Topic: Rückbuchungs-Forderung nach Online-Überweisung (Read 2494 times)
Mit Kreditkarten kenne ich mich nicht so aus, ich meinte ganz normale deutsche Girokonten.
Ich hatte ein Auto gebucht, was dann vor Ort ganz normal mit Kreditkarte bezahlt wurde. Dafür war nur eine Unterschrift erforderlich. Keine PIN-Eingabe. So oder so...dieser Betrag war ja auch in Ordnung.
Es wurden dann ca 4-6 wochen später die 18 Euro abgebucht. Ok, schriftliches Einverständniss zur Kreditkartenbuchung liegt vor, weil die Karte im Mietvertrag eingetragen wird. Aber das damit solcher "Missbrauch" getrieben werden kann ist doch etwas überraschend.
Inzwischen habe ich prepaidkarte und die ist 2minuten nachdem ich wieder zuhause bin leer. Wenn ich da Geld drauf brauche ist das in 10 Minuten drauf gebucht, weil von der selben Bank. Bei prepaid gibts keine Durchgriffshaftung aufs Bankkonto, das habe ich schriftlich. Ich verzichte dafür auf den Komfort das automatisch Geld umgebucht wird. Auf diesem Weg ist die Karte nun meist leer und solche Umsätze würden abgewiesen werden, da ich kein Überziehen gestattet habe. Erleichtert die Dinge. Obwohl es bisher auch kein weiteres Mal so passiert ist(seitdem auch schon wieder einige urlaube gemacht)
Es wurden dann ca 4-6 wochen später die 18 Euro abgebucht. Ok, schriftliches Einverständniss zur Kreditkartenbuchung liegt vor, weil die Karte im Mietvertrag eingetragen wird. Aber das damit solcher "Missbrauch" getrieben werden kann ist doch etwas überraschend.
Inzwischen habe ich prepaidkarte und die ist 2minuten nachdem ich wieder zuhause bin leer. Wenn ich da Geld drauf brauche ist das in 10 Minuten drauf gebucht, weil von der selben Bank. Bei prepaid gibts keine Durchgriffshaftung aufs Bankkonto, das habe ich schriftlich. Ich verzichte dafür auf den Komfort das automatisch Geld umgebucht wird. Auf diesem Weg ist die Karte nun meist leer und solche Umsätze würden abgewiesen werden, da ich kein Überziehen gestattet habe. Erleichtert die Dinge. Obwohl es bisher auch kein weiteres Mal so passiert ist(seitdem auch schon wieder einige urlaube gemacht)
Es gibt Lastschriften und Abbuchungsaufträge. Letzteren kann man nicht widersprechen. War wahrscheinlich sowas.
Der Abbucher braucht aber Deine schriftliche Einwilligung für Abbuchungsaufträge, einfach so geht es nicht (bei Lastschriften geht es defacto einfach so, nur mit Konto, BLZ und Name.)
Nein, du kannst 100 Millionen haben, du musst nur nachweisen das du DIESES Geld nicht mehr hast. Der Nachweis muss glaubhaft sein, glaubhaft heist aber nicht hieb und stichfest. Glaubhaft ist zb wenn du 10 btc verkaufst für 700euro und dann 4 tage später 11 btc für 700Euro nachkaufst. Auch wenn mehr Geld auf dem Konto ist. Zahlst du die Miete oder den Strom, hättest du das auch machen müssen ohne den Verkauf und folglich wird angenommen, das du das aus deinem restlichen vermögen zahlst. Gehst du aber ultraschick Essen mit deiner Freundin/Frau wäre das wieder dem Spekulationsgewinn zuordenbar.
Es ist also eine Frage, wie die Umstände des Geldabfluss sind. Und natürlich wird ein gewisser Nachweis erwartet. Bitcoinkaufbeleg(auch ein SS reicht da) oder Rechnung des Restaurants etc.
Halte im Kopf den Grundsatz fest: an geklautem Eigentum kann man keine Eigentumsrechte erwerben. Und NUR an diesem nicht. Gibt man es aber vorher aus in gutem Glauben, kann kein Schadenersatz gefordert werden. Nur das Geld das man erhalten hat MUSS man zurück geben. Hier wird nicht damit argumentiert das alles in einem Topf ist und nicht mehr auseinander teilbar ist, sondern "glaubhaft Machung" ist das Stichwort
Zu den Fragen bzgl Skimming
Ich glaube das hier Urteile gegen die Banken ergangen sind. Jedenfalls ist Skimming recht einfach nachweisbar, wenn man seine Karte noch hat und dazu kommt, das praktisch alle Automaten Kameraüberwacht sind. Solange der Täter nicht so aussieht wie man selbst, ist Skimming recht gut nachweisbar und dann sollte die Haftung bei der Bank liegen.
PS: es gibt sogar Lastschriften die fast nicht Rückbuchbar sind. Kreditkarte und Autovermietung(AVIS in dem Fall). 18 Euro Reinigungsgebühr abgebucht, obwohl auf Übergabeprotokoll Fahrzeug sauber stand. Versucht zurück zu buchen. Geht nicht, weil Spezialabkommen mit Kreditkartengesellschaft. Tja..wegen 18 Euro habe ich dann weitere Schritte gelassen, zumal es nach Spanien gegangen wäre.
Es ist also eine Frage, wie die Umstände des Geldabfluss sind. Und natürlich wird ein gewisser Nachweis erwartet. Bitcoinkaufbeleg(auch ein SS reicht da) oder Rechnung des Restaurants etc.
Halte im Kopf den Grundsatz fest: an geklautem Eigentum kann man keine Eigentumsrechte erwerben. Und NUR an diesem nicht. Gibt man es aber vorher aus in gutem Glauben, kann kein Schadenersatz gefordert werden. Nur das Geld das man erhalten hat MUSS man zurück geben. Hier wird nicht damit argumentiert das alles in einem Topf ist und nicht mehr auseinander teilbar ist, sondern "glaubhaft Machung" ist das Stichwort
Zu den Fragen bzgl Skimming
Ich glaube das hier Urteile gegen die Banken ergangen sind. Jedenfalls ist Skimming recht einfach nachweisbar, wenn man seine Karte noch hat und dazu kommt, das praktisch alle Automaten Kameraüberwacht sind. Solange der Täter nicht so aussieht wie man selbst, ist Skimming recht gut nachweisbar und dann sollte die Haftung bei der Bank liegen.
PS: es gibt sogar Lastschriften die fast nicht Rückbuchbar sind. Kreditkarte und Autovermietung(AVIS in dem Fall). 18 Euro Reinigungsgebühr abgebucht, obwohl auf Übergabeprotokoll Fahrzeug sauber stand. Versucht zurück zu buchen. Geht nicht, weil Spezialabkommen mit Kreditkartengesellschaft. Tja..wegen 18 Euro habe ich dann weitere Schritte gelassen, zumal es nach Spanien gegangen wäre.
Danke Chefin, macht Sinn was Du schreibst.
Dann kann man nur froh sein wenn einem das bisher nicht passiert ist.
Das die Banken in der Vergangenheit die Haftung dafür übernommen haben, war deren Vertragsfreiheit. Und so können sie diese Verträge auch ändern. Haftbar per Gesetz ist eine Bank NUR dann, wenn sie die unmittelbare Schuld dran trägt. Sprich, wenn du Bank gehackt wird.
zwar etwas OT, jedoch wie sieht das aus bei Skimming?ist doch nicht der Fehler des Kunden..
löl, die Polizei hatte mich am Telefon tatsächlich gefragt, ob ich "das Geld" noch habe.
Nun ja, es handelt sich bei diesem Fall "nur" um die EUR ~1000, und am Bettelstock geh ich so und so nich, und krieg auch jeden Monat weit mehr als das regelmäßig rein.
Ich müsste also schon einen auf Pleitepenner machen, wenn ich "das Geld" nicht mehr haben soll.
Nun ja, es handelt sich bei diesem Fall "nur" um die EUR ~1000, und am Bettelstock geh ich so und so nich, und krieg auch jeden Monat weit mehr als das regelmäßig rein.
Ich müsste also schon einen auf Pleitepenner machen, wenn ich "das Geld" nicht mehr haben soll.
Strafbar macht sich lediglich der Dieb/Hacker(sofern das Phishing/hack/kartendiebstahl nicht vorgetäuscht).
Alles weitere ist rein zivilrechtlich und hat weder mit Polizei noch Verbrechen zu tun. Es geht rein um Schadenersatz. Und da war schon immer der Leitsatz: man kann kein Eigentum an Geklautem erwerben. Auch nicht an geklautem Geld.
Das die Banken in der Vergangenheit die Haftung dafür übernommen haben, war deren Vertragsfreiheit. Und so können sie diese Verträge auch ändern. Haftbar per Gesetz ist eine Bank NUR dann, wenn sie die unmittelbare Schuld dran trägt. Sprich, wenn du Bank gehackt wird.
Und wenn man sich Hacken und Phishing anschaut, ich kenne kein Verfahren das direkt einen Pin ode reine TAN crackt, sondern immer drauf angewiesen ist sich das zu ergaunern durch falsche Tatsachevorspiegelung. Die eigentliche Verschlüsselung darf man wohl als noch nicht gecrackt ansehen. Aus diesem Aspekt ergibt sich die tatsache, das immer der Kunde alleine Verursacher ist. Ob nun Schuldhaft, fahrlässig oder einfach nur unschudlig reingefallen, die Bank ist keinesfalls schuld. Und ich sehe keine Grund ihnen hier eine soziale Komponente aufs Auge zu drücken und mittels Mischkalkulation die Diebstahlkosten auf alle Kunden umzulegen. Hier ist ein Konflikt zwischen Bankkunde und Geldempfänger und wenn, dann muss der Bankkunde dafür grad stehen. Die Banken tendieren aber als Dienstleister eben dazu lieber ihrem Kunden als dem Empfänger zu helfen. Wirtschaftlich logisch...
PS: kleiner Trick aus der Mottenkiste: Geldrückbuchung geht nur, wenn auch Geld auf dem Konto(speziell das falsch gebuchte Geld). Ein seperates Geschäftskonto bei einer anderen Bank und das Geld sofort übers Onlinebanking weiter buchen führt dazu das die Rückforderung gegenüber der Empfängerbank erstmal ins Leere läuft. Kann allerdings dazu führen das es vor Gericht landet. Da du ja unschuldig bist, reicht vor Gericht das du glaubhaft machst das Geld bereits wieder weiter transferiert zu haben(Sachen kaufen, neue btc kaufen etc). Man kann nämlich nur das Geld zurück fordern wenn du es noch hast(so als wäre es ein Auto...man kann nur das geklaute Auto zurück holen nicht IRGENDEIN Auto).
Alles weitere ist rein zivilrechtlich und hat weder mit Polizei noch Verbrechen zu tun. Es geht rein um Schadenersatz. Und da war schon immer der Leitsatz: man kann kein Eigentum an Geklautem erwerben. Auch nicht an geklautem Geld.
Das die Banken in der Vergangenheit die Haftung dafür übernommen haben, war deren Vertragsfreiheit. Und so können sie diese Verträge auch ändern. Haftbar per Gesetz ist eine Bank NUR dann, wenn sie die unmittelbare Schuld dran trägt. Sprich, wenn du Bank gehackt wird.
Und wenn man sich Hacken und Phishing anschaut, ich kenne kein Verfahren das direkt einen Pin ode reine TAN crackt, sondern immer drauf angewiesen ist sich das zu ergaunern durch falsche Tatsachevorspiegelung. Die eigentliche Verschlüsselung darf man wohl als noch nicht gecrackt ansehen. Aus diesem Aspekt ergibt sich die tatsache, das immer der Kunde alleine Verursacher ist. Ob nun Schuldhaft, fahrlässig oder einfach nur unschudlig reingefallen, die Bank ist keinesfalls schuld. Und ich sehe keine Grund ihnen hier eine soziale Komponente aufs Auge zu drücken und mittels Mischkalkulation die Diebstahlkosten auf alle Kunden umzulegen. Hier ist ein Konflikt zwischen Bankkunde und Geldempfänger und wenn, dann muss der Bankkunde dafür grad stehen. Die Banken tendieren aber als Dienstleister eben dazu lieber ihrem Kunden als dem Empfänger zu helfen. Wirtschaftlich logisch...
PS: kleiner Trick aus der Mottenkiste: Geldrückbuchung geht nur, wenn auch Geld auf dem Konto(speziell das falsch gebuchte Geld). Ein seperates Geschäftskonto bei einer anderen Bank und das Geld sofort übers Onlinebanking weiter buchen führt dazu das die Rückforderung gegenüber der Empfängerbank erstmal ins Leere läuft. Kann allerdings dazu führen das es vor Gericht landet. Da du ja unschuldig bist, reicht vor Gericht das du glaubhaft machst das Geld bereits wieder weiter transferiert zu haben(Sachen kaufen, neue btc kaufen etc). Man kann nämlich nur das Geld zurück fordern wenn du es noch hast(so als wäre es ein Auto...man kann nur das geklaute Auto zurück holen nicht IRGENDEIN Auto).
Andererseits wissen wir doch alle, was für Probleme Verkäufer im Internet mit Rückbuchungen haben, dass sie eigentlich immer die Gearschten sind wg Verbraucherschutz etc, und wie scharf die deshalb eigentlich alle auf Bitcoin sein müssten...
ewibit 1+
Genauso stehe ich auch da.
Hat sich da was geändert?
Klar muss man bei grober Fahrlässigkeit (zb. EC Karte und Zettel mit Pin in Brieftasche) haften.
Aber bei so einem Bank-hack auch? Kann ich mir nicht vorstellen.
Ich bin seit Jahren bei meineschufa.de angemeldet.
Der UpdateService Kostet 10 Euro / Jahr.
Man bekommt in Echtzeit per E-Mail und SMS alles mit was läuft. Schufabfragen, Score Änderungen usw.
Bei einem solchen Eintrag (unberechtigt) würde ich am gleichen Tag meinen Anwalt beauftragen das mit der Bank glatt-zu-ziehen. Inkl. Schadensersatzansprüchen wenns zu lange dauert.
Genauso stehe ich auch da.
Hat sich da was geändert?
Klar muss man bei grober Fahrlässigkeit (zb. EC Karte und Zettel mit Pin in Brieftasche) haften.
Aber bei so einem Bank-hack auch? Kann ich mir nicht vorstellen.
unweigerlich eine Gewisse Blockadehaltung auf, die dann in negativen Schufaeinträgen endet. Gegen die muss man dann wieder getrennt angehen.
Ich bin seit Jahren bei meineschufa.de angemeldet.
Der UpdateService Kostet 10 Euro / Jahr.
Man bekommt in Echtzeit per E-Mail und SMS alles mit was läuft. Schufabfragen, Score Änderungen usw.
Bei einem solchen Eintrag (unberechtigt) würde ich am gleichen Tag meinen Anwalt beauftragen das mit der Bank glatt-zu-ziehen. Inkl. Schadensersatzansprüchen wenns zu lange dauert.
Ich erinnere mich an Zeiten, wo die Bank gehaftet hat, sobald sie eine Buchung ausführt. Wurde eine Überweisung mit gefälschter Unterschrift eingeworfen und von der Bank verbucht, musste sie ggf. den Verlust tragen, da sie die Unterschrift nicht zureichend geprüft hat. Hat jemand seine Bankkarte verloren und die PIN war drauf notiert, hat der Kartenbesitzer halt gehaftet für Bargeldabhebungen am Automaten, weil er seiner Sorgfaltspflicht nicht nachgekommen ist.
ich dachte auch dass das so ist 
hat sich da in den letzten Jahren die Gesetzeslage geändert?
Die Banken sind ja Dienstleister und werden dafür vom Kunden bezahlt..
An der Stelle würde ich mich auch zurücklehnen und gelassen ggf. die Einladung einer Polizeiangestellten zur Plauderstunde abwarten. Du hast Dir ja nichts zu Schulden kommen lassen. 
Es wurde dem Empfänger des Geldes doch garkeine Straftat vorgeworfen. Warum sollte sich deiner Meinung nach die Polizeit damit beschäftigen?
Das hilfreichste war wohl bisher einfach alles zu verweigern, wonach sich die Bank nicht mehr meldet.
Wenn man eine gute Bank hat. Da die Bank Dein Konto führt und damit den Finger auf dem Geld hat, kann sie auch einfach das Geld Zurückbuchen, Deine Zugänge sperren etc.
Viel Spass beim Prozessieren gegen eine Bank die, wie fast jeder Richter weiss "systemrelevant" und "vertrauenswürdig" ist. Nur wenige haben den langen Atem und das nötige Kleingeld um erfolgreich gegen eine widerspenstige Bank zu klagen. Während des (jahrelangen) Rechtsstreit tritt von Seiten des Kunden unweigerlich eine Gewisse Blockadehaltung auf, die dann in negativen Schufaeinträgen endet. Gegen die muss man dann wieder getrennt angehen.
https://bitcointalksearch.org/topic/anwalt-gesucht-bankkonto-gesperrt-berlin-254537
Auch wenns hier um Postbank geht, ist es kein anderes Problem.
Es gibt zwar wirklich nun zahlreiche solcher Threads mit Betroffenen, aber in keinem Fall wurde eine wirkliche Lösung gepostet... Das hilfreichste war wohl bisher einfach alles zu verweigern, wonach sich die Bank nicht mehr meldet.
Auch wenns hier um Postbank geht, ist es kein anderes Problem.
Es gibt zwar wirklich nun zahlreiche solcher Threads mit Betroffenen, aber in keinem Fall wurde eine wirkliche Lösung gepostet... Das hilfreichste war wohl bisher einfach alles zu verweigern, wonach sich die Bank nicht mehr meldet.
Der Bankmensch am Telefon meinte, zivilrechtlich ist es so, dass ich das Geld zurückgeben muss, und dafür nun eine Forderung habe gegenüber dem Betrüger, so dass es also an mir hängen bleibt, und ich den Schwarzen Peter habe.
Ja da wird er Recht haben...da hatte irgendjemand hier mal einen Eintrag von einem Anwalt gepostet der das auch sagte.Man muss das Geld zurückgeben, hat dann aber eine Forderung gegenüber dem "Betrüger".
tja, ein einer perfekten Welt wär's so, und davon war ich auch ausgegangen, drum war ich etwas unvorsichtig.
Ich hab ja auch erst mal die Rückbuchung freundlich verweigert, als die Bank angerufen hatte.
Aber was ich so mitgekriegt hab in letzter Zeit, ist es eben doch nicht (mehr?) so einfach. Für Verkäufer gibt es wie Regeln "Know Your Customer". Der Bankmensch am Telefon meinte, zivilrechtlich ist es so, dass ich das Geld zurückgeben muss, und dafür nun eine Forderung habe gegenüber dem Betrüger, so dass es also an mir hängen bleibt, und ich den Schwarzen Peter habe.
Ich werd aber schaun was so auf mich zukommt, ob es wirklich so ist und was ich tun kann.
Ich hab ja auch erst mal die Rückbuchung freundlich verweigert, als die Bank angerufen hatte.
Aber was ich so mitgekriegt hab in letzter Zeit, ist es eben doch nicht (mehr?) so einfach. Für Verkäufer gibt es wie Regeln "Know Your Customer". Der Bankmensch am Telefon meinte, zivilrechtlich ist es so, dass ich das Geld zurückgeben muss, und dafür nun eine Forderung habe gegenüber dem Betrüger, so dass es also an mir hängen bleibt, und ich den Schwarzen Peter habe.
Ich werd aber schaun was so auf mich zukommt, ob es wirklich so ist und was ich tun kann.
Oder man kauft sich ein seperates Rechnersystem, das ausschliesslich die Wallet verwaltet.
Oder halt so n Teil: http://www.bitcointrezor.com/
Ich denke nicht das Bitcoins die Sicherheit gegen Diebstahl erhöhen, eher verkleinern. Den sind wir mal ehrlich, es ist um Welten leichter eine Datei zu kopieren, als einen kompletten Ablauf so zu simulieren, das es ausieht als wäre alles in Ordnung.
Ein einfacher Keylooger reicht um eine Wallet zu kapern(spätestens wenn man selbst eine Transaktion macht ist auch das Passwort zur Wallet gekapert). TAN-System ist selbst in Papierform deutlich schwerer zu kapern, weil man Webseiten so fälschen muss, das man sich überlisten lässt die TAN einzugeben. Oder mehrere Systeme parallel kapern. Auch wenn es Schwachstellen beim Banking gibt, so sind Bitcoins deutlich unsicherer. Bzw man muss schon erheblich mehr administrativen Aufwand bewältigen. Onlinewallet mit 2FA wo dann der Masterkey in Klartext in der Reg steht(und es geht ja auch garnicht anders als Klartext, da ein verschlüsseln spätestens zur Laufzeit der 2FA entschlüsselt werden muss)
Nein, sicherer ist es nicht. Aber man kann sich sein Sicherheitslevel aussuchen und es mag ja auch Zeitgenossen geben, die wirklich jedes Bit in ihrem PC persönlich kennen. Oder man kauft sich ein seperates Rechnersystem, das ausschliesslich die Wallet verwaltet.
Ein einfacher Keylooger reicht um eine Wallet zu kapern(spätestens wenn man selbst eine Transaktion macht ist auch das Passwort zur Wallet gekapert). TAN-System ist selbst in Papierform deutlich schwerer zu kapern, weil man Webseiten so fälschen muss, das man sich überlisten lässt die TAN einzugeben. Oder mehrere Systeme parallel kapern. Auch wenn es Schwachstellen beim Banking gibt, so sind Bitcoins deutlich unsicherer. Bzw man muss schon erheblich mehr administrativen Aufwand bewältigen. Onlinewallet mit 2FA wo dann der Masterkey in Klartext in der Reg steht(und es geht ja auch garnicht anders als Klartext, da ein verschlüsseln spätestens zur Laufzeit der 2FA entschlüsselt werden muss)
Nein, sicherer ist es nicht. Aber man kann sich sein Sicherheitslevel aussuchen und es mag ja auch Zeitgenossen geben, die wirklich jedes Bit in ihrem PC persönlich kennen. Oder man kauft sich ein seperates Rechnersystem, das ausschliesslich die Wallet verwaltet.
Dankeschön für die Infos, ihr Chefs.
Sogar ich benutz allerdings noch eine TAN-Liste in Papierform (aber ich bin schon so ein Asket), darum werden die Tanten und Omis, die derart beschissen werden, wohl auch noch nich mTAN oder 2FA mittels Tablets oder Phones machen. Was im vorliegenden Fall wirklich passiert ist, weiß ich auch immer noch nicht, ich werd's aber wohl noch zeitnah erfahren.
Aber grundsätzlich ist das alles Mist, das ist schon richtig, darum wurde Bitcoin ja erfunden, nich wahr, wenn alles darüber laufen würde, dann gäb's ja auch keine Probleme.
Sogar ich benutz allerdings noch eine TAN-Liste in Papierform (aber ich bin schon so ein Asket), darum werden die Tanten und Omis, die derart beschissen werden, wohl auch noch nich mTAN oder 2FA mittels Tablets oder Phones machen. Was im vorliegenden Fall wirklich passiert ist, weiß ich auch immer noch nicht, ich werd's aber wohl noch zeitnah erfahren.
Aber grundsätzlich ist das alles Mist, das ist schon richtig, darum wurde Bitcoin ja erfunden, nich wahr, wenn alles darüber laufen würde, dann gäb's ja auch keine Probleme.
Hatte schon mal jemand 'ne Rückbuchungs-Forderung nach einer Online-Überweisung?
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)
Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)
Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?
TAN-Listen sind praktisch ausgestorben. Zwar wird hier und da noch Altbestand nicht zwangsumgestellt, aber neue Konten können kein Papier-TAN mehr wählen. Und hier kommen dann spezialisierte Softwarepakete zum Einsatz. Das bekannteste war ZEUS, man konnte es kaufen und sich dann Module dazu basteln oder aus der Community besorgen. Und wie man an meinen begriffen sieht, war das kein Business das so 10 oder 20 betrieben haben, sondern es gab einen derartigen boom, das der Autor von ZEUS davon leben konnte ohne selbst zu manipulieren. Und eine Community hat sich dann gegenseitig mit Tricks und Kniffen ausgeholfen.
ZEUS wurde dann an einen Konkurrenten verkauft, der ebenfalls Bankingsoftware für entsprechende Kreise programmiert hatte. Es ging in diesem neuen Projekt dann auf und ist heute nicht mehr Eigenständig.
Was macht das ganze Paket den eigentlich? Es ist drauf ausgelegt, die verschiedenen TAN-Verfahren auszuhebeln. M-Tan via SMS, hier wird versucht das Smartphone zu infizieren um darüber dann den TAN abzufangen und selbst zu nutzen. Entweder wird das Smartphone infiziert und bei nächster Gelegenheit dann der PC ebenfalls übernommen oder umgedreht. Dieses flexible Konzept, das selbstständig sich auf die verschiedenen Betriebssystemen einstellt (und da ist Linux genauso betroffen) macht diesen Trojaner sehr erfolgreich und gefährlich. Es gibt inzwischen dann auch fertige Bankingseitenclone für alle möglichen Banken, Schätzungen nach ca 10.000 fertige Bankingseitenclone, so das man nur einen Server braucht um die dort aufzubringen und der Trojaner dann anhand der Orginalseite weis welches die URL für den Clone ist und entsprechend umleitet.
Das ist kein Scriptkiddyspielplatz mehr, sondern ungefähr so proffesionell wie ein Betrieb. Sehr ausgereift und schwer zu knacken. Vorallem weil man die Signaturen der AV-Hersteller umgeht, indem man immer wieder neu compiliert und dabei im Compiler schon das nötige gemacht wird, das die alte Signatur der AV nicht mehr passt. Ist er enttarnt genügt also ein Knopfdruck und eine neue Variante wird erzeugt.
Natürlich arbeiten Banken dagegen, aber wie beim Kopierschutz ist es ein hin und her, wer gerade vorne liegt in diesem endlosen Rennen.
Es gab vor einigen Jahren einen Fall, da hat eine Gruppe Bankportale auf Sicherheit getestet. Sie hatten die Website einer Lokalbank gefunden, auf der Informationen waren, bei der man, wenn man Onlinebanking nutzen möchte, allerdings zur Website der Zentrale weitergeleitet wurde.
Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.
Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.
Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.
Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.
Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.
Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.
Die kamen also an TAN-Listen auf den Servern? Offen wie ein Scheunentor.
In einer gerechten Welt haftet der, der für solche Fehler verantwortlich ist. Und die Banken können ihr Geld sowieso selber drucken. Die könnten sowas dann einfach aus der Welt buchen.
na bei mir wird's auch kein Spaßritt werden, aber man darf im Leben nicht alles so ernst nehmen, nich wahr.
Wie kann man bei sowas überhaupt beweisen, dass man nicht zu einer Bande oder einem Ring gehört, der sich gegenseitig Geld auf diese Weise zuschiebt, die Mitglieder sich aber untereinander offiziell natürlich nicht kennen?
Wie kann man bei sowas überhaupt beweisen, dass man nicht zu einer Bande oder einem Ring gehört, der sich gegenseitig Geld auf diese Weise zuschiebt, die Mitglieder sich aber untereinander offiziell natürlich nicht kennen?
naja am Ende hat der reale Kontobesitzer ja sein Geld soundso gehabt wegen der Rücküberweisung und ich dann Anzeige gegen unbekannt gestellt, also bin zwar immernoch ich der leidtragende. Außerdem wurden alle benötigten Daten (Konto, BTC, ...) von der Polizei aufgenommen und bewertet.
na bei mir wird's auch kein Spaßritt werden, aber man darf im Leben nicht alles so ernst nehmen, nich wahr.
Wie kann man bei sowas überhaupt beweisen, dass man nicht zu einer Bande oder einem Ring gehört, der sich gegenseitig Geld auf diese Weise zuschiebt, die Mitglieder sich aber untereinander offiziell natürlich nicht kennen?
Wie kann man bei sowas überhaupt beweisen, dass man nicht zu einer Bande oder einem Ring gehört, der sich gegenseitig Geld auf diese Weise zuschiebt, die Mitglieder sich aber untereinander offiziell natürlich nicht kennen?
Quote
Ich erstatte auch gleich Anzeige gegen dich. 
lustig ist das nicht, aber die Polizei hats verstanden und das Verfahren eingestellt.
Es gab vor einigen Jahren einen Fall, da hat eine Gruppe Bankportale auf Sicherheit getestet. Sie hatten die Website einer Lokalbank gefunden, auf der Informationen waren, bei der man, wenn man Onlinebanking nutzen möchte, allerdings zur Website der Zentrale weitergeleitet wurde.
Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.
Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.
Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.
Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.
Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.
Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.
Die kamen also an TAN-Listen auf den Servern? Offen wie ein Scheunentor.
In einer gerechten Welt haftet der, der für solche Fehler verantwortlich ist. Und die Banken können ihr Geld sowieso selber drucken. Die könnten sowas dann einfach aus der Welt buchen.
Ja ich hatte eine, der gegenüber hat ganz altmodisch einen Überweisungsschein bei der Bank eingeworfen mit einem Konto was ihm nicht gehörte un dder reale Besitzer hat sein Geld zurückgefordert und Anzeige gegen mich erstattet ...
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Ich erstatte auch gleich Anzeige gegen dich.
Ja ich hatte eine, der gegenüber hat ganz altmodisch einen Überweisungsschein bei der Bank eingeworfen mit einem Konto was ihm nicht gehörte un dder reale Besitzer hat sein Geld zurückgefordert und Anzeige gegen mich erstattet ...
Hatte schon mal jemand 'ne Rückbuchungs-Forderung nach einer Online-Überweisung?
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)
Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)
Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?
Es gab vor einigen Jahren einen Fall, da hat eine Gruppe Bankportale auf Sicherheit getestet. Sie hatten die Website einer Lokalbank gefunden, auf der Informationen waren, bei der man, wenn man Onlinebanking nutzen möchte, allerdings zur Website der Zentrale weitergeleitet wurde.
Die Website der Lokalen bank wies einige Sicherheitsrisiken auf und man teile ihr dies mit. Als Antwort wurde gegeben, dass das nicht so schlimm sei, da das Onlinebanking ja auf einer anderen, sicheren Seite stanfinden würde; der Seite der Zentrale.
Diese Gruppe verschaffte sich nun durch die Sicherheitslücken zugriff auf die Homepage der Lokalbank und manipulierte den Link, der zum Onlinebanking der Zentrale führe. Kunden, die Onlinebanking nutzen wollten und über das Portal der Lokalbank zum Onlinebanking kommen wollten, wurde nun auf einen Clon der Seite der Zentrale beschickt, den diese Gruppe eingerichtet hat. Dort konnten überweisungen ausgeführt werden und es wurde TANs von den Listen abgefragt, die eingegen wurden und somit der Gruppe zugespielt wurden, sowie auch das Passwort.
Natürlich wurde nicht wirklich eine Überweisung getätigt, denn sonst wäre die TAN Nummer ja ungültig geworden.
Nun hatte die Gruppe die Zugangsdaten inklusive einiger TAN Nummern von Kunden und konnte diese auch nutzen.
Hatte schon mal jemand 'ne Rückbuchungs-Forderung nach einer Online-Überweisung?
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)
Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?
Also nicht das Postbank-Thema mit den eingeworfenen Überweisungsscheinen mit falscher Unterschrift.
Falls das ein externer Angreifer war, wie können Online-Überweisungen denn überhaupt so leicht gefälscht werden? (Volksbank in dem Fall)
Selbst bei einem Trojaner auf dem PC braucht man doch zumindest Zugriff auf die TAN-Liste?
Jump to: