abbrechen
Vorschläge einblenden
Mit der automatischen Vorschlagsfunktion können Sie Ihre Suchergebnisse eingrenzen, da während der Eingabe mögliche Treffer angezeigt werden.
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du: 

PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

Antworten
Link zum Beitrag wurde kopiert.

Aufsteiger
Beiträge: 3
Registriert: 26.02.2021

PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

gestern

Hallo liebe Community,

Es war mal wieder soweit. - Die Sache lässt mir keine Ruhe

 

1. Am 25.10 morgens um 09:05

meine Secure PLUS App meldete sich ungefragt mit der bitte um Eingabe der PIN

- Anfrage meinerseits ignoriert

2. um 09:30 meldet sich die App ein 2. Mal

- Anfrage ignoriert - aber ich dachte mir "da stimmt was nicht"

3. um 09.32 hab ich mich sicherheitshalber eingeloggt 

- wieder Meldung von der App - Pin eingegeben und die Freigabe erteilt

- kaum war die Freigabe erteilt kommt der Freigabebildschirm in einem Sekundenbruchteil wieder (diesesmal ohne vorherige PIN)

- Ich dachte bei mir "OK die erste kam wohl nicht an" also nochmal auf Freigabe gedrückt.

- da war ich dann drin

- alles sah gut aus -

- SICHERHEITSHALBER DIE ONLINE ZUGANGSPIN GEÄNDERT

 

um 09:50 Anruf von CONSORS +49 911 3693000 - 

Es meldete sich ein Mann deutschprachig - dem Dialekt nach zu Urteilen - Ostdeutschland - näche Berlin/Brandenburg - jedoch kein Berliner Dialekt. Aber auch nicht Sachsen oder Thüringen oder Meck-Pomm Küste.

Hier mein Anruf Gedächtnisprotokoll

CONSORS Sicherheitsabteilung mein Name ist....

- Ich dachte mir schon dass Sie anrufen

Wieso?

- ich erzählte von meinen SecurePlus Meldungen

Ja da ist eine spanische Firma die möchte von ihrem Konto 20000 € abbuchen per SEPA

wir müssen das jetzt blockieren, sie benutzen doch den Push Tan Generator

- Ja wieso?

Sie sind doch Herr...XX

- Ja

(ich und das war irgendwie mein Glück - ich hatte den Herrn falsch - und auch akkustisch nicht-  verstanden und dachte CONSORS würde mir eine neue Benachrichtigung auf das Handy schicken - Es gibt Sparkassen die machen das so- aber die kam ja nicht und konnte ja auch nicht kommen)

- Nein das PUSH TAN geht irgendwie nicht

(etwas ungehalten) Aber Sie benutzen doch TAN

- Ja ich rufe Sie zurück

Nein wir müssen das sofort machen

- Nein ich rufe Sie zurück, ich ibn einmal fast Opfer eines Betruges geworden (was nicht mal gelogen war)

(noch ungehaltener) Aber Sie sind doch Beamter - arbeiten Sie bei der Polizei oder was?

(evtl. hat er meine Stammdaten doch nicht gesehen - da in meinen Stammdaten "Angestellter" steht)

- Ich brauche ihnen nicht zu sagen wo ich arbeite

 

AUFGELEGT!!!

 

Dann das Telefonbanking angerufen

Um mich zu legitimieren werde ich nach einer generierten TAN gefragt (kurz Panik meinerseits)

der sehr netten Dame alles geschildert und Sie hat einen Case aufgemacht.

Alles richtig gemacht hat Sie gesagt....

 

Nun plagt mich dennoch etwas:.

Ich benutze nun extrem selten Telefonbanking (beim letzen Mal gab es noch die Legitimation nur mit der online Banking PIN)

Aber hätte ich dies häufiger - wäre mit das Nennen einer TAN zur Legitmation nicht fremd gewesen und ich hätte wenn der "falsche Sicherheitsmensch" danach gefragt hätte ihm vielleicht eine gegeben.

Hier sehe ich 2 potentielle Sicherheitsprobleme.

1. Es sollte so sein dass der/die Mitarbeiter/in eine PUSH auf das Smartphone senden kann - (die Sparkasse Merzig-Wadern macht es so) somit komme ich nicht in Versuchung eine TAN am Telefon zu nennen

2. Ich erhalte unaufgefordert eine Push Benachrichtigung - somit müssen die Betrüger im Besitz meiner PIN gewesen sein....

als ich mich selbst einloggte kurz danach muss ich 2x bestätigen - was ich nun nicht weiß - gelang es den Betrügern noch auf mein Konto zu kommen? Wie lange bleiben diese Anfragen gültig?

Hier wäre eine Warnung über einen Mehrfachlogin gut.

Bzw. 2 annähernd gleichzeitige Log in Anfragen werden automatisch abgelehnt 

 

Ich würde mich freuen über ähnliche Erfahrungen oder Ideen

 

Gruß aus Luxemburg

 

 

 

 

 

0 Likes
5 Antworten 5

Enthusiast
Beiträge: 939
Registriert: 22.11.2016

Betreff: PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

gestern

1.) Ein Mitarbeiter einer Bank (egal von welcher) sollte dich niemals nach einer PIN oder TAN fragen, wenn du ihn selbst nicht angerufen hast. Von daher nie einen Anrufer irgend welche Daten geben, die er nicht zuvor schon von sich aus genannt hat!

2.) Wenn deine App schon PIN oder TAN haben will ohne, dass du aktiv etwas gemacht hast, bei dem du damit gerechnet hast, immer diese Aktion als nicht zulässig ansehen.

3.) Eine auf dem Display angezeigte Telefonnummer muss nicht die tatsächliche Telefonnummer sein, von der man aus angerufen wurde!

 

Meine Erfahrungen mit echten Bankmitarbeitern

Bank ruft mich an und sagt mir, weshalb sie das tut ohne dass ich mich mit einer PIN oder TAN legitimieren muss.  Je nach Grund des Anrufes muss ich dann etwas selbst unternehmen oder nicht.

Ich rufe die Bank an. Wenn es sich nicht um eine allgemeine Auskunft handelt, muss ich mich immer legitimieren. Ansonsten bekomme ich keine Auskunft oder Sonstiges.

 

Sollte mich jemals eine "Bank" anrufen und eine Legitimation von mir wollen, würde ich nach dem Namen fragen und mitteilen, dass ich gleich zurück rufen werde. Dann würde ich mich mit meiner Bank in Verbindung setzen und nachfragen ob es diese Person bei der Bank gibt und ob diese mich tatsächlich anrufen wollte. Wenn ja, kann ich das Telefonat so weiter führen, wenn nein würde ich der gerade angerufenen Mitarbeiter*in sofort diesen Sicherheitsvorfall melden.

 

Wenn bei dir die BankingApp schon unerwartet etwas von dir will, sind die Betrüger schon recht weit gekommen. Sie haben mindestens eine Verknüpfung zwischen Telefonnummer und Bankkonto/-kontakt.


Routinierter Autor
Beiträge: 139
Registriert: 27.02.2023

Betreff: PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

gestern

2. Ich erhalte unaufgefordert eine Push Benachrichtigung - somit müssen die Betrüger im Besitz meiner PIN gewesen sein....

Da sollte dir in der Tat zu denken geben. Die naheliegende Antwort wäre das entweder auf deinem mobilen Endgerät oder deinem PC eine Phishing Software installiert ist., Ich persönlich würde alle Geräte mit denen du dich in letzter Zeit bei der Bank eingeloggt hast neu installieren.

 

Alternativ, hast du bei irgendwelchen Finanzdienstleistern / Kontoverwaltungsprogrammen deine Zugangsdaten hinterlegt?

Das ist zwar erlaubt, meiner persönlichem Meinung nach aber auch ein nogo.

 


Aufsteiger
Beiträge: 3
Registriert: 26.02.2021

Betreff: PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

vor einer Stunde

Hallo Curtis,

hmmmm jetzt wo du fragst..... ich habe mit meinem Konto ein einziges Mal eine sofortüberweisung getätigt.....

 

aber sonst nein nie. Mein Konto existiert schon mehr als 10 Jahre bei Consors , aber niemals war so etwas derartiges.

Bei Mutters Konto (sparkasse) passierte mir das letztes Jahr.... (da war aber nie etwas hinterlegt) (gott sei Dank ohne Schaden - weil im letzen Moment gemerkt)

es gab 2 bei der Sparkasse damals 2 login namen... einen fürchterlich langen Benutzernamen , welchen ich nie benutzte (ausser von meinem Dienstrechner) und meine deutsche Handynummer die niemand hat ausser Mutter und die Banken.... 

Über meinen Dienstrechner halte ich ein fremdes Eindringen für unmöglich (extrem gesichertes Netzwerk) aber da hatten die Täter die PIN nicht, wohl aber log in und Telefonnummer.

Hier bei Consors aber Telefonnummer Log in und PIN.....

Ich mache das jetzt so. Wenn ich Banken anrufen... automatisch Mailbox.... Rückruf meinerseits immer an die Tel aus dem internet....

ich habe instinktiv fast alles richtig gemacht, aber was mich ärgert ist dass ich als der Strolch anrief nicht aktiv abgewehrt habe z.B. hätte ich ihn noch fragen wollen ober er sich nicht schämt..... (aber das interessiert solche Elemente auch nicht)

Wenn dann rufe ich an.....

0 Likes

Routinierter Autor
Beiträge: 139
Registriert: 27.02.2023

Betreff: PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

vor 58 Minuten

@FredericB 

 

Ja, du hast erst mal alles richtig gemacht,

 

Die Frage wie die deine Telefonnummer mit deinem Konto verknüpfen konnten UND dir Pushnachrichten schicken konnten bleibt aber.

Irgendjemand hat Daten die er nicht haben sollte.

 


Aufsteiger
Beiträge: 3
Registriert: 26.02.2021

Betreff: PHISING ANRUF (wenn der Betrüger auch die PIN schon hat) - neue Variante - Legitimation beim Consors Mitarbeiter - Verbesserungsvorschlag

vor 53 Minuten

Curtis das ist offensichtlich.....

die daten schwirren wahrscheinlich im Darknet rum. Durch die geänderte PIN sollte sich das Problem erstmal erledigt haben. jedoch kann man nun versuchen mit mir Schabernack zu treiben indem man ständig bei Einlogversuchen falsche PINs eingibt und ich hab dann jedesmal den Zirkus dieses wieder zu "heilen". Dann müsste mir CONSORS ja neue Kontonummern geben oder?

0 Likes
Antworten