Identitätsdiebstahl -> Wie geht das?

[2800]

Hallo!

Ich habe gestern die Doku über Identitätsdiebstahl im TV geschaut. Im Selbstversuch hat der Reporter seinen Perso (angeblich?) im Netz veröffentlicht und dann war auf einmal seine E-Mail gehackt.

Irgendwie habe ich den Zusammenhang zwischen Perso und E-Mail nicht verstanden. Auch habe ich den Erkenntnisgewinn durch den Selbstversuch nicht verstanden.

Wie sind die Betrüger in sein E-Mail Postfach gekommen? War das Passwort zu vorname.nachname@???.?? einfach zufällig bereits zuvor in einer gehackten Datenbank auffindbar?

Das ganze hat mich jedenfalls darin bestärkt, niemals meinen Perso irgendwo hochzuladen. Ich habe hin und wieder gelesen, dass Zahlungsdienstleister oder soziale Netzwerke teilweise den Perso verlangen, um eingeschränkte Accounts wieder freizuschalten. Eigentlich hat der Scan des Persos keinerlei Bedeutung. Weder kann man daran sehen, ob der echt ist, noch ob der Absender wirklich der Inhaber ist.

Grüße

 

[dvor]

Irgendwie habe ich den Zusammenhang zwischen Perso und E-Mail nicht verstanden.

1) "Das ist mein Account, leider habe ich die Zugangsdaten vergessen. Beweis: Hier ist mein Personalausweis. Bitte schicken Sie neue Zugangsdaten an die Absenderadresse dieser Email."
2) Anbieter versendet jene Zugangsdaten inkl. neuem Passwort.

 

[Fujiyama]

Von was für ner Doku reden wir?

 

[Drewkev]

Wie sind die Betrüger in sein E-Mail Postfach gekommen?

Na mit dem Perso von demjenigen.

Oder die E-Mail ist/war in einer Datenbank.

 

[Precide]

Wahrscheinlich einfach Dictionary Attack mit, wie du schon sagst Vorname.nachname@web/google/gmx...
Als Zahlensuffix einfach das Geburtsdatum mit dd/mm/yy. So dürfte man bei brute force schon ziemlich erfolgreich sein.

 

[conf_t]

Grundsätzlich wäre ein Vorgehen wie von @dvor und @Precide beschrieben denkbar.
Ich hätte gehofft, dass die sowas wie PostIdent oder so verlangt hätten. Vermutlich hängt das stark vom E-Mailanbieter ab und die Frage wäre, in wiefern der E-Mail Anbieter damit dem Nachweis der Identität überhaupt genüge getan hätte. Wie du selbst sagt, eine (unbeglaubigte) Kopie eines Ausweises ist "nichts".

Riecht sehr nach einer reißerischen und damit handwerklich schlechten Doku, auch wenn es wirklich so machbar ist.
Edit: Ohje, VOX, wenn dass mal nicht sogar eine gescriptete Doku-Soap war....... welcher Reporter würde ernsthaft im Selbstversuch seine Identität opfern......

 

[UNDERESTIMATED]

Von was für ner Doku reden wir?

Wird wohl diese sein.
https://www.vox.de/sendungen/vox-inside-identitaetsklau-im-netz-10528840.html

 

[2800]

Von was für ner Doku reden wir?

"VOX Inside: Identitätsklau im Netz" – Mi. 05.10. – VOX: 20.15 Uhr

 

[coasterblog]

Ich habe hin und wieder gelesen, dass Zahlungsdienstleister oder soziale Netzwerke teilweise den Perso verlangen,

(a)soziale Netzwerke sind nicht lebenswichtig, reiner 1st World Luxus und optional. Da sehe ich keine Notwendigkeit sich das anzutun. Nicht nur die Bilder von Füßen am Strand oder ein angebissener Hamburger diesen Firmen zu hinterlassen ist schon etwas was man überdenken sollte, der Perso hat da nichts verloren.

Zahlungsanbieter sind hoffentlich seriös genug um das per Post zu klären!

 

[2800]

Zahlungsanbieter sind hoffentlich seriös genug um das per Post zu klären!

Unser Sicherheitssystem kann dies als Fremdzugriff werten und wird das Konto im Zweifelsfall sperren. Eine Freischaltung erfolgt dann erst nach Vorlage der Dokumente.

https://www.paypal-community.com/t5/Kontoeinschränkungen/Lichtbildausweis-und-Kontoauszug-hochladen/td-p/1379085?profile.language=de

Ebenfalls im TV kam auch mal ein Beitrag dazu, dass der Ex-Partner einer Frau auf ihren Namen mit teilweise falschen Daten (glaube der Geburtsort war falsch?) ein Kreditkartenkonto eröffnen konnte, was letztlich zu einem Schufa-Eintrag führte und erst so aufgefallen ist... Das war bei einem bekannten Anbieter.

 

[Robert.]

Das ganze hat mich jedenfalls darin bestärkt, niemals meinen Perso irgendwo hochzuladen

Leider ist das manchmal "notwendig".
Für den Fall kann man ein Wasserzeichen in das Bild einfügen. "zB. Ausweis nur für die Identitätsprüfung bei Bank XY/Firma XY".

Ergänzung (6. Oktober 2022)

Zahlungsanbieter sind hoffentlich seriös genug um das per Post zu klären!

Nicht einmal Banken sind das.

 

[Drewkev]

Zahlungsanbieter sind hoffentlich seriös genug um das per Post zu klären!

Hah, der war gut.

 

[coasterblog]

Nicht einmal Banken sind das.

Wäre für mich ein Grund diese links liegen zu lassen.

 

[Mihawk90]

Zahlungsanbieter sind hoffentlich seriös genug um das per Post zu klären!

Wäre für mich ein Grund diese links liegen zu lassen.

Welchen Unterschied soll das machen ob man das per Mail oder per Post einreicht? Ausweiskopie ist Ausweiskopie.

Mal abgesehen davon ist das Einsenden per Mail in aller Regel eine Option und keine Pflicht.

 

[coasterblog]

Dann nutzt man eben diese Option nicht. Post und Postident sind ja wohl besser, der beste Weg ist vor Ort ein persönlicher Besuch. Falls es Filialen gibt. Ziehe ich alles vor!
Passieren kann mir das eh nicht, nutze kein Online Banking o.Ä.

 

[Mihawk90]

Post und Postident sind ja wohl besser

Von Postident war nicht die Rede und wie Post "besser" ist wenn es nur ne Kopie des Ausweises ist hast du damit immer noch nicht erläutert.
Ob ne Kopie per Post oder Mail eingereicht wird macht de facto keinen Unterschied weil schlichtweg nicht geprüft werden kann ob derjenige der sie einreicht tatsächlich der Besitzer des Ausweises ist. Wie auch.
Klar geht das bei PostIdent wenn die Post dort nicht pennt, aber davon war ja wie erwähnt nicht die Rede.

 

[coasterblog]

Einschreiben mit Rückschein ist wohl besser wie eine Mail. Digital ist auch immer ohne weiteren Verlust schnell weitergegeben.

Von Postident war nicht die Rede

nicht von mir, ist aber erwähnt worden

Ich hätte gehofft, dass die sowas wie PostIdent oder so verlangt hätten.

 

[SpamBot]

Passieren kann mir das eh nicht, nutze kein Online Banking o.Ä.

Dann beantragen die Hacker eben schnell online Banking... Die Daten wollen sie sich ja eh zuschicken lassen. Alles andere haben die ja mit dem Ausweis schon. Identifizierung läuft dann online, den Ausweis in die Kamera winken kann man mit Aufwand Faken.

Oftmals eröffnen die einfach neue Konten auf deinen Namen und nutzen diese für Betrug.

 

[Mihawk90]

Einschreiben mit Rückschein ist wohl besser wie eine Mail. Digital ist auch immer ohne weiteren Verlust schnell weitergegeben.

... ???
Hä?
Einschreiben mit Rückschein stellt nur sicher dass das Ding ankommt und gibt dem Absender einen Sendungsnachweis. Daran kann der Empfänger immer noch nicht feststellen wer der tatsächliche Absender ist. fast so wie bei ner E-Mail 🤔

Ergänzung (6. Oktober 2022)

Identifizierung läuft dann online, den Ausweis in die Kamera winken kann man mit Aufwand Faken.

Wenn das bei nem Videoident bei ner Bank durchgeht sollte man sich ersthaft ne neue Bank suchen und/oder das bei der BaFin melden, denn das wäre nicht konform dem was gefordert wird. Beim Videoident müssen die Sicherheitsmerkmale der Ausweise fotografiert werden und die Hologramme kann man mit ner Kopie wohl schlecht abbilden. Da müsste man schon ne echte Ausweisfälschung anfertigen.

Betrugsmaschen im Onlinebanking laufen in der Regel eher so ab dass die Opfer ein Postident unter einem Vorwand machen sollen und die Täter dabei schon einen Antrag bei der Bank gestellt haben, sodass nur noch das Ident fehlt.

 

[BeBur]

Daran kann der Empfänger immer noch nicht feststellen wer der tatsächliche Absender ist.

Mit dem Personalausweis könnte man (afaik) digitale Signaturen erstellen, damit wäre gesichert, dass der Perso auch wirklich im Besitz des Absenders ist. Aber das nutzt / unterstützt so gut wie niemand. Stattdessen hat man lieber diesen DE-Mail Schwachsinn gebaut.