Erfahrungen mit Pishing

[Firefly2023]

Und dann kann man ein neues Gerät einfach so dem Online Banking hinzufügen? Bei der Sparkasse dauert das (zumindest bei meiner) mind. 1 Woche bis der Brief mit QR Code kommt.

Da frag ich mich dcoh woher wußte der "Betrüger" das man Ing Diba hat? Weil bei der Sparkasse hätte das nicht funktioniert denke ich mal.

Die wussten das, weil ich es dem falschen Support geschrieben habe, weil die Verifizierung das erste mal nicht funktioniert hat. Nicht einfach so. Ich habe da freigegenen, es war aber nicht ersichtlich, dass es ein Handy war, sondern es war als Funktionsfreischaltung getarnt. Hatte ich ja oben geschrieben. Aber die Sicherheitsfunktionen der Bank haben anscheinend funktioniert.

Denn......

Es gibt Neuigkeiten. Entegen der Aussage der Dame von der ING-Diba Kundenbetreung, habe ich heute Post von der ING-Diba bekommen, in der Sie mir mitgeteilt hat, dass die Überweisung nicht durchgeführt wurde, weil der Verdacht bestand, dass meine Daten gestohlen wurden.

Das passierte unabhängig von meiner Meldung. Ich muss also keinen Antrag stelle. Das Geld ist wieder auf dem Konto. Der Datenklau erfolgte aus Litauen, dahin sollte das Geld fließen.

Ich bin überglücklich, dass alles nochmal gut gegangen ist und die ING-DIBA tatsächlich Ihre Versprechen hält.

Ende Gut alles Gut. Jetz muss ich nur noch auf meine neuen Zugangsdaten warten.

Der Herr von der ING-Diba mit dem ich heute gesprochen habe, hat gesagt, dass die Angriffe immer besser werden.

Egal. Ich bin nochmal davon gekommen, ich werde nichts mehr über Paypal oder Kleinanzeigen kaufen oder verkaufen und wenn dann nur Abholung oder Überweisen. Das war mir eine Lehre.

 

[BFF]

Solange es der tut der die Verfügungsgewalt über das Konto hat wird es immer sowas geben was dem TE unterfahren ist. @brettler

Vermutlich auch bei der Sparkasse wenn der Scammer weiß was er tut.

 

[redjack1000]

Es gibt Neuigkeiten. Entegen der Aussage der Dame von der ING-Diba Kundenbetreung, habe ich heute Post von der ING-Diba bekommen, in der Sie mir mitgeteilt hat, dass die Überweisung nicht durchgeführt wurde, weil der Verdacht bestand, dass meine Daten gestohlen wurden.

Das passierte unabhängig von meiner Meldung. Ich muss also keinen Antrag stelle. Das Geld ist wieder auf dem Konto. Der Datenklau erfolgte aus Litauen, dahin sollte das Geld fließen.

Topp, damit habe ich nicht gerechnet.

Danke für die Rückmeldung.

CU
redjack

 

[Yiasmat]

Na denn Herzlichen Glückwunsch dass Du das Geld zurück bekommen hast und Danke für die Rückmeldung @Firefly2023 !

Mit PayPal kannst Du schon bezahlen. Nur als Verkäufer solltest du es nicht anbieten!

Selbst die Überweisung kann nicht sicher sein wenn Du Opfer eines Dreieckbetrugs wirst. Auch da kann am Ende Artikel und Geld weg sein.

 

[Firefly2023]

Topp, damit habe ich nicht gerechnet.

Danke für die Rückmeldung.

CU
redjack

Ich auch nicht. Ich bin echt Happy. Vor allem weil es ohne Antrag war und es da System der ING-DIBA wohl selber gemerkt hat. Ist schon irgendwie geil. :-)

Ergänzung (9. November 2023)

Na denn Herzlichen Glückwunsch dass Du das Geld zurück bekommen hast und Danke für die Rückmeldung @Firefly2023 !

Mit PayPal kannst Du schon bezahlen. Nur als Verkäufer solltest du es nicht anbieten!

Selbst die Überweisung kann nicht sicher sein wenn Du Opfer eines Dreieckbetrugs wirst. Auch da kann am Ende Artikel und Geld weg sein.

Ja. Viel gelernt.

 

[Pummeluff]

Nur als Verkäufer solltest du es [Paypal] nicht anbieten!

Spricht auch nichts dagegen. Nur musst du darauf achten, dass die Leute das Geld mit Auswahl Freunde/Bekannte überweisen.

Nachteil bei gewerblichen Überweisungen:

• Gebühren
• Geld kann vom Käufer zurückgeholt werden.

 

[TomH22]

Es ist wirklich traurig das es Leute gibt, die auf solche schwachen Tricks hereinfallen. Bitte nicht Böse verstehen @Firefly2023 , aber den Trick gibt es nicht erst seit gestern.

Die Betrüger nutzen gezielt aus, dass die Aussicht auf schnellen Gewinn (meist greifen die die Anzeige wenige Minuten nach der sie eingestellt wurde ab, und bieten ohne Verhandlung den vollen Angebotspreis, selbst wenn er überteuert ist) das Urteilsvermögen trübt.

Bei mir sah das neulich so aus:

Die Meldung kam, als ich die Karte gerade eingestellt habe, und dann war schon der Gedanke „klasse, schon verkauft“. Man kann die „sicher bezahlen“ Funktion von Kleinanzeigen auch nicht komplett abschalten, der Käufer kann immer diese Bezahlart anbieten. Man muss schon genau hinschauen um zu erkennen, das die vermeintliche “Systemmeldung“ keine ist. Wenn man eigentlich nicht vor hatte, die “sicher zahlen“ Funktion zu nutzen, weiß man auch nicht genau, wie sie funktioniert. Die Idee der Betrüger ist scheinbar auch, nicht plump einen Link anzubieten, sondern das Opfer schrittweise in die eigenen Fänge zu leiten. Durch Details wie einem vermeintlichen Klarnamen des Käufers soll zusätzlich vertrauen aufgebaut werden.

Wie man am Beispiel des TE erkennt, klappt das auch bei durchaus relativ versierten Nutzern. Er verspürte ja Unbehagen, aber eben nicht genug um abzubrechen. Das ist genau die Masche.

Mir passiert so etwas nicht.

Das sagt jeder, bis es ihm passiert ist. Ich bin auf den obigen Versuch auch nicht reingefallen, aber alleine die Tatsache das ich 2 Minuten lang in Erwägung gezogen habe, dass das Kaufangebot echt sein könnte, hat mir zu Denken gegeben. Und mir war ja durchaus bewusst, dass man bei Kleinanzeigen ständig Betrugsversuchen ausgesetzt ist.

Es waren ja insgesamt 3 Buchungen aber ich habe nur 2x eine Freigabe erteilt.

Buchunge zwischen verschiedenen Konten des gleichen Inhabers erfordern be vielen Banken keine extra Freigabe. Bei comdirect kann ich auch frei zwischen Tagesgeld und Verrechnungskonto meines Depots umherbuchen.

Und dann kann man ein neues Gerät einfach so dem Online Banking hinzufügen? Bei der Sparkasse dauert das (zumindest bei meiner) mind. 1 Woche bis der Brief mit QR Code kommt.

Den Brief braucht man bei der Sparkasse nur, wenn man kein 2FA Gerät mehr hat. Vom existierenden Gerät auf ein anderes übertragen (z.B. weil man ein neues Handy gekauft hat) geht direkt, man bestätigt mit seinem alten Handy das Neue.
Und der Brief braucht zum Glück keine Woche, sondern nur 1-2 Tage.

 

[Firefly2023]

Das ihr mal eine Vorstellung habt, wie die Mail aussah. Mein Name korrekt geschrieben, kein "Sehr geehrter Kunde" oder ähnliches. Das Einzige verräterische war oben die #, die ich nicht gesehen habe.
Hier der Screenshot.

Und wie TomH22 schrieb, genau so war es. Klarname. Erklärung waru man mit Direktpay gezahlt hat und nicht wie abgemacht mir Paypal. Psychologisch, ganz großes Kino. Die Mail. Ein Support der parallel in Echtzeit antwortet, Hilfestellung leistet (um an die Daten zu kommen). Wer hat nicht schon mal seine Kontonummer oder mal mit Kreditkarte angegeben und etwas gekauft, bei Mindfactory, ALternate und Co?

Das "Das kann mir nicht passieren" habe ich jahrelang selber gesagt und geglaubt. Es waren genau 2 Minuten Unachtsamkeit bzw. nicht richtig geschaut.

Der klick auf "letzter Schritt" hat dann die falsche Verifizierung von DirectPay ausgelöst.

Ergänzung (9. November 2023)

Spricht auch nichts dagegen. Nur musst du darauf achten, dass die Leute das Geld mit Auswahl Freunde/Bekannte überweisen.

Nachteil bei gewerblichen Überweisungen:

• Gebühren
• Geld kann vom Käufer zurückgeholt werden.

Eben nicht mit "Für Freunde". Dieses Geld musst du im Zweifel zurückzahlen, wenn derjenige sich z.B. ebenfalls die Daten dazu kriminell angeeignet hat! Mit Paypal zahle ich nur bei offiziellen Händlern. Privat mache ich da nichts mehr. Nur noch Überweisung

 

[.one]

Und dann kann man ein neues Gerät einfach so dem Online Banking hinzufügen? Bei der Sparkasse dauert das (zumindest bei meiner) mind. 1 Woche bis der Brief mit QR Code kommt.

Ich weiß nicht, wie das bei den verschiedenen Banken läuft. Sparkasse haben wir ja hier schon gelernt.

Bei der Commerzbank bekommt man beim ersten Freischalten des Onlinebanking einen Code für das PhotoTAN-Verfahren. Diesen Brief bzw. den Photo-TAN-Code braucht man dann jedes Mal, wenn man ein neues oder weiteres Gerät freischalten möchte. Also tatsächlich den ersten Brief. Per App kann man keine weiteren Geräte freischalten. Verbummelt man diesen Brief, muss man einen neuen anfordern.

Das Verfahren ist recht sinnig, denn wer diesen Brief rauskramt, der sollte auch wissen, was da gerade passiert. Wenn jemand an den Code kommt... jaja. Nur wie?

 

[simpsonsfan]

Ich weiß nicht, wie das bei den verschiedenen Banken läuft.

Bei meiner örtlichen Volksbank (und soweit ich das sehe auch bei anderen) mit dem ChipTAN Verfahren (bei denen Sm@rt-TAN genannt) braucht man für jede Überweisung nach extern zusätzlich die Bankkarte.
Das erschwert einen Angriff auf diese Art und Weise. Denn selbst wenn der Angreifer (bspw. über eine Fake-Seite) die Zugangsdaten zum Onlinebanking abgreift, kann er noch nichts wegüberweisen. Und wenn der Nutzer/das potentielle Opfer eine Freigabe generieren soll für "Überweisung 1000,00€ an xxx" dann fällt das deutlich schneller auf als wenn da nur steht "Funktionsfreigabe" und der Angreifer hinterher selbst überweist bzw. Vollzugriff hat.

Verwende das Verfahren so gerne und es ist mir ganz sympathisch.

 

[Firefly2023]

Das ist alles schön und gut, aber wenn man selber die Freigabe gibt, weil die Angaben und Ausführungen absolut seriöse aussehen, du keinen Betrag siehst, sondern eine Freigabe für ein Feature gibst, dann bringt dir auch das Smart-Tan Verfahren nichts.

Tatsächlich ist die ING-DIBA App die mit der größtmöglichen Sicherheit. Das das System des funktioniert, sieht man ja daran, dass die ING-DIBA mir, die Überweisung zurückgeholt hat.

Ich kann weder der App noch der Bank einen Vorwurf machen.

 

[S.a.M.]

bin bei der Sparkasse. da zeigt der Tangenerator den Betrag und Kontonummer des Empfängers an, bei Feature Freigaben wird auf der Seite eine Nummer angegeben, die der Tangenerator auch zeigt.

 

[simpsonsfan]

@Firefly2023 Der Punkt ist

braucht man für jede Überweisung [...] die Bankkarte

Bei dem Verfahren geht es nicht, dass der Nutzer selbst eine Freigabe für ein Feature "vertrauenswürdiges Gerät" erteilt, weil es so ein Feature dort nicht gibt.
Das erscheint mir in gewisser Weise sicherer, als wenn das möglich ist.

Aber natürlich schön, dass du in deinem Fall mit dem Schrecken davongekommen bist.
Habe den Thread jetzt mit @.one somit quasi für eine allgemeinere Diskussion gekapert.

 

[TomH22]

Bei meiner örtlichen Volksbank (und soweit ich das sehe auch bei anderen) mit dem ChipTAN Verfahren (bei denen Sm@rt-TAN genannt) braucht man für jede Überweisung nach extern zusätzlich die Bankkarte.

Geht halt solange bis der TAN Generator mal kaputt geht. Denn alle Banken wollen die Dinger rauswerfen, und man muss den Ersatz am freien Markt kaufen. Kosten zwischen 20 und 40 EUR.

bin bei der Sparkasse. da zeigt der Tangenerator den Betrag und Kontonummer des Empfängers an, bei Feature Freigaben wird auf der Seite eine Nummer angegeben, die der Tangenerator auch zeigt.

Das zeigt die Push TAN App genauso an.

Aber darum geht es hier nicht. Das Thema ist, das die Betrüger großen Aufwand betreiben, um dem Anwender vorzugaukeln, das es alles seine Richtigkeit hat.

Das ihr mal eine Vorstellung habt, wie die Mail aussah.

Die ist wirklich gut gemacht. Verständlich, das man da mal reinfallen kann.
Man kann Leute immer nur wieder warnen, gerade bei Kleinanzeigen nur mit äusserster Vorsicht zu agieren. Im Gunde genommen sollte man diesen Dienst deswegen überhaupt nicht nutzen, wenn man nicht sicher ist, dass man in jeder Situation ein 100% ungetrübtes Urteilsvermögen hat, und 100% resistent gegen Manipulationsversuche ist

 

[RedRain]

@Firefly2023 Eine Sache ist mir noch nicht klar: Woher kannten die Betrüger deine Mail-Adresse, um dir die Phishing-Mail zu schicken?

 

[TomH22]

Eine Sache ist mir noch nicht klar: Woher kannten die Betrüger deine Mail-Adresse, um dir die Phishing-Mail zu schicken?

Die müssen die nicht kennen, sie schicken eine Nachricht über Kleinanzeigen, die führt dann zu einer Benachrichtigung per Mail. Im Verlauf der Kommunikation überreden sie das Opfer dann, seine EMail Adresse preiszugeben.

 

[Firefly2023]

@Firefly2023 Eine Sache ist mir noch nicht klar: Woher kannten die Betrüger deine Mail-Adresse, um dir die Phishing-Mail zu schicken?

Ich habe dem Käufer ja gesagt, er soll mit Paypal bezahlen und habe ihm meine Emailadresse geschickt, wie schon bei 200 Verkäufen vorher auch...

Der Rest folgte dann mit dem falschen "Support" zur Konto-Verifizierung von DirektPay. Hätte ich auf Paypal bestanden und mich, weil ich ein netter Mensch bin, nicht überreden hätte lassen DirekPay zu benutzen, wäre nichts passiert. Ich habe zum Schluss ja sogar geschrieben (weil alles nicht geklappt hat), dass mir das alles zu blöd wird und sich die Käuferin selber drum kümmern soll, an ihr Geld zu kommen, weil ich nicht mehr an Sie verkaufe, da war es aber schon zu spät.

Wie gesagt, ich wiederhole mich, das war richtig gut aufgezogen. Und die Tatsache, das man schon 100x in Ebay verkauft hat und die somit die Selbstsicherheit ausgenutzt haben...... Chapau!

Wie du an dem Screenshot oben ja siehst, sieht nicht verdächtig aus.

 

[TomH22]

Ich habe dem Käufer ja gesagt, er soll mit Paypal bezahlen und habe ihm meine Emailadresse geschickt, wie schon bei 200 Verkäufen vorher auch...

Noch mal aus Interesse: Was stand denn in der allersten Nachricht des “Käufers“? Wie lange hat es zwischen Deiner Veröffentlichung der Anzeige un diesem Kaufangebot gedauert?

 

[Firefly2023]

Da sprichst du was an, was ich auch nicht wusste.

Tatsächlich keine 5 Minuten. Die erste NAchrihct war, ob ich auch versenden kann, weil sie es krankheitsbedingt nicht abholen könnte.

 

[.one]

Die kurze Zeit hätte bei dem Betrag allerdings auch zu denken geben können. Nur für die Zukunft, soll kein Vorwurf sein. Genau auf hochpreisige Angebote wird ja angesprungen, denn der alte Kinderwagen lohnt nicht.

Hier stimmt doch was nicht. Am Anfang bist du Käufer und nun Verkäufer?

Sorry, falsch abgebogen.