News

N26: Mit diesen Tricks wurden Kunden der Digitalbank bestohlen

Ein Anruf – und kurz danach war das Konto leer. (Foto: N26)

Die Betrugsfälle bei N26 beherrschen die Schlagzeilen. Heute können wir einen der Fälle ausführlicher dokumentieren. Klar wird: Es trifft nicht nur Leichtgläubige.

Die Digitalbank N26 hat ein Problem mit Betrugsfällen, die auf Phishing basieren – das gibt auch CEO Valentin Stalf im Interview mit t3n zu. Doch die Nutzer dafür verantwortlich zu machen, wäre sicherlich wenig zielführend und würde die Schuld den Falschen zuschieben. Denn anhand eines Falls, den uns ein Leser ausführlich geschildert hat, können wir jetzt zeigen, dass es wohl so ziemlich jeden treffen kann.

Tobias B. ist Marketingverantwortlicher eines großen Unternehmens im E-Commerce, digital-affin durch und durch und sicherlich niemand, den man sich als typisches Phishing-Opfer vorstellen kann. Er kennt sich schon aus beruflichen Gründen mit Betrugs- und Sicherheitsthemen aus und übertrifft sicherlich sogar in manchen Punkten das überdurchschnittliche Wissen um Zusammenhänge beim Smartphone-Banking, das man bei N26-Kunden voraussetzen kann.

Ein seriös wirkender Anruf, vermeintlich von N26

Vor einigen Tagen erhielt B. einen Anruf in bestem Deutsch, in dem ihn die Bank mit der dort üblichen Sprachregelung und Wortwahl auf ein Sicherheitsproblem mit seinem Konto aufmerksam machte – und mit ihm die nötigen Schritte durchsprach. Die Prozesskette entsprach dem zu Erwartenden und wirkte im Gegensatz zu den sonst üblichen Phishing-Anrufen absolut seriös auf ihn. „Es gab keinerlei Grund, daran zu zweifeln, selbst die Absendernummer war entsprechend manipuliert, sodass auf meinem Display die bei mir eingespeicherte Zuordnung zu N26 angezeigt wurde.“

Mithilfe weniger Schritte, auf die der Kunde aus juristischen Gründen nicht im Detail eingehen will, schafften die Betrüger es, seine Konto-App umzuleiten und die hinterlegte E-Mail-Adresse sowie die Telefonnummer für die Kommunikation ebenfalls zu ändern. Unstrittig ist, dass die Phishing-Attacke nicht über irgendeine fremde Oberfläche per Link-Spam stattgefunden hat, sondern aufwendig per Telefon und App erfolgt ist.

Nachdem der Account gekapert war, ging der Rest ähnlich zügig vonstatten: Innerhalb von 20 Minuten, so kann es Tobias B. rekonstruieren, wurde in einer ersten Überweisung das gesamte Konto leergeräumt, ein immerhin hoher vierstelliger Betrag auf ein anderes deutsches Konto überwiesen, danach in einer zweiten Überweisung der (standardmäßig niedrige) Kreditrahmen ausgeschöpft.

Betrugsprävention von N26 hat nicht funktioniert

Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten nicht angeschlagen haben: Änderung der Handynummer (auf ein in England gemeldetes Smartphone), Änderung der E-Mail-Adresse, kompletter Kontoinhalt überwiesen und eine weitere Überweisung bis zum Kreditlimit – und das alles innerhalb von 20 Minuten. Das ist schon so auffällig, dass man sich fragt, was die Aufgabe der Betrugspräventionssysteme ist, wenn sie hier nicht Alarm schlagen.

Als Tobias B. einige Stunden später dann doch Verdacht schöpft, ist es zu spät. Er erreicht am nächsten Morgen zwar seine Bank, hat dort aber vor allem das Problem, dass er sich nur über Umwege ausweisen kann, da er ja aktuell keinen Kontozugriff hat. „Insgesamt hat die Reaktion per Mail zwei Tage gedauert, weil ich mich ja nicht wie gewohnt legitimieren konnte ohne Kontozugriff.“ Per Chat ging es etwas schneller, nachdem er die Anzeige bei der Polizei wegen Betrugs vorweisen kann. Einen Tag später hat er zumindest wieder Lesezugriff auf sein Konto, hätte aber aufgrund der Sperrung keine Zahlungen ausführen können. Seit rund zehn Tagen wartet der Kunde auf eine Reaktion der Fachabteilung, die ihm zwar versprochen wurde, aber immer noch nicht erfolgt ist.

„Ich bin zum einen enttäuscht über die Servicequalität bei der Behandlung von so gravierenden Problemfällen, wie wir sie hier haben. Zum anderen bin ich verärgert darüber, wie einfach sich selbst eine auffällige Attacke wie meine realisieren lässt“, erklärt Tobias B., der übrigens weiterhin die Ideen und Funktionen eines Smartphone-Kontos, wie es N26 bietet, cool und spannend findet. Allerdings hat das Unternehmen inzwischen offenbar eine Größe erreicht, die es ins Fadenkreuz von Kriminellen rücken lässt. Hier muss die Bank aufpassen, dass sie das Vertrauen der Nutzer bewahrt.

t3n meint: Der Fall zeigt einmal mehr, dass zu einer vernünftigen Unternehmensführung auch gehört, dass die Kundenkommunikation gerade im Krisenfall einer Kundenbeziehung optimal läuft. Man erwartet hier von Banken mehr als von anderen Unternehmen. Gleichzeitig dokumentiert der Fall aber auch, wie professionell und gut inzwischen Phishing-Attacken geworden sind und dass es durchaus auch digital-affinen Menschen passieren kann, dass sie von einer gut gemachten, seriös wirkenden Telefon-Attacke auf Social-Engineering-Basis überrumpelt werden. Tobias Weidemann

Das könnte dich auch interessieren: 

 

Outbrain