Phishing bei Online-Banking

[JulienS]

Hallo,
Da Online Banking sehr "in" und nicht 100% sicher ist stellen sich Leute folgende Frage:
Jemand geht auf die Website seiner Bank, loggt sich mit Filialenummer, Kontonummer und PIN ein. Die Website ist gesichert und geprüft, "https", Schlosssymbol, grüne Adressleiste. Da öffnet sich ein Fenster mit dem Logo der Bank. Um weiter zu kommen und seine Überweisung durchführen zu können muss der Jenige TAN-Nummern eingeben. Der Grund ist: der TAN-Block wäre bald abgelaufen. Mehrere TANs werden dann vom benutzer eingegeben.
Später bekommt der Kunde ein paar Briefe von seiner Bank im Briefkasten. 2 Summen in Höhe von ca. 2.500€ zum Beispiel wurden von seinem Bankkonto ab- und wieder zurückgebucht. Der Kunde ruft dann sofort die Notrufnummer der Bank. Da erfährt er, dass noch weitere Überweisungen vom Konto ins Ausland getätigt wurden. Er muß dann natürlich sofort zur Polizei eine Anzeige erstatten.
Die Bank gibt dem Kunden bescheid, dass noch mehrere Tausende Euros fehlen, und dass sie nicht zurückgebucht werden können. Die Online-Sicherheit der Bank und die Polizei empfehlt den Rechner zu formatieren. Um es zu beweisen, dass es ein trojanisches Pferd gab, macht der Kunde aber noch einen Screenshot der Website der Bank, wo den Betrug sichtbar ist.
Die Bank würde dann zum Kunde sagen, dass sie das Geld ohne die Zustimmung des Empfängers nicht zurückbuchen kann. Stimmt das?
Mit der neusten Technologien, musste die Bank 4 bis 8 Stunden brauchen um die trojanische Pferde zu finden. Deshalb muss die Bank auch haften.
Hat der Kunde in diesem Fake-Fall ein Fehler gemacht? (er hat sich eingeloggt, die Website war gesichert, die Online-Sicherheit der Bank sagt es selber, der Betrug konnte der Benutzer nicht merken)

Vielen Dank

[cateyes]

Hallo^^

Hier dürfen nur "fiktive" Fälle diskutiert werden - das heisst, nicht in der "Ich" Form schreiben - sonst darf keiner antworten (z.B.: Angenommen Person X möchte eine Banküberweisung vornehmen....)!

Liebe Grüsse,
cateyes

[JulienS]

Vielen Dank für die sehr hilfreiche Antwort cateyes!

[cateyes]

Tja - meine "sehr hilfreiche" Antwort wird auch die Einzige sein, die Du hier bekommst, solange Du Deinen Beitrag nicht änderst...

Schade - wollte Dir nur helfen - aber wer nicht will - der hat wohl schon...

cateyes

[JulienS]

Nein, es war ernst gemeint, ich bin ganz neu hier und habe mein Eintrag geändert. Jetzt weiß ich es, sorry und danke!

[Humungus]

"Normalerweise" betreten derart gelinkte Kunden nicht die Bankseite direkt, sondern über eine Verlinkung einer Mail, die sie bekommen haben. Der Link sieht dann der Bank täuschend ähnlich.

Hier im Sachverhalt liegt aber das Verschulden bei der Bank, die ihre eigene Website nicht sicher genug gestaltet hat. Betritt der Kunde also tatsächlich die Website der Bank, und wird er umgeleitet, hat die Bank meiner Meinung nach ihre vertraglichen Pflichten nicht erfüllt. Und wenn der Kunde nachweislich keinen Fehler gemacht hat, kann er auch nicht auf dem Schaden sitzenbleiben. Man kann ihm hier im Fall aber vorwerfen, nicht nach dem ersten Misserfolg aufgehört zu haben und weitere TANS nachgeschoben zu haben.

Eines sollte man aber klären: ist es bei dieser Bank Usus, dass man TANS eingeben muss, um eine neue Liste zu kriegen? Das Mitverschulden des Kunden wird genau geprüft werden, und Banken sind arg widerspenstig darin, eigene Fehler zuzugeben.

[JulienS]

Die Banken stellen sich da öfter stur.
Die können zum Beispiel in diesem Fall auch nichts nachweisen, da sie selber fragen, dass der Rechner formatiert wird.
Der Kunde muss bei diesen trojanischen Pferde mehrere TANs auf einmal eingeben. Das wäre eben der Punkt, mehrere TANs dürfen nicht gleichzeitig eingegeben werden. Obwohl, das gilt normalerweise nur "auf die Homepage" oder?

[2much]

Zitat:

Zitat von JulienS

Hallo,
Da Online Banking sehr "in" und nicht 100% sicher ist stellen sich Leute folgende Frage:
Jemand geht auf die Website seiner Bank, loggt sich mit Filialenummer, Kontonummer und PIN ein. Die Website ist gesichert und geprüft, "https", Schlosssymbol, grüne Adressleiste. Da öffnet sich ein Fenster mit dem Logo der Bank. Um weiter zu kommen und seine Überweisung durchführen zu können muss der Jenige TAN-Nummern eingeben. Der Grund ist: der TAN-Block wäre bald abgelaufen. Mehrere TANs werden dann vom benutzer eingegeben.

Ich bezweifele, dass es sich um die Webseite der Bank gehandelt hat, egal was in der Adresszeile stand und wie die Seite aussah. Ein Design ist schnell kopiert und dank gewisser Sonderzeichen kann man auch relativ leicht eine bestimmte URL vortäuschen. In aller Regel würde ich vermuten, dass der Kunde sich den Trojaner woanders geholt hat, denn das ist absolut die Regel. Zumal ein Trojaner nur auf dem kunden-PC Sinn macht. Auch könnte ich mir durchaus vorstellen, dass der Rechner nicht gut abgesichert ist, die Firewall und der Virenscanner möglicherweise veraltet sind. Zudem gehe ich davon aus, dass die Bank vor den Gefahren des Phishing gewarnt und das eTAN-Verfahren empfohlen hat.

Es liegt m.E. auch in der Verantwortung des Kunden, sich für ein sicheres Verfahren zu entscheiden. Quasi jede Bank bietet heutzutage das eTAN-Verfahren an, die auf die genannte Weise erbeutete TANs nutzlos sein lässt. Darüberhinaus gibt es das mTAN-Verfahren, welches auch sehr sicher ist, da die auf das Handy zugesendeten TANs nur begrenzte Zeit gültig bleiben. Wenn das nicht reicht empfiehlt sich noch die Anschaffung eines Chipkartenlesegerätes und das Banking über HBCI-Chipkarte, die man sich von der Bank ausstellen lassen kann.

Der Rat den Rechner neu zu formatieren halte ich für fragwürdig. Vielmehr würde man damit möglicherweise Beweismittel vernichten. Ich würde die Festplatte ausbauen, diese eventuell der Polizei vorbeibringen und auf einer neuen Festplatte das System neu aufsetzen. Es sollten keinerlei gebrannte CDs oder USB-Sticks in den Rechner gesteckt werden, wenn nicht klar ist, woher der Trojaner kam. Selbiges gilt für externe Festplatten. Als allererstes sollte ein guter Virenscanner auf dem frischen System installiert werden. Firewall nur, wenn man sich einigermaßen auskennt. Das Betriebssystem sollte stets aktuell gehalten werden (Updates).

Wenn man keine Ahnung hat, empfehle ich einen Fachmann mit der Absicherung des Rechners zu beauftragen und zwielichtige Webseiten sowie verdächtige Mails zu meiden und keinesfalls irgendwo draufzuklicken.

Das Geld ist vermutlich futsch und die Bank vermutlich nicht haftbar zu machen.

http://www.kessler-walter.de/urteile...ng-teil-4.html

Dennoch: https://www.info-point-security.com/...-der-bank.html

[Humungus]

Zitat:

Zitat von JulienS

Die können zum Beispiel in diesem Fall auch nichts nachweisen, da sie selber fragen, dass der Rechner formatiert wird.

Welcher Rechner? Der des Kunden? Dann wäre der Trojaner auf seinem Rechner, und der Kunde verantwortlich.

Noch einmal: nur, wenn die Website der Bank gehackt und umgeleitet wurde, wird der Kunde gut dastehen. Sobald das Problem von seinem Rechner ausging, sieht er alt aus.

Zitat:

Das wäre eben der Punkt, mehrere TANs dürfen nicht gleichzeitig eingegeben werden. Obwohl, das gilt normalerweise nur "auf die Homepage" oder?

Den letzten Satz habe ich nicht verstanden. Der Kunde muss Lunte riechen, sobald die Eingabe einer TAN nicht das erwünschte Ergebnis hat. Und dann muss er das Eingeben weiterer TANs unterlassen. Und es bleibt die Frage offen, ob bei dieser Bank die Eingabe von TANS notwendig ist, um eine neue Liste zu kriegen. Das ist nämlich reichlich ungewöhnlich. Man muss das Verhalten des Kunden genau analysieren, ich habe den Verdacht, dass er recht sorglos war.

[La Belle]

Was mich stutzig macht ist das:

Zitat:

Da öffnet sich ein Fenster mit dem Logo der Bank. Um weiter zu kommen und seine Überweisung durchführen zu können muss der Jenige TAN-Nummern eingeben. Der Grund ist: der TAN-Block wäre bald abgelaufen.

Wenn das sonst nicht erscheint, muss man doch merken, dass da was faul ist?!

Meine Bank hat auf Ihrer Startseite genau dieses Problem beschrieben, allerdings muss man sich solche Hinweise auch ab und an anschauen und durchlesen

Deswegen denke ich auch, dass man die Bank hier nicht haftbar machen kann - so bitter das für den Kunden ist. Aber manche Banken erstatten aus Kulanz gewisse Summen zurück, vll. hat man ja da Glück.