Betreff: PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

FredericB · 26.02.2021

Hallo liebe Community,

Es war mal wieder soweit. - Die Sache lässt mir keine Ruhe

1. Am 25.10 morgens um 09:05

meine Secure PLUS App meldete sich ungefragt mit der bitte um Eingabe der PIN

- Anfrage meinerseits ignoriert

2. um 09:30 meldet sich die App ein 2. Mal

- Anfrage ignoriert - aber ich dachte mir "da stimmt was nicht"

3. um 09.32 hab ich mich sicherheitshalber eingeloggt

- wieder Meldung von der App - Pin eingegeben und die Freigabe erteilt

- kaum war die Freigabe erteilt kommt der Freigabebildschirm in einem Sekundenbruchteil wieder (diesesmal ohne vorherige PIN)

- Ich dachte bei mir "OK die erste kam wohl nicht an" also nochmal auf Freigabe gedrückt.

- da war ich dann drin

- alles sah gut aus -

- SICHERHEITSHALBER DIE ONLINE ZUGANGSPIN GEÄNDERT

um 09:50 Anruf von CONSORS +49 911 3693000 -

Es meldete sich ein Mann deutschprachig - dem Dialekt nach zu Urteilen - Ostdeutschland - näche Berlin/Brandenburg - jedoch kein Berliner Dialekt. Aber auch nicht Sachsen oder Thüringen oder Meck-Pomm Küste.

Hier mein Anruf Gedächtnisprotokoll

CONSORS Sicherheitsabteilung mein Name ist....

- Ich dachte mir schon dass Sie anrufen

Wieso?

- ich erzählte von meinen SecurePlus Meldungen

Ja da ist eine spanische Firma die möchte von ihrem Konto 20000 € abbuchen per SEPA

wir müssen das jetzt blockieren, sie benutzen doch den Push Tan Generator

- Ja wieso?

Sie sind doch Herr...XX

- Ja

(ich und das war irgendwie mein Glück - ich hatte den Herrn falsch - und auch akkustisch nicht- verstanden und dachte CONSORS würde mir eine neue Benachrichtigung auf das Handy schicken - Es gibt Sparkassen die machen das so- aber die kam ja nicht und konnte ja auch nicht kommen)

- Nein das PUSH TAN geht irgendwie nicht

(etwas ungehalten) Aber Sie benutzen doch TAN

- Ja ich rufe Sie zurück

Nein wir müssen das sofort machen

- Nein ich rufe Sie zurück, ich ibn einmal fast Opfer eines Betruges geworden (was nicht mal gelogen war)

(noch ungehaltener) Aber Sie sind doch Beamter - arbeiten Sie bei der Polizei oder was?

(evtl. hat er meine Stammdaten doch nicht gesehen - da in meinen Stammdaten "Angestellter" steht)

- Ich brauche ihnen nicht zu sagen wo ich arbeite

AUFGELEGT!!!

Dann das Telefonbanking angerufen

Um mich zu legitimieren werde ich nach einer generierten TAN gefragt (kurz Panik meinerseits)

der sehr netten Dame alles geschildert und Sie hat einen Case aufgemacht.

Alles richtig gemacht hat Sie gesagt....

Nun plagt mich dennoch etwas:.

Ich benutze nun extrem selten Telefonbanking (beim letzen Mal gab es noch die Legitimation nur mit der online Banking PIN)

Aber hätte ich dies häufiger - wäre mit das Nennen einer TAN zur Legitmation nicht fremd gewesen und ich hätte wenn der "falsche Sicherheitsmensch" danach gefragt hätte ihm vielleicht eine gegeben.

Hier sehe ich 2 potentielle Sicherheitsprobleme.

1. Es sollte so sein dass der/die Mitarbeiter/in eine PUSH auf das Smartphone senden kann - (die Sparkasse Merzig-Wadern macht es so) somit komme ich nicht in Versuchung eine TAN am Telefon zu nennen

2. Ich erhalte unaufgefordert eine Push Benachrichtigung - somit müssen die Betrüger im Besitz meiner PIN gewesen sein....

als ich mich selbst einloggte kurz danach muss ich 2x bestätigen - was ich nun nicht weiß - gelang es den Betrügern noch auf mein Konto zu kommen? Wie lange bleiben diese Anfragen gültig?

Hier wäre eine Warnung über einen Mehrfachlogin gut.

Bzw. 2 annähernd gleichzeitige Log in Anfragen werden automatisch abgelehnt

Ich würde mich freuen über ähnliche Erfahrungen oder Ideen

Gruß aus Luxemburg

urvater · 22.11.2016

1.) Ein Mitarbeiter einer Bank (egal von welcher) sollte dich niemals nach einer PIN oder TAN fragen, wenn du ihn selbst nicht angerufen hast. Von daher nie einen Anrufer irgend welche Daten geben, die er nicht zuvor schon von sich aus genannt hat!

2.) Wenn deine App schon PIN oder TAN haben will ohne, dass du aktiv etwas gemacht hast, bei dem du damit gerechnet hast, immer diese Aktion als nicht zulässig ansehen.

3.) Eine auf dem Display angezeigte Telefonnummer muss nicht die tatsächliche Telefonnummer sein, von der man aus angerufen wurde!

Meine Erfahrungen mit echten Bankmitarbeitern

Bank ruft mich an und sagt mir, weshalb sie das tut ohne dass ich mich mit einer PIN oder TAN legitimieren muss. Je nach Grund des Anrufes muss ich dann etwas selbst unternehmen oder nicht.

Ich rufe die Bank an. Wenn es sich nicht um eine allgemeine Auskunft handelt, muss ich mich immer legitimieren. Ansonsten bekomme ich keine Auskunft oder Sonstiges.

Sollte mich jemals eine "Bank" anrufen und eine Legitimation von mir wollen, würde ich nach dem Namen fragen und mitteilen, dass ich gleich zurück rufen werde. Dann würde ich mich mit meiner Bank in Verbindung setzen und nachfragen ob es diese Person bei der Bank gibt und ob diese mich tatsächlich anrufen wollte. Wenn ja, kann ich das Telefonat so weiter führen, wenn nein würde ich der gerade angerufenen Mitarbeiter*in sofort diesen Sicherheitsvorfall melden.

Wenn bei dir die BankingApp schon unerwartet etwas von dir will, sind die Betrüger schon recht weit gekommen. Sie haben mindestens eine Verknüpfung zwischen Telefonnummer und Bankkonto/-kontakt.

CurtisNewton · 27.02.2023

2. Ich erhalte unaufgefordert eine Push Benachrichtigung - somit müssen die Betrüger im Besitz meiner PIN gewesen sein....

Da sollte dir in der Tat zu denken geben. Die naheliegende Antwort wäre das entweder auf deinem mobilen Endgerät oder deinem PC eine Phishing Software installiert ist., Ich persönlich würde alle Geräte mit denen du dich in letzter Zeit bei der Bank eingeloggt hast neu installieren.

Alternativ, hast du bei irgendwelchen Finanzdienstleistern / Kontoverwaltungsprogrammen deine Zugangsdaten hinterlegt?

Das ist zwar erlaubt, meiner persönlichem Meinung nach aber auch ein nogo.

FredericB · 26.02.2021

Hallo Curtis,

hmmmm jetzt wo du fragst..... ich habe mit meinem Konto ein einziges Mal eine sofortüberweisung getätigt.....

aber sonst nein nie. Mein Konto existiert schon mehr als 10 Jahre bei Consors , aber niemals war so etwas derartiges.

Bei Mutters Konto (sparkasse) passierte mir das letztes Jahr.... (da war aber nie etwas hinterlegt) (gott sei Dank ohne Schaden - weil im letzen Moment gemerkt)

es gab 2 bei der Sparkasse damals 2 login namen... einen fürchterlich langen Benutzernamen , welchen ich nie benutzte (ausser von meinem Dienstrechner) und meine deutsche Handynummer die niemand hat ausser Mutter und die Banken....

Über meinen Dienstrechner halte ich ein fremdes Eindringen für unmöglich (extrem gesichertes Netzwerk) aber da hatten die Täter die PIN nicht, wohl aber log in und Telefonnummer.

Hier bei Consors aber Telefonnummer Log in und PIN.....

Ich mache das jetzt so. Wenn ich Banken anrufen... automatisch Mailbox.... Rückruf meinerseits immer an die Tel aus dem internet....

ich habe instinktiv fast alles richtig gemacht, aber was mich ärgert ist dass ich als der Strolch anrief nicht aktiv abgewehrt habe z.B. hätte ich ihn noch fragen wollen ober er sich nicht schämt..... (aber das interessiert solche Elemente auch nicht)

Wenn dann rufe ich an.....

CurtisNewton · 27.02.2023

@FredericB

Ja, du hast erst mal alles richtig gemacht,

Die Frage wie die deine Telefonnummer mit deinem Konto verknüpfen konnten UND dir Pushnachrichten schicken konnten bleibt aber.

Irgendjemand hat Daten die er nicht haben sollte.

FredericB · 26.02.2021

Curtis das ist offensichtlich.....

die daten schwirren wahrscheinlich im Darknet rum. Durch die geänderte PIN sollte sich das Problem erstmal erledigt haben. jedoch kann man nun versuchen mit mir Schabernack zu treiben indem man ständig bei Einlogversuchen falsche PINs eingibt und ich hab dann jedesmal den Zirkus dieses wieder zu "heilen". Dann müsste mir CONSORS ja neue Kontonummern geben oder?

urvater · 22.11.2016

@FredericB Ja, wenn sie wollten könnten sie regelmäßig dein Konto sperren. Das liegt aber nicht in deren Interesse, da sie ja hauptsächlich an dein Geld/Vermögen kommen wollen.

Eine neue Kontonummer wäre nicht zwingend nötig. Eigentlich würde es reichen, wenn dein Benutzername für den Login geändert wird. Natürlich inclusive neuem PIN.

Den dein Login gibt dir ja die Rechte für die Konten.

Wie gehst du eigentlich ins Banking? Nur Smartphone oder PC und Freigabe über Smartphone?

Du solltest die verwendeten Geräte auf jeden Fall auch nach Schadsoftware scannen oder scannen lassen.

immermalanders · 06.02.2015

Die Frage, wie solche Leite an so viele Daten gelangen konnten, liegt in vielen Fällen beim Nutzer selbst. Damit will ich nicht unterstellen, dass dies hier der Fall ist, aber viel zu oft tauchen auch hier in der Community Beiträge auf, in denen zu viele persönliche Daten (z.B. vollständiger Name, Telefonnummern, Kontonummern) stehen.

Bei dem ganzen "gejammer" über die Umsetzung von PSD2 bei der Consorsbank, zeigt es sich in diesem Fall, dass die Legitimation bei jedem Login ein zusätzlicher Schutz ist, damit fremde nicht "einfach so" auf das Konto zugreifen können.

FredericB · 26.02.2021

PSD2 könnte noch besser umgesetzt werden, wenn der Bankmitarbeiter eine PUSH triggern kann, welche ich bei der Legitimation eingeben muss. und durch eine kleine änderung im Algorithmus könnte man sogar erreichen, dass die generierten TANS nicht für den LOG in taugen sondern lediglich für Überweisungen. Legitimaitions TANS müssen durch einen Bankmitarbeiter getriggert werden..... Aber ja einen 100% Schutz kann und wird es nie geben. Der grösste Unsicherheitsfaktor ist der Mensch.

übrigens kann man den log in NICHT ändern. einen alias Namen erhält man nur bei der Watchlist. Zum Konto kommt man nur mit Kto No. PIN und TAN.....

immermalanders · 06.02.2015

@FredericB

Wird eine TAN zur Legitimation von der Bank auf das Handy geschickt, könnte das Konto, falls das Handy entwendet wird, leer sein. Außerdem nutzen nicht alle Kunden die SecurePlus-App der Consorsbank zur Legitimation unf zur Erzeugung einer TAN. Ich persönlich nutze die SecurePlus-App selteren, ich nutze lieber den TAN-Generator da dieser von außen nicht "beeinflusst" bzw. "abgehört" werden kann. Seit der Einführung von PSD2 benötoigt man zum Login und zur Freigabe von Wertpapiertransaktionen eine "einfache" TAN die keinerlei Transaktonsdaten enthält Für alle Aktionen im Zahlungsverkehr (z.B. Überweisung, Sparplan anlegen/ändern, Dauerauftrag uws.) muss man eine TAN verwenden, bei der das Zielkonto und der Betrag bei der Erzeugung verwendet wurde.