Bank gehackt - 2FA Authentifizierung

[Rick_q]

Hallo zusammen,

Wie schaffen die Hacker Konto leer zu räumen wenn die Zugangsdaten von der Bank haben, wie schaffen die 2FA Authentifizierung dabei überzulisten? 

 

https://www.t-online.de/digital/aktuelles/id_100280982/hackerangriff-targobank-blockiert-zugangsdaten-tausender-konten-.html

https://de.trustpilot.com/reviews/65db274e77a8cbd0e987012d

https://de.trustpilot.com/reviews/65c8b9c21d37852d9b8e291a

https://de.trustpilot.com/reviews/65bcea1172e576d5b4d787fc

[odensee]

Gibt es dazu auch irgendeine seriöse Quelle?

[hattifnatt]

Nix genaues weiß man nicht, siehe dazu auch die Heise-Meldung und die Diskussionen dazu:

https://www.heise.de/news/Targobank-Nach-Cyberangriff-brauchen-tausende-Kunden-neue-Zugangsdaten-9454010.html

(Von "Konto leer räumen" habe ich da nichts gelesen, da scheint @Rick_q einiges zu verwechseln/vermischen).

[Rick_q]

vor 3 Minuten von hattifnatt:

(Von "Konto leer räumen" habe ich da nichts gelesen, da scheint @Rick_q einiges zu verwechseln/vermischen).

 

Zitat

Die Hacker haben in aller Seelenruhe die Emailadresse und die Handynummer, die zu dem Konto gehören geändert und von meinem Konto 11.000 Euro nach Irland überwiesen, ohne das irgendein Sicherungssystem der Targobank angeschlagen hat und das Online-Banking gesperrt hat. Jetzt hat die Targobank die Erstattung der 11.000 Euro abgelehnt und ich bin pleite und bleibe außerdem auf 5.000€ Schulden sitzen.

https://de.trustpilot.com/reviews/65db274e77a8cbd0e987012d

 

[hattifnatt]

Gerade eben von Rick_q:

Zitat

Die Hacker haben in aller Seelenruhe die Emailadresse und die Handynummer, die zu dem Konto gehören geändert

 

Ich beziehe mich auf den Heise-Artikel, den du am Anfang zitiert hast, nicht irgendwelchen Trustpilot-Nonsens, der m.E. nichts mit den im Artikel beschriebenen Vorgängen zu tun hat.

[odensee]

@Rick_q nicht alles, was man im Internet liest, ist auch wahr.

[No.Skill]

vor 3 Minuten von Rick_q:

Hacker

Und das soll jetzt was beweisen?

Du kannst doch auch beide Faktoren kapern Handy und PC, die Kamera im Büro. Wenn physischer Zugriff auf die Umgebung des Opfers besteht geht noch mehr.

[Rick_q]

vor 1 Minute von hattifnatt:

Ich beziehe mich auf den Heise-Artikel, den du am Anfang zitiert hast, nicht irgendwelchen Trustpilot-Nonsens, der m.E. nichts mit den im Artikel beschriebenen Vorgängen zu tun hat.

Naja, nach Außen gibt sowas eine Bank wenn irgendwie möglich nicht preis. Und ich habe mehr als 1 Bewertung gefunden

[dimido]

Wäre "die Bank" oder "2FA" im Allgemeinen gehackt worden, würden wir sicherlich nicht nur von ca. 6000 Betroffenen sprechen.
Ich teile daher die Vermutung vom -> it-Finanzmagazin daß es sich hier wohl um eine erfolgreiche Phishing-Attacke gehandelt hat.
Also daß wie üblich der Faktor Mensch angegriffen wurde und nicht die 2FA selbst.
Auf trustpilot wird allerdings wohl kaum jemand zugeben, daß er auf eine Phishing-Mail reingefallen ist (so gut sie auch gemacht sei).

[hquw]

Ich würde auch davon ausgehen, dass es eine sehr erfolgreiche Phishing-Welle war. Die allermeisten 2FA-Lösungen der Banken sind nicht phishing-resistent und wenn man seinen zweiten Faktor und sein Passwort auf einer anderen Webseite eingibt, hat man im Grunde schon verloren.

 

Ich finde es allerdings auch schade, dass praktisch keine Bank wenigstens optional einen phishing-resistenten, zweiten Faktor für das Webinterface anbietet. Damit muss man ja nicht unbedingt Transaktionen durchführen können. Wenn ich das nämlich richtig verstehe, sträuben sich die meisten Banken vor WebAuthn und Co., weil aus irgendwelchen regulatorischen Gründen bei einer Transaktion immer auch Informationen zur jeweiligen Freigabe (Empfänger bei Überweisungen etc.) angezeigt werden muss, was allerdings die bisher standardisierten, phishing-resistenten Lösungen nicht bieten. Und mehrere zweite Faktoren je nach Art der Aktion (reiner Login, Transaktion etc.) wollen sie wahrscheinlich aus Usability-Gründen nicht machen.

 

Ironischerweise sind die meisten Banking-Apps mit integriertem, zweiten Faktor, welche ja gerne kritisierte werden, aber wahrscheinlich phishing-resistenter als die Webinterfaces der jeweiligen Banken. Sobald ich einmal die richtige App installiert habe und darüber primär Online-Banking mache, kann mir ja eigentlich aus Phishing-Sicht nicht viel passieren. Ich habe einen klaren Einstiegspunkt und den kann man auch nicht so einfach "faken". Man müsste dem Nutzer im Grunde eine zweite, ähnliche aussehende App unterjubeln und dann irgendwie den zweiten Faktor mit schon gephishten Login-Daten triggern. Das ist schwieriger als in einer E-Mail oder SMS den Nutzer auf eine gefakte Webseite umzuleiten und dazu zu bringen dort sein Passwort und zweiten Faktor einzugeben.

[dev]

Genau darum nutze ich ein offline TAN-Gerät, das ist ein nicht manipulierbarer 2FA - alles andere nicht.

[hquw]

vor 23 Minuten von dev:

Genau darum nutze ich ein offline TAN-Gerät, das ist ein nicht manipulierbarer 2FA - alles andere nicht.

Was genau macht dieses TAN-Gerät phishing-resistent?

 

Bei diesen Phishing-Wellen werden nicht die 2FA-Apps und Geräte manipuliert, sondern die Nutzer werden nur dazu gebracht den zweiten Faktor an einen Dritten weiterzugeben. Das kann dir genau so gut mit einem Offline-TAN-Gerät passieren.

[oktavian]

vor 20 Minuten von dev:

Genau darum nutze ich ein offline TAN-Gerät, das ist ein nicht manipulierbarer 2FA - alles andere nicht.

Kein Schutz gegen Phishing, wenn man bei Eingabe nicht aufpasst, was man autorisiert bzw. Session TAN.

[Geniator]

Was auch immer da passiert ist, so habe ich doch wohl eine Erklärung dafür erhalten, weshalb sich die Freischaltung eines Depots bei der Targobank z. Z. als so umständlich erweist. Nachdem ich es angelegt hatte, wurde es gleich wieder gesperrt. In den nächsten Tagen soll die Post einen dritten Brief bringen mit einem Freischaltungscode für mein Handy (TANs per SMS). Dann habe ich den Hinweis gesehen, dass vor dem Einstieg Bilderrätsel zu lösen sind, wofür ein Java-Programm installiert werden müsse. ...... Ältere Herrschaften wie ich werden sich wohl bald auf Tresenbanking einstellen müssen.

[Belgien]

Die o.a. Trustpilot-Geschichte ist unglaubwürdig. Gerade die Targobank gibt den Kunden folgende Zusage

 

Zitat

Wir ersetzen Ihnen Geldbeträge, die durch Online-Missbrauch Ihrer online abgefangenen Authentifizierungselemente durch Dritte unrechtmäßig von Ihrem Konto verfügt wurden, sofern die Verfügung nach Ihrer Registrierung für unsere Online-Sicherheits-Garantie erfolgt und bis zum 31.12.2024 angezeigt worden ist. Dafür setzen wir voraus, dass Sie Strafanzeige erstatten und die Ermittlungen aktiv unterstützen. Über eine evtl. Verlängerung der Online-Sicherheits-Garantie für Online-Banking werden wir Sie rechtzeitig informieren. 

Diese Zusage gilt allerdings nur bis 11.000€ (Ich habe bei der Targo ein Konto/Depot und habe mein Überweisungslimit auf 50k pro Tag hochsetzen lassen. Ich musste dazu eine Haftungsverzichtserklärung unterzeichnen, dass ich Schäden oberhalb von 11k selbst tragen muss.)

vor 2 Stunden von hquw:

Was genau macht dieses TAN-Gerät phishing-resistent?

 

Bei diesen Phishing-Wellen werden nicht die 2FA-Apps und Geräte manipuliert, sondern die Nutzer werden nur dazu gebracht den zweiten Faktor an einen Dritten weiterzugeben. Das kann dir genau so gut mit einem Offline-TAN-Gerät passieren.

+1

 

Die größte Schwachstelle sitzt in solchen Fällen meist vor dem Bildschirm. Wenn es dann passiert ist, schiebt man den schwarzen Peter voller Entrüstung auf die Bank, die App, die Telekom, den Nachbarn oder was auch immer. Man selbst hat nie etwas falsch gemacht, das ist alles eine große Verschwörung…..

[hquw]

vor 2 Stunden von Belgien:

Die größte Schwachstelle sitzt in solchen Fällen meist vor dem Bildschirm. Wenn es dann passiert ist, schiebt man den schwarzen Peter voller Entrüstung auf die Bank, die App, die Telekom, den Nachbarn oder was auch immer. Man selbst hat nie etwas falsch gemacht, das ist alles eine große Verschwörung…..

Ja, in vielen Fällen sind die Nutzer Schuld. Aber ganz so einfach ist es auch nicht. Es gäbe ja phishing-resistente Login-Möglichkeiten.

[dev]

vor 5 Stunden von oktavian:

Kein Schutz gegen Phishing, wenn man bei Eingabe nicht aufpasst, was man autorisiert bzw. Session TAN.

Es steht immer auf dem Gerät für was die TAN gelten soll.

 

Wenn es sich bei dem Problem nur um Phishing handelt, wieso versperren sie den Zugang per reCaptcha?

 

Da hab ich doch gleich so eine Email im Postfach gefunden

Zitat

Erinnerung zur Kontobestätigung

 

Sehr geehrter TARGOBANK Kunde,

Unser Sicherheitssystem wurde aktualisiert, um die Sicherheit von Online-Transaktionen zu verbessern.

Alle unsere Kunden müssen sich für unsere neuen Sicherheitsmaßnahmen registrieren.

Wenn Sie sich nicht registrieren, werden Ihre Transaktionsfunktionen über die Anwendung gesperrt:

 

Hier bestätigen

 

Mit freundlichen Grüßen
Ihre TARGOBANK

Das ist der selbe Emailaufbau, wie er auch von der Targobank kommt, allerdings an die falsche Emailadresse, von einer cz-Domain versendet und der Link ist kryptisch und nicht targobank.de

[Belgien]

Und wenn der Kunde auf diese Mail, die ich in dieser oder ähnlicher zigfach pro Woche von allen möglichen vermeintlichen Bank-Mailadressen erhalte, reagiert und seine Daten preisgibt, dann trägt natürlich immer die Bank die Schuld, dass das Konto leergeräumt wird.

 

Mein Vorschlag: Banken sollten vor OLB-Freischaltung eine Bestätigung des Kunden verlangen, dass dieser einen IT-Intelligenzquotienten oberhalb der Raumtemperatur hat. Wer auf solche Mails hin seine Daten irgendwo angibt, dem ist doch nicht mehr zu helfen. Wenn das Konto solcher Zeitgenossen vor Rentenbeginn doch nicht leergeräumt ist, so fallen sie spätestens dann auf den „Enkel-Trick“ herein und übergeben ihr Geld an der Haustür der vermeintlich von ihrem Enkel/Tochter/Sohn geschickten Person.

[chirlu]

vor 5 Stunden von Geniator:

Dann habe ich den Hinweis gesehen, dass vor dem Einstieg Bilderrätsel zu lösen sind, wofür ein Java-Programm installiert werden müsse.

 

Ich fürchte, da hast du etwas falsch verstanden.

 

vor 21 Minuten von Belgien:

Und wenn der Kunde auf diese Mail, die ich in dieser oder ähnlicher zigfach pro Woche von allen möglichen vermeintlichen Bank-Mailadressen erhalte, reagiert und seine Daten preisgibt, dann trägt natürlich immer die Bank die Schuld, dass das Konto leergeräumt wird.

 

Ein Problem ist, dass die Banken immer noch (echte) Mails mit Links darin schicken. Zum Beispiel beharrt die Postbank darauf, mich über jegliche neue Nachricht im Postfach sofort per Mail zu benachrichtigen. Darin gibt es dann Links zur Website, noch einmal zur Kontakt-Seite, zur Filialsuche usw. Wie kann sie dann erwarten, dass Kunden nicht auf Links in gut gemachten Phishing-Mails klicken, sondern das Onlinebanking immer durch direkte Eingabe der Adresse oder über ein lokales Bookmark aufrufen?

[No.Skill]

Hatte neulich in einem IT-Interview ich glaube von CrowdStrike einen Angriff gehört, der so läuft: Die betroffene Firma wurde über Monate ausgespäht, nach dem die Angreifer die Mimik vom Chef via KI und Video nachmachen konnten hat die Chefsekretärin via Video Call den Auftrag bekommen die täuschend echte E-Mail, die sie Zeit gleich bekommt mit der entsprechenden Rechnung zu begleichen...

Usw.

 

Also es ist ein riesengroßes Thema, was alles möglich ist, und es hat nichts mit der Intelligenz des Opfers zu tun.

 

Grüße No.Skill 

[dev]

Man kann inzwischen die Mimik und die Sprache eines digitalen Avatars live ändern, so das Niemand mehr in der Lage ist, den Unterschied zwischen Deep Fake und realer Person zu unterscheiden.

Das wurde heute erst wieder in Terra X ( ab ca. 38 min) gezeigt, ich hatte das aber schon vor einigen Jahren bei YT gesehen.

[Rick_q]

vor 18 Stunden von Belgien:

Diese Zusage gilt allerdings nur bis 11.000€ (Ich habe bei der Targo ein Konto/Depot und habe mein Überweisungslimit auf 50k pro Tag hochsetzen lassen. Ich musste dazu eine Haftungsverzichtserklärung unterzeichnen, dass ich Schäden oberhalb von 11k selbst tragen muss.)

Und wenn man Überweisungslimit kurz für die Überweisung ändert und dann zurück auf 11k stellt?

Gilt dieser Überweisungslimit auch auf dann wenn man kein Girokonto hat und das Geld nur auf Referenzkonto überwiesen werden kann?

 

Wahrscheinlich gilt diese Garantie erst seit dem Hacker am Werk waren?

 

[No.Skill]

Also meine Mutti wurde mal die Handtasche mit Geschäftsunterlagen in der S-Bahn gestohlen, als sie gerade vom FA  zurückfuhr.

Dann wurde Stunden später mit diversen Karten die Konten geplündert, nur das, was der Automat ausgibt.

 

Die Ermittler der Kripo waren schlau und haben mich gleich mal als Top-Verdächtigen identifiziert 

Nach ein wenig hin und her und der Sichtung der Bilder der Überwachungskamera war klar, dass ich es nicht war (zu derzeit 5000 km entfernt bei der BW).

Zwei Sachen waren „Interessant“, der Täter war in der Bank am Automatenraum am Abheben gefilmt worden, in der meine Mutti jeden Tag 2 x Geld aus ihrem Geschäft eingezahlt hatte.

(2 × 2k am Tag rund je nachdem wie es lief.)  Der Täter hat innerhalb von Stunden die Pin der Karte/n „geknackt“.

 

Trommelwirbel: Nach ca. 6 Monaten hat die Bank die fehlenden Beträge rund 8k oder so wieder gutgeschrieben, Fall geschlossen.

 

Unsere damalige Vermutung war das der / die Täter, den gewohnten weg von Ihr ausgekundschaftet hatten, sie ist immer zwischen 10 und 11 Uhr vormittags zu Bank gelaufen 500 m.

Dann haben Sie die PIN vermutlich über die Zeit beim Eingeben irgendwie ablesen können.

Die Bank war zum Schluss sehr kulant und hat alles wieder grade gezogen 

Ist jetzt 20 Jahre her 

 

Grüße No.Skill

 

[Belgien]

vor 42 Minuten von Rick_q:

Und wenn man Überweisungslimit kurz für die Überweisung ändert und dann zurück auf 11k stellt?

Gilt dieser Überweisungslimit auch auf dann wenn man kein Girokonto hat und das Geld nur auf Referenzkonto überwiesen werden kann?

 

Wahrscheinlich gilt diese Garantie erst seit dem Hacker am Werk waren?

 

Die Online-Sicherheitsgarantie der Targo gibt es seit mehr als zehn Jahren. Eine Änderung des Tageslimits (11k) ist nur in der Filiale nach einer Sicherheitsbelehrung und Unterzeichnung einer Haftungsverzichtserklärung möglich. Mal eben selber das Limit für eine Überweisung hochsetzen und dann wieder heruntersetzen, so etwas geht bei der Targo nicht. Ob das Limit auch bei Nicht-Girokonten für Überweisungen auf Referenzkonten gilt, kann ich nicht aus eigener Erfahrung beantworten, das PL-Verzeichnis legt nahe, dass dies für alle Konten und Überweisungen gilt.

[Rick_q]

vor 2 Minuten von Belgien:

Die Online-Sicherheitsgarantie der Targo gibt es seit mehr als zehn Jahren. Eine Änderung des Tageslimits (11k) ist nur in der Filiale nach einer Sicherheitsbelehrung und Unterzeichnung einer Haftungsverzichtserklärung möglich. Mal eben selber das Limit für eine Überweisung hochsetzen und dann wieder heruntersetzen, so etwas geht bei der Targo nicht. Ob das Limit auch bei Nicht-Girokonten für Überweisungen auf Referenzkonten gilt, kann ich nicht aus eigener Erfahrung beantworten, das PL-Verzeichnis legt nahe, dass dies für alle Konten und Überweisungen gilt.

Also ich bin ganz neu bei Targobank, deswegen meine Fragen. 

 

Bei Online-Sicherheitsgarantie steht bei dir folgendes:

Sie sind für die Online-Sicherheits-Garantie registriert. Die Sicherheits-Garantie ist gültig bis zum 31.12.2024.
Im Falle einer Verlängerung durch die TARGOBANK bleibt Ihre Registrierung gültig.

 

Also wahrscheinlich nur bis Ende das Jahres...