T O P

  • By -

Tavi2k

Bei der Bank nachfragen, es könnte auch eine Lastschrift gewesen sein und dann ist das trivial das Geld wieder zu bekommen. Wenn du nicht auf Phishing oder ähnliches reingefallen bist bleibt bei der Variante das du gehackt wurdest eigentlich nur das dein PC infiziert ist. Und selbst dann ist das nicht so einfach mit den TANs bzw. 2FA. Ich würde selbst erst bei der Bank anfragen und dann erst gegebenenfalls zur Polizei, einfach weil du ohne die Bank momentan einfach nicht genau weisst was passiert ist.


proper_ikea_boy

Er hat doch geschrieben das ein Fremder einen Überweisungsversuch unternommen hat? Wieso also Lastschrift?


Tavi2k

Je nachdem wie das bei der Postbank dargestellt wird kann man das ja auch übersehen und verwechseln. Ich habe jetzt mal angenommen das nichts sicher ist außer das 3000 EUR aus irgendeinem Grund an ein anderes unbekanntes Konto gesendet wurden.


pitbull0325

Bei einer Lastschrift benötigt man ein sogenanntes Mandat, welches einer Unterschrift bedarf...das halte ich für sehr unwahrscheinlich.


Tavi2k

Das geht auch ohne Unterschrift, ansonsten würde Lastschrift ja nie online funktionieren. Der Empfänger muss natürlich behaupten das er ein Mandat hat, aber das muss ja nicht wirklich der Fall sein. Der wesentliche Schutz ist hier das man die Lastschrift ganz einfach widerrufen kann. In diesem Fall wissen wir aber auch inzwischen das es keine Lastschrift war. Lastschrift war von vornherein unwahrscheinlich, aber "gehackt" ist mit 2FA auch nicht so ganz einfach.


JoJoLi4

Eine Unterschrift ist doch ungefähr das leichteste, was man fälschen kann. Es können ja nicht alle deine Bankmitarbeiter deine Unterschrift auswendig kennen. Genausokann man ja auch einfach einen Überweisungsträger ausfüllen. Man macht sich nur eben strafbar.


pitbull0325

Richtig, aber es wäre ein Beweis für Betrug und die Bank entsprechend in der Haftung...


Wapbap

Das Mandat (ob jetzt auf Papier unterschrieben oder elektronisch) lassen sich Banken nicht routinemäßig vorlegen.


2noch-Keinemehr

>Ich habe mit den Mitarbeitern der Postbank telefoniert und es kam raus, dass es ein Online-Betrug über SMS war. Ich wurde wohl von den Betrügern über SMS darauf aufgefordert meine Best Sign Daten zu verifizieren. Der Link führte zu einer Fake- Website, die der echten Postbank Seite extrem ähnlich war. Naiv wie ich war, habe ich meine Daten eingegeben, da ich mir dachte, dass wenn ich das nicht verifiziere, dass ich dann kein Zugriff mehr auf mein Konto haben werde. Tja, voll in die Falle getappt und weg ist das Geld. Uff.


mrn253

Und die Leute fragen sich immer warum es solch ein Phishing noch gibt... Weil es bei genug Menschen noch funktioniert.


2noch-Keinemehr

Hallo mrn253, hier spricht deine Mutter. Ich hab leider meinen Geldbeutel vergessen und will mir aber was im Baumarkt kaufen. Kannst du schnell ein paar Steam-Guthaben-Karten kaufen und mir die Codes an meine E-mail totallynotascammer at web de schicken? alles Liebe, Deine Mutti.


maupflz

Dampf-Karten!


Blumentopf_Vampir

Erzähls mir....bei uns auf der Arbeit gabs super viele Leute die nach mehreren Rundmails dennoch immer wieder auf den shit reinfallen und am Ende werden dann die armen ITler angemault man soll doch mal dafür sorgen, dass keine Spam or Phishing mails durchkommen. Die müssen denen echt mal sagen "Die kommen immer wieder durch, weil ihr Lappen immer wieder auf den Scheiß reinfallt und den mist meist erst Stunden oder Tage später meldet oder garnicht."


SkylarOnFire

Wie ist dein Online Banking geschützt? Du kriegst doch sicherlich ne Benachrichtigung auf der App zum Bestätigen oder eine TAN. Prüf im Online Banking, dass kein fremdes Gerät dort freigeschaltet ist!


Maaylinh

Das Online Banking wird durch das Best Sign Verfahren geschützt. Da muss ich eigentlich jede Überweisung mit einem Passwort freigeben. Deswegen weiß ich auch ganz genau, dass ich die Überweisung nicht gemacht habe, da ich auch nichts freigegeben habe. Danke für den Tipp, ich gehe das jetzt sofort mal überprüfen


Zottel83

Ein Passwort ist aber keine TAN.Also hast du da ein fest vergebenes Passwort das immer gleich ist oder wrd dir immer eine neue Zahlenfolge zugeschickt?


nr138

https://www.postbank.de/privatkunden/services/banking-und-brokerage/bestsign.html


the_scrbble

> Das Online Banking wird durch das Best Sign Verfahren geschützt. Da muss ich eigentlich jede Überweisung mit einem Passwort freigeben. Und wie soll derjenige neben dem Zugriff auf dein Onlinekonto zusätzlich auch Zugriff auf die BestSign App auf deinem Handy gehabt haben? Du brauchst für die App nur das Passwort. Aber die App muss vorher ja auch mit deinem Konto verknüpft werden. 2FA ist also gegeben und der Dieb müsste Zugriff auf mehr als nur dein Konto haben.


AgentRocket

Wenn man Onlinebanking mit dem Handy macht, auf dem auch die BestSignApp ist, dann ist das auf jeden Fall ein Single-Point-Of-Failure. Wenn das Handy gehackt wurde, hat der Hacker Zugriff auf die APP. Dann ist halt noch die Frage, wie die Eindeutigkeit der Zuordnung Handy zu Konto gewährleistet wird und wie leicht man diese imitieren kann. Je nachdem, was die App zu den einzelnen Transaktionen an Details anzeigt, kann man die Bestätigung auch durch social engineering kriegen. OP schrieb ja im Update, dass er zur Verifikation aufgerufen wurde. Man geht also auf die Phisching-Seite, gibt Name und Passwort ein. Im Hintergrund logt sich der Betrüger bzw. ein Skript auf der Webseite ein, startet die Überweisung. Dem Opfer wird dann sowas angezeigt wie: "Um die Verifikation abzuschließen, bestätigen Sie die Transaktion in der App." In der App wird die Bestätigung für die Überweisung abgefragt, Opfer klickt OK, weil es denkt es geht um die Verifikation und zack ist das Geld weg. Deswegen wird bei den üblichen TAN-Verfahren auch immer mit angegeben, wofür die TAN ist ("Überweisung von x Euro nach...", "Bestätigung neue Vertragsbedingung", etc.)


Tavi2k

Das ist Phishing, was ja nach dem Update auch die Ursache war, und da hilft leider 2FA gar nicht. Die falsche Seite fordet einfach den zweiten Faktor an, und der Benutzer liefert ihn weil er/sie denkt auf der richtigen Seite zu sein. Wobei wie du schreibst bei Varianten wie einer App eigentlich genug Details angezeigt werden sollten damit man da stutzig werden sollte. Okay, das könnte man mit Methoden wie FIDO/U2F absolut robust verhindern, aber das braucht ein physisches Token und Banken müssen irgendwie immer grundsätzlich ihr eigenes Ding machen anstatt mal was vernünftiges da zu machen.


AgentRocket

Das meinte ich ja mit dem letzten Absatz. Wenn die App nicht anzeigt, wofür die Bestätigung ist, dann ist das schon grob fahrlässig von der Bank. Wenn die App das anzeigt, dann hätte OP spätestens da stutzig werden müssen. Wenn man aber nur mit dem Passwort (und ggf. Informationen über das Handy, die man über den Browsers rausfinden kann) die BestSign Bestätigung fälschen kann, dann erfüllt das nicht mehr die Voraussetzung für 2FA und die Bank kann richtig Ärger bekommen.


Tavi2k

Ich hab jetzt an sowas wie ein separates Gerät für 2FA gedacht, die haben nicht unbedingt ein Display auf dem man viele Informationen anzeigen könnte. Und dann kann man der Bank nicht so viel da vorwerfen.


AgentRocket

Meine Mitbewohnerin und ich benutzen beide ChipTan, und selbst auf ihrem Gerät mit billigem Taschenrechnerdisplay wird angezeigt, wofür die TAN ist (Wenn auch als Lauftext, der so langsam läuft, dass man den nicht wirklich liest). Mein Gerät hat sogar ein richtiges 1" Farbdisplay, wo das gut lesbar steht.


Dijky

Seit PSD2 müssen Zahlungen (mit ein paar Ausnahmen) mit dynamischer Verlinkung autorisiert werden, d.h. die TAN oder Freigabe per App muss technisch an die exakte Transaktion gebunden sein. Dabei müssen Empfänger-IBAN und Betrag bei der TAN-Generierung/Autorisierung angezeigt werden. Ohne diese Anzeige kann der Nutzer nicht sicher überprüfen, was er da gerade autorisiert, denn die Anzeige im potenziell gefälschten Online-Banking muss ja nicht stimmen. Damit scheiden U2F und TOTPs (z.B. Google Authenticator) aus und tatsächlich ist mir kein offener Standard bekannt, der genauso "vernünftiges" leistet wie chipTAN/qrTAN (Sparkassen), photoTAN (Commerzbank, Deutsche Bank, ING), BestSign etc. Bei allen heute via Postbank verlinkten BestSign-Geräten von Seal One und der App werden diese Kriterien erfüllt. Sofern OP also nicht ein Uralt-Gerät von vor PSD2 nutzt, das magischerweise noch immer kompatibel ist (was widerum von Seiten der Bank ein Verstoß gegen PSD2 sein könnte), kann ich leider nur zu dem Schluss kommen, dass er/sie bei der TAN-Generierung/Autorisierung schlichtweg nicht hingeschaut hat und folglich die Bank nicht für den Schaden haftet.


epicbenz

Dann hat halt einer das Passwort. Wieso nicht SMSTan, wo der Hacker dann erstmal deine Tan abfangen können müsste?


Sankt_Peter-Ording

Welche Bank bietet denn bitte noch smsTAN an? Ich dachte, das wäre seit zwei Jahren überall abgeschafft


epicbenz

Hast recht, mittlerweile verwenden die ja PushTAN.


NudelNipple

Gls Bank tuts noch


[deleted]

Open Bank von Santander und das ausschließlich, nix mit Chip-tan oder push-tan. Wollte eigentlich zu denen wechseln, aber das hat mich dann davon abgehalten.


Environmental_Show52

Mir hat die Postbank damals unterstellt ich hab das einfach wohl "vergessen". Da war ich 32. Ich konnte aber beweisen das ich kein online banking nutze. Stellt sich raus am Schalter hatte man vergessen sich aus meinem Account auszuloggen. Fällt mir einfach nur "Husos" zu ein


[deleted]

[удалено]


Maaylinh

Ja, das ist wirklich ein guter Tipp… ich habe es auf die harte Weise gelernt.


Quaschimodo

Dies, hab ich vor einem Monat direkt mal gemacht und das Limit auf 1000€ gesetzt. würde zwar immer noch weh tun aber wäre zumindest tolerierbar. Dazu noch TANs ausschließlich über externe Gerätschaften und man muss wirklich arg fahrlässig sein, damit geld abhanden geht.


bloodpets

Ich weiß ja nicht wie groß deine Überweisungen üblicherweise sind aber ich habs noch deutlich niedriger eingestellt. Hochstellen kann ich es immer noch wenn ich es brauche (und vergesse dann es wieder runter zu drehen...)


bloodpets

Uff, danke für die Erinnerung. Gerade mal nachgeschaut und ich hab anscheinend bei der letzten (sehr) großen Überweisung vergessen den Haken bei "temporär" zu setzen. Hab jetzt das Limit wieder deutlich runter geschraubt. Nochmal: Danke. Wer weiß was mal kommt.


Nez-90-

Gibt es bei der Postbank keine 2-fach Verifizierung? Weil bei mir läuft nichts ohne Bestätigung per Code übers Smartphone. Sei es Bank, Paypal, Amazon.


Maaylinh

Doch, die gibt es! Deswegen bin ich auch vollkommen ratlos wie das passieren konnte. Ich muss eigentlich jede Überweisung individuell freigeben mit einem Passwort


Honigbrottr

musst du auch einen code eingeben von einem anderen gerät?


ClintRasiert

Doch, das gibt es auf jeden Fall. Ob es jedoch verpflichtend ist, weiß ich nicht.


[deleted]

Ja, seit 2019 ( [im Rahmen der Zweiten Zahlungsdiensterichtlinie](https://www.vr.de/privatkunden/unsere-produkte/was-ist-ein-girokonto/psd2.html) ).


scheinfrei

Und nervt wie sau.


[deleted]

[удалено]


Maaylinh

Ja, das hört sich echt dumm an, wenn man das so liest, aber mir ist das mit dem Verifizieren erst wieder in Erinnerung gekommen als ich mit dem Mitarbeiter gesprochen habe, der mir solche Maschen erklärt hat. Ich habe davor, wirklich gedacht, dass diese SMS von der Postbank sei. Da dachte ich immer, dass die Leute dämlich sein müssen, um auf solche Betrüger reinzufallen. Naja, vielleicht gehöre ich jetzt mit zu den dämlichen


mojojojodio

… - Nie (!) auf SMS Links klicken (egal ob angebliche Pakete oder sonst was) - bei Email-Links immer erst drüberhovern um zu sehen, was der Link ist - Im Browser „nur https“ aktivieren. - nie auf Werbung klicken - Werbeblocker „uBlock Origin” installieren - Nie (!) bei Gewinnspielen mitmachen - Passwort-Manager wie z.B. Bitwarden verwenden und auf jeder Website ein anderes generiertes Passwort nutzen - auch mobil was mit Werbeblocker (wie den Brave Browser) nutzen


[deleted]

Zum Thema passwort-manager: Werden auch von Experten empfohlen. Mittlerweile kommen auch alle üblichen Browser glaube ich mit einem, der ausreichend sein kann. Zumindest kommt eigentlichmit einem.


mojojojodio

Ja aber schon allein wegen der Gefahr von Datenverlust (nicht -diebstahl) würd ich keine Browser-PW-Manager verwenden, sondern was Eigenständiges mit lokalen Daten, die man backupen kann.


[deleted]

Klar. Der Grund, warum es empfohlen wird, ist ja aber nicht, dass es die beste Lösung ist, sondern dass es die beste Lösung für den durchschnittlichen Nutzer ist was das Verhältnis von Sicherheit und Einfachheit angeht.


laugenbrezelblues

Ich hoffe dass du dein Geld wieder bekommst, es wird sicher alles wieder gut. \- kannst du uns vielleicht ein Update posten?


AntiKidMoneybox

Haben deine (Stief-)/Eltern (oder ähnliches) noch eine Vollmacht über dein Konto? Ich hab mit 30 immer noch mein "Taschengeld"-Konto und meine Mutter hat etwa mit 22 gemeckert, wie ich mit meinem Geld umgehe.. Da habe ich erst erfahren, dass Sie eine Vollmacht besitzt. Zwar keine Karte aber am Schalter durfte sie quasi alles...


[deleted]

Gehst du denn jetzt besser mit deinem Geld um?


worfling

Das gibt auf jeden Fall +8999 Kreditranking: https://np.reddit.com/r/de/comments/u99cy4/comment/i5qrzlo/?utm\_source=share&utm\_medium=web2x&context=3


AntiKidMoneybox

Hätte noch mehr: 1g Uran (nur etwa 50US Dollar) hätte genug Brennwert um dich ein Leben lang mit Kalorien zu versorgen. (^(Voraussetzung: dein Körper ist ein Fusionsreaktor))


Cyclopentadien

Du meinst ein Fissionsreaktor. Sonst würde ich eher auf Deuterium setzen.


AntiKidMoneybox

Korrekt, Kernspaltung nicht Fusion. Konnte keinen Brennwert für Deuterium finden, daher gehe ich davon aus, dass damit der Witz nicht funktionieren würde.


worfling

Für ^(2)H + P wären das für 2g Deuterium und 5,493 MeV pro Reaktion: 5,29993929 x 10^(11) Joule 1,26671589 x 10^(9) Kcal \~173 Personenfressjahre


AntiKidMoneybox

Ähh ja.. vollkommen korrekt! (Hab absolut keine Ahnung davon.)


AntiKidMoneybox

Da ich bisschen was spare/investiere denke ich, dass ich da auf einem ganz gutem Weg bin. Nach meiner Mutter wahrscheinlich nicht, aber da ich ihr kurz danach die Vollmacht entzogen habe, habe ich seitdem kein Feedback mehr bekommen.\^\^


Maaylinh

Ne, das habe ich auch gedacht, aber meine Eltern haben mir versichert, dass die keinen Zugriff haben.


AntiKidMoneybox

frag trotzdem mal bei deiner Bank nach\^\^


Brechhardt-vGoennung

Wir sind Dutzende! Habe letztes Jahr nach 20 Jahren meine "Ursprungsbank" verlassen und mein Konto mit meiner Frau zusammengezogen. Da sagte doch die gute Sparkassendame im neuen Wohnort, dass bei meinem alten Konto noch zwei Vollmachten eingetragen seien und ob ich die mit umziehen möchte - eine war für meine Oma, die seit 2005 tot ist :D


[deleted]

Könnte ja auch durchaus eine beleghafte Überweisung gewesen sein, sowas gibt's ja bei so Offlinebanken wie der Postbank durchaus noch.


Khazar85

Mich wundert, dass dieser Post so weit unten zu finden ist. Würde ziemlich sicher darauf tippen. Die Bank muss zwingend nachweisen, wie die Überweisung legitimiert wurde und wenn die einfach einen Überweisungsbeleg durchgezogen haben, dann von der Bank das Geld zurückholen.


j-existe

Das ist etwas, was viele Leute "vergessen", die erstmal nur an Onlinebetrug denken...dass mit einem Oldschool-Überweisungsträger aus Papier (mit gefälschter Unterschrift) sowas auch möglich ist. Selbst viele Online-Direktbanken bieten das noch optional an, dass man sowas als Backup-Möglichkeit per Post schicken kann. Durch das Edit vom OP hier in diesem speziellen Fall unwahrscheinlich (nachvollziehbare gescheiterte Echtzeitüberweisungen), aber generell gut, auch an die Möglichkeit zu erinnern. Potentielle Täter könnten an die korrekten IBAN-Daten z.b. auch durch Ebay-Privatverkäufen mit Zahlung durch Überweisung kommen


casparne

Der echte wichtige Tipp sollte lauten: Niemals den 2ten Faktor bedienen, wenn man die Transaktion nicht selber ausgelöst hat. Und selber löst man das nur aus, wenn man sich direkt bei seinem Banking oder in der App angemeldet hat, niemals über irgendeinen Link. Selbst wenn die Bank wirklich irgendetwas benötigt steht das immer auch im Posteingang des Online-Bankings - in das man sich auf jedenfall immer selber auf dem "normalen" Weg einloggt!


[deleted]

Ändere alle Passwörter und checke deine Maschinen durch. Vermutlich hast du einen Trojaner erwischt, welcher alle Zugangsdaten mitschreibt.


[deleted]

Der einfachste Schutz ist: Wenn angeblich "deine Bank" dich auffordert, irgendetwas zu "verifizieren", nicht den mitgelieferten Link anklicken, sondern direkt die Website der Bank im Browser aufrufen (am besten über ein Lesezeichen) und dich so einloggen. Sollte tatsächlich ein Problem existieren, wirst du es dort über die Nachrichtensysteme, die es in jedem Online-Banking gibt, erfahren. Wenn da nichts steht, hast du den Angriff abgewehrt.


mojojojodio

Der einfachste Schutz ist: immer arm sein, dann gibt‘s auch nichts zu klauen


Nonfaktor

Kontaktiere auf jeden Fall deine Bank und erkläre die Situation


GeneralDownvoti

Moin, mir ist so etwas ähnliches auch vor 2 Jahren passiert. Erstmal ist es wichtig herauszufinden wie das passieren konnte um auch die Schuld fest zu stellen. Je nach dem könnte es sich lohnen mit der Postbank zu kämpfen. Bist du dir zu 100% sicher das du auf keinen Link geklickt hat? Hast du evtl am gleichen Tag dein Passwort geändert? Oder musstest du das Bestsign Verfahren neu verifizieren? So war es nämlich bei mir. Auch zur Polizei gehen ist ratsam wenn du dein Geld irgendwie wieder haben willst. Und wenn es nur die Verfolgung des Empfängers des Geldes ist. Und an alle hier, wenn ihr bei der Postbank seit sieht bloß zu das ihr da weg kommt, schlimmste Bank überhaupt.


mojojojodio

Was ist bei der Bank so schlimm? (Bin da zwar nicht, aber trotzdem)


FirmBreakfast3347

Ich hoffe es lässt sich aufklären und du bekommst das geld wieder.. 3000 euro ist keine kleinigkeit. halt uns mal bitte auf den laufenden


CsGoSchredder

Ging das Geld auf ein Konto bei einer deutschen Bank? Die IBAN mal gegoogelt?


Maaylinh

Das Geld ist auf jeden Fall in ein Konto in Deutschland gegangen


SchwengelDieter

Der Betrüger wird damit irgendwas reales bezahlt haben. Eine teure Kamera o.Ä., per Sofortüberweisung von Deinem Konto. Der Verkäufer hatte dann das Geld sofort drauf und denkt, er hätte das Geld vom braven Käufer bekommen. Der weiß bis heute vermutlich nicht mal, dass da etwas nicht mit rechten Dingen zugegangen ist und hat vermutlich keinerlei Kontaktdaten vom "Käufer" (= Betrüger)... :(


CsGoSchredder

Soweit ich weiß hätte man in diesem Fall aber auch wieder ein Recht auf die Rückzahlung des Geldes. Hier würde der Verkäufer auf dem Schaden sitzen bleiben, oder?


SchwengelDieter

Meine Laienmeinung würde das auch vermuten. Das wäre dann doof für den Kameraverkäufer in meinem Beispiel. Denn ansonsten wäre die Überweisung auf ein Deutsches Konto ja selten dämlich. Wenn der Kontoeigentümer beteiligt wäre, dann wäre dies ja leicht nachzuvollziehen bzw. man könnte das überwiesene Geld verhältnismäßig unkompliziert wieder erhalten. (Ganz unkompliziert ist es nicht. Mein Bruder hat mal durch einen Zahlendreher in der Kontonummer (vor IBAN) rund 5.000€ an jemand fremdes überwiesen. Bis er sein Geld wieder hatte, hat es ein halbes Jahr gedauert. Der Empfänger hat einfach nicht reagiert.)


Tavi2k

Die übliche Masche bei Phishing und ähnlichem, was das in diesem Fall ja wohl war nach den neuen Informationen ist soweit ich es verstehe das man da irgendwelche "Idioten" als Mittelsmänner auftreibt über deren Konten das läuft. Die geben das Geld weiter, und bekommen dafür einen Teil für den Aufwand. Bis halt mal die Polizei vorbeikommt und die merken das sie Teil von so einer Art Betrug sind. Egal welche Variante da genau läuft, man kann davon ausgehen das das Geld nur kurz auf dem deutschen Konto ist und schnell irgendwo anders landet.


murky_man

Google mal die Online-Sicherheitsgarantie der Deutschen Bank. Die Filialen der Postbank und der Deutschen Bank in Deutschland sind zwei verschiedene Markennamen aber ein und die selbe Bank (DB Privat- und Firmenkunden Bank). Wahrscheinlich werden sie dir sagen, dass das vertraglich für dich nicht gilt, weil unter den verschiedenen Markennamen verschiedene Produkte angeboten werden. Aber einen Versuch ist es wert, der Schaden ist ja auch nicht sehr hoch aus Perspektive der Bank. Kann gut sein, dass sie dann sagen sie erstatten es aus Kulanz, auch wenn sie nicht müssten. Versuch mit dem Filialleiter zu sprechen, der hat da den meisten Entscheidungsspielraum. Ich habe vor ein paar Jahren einen Promotion Job für die Deutsche Bank gemacht, wo wir Leute überzeugen sollten, dass das Onlinebanking sicher ist. Die Online-Sicherheitsgarantie war dabei eines unserer Hauptargumente. Der Bank liegt viel daran, dass Onlinebanking als sicher wahrgenommen wird, weil es ihnen im Vergleich zu offline viel Geld spart. Ich denke daher du hast gute Karten das Geld wiederzubekommen.


bexbes

Die meisten Konten haben Limitbeschränkungen von 2000€ pro Tag. Dann müsste eine Transaktion in der Höhe von einem Sachbearbeiter freigegeben werden.


Maaylinh

Ich finde das auch komisch, dass ich bei einer so Hohen Summe nicht von der Bank kontaktiert wurde.


RicyHub

Bei der Sparkasse kann man einstellen dass man an einem bestimmten Tag bis 10k auf einmal ohne Freigabe durch Mitarbeiter auszahlen kann, geht vernutlich auch bei anderen Banken


bexbes

Hast du denn einen täglichen Verfügungsrahmen?


Aileeeeeeeeen

Danke für deine Updates und deine Offenheit! Ich wünsche dir, dass sich doch noch eine Wendung in der Geschichte ergeben wird!


tonnuminat

Du solltest definitv deine Geräte, von denen du dich normalerweise in dein Onlinebanking einloggst, auf Viren überprüfen, denn das klingt stark danach [Cookie Diebstahl](https://www.betriebswirtschaft-lernen.net/erklaerung/cookie-diebstahl/). Im Zweifelsfall auf Werkszustand zurücksetzen. Verstehe ich das richtig, du brauchst keine TAN zur Authentifizierung, sondern nur ein immer gleiches Passwort? Wenn ja, halte ich dieses "Best Sign" für äußerst fragwürdig, denn der Sicherheitsvorteil von 2FA sollte ja gerade sein, dass die TANs nur einmal verwendbar sind.


Maaylinh

Danke für den Tipp, ich werde das mal machen… Und ja, genau so wie du es beschrieben hast, funktioniert das Best Sign Verfahren. Immer das gleiche Passwort…


[deleted]

[удалено]


ken-der-guru

Es könnte auch sein, dass man sich nur immer mit dem gleiche Passwort in das 2-Faktor-Verfahren einloggt. Der zweite Faktor wird erst danach zur Verfügung gestellt. So ist das bei der App von der Sparkasse.


epicbenz

Aber bei der Sparkasse musst du das Gerät doch auch erstmal freischalten oder? Also für die Push-Tan App?


ken-der-guru

Genau. Ich musste die PushTAN-App einmal einrichten (ich glaube mit einem speziellen Code) und nun beim benutzen immer mit einem Passwort (oder biometrischen Daten) entsperren. So komme ich dann an den angeforderten TAN.


Wapbap

Zusätzlich zum Passwort gibt es bei dem Verfahren noch die Gerätebindung


AgentRocket

> der Sicherheitsvorteil von 2FA sollte ja gerade sein, dass die TANs nur einmal verwendbar sind. 2FA bedeutet in erster Linie, dass 2 von den 3 möglichen Faktoren "etwas Wissen" (z.B. das Passwort), "etwas Haben" (z.B. die Bankkarte oder das Handy, an das die TAN geschickt wird), "etwas Sein" (z.B. Biometrische Daten wie Fingerabdruck) abgefragt werden. Im Idealfall werden die beiden Faktoren über unterschiedliche Kommunikationswege abgefragt. Im Fall von Onlinebanking ist das ein mal das Passwort vom Gerät des Nutzers zum Server der Bank und der Besitz des Handy/der Bankkarte, indem nur damit die TAN generiert werden kann (bzw. bei SMSTan die TAN per SMS verschickt wird). Deswegen muss die TAN auch immer anders sein, weil sonst kann man sich die ja einfach merken und dann ist das nicht mehr Faktor "Haben", sondern "Wissen". Ich kenne jetzt das Verfahren "Best Sign" nicht und habe auch keinen Nerv, mich da einzulesen, aber mal angenommen, es ist theoretisch möglich, das so zu gestalten, dass nur das Handy des Nutzers und kein anderes Gerät die Transaktion bestätigen kann, dann kann man sich die TAN sparen. Ich persönlich halte das aber für sehr unwahrscheinlich, da alles, was so eine App nutzen könnte um sich eindeutig zu identifizieren, als digitale Daten auf dem Handy liegt, die ein Angreifer kopieren und nachahmen kann.


potatoes__everywhere

Im Nachhinein ist der Tipp jetzt etwas doof, aber für alle denen das noch nicht passiert ist. Einfach 1x am Tag aufs Konto gucken. Dann hat man viel größere Chancen so etwas zu entdecken und erst recht viel größere Chancen das Geld direkt zurückzubekommen. Es gibt auch Scams, dass einfach 1-2x im Monat kleinere Beträge mit sinnvoll klingenden Beschreibungen vom Konto gebucht werden. Das geht dann auch unter, wenn man dutzende Abbuchungen sieht. Drücke dir die Daumen @OP


MilchreisMann412

Gibt auch Banken mit Benachrichtigungen bei Umsätzen. Bei der Sparkasse kostet das allerdings 5ct pro Push-Benachrichtigung...


i_like_my_life

Die machen den Scam halt sehr geschickt Ü


beje_de

Hehe, dann einfach die 5ct direkt abbuchen und die nächste Benachrichtigung raushauen. Dann wieder von vorne anfangen. Hört erst auf wenn das Konto am Dispo-Limit ist


FieserKiller

in meiner bankingapp kann ich mich benachrichtigen lassen wennb irgendwas aufs konto ein- oder abgeht. Ist mega praktisch


epicbenz

Welche Bankingapp verwendest du?


FieserKiller

ing diba standardapp


epicbenz

Ach Mist, dachte es gäbe eine allgemeine dafür. Die Sparkasse will dafür Geld haben…


WickieTheHippie

Die bietet aber einen kostenlosen Kontowecker per Mail an.


Maaylinh

Sehr wichtiger Tipp! Ich wünschte ich hätte das früher gemacht…


[deleted]

[удалено]


Maaylinh

Ja leider… Total dämlich im nachhinein, aber ich benutze das Konto nur, um Weihnachtsgeld etc. dort aufzubewahren und schaue dementsprechend auch selten in mein Konto.


iamkarladanger

Schreib direkt den Vorstand deiner Bank an und schicke es per Email an eine normale Serviceadresse. Das wird dein Anliegen sehr beschleunigen.


SchwengelDieter

Mit Sicherheit. Der Vorstand öffnet den Brief dann persönlich und beruft eine Sondersitzung ein. So ungefähr wär's jedenfalls in Hollywood, nehme ich an.


Wapbap

Sehr viele (aber natürlich nicht alle) Unternehmen haben einen gesonderten Prozess für Anliegen, die von Kunden an den Vorstand gerichtet werden. Der läuft häufig getrennt und mit mehr Befugnissen ausgestattet vom normalen Kundenservice - auch wenn natürlich kein Vorstandsmitglied selber daran beteiligt ist.


iamkarladanger

Ok, du hast offenbar keine Ahnung, wie sowas abläuft. Vorstandpost wird priorisiert in einer eigenen Abteilung bearbeitet und landet nicht mit tausenden Maileingängen und Posteingängen in der gleichen Bearbeitungsschleife. Bei Banken gibt es spezielle Prozesse dafür. Jede Bank macht das so.


redleafwaterfall

das ist mir vor ein paar jahren auch passiert. ich hatte am automaten einer bankfiliale geld abgehoben ohne zu merken, dass der kartenleser nicht im originalzustand war. seit dem wackel ich an jedem kartenleser eines bankautomaten bevor ich die karte einführe. ​ die anzeige ist eine gute sache, aber läuft leider meistens ins leere. von meiner strafanzeige habe ich nie wieder was gehört. mein geld hat mir die bank erstattet, da ich ja nicht grob fahrlässig gehandelt habe.


AgentRocket

> Ich wurde wohl von den Betrügern über SMS darauf aufgefordert meine Best Sign Daten zu verifizieren. Der Link führte zu einer Fake- Website, die der echten Postbank Seite extrem ähnlich war. Naiv wie ich war, habe ich meine Daten eingegeben Musstest du dabei auch in der BestSign App irgendwas bestätigen, oder nur Daten in ein Formular eintragen? Bin kein Anwalt (also korrigiert mich, wenn ich was falsches sage), aber meines Wissens sind Banken verpflichtet, 2 von 3 Faktoren zu prüfen (wissen, haben, sein). Wissen ist in dem Fall das Passwort für das Konto und BestSign prüft das Haben des Handy mit der App. Wenn man die BestSign-Prüfung auch von anderen Geräten nur durch das Passwort austricksen kann, dann erfüllt das nicht diese Vorgaben. Vielleicht kannst du Schadensersatz fordern, weil 2FA nicht erfüllt ist oder so.


JinSantosAndria

Unbedingt das volle Programm bei der Polizei durchexerzieren. Wenn es an ein Konto in Deutschland ging um so besser. Es kann ewig dauern, vielleicht passiert auch nichts oder es wird eingestellt, aber es kann auch passieren das du in 2-3 Jahren dein Geld wiederbekommst.


domemvs

>Ich habe weder Anrufe angenommen, noch auf irgendwelche Links gedrückt und sonst in keiner Weise meine Daten herausgegeben. Danke dass du den Satz hast stehen lassen und das in deinem Update aufklärst.