Dies ist nur eines von vielen Datenlecks, die in den letzten Wochen bei französischen Unternehmen aufgetreten sind, es könnte jedoch schwerwiegender sein als die anderen. Der Betreiber Free gab am Samstag, den 26. Oktober, bekannt, Opfer eines Cyberangriffs geworden zu sein, bei dem die persönlichen Daten von Millionen Abonnenten, insbesondere Bankkennungen (Iban), gestohlen wurden. Der Hacker, der die Verantwortung übernommen hat, gibt an, mehr als 5 Millionen Iban zu besitzen, wie mehrere Cybersicherheitsexperten berichten, darunter Damien Bancal zu AFP.
Als dieses Datenleck bekannt wurde, gab es einige beruhigende Stimmen, die behaupteten, dass es für einen Betrüger unmöglich sei, ein Bankkonto einfach mit einem Iban zu leeren. Mehrere Experimente zeigen jedoch, dass es möglich ist, mit diesen Identifikatoren Zahlungen ohne vorherige Genehmigung durchzuführen, auch bei regulären Zahlungen.
Zwei Journalisten der Technologie-Nachrichtenseite 01Net beispielsweise tauschten ihre jeweiligen Ibans, um zu versuchen, sich gegenseitig Geld zu „stehlen“, indem sie Produkte im Internet kauften. Der erste Test wurde auf Amazon durchgeführt. Der Journalist konnte den IBAN seines Kollegen als Zahlungsmittel hinzufügen, dann kaufte er ein preiswertes Produkt (einen Vierfarbenstift), das er ohne die geringste Identitätsprüfung oder Benachrichtigung des Kontoinhabers geliefert hatte.
Wie sieht es mit Abonnements und deren regelmäßigen Zahlungen aus? Die Website führte einen weiteren Test durch und abonnierte einen Mobilfunktarif für 2 Euro pro Monat bei Bouygues Telecom. Für die Proben nutzte die Journalistin das Iban ihrer Kollegin. Zu keinem Zeitpunkt wurde die „gestohlene“ Person darüber informiert, dass ihr Iban verwendet wurde. Der Vorgang wurde einige Tage später mit einer elektronischen Signatur des Journalisten validiert … ohne Validierungscode.
Obwohl die Journalisten Bouygues anschließend über ihre Erfahrungen informierten, kontaktierte die Betrugsabteilung des Unternehmens die Journalistin erst am Vorabend der ersten Probe „Bankdaten scheinen nicht vorhanden zu sein[ai]„nicht korrekt“. Allerdings wurde sein Kollege tatsächlich zum geplanten Termin festgenommen. Das Die Abbuchung wurde schließlich storniert, ohne dass der Inhaber des Bankkontos darüber informiert wurde.
Die Banken geben hier die Verantwortung an die Unternehmen weiter, die das Geld erhalten. „Es ist Sache des Gläubigers, der das Lastschriftmandat erhält, die Korrespondenz zwischen dem Iban und dem Inhaber zu überprüfen.“unterstreicht Crédit Agricole gegenüber 01Net. Dies ist das Prinzip von Sepa („Single Euro Payments Area“), der seit 2014 in 31 Ländern Europas geltenden europäischen Verordnung.
Der Verband UFC-Que Choisir schlug 2014 Alarm zu diesem Thema. „Anders als im alten System müssen Banken für eine Lastschrift nicht mehr die Einzugsermächtigung des Kunden einholen. Es ist jetzt der Empfänger der Lastschrift, der den Antrag selbst bei der Bank stellt.“erklärt der Verein auf seiner Website. „Praktische Konsequenz: Jeder, der die IBAN-Nummer einer Person besitzt, kann dort Geld abheben, ohne dass die Bank dies kontrollieren muss.“
Warum führen Gläubiger keine systematische Identitätsprüfung durch? Auf Nachfrage von 01Net erklärte Bouygues, dass dies der Fall sei „möchte seinen Kunden ein reibungsloses und zuverlässiges Erlebnis bieten. Dazu ermöglichen zahlreiche Tools die Durchführung automatischer und auch manueller Prüfungen, um Transaktionen abzusichern.“. Amazon wiederum erwähnt es „engagierte Teams“ und seine Investitionen „in modernsten Risikomanagementsystemen zum Schutz der Kunden“. Allerdings wird in keinem konkreten Dokument erläutert, was zur Überprüfung vorgesehen ist, ob eine Person, die einen IBAN eingibt, tatsächlich der Inhaber des Bankkontos ist.
Was also tun? Der erste Tipp besteht darin, die Belastungen Ihres Bankkontos zu überwachen und nach Zahlungen zu suchen, die Sie nicht geleistet haben. Sogar die Kleinsten, die leichter unbemerkt bleiben können. Banken bieten Ihnen auch die Möglichkeit, die Liste der aktuell auf Ihrem Konto registrierten Gläubiger einzusehen, um verdächtige Namen zu erkennen.
Dann stehen Ihnen mehrere Rechtsmittel zur Verfügung. Einerseits muss das Unternehmen, das das Geld erhält, Sie mindestens 14 Tage vor seiner Ausführung über die Auszahlung informieren, erinnert die Banque de France auf ihrer Website (es sei denn, es gibt eine vertragliche Vereinbarung, die ein anderes Verfahren vorsieht). Darüber hinaus haben Sie bei Unterzeichnung einer Lastschrifteinzugsermächtigung acht Wochen Zeit, um bei Ihrer Bank Einspruch gegen eine Lastschrift einzulegen, und die Bank muss Ihnen innerhalb von zehn Tagen den Betrag zurückerstatten. Wenn kein Mandat paraphiert wurde, haben Sie 13 Monate Zeit und müssen eine Rückerstattung erhalten „spätestens bis zum Ende des ersten darauffolgenden Werktages“Bankgebühren und Agios inklusive.
Das hindert Betrüger jedoch nicht daran, es auf derselben oder einer anderen Website noch einmal zu versuchen. Können wir das Problem an der Quelle behandeln? Sie können Unternehmen die Abbuchung von Lastschriften verbieten, indem Sie Ihre Bank bitten, sie auf Ihre „schwarze Liste“ zu setzen. Umgekehrt können Sie Ihrer Bank eine „weiße Liste“ der Unternehmen zukommen lassen, denen Sie Überweisungen erteilen. Sollte ein dort nicht aufgeführtes Unternehmen versuchen, Ihr Konto zu belasten, wird die Bewegung gesperrt.
In beiden Fällen sei Ihre Bank verpflichtet, dieser Anfrage stattzugeben, erinnert der Verband UFC-Que Choisir auf seiner Website. Beachten Sie, dass ein Betrüger daher mit Ihrem IBAN die Dienste von Unternehmen bezahlen kann, die auf dieser weißen Liste aufgeführt sind. Aber zumindest werden die Risiken reduziert.
