News

N26: Mit diesen Tricks wurden Kunden der Digitalbank bestohlen

Ein Anruf – und kurz danach war das Konto leer. (Foto: N26)

Die Betrugsfälle bei N26 beherrschen die Schlagzeilen. Heute können wir einen der Fälle ausführlicher dokumentieren. Klar wird: Es trifft nicht nur Leichtgläubige.

Die Digitalbank N26 hat ein Problem mit Betrugsfällen, die auf Phishing basieren – das gibt auch CEO Valentin Stalf im Interview mit t3n zu. Doch die Nutzer dafür verantwortlich zu machen, wäre sicherlich wenig zielführend und würde die Schuld den Falschen zuschieben. Denn anhand eines Falls, den uns ein Leser ausführlich geschildert hat, können wir jetzt zeigen, dass es wohl so ziemlich jeden treffen kann.

Tobias B. ist Marketingverantwortlicher eines großen Unternehmens im E-Commerce, digital-affin durch und durch und sicherlich niemand, den man sich als typisches Phishing-Opfer vorstellen kann. Er kennt sich schon aus beruflichen Gründen mit Betrugs- und Sicherheitsthemen aus und übertrifft sicherlich sogar in manchen Punkten das überdurchschnittliche Wissen um Zusammenhänge beim Smartphone-Banking, das man bei N26-Kunden voraussetzen kann.

Ein seriös wirkender Anruf, vermeintlich von N26

Vor einigen Tagen erhielt B. einen Anruf in bestem Deutsch, in dem ihn die Bank mit der dort üblichen Sprachregelung und Wortwahl auf ein Sicherheitsproblem mit seinem Konto aufmerksam machte – und mit ihm die nötigen Schritte durchsprach. Die Prozesskette entsprach dem zu Erwartenden und wirkte im Gegensatz zu den sonst üblichen Phishing-Anrufen absolut seriös auf ihn. „Es gab keinerlei Grund, daran zu zweifeln, selbst die Absendernummer war entsprechend manipuliert, sodass auf meinem Display die bei mir eingespeicherte Zuordnung zu N26 angezeigt wurde.“

Mithilfe weniger Schritte, auf die der Kunde aus juristischen Gründen nicht im Detail eingehen will, schafften die Betrüger es, seine Konto-App umzuleiten und die hinterlegte E-Mail-Adresse sowie die Telefonnummer für die Kommunikation ebenfalls zu ändern. Unstrittig ist, dass die Phishing-Attacke nicht über irgendeine fremde Oberfläche per Link-Spam stattgefunden hat, sondern aufwendig per Telefon und App erfolgt ist.

Nachdem der Account gekapert war, ging der Rest ähnlich zügig vonstatten: Innerhalb von 20 Minuten, so kann es Tobias B. rekonstruieren, wurde in einer ersten Überweisung das gesamte Konto leergeräumt, ein immerhin hoher vierstelliger Betrag auf ein anderes deutsches Konto überwiesen, danach in einer zweiten Überweisung der (standardmäßig niedrige) Kreditrahmen ausgeschöpft.

Betrugsprävention von N26 hat nicht funktioniert

Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten nicht angeschlagen haben: Änderung der Handynummer (auf ein in England gemeldetes Smartphone), Änderung der E-Mail-Adresse, kompletter Kontoinhalt überwiesen und eine weitere Überweisung bis zum Kreditlimit – und das alles innerhalb von 20 Minuten. Das ist schon so auffällig, dass man sich fragt, was die Aufgabe der Betrugspräventionssysteme ist, wenn sie hier nicht Alarm schlagen.

Als Tobias B. einige Stunden später dann doch Verdacht schöpft, ist es zu spät. Er erreicht am nächsten Morgen zwar seine Bank, hat dort aber vor allem das Problem, dass er sich nur über Umwege ausweisen kann, da er ja aktuell keinen Kontozugriff hat. „Insgesamt hat die Reaktion per Mail zwei Tage gedauert, weil ich mich ja nicht wie gewohnt legitimieren konnte ohne Kontozugriff.“ Per Chat ging es etwas schneller, nachdem er die Anzeige bei der Polizei wegen Betrugs vorweisen kann. Einen Tag später hat er zumindest wieder Lesezugriff auf sein Konto, hätte aber aufgrund der Sperrung keine Zahlungen ausführen können. Seit rund zehn Tagen wartet der Kunde auf eine Reaktion der Fachabteilung, die ihm zwar versprochen wurde, aber immer noch nicht erfolgt ist.

„Ich bin zum einen enttäuscht über die Servicequalität bei der Behandlung von so gravierenden Problemfällen, wie wir sie hier haben. Zum anderen bin ich verärgert darüber, wie einfach sich selbst eine auffällige Attacke wie meine realisieren lässt“, erklärt Tobias B., der übrigens weiterhin die Ideen und Funktionen eines Smartphone-Kontos, wie es N26 bietet, cool und spannend findet. Allerdings hat das Unternehmen inzwischen offenbar eine Größe erreicht, die es ins Fadenkreuz von Kriminellen rücken lässt. Hier muss die Bank aufpassen, dass sie das Vertrauen der Nutzer bewahrt.

t3n meint: Der Fall zeigt einmal mehr, dass zu einer vernünftigen Unternehmensführung auch gehört, dass die Kundenkommunikation gerade im Krisenfall einer Kundenbeziehung optimal läuft. Man erwartet hier von Banken mehr als von anderen Unternehmen. Gleichzeitig dokumentiert der Fall aber auch, wie professionell und gut inzwischen Phishing-Attacken geworden sind und dass es durchaus auch digital-affinen Menschen passieren kann, dass sie von einer gut gemachten, seriös wirkenden Telefon-Attacke auf Social-Engineering-Basis überrumpelt werden. Tobias Weidemann

Das könnte dich auch interessieren: 

 

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

10 Kommentare
Sebos
Sebos

Wir hatten im Familienkreis einen ähnlichen Fall. Auch Anrufer, auch Sicherheitsproblem. In dem Fall angeblich von der Sparkasse („Hallo Frau XY, hier ist XY von der Sparkasse“). (Wie wir später erfuhren, in Wirklichkeit aus einem Call-Center in der Türkei). Während des Telefonats gabs sogar small-talk „ach heute ist ja so schönes Wetter, morgen solls noch wärmer werden“. Krass. Man fragt sich ja schon, wie Menschen sowas machen und sich morgens noch im Spiegel ansehen können. Jedenfalls wurde hier dann auch irgendwann gefordert, man möge eine TAN erstellen und sich damit quasi ausweisen. (mit der TAN wurde dann die Überweisung angestossen).

In dem Fall gings aber nochmal gut, weil bei der lokalen Sparkasse in der Fachabteilung ein Mensch saß, dem die Betragshöhe auffiel und der den Finger drauf hielt und anrief, ob die Überweisung denn wirklich so gewollt war. Manchmal ist analog doch noch besser als digital. (aber halt nur manchmal :-) )

Antworten
mugl
mugl

mir schleierhaft, warum dieser saftladen von vielen so in den himmel gelobt wird.

Antworten
J
J

Anfang 2018 wollte ich mir ein Geschäftskonto bei N26 zulegen.

Die Kreditkarte, die mir sofort zugeschickt wurde, habe ich heute noch hier herumliegen.

Auf alles andere warte ich heute noch: Vertrag, Kontodaten, IBAN etc.

Auf meine E-Mail-Anfragen kam nie eine Antwort. Ob ich jetzt Kunde bei denen bin oder nicht, weiß ich bis heute nicht.

Da war mir klar, dass ich bei so einem Laden nicht einmal eine Pizza Margeritha bestellen würde, geschweige denn ein Geschäftskonto anlege.

Antworten
Lenu
Lenu

Fremd VOLLZUGRIFF auf ein Konto durch bisschen manipulation am Telefon – also das klingt mir wirklich nicht nach irgendwelcher Erfahrung. Allein das Bankmitarbeiter niemals nach irgendwelchen relevanten Daten fragen würden. Mich hätte wirklich die genaue Vorgehensweise interessiert! Denn so wirkt das ziemlich dämlich – sorry. Kein Wunder, dass die Details nicht bekannt sind … Wäre mir auch peinlich.

Mies und Opfer und alles keine Frage. Aber … puh – das Opfer als Erfahren darzustellen, eher hier unpraktisch :-D

Antworten
Kian
Kian

„…digital-affin durch und durch und sicherlich niemand, den man sich als typisches Phishing-Opfer vorstellen kann….aus beruflichen Gründen mit Betrugs- und Sicherheitsthemen aus und übertrifft sicherlich sogar in manchen Punkten das überdurchschnittliche Wissen….“

Ja ne ist klar :D

Antworten
ich
ich

Also einen Marketing Menschen als digital affin und dadurch gefeilt gegen phishing darzustellen ist etwas weit hergeholt. Nur weil man twitter nutzen kann hat man kein know how über Sicherheitsthemen.

Es liest sich so als hätte der Kunde auf Anweisung per Telefon die hinterlegte eMail Adresse und Telefonnummer wissentlich geändert. Falls das wirklich so war ist das nicht nachvollziehbar weshalb man sowas tun sollte.

Ich halte nicht viel von dem N26 Hype aber ich kann meinen Vermieter auch nicht verantwortlich machen wenn ich den Wohnungsschlüssel rausgebe und meine Wohnung ausgeräumt wird. Nichtsdestotrotz hoffe ich dass der Leser sein Geld wiederbekommmt.

Antworten
Eric
Eric

Schade dass euer Redakteur auf den Zug aufgesprungen ist. Wie schon in anderen Kommentaren erwähnt wurde, wüsste ein digital affiner ganz sicher dass eine Bank niemals die vollständigen Zugangsdaten am Telefon abfragen würde. Und das ist die einzige Möglichkeit wie sich der Zugriff realisieren lies. Daher wollte der Betroffene wohl auch nicht mehr zum Vorgehen der Betrüger sagen. Wäre mir an seiner Stelle auch sehr peinlich. Aber dann sollte man nicht N26 dafür an den Pranger stellen! Und als Magazin welches eigentlich Expertise in dem Bereich aufweisen müsste solltet ihr den Artikel korrigieren.

Antworten
Manuel
Manuel

Mal ganz außen vor gelassen, dass der Protagonist eigentlich irgendwann mal hätte hellhörig werden müssen.
Bei der örtlichen Sparkasse, Volksbank oder einer beliebigen anderen Filialbank kann der Betroffene spätestens am nächsten Werktag persönlich rein spazieren und sagen „Guten Tag. Meine Name ist … Ich hätte gerne wieder Zugriff auf mein Konto. Hier ist noch mein Personalausweis“.
Und genau aus dem Grund bleibe ich meiner Bank treu.

Antworten
Philipp
Philipp

Ich frage mich bis heute, wie eine Bank, die auf dem 33c3 dermaßen bloßgestellt wurde, überhaupt noch einen einzigen Kunden haben kann. Und dass dieses Unternehmen seine Banklizenz noch nicht verloren hat, ist mir auch ein Rätsel.

„Hier muss die Bank aufpassen, dass sie das Vertrauen der Nutzer bewahrt.“ aus meiner Sicht ist es dafür schon längst zu spät. Sie verspielen aber gerade nicht nur den eigenen Ruf sondern den Ruf der gesamten Branche.

Antworten
ngzero
ngzero

Das man Absenderkennungen im Telefonnetz einfach fälschen kann ist kein geheimnis, das sollte eigentlich jeder wissen.
Dann kommt ein Anruf mit gutem Deutsch, das heißt der Anrufer darf nicht lügen.
Wir müssen leider aus Sicherheitsgründen ihre Telefonnummer und E-Mail-Adresse ändern, bitte geben Sie uns ihr Passwort.
seems legit.

“Programming today is a race between software engineers striving to build bigger and better idiot-proof programs, and the Universe trying to produce bigger and better idiots. So far, the Universe is winning.”

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 65 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Stephan Dörner (Chefredakteur t3n.de) & das gesamte t3n-Team

Anleitung zur Deaktivierung