ANZEIGE
hast du mal geguckt, ob eine sms, die du von einem anderen Handy verschickst, bei dir ankommt?
DKB Missbrauch Überweisung von meinem Konto
- Starter*in Sawyer
- Datum Start
ANZEIGE
Hast Du mal geschaut, ob bei Deinem Provider in letzter Zeit eine neue SIM bestellt wurde?
Phishing mobile TAN Volksbank Vorpommern eG
Phishing mobile TAN: Die Volksbanken Raiffeisenbanken warnen vor einer Betrugsmasche, bei der eine zweite SIM-Karte genutzt wird. Mehr bei Ihrer Volksbank Vorpommern eG.
www.vbvorpommern.de
Ja ich bekomme andauernd SMS
Beitrag automatisch zusammengeführt:
Kann ich mal gucken. Aber es ist ein Firmenhandy. Keine Ahnung wie leicht dass da ist.
Aber wie genau soll das funktionieren?
Wenn jemand eine zweite Sim mit der selben HandyNr hat, dann geht nur die SMS der DKB an die zweite Sim?
Und alle anderes SMS gehen an mein Handy?
Ich habe sogar am 03.03. eine SMS bekommen. Also an dem Tag als die Tan2Go App aktiviert wurde.
Zuletzt bearbeitet:
Ich kann mich dunkel daran erinnern, dass es mit einer bestimmten Charge des Nokia 1100 (ein 20 Jahre altes Handy) möglich war, die Identität anderer Mobilfunknutzer zu stehlen. Vielleicht funktioniert so was heute auch noch.
Was soll der Sachverhalt für einen Bezug zur Privathaftpflicht haben?
Na klar. Man heute auch ein modernes Auto stehlen, in dem man unterm Lenkrad die Zündung kurzschließt. Da hat sich einfach gar nichts getan in den letzten 20 Jahren…
Nein ist kein Pool Handy!
Laut Vodafone gibt es nur eine SIM und das ist die in meinem Handy.
Beitrag automatisch zusammengeführt:
Gibt es eine Möglichkeit eine Liste aller erhaltenen SMS zu bekommen? Ich nehme nicht an dass Vodafone so etwas hat, oder?
Also kann ich irgendwie beweisen, dass ich keine SMS von der DKB bekommen habe?
Kaum möglich! Andererseits: Die DKB behauptet ja, Dir eine sms geschickt zu haben – ich denke, dass auch sie weder den Versand noch den Erhalt auf der Gegenseite belegen können. Ich würde die DKB noch einmal pro forma zur Rückzahlung auffordern und – bei weiterer Ablehnung – zur Konsultation eines Fachanwalts raten. (Wie immer vorbehaltlich der Richtigkeit aller Angaben!)
und selbst noch mal in sich gehen, ob das Handy wirklich den ganzen Tag am Körper war und nicht doch unbeaufsichtigt in der Mittagspause auf dem Schreibtisch (Praktikant...) oder im Schwimmbad/Fitness/studio im Spind.... waren die Zugangsdaten im pc-Browser oder handybrowser gespeichert? wie lässt sich das handy entsperren (einfache Zahlenkombi, linkshoch-wischer, gleiche Fingerabdruck wie auf dem Display)
Unabhängig von den technischen (Un-)Möglichkeiten verstehe ich hier zwei Dinge nicht:
- was sagt denn der Empfänger? Dieser sollte dank Strafanzeige ja ermittelbar sein. Wenn es sich um einen "normalen" Bankkunden handelt, dann hat dieser an den 3500 Euro kein Eigentum erlangt und wird diese wohl auch zurück überweisen. Sollte es sich um eine Bankverbindung handeln, welche explizit für Scam etc. eingerichtet und genutzt wurde, dann stärkt dies natürlich ganz eindeutig deine Theorie der missbräuchlichen Überweisung.
Dies führt mich dann zum zweiten Punkt
- dass die DKB (oder jede andere Bank) wegen dieser vergleichsweise lächerlichen Summe riskiert Teil von ausgiebigen Ermittlungen, nicht nur durch die Polizei / Staatsanwaltschaft, sondern ggf. auch durch die Presse zu werden halte ich für nahezu ausgeschlossen.
Das könnte natürlich zu einem dritten Punkt führen
- Irgendwas stimmt hier nicht so ganz
- was sagt denn der Empfänger? Dieser sollte dank Strafanzeige ja ermittelbar sein. Wenn es sich um einen "normalen" Bankkunden handelt, dann hat dieser an den 3500 Euro kein Eigentum erlangt und wird diese wohl auch zurück überweisen. Sollte es sich um eine Bankverbindung handeln, welche explizit für Scam etc. eingerichtet und genutzt wurde, dann stärkt dies natürlich ganz eindeutig deine Theorie der missbräuchlichen Überweisung.
Dies führt mich dann zum zweiten Punkt
- dass die DKB (oder jede andere Bank) wegen dieser vergleichsweise lächerlichen Summe riskiert Teil von ausgiebigen Ermittlungen, nicht nur durch die Polizei / Staatsanwaltschaft, sondern ggf. auch durch die Presse zu werden halte ich für nahezu ausgeschlossen.
Das könnte natürlich zu einem dritten Punkt führen
- Irgendwas stimmt hier nicht so ganz
Diese Scams laufen eigentlich immer 2 gleisig ab:
1. Man verschafft sich per Phishing Zugriff auf einen Rechner.
2. Per Keylogger o.ä. werden die Login Daten zum Onlinebanking gesammelt.
3. Man schaut sich mal an, ob es sich lohnt (Saldo auf dem Girokonto)
4. Wenn ja, versucht man das Handy zu kompromittieren. Da gibt es ganz unterschiedliche Möglichkeiten:
* Ersatz / Zusatz SIM Karte. Ist inzwischen schwierig geworden.
* Hack des Handys selbst. Schon kann man die SMS mitlesen. Natürlich ist man nur mitten in der Nacht tätig und die SMS werden direkt gelöscht. Alternativ gibt es auch Trojaner, die SMS unmittelbar weiterleiten.
Nun ist alles da, was man benötigt.
Das ist auch der Grund, warum die meisten Banken überhaupt keine SMS TANs mehr zulassen. Eine App zu hacken und vor allem die Spuren zu verwischen ist deutlich komplizierter bzw. nicht möglich. Hier ist der Pferdefuß aber die Aktivierung einer App.
Die Konten, auf die das Geld geht sind allesamt Fake Accounts. Meist werden arme Schweine als "Transaktionsagenten" rekrutiert. Die heben das Geld noch am gleichen Tag ab und schicken es per Western Union sonst wohin in der Welt. Bei den Transaktionsagenten ist natürlich nichts zu holen - das sind Hartz 4 Empfänger, die gehofft haben, sich auf diesem Weg ein paar € dazuzuverdienen. Natürlich machen die sich strafbar und schadenersatzpflichtig - bringt aber nichts, da nichts zu holen ist.
1. Man verschafft sich per Phishing Zugriff auf einen Rechner.
2. Per Keylogger o.ä. werden die Login Daten zum Onlinebanking gesammelt.
3. Man schaut sich mal an, ob es sich lohnt (Saldo auf dem Girokonto)
4. Wenn ja, versucht man das Handy zu kompromittieren. Da gibt es ganz unterschiedliche Möglichkeiten:
* Ersatz / Zusatz SIM Karte. Ist inzwischen schwierig geworden.
* Hack des Handys selbst. Schon kann man die SMS mitlesen. Natürlich ist man nur mitten in der Nacht tätig und die SMS werden direkt gelöscht. Alternativ gibt es auch Trojaner, die SMS unmittelbar weiterleiten.
Nun ist alles da, was man benötigt.
Das ist auch der Grund, warum die meisten Banken überhaupt keine SMS TANs mehr zulassen. Eine App zu hacken und vor allem die Spuren zu verwischen ist deutlich komplizierter bzw. nicht möglich. Hier ist der Pferdefuß aber die Aktivierung einer App.
Die Konten, auf die das Geld geht sind allesamt Fake Accounts. Meist werden arme Schweine als "Transaktionsagenten" rekrutiert. Die heben das Geld noch am gleichen Tag ab und schicken es per Western Union sonst wohin in der Welt. Bei den Transaktionsagenten ist natürlich nichts zu holen - das sind Hartz 4 Empfänger, die gehofft haben, sich auf diesem Weg ein paar € dazuzuverdienen. Natürlich machen die sich strafbar und schadenersatzpflichtig - bringt aber nichts, da nichts zu holen ist.
Grundsätzlich würde ich zustimmen. Allerdings ist die Empfänger-Bank Solarisbank im Prinzip eine Fintech-Bude, die wohl auch mit Fintechs kooperiert bzw. Bankdienstleistungen für andere Fintechs bereitstellt. Und die haben im Januar immerhin einen Sonderprüfer der Bafin wegen Compliance-Mängel ins Haus bekommen. Da würde ich jetzt nicht mal ausschließen, dass da Anmeldungen mit falschen Personalien erfolgt sind oder Strohmänner oder -frauen angemeldet worden sind, die gar nichts von ihrem Glück wissen. Trotzdem müsste sich natürlich über den Weg zeigen lassen, dass da was nicht mit rechten Dingen zugegangen ist. Allerdings wird vermutlich spätestens die Solarisbank da nicht sehr kooperativ sein. Ohne Anwalt und staatsanwaltliche Untersuchungen wird man da vermutlich nicht weiterkommen.
So wie ich den OP verstanden habe, wurde eine Banking-TAN-App verwendet. Die SMS hätte nur als zusätzliche Info/Bestätigung bei ihm ankommen sollen.
Sofern tatsächlich eine Banking-App mit Push-Tan-Verfahren geknackt wurde, wäre das durchaus bemerkenswert. Prinzipiell sind die zwar unsicherer als Verfahren mit stand-alone TAN-Generatoren, aber die Banken behaupten, dass das absolut sicher ist. Deswegen wohl auch erstmal die Ablehnung von der DKB. Auch hier muss ein Anwalt ran meiner Meinung nach.
Ein Forum kann hier keine ernsthafte Hilfe sein.
Ich habe das in der Zwischenzeit nochmal bei ihm nachgelesen.
So wie ich es verstanden habe, wurde eine Banking App verwendet, korrekt. Allerdings hat sich wohl der Täter eine weitere Installation der Banking App auf einem anderen Telefon freischalten lassen. Das wiederum funktioniert anscheinend per SMS. Damit ist natürlich der Sicherheitsvorteil der App dahin.
Ach so. Das wäre natürlich schon blöd, wenn die DKB das so macht. Ich kenn das eigentlich so, dass man für solche Zwecke z.B. einen QR-code per Post erhält. So was kann natürlich theoretisch auch abgefangen werden, erfordert aber viel Aufwand und klappt dann trotzdem vermutlich nicht immer.
Die DKB bietet zwei Möglichkeiten: Wenn das vorherige Telefon noch "einsatzbereit" ist, kann man innerhalb der TAN2go-App selbige auf dem "neuen" Handy per sms freischalten. Ansonsten gibt's ein paar Tage später den QR-Code per Post...
Gut, aber auch dann müsste ein Angreifer die TAN2go-App gehackt haben. Wenn die aber gehackt ist, dann kann der Angreifer auch gleich einfach Überweisungen veranlassen....
Aber wie? Das "alte" Telefon wurde "plattgemacht" (ich weiß, lässt sich vieles wiederherstellen), auch die zugehörige Telefonkarte mit Telefonnummer für sms ist nicht vorhanden...
Das ist (zumindest für mich) das Mysterium!
Schon richtig, irgendwie müssen sie es geschafft haben, in die Banking App zu kommen.
Ich halte es nicht für gänzlich ausgeschlossen, dass das die Quelle des Problems ist.
Das Rücksetzen auf Werkseinstellungen löscht den Speicher des Handys nicht zuverlässig. Es würde mich nicht wundern, wenn halbwegs fähige "Hacker" in der Lage waren, Deine DKB-App samt ihrer Konfiguration von Deinem alten Handy zu extrahieren.
Alte Handy sollte man auf Werkseinstellungen zurück setzen, mit möglichst viel sinnfreien Daten zumüllen (Download von z.B. Linux Distributionen oder Aufzeichnung von Stunden Videos) und dann noch verschlüsseln. Damit sollte in dem Speicher des Handys kaum noch verwertbare Reste übrig bleiben.
Dann wäre das aber tatsächlich ein Problem für die Banken, da die "normale" Art Datenlöschung gefühlt zu 99% stattfindet. Wenn anhand der Fragmente die komplette Bankverbindung mit TAN-App wiederhergestellt werden kann, werden rebuy und Co. wohl demnächst überrannt...
Wieso Problem für die Banken?
Es ist in meinen Augen vom Anwender fahrlässig, ein Speichermedium, das persönliche (Zugangs-) Daten beinhaltet ohne komplette Löschung bzw. Datenvernichtung aus der Hand zu geben.
Wurde z.B. das verkaufte Handy aus der Liste der legitimierten Geräte im Online-Banking gelöscht? Falls nicht, ist das schon sehr grob fahrlässig.
Sicherlich könnten Google und der Handyhersteller genauer darauf hinweisen, dass eine Rücksetzung auf Werkseinstellung keine vollständige Datenlöschung bedeutet, aber das den Banken in die Schuhe zu schieben, trifft doch den Falschen.
Zumal ja auch nicht bewiesen ist, dass hier jemand die DKB-App-Daten von dem verkauften Handy gezogen hat. Ich halte es unter Berücksichtigung der geschilderten Fakten jedoch für die wahrscheinlichste Variante.