Cyberangriff auf Onlinekonto

    Hallo zusammen,

    am 01.04.22 wurden wir Opfer eines Hackerangriffs auf unser Onlinekonto bei der Postbank. Aufgefallen am 04.04. durch eine nicht eingelöste Lastschrift, in Folge dessen wurden wir durch den Einreicher der Lastschrift angerufen.


    Unsere Onlineaktivitäten werden wie folgt ausgeführt:

    starten der Hompage auf unserem iMac der Postbank über ein Lesezeichen,

    Eingabe der ID,

    auf einem Apple Tablet (wird ausschließlich für das Homebanking genutzt) wurde die BestSign App installiert, ein Eingabemenu erscheint und wir geben dort unser Passwort (generiert aus einem Satz mit Groß- und Kleinbuchstaben, Sonderzeichen wie Zahlen, kein Zusammenhang zum Homebanking) ein,


    die Kriminellen verschaffen Zugang zu unserem Online-Account, erhöhen alle Auftraglimits auf 90.000 €,

    übertragen 20.000 € von unserem Sparbuch auf das Girokonto,

    am Anfang des Monats waren sämtliche Bezüge noch auf unserem Konto, so dass dann 3 x 10.000 auf ein Konto der PREPAID FINANCIAL SERVICES (IRELAND) LIMITED in Madrid in Echtzeit transferiert wurden,


    wir sind uns bei unseren Vorsichtsmaßnahmen äußerst sicher, weder grob fahrlässig noch fahrlässig gehandelt zu haben.

    Anzeige bei der Polizei wurde erstattet,

    alle Onlinaktivitäten auf Null gesetzt,

    Am 09.04. haben wir einen Termin bei unserem Rechtsanwalt, da die Postbank die 30.000 € nicht erstatten will.

    Ignoriert folgende Gerichtsurteile/Gesetze:

    - BGH, 11. Senat:

    XI ZR 294/19, 17.11.2020

    Haftung der Bank für eine nicht autorisierte Überweisung

    - BGB § 675u und w 4 S



    Meine Fragen:

    Werden die Daten während des Onlineverkehrs auf einem Server der Postbank gespeichert?

    Wenn ja, dann hat die Postbank ein Sicherheitsproblem und nicht wir!


    Die Postbank ist verpflichtet den Retransfer des Geldes binnen weniger Stunden einzuleiten. Dazu gibt entsprechende Vordrucke, die per Telefax an die Empfängerbank gesendet werden. Es muss also ein Protokoll über diesen Datentransfer geben. Ist die Postbank verpflichtet diesen herauszugeben?


    In einem Gespräch mit einer Mitarbeiterin der Postbank, bot man mir ein neues Passwort für das Onlinebanking an (sehr ungewöhnlich per Telefon).

    Darauf sagte ich ihr: alles auf Null setzen,

    sie antwortete: auch die TAN-Funktion!

    NIE beantragt, NIE benutzt,


    Kann es sein, dass diese Funktion ohne mein Wissen freigeschaltet wurde, die Daten während des Onlinebankings auf einem Server der Postbank gespeichert waren und die Hacker diese Daten gestohlen und zum Diebstahl unseres Geldes benutzt haben?


    2014 wurden einem Postbankkunden auf ähnliche Art und Weise 28.000 € gestohlen.

    https://www.focus.de/finanzen/…o2-karten_id_4066906.html

    Zitat von kalimi

    Werden die Daten während des Onlineverkehrs auf einem Server der Postbank gespeichert?

    Ja natürlich werden Daten auf Postbank-Servern (oder Dienstleistern) gespeichert bzw. protokolliert.


    Zitat

    Wenn ja, dann hat die Postbank ein Sicherheitsproblem und nicht wir!


    (...) die Daten während des Onlinebankings auf einem Server der Postbank gespeichert waren und die Hacker diese Daten gestohlen und zum Diebstahl unseres Geldes benutzt haben?

    Damit deutest du an, dass quasi Postbank-Server direkt gehackt wurden, um Gelder zu transferieren? Das ist mehr als unwahrscheinlich.


    Spannend ist natürlich die Frage, ob dafür wirklich die mTAN-Funktion missbraucht wurde und du diese wirklich nicht (wissentlich) aktiviert hast.

    Zitat von kalimi

    Darauf sagte ich ihr: alles auf Null setzen,

    sie antwortete: auch die TAN-Funktion!

    NIE beantragt, NIE benutzt,

    Ich denke damit hat die freigeschalteten BestSign App 2FA Zugänge gemeint. Neues Passwort kann man in der Regel immer über die Hotline beantragen, das Inital Passwort wird dann halt meistens per Post zugestellt.

    Die generelle MobilTAN hat die Postbank meines wisse nach 2019 eingestellt.

    Grundsätzliche Problem bei der Postbank sehe bei der eher laxen Authifizierung neu installierter BestSign Apps auf neuen Geräten. Dazu wird anscheiend immer noch eine MobilTAN angeboten, die per SMS zugestellt wird. Der Authenfizierungscode für die neue BestSign App kann halt auch per social enegering etc. abgefragt werden und so auf neuen Geräten die BestSign App eingerichtet werden. Wenn die Täter*innen davor noch irgendwie an das Onlinbaning Passwort gekommen sind haben sie halt vollen Zugriff auf das Konto.

    Hallo,

    mir ist am 1.4. genau das gleiche mit der Postbank passiert, aber man kann ziemlich gut im BestSign Protokoll nachvollziehen, wie die Täter an den Zugang gekommen sind. Ausgangslage ist eine Phishing Mail mit einem Link ins vermeintliche Onlinebanking. Damit wird der 1. Authentifizerungsfaktor erbeutet, mit dem sich der Täter dann selbst ins Onlinebanking einloggt. Wenn man dann nicht genau aufpasst, gibt man den gehackten Zugriff mit seiner eigenen BestSign App frei und autorisiert dann sogar noch, dass die Täter sich eine eigene BestSign Instanz auf eigenem Gerät installieren, was dann Vollzugriff und am Ende erheblichen Schaden bedeutet.

    Falls es zu einem Prozess kommt, sollten wir uns ggf. abstimmen und gemeinsam gegen die Bank vorgehen.

    Ich bin der Meinung, dass es nicht so einfach gelingen darf, dass ein Täter sich eine eigene BestSign Instanz ohne postalischen Freischaltcode erschleichen kann.

    Hallo,


    danke patpo:

    Zitat von patpo

    Ausgangslage ist eine Phishing Mail mit einem Link ins vermeintliche Onlinebanking. Damit wird der 1. Authentifizerungsfaktor erbeutet, mit dem sich der Täter dann selbst ins Onlinebanking einloggt.

    Eigentliche Ursache ist also ein Fehler des Kunden und nicht eine generelle Schwachstelle bei der Postbank. Will ich nicht werten, jeder macht einmal einen Fehler.


    Wobei ich allerdings auch als IT- Laie so meine Zweifel an der aktuellen Sicherheitsarchitektur des BestSign- Verfahrens habe. Da flößen mir die Verfahren bei anderen Banken mehr Zuversicht ein.


    Gruß Pumphut

    Zitat von patpo

    Wenn man dann nicht genau aufpasst, gibt man den gehackten Zugriff mit seiner eigenen BestSign App frei und autorisiert dann sogar noch, dass die Täter sich eine eigene BestSign Instanz auf eigenem Gerät installieren, was dann Vollzugriff und am Ende erheblichen Schaden bedeutet.

    Warum gibt man in der BestSign App eine Transaktion (welcher Art auch immer) frei, wenn man selber gar keine initiiert hat?

    Zitat von lieberjott

    Warum gibt man in der BestSign App eine Transaktion (welcher Art auch immer) frei, wenn man selber gar keine initiiert hat?

    Das ist sicher eine gute Frage. Das fragt man sich in Nachhinein auch. Die Täter gaukeln einem auf der gefälschten Onlinebanking Webseite irgendwelche Fehler vor, sodass man angeblich nochmals in Bestsign etwas bestätigen soll. Wenn man dann den Text bzgl. Transaktion in der Bestsign App nicht liest, oder nicht versteht, tappt man blitzschnell in die Falle

    Zitat von patpo

    Das ist sicher eine gute Frage. Das fragt man sich in Nachhinein auch. Die Täter gaukeln einem auf der gefälschten Onlinebanking Webseite irgendwelche Fehler vor, sodass man angeblich nochmals in Bestsign etwas bestätigen soll. Wenn man dann den Text bzgl. Transaktion in der Bestsign App nicht liest, oder nicht versteht, tappt man blitzschnell in die Falle

    Wenn das so gelaufen ist, kann man der Postbank überhaupt keinen Vorwurf machen.

    Im Gegenteil, ich finde es dann sogar schäbig, der Postbank zu unterstellen, sie hätten da eine Lücke.


    Um das Vorgehen mal in die analoge Welt zu holen: Da klingelt es also unangekündigt an der Haustür und vor der Haustür steht unangefordert ein Geldautomat, welcher anzeigt "Bitte Karte einführen". Man schiebt dann also bereitwillig die EC-Karte ein und nachdem der Automat (bzw. die Attrappe...) sagt "Bitte PIN eingeben", so macht man das auch noch. Vielleicht sogar mehr als ein mal.
    Klingt komisch? Ist es auch.

    Aber im Internet scheint so ein Vorgehen dann komplett normal zu sein?

    Zitat von patpo

    Hallo,

    mir ist am 1.4. genau das gleiche mit der Postbank passiert, aber man kann ziemlich gut im BestSign Protokoll nachvollziehen, wie die Täter an den Zugang gekommen sind. Ausgangslage ist eine Phishing Mail mit einem Link ins vermeintliche Onlinebanking. Damit wird der 1. Authentifizerungsfaktor erbeutet, mit dem sich der Täter dann selbst ins Onlinebanking einloggt. Wenn man dann nicht genau aufpasst, gibt man den gehackten Zugriff mit seiner eigenen BestSign App frei und autorisiert dann sogar noch, dass die Täter sich eine eigene BestSign Instanz auf eigenem Gerät installieren, was dann Vollzugriff und am Ende erheblichen Schaden bedeutet.

    Falls es zu einem Prozess kommt, sollten wir uns ggf. abstimmen und gemeinsam gegen die Bank vorgehen.

    Ich bin der Meinung, dass es nicht so einfach gelingen darf, dass ein Täter sich eine eigene BestSign Instanz ohne postalischen Freischaltcode erschleichen kann.

    Frage an patpo!

    Hallo patpo,

    wir sind auch am 1.4 Opfer geworden bei der Postbank nur nicht durch eine Phishing Mail sondern durch eine SMS. Kannst du uns sagen wie man an das BestSign Protokoll kommt.

    Zitat von sica

    Frage an patpo!

    Hallo patpo,

    wir sind auch am 1.4 Opfer geworden bei der Postbank nur nicht durch eine Phishing Mail sondern durch eine SMS. Kannst du uns sagen wie man an das BestSign Protokoll kommt.

    Das Onlinebanking per PC aufrufen und dann im Menue "Sicherheitsverfahren" den Unterpunkt "Protokoll" aufrufen