Hallo Community, hallo Consorsbank-Team,
heute habe ich einen Anruf erhalten. Ein Anruf in dem sich ein Herr als Mitarbeiter der Consorsbank ausgegeben hat. Sein Anliegen war sich auf Nachfrage eines anderen Kreditinstitus bei mir rück zu versichern, dass mehrere durchgeführte Transaktionen von meinem Konto zu einem anderen korrekt gewesen seien.
Da ich in der Tat mehrere, für mich nachvollziehbare Transaktionen vergangene Woche durchführte schien mir die Anfrage plausibel.
Der Mitarbeiter fragte, ob er mir eine MobilTAN auf mein Mobilgerät schicken dürfte, die ich ihm dann zur Legitimation meiner Person und der Transaktion telefonisch durchgeben sollte.
Normalerweise und ohne die erwähnten Transaktionen seinerseits, hätte ich ihm NIEMALS die per SMS erhaltene TAN durchgegeben. Denn weder habe ich diese explizit angefordert, noch hat sich der Mitarbeiter mir gegenüber erfolgreich als Mitarbeiter identifizieren können. An dieser Stelle sei angemerkt, dass die angerufene Nummer 0911 3699123 offenbar von der Consorsbank stammt und auch die erhaltene SMS auf die "Consorsbank" als Absender gebrandet wurde.
Technische Anmerkung: Das Vortäuschen von Telefonnummern und das Verschleiern von SMS Kennungen/Nummern ist in der heutigen Zeit ebenso kein Problem, wie dieses bereits von E-Mail Fake-Absendern bekannt sein dürfte.
Darüber hinaus denke man nur an den Fall, dass die SMS zwar tatsächlich von der Consorsbank stammt, der Anrufer jedoch kein MA ist und bereits im Banking Portal eine Transaktion angestoßen hat, für die er nur eine TAN benötigt....
Nun zum eigentlichen Feedback:
Was mich - an dieser sicherlich gut gemeinten Praxis der Consorsbank- dennoch stört ist:
1. Das mir der MA im Vorfeld keine weiteren (nur der Bank bekannten) Informationen geben wollte, um meiner anfänglichen Skepsis stärker entgene zu wirken. (Bspw. Anzahl der betroffenen Transaktionen, Höhe des Gesamten Transaktionsbetrags, letzte vier Ziffern der Empfängerkonten, ...)
2. Sich der Mitarbeiter mir gegenüber außer seinem Namen, nicht für mich nicht nachvollziehbar legitimieren konnte.
3. Ich dem MA die MobilTAN per Telefon durchgeben musste.
Verbesserungsvorschläge:
1. Anruf/Praxis grds. okay. / bzw. sollte per SMS vielleicht besser zu einem "dringender/wichtiger Rückuf" unter der bekannten Kundendienst-Rufnummer aufgefordert werden!
2. Legitimation des MA vebessern - bspw. mehrstelliges OneTimePassword, welches der MA mir zur Überprüfung auf der Seite der Consorsbank nennt!
3. Oder der MA gibt nur einen Hinweis, dass man sich als Kunde bitte innerhlab von x Stunden/Tagen ins Online Banking Portal einloggen soll und dort eine "auf ihn wartende Transaktion" zu dem Problem autorisieren muss!
4. Mobile TAN - okay wenn keine Möglichkeit wie in 3 beschrieben möglich sein sollte. Dann jedoch bitte auf eine Seite der Consorsbank verweisen, auf der man bspw. den Code eingeben muss!
Schlussendlich bin ich aber vielleicht doch auf einen Betrüger reingefallen und die ganze beschriebene "gut gemeinte Praxis" kostet mich Kopf und Kragen.
Würde mich jedenfalls über Feedback der Community und des Mod-Teams, gern auch telefonisch freuen.
Plutos
Hallo Plutos,
ich würde mich an Deiner Stelle direkt an den Support wenden und klären, ob der Anruf von der Consorsbank war oder nicht. Du kannst uns ja dann berichten. Wenn Du auf dem Festnetz angerufen worden bist, würde das ganze für mich aus Sicht der Consorsbank durchaus Sinn machen. Bei einem Kriminellen ist mir das nicht ersichtlich, denn er kannte die TAN ja wahrscheinlich bereits. Da wäre die TAN selber dann vermutlich eher eine Art Ablenkungsmanöver. Hast Du den Mitarbeiter gefragt, ob Du ihn zurückrufen kannst?
Sobald irgendwelche persönlichen authentifizierenden Daten genannten werden sollen, gibt es eigentlich nur eine vernünftige Reaktion:
Aufhängen und zurückrufen!
Egal, wie deutschsprachig, freundlich, kompetent gut informiert oder sonstwas der Anrufer am anderen Ende der Leitung ist (bzw. erscheinen mag). Und den Rückruf an die normale Hotline-Nummer, die eingespeichert ist. Egal, was auf dem Telefon als Anrufer angezeigt oder vom Gesprächspartner als "Direktwahl", "Fachabteilung", "Notfallkontakt" oder sonstwas ausgegeben wird.
Ich mag jetzt nicht beschwören, dass ich "im Eifer des Gefechts" so stringent reagiert hätte - aber das Beispiel führt es noch einmal gut vor Augen.
PS: @JoeEnochs:
Wieso soll der Kriminelle die TAN bereits kennen, bzw. das Ablenkungsmanöver sein? Der Anruf beim Kunden ist doch der einfachste Weg, eine TAN zur Transaktionsfreigabe zu bekommen. Falls die Nummer bekannt ist. Das ist jetzt allerdings nicht so unwahrscheinlich, falls man denn per Kontonummer und PIN schon Zugang auf das Online-Banking des Kunden hat.
PPS: Rückruf falls irgendwie möglich von einem anderen, unkompromittierten (möglichst "analogen") Telefon. Das grenzt dann zwar an Paranoia - aber wundern würde es mich wiederum auch nicht, wenn irgendwelche Android-Trojaner existieren, mit denen ein Angreifer die tatsächlich gewählte Nummer manipulieren kann (obwohl man nicht so einfach ein Callcenter "simuliert").
Analog wie für den Rückruf gilt natürlich auch, dass man keine per SMS/Email erhaltenen "Links" zum Zugriff auf das Online-Banking oder irgendeine Consors-Seite verwenden sollte.
Guter Punkt. Ich hab habe mal unterstellt, dass der Text der SMS auch mit der Story übereingestimmt hat. Dass da also was von persönlicher Legitimierung und nicht von der Freigabe einer Überweisung stand. Generell teile ich Deinen Rat.
Hallo @Plutos,
ich würde bei einem solchen Anruf Folgendes tun: Mitarbeiter nach Namen fragen. Dann von dir aus die zentrale Nummer des Kundenservice in Nürnberg anrufen und mich mit dem entsprechenden Mitarbeiter verbinden lassen. So kann man doch halbwegs sicher sein, dass der Mitarbeiter dort auch tatsächlich arbeitet. Wenn sich der Anrufer darauf nicht einlässt, ist was faul.
Hallo @Plutos,
vielen Dank für die ausführliche Schilderung Ihrer Situation und die von Ihnen gegebenen Verbesserungsvorschläge! Ich kann Ihre Ungewissheit diesbezüglich sehr gut nachvollziehen.
Ich möchte Sie in dieser Hinsicht gerne beruhigen: In Rücksprache mit dem Kundendialog, bestätigen wir Ihnen hiermit, dass es sich bei dem Anrufer um einen Mitarbeiter der Consorsbank handelte.
Wir haben Ihren gesamten Beitrag gerne zur Klärung an Ihr Betreuungsteam weitergegeben.
Vielen Dank für Ihre Geduld!
Viele Grüße aus Nürnberg
Diana
Community Moderator
Mir ist am 04.01.2023 um 13.37 Uhr genau das gleiche passiert. Ein Mitarbeiter meldete sich und fragte mich nach der ersten und zweiten Stelle meiner PIN. Alternativ wollte er mir eine Meldung auf die SecurePlus App schicken. Das finde ich sehr sehr krass am Telefon nach Stellen der PIN zu fragen!
Weiterhin fragte er mich nach bestimmten Kontoumsätzen aus. Die Art und Weise gefiel mir gar nicht. Erinnerte mich eher an einen PitBull Terrier. Auch fiel zum Beispiel kein Satz wie: "Sind Sie zufällig gerade in der Nähe Ihres Laptops oder können die Banking App auf Ihrem Handy öffnen? Dann können wir uns die Umsätze gemeinsam anschauen." So wurde ich überfallen. Auch zeugen die Fragen eher von Unkenntnis über andere Banken bzw. Kreditkarten.
Ich habe am Mittwoch bereits eine Mail geschickt und bis jetzt keine Antwort erhalten. Nun mache ich mir Sorgen, dass ich Opfer eines Phishing Anrufs geworden bin und demnächst mein Geld weg ist. Wie kann man so eine Praxis fahren - 6 Jahre nach der Beschwerde hier?
Die Praxis müsste lauten: "Ich lege auf, Sie rufen die Hotline an, fragen nach Herrn XY und dann können Sie sicher sein."
Es möge sich bitte UMGEHEND jemand von der Consorsbank dazu äußern bzw. auf meine Mail antworten.
Das mit dem Mitarbeiter und der Pin hatte ich auch mal und fand es auch sehr unangenehm, daher habe ich die Pin nicht verraten - und das wohlgemerkt, obwohl ICH die Consorsbank angerufen habe und nicht andersrum!
Wir haben in der Arbeit für so etwas eine tagesaktuelle Losung, damit wir uns intern legitimieren können.
Jetzt ist das natürlich bei einer Bank schwer, da dann noch jeder Consorsbank-Kunde andere abziehen könnte, aber mit einem individuellen Code für diese Zwecke wäre das Problem erledigt...
Den Pin hat der Mitarbeiter damals umgehen können, indem ich eine TAN generiert habe...das war "angenehmer", aber dennoch seltsam genug!
Hallo liebe Community,
vielen Dank für Ihre Nachrichten.
Ich kann verstehen, dass dieses Thema sehr wichtig für Sie ist, da es sich dabei um sensible persönliche Daten handelt und es zu Fragen kommen kann. Deshalb möchte ich gesammelt dazu Stellung nehmen.
Die Vorgehensweise, dass Consorsbank Mitarbeiter Sie nach bestimmten Stellen Ihrer PIN fragen, ist richtig und wird tatsächlich so von uns zur Legitimation gehandhabt. Es gibt dabei jedoch immer eine Stelle, die nie abgefragt wird.
Haben Sie dabei dennoch Sicherheitsbedenken, können Sie jederzeit natürlich selbst bei uns anrufen, um auf Nummer sicher zu gehen.
Vielen Dank für Ihr Verständnis!
Viele Grüße
CB_Evelin
Community-Moderatorin