app o codici temporanei, o direttamente usare il Pos
Questa modalità di pagamento è destinata a sparire. La necessità del sito web, come scrivevo, si applica per gli utenti occasionali che non avendo tessere rfid o app proprietarie, vogliono pagare usando la carta di credito: anziché avvalersi del pos fisico l’idea di questi signori per risparmiare 2 spicci è di usare un pos virtuale, quindi ti faccio andare su un sito e paghi lì, online. Questa soluzione è superata dai pos fisici che sono obbligatori per legge: se hai il pos fisico e la carta puoi metterla lì dentro, chi ti farà perdere 15 minuti per inserire la carta su un sito online? Nessuno, ovviamente.
Gli skimmer di cui parli tu esistono ma sono molto più costosi da realizzare ed inoltre, se il pos è fatto bene, può rendere impossibile l’installazione degli skimmer. Sostituire un QR-Code o anche un indirizzo serigrafato o in alto rilievo con altro QR-Code o sito è molto più semplice. L’immagine a video è già una soluzione un po’ più valida in certi contesti (ormai escludiamo le colonnine di ricarica perché questo sistema, ripeto, è morto e sepolto o la sarà tra qualche mese) ma anche qui servono accorgimenti molto particolari: ad esempio se il qr-code si mostra a schermo serve un avviso che istruisca l’utente ad usare SOLO il qr-code a schermo e a diffidare di qr-code adesivi posti nei pressi. In genere, comunque, se abitui l’utente a pagare presso di te o presso la tua rete col qr-code qualche hacker potrebbe essere tentato di sostituire/sovrapporre il tuo qr-code/indirizzo originale con altro falso e non tutti gli utenti sono smaliziati con la tecnologia e lo capirebbero (facendo assistenza gratuita su cellulari e pc a tutto il mio condominio so bene il livello qual è …). In Italia comunque la possibilità di pagare tramite pos va obbligatoriamente garantita ormai ovunque, quindi per fortuna il qr-code per i pagamenti va a farsi benedire.
Ricordo, per inciso, che il rischio nell’usare un qr-code con app “generica” (il famoso qr-code sul menu del ristorante …) rappresenta sempre un notevole rischio per la sicurezza: se un hacker infatti sostituisce il qr-code con il suo qr-code e così reindirizza l’utente verso un suo sito che mostra esattamente lo stesso menu del sito originale (anzi: mostra il sito originale in un iframe a tutta pagina, quindi anche quando il proprietario del ristorante aggiorna il menu effettivamente questo viene aggiornato), anche se non c’è pagamento online, il rischio per l’utente è altissimo. Perché?
SPOILER, LEGGERE PER CONOSCERE LA RISPOSTA
Perché l’hacker aggiornerà il suo sito pirata con tutti gli ultimi hack, incluse le vulnerabilità 0 day del tuo browser, così solo per aver aperto il suo sito ti becchi un bel trojan che ti ruba tutti i dati personali e che può, nei casi peggiori, risalire anche ai tuoi dati bancari.
5 TWh di applausi! 👏👏👏
Precisazione: il mio voleva essere un plauso al commento di Damiano. 👏👏👏
Evidentemente ho sbagliato a posizionarlo… 🤷🏻♂️
Notizia 1: QR code? NO grazie!
Non è facile verificare l’ esattezza delle informazioni contenute… meglio non usare quella modalità.
Notizia 2: ricordiamoci che la mamma dei cretini (e delinquenti) è sempre in cinta.
Ovviamente bisognerebbe fare passare meglio il messaggio che chi abbatte l’ inquinamento non lo fa per snobismo e sfoggio di ricchezza… e le proteste andrebbero indirizzate altrove … ma ci vuole cultura e ragionamento per capirlo.
Notizia 3: armiamoci si fazzoletti… serviranno a salutare l’ industria automotive ed il suo indotto in Italia..e poi asciugare le lacrime (di coccodrillo) dopo aver fatto di tutto per finire fuori mercato.