Revolut: Kein Hack sondern Phishing-Raubzug?

30.000 Schweizer Franken verlor ein Revolut-Kunde innerhalb weniger Minuten. Nachdem er an die Öffentlichkeit gegangen war, meldeten sich weitere Geschädigte. Der Fall zeigt exemplarisch die Probleme der Direktbanken auf.

Ausgerechnet der Chef einer IT-Beratung wurde das Opfer von Online-Betrügern. Nach eigener Darstellung musste er am Smartphone hilflos mitverfolgen, wie diese sein Konto bei Revolut leerräumten. Innerhalb weniger Minuten fielen den Kriminellen 30.000 Schweizer Franken in die Hände. Er vermutete zunächst einen Hack seiner Bank.

Später stellte sich heraus: Eine ganze Reihe von Revolut-Kunden hatten per SMS die Nachricht bekommen, sie müssten ihr Konto unter dem angegebenen Link verifizieren. Und tatsächlich waren einige von ihnen auf diese Phishing-Masche hereingefallen. Denn natürlich führte der Link nicht auf die Banking-Website, sondern auf eine täuschend echte Kopie. Wer dort seine Kontodaten und das Passwort eingab, öffnete den Betrügern den Zugang zum Online-Banking.

Hat die Betrugserkennung versagt?

Ob der IT-Berater ebenfalls Opfer dieser Masche geworden war, ist bislang nicht bestätigt, aber doch wahrscheinlich. Dass den Kriminellen eine so hohe Summe in die Hände fiel, lag daran, dass mit dem Revolut-Konto eine Kreditkarte der UBS verknüpft war, die anscheinend kein oder ein sehr hohes Limit hatte. Sechs mal konnten die Betrüger jeweils 5.000 Franken von der Karte auf das Konto transferieren und von dort stehlen. Erst dann gelang es der Frau des Geschädigten, am heimischen PC das Konto zu sperren.

Experten finden es verwunderlich, dass mehrfache hohe Transaktionen im Minutentakt keinen Alarm auf Seiten der UBS auslösten, ebenso nicht bei Revolut. Möglicherweise stuften die Systeme die Transaktionen als unkritisch ein, weil es in der Vergangenheit bereits zahlreiche Überweisungen von der Karte auf das Konto gegeben hatte. Ob ebenfalls in der Größenordnung von 5.000 Franken, ist nicht bekannt. Dass aber solche Summen sechs Mal hintereinander transferiert wurden, ist wohl auszuschließen.

Weitere Auffälligkeiten

Offensichtlich war dem Geschädigten nicht bekannt, dass er direkt aus der App heraus die Revolut-Karte sehr schnell hätte sperren können. Problematisch ist bei vielen Direktbanken in einer solchen Situation der fehlende Telefonsupport, der schnellere Hilfe ermöglicht hätte. In der Regel wird nur Chat angeboten, der teils minutenlang auf sich warten lässt.

Unglücklich war auch die Reaktion von Revolut auf die Vorwürfe des geschädigten Kunden, es müsse ein Hack stattgefunden haben. Die Bank konterte mit der Behauptung, dass wohl eher ein Hack auf die SIM-Card stattgefunden habe. Das konnte der Mobilfunkprovider widerlegen. Kriminellen gelingt es immer wieder, vom Kunden unbemerkt Kopien von SIM-Karten zu bestellen und damit die gesamte SMS-Kommunikation mitzulesen, sehr ergiebig etwa beim Einsatz von SMS-TAN-Verfahren. So waren beispielsweise Twitter-Konten verschiedener VIPs übernommen worden.

Immer wieder steht die Sicherheit von Direktbanken und FinTechs im Zweifel. So hatten im Sommer einige Genossenschaftsbanken die Überweisungen an bestimmte Direktbanken vorübergehend eingestellt, darunter auch Revolut, da es hier häufiger zu Betrugsversuchen gekommen war. Kürzlich hatte auch die Untersuchung von Mobile-Apps für aufsehen gesorgt, der zufolge 98 der Top-100-Unternehmen anfällig für Phishing und Web- sowie Mobile-Apps-Angriffe seien.

Kundenfreundliche Lösung

Inzwischen hat Revolut zugesagt, die entstandenen Schäden schnell und vollständig auszugleichen. Zudem teilte das Unternehmen mit, man habe auf die Meldungen schnell reagiert und einige auffällige Konten von sich aus gesperrt, um weitere Schäden zu vermeiden.

Mit einer Informationskampagne informiert die Bank zudem Kunden über die Phishing-Versuche und gibt Verhaltenshinweise, damit Konteninhaber künftig nicht mehr auf solche Betrugsversuche hereinfallen. hj