Digital
Wir verwenden Cookies und Analysetools, um die Nutzerfreundlichkeit der Internetseite zu verbessern und passende Werbung von watson und unseren Werbepartnern anzuzeigen. Weitere Infos findest Du in unserer Datenschutzerklärung.
Bild

Der Markt für Banking-Trojaner wächst und Phishing-Angriffe gegen Smartphone-Nutzer werden perfektioniert. bildmontage: Shutterstock/watson

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Die Smartphone-Bank Revolut wurde nicht gehackt. Aber Kundenkonten mit teils hohen Summen wurden trotzdem leergeräumt. Wie die Angreifer vorgingen und warum Revolut eine Mitschuld trägt, Schritt für Schritt erklärt.



Eine Untergrundindustrie hat es auf Banking-Apps wie Revolut oder N26 abgesehen – oder besser gesagt auf deren Nutzer. Was abstrakt klingt, wurde im August plötzlich real, als eine Phishingwelle über Revolut bzw. ihre Kunden rollte. Über SMS im Namen der Smartphone-Bank wurden Kunden aufgefordert, ihr Revolut-Konto zu verifizieren. Per Klick auf die teils fast perfekt gefälschten Links haben die Opfer aber nicht ihr Bank-Konto bestätigt, sondern ohne es zu merken ihre Zugangsdaten an die Betrüger geschickt.

Bild

Beispiel einer Phishing-SMS: Die Internet-Adressen ändern ständig (hier hat es unter dem Buchstaben «r» einen verdächtigen Punkt).

Der «Tages-Anzeiger» berichtete über acht Fälle, bei denen Schweizer Revolut-Nutzern das Konto leergeräumt wurde (Paywall). watson weiss, dass die Betroffenen zwischenzeitlich zwischen 4500 und 50'000 Franken verloren haben. Bei anderen Medien und Revolut selbst meldeten sich ebenfalls Geprellte. Ein Opfer hat gegenüber watson bestätigt, das Geld rasch zurückerhalten zu haben. Andere wurden nach einigem Hin und Her ebenfalls entschädigt.

Die britische Finanzdienstleisterin, oft als Neo-, Direkt- oder Smartphone-Bank bezeichnet, sprach zuerst von einem «isolierten Einzelfall eines Phishing-Versuchs». Nachdem weitere Opfer ihrem Ärger kundtaten und ihr Geld zurückverlangten, bestätigte eine Firmensprecherin die erfolgreichen Attacken: Eine «beschränkte Zahl» an Kunden habe Geld verloren, hiess es nun. Wie viele Kunden tatsächlich betroffen sind, verrät die Online-Bank mit sieben Millionen Kunden – davon über 100'000 aus der Schweiz – nicht.

Die Angreifer müssen drei Stufen überwinden:

Bild

Die Angreifer müssen die Handy-Nummer des Opfers, den PIN-Code der App sowie den von Revolut per SMS verschickten SMS-Code in ihren Besitz bringen. screenshot: fabian näf

Einige Fragen blieben zunächst unbeantwortet:

Fest steht, dass Online-Banken wie Revolut, Bunq, N26 und wie sie alle heissen täglich Angriffen ausgesetzt sind – wie notabene auch klassische Banken. Wie die Kriminellen im aktuellen Fall vorgingen und warum Revolut eine Mitschuld trägt, versuchen wir im Folgenden Schritt für Schritt zu erklären.

So finden Angreifer ihre Opfer (bzw. deren Handy-Nr.)

Revolut betont, dass man nicht gehackt worden sei. Das ist auch nicht notwendig, sprich die Kriminellen mussten die Sicherheitsmassnahmen der Banking-App nicht aushebeln. Sie wählten den einfacheren Weg über die Nutzer – und Revolut macht den Angreifern das Aufstöbern potenzieller Opfer sowie die eigentliche Phishing-Attacke, also das Abgreifen ihrer Zugangsdaten, zu leicht.

Beispiel einer Phising-SMS: Der Link zur gefälschten Revolut-Webseite sieht unverdächtig aus.

Revolut präsentiert potenzielle Opfer auf dem Silbertablett

Wer die betrügerischen SMS bekommen hat, fragt sich vermutlich, wie die Betrüger an die eigene Mobile-Nummer kamen. Hierzu muss man wissen: Die Revolut-App zeigt automatisch an, welche Kontakte im Adressbuch ebenfalls Revolut nutzen. Für Betrüger ist dies eine Einladung: Sie können durchprobieren, welche zufälligen Handynummern zu einem Revolut-Nutzer gehören. Der «Hacker» generiert hierzu zufällige Handy-Nummern, importiert sie ins Adressbuch und sieht in der Revolut-App unter «Zahlungen», wer davon ein Revolut-Konkto besitzt. Er sieht sogar, wer ein besonders aktiver Nutzer ist – diese sind schwarz markiert.

1. Schritt: Beliebig viele, zufällige Handy-Nummern in Excel generieren

Bild

Mit einer simplen Formel lassen sich beliebig viele, potenzielle Handy-Nummern von z.B. Swisscom-Kunden erstellen. screenshot: fabian näf

2. Schritt: Die Nummern ins Adressbuch importieren und in der Revolut-App schauen, wer ein Konto hat

Bild

Werden zufällig generiert 079er-Nummern ins Adressbuch importiert, zeigt Revolut an, wer davon die App nutzt. Auf diesem Screenshot die ersten beiden Kontakte. screenshot: fabian näf

«Die Angreifer haben vermutlich zufällige Mobile-Nummern generiert und geschaut, wer davon in der App als Revolut-Nutzer erscheint.»

Fabian Näf, Informatiker und Security-Experte

Fabian Näf, Informatiker und Security-Experte, hat watson gezeigt, wie einfach es ist mit Excel tausende, zufällige 079-Nummern zu generieren. Danach lassen sich die Nummern zum Beispiel über https://contacts.google.com ins Adressbuch des Smartphones importieren. «Ich war erstaunt, unter 2000 zufällig generierten Nummern hatte ich bereits 23 Nummern gefunden, welche bei Revolut registriert sind, zwei davon sogar mit Metal-Status (Havy-User). Die Opfer wären also gefunden...»

Bild

Die Revolut-App zeigt besonders lukrative Opfer, die den sogenannten «Metal Plan» haben, schwarz hinterlegt an. screenshot: fabian näf

Theoretisch könnten die Angreifer die Handy-Nummern von Revolut-Nutzern auch im Darknet gekauft haben. Auf dem Schwarzmarkt werden gewaltige Datensätze mit persönlichen Daten von Millionen Menschen gehandelt. Diese Möglichkeit bringt Revolut selbst ins Spiel. Aber warum sollten die Angreifer dies tun, wenn jedermann zufällige Opfer – dank gütiger Mithilfe der Revolut-App – mit geringstem Aufwand selbst finden kann?

So werden Phishing-SMS verschickt

Sind die potenziellen Angriffsziele gefunden (siehe Punkt 1), versenden die Angreifer die Phishing-SMS in Wellen im Namen von Revolut und anderen Online-Banken, um an die Zugangsdaten der Kunden zu gelangen. Man soll sein Konto «verifizieren», heisst es in den Phishing-SMS, die im gleichen Stil und Jargon wie die echten SMS der Online-Banken verfasst sind.

Per Klick auf den Link öffnet sich auf dem Handy eine kopierte Revolut-Webseite, die im Design der App daherkommt. Der Nutzer wird in einem ersten Schritt aufgefordert, seinen App-PIN einzugeben, um das Konto zu bestätigen. Wer dies tut, übermittelt den PIN an den Hacker. Dies allein wäre halb so schlimm, da der Angreifer nun zusätzlich den per SMS geschickten Bestätigungs-Code braucht, um sich anzumelden. Doch auch diese Hürde nehmen die Kriminellen, wie wir gleich sehen werden.

Zwei dieser Kurznachrichten sind von Revolut, eine vom «Hacker»:

Bild

Oben: Die beiden echten Bestätigungs-SMS von Revolut. Unten: Die Phishing-SMS der Betrüger im selben Chat-Verlauf. screenshot: watson user

Tükisch dabei: Die Phishing-SMS hat nicht nur den Absender «Revolut», sie taucht auch im gleichen Chat-Verlauf wie die echte Bestätigungs-SMS von Revolut auf, was den Eindruck verstärkt, dass alle Nachrichten vom gleichen Absender stammen – sprich von Revolut.

IT-Sicherheitsexperte Näf erklärt dies so: «Unsere Smartphones fassen alle SMS vom gleichen Absender in einer Unterhaltung zusammen. Wenn uns nun jemand eine SMS mit der Sender-ID ‹Revolut› sendet, wird das in der selben Unterhaltung angezeigt wie die echten SMS von Revolut. Man hat tatsächlich das Gefühl, die Nachricht stamme von Revolut…»

So schicken die Betrüger SMS mit Absender «Revolut»

Viele Firmen, die uns SMS senden, verwenden als Absender nicht eine Telefonnummer, sondern eine Sender-ID. Das heisst, als Absender wird keine Nummer angezeigt, sondern ein Text wie etwa «Revolut». Die Kriminellen tun nun dasselbe.

Bild

SMS im Namen von Firmen lassen sich mit Web-Tools faken. screenshot: textmagic

Firmen wie Revolut senden Kurznachrichten ohne Absender-Nummer über vertrauenswürdige SMS-Anbieter wie zum Beispiel textmagic.com. Solche seriösen Anbieter prüfen die gewünschte Sender-ID, um Betrug möglichst auszuschliessen. Die Kriminellen greifen auf Anbieter zurück, die weniger seriös kontrollieren.

So werden die Konten geplündert (trotz Zwei-Faktor-Authentifizierung per SMS)

Bild

Der Angreifer richtet bei sich Revolut mit der Handy-Nummer des Opfers ein und wartet, bis der Revolut-Nutzer auf der Phishing-Seite PIN und SMS-Code eingibt. Mit diesen Daten meldet sich der «Hacker» im Account des Opfers an. screenshot: fabian näf

Die Angreifer müssen den PIN-Code für die Revolut-App sowie als zweite Hürde den via SMS geschickten Sicherheits-Code in ihren Besitz bringen. Bei der aktuellen Phishing-Welle gingen sie laut IT-Experte Näf höchstwahrscheinlich wie folgt vor:

  1. «Der Hacker generiert zufällige Handy-Nummern, importiert sie ins Adressbuch und sieht in der Revolut-App, wer davon ein Revolut-Konkto besitzt (siehe Punkt 1).
  2. Er bereitet eine Phishing-Seite vor, die in zwei Schritten funktioniert. Zuerst wird die PIN der Revolut-App abgefragt. Im zweiten Schritt der einmalige SMS-Code.
  3. Er installiert sich Revolut und gibt dabei die Telefonnummer vom Opfer an. Als nächstes braucht er zum Anmelden den PIN und dann den SMS-Code.
  4. Er sendet dem Opfer eine SMS, um es auf die Phishing-Seite zu locken und verwendet dazu die Sender-ID ‹Revolut›, damit seine Nachricht in der SMS-Unterhaltung von Revolut erscheint.
  5. Das Opfer klickt auf den Link in der SMS, um angeblich das Konto zu verifizieren, und gibt auf der Phishing-Seite den PIN ein. Der PIN wird an den Hacker übermittelt.
  6. Der Hacker gibt bei sich den erhaltenen PIN ein, er kommt zum nächsten Schritt und brauch den SMS-Code. Dieser wird in dem Moment von Revolut ans Opfer gesendet.
  7. Der Hacker muss nun das Opfer dazu bringen, auch diesen sechstelligen SMS-Code auf der Phishing-Seite einzugeben.
  8. Das Opfer wird nun auf der Phishing-Seite aufgefordert, den SMS-Code einzugeben. Diesen hat es gerade bekommen, da der Anmelde-Versuch des Hackers das Versenden des SMS-Codes bei Revolut auslöst.
  9. Der Hacker gibt den erhalten SMS-Code bei sich in der App ein und hat somit auf seinem Telefon Revolut fertig installiert und ist mit dem Account des Opfers in der App angemeldet.
  10. Er kann über allenfalls hinterlegte Zahlungsmittel wie Kreditkarten noch mehr Geld auf das Revolut-Konto transferieren und so im schlimmsten Fall auch das Konto der Hausbank des Opfers leerräumen.»

Bei watson haben sich mehrere Leser gemeldet, die in den letzten Wochen betrügerische SMS, mit jeweils unterschiedlichen Phishing-Links, erhalten haben. Ein Opfer hat uns berichtet, dass der Angriff bei ihm wohl wie beschrieben abgelaufen sei.

«Es handelt sich um klassisches Phishing, mit dem Aspekt, dass der Hacker live dabei sein muss, wenn das Opfer die Daten auf der Seite eingibt, da der SMS-Code nur zeitlich eingeschränkt nutzbar ist», sagt IT-Sicherheitsexperte Näf. Dabei ist es egal, ob es sich um Revolut oder eine andere Bank handelt. Wenn der Nutzer dem Angreifer seine Zugangsdaten selbst aushändigt, werden alle Sicherheitsmassnahmen ausser Kraft gesetzt.

Alternative Angriffsmethoden

1. SIM-Tausch-Betrug (Telefonnummer kapern)

SIM-Karte

Betrüger haben es auf die Telefonnummer ihrer Opfer abgesehen, um per SMS verschickte Sicherheits-Codes abzufangen. Bild: Shutterstock

Betrüger können auch versuchen die Telefonnummer des Opfers zu kapern. Gelingt dies, können sie den von Revolut (oder jeder anderen Firma) per SMS geschickten Bestätigungs-Code abfangen und haben die volle Kontrolle über das Konto.

Revolut selbst ging zunächst davon aus, dass die Angreifer eine zweite SIM-Karte für sich im Namen des Opfers angefordert hatten, um so den SMS-Code zu bekommen (SIM Swap). Deshalb auch die anfängliche Schuldzuweisung von Revolut an Swisscom, die der Schweizer Telekomprovider umgehend zurückwies.

Dass Revolut von einem SIM-Tausch-Betrug ausging, ist plausibel. Der sogenannte SIM-Swap ist bei Betrügern verbreitet. Vor wenigen Tagen wurde etwa das Twitter-Profil des Twitter-CEO auf diese Weise von Unbekannten übernommen. Beim SIM-Swap sammeln die Betrüger zunächst persönliche Informationen des Opfers, wie E-Mail, Telefonnummer oder die Postadresse, die teils frei im Netz verfügbar sind oder im Darknet gekauft werden. Solche Datensätze stammen meist aus früheren Datenlecks bei Firmen, die nun auf dem Schwarzmarkt gehandelt werden.

Revolut erklärt den SIM-Swap-Betrug so:

«Sobald der Betrüger über genügend Informationen verfügt, kontaktiert er Ihren Mobilfunkanbieter und gibt sich als Sie aus. Er wird Ihren Provider dazu bringen, einen SIM-Kartentausch einzuleiten, bei dem Ihre aktuelle SIM-Karte deaktiviert und Ihre Nummer auf eine neue, in seinem Besitz befindliche SIM-Karte übertragen wird. Das Ergebnis? Alle Anrufe und SMS an Sie werden stattdessen an den Betrüger weitergeleitet.»

Alternativ wäre auch denkbar, dass Kriminelle für den betrügerischen SIM-Karten-Austausch schlecht bezahlte Kundendienst-Mitarbeiter von Telekomfirmen bestechen.

Bei der letzten Phishing-Welle gegen Revolut und andere Online-Banken ist der SIM-Tausch-Betrug eher unwahrscheinlich: «Ich glaube nicht, dass das passiert ist», sagt IT-Experte Näf. «Weshalb der ganze Aufwand, wenn's auch einfacher geht?»

2. E-Banking-Trojaner

smartphone hacker

Mit dem Boom von Banking-Apps verlagern sich die Angriffe vom PC auf das Smartphone.

In der Schweiz war in den letzten Jahren vor allem der E-Banking-Trojaner ReTeFe aktiv, der es auf das E-Banking klassischer Banken abgesehen hat und primär Windows- und vereinzelt Mac-User befällt. Mit Revolut, N26 und weiteren Smartphone-Banken wächst im Darknet der Schwarzmarkt für Banking-Trojaner, was wiederum deren Entwicklung befeuert. Phishing-Angriffe gegen Smartphone-Nutzer werden entsprechend weiter perfektioniert.

Die Gefahr steigt, dass man Opfer eines ausgeklügelten Banking-Trojaners wird. Im Mai berichtete das Tech-Portal ZDNet, dass der Banking-Trojaner GUSTUFF für Android-Geräte die Zugangsdaten von Revolut und anderen Apps wie PayPal abgreifen kann. GUSTUFF «kann Apps öffnen, Anmeldeinformationen und Transaktionsdetails eingeben und Geldüberweisungen selbstständig genehmigen», schreibt das Techportal. Der Trojaner kann auch Push-Nachrichten aufs Handy senden, die wie Push-Benachrichtigungen von Revolut oder einer beliebigen anderen App aussehen. Klickt man darauf, öffnet sich eine Webseite, auf der man sein Passwort oder den PIN eingeben soll...

Meist aber fangen Banking-Trojaner die Benutzerdaten mit unsichtbaren Eingabefeldern ab, die über die originalen Anmeldefelder der Banking-Apps platziert werden. Manche Trojaner können auch eingehende SMS überwachen und so den zusätzlich notwendigen SMS-Code abfangen und an die Betrüger übermitteln.

Die Angreifer verschicken bei dieser Angriffsmethode Spam-SMS, in denen sie sich als Revolut oder x-beliebige Firma ausgeben und die Nutzer auffordern, auf einen Link zu klicken. Dieser führt zu einer gefälschten Firmenwebseite mit einem Download-Button, über den man vorgeblich ein App-Update installieren soll. Hinter dem Download verbirgt sich allerdings die Schadsoftware, über die die Angreifer Aktivitäten auf dem Handy auslesen oder, im Fall des besonders raffinierten Trojaners GUSTUFF, automatisiert Konten plündern.

Ein gängiger Trick der Angreifer ist zudem, populäre Apps (vor allem Spiele) nachzubauen und solche infizierten Fake-Apps in den App-Stores zu platzieren. Auch wenn die App-Store-Betreiber Apps auf Schadsoftware scannen, eine 100-prozentige Sicherheit gibt es nie.

Für Banking-Trojaner gibt es eine Untergrund-Industrie, die ihre Schadsoftware im Abonnement an andere Kriminelle, sprich die Phishing-Betrüger, verkauft. Das Perfide daran: «Jedes Mal, wenn die IT-Abteilungen der Banken ihre Sicherheitsvorkehrungen verbessern, profitieren auch die Malware-Entwickler. Für sie sind die Updates eine potenzielle Einnahmequelle, da sie eine neue Generation von Trojanern verkaufen können», schreibt das Wirtschaftsportal Business Insider.

Was Revolut sicherer machen würde

Dass es wirklich einen Hack bei Revolut gab oder dass jemand die Sicherheitsmassnahmen der App ausgehebelt hat, ist unwahrscheinlich.

Was aber sehr unschön ist:

  1. Wie leicht jedermann zu den Revolut-Kontakten kommt, die für gezieltes Phishing genutzt werden können (siehe Abschnitt 1). «Ich möchte nicht, dass jeder, der meine Handy-Nummer kennt oder sie zufällig generiert hat, sehen kann, dass ich Revolut verwende (inklusive Foto) und auch nicht, dass ich den Metal Plan habe und somit als besonders gutes Opfer in Frage komme», sagt der Schweizer IT-Experte Näf.

    Auch andere Revolut-Nutzer stören sich seit langem an dieser aus Datenschutz- und Sicherheitssicht fragwürdigen Praxis, wie ein Blick in Community-Foren von Revolut zeigt. Revolut könnte gezielte Phishing-Angriffe erschweren, indem andere Nutzer standardmässig nur sehen können, dass man Revolut nutzt, wenn man sie selbst auch in der Kontaktliste hat.
  2. Das Phishing wird dadurch erleichtert, dass die Revolut-App auf einem anderen Gerät problemlos neu eingerichtet werden kann. Dass die Kontrolle eines Ausweises nur bei der Kontoeröffnung bzw. der ersten Installation notwendig ist, mag bequem und nutzerfreundlich sein, senkt aber die Sicherheit. Revolut könnte die Hürde für Angreifer erhöhen, indem bei jeder Neuinstallation der App erneut der Ausweis kontrolliert oder ein Kontroll-Telefonat geführt würde, schlägt Näf vor. Dies würde den Aufwand für Revolut erhöhen und widerspricht dem Prinzip der Smartphone-Banken, möglichst bequem nutzbar zu sein.
  3. Das Anmelden per SMS-Code ist bequem, aber eben aus mehreren Gründen (Phishing, SIM-Karten-Betrug) nicht zu 100 Prozent sicher. Firmen, die mehr Wert auf Sicherheit legen, nutzen daher Alternativen wie beispielsweise Authenticator-Apps. Diese generieren direkt auf dem Smartphone nur wenige Sekunden gültige Einmal-Codes. Die höchste Sicherheit bieten Anmeldeverfahren mit einem separaten, persönlichen Gerät. Weil das zusätzliche Gerät offline ist, bietet es eine kleinere Angriffsfläche. Doch auch dies erhöht den Aufwand und widerspricht dem Prinzip der Smartphone-Banken, möglichst bequem nutzbar zu sein.

Das sagen die Opfer

Bei den Opfern sitzt der Frust tief und das liegt primär am offenbar heillos überlasteten Kundendienst der Smartphone-Bank. Geschädigte warteten laut Eigenaussage teils Wochen auf eine Rückerstattung. «Das ist unglaublich frustrierend», sagt ein Betrugsopfer zu watson. «Bis die Medien sich einmischten, gab es von Revolut kein Eingeständnis des Betrugs, kein Wort über Entschädigung, nichts.» Die langsame Reaktionszeit des Kundenservice deute darauf hin, dass es ein viel grösseres Problem gebe, als Revolut zugibt.

«Seit Wochen chatte ich fast täglich mit Revolut», sagte ein anderes Schweizer Opfer gegenüber blick.ch. Dabei hat man immer wieder mit anderen Kundendienst-Mitarbeitern zu tun, die den genauen Fall kaum kennen und keine konkreten Antworten geben können.

Im Netz veröffentlichen wütende und frustrierte Revolut-Nutzer auch Chat-Gespräche mit dem Kundendienst, die beweisen sollen, dass sie von der Smartphone-Bank über Wochen hingehalten werden.

Klar ist: Wie klassische Banken seit Jahren kämpfen nun auch Smartphone-Banken permanent mit Phishing-Angriffen und Betrugsfällen. Deutsche Medien berichteten bereits im März über Kunden des deutschen Revolut-Pendants N26, denen mehrere tausend Euro von ihren Konten entwendet wurden.

Der Unterschied: Kommt ein Kunde zu Schaden, kann er sich bei seiner Hausbank telefonisch an den Kundenberater wenden, der ihm in der Regel versichern wird, dass er sein Geld wieder bekommt. Denn keine Bank kann sich den Image-Schaden leisten, wenn Betrugsopfer in den (sozialen) Medien über ihren Verlust erzählen. Online-Banken sind günstiger, dafür ist auch der Kundendienst schlechter. Geschädigte müssen in erster Linie auf die Chat-Funktion in den jeweiligen Apps zurückgreifen. Für normale Auskünfte ist der Chat ausreichend, in einem echten Notfall aber nicht. Da die Opfer über den Chat keine konkreten Antworten erhielten, gingen sie an die Öffentlichkeit.

Revolut hat nun auf die harte Tour erlebt, was es heisst, beim Kundendienst zu sparen. Die gleiche Lektion erlebte der deutsche Rivale N26 vor einigen Monaten. Kurz: Die Online-Banken müssen beim Kundendienst zulegen, um eine echte Alternative zu klassischen Banken zu werden.

So reagiert Revolut

Revolut übt sich in Schadensbegrenzung und hat eine Woche nach den negativen Medienberichten angekündigt, den Kundendienst massiv auszubauen. In Porto soll dafür laut «Financial Times» (Paywall) ein neues Zentrum mit 400 Angestellten entstehen. Ein Eingeständnis, dass der Kundendienst mit dem rasanten Kundenwachstum nicht schritthalten konnte.

Nach dem ersten Artikel des «Tages-Anzeigers» über ein Schweizer Betrugsopfer sprach Revolut noch von einem «isolierten Einzelfall». Allerdings hatten sich bei Revolut offenbar schon Wochen zuvor Opfer gemeldet, wie etwa der «Blick» berichtete.

Revolut vertröstete die Opfer teils Wochenlang. Erst als die Medien grossflächig über mehrere Fälle berichteten, zeigte sich die britische Online-Bank gesprächsbereit: «Wir erstatten allen Kunden, die Opfer dieses raffinierten Betrugs sind, die volle Rückerstattung und wir werden diese Rückerstattungen mit hoher Dringlichkeit ausstellen», sagte Revolut gegenüber moneytoday.ch. Mindestens ein Opfer, das Revolut den Betrug innert Minuten melden konnte, bekam sein Geld schnell zurück: «Es gelang ihnen, die Konten zu blockieren, auf die das Geld überwiesen wurde.» Auch die übrigen Opfer, die nicht so schnell reagierten und teils viel Geld verloren haben, wurden inzwischen entschädigt.

Kurz nach der der jüngsten Phishing-Welle hat Revolut in seiner App den Warnhinweis aufgeschaltet, dass das Unternehmen nie mit einer SMS nach dem persönlichen PIN-Code frage. Zudem wurde an die Kunden eine E-Mail mit Warnhinweisen verschickt.

So gross ist das Phising-Problem wirklich

Die deutsche Finanzaufsicht Bafin erhält laut NZZ «verstärkt Beschwerden bezüglich betrügerischer Transaktionen über Direktbank-Konten». Sechs deutsche Volksbanken setzten demnach aus Sorge über Betrug vorübergehend die Überweisungen an Revolut aus.

Neu sind die Phishing-Probleme freilich nicht, sie haben sich mit den Smartphone-Banken nur akzentuiert: Bereits vor zwei Jahren wurden allein mit dem dem E-Banking-Trojaner ReTeFe täglich bis zu 100 Phishing-Angriffe auf Schweizer E-Banking-Lösungen festgestellt. Zwar wird ein Grossteil der Angriffe abgewehrt, aber das beste Abwehrsystem ist nur so gut wie das schwächste Glied – und das ist in aller Regel der Nutzer. Das mussten bereits im Frühjahr Kunden des deutschen Revolut-Pendants N26 erleben, denen laut NZZ ebenfalls mehrere tausend Euro von ihren Konten entwendet wurden.

«Cyberangriffe sind inzwischen das grösste operationelle Risiko für das Finanzsystem», sagte Finma Direktor Mark Branson an der letztjährigen Jahresmedienkonferenz der Eidgenössische Finanzmarktaufsicht. Zwei Drittel der Angriffe auf kritische Infrastrukturen betreffen den Finanzsektor.

Und: Das Risiko steigt mit der zunehmenden Digitalisierung. Mit der wachsenden Nutzung klassischer Banking-Apps und dem Boom neuer Smartphone-Banken werden Angriffe lukrativer und sie verlagern sich vom PC auf Mobiltelefone. Die regelmässigen Phishing-Wellen und die immer ausgeklügelteren Banking-Trojaner unterstreichen mehr als deutlich, dass sich die Angriffe lohnen.

Nutzer von Smartphone-Banken sind vermutlich besonders interessante Phishing-Opfer, da viele dieser User oft Beträge ins Ausland überweisen. Wenn ein Nutzer häufig grössere Summen ins Ausland transferiert, schlägt der automatische Warnmechanismus der Bank vermutlich nicht sofort an, da selbst mehrere Überweisungen nicht zwingend auffällig sind. Hat jemand hingegen ein Konto bei einer klassischen Bank und überweist für gewöhnlich kein Geld ins Ausland, würde die Bank bei ungewöhnlichen Auslandüberweisung höchstwahrscheinlich telefonisch nachfragen, bevor sie den Zahlungsauftrag freigibt.

Darum fallen Internet-affine Revolut-Nutzer auf Phishing herein

«Wir denken immer noch, dass mobile Geräte sehr sicher sind, doch das ist nicht wahr», sagt Zeki Turedi, Technologiestratege der IT-Sicherheitsfirma Crowdstrike gegenüber dem Wirtschaftsportal Business Insider. Im Gegensatz zum Laptop oder Computer fehle beim Smartphone oftmals das Bewusstsein für Sicherheitsrisiken.

Ein Beispiel zur Verdeutlichung: Phishing-E-Mails sind (fast) allseits bekannt, Phishing-SMS ein noch eher jüngeres Phänomen. Viele Menschen sind nicht darauf gefasst, betrügerische SMS-Links zu erhalten. Das spielt den Kriminellen in die Hände.

Bei betrügerischen SMS schöpfen manche Nutzer zudem kaum Verdacht, da die Phishing-SMS von der gleichen Nummer wie die echte Bestätigungs-SMS zu kommen scheint, sprich im gleichen Chat-Verlauf angezeigt wird. Kommt hinzu: Im aktuellen Fall war die Phishing-Webseite bzw. der Phishing-Prozess offenbar so gut gestaltet, «dass man den Eindruck hatte in der echten App zu sein», wie ein Opfer sagt.

Je mehr Nutzer Smartphone-Banken haben, desto mehr lohnen sich aufwändige, raffinierte Angriffe. Und da die potenziellen Opfer schlechte Phishing-Versuche inzwischen durchschauen, werden die Attacken immer gerissener. Anders gesagt: Es kann heute ganz einfach jeden treffen. Hat man beispielsweise gerade das Smartphone gewechselt und bekommt nun eine SMS von Revolut, die zur Bestätigung des Kontos auffordert, dürfte dies für viele ziemlich plausibel klingen.

Fazit

«Verzerren die öffentlichen Beschwerden derzeit das Bild von den jungen Finanzdienstleistern – oder haben sie ein systemisches Sicherheitsproblem?», fragt die NZZ. Eine berechtigte Frage, die sich nicht so einfach beantworten lässt. Klar ist: Phishing ist kein spezifisches Problem von schnell wachsenden Smartphone-Banken wie Revolut, Transferwise, N26, Neon oder Zak. Es kann von A wie Apple bis Z wie Zalando alle Akteure im Internet treffen – auch klassische Banken, PayPal oder soziale Netzwerke.

Klar ist aber auch: Je mehr Menschen auf dem Handy Finanz-Apps nutzen, desto attraktiver werden Angriffe. Revolut hat laut Eigenaussage sieben Millionen Nutzer, N26 kommt auf 3,5 Millionen. Oder anders gesagt: Der Markt für Banking-Trojaner wächst und stetig verbesserte Phishing-Angriffe gegen Smartphone-Nutzer werden uns noch lange beschäftigen.

«Die ‹Industrie› und die weit verzweigte Szene der Cyberkriminellen arbeitet heute in einer Grösse, mit einer Kraft und mit technologischen Möglichkeiten, welche das Thema Sicherheit zu einer ständigen und vor allem sehr anspruchsvollen Aufgabe machen.»

moneytoday.ch

Daher müssen Revolut und Co. handeln und die Sicherheit laufend verstärken – auch wenn dies bedeuten kann, dass die Nutzung der Banking-App umständlicher wird. Das Problem: Das Geschäftsmodell der jungen Online-Banken sieht Wachstum auf Teufel komm raus vor. Zusätzliche Sicherheitshürden, die Online-Transaktionen für den Nutzer sicherer, aber auch weniger bequem machen, stehen da Quer in der Landschaft. 3-D Secure etwa, das die Sicherheit bei Kreditkarten-Bezahlungen im Internet erhöht, hat Revolut erst in den letzten Wochen schrittweise eingeführt. Nicht ganz freiwillig. Eine neue EU-Richtlinie schreibt Banken ab Mitte September zusätzliche Sicherheitsverfahren vor, die Kunden in der EU bei Geldgeschäften besser vor Gefahren im Internet schützen sollen.

Der Zielkonflikt zwischen Bequemlichkeit und Sicherheit betrifft grundsätzlich alle Banken. Sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Anmelde-Prozesse via App und SMS setzen. «Diesen Trend, der User Experience über Sicherheit stellt, haben insbesondere digitale Finanzunternehmen, FinTechs, zu verantworten», sagte E-Banking-Experte Vincent Haupert im Interview mit Vice. Haupert hat in der Vergangenheit schon mehrmals Banken geknackt.

Die Zukunft muss zeigen, ob Banken im Netz den Spagat zwischen Nutzerfreundlichkeit und Sicherheit finden. So oder so gilt: «Appsolute» Sicherheit wird es, wie immer im Leben, nicht geben. «Wenn der User schlussendlich seine Informationen an den Hacker raus gibt, hat dieser freie Hand», sagt Näf.

2023 möchte Schweden das erste Land ohne Bargeld sein

Play Icon

Revolut, N26 und andere App-Banken

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

Link zum Artikel

Mehrere Schweizer Revolut-Kunden von Phishing-Attacken betroffen

Link zum Artikel

Revolut-Konto gehackt? Schweizer verliert 30'000 Franken

Link zum Artikel

Schweizer Banken-Apps? So viel günstiger sind Revolut und Co. wirklich

Link zum Artikel

Die Revolut-App startet durch – schon über 110'000 User in der Schweiz

Link zum Artikel

Über 80'000 Euro bei Online-Bank N26 geklaut: Kundenservice reagiert erst Wochen später

Link zum Artikel

Ein Bankkonto bei Google, Apple und Co.? Das will fast niemand

Link zum Artikel

«Schwedische Verhältnisse» befürchtet: So soll die Schweiz ein Bargeld-Land bleiben

Link zum Artikel

Warum die Bezahl-App Twint bei Schweizer Teenagern gerade so richtig durchstartet

Link zum Artikel
Alle Artikel anzeigen

Revolut, N26 und andere App-Banken

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

61
Link zum Artikel

Mehrere Schweizer Revolut-Kunden von Phishing-Attacken betroffen

15
Link zum Artikel

Revolut-Konto gehackt? Schweizer verliert 30'000 Franken

55
Link zum Artikel

Schweizer Banken-Apps? So viel günstiger sind Revolut und Co. wirklich

100
Link zum Artikel

Die Revolut-App startet durch – schon über 110'000 User in der Schweiz

119
Link zum Artikel

Über 80'000 Euro bei Online-Bank N26 geklaut: Kundenservice reagiert erst Wochen später

31
Link zum Artikel

Ein Bankkonto bei Google, Apple und Co.? Das will fast niemand

6
Link zum Artikel

«Schwedische Verhältnisse» befürchtet: So soll die Schweiz ein Bargeld-Land bleiben

98
Link zum Artikel

Warum die Bezahl-App Twint bei Schweizer Teenagern gerade so richtig durchstartet

128
Link zum Artikel

Revolut, N26 und andere App-Banken

Eine Untergrund-Industrie plündert Banking-Apps wie Revolut – so gehen die Betrüger vor

61
Link zum Artikel

Mehrere Schweizer Revolut-Kunden von Phishing-Attacken betroffen

15
Link zum Artikel

Revolut-Konto gehackt? Schweizer verliert 30'000 Franken

55
Link zum Artikel

Schweizer Banken-Apps? So viel günstiger sind Revolut und Co. wirklich

100
Link zum Artikel

Die Revolut-App startet durch – schon über 110'000 User in der Schweiz

119
Link zum Artikel

Über 80'000 Euro bei Online-Bank N26 geklaut: Kundenservice reagiert erst Wochen später

31
Link zum Artikel

Ein Bankkonto bei Google, Apple und Co.? Das will fast niemand

6
Link zum Artikel

«Schwedische Verhältnisse» befürchtet: So soll die Schweiz ein Bargeld-Land bleiben

98
Link zum Artikel

Warum die Bezahl-App Twint bei Schweizer Teenagern gerade so richtig durchstartet

128
Link zum Artikel

Abonniere unseren Newsletter

61
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
61Alle Kommentare anzeigen
    Alle Leser-Kommentare
  • aglaf 09.09.2019 21:23
    Highlight Highlight Der beste sofortige Schutz ist wohl, seine Kreditkartendaten im Revolutkonto nicht zu hinterlegen. So muss ich zwar jedesmal beim Aufladen meine Nummer eintippen, aber dafür kann dann höchstens mein Revolutkonto leergeräumt werden. Aber da sollte ja eh nicht soviel drauf sein. Ist so zwar ein paar Sekunden unbequemer, aber dafür schlafe ich ruhig
    • Flötist 10.09.2019 14:08
      Highlight Highlight Falls etwas passiert, gibt Revolut das Geld zurück. Genau gleich wie bei jeder anderen Bank.
  • Phö 09.09.2019 15:38
    Highlight Highlight Sicherlich ist es unachtsam wenn man auf diese Art des Phishings reinfällt. Jedoch finde ich viele Kommentare hier nicht ganz in Ordnung. Nicht alle Nutzer sind mit solchen Technologien aufgewachsen. Die Sicherheitsvorkehrungen sollten so konzeptioniert werden, dass auch unbedachtere User nicht betrogen werden können.
    PS: Spätestens wenn es um gute Bankingtrojaner und Sim-Cloning geht werden auch die geübten User schnell einmal zu Opfern. In den letzten Monaten wurden mit Hilfe korrupter Mobileshop-Mitarbeiter mehrere Konten mit hunderttausenden Euro geräumt.
    • @schurt3r 09.09.2019 17:02
      Highlight Highlight Zitat: « (...) mit Hilfe korrupter Mobileshop-Mitarbeiter mehrere Konten mit hunderttausenden Euro geräumt.»

      Bitte belege das mit einer Quelle.
    • Phö 09.09.2019 19:49
      Highlight Highlight Angebot findet man in fast allen bekannten Untergrundforen auch in den öffentlichen die nicht invite only sind. Die Dienstleistung kostet normalerweise etwa
      50%-60% des Betrags auf dem Konto. Gab Anfangs 2019 zum Beispiel diverse Fälle bei der Berliner Sparkasse. Kann nur empfehlen sich einmal in die entsprechenden Foren einzulesen.
  • Kiro Striked 09.09.2019 13:09
    Highlight Highlight Zu 9:
    Bekomme ich eine SMS... Ignoriere ich das einfach.

    Bis auf "Dein Ticket läuft in 4 Tagen ab" von der BVB in Basel hat mir keiner ein SMS zu schreiben, und schon gar keine Links zu schicken.
  • Hardy18 09.09.2019 12:47
    Highlight Highlight Es galt gestern, heute und auch in ferner Zukunft. Wer es einfach haben möchte, wird auf Sicherheit verzichten müssen. Dies wird sich auch nie ändern.

    Deswegen tut es mir auch nicht leid um die Opfer.

    Ich verstehe sowieso nicht, warum man auf solche App-Banken zugreifen muss und dann auch noch mit solch grossen Summen. Oder muss ich wirklich noch schnell im Tram, 45'000,- überweisen?

    Ich habe das Gefühl, dass viele den Wert des Geldes erst dann begreifen, wenn es zu spät ist...
  • Supermonkey 09.09.2019 07:10
    Highlight Highlight Wie man 2 mal auf einer Website, statt seine persönlichen Daten eingeben kann ixt mir schon ein Rätsel. Abgesehen davon, dass man aus heiterem Himmel sich authentifizieren sollte...🤔 Leute seid wachsam und schaltet Euer Hirn ein!
  • Thorium 09.09.2019 07:07
    Highlight Highlight Die Digitalisierung der Dienstleistungsgesellschaft zwingt immer mehr Menschen, Technologien zu benutzen die sie schlicht überfordern. Solche Menschen pauschal als Idioten zu bezeichnen finde ich extrem überheblich. Wir alle sind anfällig für Trickbetrüger, denn die Zeit in der Phishingmails voller Rechtschreibfehler waren sind längst vorbei und die Kriminellen werden immer geschickter.
  • Hzwo 09.09.2019 01:52
    Highlight Highlight Ich als Revolut würde erstmal garnichts ändern zumal es nur um Dummheit der Kunden geht. Gratiswerbung en masse.
  • Beasty 09.09.2019 01:11
    Highlight Highlight Betrugsopfer? Sorry, eher Betrugsidioten. SMS und alles stinkt doch zum Himmel und mittlerweile weiss doch jedes Kind, dass man Logins etc. nicht nochmals eingeben muss resp. per SMS darum gebeten wird.
  • Magd 08.09.2019 22:20
    Highlight Highlight Für Revolut wird die Rechnung anders gehen. Ein neuer Kunde ist X Euro Wert. Die Freunde Funktion bei Revolut bringt Y Neukunden für Z Euro. Solange der Schaden deutlich kleiner ist wage ich zu bezweifeln, dass was ändert. Das wird eines dieser Unicorn StartUP um jeden Preis und dann Exit.
  • Marco31 08.09.2019 22:18
    Highlight Highlight Die Geschädigten sollen den geklauten Betrag gefälligst selbst als Lerngeld verbuchen. Ich bin nicht bereit in Zukunft höhere Revolut-Gebühren zu akzeptieren, nur weil es einen kleinen Prozentanteil von Kunden gibt, die ihre Zugangsdaten freiwillig an Fremde weitergeben. Es ist bereits altbekannt, dass eine Bank niemanden auffordert, die Zugangsdaten auf einer Webseite zu verifizieren.
    Daher bin ich nicht dafür, dass Revolut solche geklauten Gelder zurückerstattet, wenn Revolut die betrügerische Banküberweisung nicht rückgängig machen konnte.
  • My Senf 08.09.2019 21:01
    Highlight Highlight Vielleicht haben sie die Nummern auch nicht generiert sondern von der fb Datenbank (schön säuberlich nach Land sortiert) abgegriffen...
  • Jesses! 08.09.2019 20:34
    Highlight Highlight Bleibt vorsichtig, überlegt & vernünftig. Dann passiert gar nichts. Und sonst habe ich eine (relativ teure) Rechtsschutzversicherung, und die regelt das (hoffentlich. Besser als Valentin Landmann. Vielleicht.
    • DaniSchmid 08.09.2019 22:59
      Highlight Highlight Wieso sollte eine Rechtsschutzversicherung für dein fahrlässiges Verhalten einstehen...?
  • Mätse 08.09.2019 20:32
    Highlight Highlight Das Handy ist mein 2. Faktor (egal ob SMS, Passwort-App, ...) für das Bank-Login. Solange das so ist, kommt die Banking-App leider nicht auf das gleiche Gerät. Alles auf einem Gerät erhöht das Sicherheitsrisiko enorm.
  • The Count 08.09.2019 20:22
    Highlight Highlight Das Hacken ist zeitlich so aufwändig, da würde ein vernünftig denkender Mensxh doch schlicht arbeiten gehen 🤣
    Aber ernsthaft, wer ist 2019 immer noch so dumm auf den Link zu klicken?
  • David Tschan 08.09.2019 20:17
    Highlight Highlight Gegen unbedarfte und leichtsinnige Nutzer helfen auch ausgeklügelte Sicherheitsmechanismen wenig...
  • Matrixx 08.09.2019 19:38
    Highlight Highlight Man macht sich damit ja immer etwas unbeliebt, aber das sicherste System ist wohl eine kryptobiologische Identiätsbestätigung...
    • yey 08.09.2019 19:56
      Highlight Highlight Allerdings kann man biologische Merkmale nicht so leicht ändern, nachdem sich ein Angreifer die Merkmal-Information einmalig beschafft hat.

      Und zusätzliche Finger und Augen sind mir bisher keine gewachsen...
  • yey 08.09.2019 19:30
    Highlight Highlight «Es handelt sich um klassisches Phishing, mit dem Aspekt, dass der Hacker live dabei sein muss, wenn das Opfer die Daten auf der Seite eingibt, da der SMS-Code nur zeitlich eingeschränkt nutzbar ist»

    Wer in der Lage ist, eine täuschend echt aussehnde Phishing Seite zu bauen, der kann auch den Angriff bzw. die Code Eingabe automatisieren - im banalsten Fall mit einem Android Emulator und von Google bereitgestellten Tools zur UI-Automatisierung.. 🤢
  • yey 08.09.2019 19:16
    Highlight Highlight Ich bin wirklich ein bisschen schockiert: Unter den Revolut Datenschutz Einstellungen kann ich nur Webebenachrichtigungen abbestellen, aber nicht einschränken wer sehen kann, dass ich Revolut nutze (z.B. nur meine Kontakte).

    Auch, dass man immernoch problemlos SMS Absender fälschen kann - z.B. mittels diverser Gratis-Websites macht mich schon stutzig - vor 10 Jahren war das ja irgendwie witzig, aber in Zeiten von E-Banking etc. ist da schon Handlungsbedarf von Seiten der Provider angezeigt.
  • Alphabetagammaomega 08.09.2019 18:47
    Highlight Highlight Danke für die Aufarbeitung des Artikels lieber Oliver, ganz starke Leistung!
  • vamosT 08.09.2019 18:24
    Highlight Highlight Was solldas überhaupt sein "das Konto verifizieren"?
  • The Destiny // Team Telegram 08.09.2019 18:18
    Highlight Highlight Es wäre so einfach jedem Kunden einen Antiphishing Code zuzuweisen und somit die SMS verifizierbar zu machen...
  • hans gwüsst 08.09.2019 17:33
    Highlight Highlight "... zwei davon sogar mit Metal-Status (Havy-User)."

    Schwarz ist nicht zwingend Metal-Abonnement, sondern einfach nicht die Gratis-Version.
    • hans gwüsst 09.09.2019 19:04
      Highlight Highlight Die vier Blitze stammen bestimmt von enttäuschten Metal Card Abonnenten 😁
  • Madeso 08.09.2019 17:09
    Highlight Highlight SMS-Codes sind einfach völlig unsicher, das ist überhaupt keine Neuigkeit. In der Schweiz zwar weniger, aber SIM-Swaps durch korrupte Telco-Mitarbeiter sind in anderen Ländern an der Tagesordnung. Trotzdem gibt es auch in der Schweiz immer noch Kreditkartenfirmen, die SMS-Codes versenden (Swisscard von Credit Suisse zB).

    Es wäre so einfach, TOTP (timed one-time-password, sechstelliger Zahlencode) zu verwenden, Apps dafür sind zB Google Authenticator oder FreeOTP. Das würde zudem das Zeitfenster für Angriffe auf wenige Sekunden reduzieren.
    • Aussie 08.09.2019 22:40
      Highlight Highlight Bei dem System wie es hier im Artikel beschrieben wurde, spielt es keine Rolle ob SMS oder OTP. Das ‚Opfer‘ gibt ja den Code auf der fake Webseite ein, wo ihn der Phisher entgegen nimmt und dann gleich verwendet.
  • p4trick 08.09.2019 17:01
    Highlight Highlight Die App auf einem neuen Gerät einzurichten müsste enorm komplizierter werden. Mit Pin und SMS als 2nd Factor ist weit von Sicherheit entfernt.
    Bei E-banking geht viel noch über den analogen Postweg was Missbrauch enorm erschwert
    • ands 08.09.2019 17:49
      Highlight Highlight Bei welchem E-Banking benötigt der Login auf einem neuen Gerät den Postweg?
    • offspring 08.09.2019 18:59
      Highlight Highlight UBS, habe mich mal ausgesperrt und der neue Code kam mit der Post...
    • p4trick 08.09.2019 19:29
      Highlight Highlight @ands: bei vielen Banken geht es auch mit aktivieren von 2 Geräten z.B. Tablet und Smartphone. Wenn eins gewechselt wird kann es mithilfe des 2ten Gerätes aktiviert werden. Das Aktivieren ohne solche Sicherheit ist fraglich aber verwenden leider viele wie eben auch Revoult
    Weitere Antworten anzeigen
  • Xonic 08.09.2019 16:59
    Highlight Highlight Wer es bis jetzt noch nicht geschnallt hat, dass eine Bank (ob Hausbank oder Internetbank), keine solchen Verifikations-SMS verschickt hat es nicht anders verdient. 🤷‍♂️

    Immer direkt die App aufmachen, sollte es ein Problem geben wird dies auch da angezeigt werden.
    • yey 08.09.2019 19:17
      Highlight Highlight Ich habe durchaus Bankkonten, bei den Transaktionscodes per SMS veesendet werden.
    • ands 08.09.2019 19:45
      Highlight Highlight @ yey: Es geht nicht um Transaktionscodes. Es geht um SMS mit dem Inhalt "Klicke auf diesen Link um dein Konto zu verifizieren".
    • yey 08.09.2019 20:26
      Highlight Highlight @ands:
      Schon klar, die Bank / Zahlungsdienstleister verwendet aber eben diesen Kanal um sicherheitsrelevante Informationen mit mir auszutauschen... wenn dann im selben Nachrichtenverlauf eine gut gemachte Nachricht auftaucht, z.B.:

      "Sie haben die Zahlungsaufforderung von Hans Meier in der Höhe von 1'000 CHF akzeptiert. Rückgängig machen? Klicke hier: ..."

      Dann handelt man möglichweise im Affekt. Ich war jedenfalls schonmal kurz davor sowas auf den Leim zu gehen.
  • Passierschein A38 08.09.2019 16:57
    Highlight Highlight Da lob ich mir FaceID... ich glaub, ich wüsste nicht mal mein Passwort... somit kann ich gar nicht auf so eine Aufforderung hineinfallen...
    • Selbst-Verantwortin 08.09.2019 21:13
      Highlight Highlight Du hast das Vorgehen nicht verstanden. Das funktioniert auch bei FaceID.
    • Supermonkey 09.09.2019 07:15
      Highlight Highlight Funktioniert nicht bei FaceID. FaceID in Kombination mit einem Passwort ist momentan das sicherste Login. Deshalb setzen immer wie mehr Anbieter als 2. Authentifizierung darauf.
  • Helvetiavia Philipp 08.09.2019 16:54
    Highlight Highlight Tipp, wie man sich vor Phishing sicher schützen kann:
    Wann immer man per E-Mail/SMS aufgefordert wird, sich anzumelden, sollte man - wenn die Nachricht nicht erkennbar faul ist - sich über den gewohnten Weg anmelden, d.h. entweder den gewöhnlichen Link eingeben oder die App manuell öffnen. Niemals sollte man aber die Links im Mail/SMS anklicken.
  • Gipfeligeist 08.09.2019 16:53
    Highlight Highlight Aber heisst dass nicht, dass primär die lausige Sicherheit von SMS für so etwas verantwortlich ist?
    • p4trick 08.09.2019 17:07
      Highlight Highlight Hat überhaupt nichts mit SMS an und für sich zu tun..
    • Gipfeligeist 09.09.2019 12:38
      Highlight Highlight Wenn Angreifer sich via ein online-tool als 'Revolut' ausgeben können, und sogar im gleichen Chat erscheinen (habe ich bis jetzt nicht gewusst!) dann ist das doch grosses Potenzial für jeden Angreifer?
  • PeteZahad 08.09.2019 16:18
    Highlight Highlight Ganz einfach: Ein Finanzunternehmen fordert seine Kunden nie aktiv auf ein Konto online zu verifizieren. Nicht darauf reagieren und gut ist.
    • Jein 08.09.2019 17:12
      Highlight Highlight Und wenn man darauf reagiert dann direkt auf die Website gehen, nicht über einen zugeschickten Link.
    • Magd 08.09.2019 22:16
      Highlight Highlight Hat sogar Paypal Business bei mir geschafft. Die haben mir scheinbar 3 Emails gemacht, ich soll mich dort bitte melden. Da ich aber alle Emails von Paypal ignoriere - komplett und mir effektiv nur auf die Website verlasse, hat er mich dann irgendwann angerufen und gefragt warum ich mich nicht gemeldet habe? Ich so waaaas? Seid ihr komplett irre? Ich erwarte von meinem Finanzdienstleister eine Info nach dem Login, wenn er mir dann was mitzuteilen hat. Fedich - egal wer.
  • Madison Pierce 08.09.2019 16:08
    Highlight Highlight Eine Verbesserung wäre sicher ein SMS mit Code pro Transaktion. Zumindest bei der ersten Transaktion an einen neuen Empfänger oder ab einer bestimmten Summe.
  • metall 08.09.2019 15:49
    Highlight Highlight Nur bares ist wahres
    • Gipfeligeist 08.09.2019 16:52
      Highlight Highlight Nein, Geld ist eine funktionierende Illusion, egal ob es Zahlen im Portemonnaie oder Zahlen im Computer sind.
    • hans gwüsst 08.09.2019 17:36
      Highlight Highlight Und trotzdem mega unpraktisch.
    • ConcernedCitizen 08.09.2019 18:28
      Highlight Highlight Wenn dir ein Trickbetrüger “Wahres” abnimmt, zahlt dir das niemand zurück. Bei Banken/Kreditkarten schon.
    Weitere Antworten anzeigen
  • Individuum 08.09.2019 15:48
    Highlight Highlight Danke für den aufschlussreichen, spannenden und leicht verständlichen Artikel.
    Bitte mehr davon :)
    • Ich_bin_ich 08.09.2019 16:46
      Highlight Highlight Kann ich unterschreiben. Super verständlich und aufschlussreich. Top.
    • Marshawn 08.09.2019 17:59
      Highlight Highlight Qualitätsjournalismus und ein Artikel ohne BlaBla 🙌

Er riskierte sein Leben, um die Welt zu warnen – jetzt meldet sich Edward Snowden zurück

Schon in jungen Jahren spionierte er für die CIA in Genf. Nun will uns der Whistleblower mit einem neuen Buch zeigen, auf was es wirklich ankommt.

Edward Snowden war 30, als er alles, was ihm lieb war, hinter sich liess, um die Welt vor Big Brother und Massenüberwachung zu warnen. Jetzt meldet sich der NSA-Whistleblower, der seit 2013 in Russland im Exil leben muss, wieder zu Wort. Und seine jüngste Warnung klingt nicht weniger eindrücklich, im Gegenteil: Unsere offenen Gesellschaften und demokratischen Länder seien gefährdeter denn je.

Wir geben nachfolgend die wichtigsten Aussagen aus einem Interview wieder, das der schottische …

Artikel lesen
Link zum Artikel