„Es wurde weder auf Gelder zugegriffen noch wurden sie gestohlen. Ihr Geld ist sicher, wie immer“, lautet der wohl wichtigste Satz in einem Schreiben von Revolut an betroffene Kund:innen nach einem Hackerangriff vor wenigen Tagen. Dieser könnte Daten über sie erbeutet haben, schreibt das Fintech–Startup.
Es seien allerdings nur 0,16 Prozent der Kunden betroffen; all jene erhielten den Brief. Das wären der Aussage zufolge rund 32.000 Kontoinhaber:innen. Alle anderen müssten sich keine Sorgen machen, heißt es. Die Zahl lässt Beobachter:innen stutzen, denn sie stimmt nicht mit einer entsprechenden Meldung an die Behörden überein.
Doch über 50.000 Kunden:innen betroffen?
Revolut betont, der Angriff sei sehr gezielt gewesen und das Unternehmen habe ihn sofort identifiziert sowie isoliert. Neben dem besagten Brief hat es den Vorfall auch an die litauischen Behörden gemeldet – Revolut besitzt eine örtliche Bankenlizenz.
Dort ist die Rede von 50.150 Kund:innen, die betroffen seien. Davon entfallen 20.687 auf den europäischen Wirtschaftsraum, 379 stammen aus Litauen, zitiert Techcrunch die Meldung. Ein spezielles Team überwache die betroffenen Konten auf verdächtige Bewegungen, so das Fintech-Einhorn.
Revolut nennt Art der abgegriffenen Daten nicht
Welcher Art die Informationen waren, die erbeutet worden sein könnten, verrät die Bank nicht. Selbst Kund:innen, die den Support deswegen kontaktierten, erhielten keine spezifischen Auskünfte.
Revolut sagt jedoch neben dem Eingangszitat auch, dass keine Kartendaten, PINs oder Passwörter abgegriffen worden seien. Möglicherweise hatten die Hacker:innen aber auf andere Kartenzahlungsdaten Zugriff. Das Unternehmen nennt Namen, Adressen, E-Mail-Adressen und Telefonnummern der Kund:innen.
Betroffene vor erhöhtem Betrugsrisiko
Laut der Offenlegung haben die Angreifer:innen Mitarbeiter:innen dazu gebracht, vertrauliche Zugangsdaten preiszugeben. Man spricht von Social-Engineering. Revolut warnt, die persönlichen Daten in den falschen Händen könnten wiederum eine Reihe von Social-Engineering-Attacken nach sich ziehen.
Etwa habe der Angriff bereits eine Phishing-Kampagne ausgelöst, bei der Mails fälschlicherweise den Eindruck erwecken, als stammten sie von der Startup-Bank. Auf diese Weise wird versucht, Kund:innen auf gefälschten Websites zu leiten, um dort ihre Login-Daten abzugreifen.
Revolut wies explizit darauf hin, dass man keine Anrufe oder SMS mit der Bitte um Anmeldenamen und Zugangscode verschicke. Auch bei E-Mails sei Vorsicht geboten.