Danke für die Infos. Ich weiß nicht, wie bei der ING der zweite Faktor implementiert ist.
Bekommt der Kunde auf sein Handy eine Push-Nachricht und muss dann einfach "freigeben" wählen?
Wäre es denkbar, dass ein weiteres Endgerät angelegt worden war, mittlerweile aber wieder entfernt worden ist?
Danke für die Infos. Ich weiß nicht, wie bei der ING der zweite Faktor implementiert ist.
Bekommt der Kunde auf sein Handy eine Push-Nachricht und muss dann einfach "freigeben" wählen?
So ähnlich. Man startet die App, muss seine 5stellige PIN eingeben, bekommt dann eine Kurzfassung des Auftrages angezeigt, und kann den dann antippen des entsprechenden Feldes freigeben.
Wäre es denkbar, dass ein weiteres Endgerät angelegt worden war, mittlerweile aber wieder entfernt worden ist?
Schwer vorstellbar. Ein neues Endgerät für den Zugriff auf das Internetbanking freizugeben erfordert nämlich ebenfalls 2FA.
Nun, vielleicht gibt es auch weitere Verfahren für den Fall, dass keine 2FA-Methode mehr zur Verfügung steht?
Gerade für (Erst-) Anmeldeverfahren werden häufig abweichende Methoden angeboten. Das gilt häufig auch für Freischaltung zu Apple oder Google Pay (was hier aber keine Rollen gespielt zu haben scheint).
Die ING schreibt auf ihrer Infoseite "Ihnen werden scheinbar plausible Gründe genannt, diverse Freigaben zu tätigen."
Ich frage mich, was in der Phishing-Seite konkret eingegeben wurde. Wirklich nur Nutzernamen und Passwort für das Onlinebanking? Und danach wurde nicht über die App irgendwas freigegeben (das dem Opfer vielleicht so selbstverständlich vorkam, dass es es einfach gemacht hat und sich kaum noch daran erinnert)? Irgend so muss es ja gewesen sein.
Es müssen Freigaben erfolgt sein. Kann man in der ING-App die Freigabe-Historie einsehen? Kann man im Online-Banking die Historie der freigegeben (und ggfs. wieder gelöschten) Geräte einsehen? Kann man die Historie der auf anderem Wege (postalisch, SMS) beauftragten Freischaltungscodes einsehen?
Was mir beim Durchlesen der Beiträge hier nicht klar wird: hat das Betrugsopfer eigentlich schon die ING kontaktiert und um Hilfe gebeten bei der Aufklärung? Die Bank zumindest müsste en detail nachvollziehen können, auf welchem Wege eine Transaktion und ein Login freigegeben worden sind. Anzeige zu erstatten ist ggfs. auch sinnvoll. Ich hoffe dass ich jetzt Eulen nach Athen trage.
Nein, es gab definitiv KEINE Freigabe! Jeden Anmeldevorgang muss ich am Handy aktiv bestätigen, und das habe ich nicht getan, da bin ich mir auch ganz sicher. Weiß ich deswegen so genau, weil ich bei diesem Konto so gut wie nie über den PC rein gehe und mich daher an den Vorgang erinnern könnte. Auf der Phishing Seite habe ich nur Kontonummer (d.h. Nutzernamen) und Password eingegeben, aber keine anschließende Freigabe. Habe ich auch nur gemacht, weil ich im Hinterkopf hatte, dass es u.a. bei giropay genauso läuft - und was ich aber genau aus diesen Gründen immer abgelehnt habe. Es war mir immer höchst suspekt, auf einer Seite, die nicht die Webseite der Bank selbst ist, meine Zugangsdaten einzugeben. Warum ich es dann doch getan habe? Keine Ahnung, vermutlich Dummheit.
Im Online Banking können wir derzeit leider gar nichts nachschauen, da das Konto auf unseren Wunsch gesperrt wurde. Wir haben derzeit keinerlei (auch nicht passiven) Zugriff auf das Konto, auch die Bankmitarbeiter selbst können das Konto derzeit nicht einsehen
Was mir beim Durchlesen der Beiträge hier nicht klar wird: hat das Betrugsopfer eigentlich schon die ING kontaktiert und um Hilfe gebeten bei der Aufklärung? Die Bank zumindest müsste en detail nachvollziehen können, auf welchem Wege eine Transaktion und ein Login freigegeben worden sind. Anzeige zu erstatten ist ggfs. auch sinnvoll. Ich hoffe dass ich jetzt Eulen nach Athen trage.
ja, das "Betrugsopfer" hat die Bank sofort nach der Entdeckung der Überweisungen kontaktiert. Eine der Überweisungen konnte dann direkt noch erfolgreich gestoppt werden, zwei weitere waren bereits raus gegangen. Eine davon an eine Kryptobörse, die den Geldeingang gestern bestätigt und direkt an uns retourniert hat. Die andere ging an einen Online Shop der derzeit noch nicht sagen kann ob es gelungen ist, den Warenausgang noch rechtzeitig zu stoppen.
Derzeit ist - auch seitens der Bank- keinerlei Einblick in das Konto möglich, da es gestern früh auf unseren Wunsch sofort gesperrt wurde. Niemand - auch nicht die Bank - hat derzeit weder Zugriff noch Einblick in das Konto. Und ja, auch die Polizei wurde sofort informiert und Anzeige erstattet. Solange wir keinen Zugriff auf das Konto haben, sind uns bzgl. der Aufklärung die Hände gebunden.
Danke für die sachlichen Informationen. Wir sind sicher hier alle sehr neugierig zu erfahren, wie jemand nur mit Kenntnis von Kontonummer und Onlinebanking-Passwort bei der ING Überweisungen und Umbuchungen auslösen kann. Das sollte die Bank erklären können. Ich hoffe da kommt was und nicht nur am Ende "aus Kulanz schreiben wir Ihnen den Schaden gut" (aber sagen nicht, was genau passiert ist, gerade wenn der Verdacht im Raum steht, dass es eine Sicherheitslücke bei der Bank und ihren Prozessen geben *könnte*).
Die Bank hat übrigens natürlich weiterhin Zugriff auf die Daten, auch wenn das Konto gesperrt ist.
Die Bank hat übrigens natürlich weiterhin Zugriff auf die Daten, auch wenn das Konto gesperrt ist.
aber vermutlich nicht die MA im Front Office, und an die anderen kommt man ja erst mal nicht heran.
Oder sie können zwar, haben aber die Anweisung, dass in einem solchen Fall absolut keine Infos herausgeben werden dürfen.
Warum ich es dann doch getan habe? Keine Ahnung, vermutlich Dummheit.
Mach dir nichts draus, passiert.
Der Schaden hält sich glücklicherweise in Grenzen, bzw. womöglich hast du gar keinen, so wie ich das lese.
Wir sind sicher hier alle sehr neugierig zu erfahren, wie jemand nur mit Kenntnis von Kontonummer und Onlinebanking-Passwort bei der ING Überweisungen und Umbuchungen auslösen kann.
Wenn dazu auch Zugriff auf SMS vorhanden wäre, käme mir da schon eine Idee. Der Zugriff könnte dabei physisch (ein Paar Sekunden das Handy unbeobachtet liegen gelassen), auf Mobil-(Netzebene) oder mit (Schad-)Software auf dem Smartphone erfolgen.
Kontonummer, Onlinebanking-Passwort und SMS der "Mobilnummer für Sicherheitsprozesse" sollten wohl ausreichen, um die Banking App neu einzurichten. Und von dort hat man Vollzugriff.
Was ist eine Mobilnummer für Sicherheitsprozesse?
[...]
Mit der Mobilnummer für Sicherheitsprozesse bleiben Sie auch dann handlungsfähig, wenn es mal Probleme mit Ihrem Freigabeverfahren gibt. Zum Beispiel, wenn Sie die App auf einem neuen Smartphone einrichten wollen und keinen Zugriff mehr auf Ihr altes Gerät haben. Oder wenn bei Ihrem photoTAN-Generator eine erneute Aktivierung Ihres Zugangs erforderlich ist. In diesen Fällen bestätigen Sie die Einrichtung des Freigabeverfahren mit einem Einmalpasswort, das Sie per SMS an Ihre Mobilnummer für Sicherheitsprozesse erhalten.
Das bereitet mir ja schon seit der Einführung Bauchschmerzen. Aber ich bin diesbezüglich vielleicht leicht paranoid... oder auch nicht.
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!
