Internetbetrug

Hallo,

ich wollte mal einen Fall eines Bekannten und fragen, wie das ganze eigentlich funktioniert.
Er hat eine ganz normale Überweisung getätigt, bzw. etwas auf ein anderes Konto von ihm beim selben Kreditinstitut umgebucht. Alles verlief so wie sonst auch, nur nach der Umbuchung wurder der Betrag nicht auf dem anderen Konto gutgeschrieben. Ihm kam es komisch vor, er wartete jedoch einen Tag bevor er sich bei der Bank meldete.
Das Geld wurde auf einem anderen Konto gutgeschrieben, Bankdaten kann er jetzt auf dem Kontoauszug ablesen, Name ist auch angegeben. Alles ist innerhalb Deutschlands geblieben, doch soll das Geld nicht zurückzubuchen sein. Die Bank sagt er sei Schuld, denn er habe einen Virus auf dem Rechner gehabt.
Ist der Fall wirklich so einfach zu bewerten? Habe bisher immer nur von Fällen gelesen und gehört, in den Kunden irgendwelche mysteriösen Links angeklickt haben oder ähnliches, was hier auszuschließen ist. Trägt die Bank da nicht auch eine Teilverantwortung ? Ist man privat oder die Bank eventuell dagegen versichert ?

Also er benutzt das Smarttan-Verfahren, falls das irgendeine Rolle spielt. Was wäre denn noch wichtig zu wissen um sich ein Bild von der Sache machen zu können ?

Bei den akteullen SmartTAN-Verfahren, die ich kenne, wird die Empfängerkontonummer in ein Gerät eingegeben (mit Tastatur oder optisch über einen Sensor). Dabei ist die Aufmerksamkeit des Nutzers entscheidend.

Kontrolliert er die Empfängerdaten nicht, also die Zielkontonummer, dann gibt es keine Sicherheit und ich persönlich würde in diesem Fall dann zumindest von einer Teilschuld ausgehen, insbesondere, wenn einem schon etwas "komisch" vorkommt und man dann noch einen Tag abwartet, um sich bei der Bank zu melden.

Das ist jetzt aber wirklich nur meine Meinung zu einer wahrscheinlichen Möglichkeit, wie es beim SmartTAN-Verfahren zu einem Schaden kommen kann. Ohne den Fall bis ins kleinste Detail zu kennen, kann man dazu leider nichts sagen. Die Bank wird diese Details - zur Not mit Hilfe des Rechenzentrums - klären.

Allgemein: Der Empfänger des Geldes muss ja das Geld zurückgeben. Ist das Geld innerhalb von Deutschland geblieben, dann hat man zumindest eine winzige Chance, etwas davon wieder zurückzubekommen.

Ich drück euch die Daumen,
Gruß
Raimund

Also bei seinem Tan-Verfahren ist es noch so, dass es nicht auftragsbezogen ist. Er kann also nicht noch einmal nachprüfen, ob die Kontodaten alle die richtigen sind, wie man es beispielsweise bei den Tans per SMS hat. Er hat schon einmal mit der Abteilung seiner Bank, die sich mit den Gegebenheiten auseinandersetzt, gesprochen. Der Hacker soll ihm quasi ein "fiktives" Bild auf seinen Rechner geschickt haben, wo er die eigentlich richtigen Kontodaten eingegeben hat. In der Realität hat jedoch der Hacker die Daten eingegeben. Genau durchblicken tue ich da nicht, so hat er mir dies jedoch geschildert.
Also Kontodaten von der Person, an die das Geld gegangen ist, hat er. Es ist die selbe Bank, bei der er auch ist. Das Geld wurde dort jedoch schon abgebucht. Die Polizei meinte, dass die Inhaber des Kontos meistens Drogenabhängige wären, die das Konto für jemanden eröffnen, der ihm einen Schuss ermöglichen.

Schonmal vielen Dank für eure Hilfe!

Also ohne die genauen Details können wir hier wirklich in alle möglichen Richtungen spekulieren.

Pauschal würde ich sagen, sofern es sich um eine Bank handelt, die bewusst die unsicheren Verfahren wie TAN/iTAN einsetzt, so kann eher mit einer Erstattung gerechnet werden. Für die Bank ist die Erstattung dann quasi günstiger als die Einführung eines neueren Verfahrens.

Sofern es aber per SMS aufs Handy oder über den TAN-Generator lief, so kann dem Geschädigten meiner persönlichen Meinung nach eine Mitschuld gegeben werden, da er vorhandene Sicherheitsmerkmale nicht genutzt hat.

Und wie Raimund schon sagt. Es handelt sich idR um gutgläubige Menschen, die sich zu Finanzagenten machen lassen.

Dass das Geld vom Empfängerkonto abgebucht wurde, bedeutet lediglich im Sinne des Überweisungsgesetzes, dass die Bank den Betrag nicht zurückbuchen darf. Es sollte auf jeden Fall Strafanzeige erstattet werden und ich drück euch die Daumen, dass bei dem Kontoinhaber noch was zu holen ist !

Energischer Einspruch, Euer Ehren!
iTAN hat faktisch ein Manko bei man-in-the-middle Geschichten. Und zwar deshalb, weil der Nutzer eine Kompromittierung nicht erkennen kann.
Das ist für mich ein ganz klarer Sicherheitsnachteil zulasten des Verfahrens an sich.
Deshalb finde ich iTAN schon unsicher.

Bei chipTAN und smsTAN kann man die Manipulation erkennen, denn dann stimmt die Rückmeldung nicht mehr.

Und das ist systemisch bedingt, hat mit dem Nutzer nichts zu tun.

Ja, das ist natürlich auch richtig.
Ich ging jetzt vom aktuell vorliegenden Bedrohungsszenario der Praxis aus und nicht von allem, was denkbar wäre. Denn alles was denkbar wäre abzusichern würde dazu führen, dass das Internet komplett geschlossen werden müsste.


Ich wiege nur danach ab, was praktische Relevanz hat.
Denn wie gesagt: Wenn ich alles einbeziehe was technisch möglich und denkbar ist, würde ich Onlinebanking komplett abschaffen müssen.

Ja das ist richtig, hilft uns aber nicht weiter. Es bringt mir als Bankmitarbeiter keinen Nutzen zu wissen, dass im Idealfall nix passiert.

Dass die TAN-Verfahren technisch(!) nicht unantastbar sein können, wissen wir alle. In der täglichen Praxis wird also die Möglichkeit, einen Betrug zu erkennen, zum wichtigsten Merkmal. Daher werde ich TAN/iTAN weiterhin als unsicher bezeichnen, einfach weil in der Praxis ständig wieder irgendwelche Kunden von Trojanern befallen werden.

Und genau deshalb werden sich auch die TAN-Verfahren weiter entwickeln. Weil technisch versierte Kunden/Menschen wie Du leider die Minderheit sind.

Gruß

Schon klar, aber es ist euch schon bewusst, was ihr macht oder ?

1. Nun im Visier der Trojaner und Malware Programmierer : PC "UND" Smart-Phone ( cross-datamining, damit lassen sich in Zukunft auch direkt noch ganz neue Profile seitens der Malwarer und Phisher erstellen, das nur mal am Rande ) und da der Nutzer sich das Zeug ohnehin schon auf seinem PC eingefangen hat, was spricht dagegen das er sich nichts mit seinem Smartphone einfängt ? Ganz im Gegenteil, durch das Smartphone wird es nämlich erst richtig leicht, die Hintertür zum Benutzer aufzuschliessen. [Und wie gesagt, in Zukunft wird man diesbezüglich sicherlich noch schönere Quellen an derartige Postings anhängen können, wir sind ja erst am Anfang des Ganzen]
2. Wie oben bereits erwähnt, anstatt dem Benutzer (endlich) klarzumachen, dass er Sorge walten muss über sein System, gibt man ihm jetzt ein neues Kind an die Hand und sagt ihm, durch die zusätzliche Nutzung seines Smartphones oder Mobiltelefones ist er jetzt sicher ( ja nicht sicherer, sondern wenn ich mir manche Werbeprospekte anschauen, muss dieser Nutzer der ja blauäugig mit seinem PC bis dato umgegangen ist, denken, nun ist er endlich auf der sicheren Seite ) Resultat : Nutzer kann endlich wieder weniger Sorge walten lassen, denn genau das werden viele denken, wenn auch nur unterbewusst.
3. Durch die unterschwellige Akzeptanz des Smartphones, klatschen natürlich die Unternehmen wie Google jetzt schon in die Hände, verkümmert das Kind namens eWallet oder auch Wallet bis dato vor sich hin.

Man kann sich streiten, ohne Frage. Aber ich muss mir die Frage stellen, was hat das Smartphone, was nichts anderes ist als ein PC mit Modem salopp gesagt, im Zahlungsverkehr zu suchen ? Meiner Meinung nach nichts, aber dafür ist es zu spät, logo. Und wenn die Orga einmal beschlossen hat, wohin der Weg führt, wird er auch gegangen.

Es bleibt nur zu hoffen, dass der Bumerang kein grosser sein wird, der da eventuell auf seinem Weg zurück ist.

.....welches kostenmäßig im Rahmen bleibt und vom Durchschnittsnutzer auch bedienbar und beherrschbar ist müsste der Satz auch noch weitergehen.

Womit wir wieder beim Thema wären. Denn die neuen Verfahren bieten dem Benutzer zumindest die Möglichkeit, einen falschen Auftrag zu erkennen. Deswegen allein sind sie schon als sicherer als iTAN zu bezeichnen. Ob das jeder auch so nutzt ist eine andere Frage. Und dass man damit nicht sämtliche denkbaren heutigen und zukünftigen Bedrohungsszenarien abdeckt ist auch klar.
Aber wenn du die Sicherungsmedien noch sicherer machst werden sie zu teuer oder können vom Benutzer nicht mehr bedient werden, weil der dafür erst ein IT-Studium braucht.