Update: 30’000 Franken per Revolut erbeutet – warum keine Panik angebracht ist

Nachdem weitere Informationen bekannt geworden sind wurde dieser Artikel aktualisiert. Alle neuen Erkenntnisse gibt es weiter unten im Artikel. 

Laut einem Bericht von 20 minuten wurde einem Schweizer dank der Banking App Revolut innerhalb kürzester Zeit 30’000 Franken gestohlen. Was genau passiert sein soll und warum wir jetzt nicht panisch unsere Konten kündigen, lest Ihr hier.

Wie die Geschichte dargestellt wird

Die Geschichte liest sich zunächst sehr interessant: der betroffene User hat seine UBS-Kreditkarte mit seinem Revolut-Konto verknüpft und nutzt diese für nicht näher angegebene Gründe. Eines Tages meldet die App der UBS Buchungen in Höhe von 5’000 Franken mit denen das Konto bei der Onlinebank aufgeladen wurde. Die Frau des Betroffenen versucht also das Konto zu sperren, in der Zwischenzeit gingen aber weitere 5 Zahlungen in gleicher Höhe über das Konto ein. 30’000 Franken waren in der Zwischenzeit aufgeladen worden. Danach soll das Geld in eine Arabische Währung umgetauscht und dann auf ein Konto übertragen worden sein.

Der Kunde stellt sich selbst als IT-Sicherheitsexperte dar und ist sich deshalb sicher, dass seine Daten nicht dank Phishing erschlichen wurden. Was Ihn besonders verwundert ist, dass seine Revolut-Kreditkarte ein Monatslimit von 15’000 Franken aufweist, die Überweisung aber in Höhe von 30’000 Franken abgewickelt wurde. Dazu sei er überrascht, dass das Warnsystem von Revolut nicht ausgelöst worden sei nachdem diese Zahlungen durchgeführt wurden. Auf den Hinweis der Online-Bank er könne Anzeige im Vereinigten Königreich, dem offiziellen Standort der Bank, erstatten reagiert der Betroffene laut Medienberichten ablehnend, da es aus seiner Sicht keine ausreichenden Verdachtsmomente und Anhaltspunkte gäbe. Soweit die Darstellung in der Stellungnahme gegenüber der Presse.

Warum die Geschichte nicht ganz schlüssig erscheint

An dieser Geschichte gibt es einige Punkte die bei uns im Team sowie in den sozialen Medien für Verwunderung gesorgt haben. So geht es beim Weg wie der Kunde von den Zahlungen erfahren habe los: Jede Aufladung, als sogenanntes Top-up, löst eine Benachrichtigung in der App aus – ausser man hat diese deaktiviert. Als zweiten Punkt irritiert, dass der Geschädigte die Schuld zum Zulassen der Aufladungen allein bei Revolut sieht. Der Umstand, dass die Systeme auch bei der UBS die Aufladung von 30’000 Franken innerhalb kürzester Zeit nicht als verwunderlich angesehen hat, spricht hier gegen ein Fehlverhalten seitens der Systeme von Revolut. Der kurioseste Punkt ist aber das Ansprechen des Limits der Kreditkarte: die 15’000 Franken sind das Limit der Kreditkarte, gilt nicht aber für Überweisungen. Wer also Überweisungen tätigen möchte, kann dies in beliebiger Höhe tun.

Abgesehen von diesem scheinbaren Unverständnis des genutzten Finanzprodukts kommt auch die Reaktion auf den Hinweis zur Verfolgung innerhalb des Vereinigten Königreichs dazu: die Bank hat den Standort dort und deshalb muss auch die Verfolgung einer Straftat dort beginnen. Auch sind mit dem Empfängerkonto, auf welches die Gelder geflossen sind, auch genug Anhaltspunkte zum Betrug auffindbar. Warum der Betroffene nun also lieber zur Presse geht, anstatt eine Rückgabe der Kreditkarten-Zahlung bei der UBS zu beantragen und Anzeige in UK zu erstatten ist sehr verwunderlich.

Schweizer Phishing-Welle vor einigen Wochen

Vor einigen Wochen gab es bereits eine Welle an SMS die scheinbar von Revolut verschickt wurden. Bei einer SMS aber einen beliebigen Absender anzugeben ist nicht sonderlich schwer, weshalb man davon ausgeben kann die Nachrichten würden von einem Betrüger stammen. Die SMS enthalten einen Link der scheinbar zur Revolut-Website und einer Login-Seite führt. Doch Revolut bietet keine Möglichkeit sich über eine Website an seinem Privatkonto anzumelden. Wer hier seine Daten angibt wurde auf die reale Startseite von Revolut bzw. in die App weitergeleitet – so könnten die Betrüger Teile der Zugangsdaten des Betroffenen erhalten haben. Auch hier muss nicht direkt wieder von einem Fehlverhalten Revoluts ausgegangen werden, da Revolut Nachrichten nur per Chat verschickt und die SMS Funktion ausschliesslich für die Übermittlung der TAN nutzt.

Wie die User an die mobil-Nummern von Schweizer Revolut-Usern gekommen sein könnten ist auch denkbar einfach: wer im Telefonbuch des Smartphones alle möglichen Schweizer Mobil-Nummern hinterlegt, bekommt angezeigt wer davon ein Revolut-Konto besitzt. Das ist ein enormer Komfortgewinn, kann aber mit ausreichender krimineller Energie und Unwissenheit bei den Nutzern ausgenutzt werden.

Wie man sich gegen solche Fälle schützen kann

Die klassischen Tricks zum Schutz gegen Betrug gelten auch in diesem Fall: sorgsam mit Zugangsdaten umgehen und den Kreis der Wissenden klein halten. Für das Hinzufügen neuer Empfänger wird von Revolut regelmässig eine SMS-TAN, also eine Bestätigungsnummer ans Telefon geschickt. Auch muss zu jeder Anmeldung entweder der hinterlegte Fingerabdruck verwendet werden, oder es wird eine SMS versandt. Wer also das Smartphone nicht dem Zugriff anderer überlässt kann sich hiermit auch weiter schützen. Das einfachste ist aber ein Tageslimit auf der Kreditkarte, welche das Konto auflädt zu hinterlegen: liegt dieses bei beispielsweise 2’000 Franken, so kann auch per Revolut nicht mehr als das aufgeladen werden. Dieses Limit kann jeder User individuell für sich festlegen und damit seine gewöhnlichen täglichen Nutzungen abdecken. Sollten grössere Zahlungen fällig werden kann die Herausgeberin der Kreditkarte auch das Limit entsprechend erhöhen. Wer besonders sicher gehen will kann die Kreditkarte zur Aufladung auch einfach wieder “löschen”, dann ist keine Aufladung ohne weitere Authentifizierung möglich. All diese Punkt sprechen dafür, dass wichtige Informationen verschwiegen werden, auch wenn die Gründe dafür unklar sind.

Weitere Erkenntnisse im Fall

Nach und nach werden weitere Details zum Fall bekannt. Zunächst die gute Nachricht: Revolut hat bereits bestätigt, dass die gestohlenen Gelder dem Geschädigten zurückerstattet werden.

Gleich darauf folgen aber einige Fakten, die den ganzen Fall weiter interessant machen: Revolut hat an dieser Stelle nämlich auch bestätigt, dass die Daten mit hoher Wahrscheinlichkeit tatsächlich durch die Phishing-SMS erschlichen wurden. Deshalb sei jedem User der die fragwürdige SMS erhalten hat geraten die Zugangsdaten zur App zu ändern – und das auch nur in der App zu tun. Die grosse Belustigungswelle über den IT-Sicherheitsexperten der IT-Sicherheit nicht versteht wurde nun mit bekanntwerden der Identität des Opfers leicht aufgeklärt und abgemindert: der betroffene Mann ist ein 59-jähriger IT-Berater dessen Firmen Software für Firmenkunden bereitstellt. Das Profil der Unternehmungen die er vertritt lassen keine Rückschlüsse auf eine Bezeichnung als “IT-Sicherheitsfirma” zu, hier scheinen die Presseberichte entweder schlecht recherchiert oder der Betroffene übertrieben zu haben.

Als einen weiteren Schritt weisst Revolut mehr und mehr User darauf hin, dass sie nicht auf SMS antworten oder auf Links in SMS oder E-Mails klicken sollen. Alle Transaktionen und Anmeldungen müssen in der App erfolgen. So kann der hier verwendete Fall von Phishing schnell und einfach verhindert werden.

Fazit zum Revolut-Diebstahl

Wichtig bei solchen Mitteilungen ist es immer Panik zu vermeiden. Die klare Botschaft der Medienberichte lautet: “Nur bei traditionellen Banken ist Euer Geld sicher!“, weshalb klare und wichtige Fakten verschwiegen werden und die Online-Bank in einem schlechteren Licht dargestellt wird. Revolut und andere Direktbanken haben Nachteile gegenüber den Kantonalsbanken und anderen klassischen Finanzinstituten. Viele Schweizer User drohen nun das Konto bei Revolut zu kündigen, wir sehen dem ganzen aber eher gelassen entgegen, da wir Revolut und Co. nur für die passenden, besonderen Anwendungen nutzen, aber auch die Grenzen des Produkts kennen.

Wie geht Ihr mit den Neuigkeiten rund um Revolut um? Wie sind Eure Erfahrungen mit der Online-Bank?