Phishing/Pharming - Geld weg

ich möchte heute mal zur Diskussion stellen, wie mit Nutzern des Onlinebanking umgegangen wird und von Euch wissen, wie Eure Erfahrungen so sind bzw. ob Ihr Tips für uns habt: Vor 3 Wochen wurden wir Opfer eines Pharming Betrugs beim Internetbanking. Während einer Online Sitzung wurde mein Mann aufgefordert „zur Sicherheitsüberprüfung“ eine bestimmte TAN (er benutzt das iTAN Verfahren) einzugeben. Dieser Aufforderung kam er nach, da er der Meinung war, er hätte sich vertippt. Anschließend wollte er eine Überweisung vornehmen, die jedoch scheiterte, da das Limit angeblich überschritten sei. Wir wunderten uns sehr, da das Konto gedeckt war. Wir meinten jedoch, dass wohl einfach ein Fehler im System vorläge und wendeten uns zwei Tage später an die Bank.

Da erfuhren wir, dass zwei Tage vorher eine Überweisung ins Ausland stattgefunden habe und dass die Überweisung bereits am Folgetag (ein Montag) gebucht worden sei. Alle angeblichen Versuche der Bank, das Geld noch zurückzuholen, scheiterten. Die mehrfache Bitte um ein Treffen vorort wurde abgelehnt. Stattdessen wurden wir um ein Protokoll gebeten, in welchem wir den gesamten Vorgang noch einmal detailliert schildern sollten. Nach Eingang des Protokolls vergingen ein paar Tagen, bis wir folgende Nachricht erhielten: „nach Rücksprache/Absprache mit Herrn x ist ein Verschulden durch die Bank nicht gegeben. Eine Erstattung wird es aus diesem Grund nicht geben“.

Wir sind, wie man es sich sicherlich vorstellen können, geschockt angesichts dieser ignoranten Verhaltensweise und möchten unser Geld unbedingt zurückerhalten. Wir haben natürlich bereits Anzeige bei der Polizei gestellt (1 Tag nachdem wir von der Überweisung hörten). Nach Rücksprache mit dem Kriminalbeamten, der mehrere solcher Vorfälle täglich betreut, habe ich erfahren, dass sich die Banken im Allgemeinen kulant zeigen würden, da sie wissen, dass es sicherere Verfahren als das iTAN Verfahren gibt. Auch unter test.de von Stiftung Warentest habe ich einen Artikel gefunden, wo bereits 2007 das PIN/TAN Verfahren als zu unsicher kritisiert wurde. Wir sind der Meinung, dass wir von der Bank nicht über die Risiken bzw. Alternativen aufgeklärt wurden. Schließlich spart es der Bank jede Menge Zeit und Ressourcen, wenn die Bankkunden ihre Überweisungen alle selbst vornehmen.

Ein zweiter Punkt, den wir kritisieren, ist dass die Bank nicht die Ungewöhnlichkeit dieser Überweisung festgestellt hat. Mein Mann hat noch nie in seinem Leben eine Überweisung in dieses Land (Osteuropäischer Raum) getätigt – Überweisungen in dieses Land sind ja vermutlich auch nicht die Regel – Dazu kommt, dass sich unsere Überweisungen generell eher unter Tausend Euro bewegen. Ist die Bank da Ihrer Sorgfaltspflicht nachgekommen?

Hinzuzufügen ist außerdem, dass mein Mann bereits 3 Wochen vor diesem Vorfall während einer Onlinesitzung auf eine Seite weitergeleitet wurde, auf welcher er 20 verschiedene TANS eingeben sollte. Diese Seite war extrem unfprofessionell aufgebaut (mit Rechtschreibfehlern etc.), so dass wir umgehend die Bank anriefen. Die Bank sperrte sofort den Zugang und wies uns an, einen Virenscanner und eine Firewall zu installieren. Dieser Aufforderung kamen wir nach und der Scanner fand auch einen Trojaner und löschte ihn.

Damit möchte ich nochmal klarstellen, dass wir schon in der Lage sind, einen einfachen Betrug als solchen zu erkennen. Aber hätte die Bank nicht ebenfalls aufgrund dieses Vorfalls unsere Überweisungen besonders sorgfältig prüfen müssen? Wie sind Eure Erfahrungen so bzw. was können wir machen? Wir sind der Meinung, dass die Bank zumindest eine Teilschuld trifft.

sorry, aber wenn du gegen nen baum fährst beschuldigst du dann auch das landratsamt weil die dir den führerschein ausgestellt haben?

ich mein:


allein das ist schon ein verstoß gegen die SoBe, ohne firewall und scanner unterwegs zu sein und berechtigt die bank jeden schadensersatz von sich zu weisen.

weiterhin kann man heut zu tage davon ausgehen, das gängige betrugsverfahren durch die enorme medienpublizität weitläufig bekannt sind und auch als solche erkannt und sich entsprechend verhalten werden sollte.




diese verfahren werden i.d.R. auch angeboten (schau mal auf die homepage), aber da viele endanwender weder die paar cent für eine mobile tan, noch die kosten für eine software zahlen wollen um beispielsweise alles via hbci anzuwickeln, hat sich eine verpflichtung zu den entsprechenden verfahren auch nur wieder mit bösen worten seitens der kunden von selbst erledigt.






genau das sollte doch eigentlich schon alle alarmglocken läuten lassen! und wie michael schon geschrieben hat, lassen sich trojaner nicht ohne weiteres entfernen. die einzige wirklich sichere lösung ist den rechner neu aufzuspielen.


aber genug geschumpfen... :mrgreen:

grundlegend hätte die bank sich natürlich kommunikativer zeigen können und zumindest in das üpersönliche gespräch einwilligen.

das sie versucht haben die überweisung zu stoppen, davon geh ich zu 100% aus, da die entsprechenden fristen zur ausführung aber sehr kurz sind, ist das in der regel nur sehr selten möglich (vorallen erst nach 2 tagen).

Natürlich müsste ich das ganze (wie michael auch schon geschrieben hat) auch im detail nochmal durchsprechen, von dem was du hier aber geschrieben hast, hättest du von uns aber ebenfalls eine absage bekommen.

Ich find es nicht gut, dass das auf diese Art und Weise ständig verweichlicht wird. Damit kann doch ein 0815 Anwender wie der hier fragende nichts anfangen wie Du siehst! Wie soll denn ein solcher Anwender die Trojanerarten auseinander halten? Er merkt ja nicht einmal, dass er an einer gänzlich unsinnige Stelle nach einer TAN gefragt wird.
Deshalb finde ich es von Dir persönlich als Fachmann schäbig, es völlig unbedarften Leuten auf diese Weise aufzuweichen!

Aktuelle Virenscanner können heutige Echtzeittrojaner wie den hier beschriebenen definitiv nicht vom gleichen System aus entfernen!
Das sollte der Merk- und Leitsatz sein und basta.
Alles andere, Holger, ist vielleicht theoretisch alles möglich und denkbar aber NICHT PRAXISTAUGLICH!!
Einfügung: Mal im Sinne von Kunde <-> Bank und Onlinebanking gesprochen, nicht als IT'ler!
Es ist wichtig, dass sich diese Erkenntnis verbreitet und man sich nicht in Sicherheit wiegt, weil ein Virenscanner eine falsche Meldung anzeigt und Leute wie Du fleißig in der Theorie herum differenzieren. Können die Kunden alle nichts mit anfangen, die brauchen eindeutige Statements und Handlungsempfehlungen! - so meine Erfahrung.

Das hat mich jetzt mal kurz sauer gemacht, sorry aber da muss ich mir Luft machen
Danke für die Aufmerksamkeit, schönen Abend

P.S.: Der Tipp mit dem Schlichter ist dafür wiederum ein sehr guter, um auch mal das positive hervorzuheben. Aber erst im zweiten Schritt, wenn auch beim Vorstand/Abteilungsleiter der Bank nach erneutem ernsthaften Nachbohren der Rolladen runter gegangen ist.

@Mods: Schlage Verschiebung ins Sicherheits-Forum und Änderung des Titels zumindest in "Phishing/Pharming - Geld weg" vor.

Mal eine ganz andere Frage:
Über was für eine Bank unterhalten wir uns hier? Volksbank, Sparkasse, Postbank... oder vllt. sogar eine Direktbank?

Im Allgemeinen sind denke ich die "Banken vor Ort" zumeist recht kulant.

Zu den Meinungen von Holger und Michael:
Klar hat Holger recht mit seiner Aussage, dass manchmal Trojaner vom laufenden System entfernt werden können, aber in dem Fall stimme ich Michael auch eher zu. Hier sollte man eine klare Aussage treffen, dass es nicht ausreicht nachträglich einen Virenscanner zu installieren und zu meinen alles ist OK.


Nachträglich erst einen Antivirenscanner installieren, nachdem man Monate/Jahre lang in der heutigen Zeit ohne im Internet unterwegs war?

Da geht mir ehrlich gesagt mein virtueller Hut hoch!!!

Nichtsdestotrotz wäre in diesem Fall (also nach dem ersten Fall!) ein klare Aussage der Bank gegenüber Frustrierter Kunde angebracht gewesen: PC neu bespielen...

Hylli

Danke für alle Antworten. Ich möchte aber nochmal klarstellen, dass nach dem ersten Trojanerangriff die Empfehlung der Bank lautete, einen Virenscanner zu installieren. Mein Mann fragte sogar extra noch einmal nach, ob er die Festplatte besser löschen und neu aufspielen sollte. Der Sicherheitsbeauftragte der Bank verneinte das. Er sagte, der Scanner sei ausreichend.

Und zu der vorhergehenden Kritik, dass wir das falsche Verfahren benutzt haben und uns auf der Webseite der Bank besser über Alternativen hätten informieren sollen, möchte ich sagen, dass wir 08/15 Kunden eben nicht den ganzen Tag drüber nachdenken, was so schlimmes beim Onlinebanking passieren kann. Da hätte die Bank vielleicht mal im Beratungsgespräch "Awareness" schaffen müssen. Dass es andere Verfahren gibt, wissen wir aber erst, seitdem wir uns aufgrund des Vorfalls damit auseinandersetzen. Wir hätten zugunsten der erhöhten Sicherheit gerne ein paar Cent pro SMS gezahlt.

Es hat sich eigentlich noch keiner zu dem Punkt geäußert, dass diese Überweisung einfach so durchgangen ist, ohne aufzufallen. Die Polizei meinte, dass die Banken i. A. schon ungewöhnliche Überweisungen tracken, bei uns aber anscheinend nicht. Die Polizei sagte auch, dass sogar oft genug die Kunden erst von ihrer Bank auf diese Buchungen aufmerksam gemacht werden.

Zu der Frage nach dem Limit; 2500,- und die Überweisung hat den Rahmen nahezu ausgeschöpft.

Aber ich bezweifele, dass unsere Bank einen Leiter Electronic Banking hat. Wir sind bei einer kleinen Filiale einer Bauernbank. Und die Filiale hat uns ja, wie schon vorher gesagt, bereits abgewiesen.

Wenn eine Bank dies tun würde, wäre sie sofort wegen "Bevormundung" in der Kritik und es würde viele gestoppte aber gewollte Überweisungen geben, die wiederum verärgerte Kunden und ggf.Schadensersatzforderungen hervorrufen würden.
Zweitens wäre eine solche Analyse des "Kundenverhaltens" wahrscheinlich datenschutzrechlich illegal.

Gruß,
Vader

Hallo Michael,

so dann bin ich wohl jetzt mal an der Reihe etwas angesäuert zu reagieren!

Sorry, aber diese Aussage für sich alleine genommen stellt nur eine falsche Pauschalaussage von Dir richtig! Im Kontext –aus dem Du sie rausgezogen hast- sagt Sie aus, dass das Entfernen nicht das eigentliche Problem ist! Denn selbst wenn ein Virenscanner einen Trojaner nicht entfernen kann, ihn aber erkennt und davor warnt, ist bereits viel gewonnen. Nur genau hier ist das eigentliche Problem. Die meisten aktuellen Trojaner werden von vielen Virenscannern erst gar nicht erkannt und bleiben so völlig unbemerkt auf dem PC aktiv! Damit ist eben das Spiel, "Ich habe da einen Virenscanner installiert und der hat nichts gefunden! Ich bin also sicher!" eine gefährliche Scheinsicherheit!


Da ist absolut nichts Schäbiges dran, wenn man sich die Mühe macht mal den ganzen Zusammenhang zu lesen! Dann kann man durchaus kritisieren, dass die Problematik, das ein Virenscanner keinen 100% Schutz liefern kann nicht deutlich genug herausgestellt wurde und es entsprechend besser machen! Das wäre zielführend gewesen um Anwender zu sensibilisieren!


Siehst Du Michael, ich habe in meinem ersten Posting deine Pauschalaussage "Virenscanner können Trojaner auf dem selben System nicht entfernen" kritisiert. Jetzt spezialisierst Du deine Aussage bereits auf heutige Echtzeitrojaner. War meine Aussage also doch nicht so verkehrt............
Aber auch bei dieser Aussage bleibe ich mit meiner Feststellung, dass das nicht Pauschal gilt! Um es mit deinen Worten zu sagen : Basta!!
Und das ein Anwender nicht in der Lage ist zu unterscheiden, welche Trojaner entfernt werden können und welche nicht, stand nie zur Diskussion und ist in der Tat völlig praxisfern.


Genau an in diesem Abschnitt sprichst Du aus der Sicht und mit der Erfahrung eines IT’lers! Wenn ich meine Fachmann Brille aufziehe, kann ich auch nur jedem empfehlen, sich einen aktuellen Virenscanner mit einer möglichst häufigen Signaturupdatefrequenz anzuschaffen und dazu ggf. noch ein zusätzliches Tool mit vernünftiger Heuristik anzuschaffen. Auch hätten bei mir als Fachmann die Alarmglocken laut geläutet, wenn da plötzlich eine TAN Eingabe Aufforderung erscheit. Auch bin ich persönlich der Meinung, dass „FrustrierterKunde“ da zumindest extrem naiv unterwegs ist\war. Nur das sind Einschätzungen als Fachmann, die sind für die Bewertung im Rechtsstreit völlig uninteressant!

Den Richtern interessiert es nicht, was wir als Minimum für sinnvoll erachten oder vorgeben! Der Richter wird sich Fragen, was man einem durchschnittlichen Anwender zumuten kann und welches Wissen man von einem durchschnittlichen Anwender erwarten kann. Und hier ist das Problem. Wir definieren einen durchschnittlichen Anwender sicherlich anders als ein Richter. Ein Richter, der den ein oder anderen Fall hierzu bearbeitet wird sich vermutlich eher als Fachmann (was aus unserer Sicht schon mehr als fraglich ist....) einordnen und von dem Stand ausgehen den Durchschnittsanwender definieren, wie der dann aussieht, kann man sich gut vorstellen. Ab da wird schlicht bewertet, ob der Anwender vor diesem Hintergrund in irgendeiner Art und Weise seinen zumutbaren Sorgfaltspflichten nachgekommen ist oder nicht. Und hier ist eben die gängige Rechtsauffassung, das ein durchschnittlichen Anwender nicht dazu verpflichtet werden kann Virenscanner und Firewall einzusetzen und ein durchschnittlicher Anwender nicht in der Lage ist Manipulationen ohne geeignete Sicherheitsverfahren und dem Wissen, wie sie anzuwenden sind, zu erkennen.

Und genau darauf bezogen sich meine Aussagen! Eine rein sachliche Information, wie aktuell die Bewertung solcher Fälle bei den Rechtswissenschaftlern und Gerichten aussieht, nachdem hier einige die Thesen aufgestellt haben, dass Banken ihre Kunden eine Verpflichtung für den Einsatz von Virenscannern auferlegen können. Dem ist –bei Privat-anwendern- nicht so! Dass eine Empfehlung diese zu nutzen sinnvoll und richtig ist, stand hier gar nicht zur Diskussion!

@FrustrierterKunde:
Wir leben in einer Zeit, in der der Zahlungsverkehr in Europa zusammen wachsen soll. Daher laufen solche Zahlungen automatisiert durch. Dies ist auch notwendig, da gesetzlich die maximalen Laufzeiten vorgegeben sind und der Auftrag ja mit einer gültigen TAN legitimiert wurde! Und ob eine Zahlung innerhalb Europas in der Ferienzeit so ungewöhnlich ist, ist auch die Frage. Of ist es so, dass erst wenn Zielkonten als verdächtig eingestuft werden, hier Filter greifen.

Viele Grüße

Holger

Weißt du denn, dass Banken so eine Analyse einsetzen? Wir lassen uns einfach täglich im System die über die Webseite eingereichten SEPA-Zahlungen anzeigen. Wenn uns dann etwas komisch vorkommt, fragen wir beim Kunden nach.

Ansonsten dürfte dieses Wort maßgeblich sein.



Denke das geht am Thema vorbei, wir machen ja keine Werbung bei solchen Anrufen.

dem obigen Absatz stimme ich voll und ganz zu (vor allem, dass Richter hier als "Pseudo-Fachspezialisten" auftreten).
Ich übertrage das mal auf ein anderes Beispiel:

/Ironiemodus an

Ich kaufe bei Daimler in Sindelfingen einen neuen Wagen. kein Mensch überprüft, ob ich ein sicherer Autofahrer bin bzw. ob ich überhaupt einen Führerschein besitze (= überhaupt Firewall oder Scanner vorhanden).
Wenn ich den Wagen vor eine Wand setze entscheidet dann das Gericht also, dass Mercedes-Benz mir meine Kosten ersetzt?

/Ironiemodus aus


Entschuldigt bitte, aber ich konnte nicht anders.
Irgendwie fehlt mir bei den Gerichtsurteilen, dass man als User auch eine Eigenverantwortung hat.
Die Bank ist halt die "böse" Partei im Prozess.

Wie sieht es eigentlich aus, wenn einem Paypal User per Keylogger die Zugangsdaten abgefischt werden? Ersetzt Paypal? Glaub ich irgendwie nicht.

Ist Daimler dann nicht Schuld, weil sie keine manipulationssicheren Autos bauen? ops: