Eine Untergrundindustrie hat es auf Banking-Apps wie Revolut oder N26 abgesehen – oder besser gesagt auf deren Nutzer. Was abstrakt klingt, wurde im August plötzlich real, als eine Phishingwelle über Revolut bzw. ihre Kunden rollte. Über SMS im Namen der Smartphone-Bank wurden Kunden aufgefordert, ihr Revolut-Konto zu verifizieren. Per Klick auf die teils fast perfekt gefälschten Links haben die Opfer aber nicht ihr Bank-Konto bestätigt, sondern ohne es zu merken ihre Zugangsdaten an die Betrüger geschickt.
Der «Tages-Anzeiger» berichtete über acht Fälle, bei denen Schweizer Revolut-Nutzern das Konto leergeräumt wurde (Paywall). watson weiss, dass die Betroffenen zwischenzeitlich zwischen 4500 und 50'000 Franken verloren haben. Bei anderen Medien und Revolut selbst meldeten sich ebenfalls Geprellte. Ein Opfer hat gegenüber watson bestätigt, das Geld rasch zurückerhalten zu haben. Andere wurden nach einigem Hin und Her ebenfalls entschädigt.
Die britische Finanzdienstleisterin, oft als Neo-, Direkt- oder Smartphone-Bank bezeichnet, sprach zuerst von einem «isolierten Einzelfall eines Phishing-Versuchs». Nachdem weitere Opfer ihrem Ärger kundtaten und ihr Geld zurückverlangten, bestätigte eine Firmensprecherin die erfolgreichen Attacken: Eine «beschränkte Zahl» an Kunden habe Geld verloren, hiess es nun. Wie viele Kunden tatsächlich betroffen sind, verrät die Online-Bank mit sieben Millionen Kunden – davon über 100'000 aus der Schweiz – nicht.
Einige Fragen blieben zunächst unbeantwortet:
Fest steht, dass Online-Banken wie Revolut, Bunq, N26 und wie sie alle heissen täglich Angriffen ausgesetzt sind – wie notabene auch klassische Banken. Wie die Kriminellen im aktuellen Fall vorgingen und warum Revolut eine Mitschuld trägt, versuchen wir im Folgenden Schritt für Schritt zu erklären.
Revolut betont, dass man nicht gehackt worden sei. Das ist auch nicht notwendig, sprich die Kriminellen mussten die Sicherheitsmassnahmen der Banking-App nicht aushebeln. Sie wählten den einfacheren Weg über die Nutzer – und Revolut macht den Angreifern das Aufstöbern potenzieller Opfer sowie die eigentliche Phishing-Attacke, also das Abgreifen ihrer Zugangsdaten, zu leicht.
@RevolutApp hey , how is it possible that scammers got my mobile number connected to my Revolut Account and send me phishing SMS now? pic.twitter.com/ZAZOO53Dxb
— Patrick Weber 🌍 🇪🇺🇬🇧🏴🇱🇺 (@petzlux) August 23, 2019
Wer die betrügerischen SMS bekommen hat, fragt sich vermutlich, wie die Betrüger an die eigene Mobile-Nummer kamen. Hierzu muss man wissen: Die Revolut-App zeigt automatisch an, welche Kontakte im Adressbuch ebenfalls Revolut nutzen. Für Betrüger ist dies eine Einladung: Sie können durchprobieren, welche zufälligen Handynummern zu einem Revolut-Nutzer gehören. Der «Hacker» generiert hierzu zufällige Handy-Nummern, importiert sie ins Adressbuch und sieht in der Revolut-App unter «Zahlungen», wer davon ein Revolut-Konkto besitzt. Er sieht sogar, wer ein besonders aktiver Nutzer ist – diese sind schwarz markiert.
Fabian Näf, Informatiker und Security-Experte, hat watson gezeigt, wie einfach es ist mit Excel tausende, zufällige 079-Nummern zu generieren. Danach lassen sich die Nummern zum Beispiel über https://contacts.google.com ins Adressbuch des Smartphones importieren. «Ich war erstaunt, unter 2000 zufällig generierten Nummern hatte ich bereits 23 Nummern gefunden, welche bei Revolut registriert sind, zwei davon sogar mit Metal-Status (Havy-User). Die Opfer wären also gefunden...»
Theoretisch könnten die Angreifer die Handy-Nummern von Revolut-Nutzern auch im Darknet gekauft haben. Auf dem Schwarzmarkt werden gewaltige Datensätze mit persönlichen Daten von Millionen Menschen gehandelt. Diese Möglichkeit bringt Revolut selbst ins Spiel. Aber warum sollten die Angreifer dies tun, wenn jedermann zufällige Opfer – dank gütiger Mithilfe der Revolut-App – mit geringstem Aufwand selbst finden kann?
Sind die potenziellen Angriffsziele gefunden (siehe Punkt 1), versenden die Angreifer die Phishing-SMS in Wellen im Namen von Revolut und anderen Online-Banken, um an die Zugangsdaten der Kunden zu gelangen. Man soll sein Konto «verifizieren», heisst es in den Phishing-SMS, die im gleichen Stil und Jargon wie die echten SMS der Online-Banken verfasst sind.
Per Klick auf den Link öffnet sich auf dem Handy eine kopierte Revolut-Webseite, die im Design der App daherkommt. Der Nutzer wird in einem ersten Schritt aufgefordert, seinen App-PIN einzugeben, um das Konto zu bestätigen. Wer dies tut, übermittelt den PIN an den Hacker. Dies allein wäre halb so schlimm, da der Angreifer nun zusätzlich den per SMS geschickten Bestätigungs-Code braucht, um sich anzumelden. Doch auch diese Hürde nehmen die Kriminellen, wie wir gleich sehen werden.
Tükisch dabei: Die Phishing-SMS hat nicht nur den Absender «Revolut», sie taucht auch im gleichen Chat-Verlauf wie die echte Bestätigungs-SMS von Revolut auf, was den Eindruck verstärkt, dass alle Nachrichten vom gleichen Absender stammen – sprich von Revolut.
IT-Sicherheitsexperte Näf erklärt dies so: «Unsere Smartphones fassen alle SMS vom gleichen Absender in einer Unterhaltung zusammen. Wenn uns nun jemand eine SMS mit der Sender-ID ‹Revolut› sendet, wird das in der selben Unterhaltung angezeigt wie die echten SMS von Revolut. Man hat tatsächlich das Gefühl, die Nachricht stamme von Revolut…»
Viele Firmen, die uns SMS senden, verwenden als Absender nicht eine Telefonnummer, sondern eine Sender-ID. Das heisst, als Absender wird keine Nummer angezeigt, sondern ein Text wie etwa «Revolut». Die Kriminellen tun nun dasselbe.
Firmen wie Revolut senden Kurznachrichten ohne Absender-Nummer über vertrauenswürdige SMS-Anbieter wie zum Beispiel textmagic.com. Solche seriösen Anbieter prüfen die gewünschte Sender-ID, um Betrug möglichst auszuschliessen. Die Kriminellen greifen auf Anbieter zurück, die weniger seriös kontrollieren.
Die Angreifer müssen den PIN-Code für die Revolut-App sowie als zweite Hürde den via SMS geschickten Sicherheits-Code in ihren Besitz bringen. Bei der aktuellen Phishing-Welle gingen sie laut IT-Experte Näf höchstwahrscheinlich wie folgt vor:
Bei watson haben sich mehrere Leser gemeldet, die in den letzten Wochen betrügerische SMS, mit jeweils unterschiedlichen Phishing-Links, erhalten haben. Ein Opfer hat uns berichtet, dass der Angriff bei ihm wohl wie beschrieben abgelaufen sei.
«Es handelt sich um klassisches Phishing, mit dem Aspekt, dass der Hacker live dabei sein muss, wenn das Opfer die Daten auf der Seite eingibt, da der SMS-Code nur zeitlich eingeschränkt nutzbar ist», sagt IT-Sicherheitsexperte Näf. Dabei ist es egal, ob es sich um Revolut oder eine andere Bank handelt. Wenn der Nutzer dem Angreifer seine Zugangsdaten selbst aushändigt, werden alle Sicherheitsmassnahmen ausser Kraft gesetzt.
Betrüger können auch versuchen die Telefonnummer des Opfers zu kapern. Gelingt dies, können sie den von Revolut (oder jeder anderen Firma) per SMS geschickten Bestätigungs-Code abfangen und haben die volle Kontrolle über das Konto.
Revolut selbst ging zunächst davon aus, dass die Angreifer eine zweite SIM-Karte für sich im Namen des Opfers angefordert hatten, um so den SMS-Code zu bekommen (SIM Swap). Deshalb auch die anfängliche Schuldzuweisung von Revolut an Swisscom, die der Schweizer Telekomprovider umgehend zurückwies.
Dass Revolut von einem SIM-Tausch-Betrug ausging, ist plausibel. Der sogenannte SIM-Swap ist bei Betrügern verbreitet. Vor wenigen Tagen wurde etwa das Twitter-Profil des Twitter-CEO auf diese Weise von Unbekannten übernommen. Beim SIM-Swap sammeln die Betrüger zunächst persönliche Informationen des Opfers, wie E-Mail, Telefonnummer oder die Postadresse, die teils frei im Netz verfügbar sind oder im Darknet gekauft werden. Solche Datensätze stammen meist aus früheren Datenlecks bei Firmen, die nun auf dem Schwarzmarkt gehandelt werden.
Alternativ wäre auch denkbar, dass Kriminelle für den betrügerischen SIM-Karten-Austausch schlecht bezahlte Kundendienst-Mitarbeiter von Telekomfirmen bestechen.
Bei der letzten Phishing-Welle gegen Revolut und andere Online-Banken ist der SIM-Tausch-Betrug eher unwahrscheinlich: «Ich glaube nicht, dass das passiert ist», sagt IT-Experte Näf. «Weshalb der ganze Aufwand, wenn's auch einfacher geht?»
In der Schweiz war in den letzten Jahren vor allem der E-Banking-Trojaner ReTeFe aktiv, der es auf das E-Banking klassischer Banken abgesehen hat und primär Windows- und vereinzelt Mac-User befällt. Mit Revolut, N26 und weiteren Smartphone-Banken wächst im Darknet der Schwarzmarkt für Banking-Trojaner, was wiederum deren Entwicklung befeuert. Phishing-Angriffe gegen Smartphone-Nutzer werden entsprechend weiter perfektioniert.
Die Gefahr steigt, dass man Opfer eines ausgeklügelten Banking-Trojaners wird. Im Mai berichtete das Tech-Portal ZDNet, dass der Banking-Trojaner GUSTUFF für Android-Geräte die Zugangsdaten von Revolut und anderen Apps wie PayPal abgreifen kann. GUSTUFF «kann Apps öffnen, Anmeldeinformationen und Transaktionsdetails eingeben und Geldüberweisungen selbstständig genehmigen», schreibt das Techportal. Der Trojaner kann auch Push-Nachrichten aufs Handy senden, die wie Push-Benachrichtigungen von Revolut oder einer beliebigen anderen App aussehen. Klickt man darauf, öffnet sich eine Webseite, auf der man sein Passwort oder den PIN eingeben soll...
Meist aber fangen Banking-Trojaner die Benutzerdaten mit unsichtbaren Eingabefeldern ab, die über die originalen Anmeldefelder der Banking-Apps platziert werden. Manche Trojaner können auch eingehende SMS überwachen und so den zusätzlich notwendigen SMS-Code abfangen und an die Betrüger übermitteln.
Die Angreifer verschicken bei dieser Angriffsmethode Spam-SMS, in denen sie sich als Revolut oder x-beliebige Firma ausgeben und die Nutzer auffordern, auf einen Link zu klicken. Dieser führt zu einer gefälschten Firmenwebseite mit einem Download-Button, über den man vorgeblich ein App-Update installieren soll. Hinter dem Download verbirgt sich allerdings die Schadsoftware, über die die Angreifer Aktivitäten auf dem Handy auslesen oder, im Fall des besonders raffinierten Trojaners GUSTUFF, automatisiert Konten plündern.
Ein gängiger Trick der Angreifer ist zudem, populäre Apps (vor allem Spiele) nachzubauen und solche infizierten Fake-Apps in den App-Stores zu platzieren. Auch wenn die App-Store-Betreiber Apps auf Schadsoftware scannen, eine 100-prozentige Sicherheit gibt es nie.
Für Banking-Trojaner gibt es eine Untergrund-Industrie, die ihre Schadsoftware im Abonnement an andere Kriminelle, sprich die Phishing-Betrüger, verkauft. Das Perfide daran: «Jedes Mal, wenn die IT-Abteilungen der Banken ihre Sicherheitsvorkehrungen verbessern, profitieren auch die Malware-Entwickler. Für sie sind die Updates eine potenzielle Einnahmequelle, da sie eine neue Generation von Trojanern verkaufen können», schreibt das Wirtschaftsportal Business Insider.
Dass es wirklich einen Hack bei Revolut gab oder dass jemand die Sicherheitsmassnahmen der App ausgehebelt hat, ist unwahrscheinlich.
Was aber sehr unschön ist:
Bei den Opfern sitzt der Frust tief und das liegt primär am offenbar heillos überlasteten Kundendienst der Smartphone-Bank. Geschädigte warteten laut Eigenaussage teils Wochen auf eine Rückerstattung. «Das ist unglaublich frustrierend», sagt ein Betrugsopfer zu watson. «Bis die Medien sich einmischten, gab es von Revolut kein Eingeständnis des Betrugs, kein Wort über Entschädigung, nichts.» Die langsame Reaktionszeit des Kundenservice deute darauf hin, dass es ein viel grösseres Problem gebe, als Revolut zugibt.
«Seit Wochen chatte ich fast täglich mit Revolut», sagte ein anderes Schweizer Opfer gegenüber blick.ch. Dabei hat man immer wieder mit anderen Kundendienst-Mitarbeitern zu tun, die den genauen Fall kaum kennen und keine konkreten Antworten geben können.
Ging mir auch so, ebenfalls letzen Samstag. Absolut keine Infos vom Revolut, App im lockdown, man hat nicht einmal genug Angaben für eine Anzeige. Gelinde gesagt eine Katastrophe.
— Emptyquant (@emptyquant) August 21, 2019
Im Netz veröffentlichen wütende und frustrierte Revolut-Nutzer auch Chat-Gespräche mit dem Kundendienst, die beweisen sollen, dass sie von der Smartphone-Bank über Wochen hingehalten werden.
Oh no! That's way too long, Goran! Would you mind giving us a follow here so we can send you a DM? We'd love to help you. 🙏
— Revolut (@RevolutApp) August 26, 2019
Klar ist: Wie klassische Banken seit Jahren kämpfen nun auch Smartphone-Banken permanent mit Phishing-Angriffen und Betrugsfällen. Deutsche Medien berichteten bereits im März über Kunden des deutschen Revolut-Pendants N26, denen mehrere tausend Euro von ihren Konten entwendet wurden.
Der Unterschied: Kommt ein Kunde zu Schaden, kann er sich bei seiner Hausbank telefonisch an den Kundenberater wenden, der ihm in der Regel versichern wird, dass er sein Geld wieder bekommt. Denn keine Bank kann sich den Image-Schaden leisten, wenn Betrugsopfer in den (sozialen) Medien über ihren Verlust erzählen. Online-Banken sind günstiger, dafür ist auch der Kundendienst schlechter. Geschädigte müssen in erster Linie auf die Chat-Funktion in den jeweiligen Apps zurückgreifen. Für normale Auskünfte ist der Chat ausreichend, in einem echten Notfall aber nicht. Da die Opfer über den Chat keine konkreten Antworten erhielten, gingen sie an die Öffentlichkeit.
Revolut hat nun auf die harte Tour erlebt, was es heisst, beim Kundendienst zu sparen. Die gleiche Lektion erlebte der deutsche Rivale N26 vor einigen Monaten. Kurz: Die Online-Banken müssen beim Kundendienst zulegen, um eine echte Alternative zu klassischen Banken zu werden.
Revolut übt sich in Schadensbegrenzung und hat eine Woche nach den negativen Medienberichten angekündigt, den Kundendienst massiv auszubauen. In Porto soll dafür laut «Financial Times» (Paywall) ein neues Zentrum mit 400 Angestellten entstehen. Ein Eingeständnis, dass der Kundendienst mit dem rasanten Kundenwachstum nicht schritthalten konnte.
Nach dem ersten Artikel des «Tages-Anzeigers» über ein Schweizer Betrugsopfer sprach Revolut noch von einem «isolierten Einzelfall». Allerdings hatten sich bei Revolut offenbar schon Wochen zuvor Opfer gemeldet, wie etwa der «Blick» berichtete.
Revolut vertröstete die Opfer teils Wochenlang. Erst als die Medien grossflächig über mehrere Fälle berichteten, zeigte sich die britische Online-Bank gesprächsbereit: «Wir erstatten allen Kunden, die Opfer dieses raffinierten Betrugs sind, die volle Rückerstattung und wir werden diese Rückerstattungen mit hoher Dringlichkeit ausstellen», sagte Revolut gegenüber moneytoday.ch. Mindestens ein Opfer, das Revolut den Betrug innert Minuten melden konnte, bekam sein Geld schnell zurück: «Es gelang ihnen, die Konten zu blockieren, auf die das Geld überwiesen wurde.» Auch die übrigen Opfer, die nicht so schnell reagierten und teils viel Geld verloren haben, wurden inzwischen entschädigt.
Kurz nach der der jüngsten Phishing-Welle hat Revolut in seiner App den Warnhinweis aufgeschaltet, dass das Unternehmen nie mit einer SMS nach dem persönlichen PIN-Code frage. Zudem wurde an die Kunden eine E-Mail mit Warnhinweisen verschickt.
Die deutsche Finanzaufsicht Bafin erhält laut NZZ «verstärkt Beschwerden bezüglich betrügerischer Transaktionen über Direktbank-Konten». Sechs deutsche Volksbanken setzten demnach aus Sorge über Betrug vorübergehend die Überweisungen an Revolut aus.
Neu sind die Phishing-Probleme freilich nicht, sie haben sich mit den Smartphone-Banken nur akzentuiert: Bereits vor zwei Jahren wurden allein mit dem dem E-Banking-Trojaner ReTeFe täglich bis zu 100 Phishing-Angriffe auf Schweizer E-Banking-Lösungen festgestellt. Zwar wird ein Grossteil der Angriffe abgewehrt, aber das beste Abwehrsystem ist nur so gut wie das schwächste Glied – und das ist in aller Regel der Nutzer. Das mussten bereits im Frühjahr Kunden des deutschen Revolut-Pendants N26 erleben, denen laut NZZ ebenfalls mehrere tausend Euro von ihren Konten entwendet wurden.
«Cyberangriffe sind inzwischen das grösste operationelle Risiko für das Finanzsystem», sagte Finma Direktor Mark Branson an der letztjährigen Jahresmedienkonferenz der Eidgenössische Finanzmarktaufsicht. Zwei Drittel der Angriffe auf kritische Infrastrukturen betreffen den Finanzsektor.
Und: Das Risiko steigt mit der zunehmenden Digitalisierung. Mit der wachsenden Nutzung klassischer Banking-Apps und dem Boom neuer Smartphone-Banken werden Angriffe lukrativer und sie verlagern sich vom PC auf Mobiltelefone. Die regelmässigen Phishing-Wellen und die immer ausgeklügelteren Banking-Trojaner unterstreichen mehr als deutlich, dass sich die Angriffe lohnen.
Nutzer von Smartphone-Banken sind vermutlich besonders interessante Phishing-Opfer, da viele dieser User oft Beträge ins Ausland überweisen. Wenn ein Nutzer häufig grössere Summen ins Ausland transferiert, schlägt der automatische Warnmechanismus der Bank vermutlich nicht sofort an, da selbst mehrere Überweisungen nicht zwingend auffällig sind. Hat jemand hingegen ein Konto bei einer klassischen Bank und überweist für gewöhnlich kein Geld ins Ausland, würde die Bank bei ungewöhnlichen Auslandüberweisung höchstwahrscheinlich telefonisch nachfragen, bevor sie den Zahlungsauftrag freigibt.
«Wir denken immer noch, dass mobile Geräte sehr sicher sind, doch das ist nicht wahr», sagt Zeki Turedi, Technologiestratege der IT-Sicherheitsfirma Crowdstrike gegenüber dem Wirtschaftsportal Business Insider. Im Gegensatz zum Laptop oder Computer fehle beim Smartphone oftmals das Bewusstsein für Sicherheitsrisiken.
Ein Beispiel zur Verdeutlichung: Phishing-E-Mails sind (fast) allseits bekannt, Phishing-SMS ein noch eher jüngeres Phänomen. Viele Menschen sind nicht darauf gefasst, betrügerische SMS-Links zu erhalten. Das spielt den Kriminellen in die Hände.
Bei betrügerischen SMS schöpfen manche Nutzer zudem kaum Verdacht, da die Phishing-SMS von der gleichen Nummer wie die echte Bestätigungs-SMS zu kommen scheint, sprich im gleichen Chat-Verlauf angezeigt wird. Kommt hinzu: Im aktuellen Fall war die Phishing-Webseite bzw. der Phishing-Prozess offenbar so gut gestaltet, «dass man den Eindruck hatte in der echten App zu sein», wie ein Opfer sagt.
Je mehr Nutzer Smartphone-Banken haben, desto mehr lohnen sich aufwändige, raffinierte Angriffe. Und da die potenziellen Opfer schlechte Phishing-Versuche inzwischen durchschauen, werden die Attacken immer gerissener. Anders gesagt: Es kann heute ganz einfach jeden treffen. Hat man beispielsweise gerade das Smartphone gewechselt und bekommt nun eine SMS von Revolut, die zur Bestätigung des Kontos auffordert, dürfte dies für viele ziemlich plausibel klingen.
«Verzerren die öffentlichen Beschwerden derzeit das Bild von den jungen Finanzdienstleistern – oder haben sie ein systemisches Sicherheitsproblem?», fragt die NZZ. Eine berechtigte Frage, die sich nicht so einfach beantworten lässt. Klar ist: Phishing ist kein spezifisches Problem von schnell wachsenden Smartphone-Banken wie Revolut, Transferwise, N26, Neon oder Zak. Es kann von A wie Apple bis Z wie Zalando alle Akteure im Internet treffen – auch klassische Banken, PayPal oder soziale Netzwerke.
Klar ist aber auch: Je mehr Menschen auf dem Handy Finanz-Apps nutzen, desto attraktiver werden Angriffe. Revolut hat laut Eigenaussage sieben Millionen Nutzer, N26 kommt auf 3,5 Millionen. Oder anders gesagt: Der Markt für Banking-Trojaner wächst und stetig verbesserte Phishing-Angriffe gegen Smartphone-Nutzer werden uns noch lange beschäftigen.
Daher müssen Revolut und Co. handeln und die Sicherheit laufend verstärken – auch wenn dies bedeuten kann, dass die Nutzung der Banking-App umständlicher wird. Das Problem: Das Geschäftsmodell der jungen Online-Banken sieht Wachstum auf Teufel komm raus vor. Zusätzliche Sicherheitshürden, die Online-Transaktionen für den Nutzer sicherer, aber auch weniger bequem machen, stehen da Quer in der Landschaft. 3-D Secure etwa, das die Sicherheit bei Kreditkarten-Bezahlungen im Internet erhöht, hat Revolut erst in den letzten Wochen schrittweise eingeführt. Nicht ganz freiwillig. Eine neue EU-Richtlinie schreibt Banken ab Mitte September zusätzliche Sicherheitsverfahren vor, die Kunden in der EU bei Geldgeschäften besser vor Gefahren im Internet schützen sollen.
Der Zielkonflikt zwischen Bequemlichkeit und Sicherheit betrifft grundsätzlich alle Banken. Sie fürchten, dass sie Kunden verlieren, wenn sie nicht auf bequeme Anmelde-Prozesse via App und SMS setzen. «Diesen Trend, der User Experience über Sicherheit stellt, haben insbesondere digitale Finanzunternehmen, FinTechs, zu verantworten», sagte E-Banking-Experte Vincent Haupert im Interview mit Vice. Haupert hat in der Vergangenheit schon mehrmals Banken geknackt.
Die Zukunft muss zeigen, ob Banken im Netz den Spagat zwischen Nutzerfreundlichkeit und Sicherheit finden. So oder so gilt: «Appsolute» Sicherheit wird es, wie immer im Leben, nicht geben. «Wenn der User schlussendlich seine Informationen an den Hacker raus gibt, hat dieser freie Hand», sagt Näf.
Bitte mehr davon :)
Wann immer man per E-Mail/SMS aufgefordert wird, sich anzumelden, sollte man - wenn die Nachricht nicht erkennbar faul ist - sich über den gewohnten Weg anmelden, d.h. entweder den gewöhnlichen Link eingeben oder die App manuell öffnen. Niemals sollte man aber die Links im Mail/SMS anklicken.