DKB Missbrauch Überweisung von meinem Konto

[spocky83]

ANZEIGE

Da könnte tatsächlich der Hund begraben liegen. Sollte es gelingen aus dem zurückgesetzten Handy das Image, im worst case sogar komplett und funktionsfähig zu extrahieren, dann ließe sich der Passcode sogar notfalls per brute force extrahieren und dann hätte der Angreifer auch unbeschränkten Zugriff auf die Banking App.

Mir ist jetzt gerade nicht präsent ob die DKB immer nur ein Mobiltelefon als zulässiges Gerät gestattet (ich glaube eben nicht), aber falls ja dann wäre das auch die Erklärung: der Angreifer hätte gar keinen Zugriff auf die SIM benötigt, weil die ID des Telefons ohnehin bereits registriert gewesen wäre und die App noch funktioniert.

Das wäre datenschutztechnisch gesehen die Vollkatastrophe aber gerade bei manchen Android-Distributionen habe ich schon ähnlich üble Böcke gesehen.

 

[deecee]

Bliebe nur noch die Anmeldung fürs Bankkonto. Ich halte das (technische) Szenario zwar für nachvollziehbar – aber wenn das entsprechend "einfach" ist, wäre das IMHO eine gängige und bekannte Routine bei den Pösewichten: Statt einfach Phishing-Mails etc. zu schicken (was ja auch gut "funktioniert"), kauft man gebrauchte Telefone im Netz auf und plündert Konten. Das wäre – wie Phishing und Co. – durch die Presse gegangen bzw. durch Warnungen der Banken bekannt geworden. Just my 0.02 USD.

Die DKB gestattet maximal zwei zugelassene Geräte für die TAN2go-App...

 

[Sawyer]

Hallo zusammen

Vielen Dank für die vielen Beiträge!
Hier noch ein paar Anmerkungen von mir.

1. Die Sache habe ich der Polizei gemeldet. Meine Hoffnung ist auch, dass sie wenigstens mal bei der Solaris Bank nachfragen, wem das Empfängerkonto gehört und mit dem Besitzer spricht. In dem Betreff der Überweisung steht: gehaltsabrechnung 2022 bonuszuschuss
Zu jedem Gehalt gibt es ja auch eine Gehaltsabrechnung vom Arbeitgeben. Die würde ich mir als Ermittler ja mal zeigen lassen. Ich bin da aber auch eher als Laie unterwegs.
Keine Ahnung wie viel Ehrgeiz die Polizei in so etwas steckt.
2. Wenn es an meinem alten verkauften Handy liegt und das Image wieder hergestellt wurde, dann gibt es doch keinen Grund die DKB TAN2GO App neu per SMS zu installieren oder?
Dann hatte derjenige doch schon eine funktionierende App auf dem Handy und brauchte nur noch User/PW.
3. Ich bin mir einigermaßen (aber nicht 100%) sicher, dass ich das alte Handy auf der DKB Homepage gelöscht habe.
Allerdings war mein Verständnis auch, dass es ausreichend ist, dass Handy platt zu machen.
4. Die Überweisung war nachts um kurz vor Mitternacht. Zu der Zeit lag das Handy in Österreich im Hotel neben meinem Bett. Es ist per Face ID geschützt. Nicht mal meine Frau kennt den PIN.

Der Knackpunkt hier ist doch die SMS die angeblich verschickt wurde und nie angekommen ist. Entweder ging die an ein anderes Handy (laut Vodafone nicht möglich, da keine zweite SIM). Oder mein Handy ist fremd kontrolliert und die SMS wurde sofort wieder gelöscht.
Dann ist die Frage, wozu überhaupt die App noch mal installiert wurde? Wenn jemand mein Handy kontrolliert kann er doch einfach die TAN direkt in meinem Handy generieren.

Ich habe jetzt einen Anwalt, der noch mal einen Binnen Brief an die DKB schreibt.
Es gibt ein Urteil des LG Oldenburg datz:
https://dejure.org/dienste/vernetzung/rechtsprechung?Gericht=LG%20Oldenburg&Datum=15.01.2016&Aktenzeichen=8%20O%201454%2F15

 

[marcus67]

In dem Betreff der Überweisung steht: gehaltsabrechnung 2022 bonuszuschuss
Zu jedem Gehalt gibt es ja auch eine Gehaltsabrechnung vom Arbeitgeben. Die würde ich mir als Ermittler ja mal zeigen lassen

Der Betreff ist eh völlig unerheblich. Das war eine betrügerische Überweisung - welchen Zweck die hatte spielt überhaupt keine Rolle. Wenn derjenige das Geld noch hat, muss er es wieder rausgeben, so oder so. Das gilt auf für einen Irrtum und natürlich erst Recht für Betrug. Das Geld wird aber schon lange per Western Union irgendwo in einem fernen Land sein.
Durch die Anzeige ist dieses Konto aber auf jeden Fall verbrannt.

Oder mein Handy ist fremd kontrolliert und die SMS wurde sofort wieder gelöscht.

Das ist meine Vermutung. Forensisch dürfte sich das auch nachweisen lassen. - Ist halt ein gewisser Aufwand.

 

[daukind]

Das ist meine Vermutung. Forensisch dürfte sich das auch nachweisen lassen. - Ist halt ein gewisser Aufwand.

Bei einem iPhone13 eine gewagte Vermutung. Nicht, dass ich das ausschließen würde - aber glauben kann ich das kaum.

 

[Sawyer]

Der Betreff ist eh völlig unerheblich. Das war eine betrügerische Überweisung - welchen Zweck die hatte spielt überhaupt keine Rolle. Wenn derjenige das Geld noch hat, muss er es wieder rausgeben, so oder so. Das gilt auf für einen Irrtum und natürlich erst Recht für Betrug. Das Geld wird aber schon lange per Western Union irgendwo in einem fernen Land sein.
Durch die Anzeige ist dieses Konto aber auf jeden Fall verbrannt.

Aber lässt sich der Besitzer des Kontos nicht herausfinden?
Es ist doch ohne Ausweis nicht möglich ein Konto zu eröffnen, oder?

 

[doc7austin2]

Außerdem müsste sich ja Empfänger anhand der Kontodaten leicht herausbekommen lassen! Vielleicht mal einen Fach-RA konsultieren, RSV-Versicherung?

Der Empfänger ist ggf. fake.

Gerade bei den Fintech-Banken (solaris, bunq) war es lange Zeit möglich, mit einem gefälschten Ausweis-Dokument ein Konto zu eröffnen. Das Video-Ident hat die Fälschung nicht erkannt.
Insofern lässt sich hier ggf. "Hans Meier" als Kontoinhaber ermitteln. Den gibt es aber nicht. Das Geld wurde ggf. bereits bar vom Solaris-Konto abgehoben oder auf ein nächstes Konto in der Türkei (z.B. über Wise) weitergeleitet.

Aber lässt sich der Besitzer des Kontos nicht herausfinden?
Es ist doch ohne Ausweis nicht möglich ein Konto zu eröffnen, oder?

Der Knackpunkt ist -> Der Ausweis oder Pass ist schlichtweg gefälscht gewesen. Das ist der Nachteil von Video-Ident.


Die Ermittlung der Täter -> Da würde ich nicht darauf setzen.

Ich habe jetzt einen Anwalt, der noch mal einen Binnen Brief an die DKB schreibt.

Die DKB muss gerichtsfest nachweisen, dass Du die Überweisung autorisiert hast. Es kann gut sein, dass die DKB in einem Klageverfahren einknickt (vorher nicht), da es eben nicht möchte, dass das Sicherheitssystem gerichtlich geprüft wird.
Du müsstest Dich entscheiden, ob Du jetzt das Geld für einen Anwalt und Klageverfahren (ggf. mit Gutachterkosten) investiert. Bei einer Niederlage würdest Du so noch einmal ein paar Tausend Euros verlieren. DKB weiss das.

 

[Biohazard]

Der Empfänger ist ggf. fake.

Ist das dann nicht negativ der Solarisbank auszulegen?

 

[doc7austin2]

Ist das dann nicht negativ der Solarisbank auszulegen?

Die Solaris Bank könnte ggf. Ärger mit der BAFIN bekommen, wenn das häufiger vorkommt.
Daraus erwächst aber leider kein Haftungsanspruch vom TE gegenüber der Solaris Bank. Das müsste man gerichtlich prüfen lassen. Und die Banken werden ein solche Frage bzgl. der Haftung bis vor den BGH/EUGH pushen, wenn Du klagst. Du kannst hier also 5-10 Jahre warten und am Ende viele, viele Tausend Euros zusätzlich los sein.

 

[Uncle Sam]

Wurde das Konto denn komplett leergeräumt inkl. Dispo oder hat sich der Betrüger mit 3.500€ begnügt?

 

[Sawyer]

Die DKB muss gerichtsfest nachweisen, dass Du die Überweisung autorisiert hast. Es kann gut sein, dass die DKB in einem Klageverfahren einknickt (vorher nicht), da es eben nicht möchte, dass das Sicherheitssystem gerichtlich geprüft wird.
Du müsstest Dich entscheiden, ob Du jetzt das Geld für einen Anwalt und Klageverfahren (ggf. mit Gutachterkosten) investiert. Bei einer Niederlage würdest Du so noch einmal ein paar Tausend Euros verlieren. DKB weiss das.

Meine Hoffnung ist, dass die DKB vorher einknickt.

 

[marcus67]

Bei einem iPhone13 eine gewagte Vermutung. Nicht, dass ich das ausschließen würde - aber glauben kann ich das kaum.

Tja, ich traue Apple ja auch am meisten, was die Sicherheit angeht.

Auf der anderen Seite gab es auch da genügend heftige Sicherheitslücken. Da waren welche dabei, wo es genügt hat eine SMS an das betreffende Gerät zu schicken um es komplett zu übernehmen.

 

[daukind]

Tja, ich traue Apple ja auch am meisten, was die Sicherheit angeht.

Auf der anderen Seite gab es auch da genügend heftige Sicherheitslücken. Da waren welche dabei, wo es genügt hat eine SMS an das betreffende Gerät zu schicken um es komplett zu übernehmen.

Schon klar. Allerdings ist mir derzeit keine solche Sicherheitslücke bekannt - was natürlich nicht heißt, dass es keine gibt. Aber es würde mich wundern, wenn jemand einen solchen Exploit (welcher idR mehrere Millionen wert ist) für läppische Überweisungen in dieser Höhe "verschwendet". Denn sobald die ersten Kunden mit diesem Problem auftauchen ist die Sicherheitslücke meist schnell geschlossen.

 

[abcdefg]

Ich möchte hier noch mal in den Raum werfen, dass zum Empfangen der SMS keine zweite SIM notwendig ist. Zum Beispiel hierüber: https://www.golem.de/news/sicherheitsluecken-so-einfach-lassen-sich-sms-mitlesen-1911-145274.html
Gibt aber auch noch andere Wege, um SMS mitlesen zu können, ohne dass es der Anwender mitkriegt.

 

[doc7austin2]

Meine Hoffnung ist, dass die DKB vorher einknickt.

Es ist sehr unwahrscheinlich, dass sich die DKB von einem Anwaltsschreiben beeindrucken lässt.

Der Kundenservice bei DKB wird bis jetzt keine forensische Analyse der Transaktion durchgeführt haben. Der Kundenservice wird in Customer Service Portal nur gesehen haben, dass die Transaktion durch Verfahren XYZ autorisiert wurde. Daraufhin hast Du eine Textbaustein Email für diesen Sachverhalt erhalten.

Eine forenische Analyse ist teuer. Diese wird - wenn überhaupt - erst durchgeführt, wenn eine Klage auf dem Tisch liegt und die Rechtsabteilung sich entschieden hat, die Klage abzuwehren. Die Rechtsabteilung hat übrigens auch eine Template-Klageerwiderung griffbereit, wenn ein Kunde eben die Autorisierung gerichtlich abstreitet.

Die DKB weiss -> 95% der Kunden werden ein Klageverfahren nicht durchziehen wollen. 3% verlieren bzw. geben im Klageverfahren auf. Die anderen 2% werden per Vergleich und Geheimhaltungsvereinbarung teilentschädigt (z.B. 50%).

 

[Sawyer]

Es ist sehr unwahrscheinlich, dass sich die DKB von einem Anwaltsschreiben beeindrucken lässt.

Der Kundenservice bei DKB wird bis jetzt keine forensische Analyse der Transaktion durchgeführt haben. Der Kundenservice wird in Customer Service Portal nur gesehen haben, dass die Transaktion durch Verfahren XYZ autorisiert wurde. Daraufhin hast Du eine Textbaustein Email für diesen Sachverhalt erhalten.

Eine forenische Analyse ist teuer. Diese wird - wenn überhaupt - erst durchgeführt, wenn eine Klage auf dem Tisch liegt und die Rechtsabteilung sich entschieden hat, die Klage abzuwehren. Die Rechtsabteilung hat übrigens auch eine Template-Klageerwiderung griffbereit, wenn ein Kunde eben die Autorisierung gerichtlich abstreitet.

Die DKB weiss -> 95% der Kunden werden ein Klageverfahren nicht durchziehen wollen. 3% verlieren bzw. geben im Klageverfahren auf. Die anderen 2% werden per Vergleich und Geheimhaltungsvereinbarung teilentschädigt (z.B. 50%).

Du machst mir janicht gerade Hoffnung
Mein Gedanke war, dass auch die Rechtsabteilung das Urteil vom LG Oldenburg kennt und daher einsieht, dass die Chancen bei einer Verhandlung eher schlecht stehen.

 

[Strolf]

Du machst mir janicht gerade Hoffnung
Mein Gedanke war, dass auch die Rechtsabteilung das Urteil vom LG Oldenburg kennt und daher einsieht, dass die Chancen bei einer Verhandlung eher schlecht stehen.

Ich würde die Ratschläge des Users über dir eher kritisch sehen. Er hat schon in der Vergangenheit hier im Forum häufig seine nachweislichen falschen Rechtsmeinungen publiziert. Und ob ich jemanden glauben würde, dessen Posts mit reichlich Beleidigungen garniert wie hier gerne mal in den Penalty-Bereich verschoben werden… na ja, muss jeder selbst wissen.

 

[doc7austin2]

Ich würde die Ratschläge des Users über dir eher kritisch sehen. Er hat schon in der Vergangenheit hier im Forum häufig seine nachweislichen falschen Rechtsmeinungen publiziert. Und ob ich jemanden glauben würde, dessen Posts mit reichlich Beleidigungen garniert wie hier gerne mal in den Penalty-Bereich verschoben werden… na ja, muss jeder selbst wissen.

Wer hier felsenfest behauptet, dass man das Gepäck für einen Lufthansa-Flug FRA-EWR bei United eingecheckt hat, dem ist nicht weiter zu helfen.
Mir das das dann als nachweislich falsche Rechtsmeinung unterzuschieben, ist schon abenteuerlich.

 

[schlauberger]

Wer hier felsenfest behauptet, dass man das Gepäck für einen Lufthansa-Flug FRA-EWR bei United eingecheckt hat, dem ist nicht weiter zu helfen.
Mir das das dann als nachweislich falsche Rechtsmeinung unterzuschieben, ist schon abenteuerlich.

Na ja, abenteuerlich ist es eher, Strolf zu unterstellen, "Idioten" sei eine falsche Rechtsmeinung. Das war offensichtlich das Beispiel für Deine Beleidigungen.

Allerdings kann natürlich auch ein Beleidiger recht haben - kann ich in der Sache nicht beurteilen, finde das Thema aber spannend. Ich hoffe, der Anwalt ist fähig.

 

[doc7austin2]

Strolf unterstellt, dass ich nachweislichen falschen Rechtsmeinungen publiziere.
1. Eine falsche Rechtsmeinung gibt es schlichtweg nicht; Meinungen können nicht falsch sein;
2. Strolf zitiert hier eine Auseinandersetzung, wie der User rcs tatsächlich behauptet hat, dass man sein Gepäck bei United für einen Lufthansa Flug FRA-EWR eincheckt;
3. Natürlich ist die Verwendung des Wortes "Idioten" eine Überspitzung; Nur irgendwann ist genug, wenn man mir "nachweislichen falschen Rechtsmeinungen" unterstellt, nachdem ich darauf hingewiesen hatte, dass die Behauptung vom user rcs aus 2. eben faktisch falsch ist;

So, und wenn die DKB Dir die EUR 3.500 erstattet, dann freue ich mich für Dich (für den TE).
Halte uns bitte auf dem Laufenden!
Wir möchten ja gerne wissen, ob der User strolf am Ende Recht behält.

 

[plotz]

Die Zuweisung eines Gerätes läuft zumindest bei den mir bekannten Banking-Apps per Mac-Adresse. Die DKB sollte die registrierten Geräte- auch aus Revisionsgründen und um das System an sich zu sichern - historisieren. Wenn es das Einfallstor war, kann man es so möglicherweise nachvollziehen.
Ich vermute, dass die Polizei für sowas einen Durchsuchungsbefehl o. Ä. benötigt?

Da käme dann vielleicht wieder die Summe von 3.500 EUR ins Spiel: Macht sich die Exekutive dafür soviel Arbeit? Bei 35.000 bestimmt.

 

[NiEb]

Momentan sind es nur 3500 €.
Die DKB sollte aber gewillt sein diesen Vorgang ernst zu nehmen, sonst werden es vielleicht beim nächsten 35000 €.

Wenn es wirklich so "einfach" ist, dann sollte sich die IT an die Arbeit machen und dem Geschädigten anrufen um Details über den kompletten Vorgang schildern zu lassen.

 

[Uncle Sam]

Sollte es da wirklich eine gravierende Sicherheitslücke geben, hätte man da bestimmt schon mal was von gelesen. Benutzername, Passwort und das Mobiltelefon kompromittieren erscheint mir für lächerliche 3500€ etwas viel Aufwand. Da müsste doch anderswo bedeutend mehr zu holen sein.

 

[internaut]

Vielleicht war es ja auch ohne IT Hack und in klassischer Agentenmanier. TO schrieb ja von einer Hotelübernachtung. Abends an der Hotelbar gut dosiert Schlafmittel in den Drink und dann kam der Übeltäter Mitternacht ins Zimmer, hat dort kein Bargeld gefunden und stattdessen das Handy vor das Gesicht des Schlafenden gehalten und einen Zugang für sein Burnerphone per sms bestellt und sich schnell davon gemacht

 

[Frank N. Stein]

Vielleicht war es ja auch ohne IT Hack und in klassischer Agentenmanier. TO schrieb ja von einer Hotelübernachtung. Abends an der Hotelbar gut dosiert Schlafmittel in den Drink und dann kam der Übeltäter Mitternacht ins Zimmer, hat dort kein Bargeld gefunden und stattdessen das Handy vor das Gesicht des Schlafenden gehalten und einen Zugang für sein Burnerphone per sms bestellt und sich schnell davon gemacht

Es lebe die Phantasie: