Fraude met elektrisch laden is makkelijk, maar het bestrijden niet waard

Niemand die dacht: die Hero Ackerman – H. Ackerman, ofwel ‘hackerman’ – uit Naarden heeft wel heel veel laadpassen voor elektrische auto’s aangevraagd.

De afgelopen maanden onderzocht ethisch hacker Alexander van Ee (35), werkzaam bij het beveiligingsbedrijf Vest uit Naarden, hoe kwetsbaar de laadpassen van elektrische auto’s zijn. Zijn conclusie: „De laadpassen zijn eigenlijk helemaal niet beveiligd.”

De bevindingen van Van Ee komen overeen met die van hackers die eerder al aantoonden dat de laadpassen onveilig zijn. In 2017 lieten de Duitse ethische hackers van de Chaos Computer Club zien hoe makkelijk de kaarten te kraken waren. Twee jaar later demonstreerde beveiligingsbedrijf ESET bij NOS dat de passen hierdoor eenvoudig te kopiëren waren.

Hoewel veiligere alternatieven bestaan, stamt de beveiliging van het gros van de laadpassen nog uit het begintijdperk van het elektrisch rijden, zegt onderzoeker Pol Van Aubel, verbonden aan de Nijmeegse Radboud Universiteit. „De opties voor cryptografische beveiliging die wel in de pas zitten, worden niet eens gebruikt.”

Van Ee: „Je kan de laadpassen het beste vergelijken met de bonuskaart van Albert Heijn. Alleen staat de streepjescode daar gewoon op, terwijl de laadpas onzichtbaar en draadloos communiceert met de laadpaal. Het enige verschil is dat je daardoor een iets ingewikkeldere barcodescanner nodig hebt.”

Stoom en kokend water

Elektrisch rijden gaat een belangrijke rol spelen in het halen van de klimaatdoelen. Het aantal publieke laadpalen in Nederland moet stijgen van zo’n 150.000 nu naar zo’n 1,7 miljoen in 2030. Vanaf 2035 zullen in heel Europa alleen nog maar elektrische auto’s nieuw verkocht worden.

Onderzoeker Van Aubel, die afgelopen september aan de Radboud Universiteit promoveerde op onderzoek naar de beveiliging van publieke infrastructuur, noemt de broze beveiliging van de kaarten „een gevalletje van ‘het is 2006 of 2007 en er moet onder stoom en kokend water een nieuw systeem komen voor de laadpalen’. Het belangrijkste was dat het moest werken.”

De huidige kwetsbaarheden zijn een erfenis uit die tijd, zegt hij. „Er waren destijds relevantere technische en sociale problemen om op te lossen. Het beperkte aantal mensen dat hieraan gewerkt heeft, boog zich óók over vragen als: hoe communiceer je überhaupt via de laadpaal met een centrale server, welke auto’s zijn er, welke stekkers? Iemand heeft met een kaartlezer in een garage iets in elkaar gehackt en dat is de hele infrastructuur geworden.”

Harm van den Brink, cybersecurity-expert bij kennisplatform Elaad, dat zich richt op elektrisch rijden: „We hebben sindsdien de beveiliging van de laadpalen en de communicatie tussen de laadpalen sterk verbeterd, dat was ook onze focus. De pas is daarin achtergebleven.”

Kwetsbaarder dan de OV-kaart

In het pand van Vest, boven een verfwinkel op een industrieterrein in Naarden, legt Van Ee de gevolgen uit. De ethische hackers van Vest bestelden tijdens hun onderzoek 28 passen. Ze waren allemaal kwetsbaar, zegt Van Ee. Daarom noemt hij tegenover NRC geen namen van bedrijven en benaderde hij ook geen laadpasbedrijven, maar zocht contact met de krant – wat hem betreft is iedere laadpas even kwetsbaar. Vest maakte een filmpje over alle problemen.

De oorzaak van de kwetsbaarheden zit in de chip die in de laadpassen en laadfiches (druppels) zitten, de MiFare Classic van chipfabrikant NXP. Het chipje, iets groter dan een zandkorrel, zit ook in de OV-chipkaart en veroorzaakte ook daar problemen. Alternatieve betalingsmethodes, zoals met de pinpas of met een app of QR-code, heeft Van Ee niet onderzocht.

De laadpassen zijn eigenlijk nog kwetsbaarder dan de OV-kaart omdat ze geen gebruik maken van de versleutelingsmogelijkheden van de chip, zegt Van Ee. Dat maakt een keur aan frauduleuze handelingen mogelijk, ondervond hij. Naast klonen van passen en gelijktijdig laden, kwam hij er ook achter dat korte laadsessies niet in rekening worden gebracht. Hij schreef software waarmee hij ‘druppel voor druppel’ gratis kon laden.

Ethisch hacker Alexander van Ee legt in het “hacklab” in Naarden uit hoe laadpalen te hacken zijn.

Opvallender was dat Van Ee ook pasnummers kon raden – en daarmee een onbekende andere klant kon laten betalen voor zijn laadsessie. De laadpaal controleert alleen het unieke pasnummer, legt hij uit, om te zien of daarachter een betalende klant zit. Van Ee vond regelmatigheden in de pascodes, die volgens hem kunnen wijzen op bepaalde leveranciers, of een bepaalde productiebatch. „De codes zijn dus uniek, maar blijken niet zo willekeurig te zijn”, zegt Van Ee.

Na zes uur talloze pasnummers proberen – brute forcen, in hackersjargon – met een Flipper Zero, een apparaat dat kan fungeren als programmeerbare laadpas, die met ducttape tegen een laadpaal geplakt zat, sprong de paal aan. „Ik zie nog heel veel mogelijkheden om dat te versnellen”, zegt Van Ee. „Maar dit laat zien dat het principe werkt.”

Trage vorm van diefstal

Of de kwetsbaarheden in de passen veel misbruikt worden, kan Van Ee niet zeggen. „Het is zo makkelijk dat het me sterk lijkt dat het niet her en der al gedaan wordt. Ik denk alleen dat het niet zo’n groot probleem is, want anders hadden ze het wel aangepakt. Ze verliezen er blijkbaar niet genoeg geld op.”

Van Aubel: „Zolang er geen criminele businesscase is, gaan laadpasaanbieders niet op grote schaal betalen om de fraude te bestrijden. Ik snap ergens ook wel dat de sector niet heel snel handelt.”

De laadpasaanbieders en laadpaaloperators zijn zich bewust van de risico’s, maar achten de kans op misbruik klein. Laadstationexploitant FastNed, dat zelf geen passen verstrekt, zegt „geen noemenswaardige fraudeklachten” te ontvangen. Bij veel publieke laadpalen is cameratoezicht, en fraude is strafbaar en op te sporen. Het is immers een trage vorm van diefstal, zegt Van Aubel. „Je staat al snel minstens een kwartier te laden, en bij een tragere lader wel twee uur. Het is niet alsof het een heel lucratieve en risicoloze manier van fraude is.”

Bij de ANWB, met 150.000 ‘elektrische klanten’ een van de grootste laadpasaanbieders van Nederland, zijn onlangs alle laadpassen vernieuwd. Gebruikers kunnen via de smartphoneapplicatie van de ANWB een melding krijgen als een laadsessie begint – en als dat niet klopt, kunnen ze de pas gelijk blokkeren. Ook houdt de organisatie afwijkend laadgedrag op de achtergrond in de gaten, zegt een woordvoerder. „We hebben mechanismen ingebouwd om de fraude tegen te gaan. We hebben geen signalen van fraude. Als het toch voorkomt, gaan we er coulant mee om.”

„De kaarten zijn helaas de feitelijke standaard in de industrie”, zegt een woordvoerder van Shell Recharge, een andere grote speler in passen en palen. „Door gekopieerde kaarten te blokkeren, beperken we de risico’s. Er zijn veiliger alternatieven, maar dat vereist dat de hele industrie overstapt, niet alleen Shell.”


Lees ook
Van een kleine benzineauto naar een elektrische SUV, schieten we daar veel mee op?

Van een kleine benzineauto naar een elektrische SUV, schieten we daar veel mee op?

Op termijn, legt Van Aubel uit, werkt de industrie toe naar nieuwe en veiliger manieren om laadsessies te betalen, bijvoorbeeld door de consument via zijn auto te herkennen. „De auto wordt in de toekomst de pas, dus dat is significant te beveiligen”, zegt Van Aubel. „Als we die kant op bewegen, worden de passen minder relevant.”

Gebruiksgemak

Dat betekent niet dat de veiligheidsproblemen van vandaag op morgen opgelost zijn, zegt ethisch hacker Van Ee. „Ik doe dit soort onderzoeken al vijftien jaar en ik moet nog meemaken dat de encryptie goed geïmplementeerd is. In dit geval heb je het over talloze leveranciers en talloze auto’s – ook auto’s die nog niet de nieuwste protocollen ondersteunen. De protocollen en standaarden aanpassen is één ding, maar het zal nog jaren duren voordat iedereen over is.”

Maarten Hachmang, consultant en eigenaar van de website laadpastop10.nl, is om andere redenen sceptisch over innovaties die laden veiliger maken. „Ik loop al een hele tijd mee en de auto-industrie presenteert ieder jaar weer wat nieuws, maar ik vraag me af of de consument daarop zit te wachten. Ze proberen de consument bijvoorbeeld in hun eigen app te persen. Ja, de laadpas is lek. Dat is een ontwerpfout geweest. Tegelijkertijd werkt het goed en is het risico erg laag. Oplossen van het probleem is duurder dan af en toe een pas blokkeren en iemand een bloemetje en 50 euro cadeau doen.”

De laadpas moet wat Hachmang betreft niet te snel afgeschreven worden. „Een pasje, dat klinkt al snel ouderwets, maar het is best een veelzijdig dingetje. Met één pasje van één aanbieder kan je in heel Europa bij iedere paal laden. Dat is best een mooie verdienste van de polder. Je legt zo’n pas in je auto, hij is snel en makkelijk in het gebruik. Je kan hem meegeven aan je kinderen, hij doet het in de regen, ook als je mobieltje kapot is. De kosten van extra beveiliging of pinterminals bij laadpalen zullen uiteindelijk toch weer bij de consument terechtkomen, en het is maar de vraag of je dat wil.”