Beträge im vierstelligen Bereich

Ferienkässeli von Travelcash-Kunden gehackt

Uhr
von Maximilian Schenner und cwa

Tausende von Franken auf Prepaid-Kreditkarten von Travelcash wurden durch Brute-Force gestohlen. Das System hätte die Sicherheitslücken sofort erkennen sollen, sagt ein Experte. Einige Betroffene erhielten ihre Verluste zurück - jedoch nicht alle.

(Source: pixabay.com / JESHOOTS-com)
(Source: pixabay.com / JESHOOTS-com)

Das Konzept von Prepaid-Kreditkarten ist simpel: vorab, etwa vor den Ferien, einen gewissen Betrag auf die Karte laden und sich den ganzen Urlaub über keine Sorgen um Geld machen müssen. Dieses Service bietet auch das Schweizer Unternehmen Swiss Bankers mit der Travelcash-Karte an. Wenn dann aber plötzlich vierstellige Summen fehlen oder hohe Gebühren anfallen, bekommt die Urlaubsstimmung schnell einen Dämpfer.

Tausende Franken gestohlen

Einfaches Aufladen, geringe Gebühren, weltweites Bezahlen: das verspricht Swiss Bankers auf seiner Website. Weltweit bezahlt wurde in grossem Stil - jedoch nicht immer von den Kundinnen und Kunden, wie "SRF" schreibt. Eine Pensionistin aus der Schweiz habe etwa einen Flug nach Dubai gebucht und für die Reise 2000 Franken auf ihre Karte geladen. Dann kam Corona, die Dame stornierte den Flug und verwahrte die Karte in ihrem Bankschliessfach. Mehr als ein halbes Jahr später musste sie feststellen, dass auf der Karte 800 Franken fehlten – ausgegeben im E-Commerce, in verschiedenen Ländern und Währungen. Mittels Brute-Force-Attacke hatten die Betrüger die Zahlenkombination der Karte erlangt, wie SRF schreibt. Der Schweizer Rundfunk habe nach einem Bericht Anfang April 2021 dutzende Zusendungen von betroffenen Kartennutzerinnen und -nutzern erhalten.

"Wer kauft schon 20 Mal am Tag für 99 Rappen ein?", soll eine andere Betroffene später gegenüber dem SRF beklagt haben. Nach diesem Muster seien ihr über 1000 Franken von der Karte gestohlen worden. Sparsame Menschen würden so einkaufen, habe ihr Swiss Bankers damals geantwortet.

Ins Ausland sind übrigens auch Daten von Swisscom-Kunden abgeflossen. Nun stellte sich heraus, dass ein tunesisches Unternehmen verantwortlich sein soll - mehr dazu lesen Sie hier.

Anbieter nur bedingt kooperativ

"Trotz hochentwickelter Abwehrsysteme kann es vorkommen, dass Betrüger Verfahren nutzen, die nicht umgehend erkannt werden", habe Swiss Bankers auf die ersten Vorfälle hin verkündet. Sicherheitsexperte Nicolas Mayencourt sieht das anders: "Das Sicherheitssystem hätte sofort Alarm schlagen müssen", lässt sich der CEO von Dreamlab Technologies zitieren. "Das sind klassische Betrugsszenarien, fast schon wie aus dem Lehrbuch." Im Zuge der Swiss Cyber Security Days 2021 sprach Mayencourt mit Swisscybersecurity.net unter anderem über den Zusammenhang von Cybersicherheit und Klimawandel - das volle Interview lesen Sie hier.

Nicholas Mayencourt, Cybersecurity-Experte und CEO von Dreamlab Technologies. (Source: Tamedia AG)

Der Anbieter habe die gestohlenen Beträge zwar letztendlich an die Betroffenen zurückgezahlt - allerdings nur an jene, die den Vorfall innert 30 Tagen an das Unternehmen gemeldet hätten. Alle anderen, etwa die pensionierte Dubai-Touristin, gingen leer aus. Hans Jörg Widinger, CEO von Swiss Bankers, bedauert im Gespräch mit SRF, "dass einige Kunden aus unserer Kulanzregelung herausgefallen" seien. Man werde diese Kunden kontaktieren und das gestohlene Geld zurückbezahlen, sofern die Abbuchungen auffällig gewesen seien.

Auch das Versprechen mit den geringen Gebühren konnte das Kartenunternehmen in der Vergangenheit nicht immer halten. Einem Bericht aus dem Jahr 2014 zufolge hätten sich viele Reisende im Ausland mit hohen Automatenkosten konfrontiert gesehen, die Swiss Bankers nicht angekündigt habe.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_213662