Waar er geld over tafel gaat, wordt gefraudeerd. Gelukkig is het bestrijden van fraude geen gevalletje alles of niets. Met een paar beveiligingen toevoegen is het plegen van fraude voor veruit de meeste mensen al een te groot risico om te overwegen. Die memo hebben ze bij de afdeling laadpassen kennelijk niet gekregen.
Een laadpas aanvragen op naam van Mark Rutte met het rekeningnummer van de Belastingdienst zou niet moeten kunnen. Maar een onderzoeker in dienst van cybersecuritybedrijf Vest is het gelukt. Een klaar teken dat de aanbieders van laadpassen zich achter de oren moeten gaan krabben.
Compleet gebrek aan controle
Om een laadpas te kunnen aanvragen moet men een aantal gegevens aanleveren. Wel handig voor de aanbieder van een laadpas om te weten waar ze de rekening heen moeten sturen. Op de juistheid van de aangeleverde gegevens wordt echter niet gecontroleerd, zo blijkt. Onderzoeker Alexander van Ee wist op verschillende manieren een bruikbare pas in handen te krijgen. Zo leverde hij verschillende rekeningnummers aan die niet op zijn naam stonden en wist hij zelfs een pas te kopiëren en zowel kopie als origineel tegelijkertijd op twee verschillende plekken te gebruiken.
Nu zal je wellicht denken: dat zal bij louche budgetaanbieders zo zijn, maar niet overal toch? Dat valt kennelijk zwaar tegen. Alle aanbieders waarbij van Ee een pas aanvroeg, waren kwetsbaar voor fraude. De onderzoeker noemt geen namen, maar geeft aan bij de top 20 meest populaire aanbieders een pas te hebben aangevraagd. Deze waren wel allemaal zonder abonnement. Sommige van deze passen waren zelfs zonder activatie te gebruiken.
Hoe zorg je ervoor dat je niet het slachtoffer wordt van laadpasfraude?
Gelukkig kan je als gebruiker van een laadpas het een en ander doen om te voorkomen dat je voor andermans laadsessies op mag draaien. Ten eerste, houd je afschriften in de gaten. Dat klinkt heel erg logisch, maar gezien de grote hoeveelheid bij- en afschriften die de gemiddelde rekening maandelijks langs ziet komen toch belangrijk om aan te stippen. Een extra laadsessie of twee is snel gemist. Check dus altijd of het afgeschreven bedrag wel overeenkomt met de laadsessies van jouw eigen EV.
Ook aan de voorkant is er het een en ander te doen om laadpasfraude tegen te gaan. Met een beveiligde pasjeshouder maak je het criminelen moeilijker om gegevens van je pas te plukken. Zo’n houder is vaak van aluminium, wat RFID en NFC communicatie tegenhoudt. Zorg er tot slot zoveel mogelijk voor dat je pasnummer niet door derden te lezen is. Zoals van Ee laat zien in de presentatie van zijn onderzoek staat er op een laadpas vaak niet meer dan een code. Deze code is met de juiste software niet moeilijk om te kraken. Dit betekent dat iemand aan een pasnummer vaak al genoeg om een kopie van je pas te maken.
