http://www.heise.de/newsticker…28221.html

"Unbekannte hätten dessen Mobilnummer zu einem anderen Betreiber portieren lassen."

Wahnsinn, was ist denn Australien für ein Garten Eden, dass einem Kunden, der seine Daten per Phishing verraten hat, 80.000 Dollar erstattet werden?

Naja wahrscheinlich war es nur die Kaffeekasse und die wollten net das ganze Engagement dieses Typen verlieren. *g*

Wäre da nicht eher der Provider in der Haftung für die Portierung ohne Prüfung und die daraus resultierenden Schäden.

Wie sind die denn an den PIN und die Handy-Nummer gekommen?

OK, PIN kann vom Trojaner gelesen worden sein aber woher kommt die Handy-Nummer?
Und wenn die Handy-Nummer in einem beliebigen Verzeichnis gefunden wurde, wie kommt man dann an die zugehörige PIN?

Irgendwie bekomme ich gerade keinen Fall dafür konstruiert.

Naja es steht nicht dabei, was alles gephisht wurde. Jetzt lass das mal ne halbwegs glaubwürdige Email inklusive Abfrage der Kontonummer, PIN, Zugangsdaten, Name, Geburtsdatum, Handynummer, Handy-PIN, Mobilfunkanbieter, Schuhgröße und Gehalt sein

Und darauf fällt jemand rein, der 80.000 Dollar auf einem Girokonto hat?
Wie kommt man denn als dummer Mensch an so viel Kohle?
*auch dumm sein wollen*......

Und hat sich der gute Dimitri nicht gewundert, dass er plötlzlich keine TAN's mehr bekommen hat???
Geschweige denn auch keine Anrufe, SMS mehr?
Oder haben die nur die Bank-SMS mit der TAN portiert?

Also ich kann mir das irgendwie auch nicht vorstellen.

Zu aller erst muss Dimitri ja seine PIN "irgendwie" abhanden gekommen sein, richtig? und dann portiert jemand genau diese Handy-Nr, die zur der gephishten PIN gehört???

Also wenn ich jetzt bei mir ins eBanking schaue, steht in der Verwaltung meine Handy-Nr, mit jeder zweiten Stelle ausge"x"t...
Ist das schon immer so?

LG

Bei FI sieht man sogar nur die letzten 4 Stellen. Man kann also nicht einmal den Provider über die Netzvorwahl erahnen.
Kenne ich auch nicht anders. Daher ist das ja so merkwürdig.

http://www.heise.de/ix/meldung…28221.html

Der Zusammenhang ist doch sein der möglichen Portierung von Mobilnummern in D auch längst gefallen. Aber vermutlich passen 98% der bestehenden Nummern noch ins albekannte Schema.

Mal so aus Interesse: Gibt es einen Dienst, der mir zu einer vollständigen Nummer den Provider ermittelt?

Sorry für mein Double-Post, da war ich wohl zu langsam und hab vor lauter Aufregung nicht gecheckt, dass es schon ein entsprechendes Topic gab

Auch für mich stellt sich die Frage - wieso haftet die Bank? Hat nicht eigentlich der Handy-Provider Schuld? Ich nehme mal an, hier in D gibt es keine ähnlich gelagerten Fälle (Schaden wegen Schlamperei bei den Mobilfunkanbietern), falls doch, würde mich das brennend interessieren...

-stefan-

und ich hab mich schon gefragt, wo damals diese 25.000 Euro teuren Bochumer Nokias hingegangen sind

Wer es nicht mitbekommen hat: http://www.golem.de/0904/66645.html

Gruß
Raimund

Naja, auf jeden Fall sind hier mehrere Faktoren zusammengekommen.
Der Betrüger ist offensichtlich sowohl an die Zugangsdaten zum Online-Banking System der Bank gekommen (verm. Trojaner, ist wohl weltweit so), hatte Kenntnis über die für die TAN-Zustellung genutzte Rufnummer und zusätzlich ist die Rufnummernportierung auf eine andere SIM-Karte mehr oder minder ohne weitere Authorisierungsmechnismen durchgelaufen.

Alles zusammen sehr ungewöhnlich - klingt nach einem schlechten James Bond.

Mit einer solchen Verkettung von unglücklichen Umständen kriege ich bestimmt auch Zugang zu einem Remote Login eines Geheimdienstes

---

Der Mobilfunk Provider kann nach meinem Leienverständnis aber hier auch nicht für den Vermögensschaden haftbar gemacht werden. Klar hat er einen Fehler gemacht, aber der Vermögensschaden am Ende der Kette ist eine nur unmittelbare Folge davon.

Wenn ich einen Brief mit einem Schlüssel versende und dieser geht verloren, kann ich vom Transportdienstleister auch nur den Ersatz des Schlüssels verlangen, nicht aber die möglichen Wertgegenstände die das Schloß schützt, zu dem der Schlüssel gehört. Wenn ich so etwas haben will, muss ich es einzelvertraglich regeln oder eine allgemeine Sonderregelung wie Wertpost nutzen.

Stellt euch mal vor, der Schlüssel gehörte zu einem Waffen-/Munitionsbunker und damit werden entsprechende "Folgen" verursacht.

Oder anders: Eine Bank hat eine Überweisung ausgeführt und mit dem Geld wurde ein Terroranschlag bezahlt. Ist die Bank nun für den Anschlag verantwortlich?

Von "ausgehebelt" kann hier wohl kaum die Rede sein.

Ich mein das Verfahren kann noch so sicher sein, wenn ich dem Kriminellen alle Daten frei Haus liefere, brauch ich mich über einen Schaden nicht zu wundern.

Zitata:"Per Phishing-Mail hatte sich der Angreifer die für den Betrug nötigen persönlichen Daten samt der Mobilnummer verschafft. Ihre Portierung verlief problemlos, da der neue Provider die Identität des Kunden nicht prüfte. (ck/iX) "

Und der bekommt auch noch die Kohle ersetzt. *Kopfschüttel

Hallo,

nehmen wir an:
jemand hat, wie auch immer, die Login Daten vom OB des Opfers. Die Handynummer ist bekannt. Der Täter arbeitet bei diesem Mobilfunkanbieter und richtet daraufhin eine Umleitung ein.

So läßt sich die TAN ebenfalls ausspähen...

Gruß
Abi

Hi Abi,

mag sein, dass das so bei einem Mobilfunkanbieter gehen würde, aber in der Praxis ist so etwas uninteressant! Angreifer haben kein Interesse ein handvoll Leute anzugreifen, die wollen mit möglichst wenig Aufwand viel Geld "erwirtschaften".

Gruß

Holger

Hallo,

gestern in den Nachrichten kam was von einer neuen EU-Richtlinie, die binnen 2? Jahren in nationales Recht umzusetzen sei, die u.a. Handynetzbetreiber verpflichten würde, einen Anbieterwechsel inklusive Rufnummernübernahme binnen 24 Stunden abgewickelt zu haben.

Google News spuckt z.B. folgenden Link dazu aus:

http://www.monstersandcritics….n-wechseln

Ich hoffe nur, dass die Umstellungsprozesse bei den Handynetzbetreibern aufgrund des politisch vorgegebenen Zeitdrucks nicht dermaßen "verschlankt" werden (z.B. durch Verzicht auf Identitätsprüfung des Kunden), dass das zu einem echten Sicherheitproblem wird... :noidea:

Otto

Das hier ist imho die echte Gefahr:
http://www.heise.de/newsticker…66291.html

Nur für Jailbreaker. Mit denen hab ich an der Stelle kein Mitleid. Nicht, weil ich Apples Politik unterstützen würde (Nein, ich würd mir so ein Teil niemals kaufen - Kann ich mir auch nicht leisten ...), sondern weil die User hier bewusst Sicherheitsmechanismen aushebeln und danach heulen => von mir KEIN MITLEID!!

Hey, nix gegen Jailbreaker!

Man muss nur wissen was man tut und Passwörter eben selber gestalten. Das steht dabei, wenn man SSH aktiviert.

Der einzige Fehler ist der, das die SSH Installation die Passwortänderung nicht erzwingt, vergleichbar zu einer Start-PIN.