Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Der Markt für Banking-Trojaner wächst und Phishing-Angriffe gegen Smartphone-Nutzer werden perfektioniert. bildmontage: Shutterstock/watson

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Die Smartphone-Bank Revolut wurde nicht gehackt. Aber Kundenkonten mit teils hohen Summen wurden trotzdem leergeräumt. Wie die Angreifer vorgingen und warum Revolut eine Mitschuld trägt, Schritt für Schritt erklärt.



Eine Untergrundindustrie hat es auf Banking-Apps wie Revolut oder N26 abgesehen – oder besser gesagt auf deren Nutzer. Was abstrakt klingt, wurde im August plötzlich real, als eine Phishingwelle über Revolut bzw. ihre Kunden rollte. Über SMS im Namen der Smartphone-Bank wurden Kunden aufgefordert, ihr Revolut-Konto zu verifizieren. Per Klick auf die teils fast perfekt gefälschten Links haben die Opfer aber nicht ihr Bank-Konto bestätigt, sondern ohne es zu merken ihre Zugangsdaten an die Betrüger geschickt.

Bild

Beispiel einer Phishing-SMS: Die Internet-Adressen ändern ständig (hier hat es unter dem Buchstaben «r» einen verdächtigen Punkt).

Der «Tages-Anzeiger» berichtete über acht Fälle, bei denen Schweizer Revolut-Nutzern das Konto leergeräumt wurde (Paywall). watson weiss, dass die Betroffenen zwischenzeitlich zwischen 4500 und 50'000 Franken verloren haben. Bei anderen Medien und Revolut selbst meldeten sich ebenfalls Geprellte. Ein Opfer hat gegenüber watson bestätigt, das Geld rasch zurückerhalten zu haben. Andere wurden nach einigem Hin und Her ebenfalls entschädigt.

Die britische Finanzdienstleisterin, oft als Neo-, Direkt- oder Smartphone-Bank bezeichnet, sprach zuerst von einem «isolierten Einzelfall eines Phishing-Versuchs». Nachdem weitere Opfer ihrem Ärger kundtaten und ihr Geld zurückverlangten, bestätigte eine Firmensprecherin die erfolgreichen Attacken: Eine «beschränkte Zahl» an Kunden habe Geld verloren, hiess es nun. Wie viele Kunden tatsächlich betroffen sind, verrät die Online-Bank mit sieben Millionen Kunden – davon über 100'000 aus der Schweiz – nicht.

Die Angreifer müssen drei Stufen überwinden:

Bild

Die Angreifer müssen die Handy-Nummer des Opfers, den PIN-Code der App sowie den von Revolut per SMS verschickten SMS-Code in ihren Besitz bringen. screenshot: fabian näf

Einige Fragen blieben zunächst unbeantwortet:

Fest steht, dass Online-Banken wie Revolut, Bunq, N26 und wie sie alle heissen täglich Angriffen ausgesetzt sind – wie notabene auch klassische Banken. Wie die Kriminellen im aktuellen Fall vorgingen und warum Revolut eine Mitschuld trägt, versuchen wir im Folgenden Schritt für Schritt zu erklären.

So finden Angreifer ihre Opfer (bzw. deren Handy-Nr.)

Revolut betont, dass man nicht gehackt worden sei. Das ist auch nicht notwendig, sprich die Kriminellen mussten die Sicherheitsmassnahmen der Banking-App nicht aushebeln. Sie wählten den einfacheren Weg über die Nutzer – und Revolut macht den Angreifern das Aufstöbern potenzieller Opfer sowie die eigentliche Phishing-Attacke, also das Abgreifen ihrer Zugangsdaten, zu leicht.

Beispiel einer Phising-SMS: Der Link zur gefälschten Revolut-Webseite sieht unverdächtig aus.

Revolut präsentiert potenzielle Opfer auf dem Silbertablett

Wer die betrügerischen SMS bekommen hat, fragt sich vermutlich, wie die Betrüger an die eigene Mobile-Nummer kamen. Hierzu muss man wissen: Die Revolut-App zeigt automatisch an, welche Kontakte im Adressbuch ebenfalls Revolut nutzen. Für Betrüger ist dies eine Einladung: Sie können durchprobieren, welche zufälligen Handynummern zu einem Revolut-Nutzer gehören. Der «Hacker» generiert hierzu zufällige Handy-Nummern, importiert sie ins Adressbuch und sieht in der Revolut-App unter «Zahlungen», wer davon ein Revolut-Konkto besitzt. Er sieht sogar, wer ein besonders aktiver Nutzer ist – diese sind schwarz markiert.

1. Schritt: Beliebig viele, zufällige Handy-Nummern in Excel generieren

Bild

Mit einer simplen Formel lassen sich beliebig viele, potenzielle Handy-Nummern von z.B. Swisscom-Kunden erstellen. screenshot: fabian näf

2. Schritt: Die Nummern ins Adressbuch importieren und in der Revolut-App schauen, wer ein Konto hat

Bild

Werden zufällig generiert 079er-Nummern ins Adressbuch importiert, zeigt Revolut an, wer davon die App nutzt. Auf diesem Screenshot die ersten beiden Kontakte. screenshot: fabian näf

«Die Angreifer haben vermutlich zufällige Mobile-Nummern generiert und geschaut, wer davon in der App als Revolut-Nutzer erscheint.»

Fabian Näf, Informatiker und Security-Experte

Fabian Näf, Informatiker und Security-Experte, hat watson gezeigt, wie einfach es ist mit Excel tausende, zufällige 079-Nummern zu generieren. Danach lassen sich die Nummern zum Beispiel über https://contacts.google.com ins Adressbuch des Smartphones importieren. «Ich war erstaunt, unter 2000 zufällig generierten Nummern hatte ich bereits 23 Nummern gefunden, welche bei Revolut registriert sind, zwei davon sogar mit Metal-Status (Havy-User). Die Opfer wären also gefunden...»

Bild

Die Revolut-App zeigt besonders lukrative Opfer, die den sogenannten «Metal Plan» haben, schwarz hinterlegt an. screenshot: fabian näf

Theoretisch könnten die Angreifer die Handy-Nummern von Revolut-Nutzern auch im Darknet gekauft haben. Auf dem Schwarzmarkt werden gewaltige Datensätze mit persönlichen Daten von Millionen Menschen gehandelt. Diese Möglichkeit bringt Revolut selbst ins Spiel. Aber warum sollten die Angreifer dies tun, wenn jedermann zufällige Opfer – dank gütiger Mithilfe der Revolut-App – mit geringstem Aufwand selbst finden kann?

So werden Phishing-SMS verschickt

Sind die potenziellen Angriffsziele gefunden (siehe Punkt 1), versenden die Angreifer die Phishing-SMS in Wellen im Namen von Revolut und anderen Online-Banken, um an die Zugangsdaten der Kunden zu gelangen. Man soll sein Konto «verifizieren», heisst es in den Phishing-SMS, die im gleichen Stil und Jargon wie die echten SMS der Online-Banken verfasst sind.

Per Klick auf den Link öffnet sich auf dem Handy eine kopierte Revolut-Webseite, die im Design der App daherkommt. Der Nutzer wird in einem ersten Schritt aufgefordert, seinen App-PIN einzugeben, um das Konto zu bestätigen. Wer dies tut, übermittelt den PIN an den Hacker. Dies allein wäre halb so schlimm, da der Angreifer nun zusätzlich den per SMS geschickten Bestätigungs-Code braucht, um sich anzumelden. Doch auch diese Hürde nehmen die Kriminellen, wie wir gleich sehen werden.

Zwei dieser Kurznachrichten sind von Revolut, eine vom «Hacker»:

Bild

Oben: Die beiden echten Bestätigungs-SMS von Revolut. Unten: Die Phishing-SMS der Betrüger im selben Chat-Verlauf. screenshot: watson user

Tükisch dabei: Die Phishing-SMS hat nicht nur den Absender «Revolut», sie taucht auch im gleichen Chat-Verlauf wie die echte Bestätigungs-SMS von Revolut auf, was den Eindruck verstärkt, dass alle Nachrichten vom gleichen Absender stammen – sprich von Revolut.

IT-Sicherheitsexperte Näf erklärt dies so: «Unsere Smartphones fassen alle SMS vom gleichen Absender in einer Unterhaltung zusammen. Wenn uns nun jemand eine SMS mit der Sender-ID ‹Revolut› sendet, wird das in der selben Unterhaltung angezeigt wie die echten SMS von Revolut. Man hat tatsächlich das Gefühl, die Nachricht stamme von Revolut…»

So schicken die Betrüger SMS mit Absender «Revolut»

Viele Firmen, die uns SMS senden, verwenden als Absender nicht eine Telefonnummer, sondern eine Sender-ID. Das heisst, als Absender wird keine Nummer angezeigt, sondern ein Text wie etwa «Revolut». Die Kriminellen tun nun dasselbe.

Bild

SMS im Namen von Firmen lassen sich mit Web-Tools faken. screenshot: textmagic

Firmen wie Revolut senden Kurznachrichten ohne Absender-Nummer über vertrauenswürdige SMS-Anbieter wie zum Beispiel textmagic.com. Solche seriösen Anbieter prüfen die gewünschte Sender-ID, um Betrug möglichst auszuschliessen. Die Kriminellen greifen auf Anbieter zurück, die weniger seriös kontrollieren.

So werden die Konten geplündert (trotz Zwei-Faktor-Authentifizierung per SMS)

Bild

Der Angreifer richtet bei sich Revolut mit der Handy-Nummer des Opfers ein und wartet, bis der Revolut-Nutzer auf der Phishing-Seite PIN und SMS-Code eingibt. Mit diesen Daten meldet sich der «Hacker» im Account des Opfers an. screenshot: fabian näf

Die Angreifer müssen den PIN-Code für die Revolut-App sowie als zweite Hürde den via SMS geschickten Sicherheits-Code in ihren Besitz bringen. Bei der aktuellen Phishing-Welle gingen sie laut IT-Experte Näf höchstwahrscheinlich wie folgt vor:

  1. «Der Hacker generiert zufällige Handy-Nummern, importiert sie ins Adressbuch und sieht in der Revolut-App, wer davon ein Revolut-Konkto besitzt (siehe Punkt 1).
  2. Er bereitet eine Phishing-Seite vor, die in zwei Schritten funktioniert. Zuerst wird die PIN der Revolut-App abgefragt. Im zweiten Schritt der einmalige SMS-Code.
  3. Er installiert sich Revolut und gibt dabei die Telefonnummer vom Opfer an. Als nächstes braucht er zum Anmelden den PIN und dann den SMS-Code.
  4. Er sendet dem Opfer eine SMS, um es auf die Phishing-Seite zu locken und verwendet dazu die Sender-ID ‹Revolut›, damit seine Nachricht in der SMS-Unterhaltung von Revolut erscheint.
  5. Das Opfer klickt auf den Link in der SMS, um angeblich das Konto zu verifizieren, und gibt auf der Phishing-Seite den PIN ein. Der PIN wird an den Hacker übermittelt.
  6. Der Hacker gibt bei sich den erhaltenen PIN ein, er kommt zum nächsten Schritt und brauch den SMS-Code. Dieser wird in dem Moment von Revolut ans Opfer gesendet.
  7. Der Hacker muss nun das Opfer dazu bringen, auch diesen sechstelligen SMS-Code auf der Phishing-Seite einzugeben.
  8. Das Opfer wird nun auf der Phishing-Seite aufgefordert, den SMS-Code einzugeben. Diesen hat es gerade bekommen, da der Anmelde-Versuch des Hackers das Versenden des SMS-Codes bei Revolut auslöst.
  9. Der Hacker gibt den erhalten SMS-Code bei sich in der App ein und hat somit auf seinem Telefon Revolut fertig installiert und ist mit dem Account des Opfers in der App angemeldet.
  10. Er kann über allenfalls hinterlegte Zahlungsmittel wie Kreditkarten noch mehr Geld auf das Revolut-Konto transferieren und so im schlimmsten Fall auch das Konto der Hausbank des Opfers leerräumen.»

Bei watson haben sich mehrere Leser gemeldet, die in den letzten Wochen betrügerische SMS, mit jeweils unterschiedlichen Phishing-Links, erhalten haben. Ein Opfer hat uns berichtet, dass der Angriff bei ihm wohl wie beschrieben abgelaufen sei.

«Es handelt sich um klassisches Phishing, mit dem Aspekt, dass der Hacker live dabei sein muss, wenn das Opfer die Daten auf der Seite eingibt, da der SMS-Code nur zeitlich eingeschränkt nutzbar ist», sagt IT-Sicherheitsexperte Näf. Dabei ist es egal, ob es sich um Revolut oder eine andere Bank handelt. Wenn der Nutzer dem Angreifer seine Zugangsdaten selbst aushändigt, werden alle Sicherheitsmassnahmen ausser Kraft gesetzt.

Alternative Angriffsmethoden

1. SIM-Tausch-Betrug (Telefonnummer kapern)

SIM-Karte

Betrüger haben es auf die Telefonnummer ihrer Opfer abgesehen, um per SMS verschickte Sicherheits-Codes abzufangen. Bild: Shutterstock

Betrüger können auch versuchen die Telefonnummer des Opfers zu kapern. Gelingt dies, können sie den von Revolut (oder jeder anderen Firma) per SMS geschickten Bestätigungs-Code abfangen und haben die volle Kontrolle über das Konto.

Revolut selbst ging zunächst davon aus, dass die Angreifer eine zweite SIM-Karte für sich im Namen des Opfers angefordert hatten, um so den SMS-Code zu bekommen (SIM Swap). Deshalb auch die anfängliche Schuldzuweisung von Revolut an Swisscom, die der Schweizer Telekomprovider umgehend zurückwies.

Dass Revolut von einem SIM-Tausch-Betrug ausging, ist plausibel. Der sogenannte SIM-Swap ist bei Betrügern verbreitet. Vor wenigen Tagen wurde etwa das Twitter-Profil des Twitter-CEO auf diese Weise von Unbekannten übernommen. Beim SIM-Swap sammeln die Betrüger zunächst persönliche Informationen des Opfers, wie E-Mail, Telefonnummer oder die Postadresse, die teils frei im Netz verfügbar sind oder im Darknet gekauft werden. Solche Datensätze stammen meist aus früheren Datenlecks bei Firmen, die nun auf dem Schwarzmarkt gehandelt werden.

Revolut erklärt den SIM-Swap-Betrug so:

«Sobald der Betrüger über genügend Informationen verfügt, kontaktiert er Ihren Mobilfunkanbieter und gibt sich als Sie aus. Er wird Ihren Provider dazu bringen, einen SIM-Kartentausch einzuleiten, bei dem Ihre aktuelle SIM-Karte deaktiviert und Ihre Nummer auf eine neue, in seinem Besitz befindliche SIM-Karte übertragen wird. Das Ergebnis? Alle Anrufe und SMS an Sie werden stattdessen an den Betrüger weitergeleitet.»

Alternativ wäre auch denkbar, dass Kriminelle für den betrügerischen SIM-Karten-Austausch schlecht bezahlte Kundendienst-Mitarbeiter von Telekomfirmen bestechen.

Bei der letzten Phishing-Welle gegen Revolut und andere Online-Banken ist der SIM-Tausch-Betrug eher unwahrscheinlich: «Ich glaube nicht, dass das passiert ist», sagt IT-Experte Näf. «Weshalb der ganze Aufwand, wenn's auch einfacher geht?»

2. E-Banking-Trojaner

smartphone hacker

Mit dem Boom von Banking-Apps verlagern sich die Angriffe vom PC auf das Smartphone.

In der Schweiz war in den letzten Jahren vor allem der E-Banking-Trojaner ReTeFe aktiv, der es auf das E-Banking klassischer Banken abgesehen hat und primär Windows- und vereinzelt Mac-User befällt. Mit Revolut, N26 und weiteren Smartphone-Banken wächst im Darknet der Schwarzmarkt für Banking-Trojaner, was wiederum deren Entwicklung befeuert. Phishing-Angriffe gegen Smartphone-Nutzer werden entsprechend weiter perfektioniert.

Die Gefahr steigt, dass man Opfer eines ausgeklügelten Banking-Trojaners wird. Im Mai berichtete das Tech-Portal ZDNet, dass der Banking-Trojaner GUSTUFF für Android-Geräte die Zugangsdaten von Revolut und anderen Apps wie PayPal abgreifen kann. GUSTUFF «kann Apps öffnen, Anmeldeinformationen und Transaktionsdetails eingeben und Geldüberweisungen selbstständig genehmigen», schreibt das Techportal. Der Trojaner kann auch Push-Nachrichten aufs Handy senden, die wie Push-Benachrichtigungen von Revolut oder einer beliebigen anderen App aussehen. Klickt man darauf, öffnet sich eine Webseite, auf der man sein Passwort oder den PIN eingeben soll...

Meist aber fangen Banking-Trojaner die Benutzerdaten mit unsichtbaren Eingabefeldern ab, die über die originalen Anmeldefelder der Banking-Apps platziert werden. Manche Trojaner können auch eingehende SMS überwachen und so den zusätzlich notwendigen SMS-Code abfangen und an die Betrüger übermitteln.

Die Angreifer verschicken bei dieser Angriffsmethode Spam-SMS, in denen sie sich als Revolut oder x-beliebige Firma ausgeben und die Nutzer auffordern, auf einen Link zu klicken. Dieser führt zu einer gefälschten Firmenwebseite mit einem Download-Button, über den man vorgeblich ein App-Update installieren soll. Hinter dem Download verbirgt sich allerdings die Schadsoftware, über die die Angreifer Aktivitäten auf dem Handy auslesen oder, im Fall des besonders raffinierten Trojaners GUSTUFF, automatisiert Konten plündern.

Ein gängiger Trick der Angreifer ist zudem, populäre Apps (vor allem Spiele) nachzubauen und solche infizierten Fake-Apps in den App-Stores zu platzieren. Auch wenn die App-Store-Betreiber Apps auf Schadsoftware scannen, eine 100-prozentige Sicherheit gibt es nie.

Für Banking-Trojaner gibt es eine Untergrund-Industrie, die ihre Schadsoftware im Abonnement an andere Kriminelle, sprich die Phishing-Betrüger, verkauft. Das Perfide daran: «Jedes Mal, wenn die IT-Abteilungen der Banken ihre Sicherheitsvorkehrungen verbessern, profitieren auch die Malware-Entwickler. Für sie sind die Updates eine potenzielle Einnahmequelle, da sie eine neue Generation von Trojanern verkaufen können», schreibt das Wirtschaftsportal Business Insider.

Was Revolut sicherer machen würde

Dass es wirklich einen Hack bei Revolut gab oder dass jemand die Sicherheitsmassnahmen der App ausgehebelt hat, ist unwahrscheinlich.

Was aber sehr unschön ist:

  1. Wie leicht jedermann zu den Revolut-Kontakten kommt, die für gezieltes Phishing genutzt werden können (siehe Abschnitt 1). «Ich möchte nicht, dass jeder, der meine Handy-Nummer kennt oder sie zufällig generiert hat, sehen kann, dass ich Revolut verwende (inklusive Foto) und auch nicht, dass ich den Metal Plan habe und somit als besonders gutes Opfer in Frage komme», sagt der Schweizer IT-Experte Näf.

    Auch andere Revolut-Nutzer stören sich seit langem an dieser aus Datenschutz- und Sicherheitssicht fragwürdigen Praxis, wie ein Blick in Community-Foren von Revolut zeigt. Revolut könnte gezielte Phishing-Angriffe erschweren, indem andere Nutzer standardmässig nur sehen können, dass man Revolut nutzt, wenn man sie selbst auch in der Kontaktliste hat.
  2. Das Phishing wird dadurch erleichtert, dass die Revolut-App auf einem anderen Gerät problemlos neu eingerichtet werden kann. Dass die Kontrolle eines Ausweises nur bei der Kontoeröffnung bzw. der ersten Installation notwendig ist, mag bequem und nutzerfreundlich sein, senkt aber die Sicherheit. Revolut könnte die Hürde für Angreifer erhöhen, indem bei jeder Neuinstallation der App erneut der Ausweis kontrolliert oder ein Kontroll-Telefonat geführt würde, schlägt Näf vor. Dies würde den Aufwand für Revolut erhöhen und widerspricht dem Prinzip der Smartphone-Banken, möglichst bequem nutzbar zu sein.
  3. Das Anmelden per SMS-Code ist bequem, aber eben aus mehreren Gründen (Phishing, SIM-Karten-Betrug) nicht zu 100 Prozent sicher. Firmen, die mehr Wert auf Sicherheit legen, nutzen daher Alternativen wie beispielsweise Authenticator-Apps. Diese generieren direkt auf dem Smartphone nur wenige Sekunden gültige Einmal-Codes. Die höchste Sicherheit bieten Anmeldeverfahren mit einem separaten, persönlichen Gerät. Weil das zusätzliche Gerät offline ist, bietet es eine kleinere Angriffsfläche. Doch auch dies erhöht den Aufwand und widerspricht dem Prinzip der Smartphone-Banken, möglichst bequem nutzbar zu sein.

Das sagen die Opfer

Bei den Opfern sitzt der Frust tief und das liegt primär am offenbar heillos überlasteten Kundendienst der Smartphone-Bank. Geschädigte warteten laut Eigenaussage teils Wochen auf eine Rückerstattung. «Das ist unglaublich frustrierend», sagt ein Betrugsopfer zu watson. «Bis die Medien sich einmischten, gab es von Revolut kein Eingeständnis des Betrugs, kein Wort über Entschädigung, nichts.» Die langsame Reaktionszeit des Kundenservice deute darauf hin, dass es ein viel grösseres Problem gebe, als Revolut zugibt.

«Seit Wochen chatte ich fast täglich mit Revolut», sagte ein anderes Schweizer Opfer gegenüber blick.ch. Dabei hat man immer wieder mit anderen Kundendienst-Mitarbeitern zu tun, die den genauen Fall kaum kennen und keine konkreten Antworten geben können.

Im Netz veröffentlichen wütende und frustrierte Revolut-Nutzer auch Chat-Gespräche mit dem Kundendienst, die beweisen sollen, dass sie von der Smartphone-Bank über Wochen hingehalten werden.

Klar ist: Wie klassische Banken seit Jahren kämpfen nun auch Smartphone-Banken permanent mit Phishing-Angriffen und Betrugsfällen. Deutsche Medien berichteten bereits im März über Kunden des deutschen Revolut-Pendants N26, denen mehrere tausend Euro von ihren Konten entwendet wurden.

Der Unterschied: Kommt ein Kunde zu Schaden, kann er sich bei seiner Hausbank telefonisch an den Kundenberater wenden, der ihm in der Regel versichern wird, dass er sein Geld wieder bekommt. Denn keine Bank kann sich den Image-Schaden leisten, wenn Betrugsopfer in den (sozialen) Medien über ihren Verlust erzählen. Online-Banken sind günstiger, dafür ist auch der Kundendienst schlechter. Geschädigte müssen in erster Linie auf die Chat-Funktion in den jeweiligen Apps zurückgreifen. Für normale Auskünfte ist der Chat ausreichend, in einem echten Notfall aber nicht. Da die Opfer über den Chat keine konkreten Antworten erhielten, gingen sie an die Öffentlichkeit.

Revolut hat nun auf die harte Tour erlebt, was es heisst, beim Kundendienst zu sparen. Die gleiche Lektion erlebte der deutsche Rivale N26 vor einigen Monaten. Kurz: Die Online-Banken müssen beim Kundendienst zulegen, um eine echte Alternative zu klassischen Banken zu werden.

So reagiert Revolut

Revolut übt sich in Schadensbegrenzung und hat eine Woche nach den negativen Medienberichten angekündigt, den Kundendienst massiv auszubauen. In Porto soll dafür laut «Financial Times» (Paywall) ein neues Zentrum mit 400 Angestellten entstehen. Ein Eingeständnis, dass der Kundendienst mit dem rasanten Kundenwachstum nicht schritthalten konnte.

Nach dem ersten Artikel des «Tages-Anzeigers» über ein Schweizer Betrugsopfer sprach Revolut noch von einem «isolierten Einzelfall». Allerdings hatten sich bei Revolut offenbar schon Wochen zuvor Opfer gemeldet, wie etwa der «Blick» berichtete.

Revolut vertröstete die Opfer teils Wochenlang. Erst als die Medien grossflächig über mehrere Fälle berichteten, zeigte sich die britische Online-Bank gesprächsbereit: «Wir erstatten allen Kunden, die Opfer dieses raffinierten Betrugs sind, die volle Rückerstattung und wir werden diese Rückerstattungen mit hoher Dringlichkeit ausstellen», sagte Revolut gegenüber moneytoday.ch. Mindestens ein Opfer, das Revolut den Betrug innert Minuten melden konnte, bekam sein Geld schnell zurück: «Es gelang ihnen, die Konten zu blockieren, auf die das Geld überwiesen wurde.» Auch die übrigen Opfer, die nicht so schnell reagierten und teils viel Geld verloren haben, wurden inzwischen entschädigt.

Kurz nach der der jüngsten Phishing-Welle hat Revolut in seiner App den Warnhinweis aufgeschaltet, dass das Unternehmen nie mit einer SMS nach dem persönlichen PIN-Code frage. Zudem wurde an die Kunden eine E-Mail mit Warnhinweisen verschickt.

So gross ist das Phising-Problem wirklich

Die deutsche Finanzaufsicht Bafin erhält laut NZZ «verstärkt Beschwerden bezüglich betrügerischer Transaktionen über Direktbank-Konten». Sechs deutsche Volksbanken setzten demnach aus Sorge über Betrug vorübergehend die Überweisungen an Revolut aus.

Neu sind die Phishing-Probleme freilich nicht, sie haben sich mit den Smartphone-Banken nur akzentuiert: Bereits vor zwei Jahren wurden allein mit dem dem E-Banking-Trojaner ReTeFe täglich bis zu 100 Phishing-Angriffe auf Schweizer E-Banking-Lösungen festgestellt. Zwar wird ein Grossteil der Angriffe abgewehrt, aber das beste Abwehrsystem ist nur so gut wie das schwächste Glied – und das ist in aller Regel der Nutzer. Das mussten bereits im Frühjahr Kunden des deutschen Revolut-Pendants N26 erleben, denen laut NZZ ebenfalls mehrere tausend Euro von ihren Konten entwendet wurden.

«Cyberangriffe sind inzwischen das grösste operationelle Risiko für das Finanzsystem», sagte Finma Direktor Mark Branson an der letztjährigen Jahresmedienkonferenz der Eidgenössische Finanzmarktaufsicht. Zwei Drittel der Angriffe auf kritische Infrastrukturen betreffen den Finanzsektor.

Und: Das Risiko steigt mit der zunehmenden Digitalisierung. Mit der wachsenden Nutzung klassischer Banking-Apps und dem Boom neuer Smartphone-Banken werden Angriffe lukrativer und sie verlagern sich vom PC auf Mobiltelefone. Die regelmässigen Phishing-Wellen und die immer ausgeklügelteren Banking-Trojaner unterstreichen mehr als deutlich, dass sich die Angriffe lohnen.

Nutzer von Smartphone-Banken sind vermutlich besonders interessante Phishing-Opfer, da viele dieser User oft Beträge ins Ausland überweisen. Wenn ein Nutzer häufig grössere Summen ins Ausland transferiert, schlägt der automatische Warnmechanismus der Bank vermutlich nicht sofort an, da selbst mehrere Überweisungen nicht zwingend auffällig sind. Hat jemand hingegen ein Konto bei einer klassischen Bank und überweist für gewöhnlich kein Geld ins Ausland, würde die Bank bei ungewöhnlichen Auslandüberweisung höchstwahrscheinlich telefonisch nachfragen, bevor sie den Zahlungsauftrag freigibt.

Darum fallen Internet-affine Revolut-Nutzer auf Phishing herein

«Wir denken immer noch, dass mobile Geräte sehr sicher sind, doch das ist nicht wahr», sagt Zeki Turedi, Technologiestratege der IT-Sicherheitsfirma Crowdstrike gegenüber dem Wirtschaftsportal Business Insider. Im Gegensatz zum Laptop oder Computer fehle beim Smartphone oftmals das Bewusstsein für Sicherheitsrisiken.

Ein Beispiel zur Verdeutlichung: Phishing-E-Mails sind (fast) allseits bekannt, Phishing-SMS ein noch eher jüngeres Phänomen. Viele Menschen sind nicht darauf gefasst, betrügerische SMS-Links zu erhalten. Das spielt den Kriminellen in die Hände.

Bei betrügerischen SMS schöpfen manche Nutzer zudem kaum Verdacht, da die Phishing-SMS von der gleichen Nummer wie die echte Bestätigungs-SMS zu kommen scheint, sprich im gleichen Chat-Verlauf angezeigt wird. Kommt hinzu: Im aktuellen Fall war die Phishing-Webseite bzw. der Phishing-Prozess offenbar so gut gestaltet, «dass man den Eindruck hatte in der echten App zu sein», wie ein Opfer sagt.

Je mehr Nutzer Smartphone-Banken haben, desto mehr lohnen sich aufwändige, raffinierte Angriffe. Und da die potenziellen Opfer schlechte Phishing-Versuche inzwischen durchschauen, werden die Attacken immer gerissener. Anders gesagt: Es kann heute ganz einfach jeden treffen. Hat man beispielsweise gerade das Smartphone gewechselt und bekommt nun eine SMS von Revolut, die zur Bestätigung des Kontos auffordert, dürfte dies für viele ziemlich plausibel klingen.

Fazit

«Verzerren die öffentlichen Beschwerden derzeit das Bild von den jungen Finanzdienstleistern – oder haben sie ein systemisches Sicherheitsproblem?», fragt die NZZ. Eine berechtigte Frage, die sich nicht so einfach beantworten lässt. Klar ist: Phishing ist kein spezifisches Problem von schnell wachsenden Smartphone-Banken wie Revolut, Transferwise, N26, Neon oder Zak. Es kann von A wie Apple bis Z wie Zalando alle Akteure im Internet treffen – auch klassische Banken, PayPal oder soziale Netzwerke.

Klar ist aber auch: Je mehr Menschen auf dem Handy Finanz-Apps nutzen, desto attraktiver werden Angriffe. Revolut hat laut Eigenaussage sieben Millionen Nutzer, N26 kommt auf 3,5 Millionen. Oder anders gesagt: Der Markt für Banking-Trojaner wächst und stetig verbesserte Phishing-Angriffe gegen Smartphone-Nutzer werden uns noch lange beschäftigen.

«Die ‹Industrie› und die weit verzweigte Szene der Cyberkriminellen arbeitet heute in einer Grösse, mit einer Kraft und mit technologischen Möglichkeiten, welche das Thema Sicherheit zu einer ständigen und vor allem sehr anspruchsvollen Aufgabe machen.»

moneytoday.ch

Daher müssen Revolut und Co. handeln und die Sicherheit laufend verstärken – auch wenn dies bedeuten kann, dass die Nutzung der Banking-App umständlicher wird. Das Problem: Das Geschäftsmodell der jungen Online-Banken sieht Wachstum auf Teufel komm raus vor. Zusätzliche Sicherheitshürden, die Online-Transaktionen für den Nutzer sicherer, aber auch weniger bequem machen, stehen da Quer in der Landschaft. 3-D Secure etwa, das die Sicherheit bei Kreditkarten-Bezahlungen im Internet erhöht, hat Revolut erst in den letzten Wochen schrittweise eingeführt. Nicht ganz freiwillig. Eine neue EU-Richtlinie schreibt Banken ab Mitte September zusätzliche Sicherheitsverfahren vor, die Kunden in der EU bei Geldgeschäften besser vor Gefahren im Internet schützen sollen.

Der Zielkonflikt zwischen Bequemlichkeit und Sicherheit betrifft grundsätzlich alle Banken. Sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Anmelde-Prozesse via App und SMS setzen. «Diesen Trend, der User Experience über Sicherheit stellt, haben insbesondere digitale Finanzunternehmen, FinTechs, zu verantworten», sagte E-Banking-Experte Vincent Haupert im Interview mit Vice. Haupert hat in der Vergangenheit schon mehrmals Banken geknackt.

Die Zukunft muss zeigen, ob Banken im Netz den Spagat zwischen Nutzerfreundlichkeit und Sicherheit finden. So oder so gilt: «Appsolute» Sicherheit wird es, wie immer im Leben, nicht geben. «Wenn der User schlussendlich seine Informationen an den Hacker raus gibt, hat dieser freie Hand», sagt Näf.

DANKE FÜR DIE ♥
Würdest du gerne watson und Journalismus unterstützen? Mehr erfahren
(Du wirst umgeleitet um die Zahlung abzuschliessen)
5 CHF
15 CHF
25 CHF
Anderer
Oder unterstütze uns per Banküberweisung.

2023 möchte Schweden das erste Land ohne Bargeld sein

Das könnte dich auch noch interessieren:

Abonniere unseren Newsletter

Nase voll von WhatsApp? So löschst du die Messenger-App RICHTIG

Möchtest du von WhatsApp zu Signal oder Threema wechseln? Einfach WhatsApp auf dem iPhone oder Android-Handy löschen und die neue Messenger-App installieren, reicht nicht. So geht's richtig.

WhatsApp ändert mal wieder seine Nutzungsbedingungen. In einer Pop-up-Meldung weist die Messenger-App, die zu Facebook gehört, auf ihre aktualisierte Datenschutzrichtlinie hin. Für User in der Schweiz ändert sich mit den neuen AGB, die derzeit viele Menschen verunsichern, vordergründig nur wenig. Facebook erhält zwar gewisse WhatsApp-Nutzerdaten, darf diese bei uns aber nicht für seine personalisierten Anzeigen nutzen. Diese Regelung gibt es schon länger. Stossend ist somit primär, dass …

Artikel lesen
Link zum Artikel