Via Swisspass in SBB-App gehackt – über 500 Franken weg!

Darum gehts Betrüger buchten Bahntickets über SBB-App einer Blick-Leserin

Swisspass weist Vorwürfe zu Datenleck zurück, führt neue Sicherheitsmassnahmen ein

Milena Kälin Redaktorin Wirtschaft

Als Blick-Leserin Claudia S.* (27) ihr E-Banking öffnet, traut sie ihren Augen nicht: 500 Franken für eine SBB-Bestellung gingen weg von ihrem Konto! «Dabei habe ich gar keine Bahnreise gebucht», ärgert sich S.

Ein Blick in ihre SBB-App zeigt: Unter ihrem Namen haben Unbekannte vier 1.-Klasse-Tickets von Rom nach Turin gebucht. Kostenpunkt: 130 Franken pro Billett. Bezahlt via Twint. Als S. den Vorfall entdeckte, fuhren die Betrüger bereits gemütlich auf ihre Kosten durch Italien. «Mir war nach Heulen zumute», so die Leserin.

S. meldet den Betrugsfall umgehend telefonisch bei der SBB. Stornieren liessen sich die Tickets nicht mehr. Denn die Betrüger hätten die Reservation kurz nach der Buchung angepasst, heisst es. Bei der italienischen Bahn lassen sich Tickets danach nicht mehr annullieren. Die Betrüger scheinen also genau zu wissen, wie sie sich vor Stornierungen schützen können.

Von den SBB bekommt S. kein Geld zurück. Auch ihre Bank, die Postfinance, zahlt erst bei Betrugsfällen ab 800 Franken. «Es ist einfach eine megabeschissene Situation – niemand fühlt sich zuständig», so die gefrustete Leserin. Ihre letzte Hoffnung setzt sie nun auf ihre Cybersecurity-Versicherung. Dafür muss sie eine Anzeige bei der Polizei in der Schweiz machen.

Auch die italienische Bahnpolizei hat S. über den Vorfall informiert, als die Betrüger noch mit dem Zug unterwegs waren. Diese meldeten sie sich bisher aber nicht zurück.

Dabei ist S. kein Einzelfall. SRF-«Espresso» berichtete Ende März über einen ähnlichen Vorfall: Betrüger hackten das Swisspass-Konto eines Studenten und brachten ihn um 853 Franken. Bei ihm passten die Hacker gar die E-Mail-Adresse an, er konnte sich darauf nicht mehr einloggen.

Swisspass weist Vorwürfe zu Datenleck zurück

Der SBB-Kundendienst spricht gegenüber der Leserin am Telefon von einem «Datenleck». Die Rede ist von bis zu zehn Fällen täglich. Die neue Masche kursiere seit Mitte März, heisst es weiter. Die SBB verweisen auf die ÖV-Organisation Swisspass. Sprecherin Michaela Ruoss weist die Vorwürfe zurück: «Es gibt kein Leck bei Swisspass. Hier haben sich Betrüger in das Kundenkonto der Kundin gehackt und dort die Billette gekauft. Diese Masche gibt es seit längerem.» Wie oft es zu solchen Fällen kommt, will sie allerdings nicht verraten. Was Swisspass gegen solche Hacks tut?

So schützt du dein Swisspass-Konto Swisspass empfiehlt allen Kundinnen und Kunden, die Zwei-Faktor-Authentifizierung einzurichten. Auf der Website von Swisspass kann man unter «Anmeldung» das «Zweistufige Anmelden» aktivieren. In der SBB-App muss man unter «persönliche Einstellungen» auf «Logindaten ändern» klicken und wird dann auf die Swisspass-Website umgeleitet. 100-prozentigen Schutz bietet das zwar nicht – doch es erhöht den Aufwand für die Angreifer.

In der SBB-App kann man unter «Einstellungen zum Billettkauf» zudem einstellen, dass Käufe via Face-ID bestätigt werden müssen. Am besten stellt man zudem die Funktion aus, dass es für Tickets unter 40 Franken keine zusätzliche Bestätigung braucht.

Es gebe eine neue Massnahme, die ihre Organisation vor kurzem eingeführt habe. Erfolgt eine neue Anmeldung auf einem bisher fremden Gerät, erhält der Kunde eine E-Mail und kann reagieren, falls Betrüger am Werk sind.

Wie kann es so weit kommen?

«Es ist davon auszugehen, dass die Betrüger Zugang zum Benutzerkonto des Opfers erhalten haben», sagt Cybersecurity-Experte Marc Ruef (44), Gründer des Portals computec.ch. In der Regel passiere das durch klassisches Phishing: Dabei wird der Kunde dazu verleitet, seine Zugangsdaten irgendwo preiszugeben – diese werden dann abgegriffen.

Das Problem: Haben Hacker erst einmal Zugriff auf ein Konto, können sie frei walten. «Hinterlegte Zahlungsmittel, zum Beispiel Twint, können dann direkt für eine Buchung missbraucht werden», erklärt der Experte. Er empfiehlt deshalb tiefe Limiten.

Da hilft auch ein 20-stelliges kompliziertes Passwort nichts mehr. «Es werden aus anderen Leaks bekannte Passwörter ausprobiert, in der Hoffnung, dass ein Opfer bei verschiedenen Diensten das gleiche Passwort verwendet», sagt Ruef gegenüber Blick. Generell sollte man ein Passwort deshalb nicht für mehrere Internetdienste verwenden.

Am besten schützt man sich dabei mit Antiviren-Lösungen sowie einem Passwort-Manager. Dabei sollte man auch immer die neuste Version des Betriebssystems herunterladen. Ruef weiss: «Mindestens so wichtig ist der skeptische Umgang mit Anfragen wie verdächtigen Anrufen, SMS oder E-Mails.»

S. hat die Betrüger bei der Polizei angezeigt. Viel erhofft sie sich davon zwar nicht, doch so sollte sie immerhin ihr Geld von der Versicherung zurückbekommen. «Bis ich an mein Geld komme, dauert es sicher noch mehrere Wochen.»

* Name geändert