Journalist um 8’000.- betrogen, Twint zero Kontrolle

Wollte auf Occasion-Plattform Tutti.ch Altes verrösten, ging Cyber-Kriminellen in Falle: Trick mit KKiosk-Karten. Twint versagt.

Lukas Hässig 70 70 Kommentare 11.362 Neu

Der Mann ist kein Anfänger. Auf Tutti und Ricardo hat er schon massenhaft Dinge verdealt.

Umso mehr ärgert sich der Zürcher Journalist über den einen Klick, der ihn 8’000 Franken kostet.

Eine „Klara“ mit sichtbarer Mobil-Nummer lockte den Medienmann in die Falle.

Es kam zu einem Hin und her um die Lieferkosten, welche die Käuferin der Waren zu tragen hätte. Dafür schickte sie dem Journalisten einen Link.

Dort rief der Mann sein Twint-Konto auf, in der Annahme, so von der Frau eine Gutschrift für den Transport zu erhalten.

Die Seite war eine täuschend echte Fälschung. Als er dies merkte, war’s zu spät.

Twint? Hello-oo? Jemand zu Hause? (IP)

Innert Sekunden überwiesen die Betrüger 499 Franken, 498 Franken, 497 Franken, 492 Franken – unzählige Beträge, immer nah bei der 500 Franken-Limite.

Total gegen 8’000 Franken. Empfängerin war immer die KKiosk. Die gehört zu Valora, ein grosser Detailhändler.

Man könne leider nicht helfen, hiess es dort – „nach erfolgreicher Bezahlung“ würde „die E-Mail mit dem gekauften Geschenkkartencode versendet“.

Die Gauner kriegten die Beute über anonyme KKiosk-Digital-Karten.

Einzige Hoffnung sei, so KKiosk, dass „die Geschenkkartencodes oder die Gutscheine nicht direkt nach dem Einkauf eingelöst worden“ seien.

Was sie natürlich waren.

Das Problem liegt vor allem beim zweiten Player: der Twint. 20 Minuten berichtete von einem anderen Fall, wo die Kriminellen ebenfalls via Twint Tausende von Franken erbeutete.

Die Zahl-App der Schweizer Banken hat frisch fröhlich rund 20 Mal knapp 500 Franken ab dem Twint-Konto des Journalisten abgebucht.

Immer an den gleichen Empfänger, die KKiosk.

Reaktion? Fragen? Temporärer Stopp?

Null. Nada.

Jede Bank ruft sofort an, wenn sie Verdacht schöpft, dass eine Überweisung betrügerisch sein könnte.

Hier roch alles nach Crime – doch Twint überwies im Sekundentakt. Die Super-Erfolgs-App von Swiss Banking: Ein offenes Scheunentor.

Kommentare

Kommentar zu Das Auge offen und den Geist wach halten Abbrechen

Danke, dass Sie unsere Regeln beachten. Unser Ziel ist, dass Ihr Kommentar sofort erscheint. Ihre E-Mail Adresse wird nicht veröffentlicht. Benötigte Felder sind markiert. *

Die beliebtesten Kommentare

  1. Irgendwer mit massenhaft Erfahrung im Onlineverkauf klickt auf einen Link aus unbekannter Quelle, der Ihn zu seinem Twint Profil führt……

    Lesen

  1. Cybercrime überall bei allen und jederzeit. Darum: die Credentials geheim behalten, QR Codes immer verifizieren, niemandem glauben, 2FA aktivieren und im Zweifelsfall nichts absenden sondern bei Vertrauensleuten rückfragen. Und für Kleinkram immer Bargeld. Einfache und gute Regeln. Easy.

    Antworten

  3. ACHTUNG! Twint in Verknüpfung mit weiteren Apps ist nicht sicher. Z.B. wenn man in der SBB-App die automatische Zahlung aktiviert hat, können Betrüger via SBB-App Geld direkt abbuchen, ohne, dass man davon erfährt, ausser man kontrolliert in regelmässigen Abständen die Buchungen. Die Sicherheitslücken in Drittsystemen (SwissPass, SBB) sind das Problem. So passiert und ich wurde um rund CHF 1000.- erleichtert. Meldung z.B. per Mail, von SwissPass, dass ein Zugriff von einem anderen Gerät, oder Standort erfolgt ist? Meldung von SwissPass/SBB, dass meine E-Mailadresse geändert worden ist? Meldung von Swisspass, dass eine Zwei Phasen Authentifizierung möglich ist? Meldung von Swisspass, dass das Passwort veraltet ist? Leider eine Fehlanzeige – die Strukturen sind veraltet und nicht kundenfreundlich.

    Mein Tipp, entfernt in der Twint-App die die Verknüpfungen zu anderen Apps, oder lässt keine automatischen Abbuchungen via Twint auf den Dritt-Apps zu.

    Antworten

  7. Journalist bei SRF Investigativ? In der Geschichte fehlt nur noch die aufwändige Berechnung von Schattenwürfen und Jahreszeiten und eine Meinungsanalyse zu D.T. und Klimathemen…

    Antworten

  8. Deshalb entweder SEPA-Überweisung auf das Bankkonto oder Cash. So schön die Banking-Apps auch sein mögen aber gerade das ist ein massives Einfallstor für Kriminelle. Unterm Strich ist der Betroffene aber irgendwo auch selbst schuld, wenn man einfach auf einen Link klickt.

    Antworten

  9. Twint und Tutti sind nicht sicher. Leider.
    Vorauszahlung bei Versand, Barzahlung bei Abholung.
    Leider wird man nur an die Polizei verwiesen, die tut aber nichts ausser Formularkrieg. Selbst wenn der Betrüger bekannt ist.
    Auch Tutti, ricardo, Twint machen nichts. Schade und es gibt immer mehr Betrüger.

    Antworten

    • Twint und Tutti sind sicher – man muss sich einfach nicht betrügen lassen. Wenn man dann auf einen Link klickt, welcher der Käufer versendet, um zu zeigen, dass bezahlt wurde, ist man halt schon selber schuld. Twint zeigt es innerhalb von wenigen Sekunden an, ob eine Zahlung eingegangen ist, da muss man nicht einen fremden Link anklicken.

    • Hase, Tutti ist definitiv unsicher. Vorallem wenn man etwas kaufen möchte.

  10. Weil Twint so einfach ist, ist es auch so gefährlich. Habe 200.00 dadurch verloren.

    Fazit: Lebe wieder ohne Twint.

    Antworten

  13. Um Geld zu erhalten muss man NIE mit der eigenen App etwas scannen, nur um zu zahlen (Gratislektion 1).
    War Roger Köppel das Opfer?

    Antworten

  14. Für die Abzocke waren mehrere Schritte/Fehler des Betrogenen nötig. Wer das tut, der ist echt selber schuld. Von der Limitenbegrenzung von Twint ganz zu schweigen. Man muss sie halt setzen.

    Antworten

  15. Je nach Anbieter, also Bank, hat man verschiedene Sicherheitsmassnahmen bei Twint. Also Limiten für Einkäufe und Geldüberweisungen – jeweils pro Transaktion – und das Total pro Monat, also sämtliche Twint-Zahlungen. Bei der Postfinance ist diese automatisch (nicht individuell) auf CHF 5’000 pro Monat festgelegt, man kann sie nur verringern, aber nicht erhöhen.

    Zusätzlich gibt es Zahlungsfreigaben. Standard sind unter 80 Franken, unter 120 Franken, ein eigener Betrag, immer automatisch freigeben oder nie automatisch freigeben.

    Ich als nicht so schlauer Nicht-Journalist habe die Option nie automatisch freigeben gewählt. Und eine Monatslimite von CHF 1’000. Zudem habe ich auf dem Twint-Konto bewusst nicht übermässig Geld liegen und ein Überzug ist nicht möglich.

    Wäre ich ein schlauer Journalist mit hohem Einkommen, würde ich vielleicht auch nachlässiger mit meinem Geld umgehen.

    Antworten

    • Es handelt sich um einen trügerischen Schutz, der lediglich Einzeltransaktionen betrifft. Bei Kapern des Twint-Profils, wie hier offensichtlich, lassen sich die Einstellungen beliebig ändern.

    • Bei Twint mit der Postfinance werden die Parameter (Tageslimit, auto-Freigabe..) in der Postfinace und nicht in der Twint-App eingestellt.

      Dies schützt auch beim Kapern des Twint-Profils vor hohen Verluste.

    • @hh: Lobenswert, aber jede Twint-App geht anders damit um. Denn selbst die stärkste Sicherheit durch 2FA (wie die Bestätigung von Limiten oder die PIN-Eingabe des Mobile Bankings) wird hinfällig, wenn Twint-Nutzer ‚aktiv‘ Informationen teilen (Fake-Seite) oder Aktionen bestätigen (auf Aufforderung).

  16. Vor „auf externe Links klicken“ wird überall seit Jahren gewarnt. Hoffentlich schreibt dieser „Journalist“ wenigstens nicht so Artikel… wie er „twintet“…

    Antworten

  17. Mir ist es passiert, dass ich etwas überwiesen habe über TWINT und die Ware nie an mich verschickt worde. Als ich den Betrug TWINT meldete und mein Geld zurückverlangt habe (da Telefonnummer vom Geldempfänger bekannt ist), wurde ich von TWINT an die Polizei verwiesen. Den Fall bei der Polizei zur Anzeige gebracht, half auch nicht viel. Anscheinend gibt es hunderte solcher Fälle, aber TWINT müsste mehr für die Sicherheit der Kunden machen und nicht nur mit den Schultern zucken.

    Antworten

  18. Twint habe ich schon längst deaktiviert, da die Sicherheit zu wünschen übrig lässt. Braucht eigentlich niemand. Ich habe mit Revolut, verbunden mit Apple Pay, nur positive Erfahrungen gemacht.

    Antworten

  19. Auf der einen Seite ein ziemlich fahrlässiges Handeln von dem Journalisten (ich würde mein Namen auch nicht preisgeben, wenn ich so naiv wäre 😉 – sorry das musste sein) und auf der anderen Seite hat Twint offensichtlich nicht mal eine rudimentäre Betrugserkennung im Einsatz. Ganz schön unverschämt, dass Twint ähnliche Transaktionspreise verlangt, wie z.B. Kreditkaten die wesentlich mehr Sicherheit bieten.

    Antworten

  20. Also ich bin ein total rückständiger Hinterwäldler der gar kein Twint hat. Ich mach halt alles falsch und zahle nicht einmal meine Rechnungen mit dem Handy sondern klassisch über Onlinebanking auf dem PC.
    Und da ich ab und zu sogar mein Hirn einschalte hatte ich noch nie Probleme damit.

    Antworten

    • Geschätzte 99.8% der Twint-Nutzer hatten auch noch nie Probleme damit. Onlinebanking mit Handy oder PC – wo ist da genau der Unterschied (in Sachen Sicherheit)..?

  21. Auch der ‚Journalist‘ hat wohl die AGB von Twint nicht gelesen (egal welche Bank): „Im System TWINT beauftragte Zahlungen werden beim Kunden sofort abgebucht. Eine nachträgliche Stornierung bzw. Rückbuchung des Auftrags ist nicht möglich“. Bei Mastercard/Visa steht unter Umständen (auch bei Betrug) zumindest ein Chargeback-Verfahren zur Rückbuchung zur Verfügung. Hände weg von Twint.

    Antworten

  22. I like SEPA;
    Name, Vorname (ev. Wohnort), IBAN, Betrag, Vermerk und es gibt kein vor und zurück ohne Kontoinhaber.

    Antworten

    • Falsch. Für eine IBAN-Überweisung reicht eine gültige IBAN. Die Auftraggebende-Bank verlangt zwar nach dem Namen des Empfängers, die Empfängerbank macht jedoch keinen Abgleich, ob der übermittelte Name mit dem Kontoinhaber übereinstimmt. Heisst, du kannst als Empfänger einen beliebigen Namen einsetzen. Lediglich die IBAN muss verständlicherweise korrekt sein.

    • …. sofern die Überweisung aus der Schweiz stattfindet. Innerhalb der EU wird jeder Empfängr einer (instant) Banküberweisung abgeglichen und nur bei Übereinstimmung freigegeben. Ebenso in Grossbritannien. In der Schweiz sind den Banken – noch – die Hände gebunden. Bankkundengeheimnis und so.

    • @Raoul Weil: Der IBAN-Namensabgleich wird in der EU im Oktober 2025 eingeführt. Er dient lediglich der visuellen Anzeige von Übereinstimmungen (Match, Close Match, No Match). Die Freigabe von Zahlungen bleibt aber weiterhin Sache des Bankkunden – und nicht des Systems. Im Vergleich zur Schweiz bedeutet dies aber eine deutliche Verbesserung des Betrugsschutzes, insbesondere bei QR-Zahlungen.

    • @Raoul Weil: Ich bin nicht sicher, ob in der Schweiz gar kein Vergleich stattfindet. Bereits mehrere Male klappten Zahlungen von Kunden an mich nicht, weil sie die Firmenbezeichnung meiner „Kleinst-KMU“ verwendet haben, das Konto jedoch nur auf meinen persönlichen Namen lautet.

    • @Sebi: Die gewerbliche Nutzung deines Privatkontos würde ich als Empfängerbank ebenfalls untersagen. Das ist jedoch getrennt vom Namensabgleich zu sehen; dein Konto könnte auf einer internen (Compliance-)Liste stehen.

  23. Absolut selber Schuld, klickt auf Link und glaubt auch noch einer offensichtlichen Lüge. Tja, da sind die 8k jetzt halt weg, kann er sich mit neuen Stories wieder erarbeiten.

    Antworten

  24. Danke für den Hinweis, den auch eine Anfrage an die KI bestätigt (1). Hört sich nach Zahlungsmittel zweiter Wahl an.

    (1) Twint legt großen Wert auf Sicherheit und verwendet modernste Technologien sowie regelmäßige Audits, um Vertraulichkeit, Integrität und Verfügbarkeit sicherzustellen. Allerdings ist Twint in erster Linie als eigenständige mobile Zahlungsplattform konzipiert – es bietet zwar hohe Sicherheitsstandards, jedoch nicht den typischen Käuferschutz, wie er etwa bei externen Zahlungssystemen wie PayPal oder Kreditkartenzahlungen zu finden ist.

    Antworten

  25. Bargeld ist das sicherste!
    Hoffentlich kommt bald der dauerhafte Blackout, damit diese digital-elektronische, kriminelle Verbrecherwelt wieder beendet wird. Früher funktionierte alles viel nachhaltiger und sicherer. Heute verschwinden über Smartphones und Computer riesige Milliardenbeträge in kriminellen Kanälen und verursachen riesige Schäden.
    Die Bargeldverbote und massiven Bargeldeinschränkungen von Staaten müssen gestoppt und rückgängig gemacht werden.

    Antworten

  26. Die Kombination aus Twint-PIN und Initialcode genügt, um ein Twint-Profil zu kapern und somit die sorgfältig etablierten, mehrstufigen Sicherheitsmechanismen der Banken für den Zugriff auf das eigentliche Konto wirkungslos zu machen. Wer Twint nutzen möchte, sollte dies nur in Verbindung mit einem separaten Konto mit begrenztem Saldo oder mit einer Twint-Prepaid-Lösung tun.

    Antworten

  27. Ich zahle nie mit Handy und habe sogar keine SIM mehr drin. Die habe ich in einem Hotspot. Will keine Dauerüberwachung und schon gar nicht ein offenes Buch sein.

    Antworten

    • Da hat jemand nicht verstanden, wie die Technologie funktioniert. Ich empfehle ihnen den Hotspot auch gleich wegzuwerfen.

    • @Peterli. Es geht nicht bloss um Twint. Es geht um alle privaten Daten,die über ein Smartphone weitergeben werden – über Android Einstellungen, Apps etc. https://youtu.be/RyirQOCUUK8
      Mit einem Hotspot sind immerhin die Geräte getrennt.
      Es kann auch mal vorkommen, dass das Handy abgegeben werden muss – z.B. beim Amt, Polizei, Einreise etc. Dann können Ihre Daten gescannt werden.Die werden dann analysiert etc. Auch ein Phone Pairing ist möglich usw. Wer so was ignoriert, wirds irgendwann schmerzlich durch Erfahrung lernen.

  29. „Kein Anfänger“ – doch die Handlungen des „Geschädigten“ sprechen eine andere Sprache. Er lieferte mit der Weitergabe seiner Twint-PIN, des Installations-Codes und der Eingabe seiner PINs auf einer Fake-Seite gleich mehrfach Steilvorlagen für den Betrug. Vielen scheint nicht bewusst zu sein, wie leichtfertig manche mit Twint umgehen.

    Antworten

  30. „Der Mann ist kein Anfänger.“ Aha, dann hätte er gewusst, dass es keine Autorisierung für Zahlungsempfang gibt, wie ebenso, wie man eine Fake-Website erkennt.

    Antworten

  31. Klar hat sich der Typ extrem dämlich verhalten.

    Die Frage ist doch eher – warum wird das nicht aufgeklärt? Schliesslich ist es komplett verfolgbar – diese Gutscheine haben eine Nr, man sieht wann sie wofür ausgegeben wurden, im digitalen Raum direkt rückverfolgbar, im Laden Dank allseitiger Videoüberwachung etc ein Kinderspiel.

    Aber:
    1) Aufwand lohnt für die paar Kröten nicht.
    2) die Wirtschaft hat ja verdient
    3) wenn die Konsumenten erfahren würde, wie „nackt“ sie geworden sind, sprich wie umfassend sie überwacht werden … dann ist das „System“ in Gefahr.

    Also – nur Konsum interessiert, jetzt kann man sogar noch Cyber-Versicherungen verkaufen.

    Merkt ihr nix?

    Antworten

  34. Wer auf Tutti.ch inseriert, weiss:
    Immer in den ersten 1-2 Tagen kommt eine Nachricht mit der Bitte um Kontaktaufnahme auf irgendeine WhatsApp Nummer, meistens von einer Frau. Weil sie „selten online“ sei, oder weil „ihr Vater nicht so versiert sei mit Computer“, solle man das doch ausserhalb der Plattform abwickeln, oder wir sollten uns bitte zwecks Rückfragen auf Nummer xyz melden.

    Hauptsache irgendwie kompliziert und anders, unter komischen Vorwänden. Auf Tutti grassiert das besonders!! Bitte tut mal etwas dagegen, bevor niemand mehr eure Plattform nutzt.

    Antworten

    • So wie Du sagst: „wer auf tutti.ch inseriert, weiss …“

      Also – kein Mitleid!

      Seriöse (ui – teure) Plattform nutzen oder sich an die Regeln halten: keine externen Kontakte, bar abwickeln!

  35. Oh der arme Journalist, warum schreibt er den Artikel nicht selber mit Namen. Stimmt die Story nicht oder schämt er sich? Nur schon bei „verwende nur ein Zahlungssystem mit Käuferschutz“ von einer ihm nicht bekannten Person hätten die Alarmglocken läuten müssen! War die Gier auf ein gutes Geschäft schuld?

    Antworten

  36. Wer die Vorteile eines instantanen Überweisungsmittel wie Twint nutzen will, muss auch mit deren Nachteilen/Risiken umgehen können.
    Alternativ geringe Limite einstellen oder es gar nicht nutzen.

    Antworten

  37. Zum Glück sind immer alle anderen Schuld und haben ihre Systeme und Prozesse nicht im Griff.
    Wer nicht mit Geld umgehen kann soll sich bevormunden lassen und wer nicht mit elektronischen Zahlungsmittel umgehen kann soll Bargeld verwenden.
    Generell wäre ein obligatorischer Internet-Kurs empfehlenswert bevor jede Tröte online gelassen wird. Aber zum Glück sind immer nur die anderen Schuld.

    Antworten

  38. Darum verwende ich Twint auch fast gar nicht. Jeder kann mir Geld schicken meine Limite ist aber auf 20.- gesetzt. Das Prinzip ist es ja nichts tun, um Geld zu empfangen (lediglich die Handy Nr bekannt geben)
    Zahlen tue ich mit ApplePay. Super easy und 1000mal sicherer.

    Antworten

  39. „Man könne nicht helfen“, sagt die Valora. So ein Quatsch. Die versendeten Gutscheincodes deaktivieren (wenn noch nicht eingelöst), Geld an Absender zurück und gut ist.

    Antworten

  42. Irgendwer mit massenhaft Erfahrung im Onlineverkauf klickt auf einen Link aus unbekannter Quelle, der Ihn zu seinem Twint Profil führt…

    Das merkt ihr ab hier jetzt aber selber, oder?

    Antworten
© 2025 Inside Paradeplatz
G