Challenger-Banken

Vom Revolut-Hack, der keiner war – und von Phishing-Attacken, die alle treffen können

Revolut-Icon auf Smartphone-Bildschirm
Bild: NejauPhoto | Getty Images

Was Revolut zur aktuellen Phishing-Welle sagt, Gedanken zur Sicherheit im Allgemeinen, wie Revolut-Kunden entschädigt werden und welche Fragen noch unbeantwortet sind.

Die aktuelle Debatte um die Sicherheit von Challenger-Banken ist Mitte letzter Woche durch einen Bericht im Tages-Anzeiger (Paywall) ausgelöst worden, der den Fall eines um 30'000 Franken betrogenen Revolut-Kunden nachgezeichnet hat.

Dieser Kunde, Chef einer IT-Beratungs-Firma, war aufgrund seiner Fachkenntnisse und seiner hohen Affinität in Sicherheitsfragen davon überzeugt, dass die Schwachstelle beim Finanzdienstleister liegen müsse. Das ist nach aktueller Faktenlage offensichtlich nicht der Fall.

Haben Challenger-Banken ein systemisches Sicherheitsproblem?

In einem Artikel der NZZ zwei Tage später hat der Autor, gestützt auf die Angaben desselben Betrugsopfers und weiterer inzwischen bekannter Fälle, die berechtigte Frage gestellt:

"Verzerren die öffentlichen Beschwerden derzeit das Bild von den jungen Finanzdienstleistern – oder haben sie ein systemisches Sicherheitsproblem?"

Parallel dazu sind die Wogen in weiteren Medien und auch in Social Medias hochgegangen – zumal sich weitere Betrugsopfer in der Schweiz und in Deutschland gemeldet haben. 

Dabei ist von verschiedenen Seiten insinuiert worden, dass Revolut im Besonderen und Challenger-Banken im Allgemeinen ein Sicherheitsproblem haben könnten. Im Falle der NZZ in sachlicher Frageform, in anderen Fällen teilweise ohne Fragzeichen und in der Nähe von erhärteten Tatsachen.

Sicherheit als ständiges Thema – für alle Banken und Finanzdienstleister

Haben also Challenger-Banken ein Sicherheitsproblem? Das könnten sie tatsächlich haben – heute und auch in Zukunft – so wie traditionelle Banken, so wie andere Dienstleister auch. Die "Industrie" und die weit verzweigte Szene der Cyberkriminellen arbeitet heute in einer Grösse, mit einer Kraft und mit technologischen Möglichkeiten, welche das Thema Sicherheit zu einer ständigen und vor allem sehr anspruchsvollen Aufgabe machen.

Deshalb verdient jeder Betrugsfall und jede Betrugswelle besondere Aufmerksamkeit, um über gesicherte Fakten abzubilden, wo Sicherheitslücken und Risiken bestehen. Zumal, wie zahlreiche Medien richtigerweise festgestellt haben, Betrugsfälle bei Banken und insbesondere bei Challenger-Banken zu erheblichen Imageschäden und Reputationsverlusten führen können. Aus der Hüfte geschossene Vermutungen führen nicht weiter und Hysterie verstellt den Blick für die Fakten, aus denen möglicherweis Learnings gezogen werden können, die alle Beteiligten weiterbringen.

Wir haben bereits Ende letzter Woche in unserem Artikel "Was ist dran am Revolut-Hack mit betrogenen Kunden?" versucht, bisher bekannte Fakten von Vermutungen zu trennen und einige offene Fragen zu benennen. Diese Fragen sind nicht lückenlos beantwortet, aber die wesentlichen Fakten sind inzwischen bekannt.

Kein Revolut-Hack, "nur" eine erfolgreiche Phishing-Attacke

Ein gehacktes Bankensystem ist der erklärte Super-GAU für eine Bank. Dieses Szenario hat nicht stattgefunden, die Challenger-Bank ist nicht gehackt worden, die Betrüger haben den Weg über die Kunden gewählt. Über verschickte SMS im Look der Smartphone-Bank sind Kunden aufgefordert worden, ihr Revolut-Konto zu verifizieren. Mit dem Klick auf den Link in der SMS haben die Opfer dann nicht in ihr Konto verifiziert, sondern unwissentlich die Zugangsdaten zu ihrem Revolut-Konto an die Betrüger ausgeliefert.

Ab diesem Punkt stehen alle Türen offen – was im Normalfall nur der Kunde tun kann, können jetzt mit den Zugangsdaten zum Konto auch die Betrüger: Sie buchen Geld ab und überweisen Beträge auf eigene Konten und in Kanäle, deren Spuren sich in der Regel verlieren.

Diese Phishing-Betrugsmasche ist ein Klassiker. Eine Masche, die nicht nur Bankkunden trifft, sondern auch PayPal-Kunden, Kreditkarten-Inhaber, Google-Nutzer, Facebook-User und zahlreiche andere Konsumenten mit irgendeinem Account, der für Betrüger von Nutzen sein kann. Das ist auch der Grund, weshalb sämtliche Anbieter regelmässig vor Phishing-Versuchen warnen, die in letzter Zeit in Form und Anlage an Raffinesse und betrügerischer Professionalität zugelegt haben.

Inzwischen haben mehrere Geschädigte die Informationen von Revolut bestätigt und angegeben, dass sie auf die aktuelle Phishing-Welle reingefallen sind und ihr Konto mit einem fatalen Klick und in gutem Glauben für die Betrüger geöffnet haben. 

Was Revolut zu den aktuellen Betrugs-Fällen sagt

Wir haben bei Revolut nachgefragt. Gegenüber unserer Redaktion haben die Verantwortlichen von Revolut besonderen Wert auf die Feststellung gelegt, dass die Revolut-Sicherheitskontrollen zu keiner Zeit inaktiv gewesen oder verletzt worden wären. Die Kernaussage:

Leider ist eine sehr kleine Anzahl von Kunden dem Phishing-Betrug zum Opfer gefallen, indem sie ihre Kontoinformationen angegeben haben

Der Sprecher von Revolut führt zum Thema der Sicherheitskontrollen weiter aus:

"Unsere Sicherheitssysteme haben auf einer kleinen Anzahl von Revolut-Konten unregelmässige Aktivitäten festgestellt, nachdem einige Kunden unwissentlich auf einen Phishing-Betrug reagiert hatten. Wir haben schnell reagiert, indem wir Konten gesperrt und Warnungen ausgegeben haben. Wir sind uns jedoch bewusst, dass eine begrenzte Anzahl von Kunden aufgrund dieses Betrugs Geld verloren haben."

Wer steht für den entstandenen Schaden gerade?

Die Verantwortlichen von Revolut betonen, dass der Schutz vor Betrug, technologisch und mit direkten Informationen an Kunden, für die Challenger-Bank ein Thema mit oberster Priorität wäre. Und ist das Unheil dennoch angerichtet, will die Bank geschädigte Kunden nicht im Regel stehen lassen und verspricht:

Wir erstatten allen Kunden, die Opfer dieses raffinierten Betrugs sind, die volle Rückerstattung und wir werden diese Rückerstattungen mit hoher Dringlichkeit ausstellen

Im weiteren verweist Revolut einmal mehr auf den Fakt, dass die Bank ihre Kunden niemals per Mail oder SMS auffordern würde, ihre Kontodaten und ihre Zugangsdaten zum Konto anzugeben, auch nicht im Sinne einer Konto-Verifizierung. Bei Unsicherheiten bittet Revolut ihre Kunden, direkt über den In-App-Chat bei der Bank nachfragen.

Die Challenger-Bank hat am 23. August 2019 sämtliche Kunden über die aktuelle Phishing-Welle und das Vorgehen der Betrüger informiert, um Konto-Inhaber zu sensibilisieren.

Sind damit alle Fragen vom Tisch?

Einige Fragen bleiben offen. Alle werden sich nicht beantworten, weil Banken aus nachvollziehbaren Gründen nicht sämtliche Details betrügerischer Transaktionen offenlegen werden.

Hat eine kompromittierte SIM-Karte der betroffenen User bei den Betrugsfällen eine Rolle gespielt? Durch Telkos mit einem Nein beantwortet.

Wenn das Geld der geschädigten Kunden von ihrem Konto auf ein anderes Revolut-Konto transferiert worden ist, haben denn im Bereich KYC-Vorgaben in Bezug auf das vorhandene Konto der Betrüger Mechanismen versagt – oder unterläuft die Raffinesse der Betrüger auch hier gewisse Kontrollen durch nicht erkennbaren Identitäts-Diebstahl?

Warum greifen Betrugserkennungs-Systeme nicht, wenn im Falle des ersten bekannten Opfers von einer hinterlegten Visa-Karte der UBS in schneller Folge sechs Mal jeweils 5'000 Franken auf das Revolut-Konto überwiesen worden sind? Gegenüber dem Tages-Anzeiger (Paywall) wollte sich die UBS nicht zum konkreten Fall äussern, "stellte jedoch grundsätzlich fest, dass das System aus einer Vielzahl von Faktoren automatisiert die Wahrscheinlichkeit eines Betrugs feststellen würde. Bei regelmässigen Transaktionen mit dem gleichen Händler sinke die statistische Betrugswahrschein-lichkeit, und das System reagiere weniger empfindlich."

Diese Antwort ist nachvollziehbar, allerdings wär's sicher von Nutzen, wenn ein System empfindlich genug bleiben würde, um nach der zweiten oder dritten Abbuchung innerhalb von Minuten, weitere Überweisungen erst nach einer Sicherheits-Rückfrage beim betroffenen Kunden freizuschalten.

Wird Revolut den Kundenservice insofern verbessern, als Betrugsopfer die Möglichkeit haben sollten, nicht nur über den Chat, sondern im direkten Gespräch mit Mitarbeitern sofortige Hilfe zu bekommen? Auch diese Frage haben wir Revolut gestellt, die Antwort steht noch aus. Wir werden berichten, wenn Revolut zum Thema Stellung bezieht.