Rückbuchungs-Forderung nach Online-Überweisung

[herzmeister]

Hatte schon mal jemand 'ne Rückbuchungs-Forderung nach einer Online-Überweisung?

Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.

Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)

Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?

[Aswan]

Hatte schon mal jemand 'ne Rückbuchungs-Forderung nach einer Online-Überweisung?

Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.

Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)

Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?

Es gab vor einigen Jahren einen Fall, da hat eine Gruppe Bankportale auf Sicherheit getestet. Sie hatten die Website einer Lokalbank gefunden, auf der Informationen waren, bei der man, wenn man Onlinebanking nutzen möchte, allerdings zur Website der Zentrale weitergeleitet wurde.

Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.

Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.

Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.

[Chefnet]

Ja ich hatte eine, der gegenüber hat ganz altmodisch einen Überweisungsschein bei der Bank eingeworfen mit einem Konto was ihm nicht gehörte un dder reale Besitzer hat sein Geld zurückgefordert und Anzeige gegen mich erstattet ...

[herzmeister]

Es gab vor einigen Jahren einen Fall, da hat eine Gruppe Bankportale auf Sicherheit getestet. Sie hatten die Website einer Lokalbank gefunden, auf der Informationen waren, bei der man, wenn man Onlinebanking nutzen möchte, allerdings zur Website der Zentrale weitergeleitet wurde.

Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.

Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.

Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.

Die kamen also an TAN-Listen auf den Servern? Offen wie ein Scheunentor. 

In einer gerechten Welt haftet der, der für solche Fehler verantwortlich ist. Und die Banken können ihr Geld sowieso selber drucken. Die könnten sowas dann einfach aus der Welt buchen.

Ja ich hatte eine, der gegenüber hat ganz altmodisch einen Überweisungsschein bei der Bank eingeworfen mit einem Konto was ihm nicht gehörte un dder reale Besitzer hat sein Geld zurückgefordert und Anzeige gegen mich erstattet ...

Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.

Ich erstatte auch gleich Anzeige gegen dich. 

[Chefnet]

Ich erstatte auch gleich Anzeige gegen dich. 

lustig ist das nicht, aber die Polizei hats verstanden und das Verfahren eingestellt.

[herzmeister]

na bei mir wird's auch kein Spaßritt werden, aber man darf im Leben nicht alles so ernst nehmen, nich wahr.

Wie kann man bei sowas überhaupt beweisen, dass man nicht zu einer Bande oder einem Ring gehört, der sich gegenseitig Geld auf diese Weise zuschiebt, die Mitglieder sich aber untereinander offiziell natürlich nicht kennen?

[Chefnet]

na bei mir wird's auch kein Spaßritt werden, aber man darf im Leben nicht alles so ernst nehmen, nich wahr.

Wie kann man bei sowas überhaupt beweisen, dass man nicht zu einer Bande oder einem Ring gehört, der sich gegenseitig Geld auf diese Weise zuschiebt, die Mitglieder sich aber untereinander offiziell natürlich nicht kennen?

naja am Ende hat der reale Kontobesitzer ja sein Geld soundso gehabt wegen der Rücküberweisung und ich dann Anzeige gegen unbekannt gestellt, also bin zwar immernoch ich der leidtragende. Außerdem wurden alle benötigten Daten (Konto, BTC, ...) von der Polizei aufgenommen und bewertet.

[Aswan]

Es gab vor einigen Jahren einen Fall, da hat eine Gruppe Bankportale auf Sicherheit getestet. Sie hatten die Website einer Lokalbank gefunden, auf der Informationen waren, bei der man, wenn man Onlinebanking nutzen möchte, allerdings zur Website der Zentrale weitergeleitet wurde.

Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.

Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.

Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.

Die kamen also an TAN-Listen auf den Servern? Offen wie ein Scheunentor. 

In einer gerechten Welt haftet der, der für solche Fehler verantwortlich ist. Und die Banken können ihr Geld sowieso selber drucken. Die könnten sowas dann einfach aus der Welt buchen.

Ja, die TAN-Listen waren sowohl auf den Servern der Bank (zum abgleich) alsauch auf eben einer Papierliste beim Kunden selbst, der davon z.B. 100 Stück auf einer Liste hat und die dann nach und nach verwendet. Früher war das so üblich, heute ist es eher selten der Fall, weil es angeblich zu unsicher ist, was mMn völliger Quatsch ist, TAN listne waren gut und sinnvoll

[Chefin]

Hatte schon mal jemand 'ne Rückbuchungs-Forderung nach einer Online-Überweisung?

Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.

Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)

Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?

TAN-Listen sind praktisch ausgestorben. Zwar wird hier und da noch Altbestand nicht zwangsumgestellt, aber neue Konten können kein Papier-TAN mehr wählen. Und hier kommen dann spezialisierte Softwarepakete zum Einsatz. Das bekannteste war ZEUS, man konnte es kaufen und sich dann Module dazu basteln oder aus der Community besorgen. Und wie man an meinen begriffen sieht, war das kein Business das so 10 oder 20 betrieben haben, sondern es gab einen derartigen boom, das der Autor von ZEUS davon leben konnte ohne selbst zu manipulieren. Und eine Community hat sich dann gegenseitig mit Tricks und Kniffen ausgeholfen.

ZEUS wurde dann an einen Konkurrenten verkauft, der ebenfalls Bankingsoftware für entsprechende Kreise programmiert hatte. Es ging in diesem neuen Projekt dann auf und ist heute nicht mehr Eigenständig.

Was macht das ganze Paket den eigentlich? Es ist drauf ausgelegt, die verschiedenen TAN-Verfahren auszuhebeln. M-Tan via SMS, hier wird versucht das Smartphone zu infizieren um darüber dann den TAN abzufangen und selbst zu nutzen. Entweder wird das Smartphone infiziert und bei nächster Gelegenheit dann der PC ebenfalls übernommen oder umgedreht. Dieses flexible Konzept, das selbstständig sich auf die verschiedenen Betriebssystemen einstellt (und da ist Linux genauso betroffen) macht diesen Trojaner sehr erfolgreich und gefährlich. Es gibt inzwischen dann auch fertige Bankingseitenclone für alle möglichen Banken, Schätzungen nach ca 10.000 fertige Bankingseitenclone, so das man nur einen Server braucht um die dort aufzubringen und der Trojaner dann anhand der Orginalseite weis welches die URL für den Clone ist und entsprechend umleitet.

Das ist kein Scriptkiddyspielplatz mehr, sondern ungefähr so proffesionell wie ein Betrieb. Sehr ausgereift und schwer zu knacken. Vorallem weil man die Signaturen der AV-Hersteller umgeht, indem man immer wieder neu compiliert und dabei im Compiler schon das nötige gemacht wird, das die alte Signatur der AV nicht mehr passt. Ist er enttarnt genügt also ein Knopfdruck und eine neue Variante wird erzeugt.

Natürlich arbeiten Banken dagegen, aber wie beim Kopierschutz ist es ein hin und her, wer gerade vorne liegt in diesem endlosen Rennen.

[herzmeister]

Dankeschön für die Infos, ihr Chefs.

Sogar ich benutz allerdings noch eine TAN-Liste in Papierform (aber ich bin schon so ein Asket), darum werden die Tanten und Omis, die derart beschissen werden, wohl auch noch nich mTAN oder 2FA mittels Tablets oder Phones machen. Was im vorliegenden Fall wirklich passiert ist, weiß ich auch immer noch nicht, ich werd's aber wohl noch zeitnah erfahren.

Aber grundsätzlich ist das alles Mist, das ist schon richtig, darum wurde Bitcoin ja erfunden, nich wahr, wenn alles darüber laufen würde, dann gäb's ja auch keine Probleme. 

[Chefin]

Ich denke nicht das Bitcoins die Sicherheit gegen Diebstahl erhöhen, eher verkleinern. Den sind wir mal ehrlich, es ist um Welten leichter eine Datei zu kopieren, als einen kompletten Ablauf so zu simulieren, das es ausieht als wäre alles in Ordnung.

Ein einfacher Keylooger reicht um eine Wallet zu kapern(spätestens wenn man selbst eine Transaktion macht ist auch das Passwort zur Wallet gekapert). TAN-System ist selbst in Papierform deutlich schwerer zu kapern, weil man Webseiten so fälschen muss, das man sich überlisten lässt die TAN einzugeben. Oder mehrere Systeme parallel kapern. Auch wenn es Schwachstellen beim Banking gibt, so sind Bitcoins deutlich unsicherer. Bzw man muss schon erheblich mehr administrativen Aufwand bewältigen. Onlinewallet mit 2FA wo dann der Masterkey in Klartext in der Reg steht(und es geht ja auch garnicht anders als Klartext, da ein verschlüsseln spätestens zur Laufzeit der 2FA entschlüsselt werden muss)

Nein, sicherer ist es nicht. Aber man kann sich sein Sicherheitslevel aussuchen und es mag ja auch Zeitgenossen geben, die wirklich jedes Bit in ihrem PC persönlich kennen. Oder man kauft sich ein seperates Rechnersystem, das ausschliesslich die Wallet verwaltet.

[Akka]

Oder man kauft sich ein seperates Rechnersystem, das ausschliesslich die Wallet verwaltet.

Oder halt so n Teil: http://www.bitcointrezor.com/

[herzmeister]

tja, ein einer perfekten Welt wär's so, und davon war ich auch ausgegangen, drum war ich etwas unvorsichtig.

Ich hab ja auch erst mal die Rückbuchung freundlich verweigert, als die Bank angerufen hatte.

Aber was ich so mitgekriegt hab in letzter Zeit, ist es eben doch nicht (mehr?) so einfach. Für Verkäufer gibt es wie Regeln "Know Your Customer". Der Bankmensch am Telefon meinte, zivilrechtlich ist es so, dass ich das Geld zurückgeben muss, und dafür nun eine Forderung habe gegenüber dem Betrüger, so dass es also an mir hängen bleibt, und ich den Schwarzen Peter habe.

Ich werd aber schaun was so auf mich zukommt, ob es wirklich so ist und was ich tun kann.

[elitenoob]

Der Bankmensch am Telefon meinte, zivilrechtlich ist es so, dass ich das Geld zurückgeben muss, und dafür nun eine Forderung habe gegenüber dem Betrüger, so dass es also an mir hängen bleibt, und ich den Schwarzen Peter habe.

Ja da wird er Recht haben...da hatte irgendjemand hier mal einen Eintrag von einem Anwalt gepostet der das auch sagte.
Man muss das Geld zurückgeben, hat dann aber eine Forderung gegenüber dem "Betrüger".

[Serpens66]

https://bitcointalk.org/index.php?topic=254537.0

Auch wenns hier um Postbank geht, ist es kein anderes Problem. 
Es gibt zwar wirklich nun zahlreiche solcher Threads mit Betroffenen, aber in keinem Fall wurde eine wirkliche Lösung gepostet... Das hilfreichste war wohl bisher einfach alles zu verweigern, wonach sich die Bank nicht mehr meldet.

[mezzomix]

Das hilfreichste war wohl bisher einfach alles zu verweigern, wonach sich die Bank nicht mehr meldet.

Wenn man eine gute Bank hat. Da die Bank Dein Konto führt und damit den Finger auf dem Geld hat, kann sie auch einfach das Geld Zurückbuchen, Deine Zugänge sperren etc.

Viel Spass beim Prozessieren gegen eine Bank die, wie fast jeder Richter weiss "systemrelevant" und "vertrauenswürdig" ist. Nur wenige haben den langen Atem und das nötige Kleingeld um erfolgreich gegen eine widerspenstige Bank zu klagen. Während des (jahrelangen) Rechtsstreit tritt von Seiten des Kunden unweigerlich eine Gewisse Blockadehaltung auf, die dann in negativen Schufaeinträgen endet. Gegen die muss man dann wieder getrennt angehen.

[Aswan]

An der Stelle würde ich mich auch zurücklehnen und gelassen ggf. die Einladung einer Polizeiangestellten zur Plauderstunde abwarten. Du hast Dir ja nichts zu Schulden kommen lassen.

Es wurde dem Empfänger des Geldes doch garkeine Straftat vorgeworfen. Warum sollte sich deiner Meinung nach die Polizeit damit beschäftigen?

[ewibit]

Ich erinnere mich an Zeiten, wo die Bank gehaftet hat, sobald sie eine Buchung ausführt. Wurde eine Überweisung mit gefälschter Unterschrift eingeworfen und von der Bank verbucht, musste sie ggf. den Verlust tragen, da sie die Unterschrift nicht zureichend geprüft hat. Hat jemand seine Bankkarte verloren und die PIN war drauf notiert, hat der Kartenbesitzer halt gehaftet für Bargeldabhebungen am Automaten, weil er seiner Sorgfaltspflicht nicht nachgekommen ist.

ich dachte auch dass das so ist
hat sich da in den letzten Jahren die Gesetzeslage geändert?
Die Banken sind ja Dienstleister und werden dafür vom Kunden bezahlt..

[klaus]

ewibit 1+

Genauso stehe ich auch da.
Hat sich da was geändert?

Klar muss man bei grober Fahrlässigkeit (zb. EC Karte und Zettel mit Pin in Brieftasche) haften.
Aber bei so einem Bank-hack auch? Kann ich mir nicht vorstellen.

unweigerlich eine Gewisse Blockadehaltung auf, die dann in negativen Schufaeinträgen endet. Gegen die muss man dann wieder getrennt angehen.

Ich bin seit Jahren bei meineschufa.de angemeldet.
Der UpdateService Kostet 10 Euro / Jahr.
Man bekommt in Echtzeit per E-Mail und SMS alles mit was läuft. Schufabfragen, Score Änderungen usw.

Bei einem solchen Eintrag (unberechtigt) würde ich am gleichen Tag meinen Anwalt beauftragen das mit der Bank glatt-zu-ziehen. Inkl. Schadensersatzansprüchen wenns zu lange dauert.

[herzmeister]

Andererseits wissen wir doch alle, was für Probleme Verkäufer im Internet mit Rückbuchungen haben, dass sie eigentlich immer die Gearschten sind wg Verbraucherschutz etc, und wie scharf die deshalb eigentlich alle auf Bitcoin sein müssten...