Die Digitalbank N26 hat ein Problem mit Betrugsfällen, die auf Phishing basieren – das gibt auch CEO Valentin Stalf im Interview mit t3n zu. Doch die Nutzer dafür verantwortlich zu machen, wäre sicherlich wenig zielführend und würde die Schuld den Falschen zuschieben. Denn anhand eines Falls, den uns ein Leser ausführlich geschildert hat, können wir jetzt zeigen, dass es wohl so ziemlich jeden treffen kann.
Tobias B. ist Marketingverantwortlicher eines großen Unternehmens im E-Commerce, digital-affin durch und durch und sicherlich niemand, den man sich als typisches Phishing-Opfer vorstellen kann. Er kennt sich schon aus beruflichen Gründen mit Betrugs- und Sicherheitsthemen aus und übertrifft sicherlich sogar in manchen Punkten das überdurchschnittliche Wissen um Zusammenhänge beim Smartphone-Banking, das man bei N26-Kunden voraussetzen kann.
Ein seriös wirkender Anruf, vermeintlich von N26
Vor einigen Tagen erhielt B. einen Anruf in bestem Deutsch, in dem ihn die Bank mit der dort üblichen Sprachregelung und Wortwahl auf ein Sicherheitsproblem mit seinem Konto aufmerksam machte – und mit ihm die nötigen Schritte durchsprach. Die Prozesskette entsprach dem zu Erwartenden und wirkte im Gegensatz zu den sonst üblichen Phishing-Anrufen absolut seriös auf ihn. „Es gab keinerlei Grund, daran zu zweifeln, selbst die Absendernummer war entsprechend manipuliert, sodass auf meinem Display die bei mir eingespeicherte Zuordnung zu N26 angezeigt wurde.“
Mithilfe weniger Schritte, auf die der Kunde aus juristischen Gründen nicht im Detail eingehen will, schafften die Betrüger es, seine Konto-App umzuleiten und die hinterlegte E-Mail-Adresse sowie die Telefonnummer für die Kommunikation ebenfalls zu ändern. Unstrittig ist, dass die Phishing-Attacke nicht über irgendeine fremde Oberfläche per Link-Spam stattgefunden hat, sondern aufwendig per Telefon und App erfolgt ist.
Nachdem der Account gekapert war, ging der Rest ähnlich zügig vonstatten: Innerhalb von 20 Minuten, so kann es Tobias B. rekonstruieren, wurde in einer ersten Überweisung das gesamte Konto leergeräumt, ein immerhin hoher vierstelliger Betrag auf ein anderes deutsches Konto überwiesen, danach in einer zweiten Überweisung der (standardmäßig niedrige) Kreditrahmen ausgeschöpft.
Betrugsprävention von N26 hat nicht funktioniert
Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten nicht angeschlagen haben: Änderung der Handynummer (auf ein in England gemeldetes Smartphone), Änderung der E-Mail-Adresse, kompletter Kontoinhalt überwiesen und eine weitere Überweisung bis zum Kreditlimit – und das alles innerhalb von 20 Minuten. Das ist schon so auffällig, dass man sich fragt, was die Aufgabe der Betrugspräventionssysteme ist, wenn sie hier nicht Alarm schlagen.
Als Tobias B. einige Stunden später dann doch Verdacht schöpft, ist es zu spät. Er erreicht am nächsten Morgen zwar seine Bank, hat dort aber vor allem das Problem, dass er sich nur über Umwege ausweisen kann, da er ja aktuell keinen Kontozugriff hat. „Insgesamt hat die Reaktion per Mail zwei Tage gedauert, weil ich mich ja nicht wie gewohnt legitimieren konnte ohne Kontozugriff.“ Per Chat ging es etwas schneller, nachdem er die Anzeige bei der Polizei wegen Betrugs vorweisen kann. Einen Tag später hat er zumindest wieder Lesezugriff auf sein Konto, hätte aber aufgrund der Sperrung keine Zahlungen ausführen können. Seit rund zehn Tagen wartet der Kunde auf eine Reaktion der Fachabteilung, die ihm zwar versprochen wurde, aber immer noch nicht erfolgt ist.
„Ich bin zum einen enttäuscht über die Servicequalität bei der Behandlung von so gravierenden Problemfällen, wie wir sie hier haben. Zum anderen bin ich verärgert darüber, wie einfach sich selbst eine auffällige Attacke wie meine realisieren lässt“, erklärt Tobias B., der übrigens weiterhin die Ideen und Funktionen eines Smartphone-Kontos, wie es N26 bietet, cool und spannend findet. Allerdings hat das Unternehmen inzwischen offenbar eine Größe erreicht, die es ins Fadenkreuz von Kriminellen rücken lässt. Hier muss die Bank aufpassen, dass sie das Vertrauen der Nutzer bewahrt.
Das könnte dich auch interessieren:
- N26: Ein leergeräumtes Konto, fehlender Telefonsupport und eine überforderte Bank
- Betrug bei N26: Jetzt spricht Gründer und CEO Valentin Stalf
- N26 wird zum Einhorn: Warum der Big Deal gut für die gesamte Startup-Szene ist
Wir hatten im Familienkreis einen ähnlichen Fall. Auch Anrufer, auch Sicherheitsproblem. In dem Fall angeblich von der Sparkasse („Hallo Frau XY, hier ist XY von der Sparkasse“). (Wie wir später erfuhren, in Wirklichkeit aus einem Call-Center in der Türkei). Während des Telefonats gabs sogar small-talk „ach heute ist ja so schönes Wetter, morgen solls noch wärmer werden“. Krass. Man fragt sich ja schon, wie Menschen sowas machen und sich morgens noch im Spiegel ansehen können. Jedenfalls wurde hier dann auch irgendwann gefordert, man möge eine TAN erstellen und sich damit quasi ausweisen. (mit der TAN wurde dann die Überweisung angestossen).
In dem Fall gings aber nochmal gut, weil bei der lokalen Sparkasse in der Fachabteilung ein Mensch saß, dem die Betragshöhe auffiel und der den Finger drauf hielt und anrief, ob die Überweisung denn wirklich so gewollt war. Manchmal ist analog doch noch besser als digital. (aber halt nur manchmal :-) )
mir schleierhaft, warum dieser saftladen von vielen so in den himmel gelobt wird.
Anfang 2018 wollte ich mir ein Geschäftskonto bei N26 zulegen.
Die Kreditkarte, die mir sofort zugeschickt wurde, habe ich heute noch hier herumliegen.
Auf alles andere warte ich heute noch: Vertrag, Kontodaten, IBAN etc.
Auf meine E-Mail-Anfragen kam nie eine Antwort. Ob ich jetzt Kunde bei denen bin oder nicht, weiß ich bis heute nicht.
Da war mir klar, dass ich bei so einem Laden nicht einmal eine Pizza Margeritha bestellen würde, geschweige denn ein Geschäftskonto anlege.
Fremd VOLLZUGRIFF auf ein Konto durch bisschen manipulation am Telefon – also das klingt mir wirklich nicht nach irgendwelcher Erfahrung. Allein das Bankmitarbeiter niemals nach irgendwelchen relevanten Daten fragen würden. Mich hätte wirklich die genaue Vorgehensweise interessiert! Denn so wirkt das ziemlich dämlich – sorry. Kein Wunder, dass die Details nicht bekannt sind … Wäre mir auch peinlich.
Mies und Opfer und alles keine Frage. Aber … puh – das Opfer als Erfahren darzustellen, eher hier unpraktisch :-D
„…digital-affin durch und durch und sicherlich niemand, den man sich als typisches Phishing-Opfer vorstellen kann….aus beruflichen Gründen mit Betrugs- und Sicherheitsthemen aus und übertrifft sicherlich sogar in manchen Punkten das überdurchschnittliche Wissen….“
Ja ne ist klar :D
Also einen Marketing Menschen als digital affin und dadurch gefeilt gegen phishing darzustellen ist etwas weit hergeholt. Nur weil man twitter nutzen kann hat man kein know how über Sicherheitsthemen.
Es liest sich so als hätte der Kunde auf Anweisung per Telefon die hinterlegte eMail Adresse und Telefonnummer wissentlich geändert. Falls das wirklich so war ist das nicht nachvollziehbar weshalb man sowas tun sollte.
Ich halte nicht viel von dem N26 Hype aber ich kann meinen Vermieter auch nicht verantwortlich machen wenn ich den Wohnungsschlüssel rausgebe und meine Wohnung ausgeräumt wird. Nichtsdestotrotz hoffe ich dass der Leser sein Geld wiederbekommmt.
Schade dass euer Redakteur auf den Zug aufgesprungen ist. Wie schon in anderen Kommentaren erwähnt wurde, wüsste ein digital affiner ganz sicher dass eine Bank niemals die vollständigen Zugangsdaten am Telefon abfragen würde. Und das ist die einzige Möglichkeit wie sich der Zugriff realisieren lies. Daher wollte der Betroffene wohl auch nicht mehr zum Vorgehen der Betrüger sagen. Wäre mir an seiner Stelle auch sehr peinlich. Aber dann sollte man nicht N26 dafür an den Pranger stellen! Und als Magazin welches eigentlich Expertise in dem Bereich aufweisen müsste solltet ihr den Artikel korrigieren.
Mal ganz außen vor gelassen, dass der Protagonist eigentlich irgendwann mal hätte hellhörig werden müssen.
Bei der örtlichen Sparkasse, Volksbank oder einer beliebigen anderen Filialbank kann der Betroffene spätestens am nächsten Werktag persönlich rein spazieren und sagen „Guten Tag. Meine Name ist … Ich hätte gerne wieder Zugriff auf mein Konto. Hier ist noch mein Personalausweis“.
Und genau aus dem Grund bleibe ich meiner Bank treu.
Ich frage mich bis heute, wie eine Bank, die auf dem 33c3 dermaßen bloßgestellt wurde, überhaupt noch einen einzigen Kunden haben kann. Und dass dieses Unternehmen seine Banklizenz noch nicht verloren hat, ist mir auch ein Rätsel.
„Hier muss die Bank aufpassen, dass sie das Vertrauen der Nutzer bewahrt.“ aus meiner Sicht ist es dafür schon längst zu spät. Sie verspielen aber gerade nicht nur den eigenen Ruf sondern den Ruf der gesamten Branche.
Das man Absenderkennungen im Telefonnetz einfach fälschen kann ist kein geheimnis, das sollte eigentlich jeder wissen.
Dann kommt ein Anruf mit gutem Deutsch, das heißt der Anrufer darf nicht lügen.
Wir müssen leider aus Sicherheitsgründen ihre Telefonnummer und E-Mail-Adresse ändern, bitte geben Sie uns ihr Passwort.
seems legit.
“Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.”