Challenger-Banken

Was ist dran am Revolut-Hack mit betrogenen Kunden?

Bildhafte Darstellung für Phishing-Attacke
Bild: BrianAJackson | Getty Images

Nach einem Bericht des Tages-Anzeigers verliert ein Schweizer Revolut-Kunde innerhalb von Minuten 30'000 Franken. Was ist dran an der Story?

Um die Antwort vorwegzunehmen: Wirklich klar ist im Moment noch nicht allzuviel, das mediale Getöse und die zahlreichen Beiträge in Social Medias lassen Schlüsse zu, viel mehr jedoch noch nicht, Fakten sehen anders aus.

Die Challenger-Bank Revolut hat inzwischen in Europa weit über 6 Millionen Kunden, davon nach aktuellen Angaben um die 110'000 in der Schweiz. Keine Frage, dass die Wogen hochgehen, wenn eine der grossen und erfolgreichen Neo-Banken Opfer eines Hacks geworden ist. Nur, ist sie das?

Eine kurze Zusammenfassung der Ereignisse und ein Versuch, Vermutungen von Fakten zu trennen.

Eine Story mit offenen Fragen

Am Mittwoch hat der Tages-Anzeiger in einer gross aufgemachten Story berichtet, dass ein Schweizer Kunde bei Revolut 30'000 Franken verloren hätte. Unbekannte sollen sich Zugang zu seinem Revolut-Konto verschafft haben, das mit einer Visa-Kreditkarte der UBS hinterlegt ist. Die Betrüger sollen in einem ersten Schritt innerhalb von wenigen Minuten die Revolut-Prepaid-Karte im Konto des Kunden über die hinterlegte Visa-Karte sechs Mal (!) mit jeweils 5'000 Franken aufgeladen haben. Im zweiten Schritt sollen die Betrüger im Revolut-Konto des Kunden die Schweizer Franken in Dirham (Währung der Vereinigten Arabischen Emirate) umgewechselt haben. Danach soll das Geld im dritten Schritt auf ein fremdes Konto geflossen sein, das auf den Namen «Anastasja Mihhailova» lauten würde.

Der geschädigte Kunde, ein IT Sicherheits-Fachmann, ist nach eigenen Aussagen "sensibilisiert im Umgang mit digitalen Medien" und schliesst im Artikel explizit aus, Opfer einer Phishing-Attacke geworden zu sein. Trifft das wirklich zu, rückt als Unterstellung die Challenger-Bank in die Rolle des Opfers eines Hacks. 

Die offenen Fragen

Zumindest erstaunlich, wenn ein "sensibilierter IT Sicherheits-Fachmann" bei einer Challenger-Bank eine Kreditkarte mit sehr hoher Limite hinterlegt, um die Debitkarte von Revolut aufzuladen. Damit wird die hinterlegte Karte, unter dem Aspekt der Sicherheit betrachtet, zum potenziellen Selbstbedienungs-Laden, sofern keine Sicherheits-Einstellungen greifen oder aktiviert worden sind. Das wissen auch Nicht-Sicherheits-Experten und wählen risikoarme Alternativen, um ihre Revolut-Karte aufzuladen.

Ebenso erstaunlich, wenn bei einer Visa-Karte der UBS, die über eine hohe Ausgaben-Limite verfügt, in schneller Folge innerhalb von wenigen Minuten sechs Mal 5'000 Franken auf eine Revolut-Karte übertragen werden können, ohne dass eine Betrugsmuster-Erkennung reagiert und Folge-Transaktionen vorsorglich stoppt.

Dasselbe gilt für die Sicherheits-Mechanismen bei Revolut, welche erfahrungsgemäss schon bei weitaus "harmloseren" Transaktionen anschlagen und vor Ausführung rückfragen. Welche der möglichen Sicherheits-Einstellungen der Kunde in seinem Revolut-Konto aktiviert hatte, war dem Artikel nicht zu entnehmen.

Nach Aussagen im Artikel hat der Kunde während einer Autofahrt am Smartphone die laufenden Abbuchungen live mitverfolgen können. Deshalb hätte seine Frau versucht, das Revolut-Konto zu sperren. Allerdings wären fünf Minuten verstrichen, bis das gelungen wäre. Fünf Minuten, welche die Betrüger genutzt hätten, um 30'000 Franken abzuräumen.

Wichtig zu wissen: Jede Revolut-Karte kann übers Smartphone mit einem einzigen Klick gesperrt werden. Das dauert zwei Sekunden, wenn man seine Konto-Oberfläche in der App kennt, höchstens zehn Sekunden, sofern man die Karte und den prominent platzierten Sperren-Link in der einfach gehaltenen Konto-App erst suchen muss. Ist die Karte gesperrt, können keine Abbuchungen erfolgen.

Hack oder Phishing?

Ein Hack im System ist der Super-GAU für eine Bank. Phishing-Attacken sind die inzwischen gewohnten Risiken für User, welche sattsam bekannten Mustern folgen. Eine erfolgreiche Phishing-Attacke ist der Super-GAU für den betroffenen User. Das eine hat jedoch mit dem anderen erstmal nichts zu tun.

Zeitgleich zum Tages-Anzeiger-Artikel sind in Social Medias verschiedene Voten von Revolut-Kunden aufgetaucht, welche vor einer laufenden Phishing-Attacke gewarnt haben, die via SMS versandt folgendermassen daherkommt:

Phishing-Attacke als SMS-Mitteilung
Quelle: Twitter

Offenbar sind einige User auf die SMS reingefallen und haben über den Link ihr Konto "verifiziert". Diese Masche ist ein Klassiker. Keine Bank verschickt solche SMS an Kunden und User, die ihr Konto längst verifiziert haben. Wer klickt, tappt in die Falle und liefert seine Zugangsdaten zum Revolut-Konto an die Betrüger aus. Das ist kein Hack, das Opfer öffnet die Türen gutgläubig selbst.

Die Rolle der Medien

Die aufsehenerregende Geschichte ist von zahlreichen Medien übernommen worden, welche sich durchwegs auf die Story im Tages-Anzeiger gestützt haben. Je nach Medium und Temperament der Schreiber sind die Berichte sachlich mit Fragezeichen ausgefallen, zuweilen auch eher unreflektiert mit unterschwelligem Approach, dass da nun eine übermütige Challenger-Bank mit zu schnellem Wachstum und zu viel Erfolg den absehbaren (oder wohlverdienten?) Super-GAU kassiert hätte. Zwischen Hack (Angriff auf die Bank) und Phishing (Angriff auf den Kunden) wird oftmals gar nicht oder verschwommen marginal unterschieden.

Die Rolle der Social Medias

Dass die Wogen in den Socia Medias hochgehen, erstaunt nicht. Die teilnehmenden User lassen sich grob drei Lagern zuordnen:

Die Sachlichen, Interessierten und Besorgten, die sich eher neutral Gedanken machen, wie so etwas passieren kann und aus ihrer Sicht und mit ihrer Erfahrung Diskussions-Beiträge zu den möglichen Hintergründen der Ereignisse leisten.

Die Hämischen, die (sinngemäss im Potpourri zusammengefasst) das alles immer schon kommen sahen, eigentlich bei Revolut einsteigen wollten, jetzt aber für alle Zeiten Abstand nehmen vom brandgefährlichen Vorhaben. Ist ja klar, dass "Zero Cost-Angebote ganz schön ins Auge gehen können", wen wundert's. Man wusste immer schon, dass da etwas faul ist, aber es wollte ja keiner hören, nun hat man den Salat. Nie wieder Revolut.

Die Misstrauischen, die in die Runde fragen, ob es sich bei der Geschichte um einen PR-Stunt handeln könnte und ihre Vermutung konkretisieren im Sinne von: Schiesst Tamedia gegen Revolut, um die Konkurrenz kleinzureden und ihr eigenes Investment-Startup Neon zu pushen? (Anmerkung der Redaktion: Davon gehen wir nicht aus, weil im Hause Tamedia (wie in anderen Verlagshäusern auch) Redaktion und Management getrennt operieren und kein ernstzunehmender Journalist sich für einen derartigen "Schlungg" hergeben würde.)

Die Rolle von Revolut

Revolut ist in der Vergangenheit dadurch aufgefallen, dass über Pannen oder Störfälle umfassend informiert worden ist. Bisher ist zu den aktuellen Ereignissen keine offizielle Stellungnahme erfolgt und es sind auch keine Medienmitteilungen zum Thema verschickt worden.

Medienanfragen werden, wenn überhaupt, dünn und sehr pauschal beantwortet. Auch wir warten noch auf Antworten auf unsere, allerdings erst gestern, gestellten Fragen. Das ist eine (bisher) verpasste Chance – gehen die Wogen hoch, gehören Fakten zum Stand der Dinge und Erkenntnisse auf den Tisch.

Die einzige bisher sichtbare Reaktion, ist ein allgemeiner Blog-Beitrag vom 19. August 2019, der Hinweise zu Phishing- und Betrugs-Attacken zusammenfasst – allerdings ohne Bezug auf einen aktuellen Betrugsfall zu nehmen.

Auch auf die Vorwürfe des im Tages-Anzeiger porträtierten Kunden, dass Erreichbarkeit und Support von Revolut sehr mangelhaft funktionieren und geschädigte Kunden im Stich gelassen würden, hat Revolut bisher nicht reagiert.

Das Schweigen der Verantwortlichen ist irritierend und schafft ein Vertrauens-Vakuum. Nimmt Revolut nicht umgehend Stellung, ein Zwischenbericht mit den bisher gesicherten Fakten genügt schon, werden bis anhin gesammelte Image-Punkte leichtfertig wieder verspielt.

Die Fakten

Bisher ist als Tatsache belegt, dass seit einigen Tagen eine Phishing-Attacke läuft, die Revolut-Kunden über gefälschte SMS dazu bringen will, ihre Zugriffsdaten auf das Konto preiszugeben. Ebenfalls zu den Fakten gehört, dass eine bisher nicht bekannte Zahl von Kunden in diese SMS-Falle getappt ist und damit ihr Konto für Betrüger geöffnet hat.

Das ist die aktuell eher dünne Faktenlage. Wirklich belastbare Informationen, die auf den Super-GAU von gehackten Systemen der Bank hinweisen, gibt's zurzeit nicht. Ob und in welcher Form genau Sicherheitskontrollen auf Seite von Revolut möglicherweise versagt haben, gehört zu den interessanten Fragen, die noch offen sind und dringend beantwortet werden müssen.

Weitere wirkliche Fakten kennt im Moment nur das Management von Revolut. Wir warten, wie andere Medien auch, auf die konkrete Beantwortung unserer Fragen