Um die Antwort vorwegzunehmen: Wirklich klar ist im Moment noch nicht allzuviel, das mediale Getöse und die zahlreichen Beiträge in Social Medias lassen Schlüsse zu, viel mehr jedoch noch nicht, Fakten sehen anders aus.
Die Challenger-Bank Revolut hat inzwischen in Europa weit über 6 Millionen Kunden, davon nach aktuellen Angaben um die 110'000 in der Schweiz. Keine Frage, dass die Wogen hochgehen, wenn eine der grossen und erfolgreichen Neo-Banken Opfer eines Hacks geworden ist. Nur, ist sie das?
Eine kurze Zusammenfassung der Ereignisse und ein Versuch, Vermutungen von Fakten zu trennen.
Eine Story mit offenen Fragen
Am Mittwoch hat der Tages-Anzeiger in einer gross aufgemachten Story berichtet, dass ein Schweizer Kunde bei Revolut 30'000 Franken verloren hätte. Unbekannte sollen sich Zugang zu seinem Revolut-Konto verschafft haben, das mit einer Visa-Kreditkarte der UBS hinterlegt ist. Die Betrüger sollen in einem ersten Schritt innerhalb von wenigen Minuten die Revolut-Prepaid-Karte im Konto des Kunden über die hinterlegte Visa-Karte sechs Mal (!) mit jeweils 5'000 Franken aufgeladen haben. Im zweiten Schritt sollen die Betrüger im Revolut-Konto des Kunden die Schweizer Franken in Dirham (Währung der Vereinigten Arabischen Emirate) umgewechselt haben. Danach soll das Geld im dritten Schritt auf ein fremdes Konto geflossen sein, das auf den Namen «Anastasja Mihhailova» lauten würde.
Der geschädigte Kunde, ein IT Sicherheits-Fachmann, ist nach eigenen Aussagen "sensibilisiert im Umgang mit digitalen Medien" und schliesst im Artikel explizit aus, Opfer einer Phishing-Attacke geworden zu sein. Trifft das wirklich zu, rückt als Unterstellung die Challenger-Bank in die Rolle des Opfers eines Hacks.
Die offenen Fragen
Zumindest erstaunlich, wenn ein "sensibilierter IT Sicherheits-Fachmann" bei einer Challenger-Bank eine Kreditkarte mit sehr hoher Limite hinterlegt, um die Debitkarte von Revolut aufzuladen. Damit wird die hinterlegte Karte, unter dem Aspekt der Sicherheit betrachtet, zum potenziellen Selbstbedienungs-Laden, sofern keine Sicherheits-Einstellungen greifen oder aktiviert worden sind. Das wissen auch Nicht-Sicherheits-Experten und wählen risikoarme Alternativen, um ihre Revolut-Karte aufzuladen.
Ebenso erstaunlich, wenn bei einer Visa-Karte der UBS, die über eine hohe Ausgaben-Limite verfügt, in schneller Folge innerhalb von wenigen Minuten sechs Mal 5'000 Franken auf eine Revolut-Karte übertragen werden können, ohne dass eine Betrugsmuster-Erkennung reagiert und Folge-Transaktionen vorsorglich stoppt.
Dasselbe gilt für die Sicherheits-Mechanismen bei Revolut, welche erfahrungsgemäss schon bei weitaus "harmloseren" Transaktionen anschlagen und vor Ausführung rückfragen. Welche der möglichen Sicherheits-Einstellungen der Kunde in seinem Revolut-Konto aktiviert hatte, war dem Artikel nicht zu entnehmen.
Nach Aussagen im Artikel hat der Kunde während einer Autofahrt am Smartphone die laufenden Abbuchungen live mitverfolgen können. Deshalb hätte seine Frau versucht, das Revolut-Konto zu sperren. Allerdings wären fünf Minuten verstrichen, bis das gelungen wäre. Fünf Minuten, welche die Betrüger genutzt hätten, um 30'000 Franken abzuräumen.
Wichtig zu wissen: Jede Revolut-Karte kann übers Smartphone mit einem einzigen Klick gesperrt werden. Das dauert zwei Sekunden, wenn man seine Konto-Oberfläche in der App kennt, höchstens zehn Sekunden, sofern man die Karte und den prominent platzierten Sperren-Link in der einfach gehaltenen Konto-App erst suchen muss. Ist die Karte gesperrt, können keine Abbuchungen erfolgen.
Hack oder Phishing?
Ein Hack im System ist der Super-GAU für eine Bank. Phishing-Attacken sind die inzwischen gewohnten Risiken für User, welche sattsam bekannten Mustern folgen. Eine erfolgreiche Phishing-Attacke ist der Super-GAU für den betroffenen User. Das eine hat jedoch mit dem anderen erstmal nichts zu tun.
Zeitgleich zum Tages-Anzeiger-Artikel sind in Social Medias verschiedene Voten von Revolut-Kunden aufgetaucht, welche vor einer laufenden Phishing-Attacke gewarnt haben, die via SMS versandt folgendermassen daherkommt: