Cyberangriffe auf Bankkunden

[de.Miner]

Ist hier jemand, dem sein Geld mit Cyberangriff geklaut wurde? Wie ist es passiert und wie hat sich die Bank verhalten? Welche empfehlungen habt ihr?

[Cai Shen]

vor 3 Minuten von de.Miner:

Welche empfehlungen habt ihr?

Bei komplexen Themen Einzeiler vermeiden?

[chirlu]

vor 23 Minuten von de.Miner:

mit Cyberangriff

 

Was verstehst du unter „mit Cyberangriff“? Irgendwas mit Medien?

 

vor 20 Minuten von Cai Shen:

Bei komplexen Themen Einzeiler vermeiden?

 

[de.Miner]

vor 4 Minuten von chirlu:

 

Was verstehst du unter „mit Cyberangriff“? Irgendwas mit Medien?

 

 

Ich meine sowas:
https://bankenverband.de/blog/cyberangriffe-auf-bankkunden/

[Merol Rolod]

Also irgendwas mit Banken? Megaspannend.

[chirlu]

vor einer Stunde von de.Miner:

Ich meine sowas:
https://bankenverband.de/blog/cyberangriffe-auf-bankkunden/

 

Keine von den drei Betrugsmaschen würde ich als „Cyberangriff“ bezeichnen.

[Ramstein]

vor 2 Stunden von de.Miner:

Welche empfehlungen habt ihr?

Hirn einschalten.

[s1lv3r]

vor 53 Minuten von chirlu:

Keine von den drei Betrugsmaschen würde ich als „Cyberangriff“ bezeichnen.

 

 Phishing ist doch nur der Enkeltrick des digitalen Zeitalters ... und beim Enkeltrick spricht man schließlich auch nicht von einem Angriff auf das Bankensystem. 

[de.Miner]

Gerade eben von s1lv3r:

 

 Phishing ist doch nur der Enkeltrick des digitalen Zeitalters ... und beim Enkeltrick spricht man schließlich auch nicht von einem Angriff auf das Bankensystem. 

die nicht aber in dem ersten Absatz schreiben sie allgemein:
"Meldungen über erfolgreiche Angriffe, gehackte PCs und verlorenes Geld "

Nur für den Fall, dass jemand wirklich nicht weiß worum es geht. 

[s1lv3r]

vor 12 Minuten von de.Miner:

die nicht aber in dem ersten Absatz schreiben sie allgemein:
"Meldungen über erfolgreiche Angriffe, gehackte PCs und verlorenes Geld "

 

Ja, genau. Die Einleitung spricht zwar von "Hacking" im weiteren des Artikels geht es dann aber doch nur im Phishing. In der Praxis sind wohl auch 99,9% der den Endkunden betreffenden Angriffe Phishing. Spätestens seit PSD2 und der damit einhergehenden Zwei-Faktor-Pflicht für jegliche Geldgeschäfte.

 

Selbst wenn dein Endgerät gehackt wird (klassischer "Cyberangriff") hat ein Angreifer ohne dein Zutun ja noch keinen Zugriff auf dein Bankkonto. Das Einzige was einen tatsächlich schützt ist wie Ramstein schon schreibt: "Hirn einschalten".

[de.Miner]

vor 4 Minuten von s1lv3r:

 

Ja, genau. Die Einleitung spricht zwar von "Hacking" im weiteren des Artikels geht es dann aber doch nur im Phishing. In der Praxis sind wohl auch 99,9% der den Endkunden betreffenden Angriffe Phishing. Spätestens seit PSD2 und der damit einhergehenden Zwei-Faktor-Pflicht für jegliche Geldgeschäfte.

 

Selbst wenn dein Endgerät gehackt wird (klassischer "Cyberangriff") hat ein Angreifer ohne dein Zutun ja noch keinen Zugriff auf dein Bankkonto. Das Einzige was einen tatsächlich schützt ist wie Ramstein schon schreibt: "Hirn einschalten".

Stimmt nicht so genau. Also ich kenne Leute, die hatten Paypall und jemand hat das PC gehackt. Das Geld ist weg. Sie behaupten sie haben nichts dummes gemacht. Genauso kann man auch ein Handy hacken. ING hat zum Beispiel nur das Handy, es gibt kein zweites Gerät und man kann auch 2 Geräte angreifen. Ich glaube, da es nicht wirklich oft passiert, ist es relativ sicher, aber ganz sicher ist es nicht. Ich persönlich habe ein Handy nur zum Banking. Die Frage ist ob ich damit wirklich ein schwierigeres Zeil bin.

[s1lv3r]

vor 10 Minuten von de.Miner:

Stimmt nicht so genau. Also ich kenne Leute, die hatten Paypall und jemand hat das PC gehackt. Das Geld ist weg. Sie behaupten sie haben nichts dummes gemacht.

 

Ist die Frage wann das war ... die 2FA-Pflicht gibt es bei PayPal meine ich auch erst seit dem 1. Januar 2021. Und bei PayPal nunja ... wir kennen die Details nicht (du schreibst ja selber "sie behaupten"), aber das ist halt total unrealistisch, da PayPal als Plattform total auf Käufer/Kundenschutz ausgerichtet ist. Ohne eigenes Verschulden wird man da immer sein Geld zurückbekommen. Da ist mir kein Fall bekannt, wo es gegenteilig gelaufen ist.

 

vor 15 Minuten von de.Miner:

ING hat zum Beispiel nur das Handy, es gibt kein zweites Gerät und man kann auch 2 Geräte angreifen. Ich glaube, da es nicht wirklich oft passiert, ist es relativ sicher, aber ganz sicher ist es nicht. Ich persönlich habe ein Handy nur zum Banking. Die Frage ist ob ich damit wirklich ein schwierigeres Zeil bin.

 

Manche Banken erlauben 2FA anhand von zwei Apps oder anhand von App + SMS. Richtiges 2FA ist das meines Erachtens aber nicht. Ein schwieriges Ziel ist man m.M.n. erst mit zwei von einander unabhängigen Faktoren, die im Optimalfall auch keine offensichtliche Verbindung zueinander haben. (MacBook & iPhone die anhand von einem gemeinsamen Apple-ID-Login eigentlich zu einem kombinierten Gerät zusammengeschlossen sind?).

 

Wer ganz paranoid ist, vertraut wahrscheinlich nicht auf sein Handy als zweiten Faktor, sondern nimmt ein extra dafür konzipiertes Gerät (FIDO Token, TOTP Generator, o.ä), da die Angriffsoberfläche auf einem Handy natürlich größer ist (nicht nur was Hacking angeht, sondern auch in Richtung von Phishing-Anfälligkeit, denn auf dem Handy installiert man doch vielleicht mal aus Versehen eine Fake-App).

[de.Miner]

vor 25 Minuten von s1lv3r:

 

Ist die Frage wann das war ... die 2FA-Pflicht gibt es bei PayPal meine ich auch erst seit dem 1. Januar 2021. Und bei PayPal nunja ... wir kennen die Details nicht (du schreibst ja selber "sie behaupten"), aber das ist halt total unrealistisch, da PayPal als Plattform total auf Käufer/Kundenschutz ausgerichtet ist. Ohne eigenes Verschulden wird man da immer sein Geld zurückbekommen. Da ist mir kein Fall bekannt, wo es gegenteilig gelaufen ist.

 

 

Manche Banken erlauben 2FA anhand von zwei Apps oder anhand von App + SMS. Richtiges 2FA ist das meines Erachtens aber nicht. Ein schwieriges Ziel ist man m.M.n. erst mit zwei von einander unabhängigen Faktoren, die im Optimalfall auch keine offensichtliche Verbindung zueinander haben. (MacBook & iPhone die anhand von einem gemeinsamen Apple-ID-Login eigentlich zu einem kombinierten Gerät zusammengeschlossen sind?).

 

Wer ganz paranoid ist, vertraut wahrscheinlich nicht auf sein Handy als zweiten Faktor, sondern nimmt ein extra dafür konzipiertes Gerät (FIDO Token, TOTP Generator, o.ä), da die Angriffsoberfläche auf einem Handy natürlich größer ist (nicht nur was Hacking angeht, sondern auch in Richtung von Phishing-Anfälligkeit, denn auf dem Handy installiert man doch vielleicht mal aus Versehen eine Fake-App).

ja ich nehme die SAche mit Paypall auch nicht so ernst. SMS ist, so weit ich weiß extrem unsicher. 

Die FIDO Token, TOTP Generator usw sehe ich auch eher unsicher, man hackt dein Rechner, du glaubst du bestätigst gerade die Transaktion für 5 EUR für irgendwas und in der wirklichkeit bestätigst du was anderes. ING hat Phototan, was ich gut finde. Du siehst genau was du bestätigst, das Problem ist, die anderen Wege bleiben noch immer offen. Weißt du vielleicht ob irgendwelche Bank so was anbietet als einzige Möglichkeit das geld rauszuholen?

[kariya]

vor 57 Minuten von de.Miner:

Die Frage ist ob ich damit wirklich ein schwierigeres Zeil bin.

Würde ich jetzt nicht ausschliessen wollen.

[Ramstein]

Wer natürlich bei solchen Mails

 

nicht erkennt, dass es Phishing ist, hat ein Problem.

[Bassinus]

Mein Arbeitskollege ist mit der alten SIM Masche (SMS-Tan) und nem viel zu schwachen Online Passwort ausgeräumt worden bei der Postbank. Es war ne zeitlang möglich sich eine Ersatz SIM-Karte bei Vodafone an eine andere Adresse schicken zu lassen. Dann kam die SMS dort dann an. Die meisten Betroffenen hatten das selbe Passwort für Vodafone Online wie auch Banking. Am Ende wurden 45.000€ abgeräumt (Tagesgeld + Giro). 20.000€ wurden innerhalb von ner Woche zurück geleitet von der Postbank. Ca. 6 Monate später (Kripo hatte ne Bande überführt mit Einbindung Vodafone Store in nem Kaff aufm Dorf) kam nochmal 20.000€. Die restlichen 5.000€ gingen vor Gericht gegen die Postbank. Die meinte das Nutzer sich falsch verhalten hat. Blablabla... Am Ende war es ne Einigung - Bank zahlt die 5.000€ und er bleibt auf Klagekosten sitzen. Also die ganze Geschichte lief innerhalb von 30minuten ab auf seinem Konto und hat ihn ~3.500€ und 2,5 Jahre Ärger gekostet.

 

Was lernen wir daraus? 

Häufig kann der Typ der vorm Rechner sitzt doch noch einige Hürden stellen die in seiner Sphäre liegen. Wie hier zum Beispiel kein einfaches Passwort und vorallem nicht mehrfach genutztes Passwort verwenden.

[Sloth]

@Ramstein Dabei frage ich mich, warum Phishing-Mails häufig so offensichtlich gefälscht sind. So schwer dürfte das doch nicht sein den Anschein von Authentizität zu erhöhen? Vermutlich reichen die grottigen Phishing-Mails aus, um ein paar Adressaten über die schiere Masse in Betrugsopfer zu konvertieren.

[de.Miner]

vor 4 Minuten von Sloth:

@Ramstein Dabei frage ich mich, warum Phishing-Mails häufig so offensichtlich gefälscht sind. So schwer dürfte das doch nicht sein den Anschein von Authentizität zu erhöhen? Vermutlich reichen die grottigen Phishing-Mails aus, um ein paar Adressaten über die schiere Masse in Betrugsopfer zu konvertieren.

Die sind wahrscheinlich an die Rentner geschnitten, oder an die Leute die im Stress sind. Sie müssen deswegen sehr leicht zu verstehen sein.

[PlutoTheodorosta]

vor 5 Stunden von Ramstein:

Hirn einschalten.

Damit sollte man die meisten Bedrohungen abwehren können. Um dem Hirn noch etwas zu helfen und auf die Frage des Themenstarters nach Empfehlungen einzugehen, hier ein paar Tipps: 

 

- Nutzen eines Passwortmanagers um unterschiedliche Passwörter pro Webseite/Account in angemessener Länge und Komplexität zu generieren und zu verwalten 

- Checken ob Passwörter die Deinen E-Mails zugeordnet sind bei Datenlecks im Internet aufgetaucht sind z.B. bei HaveIBeenPwned 

- 2FA immer aktivieren - die Bank zwingt dich zum Glück ja, aber generell sollte man alle Accounts die einem wichtig sind damit absichern 

- Nicht auf Links von Mails des Finanzdienstleisters klicken. Immer den Umweg über die direkte Seite gehen wenn es darum geht Änderungen an irgendwas durchzuführen.

- Wenn der Finanzdienstleister anruft wieder auflegen und selbst zurückrufen. Nummer nutzen die bei Google steht und nicht auf Rückruf drücken

 

Damit sollte man den meisten Maschen an Accountdaten zu kommen umgehen können. 

vor 1 Stunde von Sloth:

@Ramstein Dabei frage ich mich, warum Phishing-Mails häufig so offensichtlich gefälscht sind. So schwer dürfte das doch nicht sein den Anschein von Authentizität zu erhöhen? Vermutlich reichen die grottigen Phishing-Mails aus, um ein paar Adressaten über die schiere Masse in Betrugsopfer zu konvertieren.

Betrug ist auch Massengeschäft und man möchte seine Zeit Opfer vorselektieren. Wenn Dein Opfer schon auf die billigste Masche hereinfällt ist es wahrscheinlicher, dass der Scam auch durchziehbar ist. Gab es mal ein schönes Paper zum Nigerian Prince Trick dazu, finde es aber leider nicht mehr. 

 

vor 3 Stunden von de.Miner:

 Du siehst genau was du bestätigst, das Problem ist, die anderen Wege bleiben noch immer offen. 

Was ist denn das Bedrohungsszenario "der anderen Wege" auf das Du abzielst? Wenn Du Sorge davor hast, dass jemand auf Deinen PC Zugriff erlangt dann würde ich mir mehr Sorgen machen, dass er mit Ransomware Deine Daten verschlüsselt und Dich dann für die Entschlüsselung dann bezahlen lässt, als dass er sich mit der 2FA der Bank herumschlägt. Aber dann würde ich mehr Gedanken über Dein Backup Konzept machen. 

[ZehWeh]

Technisch ist es für einen Hacker sicher möglich in einen Privatcomputer zu hacken (im Sinne einer echten aktiven Cyberattacke) aber der Aufwand ist viel zu groß als das sich sowas lohnen würde. Es wäre wie das Suchen einer Nadel im Heuhaufen, wenn der Hacker keinerlei Personendaten hat und auch nicht weiss ob auf dem PC überhaupt Bankdaten gespeichert sind, der PC muss eingeschaltet sein und befindet sich zudem meist in einem privaten Netzwerk. Die Internetadresse hat normalerweise der Router. Deshalb greifen Hacker wenn überhaupt aktiv Banken oder Webseiten an um an Kundendaten zu gelangen.

 

Beim Endkunden reicht selbst einfachstes Phishing aus um an Daten zu kommen. Ein paar Dumme lassen sich immer finden