Ich schreibe über einen Betrug, den ein Kollege begangen hat und der zu Verlusten von 85.000 £ für unser kleines Unternehmen führte.
Betrüger führten den Betrug über das Revolut-Konto des Unternehmens in einer komplexen Mischung aus Hacking, Phishing und Identitätsdiebstahl durch und führten ein Dutzend digitale Kreditkartentransaktionen im Wert von 2 bis 22.000 £ durch. Revolut weigert sich, Geld zurückzuerstatten. Bitte helfen Sie.
Anon.
Revolut besteht darauf, dass es im Fall Ihres Kollegen ausreichende Abmahnungen ausgesprochen hat, die den Erstattungsanspruch Ihres Unternehmens hinfällig gemacht haben
SALLY HAMILTON ANTWORTEN: Ihr Fall ist nur einer von mehreren besorgniserregenden Fällen, die in letzter Zeit ans Licht kamen. Dabei ging es um Kunden von Revolut, deren Konten allesamt von Betrügern mithilfe raffinierter Kontoübernahmetechniken geplündert wurden.
Eine Kontoübernahme erfolgt, wenn sich ein Krimineller als echter Kunde ausgibt – in der Regel hat er persönliche Daten durch „Phishing“ oder auf andere Weise erhalten.
Der Betrüger übernimmt die Kontrolle über ein Konto, indem er möglicherweise sein eigenes Gerät zum Konto hinzufügt oder sich als Bank ausgibt, um das Opfer zum Herunterladen von Software zu überreden, die es ihm ermöglicht, das Konto remote auf dem Computer des Kunden zu verwalten.
Wie in Ihrem Fall ruft der Kriminelle dazu in der Regel das Opfer an und gibt sich als Mitglied des Betrugsteams der Bank aus, um ihn vor einer Sicherheitslücke zu warnen, die seiner Meinung nach dringendes Handeln erfordert.
Sobald der Betrüger die Kontrolle über das Konto erlangt hat, leitet er das Geld per Banküberweisung oder Zahlungskarte auf andere Konten weiter, wobei die Gelder oft im Ausland landen. Betrüger können auf alle Arten von Konten abzielen – beispielsweise von Banken, Mobilfunkanbietern und Kreditkartenunternehmen.
Verbrauchergruppe Welche? berichtete letzten Monat über zwei Fälle, in denen es um Revolut-Kleinunternehmenskunden ging, die durch den Betrug 165.000 £ bzw. 40.000 £ verloren hatten.
Nicht lange danach enthüllte die Website AccountingWEB den Fall einer Buchhalterin, die auf die gleiche Weise 53.000 Pfund von ihrem Revolut-Konto geplündert hatte. Keiner dieser Verluste wurde von Revolut erstattet.
Die Betrüger scheinen den Prozess der Kontoübernahme als mühelos zu empfinden und kommen zurück, um die Opfer zu verspotten. Ihr Kollege wurde nach dem Angriff angerufen und ihm wurde gesagt: „Das waren die einfachsten 85.000 Pfund, die ich je verdient habe.“ „Du lebst und lernst“.
Revolut, das bankähnliche Dienstleistungen mit angehängter Zahlungskarte anbietet, aber derzeit über keine Banklizenz im Vereinigten Königreich verfügt, besteht darauf, dass es im Fall Ihres Kollegen ausreichende Warnungen ausgegeben hat, die den Erstattungsanspruch Ihres Unternehmens ungültig gemacht haben.
Eines der Opfer in „Which?“ report kontaktierte mich, um mir mitzuteilen, wie ärgerlich er die Werbekampagne von Revolut in der Londoner U-Bahn fand, die damit prahlt, dass die Zahlungskarte „zu viele Sicherheitsmerkmale für eine Anzeige“ habe.
Es listet eine große Zahl auf, hebt einige jedoch fett hervor, darunter „Wir überwachen Ihr Konto auf verdächtige Aktivitäten“ und „Virtuelle Einwegkarten zum Schutz Ihrer Online-Zahlungen“.
Diese Funktionen schienen Ihren Kollegen nicht zu schützen. Er und die anderen Opfer berichten nahezu kopiergeschützt, wie sie mithilfe ausgefeilter Social-Engineering-Techniken dazu verleitet wurden, Daten an Betrüger weiterzugeben, die daraufhin mehrere Transaktionen auf ihren Konten durchführten.
Im Beispiel Ihres Unternehmens wurde das Opfer per SMS von jemandem kontaktiert, der sich als Mitglied des Betrugsteams von Revolut ausgab und ihm davon überzeugte, dass jemand versuchte, ohne Autorisierung auf das Konto des Unternehmens zuzugreifen, und dass er schnell handeln müsse, um dies zu stoppen.
Die Gauner waren so überzeugend, dass er die von ihnen empfohlenen Schritte unternahm, um die Gelder der Firma zu schützen. Doch dieser Rat war lediglich der erste Schritt in der grausamen List der Betrüger, das Konto zu stehlen.
Es ist eine SMS eingetroffen, offenbar von der Betrugsabteilung von Revolut, mit einem Code, den Ihr Kollege versehentlich in sein Telefon eingegeben hat. Dies ermöglichte es den Betrügern, weitere Sicherheitsmaßnahmen zu überwinden, das Konto zu übernehmen und von einem anderen Gerät aus ihre Aktion zu starten und Zahlungen in Höhe von insgesamt 85.213 £ vom Konto abzuschicken.
Revolut gibt an, dass keine Rückerstattung erfolgt, da die Schritte im Authentifizierungsprozess erfolgreich bestanden wurden. Sie sagen, dass eine wichtige Warn-E-Mail, ein früher Schritt in diesem Sicherheitsprozess, von Ihrem Kollegen nicht geöffnet wurde. Revolut bestreitet dies mit der Begründung, es sei angeklickt oder weitergeleitet worden.
Eine Ihrer größten Sorgen sind die Dutzenden von hohen Beträgen, die in schneller Folge von Ihrem Konto abgebucht wurden und an Empfänger gehen, die noch nie zuvor bezahlt haben, darunter auch den Geldtransferdienst WorldRemit.
Im Vorjahr wurden nur zwei Transaktionen über 1.000 £ vom Konto bezahlt, davor keine. Ein Kollege mit höherer Kontobefugnis entdeckte schließlich die verdächtigen Transaktionen und sperrte die betreffende Karte. Den Betrügern gelang es jedoch, eine neue virtuelle Karte zu erstellen und weitere Zahlungen vorzunehmen.
Auch Zahlungen, die als ausstehend angezeigt wurden, durften fortgesetzt werden, selbst nachdem der Betrug Revolut gemeldet wurde. Pending bietet offenbar keinen Schutz.
Revolut teilte mir mit, dass die Gelder für eine ausstehende Zahlung auf dem Konto des Kunden „gesperrt“ werden und nicht mehr unter seiner Kontrolle stehen und daher nicht storniert werden können. Es heißt, man habe versucht, die Gelder von den Empfängerunternehmen zurückzufordern, sei aber „erfolglos“ gewesen.
Ich weiß, dass es viele gibt, die der Meinung sind, dass Opfer solcher Betrügereien keine Entschädigung erhalten sollten. Es sei ihr Fehler, meinen sie. Aber ich fühle anders. Diese Leute wurden von hochqualifizierten Betrügern manipuliert und kontrolliert.
Aus natürlicher Angst um ihre Finanzen handelten sie schnell in dem Glauben, sie würden das Geld ihres Unternehmens schützen. Solange jemand nicht ins Visier solch hinterhältiger Machenschaften geraten ist, kann man nicht wissen, wie er reagieren wird. Kunden verlassen sich darauf, dass ihre Kontoanbieter die letzte Bastion der Sicherheit für ihr Geld sind, und erwarten von ihnen, dass sie mehr tun, um einzugreifen.
Revolut ist vielleicht nicht der einzige Kontoanbieter, der ins Visier genommen wird, aber Betrüger haben offenbar eine Schwachstelle darin entdeckt, die dringend behoben werden muss.
Ein Revolut-Sprecher sagt: „Wir verstärken ständig unsere Betrugskontrollen, um neuen Trends immer einen Schritt voraus zu sein, führen weitere direkte Interventionen ein und teilen Schulungsmaterialien mit unseren Kunden, damit sie die Social-Engineering-Taktiken von Kriminellen erkennen können.“ Revolut wird Sie niemals anrufen, ohne dies vorher über unseren sicheren In-App-Chat zu bestätigen.’
Der Sprecher fügt hinzu: „Wir sind uns der jüngsten Zunahme von ATO-Versuchen (Advanced Account Takeover Fraud) durch Kriminelle in der gesamten Branche bewusst und sind zutiefst besorgt darüber, dass eine große Anzahl von Betrügereien durch Kriminelle durch gefälschte und gefälschte Telefonanrufe und SMS-Nachrichten ermöglicht wird.“ „Wir ermutigen die Menschen, wachsam zu sein.“
Der Hinweis von Revolut auf gefälschte Anrufe und Nachrichten ist sicherlich berechtigt. Ihr Fall lässt darauf schließen, dass es für Betrüger allzu einfach ist, sich mit Texten und E-Mails, die echt erscheinen, als Unternehmen auszugeben.
Auf meine Ermutigung hin bringt Ihr Kollege seinen Fall nun zum Financial Ombudsman in der Hoffnung, dass dieser eine andere Meinung zur Erstattung vertritt.
Hausbesitzer sollten sich vor gefälschten E-Mails in Acht nehmen, die sich als Heimwerkermarke Homebase ausgeben, warnt Action Fraud. Betrüger versuchen Heimwerker-Fans mit Glückwunsch-E-Mails zu locken und behaupten, man habe die Chance, Produkte wie Bohrer des Werkzeugherstellers DeWalt zu gewinnen. Die Betrüger behaupten, man könne „antworten und gewinnen“, indem man auf einen Link klickt – die Links führen jedoch zu Phishing-Websites, die darauf abzielen, persönliche und finanzielle Daten zu stehlen. Action Fraud hat 3.500 Meldungen über die Betrugs-E-Mails erhalten. Klicken Sie nicht auf die Links in der E-Mail, sondern leiten Sie sie an [email protected] weiter
- Haben Sie ein Verbraucherproblem, bei dem Sie Hilfe benötigen? Schicken Sie Sally Hamilton eine E-Mail an [email protected] – geben Sie Telefonnummer, Adresse und eine an die betreffende Organisation gerichtete Notiz an, in der Sie ihr die Erlaubnis geben, mit Sally Hamilton zu sprechen.
- Bitte senden Sie keine Originaldokumente, da wir hierfür keine Haftung übernehmen können. Die Daily Mail oder This is Money übernehmen keine rechtliche Verantwortung für die gegebenen Antworten.
Bei einigen Links in diesem Artikel kann es sich um Affiliate-Links handeln. Wenn Sie darauf klicken, erhalten wir möglicherweise eine kleine Provision. Das hilft uns, This Is Money zu finanzieren und die Nutzung frei zu halten. Wir schreiben keine Artikel, um Produkte zu bewerben. Wir lassen nicht zu, dass eine kommerzielle Beziehung unsere redaktionelle Unabhängigkeit beeinträchtigt.