A hagyományos banki netbank mellett a csalók a fintech cégek által nyújtott fiókokat (pl. Revolut, Wise, PayPal, stb.) is célba veszik. Sőt, mivel sokan kevésbé figyelnek ezek biztonságára (hiszen nem klasszikus bank), előfordulhat, hogy a felhasználók gyengébb jelszót használnak, vagy ugyanazt, mint más oldalakhoz. Így például egy nagy adatbázis-szivárgás után a csalók megpróbálhatják a talált e-mail/jelszó párosokat a PayPal-on vagy Revoluton is – hátha valaki ugyanazt használja. Ezt nevezik credential stuffing támadásnak.
Ha sikerül belépniük egy ilyen fiókba, és az nem védett erős kétfaktoros azonosítással, akkor könnyen átutalhatnak róla pénzt egy másik (akár saját) számlára, vagy a hozzá kapcsolt kártyát használhatják vásárlásra. Voltak esetek, hogy pl. a Revolut fiókot törték fel így, és mire az áldozat észrevette, a fintech számlájáról leemelték a pénzt. Az ilyen fintech cégek sokszor nem bankok, így nem mindig vonatkozik rájuk ugyanaz a visszatérítési kötelezettség, mint a bankokra – ezért is kedvelt célpontok.
Védekezés: Kapcsoljunk be mindenhol (fintech appok, PayPal stb.) kétfaktoros azonosítást, pl. SMS vagy app értesítést belépéskor. Ne használjuk ugyanazt a jelszót több szolgáltatáshoz. Figyeljük az értesítéseket: a legtöbb ilyen app küld e-mailt is, ha új eszközről lépnek be, vagy gyanús tevékenység van. Azonnal reagáljunk, ha ilyet látunk (jelszócsere, ügyfélszolgálat értesítése).