Postbank Konto gehackt

E=mc² · 15. März 2017

Hallo Freunde,

heute wurde mein Postbank (Geschäfts) Konto gehackt, das Konto wurde nahezu leer gemacht.

Der Artikel: http://www.focus.de/finanzen/banken...postbank-konten-mit-o2-karten_id_4066906.html liest sich fast wie meine Story. Die Sache hat nur ein Haken, weswegen ich mich hier an euch wende.

Ich habe keine Erklärung wie die "Täter" an meine Banking Pin gekommen sind (Handynummer und Bankdaten sind nachvollziehbar, Pin absolut nicht). Die Pin ist auf dem Mac in Starmoney hinterlegt, ansonsten gibts diese Pin nur auf dem Papier. Sie wird nie eingegeben weswegen ich Keylogging ausschließen kann, auch würde ich Phishing ausschließen da ich auf Anfragen der Bank per Mail nie reagiere und mittels greylisting hier sowieso kaum was ankommt.

Ich sitze hinter einem iMac mit aktuellem Mac OS sowie Little Snitch. Es sollte hier technisch nicht möglich sein irgendwo hin zu telefonieren ohne das ich eine Info dazu bekomme. Ich habe mein System mit CalmXav und Malwarebytes Anti-Malware gepüft, alles ohne Befund. Banking mache ich nur an diesem Gerät. Vielleicht bin ich ja gehörig auf dem Holzweg aber ist jemandem ein Fall bekannt bei dem so eine Aktion OHNE PIN möglich war? Laut Bank ist das "UNMÖGLICH"...

Weiß jemand Rat?

KnolleJupp · 15. März 2017

Ich bin froh das ich noch auf das gute, alte HBCI Verfahren mit Chipkarte setze!
Denn ohne die Karte (also einen physischen Gegenstand) macht auch der beste Hacker genau nix...

Nun, egal ob die PIN in der Software hinterlegt ist, oder du sie jedes mal eingibst, an die Bank übertragen wird sie trotzdem jedes mal zwecks Abgleich.

blackshuck · 15. März 2017

Vlt an einen Geldautomaten geraten, der unter böser Kontrolle steht--->Skimming?
Oder wurde alles "online" leer geräumt?

KnolleJupp · 15. März 2017

Ist diese PIN denn identisch mit der PIN der Maestro- (EC-) Karte?

E=mc² · 15. März 2017

Ist alles online passiert. Bei Vodafone wurde eine Ersatzsim angefordert mit der die Tans abgefangen wurden. Die EC Karte habe ich glaube ich noch nie benuzt, ist ein reines online Konto. Die EC Pin unerscheidet sich auch von der Online Pin.

KnolleJupp · 15. März 2017

Also du hast die PIN-Nummer in deiner Homebanking-Software hinterlegt (um sie nicht jedes mal neu eingeben zu müssen).
Du nutzt das mTAN Verfahren, bei dem die Bank dir eine TAN per SMS aufs Handy schickt und damit authorisierst du z.B. eine Überweisung.

Wurde denn von deinem Telefon-Anbieter eine Ersatz-SIM ausgestellt ohne das du davon wusstest?
Edit: OK, hattest du ja gerade geschrieben.

Trotzdem müssen die Täter auch an die PIN gekommen sein.
Entweder hast du sie doch mal unbemerkt auf einer Phishing-Webseite eingegeben oder dein Rechner ist doch kompromitiert.

E=mc² · 15. März 2017

eingegeben habe ich sie nicht, da bin ich sicher. das mein rechner kompromitiert ist kann ich mir bisher nicht vorstellen, alle scans verliefen ohne befund

KnolleJupp · 15. März 2017

Wenn du Bankgeschäfte sowieso nur am Rechner zu Hause machst, würde ich dir empfehlen auf das Chipkarten-Verfahren umzusteigen.
Idealerweise kombiniert mit einem Lesegerät mit Tastenfeld zur PIN-Eingabe, so dass die PIN selber gar nicht auf den Rechner gelangt.

(Sollte die Postbank dieses "alte" Verfahren nicht anbieten, bei z.B. der Sparkasse ginge es.)

----------------

Vielleicht hattest du mal ungebetenen Besuch zu Hause und derjenige hat in deinen Bank-Unterlagen die PIN gefunden...
Das muss ja im Zweifelsfalle nicht mal ein völlig Fremder gewesen sein...

E=mc² · 15. März 2017

Kann ich alles ausschließen, die liegen hinter mir in einem abgeschlossenen Schrank. Wenn meine Frau nicht hinter der Aktion steckt hab ich echt keine Idee.

Masamune2 · 15. März 2017

Bei Vodafone wurde eine Ersatzsim angefordert mit der die Tans abgefangen wurden.

Da hast du ja schon die Lösung. Lass von deiner Bank bitte auf Optical TAN umstellen da kann sowas nicht passieren.

justanotherdude · 15. März 2017

Nabend,

du betreibst mit Starmoney höchstwahrscheinlich sogenanntes Screenscraping, das bedeutet, SM macht im Hintergrund nichts anderes, als die Internetseite deiner Bank aufzurufen und dort für dich die Daten einzugeben. Dies ist nicht nur fehleranfällig, sondern auch insofern gefährlich, als dass SM nicht zwingend erkennen kann, ob die Seite, die aufgerufen wird, kompommitiert ist. Fakt ist ebenso, dass wenn die Pin von SM automatisch eingegeben wird, sie auch irgendwann mal, wenn auch nur kurz, im Klartext vorliegen muss.

Demnach würde ich vermuten, dass entweder dein Computer infiziert ist, oder aber auf dem Weg deiner Daten zur Bank jemand deine Daten abgeschöpft hat.

Ich empfehle auch dringenst dem Umstieg auf HBCI mit Sicherheitsdatei oder auch Chipkarte. Da sind derlei Manipulationen praktisch ausgeschlossen.

Gruß vom dude

E=mc² · 15. März 2017

Masamune2 schrieb:
Da hast du ja schon die Lösung.

Das setzt doch aber noch immer voraus das jemandem meine PIN bekannt sein muss, sonst scheiterts am Login und hier ist alles sauer, weiss nicht wo und wie ich sonst noch mein System scannen soll um was zu finden.

xxMuahdibxx · 15. März 2017

alles Sauber nur weil Programme dir nichts anzeigen ... weil sie es einfach nicht können ... schon mal drann gedacht das diese Programme eher bei bekannten Sachen alarm schlagen ...

ayngush · 15. März 2017

Wenn der Rechner sauber ist...

DNS-Poisioning?
Ist der Router im Netzwerk sauber?
Löst dein Rechner, von dem aus du das Banking betreibst DNS-Anfragen auf die gleiche IP-Adresse auf, wie online-DNS-Tools (https://www.heise.de/netze/tools/dns/ zum Beispiel)?

Mal mit dem Rechner in einem anderen Netzwerk gewesen?
Eventuell ein Man in the Middle Angriff auf die Banking-Software? Prüft die Software die Zertifikate sauber oder lässt sie sich Fake-Mist unterjubeln?

Auch meine Empfehlung bei Geschäftskonten: HBCI mit Unterschriftendatei oder Chip Verfahren.

Btw. Antivirenscanner... Schlangenöl... Kann sein, dass die nichts finden, weil sie nicht wissen, wonach sie suchen sollen.
Eventuell finden die in ein paar Monaten ja mal was.

Empfehlung: Rechner komplett plätten und neu aufsetzen (lassen). Bis dahin natürlich nicht mehr damit "banken". Netzwerk ordentlich absichern, nicht nur einen einfachen Router verwenden, in Firmennetzwerke gehört ein mehrstufiges Firewallkonzept. Kleine UTMs gibt es für ein paar Hundert Euro. Privat und Geschäft rigeros trennen. Netzwerk, Internetleitung, E-Mail, gesurfe, einfach alles zwischen Privat und Geschäft trennen. Auch deinen Kunden zuliebe. Von der Haftung als Geschäftsinhaber bei "Datenreichtum" fange ich jetzt mal nicht an... Und lass dich da beraten, es gibt Fachleute für solche Themen ;-)

E=mc² · 15. März 2017

DNS ist sauber, habe ich eben geprüft. Die Fritzbox ist auch up2date. Die Art des Bankings werde ich natürlich überdenken, mich ärgert nur das ich mein System neu aufsetzen muss obwohl ich hier keine Ursache finde..

Naja sei es drum, muss dann wohl sein.

purzelbär · 15. März 2017

Du nutzt das mTAN Verfahren, bei dem die Bank dir eine TAN per SMS aufs Handy schickt und damit authorisierst du z.B. eine Überweisung.

Vielleicht kann man hier ansetzen und er hat womöglich eine Schadsoftware auf dem Handy falls es ein Smartphone ist, welche die TAN der Bank abgefangen hat?

Dr. McCoy · 16. März 2017

E=mc² schrieb:
Ich habe keine Erklärung wie die "Täter" an meine Banking Pin gekommen sind (Handynummer und Bankdaten sind nachvollziehbar, Pin absolut nicht).

Du nutzt also Deine öffentlich bekannte Handynummer (im schlimmsten Fall sogar die öffentlich bekannte Geschäfts-Handynummer) auch zum Onlinebanking? Gerade das muss strikt getrennt sein, die Verwendung einer separaten SIM mit einer Dritten nicht bekannten Rufnummer ist unbedingt indiziert.

Die Pin ist auf dem Mac in Starmoney hinterlegt,

Die nächste grobe Fahrlässigkeit. Solche sensiblen Daten haben nichts in Form dauerhafter Speicherung auf einem System verloren.

Sie wird nie eingegeben weswegen ich Keylogging ausschließen kann,

Aber natürlich wird sie "eingegeben", und zwar durch das Programm, in dem Du sie dauerhaft gespeichert hast, bei jedem Onlinebanking-Login. Im Weiteren gibt es nicht nur Keylogger, sondern Spyware im Allgemeinen, die sensible Daten direkt auf dem kompromittierten System ausliest.

Ich sitze hinter einem iMac mit aktuellem Mac OS sowie Little Snitch.

Schön. Nur hat vor allem Letzteres relativ wenig mit Sicherheit und effektiver Systemabsicherung zu tun.

Es sollte hier technisch nicht möglich sein irgendwo hin zu telefonieren ohne das ich eine Info dazu bekomme.

Falsch. Du gehst davon aus, dass Dir so eine Software auch wirklich jegliche (unerwünschte) Aktivität umgehend meldet. Dem ist hingegen, was die Verlässlichkeit betrifft, nicht so.

Ich habe mein System mit CalmXav und Malwarebytes Anti-Malware gepüft, alles ohne Befund.

Deine System"absicherung" scheint in erster Linie auf "Firewall"- und Virenscanner-Software zu basieren. Deren Schwachpunkte sind jedoch seit Jahren bekannt und dürfen nicht dazu verleiten, sich nur auf diese zu verlassen.

Banking mache ich nur an diesem Gerät. Vielleicht bin ich ja gehörig auf dem Holzweg aber ist jemandem ein Fall bekannt bei dem so eine Aktion OHNE PIN möglich war? Laut Bank ist das "UNMÖGLICH"...

Nein, Deine Zugangs-PIN wird benötigt, und Du hast es den Angreifern insgesamt auch sehr leicht gemacht, Zugriff auf Dein Konto zu erhalten.

Weiß jemand Rat?

Ja. System neu aufsetzen, ausführbare Dateien aus dieser Installation nicht wiederverwenden, WLAN-Passphrase prüfen und ggf. individualisieren/verstärken, Stärke des Router-Loginpassworts prüfen, Banking-Passwort/PIN künftig nie mehr auf dem System speichern, für mTAN immer eine Dritten unbekannte Handynummer verwenden, System viel besser absichern (sich dabei im Schwerpunkt auf Virenscanner/"Firewall!" zu verlassen, führt in eine Sackgasse), Banking-Verfahren wie empfohlen auch gerne auf HBCI umstellen, etc.

E=mc² schrieb:
das mein rechner kompromitiert ist kann ich mir bisher nicht vorstellen, alle scans verliefen ohne befund

Informiere Dich dringend über prinzipielle Erkennungslücken von Virenscannern. Sei Dir künftig darüber im Klaren, dass "profitorientierte" Malwarenutznießer in aller Regel vor der Verbreitung sicherstellen, dass ihre Malware möglichst von keinem Virenscanner erkannt wird -- dies wird unter anderem dadurch erreicht:
-> https://www.heise.de/security/meldung/Online-Virenscanner-vice-versa-971180.html

Und: Ein kompromittiertes, also bereits infiziertes System, ist ohnehin nicht zuverlässig mittels eines Virenscanners überprüfbar, da davon ausgegangen werden muss, dass die Prüfsoftware längst von der aktiven Malware manipuliert wurde.

E=mc² schrieb:
Wenn meine Frau nicht hinter der Aktion steckt hab ich echt keine Idee.

Die Ursache liegt da viel eher in Deinen Handlungsversäumnissen zur System- und Bankingabsicherung als bei Deiner Frau.

E=mc² schrieb:
Das setzt doch aber noch immer voraus das jemandem meine PIN bekannt sein muss, sonst scheiterts am Login

Ja klar.

und hier ist alles sauer, weiss nicht wo und wie ich sonst noch mein System scannen soll um was zu finden.

Das ist der Kern des Problems, Du versuchst Sicherheit durch Scannen herzustellen oder nachzuweisen. Das funktioniert so nicht.

E=mc² schrieb:
DNS ist sauber, habe ich eben geprüft. Die Fritzbox ist auch up2date.

Wie sicher/stark ist a) das Zugangspasswort zum Router, und b) wie die WLAN-Passphrase?

Die Art des Bankings werde ich natürlich überdenken,

Mehr noch, "überdenken" reicht hier sicher nicht, da muss gehandelt werden.

mich ärgert nur das ich mein System neu aufsetzen muss obwohl ich hier keine Ursache finde..

Wieso, die Ursache liegt doch klar auf der Hand. Sie heißt: Nicht vorhandenes Sicherheitskonzept bei grob fahrlässigem Umgang mit besonders sensiblen Daten.

xxMuahdibxx · 16. März 2017

purzelbär schrieb:
Vielleicht kann man hier ansetzen und er hat womöglich eine Schadsoftware auf dem Handy falls es ein Smartphone ist, welche die TAN der Bank abgefangen hat?

Du hast schon gelesen das bei seinem Handyvertragsanbieter eine 2 Sim angefordert wurde ?

chrigu · 16. März 2017

diese masche ist schon lange bekannt. mich wundert es nur, dass der händy-provider immer noch an "fremde" eine zweitsim und somit eine kopie der händy-nummer rausgeben. wahrscheinlich wurde der postbote abgefangen oder dein briefkasten überwacht, damit die zweit-sim abgefangen wurde. dadurch kann der "täter" deine nummer vortäuschen und bei der bank und einem schludrigen mitarbeiter viel schaden anrichten. nimm dir ein anwalt und verklage bank, händy-gesellschaft und den unbekannten.

Gleipnir · 19. März 2017

Bankprogramm ist aber nicht gleich Browserbanking, da müsste die Malware schon speziell drauf ausgerichtet sein.

Bekommt man nicht vom Handy-Provider eine Nachricht das eine neue SIM unterwegs ist?

Postbank Konto gehackt

Ensign

Fleet Admiral

Captain

Fleet Admiral

Ensign

Fleet Admiral

Ensign

Fleet Admiral

Ensign

Admiral

Ensign

Ensign

Fleet Admiral

Lt. Commander

Ensign

Admiral

Fleet Admiral

Fleet Admiral

Fleet Admiral

Commodore

Ähnliche Themen