Mobile Payment wird über alle Generationen hinweg immer beliebter. Nicht nur junge, sondern auch immer mehr ältere Menschen entdecken die Bezahlmethode für sich und schätzen die Einfachheit und Bequemlichkeit. Doch nicht nur sie tappen in Fallen und werden fallen auf einen möglichen Betrug beim mobile Payment herein.
Hier berichtet André Bajorat, wie er und seine Familie innerhalb weniger Wochen Opfer eines Kreditkartenbetrugs geworden sind. Er konnte dabei beobachten, wie unterschiedlich hier die beteiligten Banken mit den Folgen des Betrugs umgehen.
Fall 1: Der Third-Party Fail
Der erste Fall liegt bereits ein paar Wochen zurück. Es betraf mich und eines meiner Konten bei einer Neobank. Der Ablauf des Betrugs ist im Nachhinein sehr einfach und mein Handeln war rückblickend sehr naiv von mir. Es begann damit, dass ich eine SMS von meinem Handy, durch andere Third Party Zugriffe auf das Konto, bekannten Nummer erhielt. Daher vertraute ich – naiverweise – dem Absender und klickte auf den enthaltenden Link, der mich aufforderte ein neues ‘device Binding’ vorzunehmen.
Nicht über Folgen nachgedacht
Natürlich hätte mir klar sein sollen, dass dies eigentlich nur bei neuen Geräten nötig ist. Da ich aber in diesem Moment parallel mit anderen Dingen beschäftigt war, dachte ich nicht lange genug über die möglichen Folgen nach. Der folgende technische Ping Pong zwischen der aus der SMS aufgerufenen mobilen Webseite mit Zertifikat und sinnvoller URL und der originalen mobile App der Neobank mit bekanntem Login fühlte sich zwar ein wenig komisch an, aber gerade der direkte Weg in die App und zurück auf die Webseite schien mir dann doch wieder vertrauensvoll. Das ich auf die Art und Weise im Begriff war den Zugriff auf meine App und damit meine Konto und Karte zu verlieren, war mir erst danach klar.
Nach dem „erfolgreichen“ device Binding folgten wenige Minuten danach Push Notifications auf mein Handy über Transaktionen in hohen Summen zu Händlern, die ich nicht kannte. Mein sofortiger Versuch aufs Konto per App oder Webseite zuzugreifen, um das zu prüfen, scheiterte, da ich keinen Zugang zum Account mehr hatte. Statt dessen erschienen weitere Transaktionen als Push Notifications auf dem Handy – zum Glück! Da der Weg in die App versperrt war, nutzte ich Twitter und stellte dort den Kontakt zum Support der Neobank her.
Twitter war die Rettung, CTO meldete sich persönlich
Die Mitarbeiterinnen antwortete sehr schnell und das Konto wurde binnen Minuten gesperrt. Leider nicht schnell genug um durch mehrere Transaktionen und Erhöhung der Limits auf Konto und Karte einen hohen Betrag vom Konto zu verschieben – sowohl per Überweisung als auch per Kreditkartenzahlungen. Gemeinsam mit dem Support bekam ich dann schnell wieder Zugang auf mein Konto und wir konnten das Vorgehen schnell gemeinsam nachvollziehen.
Am selben Abend habe ich noch eine Anzeige erstattet. Einen Tag später hatte ich den Großteil des Geldes wieder auf meinem Konto. Einige Wochen später folgte auch der Restbetrag der wohl als Chargeback geltend gemacht wurde. In der Zwischenzeit hat sich der CTO der Neobank noch einmal direkt bei mir gemeldet, um den Ablauf noch einmal zu verstehen und Lehren daraus zu ziehen.
Fazit: Für mich bleibt unter dem Strich zwar ein ungutes Gefühl zurück, aber dennoch ein sehr zufriedenes Erlebnis mit der Neobank.
Fall 2: Mein Schwiegervater und seine Kreditkarte
Mein Schwiegervater ist stolzer Fahrer eines deutschen Autos. Als markentreuer Besitzer ist er auch Nutzer der zugehörigen Kreditkarte. Die dahinter zuständige Bank machte in den letzten Wochen viel Werbung für die neue mobile App und die Möglichkeit, Apple Pay nutzen zu können. Diesen Rufen folgte der ältere Herr gern und zugleich stolz, nun auch mit seinem Handy zahlen zu können. Kurze Zeit später entschied er sich zudem für ein neues iPhone und fand einen freundlichen Verkäufer, der ihm bei der nötigen Migration der Daten behilflich war. Das alte Gerät nehm er in Zahlung. Leider ging diese Hilfsbereitschaft etwas zu weit und der „Dienstleister“ ließ sich seine Leistung sehr gut bezahlen.
Was passierte?
Der Verkäufer verschaffte sich ‚dank‘ der Migration der Daten Zugriff zum alten iPhone und hinterlegte dabei unbemerkt wohl auch seinen Fingerabdruck im Gerät. Statt wie versprochen die Daten sofort nach der Migration zu löschen, wurde die im Handy hinterlegte Kreditkarte in den Tagen nach der Migration für Flugreisen sowie Einkäufe in Luxusboutiquen genutzt. Die Zahlungen wurden meinem Schwiegervater – anders als mir oben – nicht sofort sichtbar, sondern erst einige Tage später in der mobile App der Bank.
In der folgenden Kommunikation mit der Bank wurde die Karte gesperrt und meinem Schwiegervater eine neue Karte zugestellt und die obligatorische Anzeige bei der Polizei erfolgte. Im Gegensatz aber zur Neobank war die Bank hier aber leider nicht zu einer kundenfreundlichen Lösung bereit.
Die abgebuchten Umsätze in Höhe einer vierstelligen (!!) Summe, wurde meinem Schwiegervater komplett belastet und Hinweise auf etwaige Chargebacks bzw. dem beworbenen Liability Switch im mobilen Payment oder etwaige Kulanz für einen sehr treuen Kunden wurden abgelehnt.
Fazit: Was bleibt ist ein sehr unzufriedener Kunde, der die Markenkarte zu seinem Auto sicherlich nicht mehr nutzen wird.
Sind es Einzelfälle?
In beiden Fällen sind die Besitzer der Karte zugegebenermaßen nicht sehr schlau gewesen. Dennoch bleibt die Frage, wie gehen wir in Zukunft mit Betrug im Umfeld von mobilen Bezahlen um, vor allem dann, wenn wir das Ziel haben, immer größere Zielgruppen erreichen zu wollen? Müssen wir hier noch mehr das Thema Sicherheit by design im Blick haben? Ist Payment vielleicht sogar zu easy geworden?
Ich habe das Payment and Banking-Team um seine Meinung gefragt.:
Jochen Siegert:
Beide Fälle sind eigentlich nicht zu vergleichen und ich hätte formell in beiden Fällen gleich reagiert wie die Banken.
Fangen wir beim Phising an: Der Kundenfehler ist das eine, aber bei der Transaktion sehe ich eine klare Mitschuld der Bank. Ungewöhnliche Transaktionen führten seit Jahrzehnten im Kartenbereich immer zum Blocken durch Risikosysteme und Verifizieren/Rückrufen. Auch müsste bei der Bank der Link zwischen neuer Geräteverknüpfung und sofortiger hoher Transaktion zu einem klaren Alarm führen, vor allem da es bei einer Phishing-Attacke gleich eine Vielzahl von Kunden der Bank trifft. So gesehen liegt hier eine Teilschuld der Bank vor, die beim Transaction Monitoring geschlafen hat und nachbessern muss.
Klaffende Lücke bei Apple-Pay?!
Bei der iPhone-Migration ist die Situation anders. Ein Chargeback ist nicht möglich weil keine Schuld des Händlers – dieser hat sich nach Rules&Regulations richtig verhalten. Der Schwiegervater hat die “virtuelle PIN” unfreiwillig weiter gegeben und ein Dritter ist damit shoppen gegangen. So gesehen nicht anders wenn ich meine “richtige” PIN einem Dritten gebe, auf die Karte schreibe oder auf einem Zettel in der Geldbörse verwahre.
In diesen Fällen kompensiert die Bank auch nichts. Vermutlich hat der Schwiegervater die Bank aber auf eine klaffende Prozesslücke bei ApplePay hingewiesen, die jeden Kunden alle zwei Jahre beim iPhone-Wechsel betrifft. Ich wette die Bank hat diese Lücke in der Kommunikation / Kundenerklärungen noch gar nicht berücksichtigt. So gesehen hat die Bank zwar keine Mitschuld, wäre aber besser beraten zumindest einen Teilbetrag des Schadens freiwillig zu übernehmen als “Tippgeber” für eine zukünftig bessere Kundenkommunikation beim nächsten iPhone-Tausch der restlichen Kunden. Dann könnten solche Streitereien mit weiteren Kunden unterbleiben.
Christina Cassala:
Richtig ist: Unwissenheit schützt vor Strafe nicht, dennoch sind beiden Beispiele ein Beleg dafür, wie schnell Nutzer in Payment-Fallen tappen können. Selbstredend ist es wichtig, Paymentprozesse so einfach wie möglich zu gestalten, denn davon hat schließlich jeder etwas: Die Händler, die schnell ihr Geld bekommen, die Banken, die Third Party-Anbieter und nicht zuletzt auch der Kunden.
Aber die Frage, ob die Bequemlichkeit und die Einfachheit von Payment-Prozessen in keinem Verhältnis mehr zur Unwissenheit der Anwender steht, ist berechtigt. Immerhin besteht die Welt nicht nur aus Payment-Nerds, die im Zweifel noch das Kleingedruckte vom Kleingedruckten lesen, sondern vor allem aus stinknormalen Bürger:innen. Denen ist am Ende nämlich völlig schnuppe, welche Prozesse und technologischen Finessen im Hintergrund ablaufen.
Fehler sitzt vor dem Rechner
Der Fehler (sprich: der Nutzer) sitzt oft VOR dem Gerät – das bedenken Entwickler und Anbieter der Lösungen meines Erachtens viel zu wenig. Das ist ein großes Problem für Menschen, die zwar die Digitalisierung nutzen, sie aber nicht verstehen und von den unzähligen Möglichkeiten völlig überfordert sind – und das sind nicht nur ältere Menschen. Auch Jüngere können schnell Opfer der vermeintlichen Einfachheit werden. Habe ich eine Lösung? Nein, aber ich wünsche mir, dass vor allem und gerade bei Payment-Prozessen die Nutzer:innen wieder im Vordergrund stehen, und nicht das Streben nach der nächsten noch so fancy App oder Lösung.
