Een potentieel nieuw woord van het jaar: Laadpasfraude.
Het klinkt allemaal zo simpel: laadpasje tegen de paal, PIEP, laden maar. Maar pas op, er dreigen ongemakkelijke verrassingen op de laadrekening van nietsvermoedende EV-rijders.
Zo doet Arjen uit Drenthe zijn verhaal tegenover de Telegraaf. Dolblij met zijn nieuwe Cupra Formentor plug-in hybride, regelde hij een gloednieuwe laadpas. Want Arjen was wél van plan om netjes te stekkeren met zijn plug-in hybride. Goed bezig!
Die nieuwe laadpas had hij nog geen dag in gebruik, of er werd al drie keer mee geladen in Londen. Maar Arjen was helemaal niet in Londen geweest.
Zo werkt laadpasfraude
Een bizarre situatie. In feite werkt zo’n pas als een sleutel: hou je ‘m voor een laadpaal, dan wordt je accountnummer herkend en begint de stroom te lopen. Maar dat unieke nummer is makkelijk te kopiëren. Met een simpele RFID-lezer of soms zelfs gewoon een app op je telefoon kan een nummer al worden uitgelezen. Dat nummer wordt vervolgens gekopieerd en aan een blanco pasje toegewezen. Resultaat? Gratis laden op andermans kosten.
Wat Arjen overkwam is geen zeldzaam incident. Zo kan vervoersbedrijf RMC hierover meepraten. Het bedrijf zag ruim twee ton (!) verdwijnen door 11.000 frauduleuze laadsessies. Het begon met een paar tientjes per dag, maar liep snel op naar meer dan 1.000 euro per etmaal. RMC was niet alleen slachtoffer van slimme criminelen, maar ook van een systeem dat nog in de kinderschoenen staat qua beveiliging.
De sector begint nu langzaam wakker te worden. Beveiligingsexperts waarschuwden jaren geleden al dat dit eraan zat te komen. Maar de risico’s werden destijds als verwaarloosbaar ingeschat. Naïef, zo mag je nu gerust concluderen.
De laadtarieven zijn fors gestegen en deze vorm van fraude richt serieuze financiële schade aan. Jij als slachtoffer moet, zoals wel vaker, in actie komen. Laadpas blokkeren, bewijzen dat jij echt niet in Londen zat op dat moment. Dat soort gedoe.
De beveiliging van laadpassen stelt eigenlijk geen reet voor. Tweestapsverificatie? Pincode? Onlogische laadsessies blokkeren? Er is nog nauwelijks controle. Er zijn wel aanbieders die malafide transacties in de gaten houden. Zo gaat bij de ANWB een belletje rinkelen als hun laadpas een verdachte patroon signaleert. Laden in Rome én Rotterdam binnen twee uur bijvoorbeeld? Dat kan natuurlijk niet.
Voor Arjen liep het met een sisser af. Hij kreeg een nieuwe pas en hoefde de laadsessies in Londen niet te betalen. Maar een gedoe is het wel. Het is de hoogste tijd dat de beveiliging van laadpassen naar een fatsoenlijk niveau wordt gebracht. Want deze vorm van laadpasfraude mag eigenlijk niet kunnen.
Wat ik vooral mis in dit artikel is hoe die nummers dan gekopieerd worden. Zit er bijvoorbeeld een RFID scanner in de laadpaal, of wordt het nummer van een laadpas uitgelezen door een telefoon waar zo’n app op staat, op een slinkse manier bij de desbetreffende laadpas gehouden?
De RFID kaarten zijn enorm makkelijk te skimmen, voor zover ik weet is het een vaste identificatie voor de laadprovider zonder extra verificatie.
Hopelijk als het protocol voor V2G uitrolt, maakt het laadpassen overbodig omdat dan het voertuig voor identificatie en verificatie kan zorgen.
De pas is eenvoudig te lezen als je een telefoon met fraude app bij de pas kunt houden. De meest eenvoudige manier om dat te doen is een elektrische auto huren inclusief een laadpas/tag. Ik ken ook garagebedrijven die hun klanten een elektrische leenauto meegeven, inclusief pas, want velen hebben die niet. Controle op facturen, met vele laadsessies is blijkbaar slecht en onbelangrijk, omdat het 1 op 1 wordt doorbelast aan de huurder van de auto.
Is dit dan onveiliger dan een tankkaart voor brandstof?
Mijn Tesla communiceert de auto zelf met de paal. Dergelijk systeem uitbouwen voor alle automerken en laadpaal aanbieders? Ze verplichten snellaadstations om betalen met bankkaart te ondersteunen tegen 2027, wat veel kost aan infrastructuur. Mijn voorstel is simpeler te implementeren, en kost een fractie daarvan.
Hebben de meeste merken hoor, heet plug and charge.
Het is het nieuwe skimmen. Was ook nauwelijks controle op. Ik pinde jaren geleden in Split en een half uur later in Indiä. Ik zag het op mijn rekening gebeuren, en belde de bank. Nou het was dat ik belde, want zelf hadden ze geen systemen om te zien dat dit niet kon.
Het afrekensysteem van elektrisch laden is volledig buiten de tankstation wereld ontwikkeld. Hier is men al veel eerder door schade en schande wijs geworden.
Ik noem een paar termen, floorlimit, velocity check, landnummer, on line verificatie, black list.
Maar de mannen en vrouwen die in de elektrische wereld leven weten hier niet van, of dachten dat het met zo’n vaart niet zou lopen. Wat dacht je van het scannen van QR codes om een laadsessie te starten? Hoe blauw moeten je ogen zijn. Er komt regelgeving aan maar dat duurt helaas nog even.
Soms kan ik er met mijn hoofd gewoon niet meer bij om de hoeveelheid stupiditeit die er rondloopt bij bepaalde bedrijven of instellingen.
Kan wel aanwijzen waar het ongeveer fout gaat: geld en hebberigheid
Ik ga niet zeggen dat ik het altijd beter weet, of beter doe, maar in dit geval wel:
Als men zoiets ontwerpt, waarbij dus een complexe infrastructuur en heel veel geld is gemoeid, moet “Secure-by-Design” boven aan de lijst met criteria staan.
Het liefst vet gedrukt met een rood hok erom heen.
Ik zit dan meer in andere IT infrastructuren, maar dit adagio staat bij mij altijd hoog op de agenda bij een ontwerp.
En als men het liever wat minder veilig wil voor gebruiksgemak, fine: maar kom dan niet zeuren als de boel ge-encrypt is en alle backups zijn gewist.
Weer een goed voorbeeld dat security by design geen onderdeel was/is van de laadpas ontwikkeling. Probleem en schade beleggen bij de fabrikant/ aanbieder. Dan zal er snel een veiligere oplossing komen.
Hele laadpaal/oplaadpassen systeem is achterhaald en ouderwets. Tesla heeft het mijn inziens prima bekeken, komt geen pasje aan te pas..
Problemen kun je soms simpel oplossen, nu in principe ook. Hou je RFID ervoor, in een telefoonapp kun je prima een melding geven, ‘Uw laadpas wil laden aan laadpaal X in plaats Y, klopt dit? Druk dan ja’. Je drukt op ja.
Geen briljante oplossing, wel snel, simpel, effectief.
Als iets digitaal is is het kwetsbaar. Ik lees hier een oplossing om zonder pas te laden en dat via de auto te laten verlopen.
Alleen in mei stond hier in autoblog letterlijk dat een EV simpel op afstand te hacken is.
https://www.autoblog.nl/nieuws/hackers-kunnen-op-simpele-manier-ev-besturen-op-afstand-7109450
En als je hem kan hacken dan dan kan je die auto ook digitaal overnemen en desnoods klonen. Het wordt nog leuker als je er in slaagt een merk of type te hacken en de fabrikant te chanteren met los geld. Bij niet betalen staat zijn merk/type wagenpark onoplaadbaar wereldwijd binnen een week stil.
Ik vind het echt een grove schande dat er zo’n wildgroei is aan laadpassen en kwh prijzen.
Hoog tijd dat we stoppen met de laadpas en met bankpas kunnen betalen. Net als bij de blikjes automaat of wc bij tankstations. Bij de meeste DC laders kan het al.
Bij ongeveer 90% van de laadpalen kan nu ook de sessie gestart worden met een mobiel. Hier is de veiligheid beter te regelen. Bijvoorbeeld een pas koppelen aan een account en slechts een actieve laadsessie per account ondersteunen, pincode of face id voor start transactie. Hierdoor zou je zelfs geen pas meer hoeven verstrekken . Dit zal waarschijnlijk ook de richting zijn waar de sector heen gaat gecombineerd met plug and charge. Helaas kan dit nog over het gehele netwerk van laders ondersteund worden.