In der Tri-State-Area New York-New Jersey-Connecticut hat das FBI kürzlich über 50 Personen verhaftet, weil sie eine spanische Bank überfallen haben. Was hier nach der Netflix Serie „Haus des Geldes“ klingt, hat damit aber nichts zu tun. Die Überfälle fanden auch nicht mit den berühmten Dali-Masken und Maschinenpistole statt, sondern mit einer Geldkarte. Deshalb wurden auch keine Angestellten bedroht. Ehrlich gesagt, ist die spanische Santander Bank auch ein wenig selbst schuld, denn der Überfall ging so:

Beim Geldabheben prüft der Geldautomat als Erstes, ob genügend Geld auf dem Konto ist, bevor er das Geld ausspuckt. Meistens genügt das. Nämlich dann, wenn ein Kunde den Betrag wählt, der Automat die Bonität prüft und dann die Summe auszahlt, sofern sie auf dem Konto verfügbar ist. Nicht ausreichend ist eine einzige Prüfung dann, wenn der Kunde den Betrag auswählt, der Automat die Bonität prüft, der Kunde dann aber nicht bestätigt, sondern abbricht und einen anderen Betrag wählt. Der Automat sollte dann erneut prüfen, insbesondere, wenn der zweite Betrag höher als der erste ist. Das taten die Automaten der Santander Bank aber nicht.

Es konnte also passieren, dass jemand mit 100$ auf dem Konto 50$ davon abheben wollte. Der Automat prüfte nach und gab das OK, weil die 50$ verfügbar waren. Brach der Kunde den Vorgang aber vor der tatsächlichen Auszahlung ab und tippte nun 1.000$ ein (den Höchstbetrag für eine Auszahlung), dann gab es keine erneute Prüfung. Das OK stand noch, die 1.000$ wurden ausbezahlt, obwohl nur 100$ verfügbar sind. Nun ist das eigentlich kein wirkliches Problem, denn die Bank weiß ja, wem ein Konto gehört und dann ist es halt überzogen.

Blöd ist es nur, wenn die Abhebung gar nicht vom Konto passiert, sondern von einer Kreditkarte. In den USA sind zudem Prepaid-Kreditkarten sehr beliebt. Mit ihnen können auch Menschen online einkaufen, die mangels Job kein Konto bei einer Bank erhalten. Die Prepaid-Karten sind daher keinem Konto und keiner Person zugeordnet. Abheben kann man nur soviel, wie man vorher einbezahlt hat – eigentlich. Durch den Fehler konnte man plötzlich von einer anonymen 100$ Prepaid-Karte sage und schreibe 1.000$ abheben. Und zwar ohne dass die Santander Bank wusste, wer das Geld bekam. Eine Rückforderung war daher nicht möglich.

Der Trick sprach sich natürlich schnell rum. Zuerst in den üblichen Foren im Darknet und später auch über Instagram. Und das wurde zum Problem. Denn bald prügelten sich „Bankräuber“ mit dutzenden anonymen Prepaid-Karten in der Hand vor den Santander Automaten darum, wer zuerst abheben durfte. Dadurch wurde natürlich erst die Polizei und später auch die Bank auf die Situation aufmerksam. Die einen korrigierten den Fehler in der Software. Die anderen nahmen 58 „Bankräuber“ fest.

Der größte Depp ist meiner Meinung aber der Typ, der (vermutlich zufällig) den Fehler im System entdeckt hat. Anstatt sich selbst eine 100$ Prepaid-Karte nach der anderen zu besorgen und den Mund zu halten, hat er oder sie das wohl irgendjemandem weitererzählt. Das wäre den Charakteren Tokio, Nairobi, Denver und Rio aus „Haus des Geldes“ sicher nicht passiert. Denen hätte der Professor sonst den Marsch geblasen! Der Entdecker des Santander-Bugs hat sich aber letztlich selbst den Geldhahn zugedreht. Und da fliegen sie nun davon, die Moneten.  Oh, bella ciao, bella ciao, bella ciao, ciao, ciao!