6376382705
Aug 07, 2023, updated at 06:18:40 (UTC)
2062
12
0
PhishingSMS perfektes Timing - kurioser Fall
Hallo Kolleginnen und Kollegen,
ich habe letzte Woche bei einem Kunden eine für mich super kuriose Story durchgemacht:
So: genau das, kommt mir komisch vor. Die Bank wusste von dem Initiallogin, also kann ausgeschlossen werden, dass der Kunde die falsche Site angesurft hatte.
Nun ein paar Fragen, die sich mir auftun:
iPhone wurde stillgelegt, alle Zugänge und PWs angepasst, Zertifikate zurückgezogen. Gerät habe ich leider nicht zur Hand um es zurückzusetzen. Muss ich warten bis der Urlaub des Kunden vorbei ist.
Irgendwie kommt mir das alles "getaktet" und "getimed" vor. Wie krass kann der Zufall sein, dass das Timing der SMS passt.
An sich hätte ich ausgeschlossen, dass das Kundegerät auf irgendeine Art verseucht sei.
Für eine, sogar zwei Sekunden hatte ich ein Gefühl, dass das alles geplant sei, um weitere Versicherungen verticken zu können. Super kurios imho.
Was haltet Ihr von der Geschichte?
Meint Ihr, dass könnte eine bösartige Absicht der Bank sein? Um einfach mehr Versicherungen zu verkloppen?
Meint Ihr, die Bank/das Bankennetzwerk ist ggf. kompromittiert? Die SMS geht mir nicht mehr aus dem Kopf...
Guten Start in die Woche,
beste Grüße
ich habe letzte Woche bei einem Kunden eine für mich super kuriose Story durchgemacht:
- Kunde im Urlaub, will via iPhone und Safari(!) den Kontostand prüfen und erhält Information, das sich via SMS authentifiziert werden muss - SMS kam zeitnah an, jedoch als Phishinglink! Kunde achtete nicht darauf und gab fröhlich seinen Zugang an.
- Bank ruft 8h später an -> Sie hätten im Internet die Bankdaten des Kunden gefunden(?). Auf Nachfrage, wo die Bank diese Daten findet, hieß es nur: "übergeordnete Organisation", es gäbe für mich keine Informationen -> Konten gesperrt und neue Zugangsdaten werden via Post gesendet.
- Bank empfiehlt einen Tag später eine Cyberversicherung.
So: genau das, kommt mir komisch vor. Die Bank wusste von dem Initiallogin, also kann ausgeschlossen werden, dass der Kunde die falsche Site angesurft hatte.
Nun ein paar Fragen, die sich mir auftun:
- Eine Bank scannt also das ganze Internet und Darknet(?) nach evtl. geleakten Kundendaten!? Scheint ja extrem effizient zu sein - fühlt sich aber zweifelhaft an.
- Das Timing jener SMS ist einfach nur phänomenal (beim Schreiben von dem Text hier, kommt eine Frage, die ich dem Kunden stellen muss: kam eine original - also korrekte SMS von der Bank? Erwähnt hatte Er nichts, daher gehe ich davon aus, dass keine SMS kam von der "echten" Bank.)
- Das Anbieten einer Cyberversicherung unmittelbar danach?
iPhone wurde stillgelegt, alle Zugänge und PWs angepasst, Zertifikate zurückgezogen. Gerät habe ich leider nicht zur Hand um es zurückzusetzen. Muss ich warten bis der Urlaub des Kunden vorbei ist.
Irgendwie kommt mir das alles "getaktet" und "getimed" vor. Wie krass kann der Zufall sein, dass das Timing der SMS passt.
An sich hätte ich ausgeschlossen, dass das Kundegerät auf irgendeine Art verseucht sei.
Für eine, sogar zwei Sekunden hatte ich ein Gefühl, dass das alles geplant sei, um weitere Versicherungen verticken zu können. Super kurios imho.
Was haltet Ihr von der Geschichte?
Meint Ihr, dass könnte eine bösartige Absicht der Bank sein? Um einfach mehr Versicherungen zu verkloppen?
Meint Ihr, die Bank/das Bankennetzwerk ist ggf. kompromittiert? Die SMS geht mir nicht mehr aus dem Kopf...
Guten Start in die Woche,
beste Grüße
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 8066783613
Url: https://administrator.de/contentid/8066783613
Printed on: April 27, 2024 at 07:04 o'clock
12 Comments
Latest comment
"Bankdaten im Internet" kann halt alles heißen. Darunter eben auch eine Bezahlung von einem Online-Shop aus.
Was Banken tatsächlich machen ist, dass sie das Nutzerverhalten der Kontoinhaber "überwachen". Damit spüren sie dann "komische" Bankvorfälle auf. In der Regel machen sie das aus Eigenschutz.
Vor rund 25 Jahren erhielt ich z.B. mal einen Anruf von meiner Bank, dass sie ungewöhnliche Vorgänge auf meinem Konto gesehen hätten. Es handelte sich dabei um Kreditkartennutzungen, die nicht von mir stammten. Scheinbar hat da jemand meine Daten gefunden.
Karte gesperrt und Abbuchung gestoppt. Feddich.
In dem von dir genannten Fall kann es sein, dass die Bank (oder halt deren beauftragte Dienstleister) schon die initiale Anfrage aus einem anderen Ort als sonst bemerkt hatte und sich da dann die Vorgänger etwas genauer ansieht.
k.
Was Banken tatsächlich machen ist, dass sie das Nutzerverhalten der Kontoinhaber "überwachen". Damit spüren sie dann "komische" Bankvorfälle auf. In der Regel machen sie das aus Eigenschutz.
Vor rund 25 Jahren erhielt ich z.B. mal einen Anruf von meiner Bank, dass sie ungewöhnliche Vorgänge auf meinem Konto gesehen hätten. Es handelte sich dabei um Kreditkartennutzungen, die nicht von mir stammten. Scheinbar hat da jemand meine Daten gefunden.
Karte gesperrt und Abbuchung gestoppt. Feddich.
In dem von dir genannten Fall kann es sein, dass die Bank (oder halt deren beauftragte Dienstleister) schon die initiale Anfrage aus einem anderen Ort als sonst bemerkt hatte und sich da dann die Vorgänger etwas genauer ansieht.
k.
Hi @kpunkt,
bin ich bei Dir. Es gab aber lt. der Bank kein Loginversuch bzw.: ungewöhnliche Zugänge. Das ist ja genau das, was ich eigenartig finde.
Sprich: es dürfte keinen Indikator gegeben haben, dass Sicherheitssysteme getriggert wurden (bspw. Login aus Ausland).
Viele Grüße
bin ich bei Dir. Es gab aber lt. der Bank kein Loginversuch bzw.: ungewöhnliche Zugänge. Das ist ja genau das, was ich eigenartig finde.
"Bankdaten im Internet"
Laut Bank: Zugangsname + PIN.Sprich: es dürfte keinen Indikator gegeben haben, dass Sicherheitssysteme getriggert wurden (bspw. Login aus Ausland).
Viele Grüße
Vor rund 25 Jahren erhielt ich z.B. mal einen Anruf
Ich warte ja seit mindestens 25 Jahren auf den Anruf von Indien-MS-Callcenter, die meinen PC bereinigen möchten. 
Die Bank wusste von dem Initiallogin, also kann ausgeschlossen werden, dass der Kunde die falsche Site angesurft hatte.
Was meinst du damit? Egal, was die Bank mitbekommt, der Kunde kann immer eine falsche Seite ansurfen.
Ich behaupte dennoch, dass die nicht Zugangsname und PIN gefunden haben, sondern dass damit versucht wurde, sich anzumelden.
Ich traue es den Banken zwar auch zu, dass die proaktiv vorgehen und sich da rumtreiben, wo man solche Listen finden kann, aber das wäre Zufall, dass die fraglichen Daten genau da zu so einer Liste hinzugefügt und dann vertickt wurdenund eben genau da auch noch durchsucht wurden. Aber selbst das wäre möglich. Sind ja jetzt nicht furchtbar teuer, solche Listen und nach BIC ist schnell gescannt.
Denn nebst Zugangsname und PIN sind da in so einem Lead ja auch die IBAN und BIC mit enthalten.
Das für eine mickrige Versicherung zu machen ist noch deutlich unwahrscheinlicher (anders gesagt: das machen die nicht). Aber solche Vorfälle sind eben ein Anlass, der automatisch genutzt wird.
Ah...im Büro wurde ich tatsächlich schon zweinmal aus Indien angerufen. Die wollten aber nicht spielen. Deutschland ist da nicht so attraktiv für die, da Telefongeschäfte hierzulande eher unbeliebt und noch immer ungewöhnlicher sind.
k.
Ich traue es den Banken zwar auch zu, dass die proaktiv vorgehen und sich da rumtreiben, wo man solche Listen finden kann, aber das wäre Zufall, dass die fraglichen Daten genau da zu so einer Liste hinzugefügt und dann vertickt wurdenund eben genau da auch noch durchsucht wurden. Aber selbst das wäre möglich. Sind ja jetzt nicht furchtbar teuer, solche Listen und nach BIC ist schnell gescannt.
Denn nebst Zugangsname und PIN sind da in so einem Lead ja auch die IBAN und BIC mit enthalten.
Das für eine mickrige Versicherung zu machen ist noch deutlich unwahrscheinlicher (anders gesagt: das machen die nicht). Aber solche Vorfälle sind eben ein Anlass, der automatisch genutzt wird.
Ah...im Büro wurde ich tatsächlich schon zweinmal aus Indien angerufen. Die wollten aber nicht spielen. Deutschland ist da nicht so attraktiv für die, da Telefongeschäfte hierzulande eher unbeliebt und noch immer ungewöhnlicher sind.
k.
Hi @NordicMike,
Gruß
Was meinst du damit? Egal, was die Bank weis, der Kunde kann immer eine falsche Seite ansurfen.
Die Bank hatte den Login des Kunden gesehen. Wäre Er vorab auf eine Phishingpage (Buchstabe verdreht, wechselt, falsches Bookmark) reingefallen, dürfte das Login ja nicht der korrekten Bank ersichtlich sein. Daher würde ich ausschließen, dass der Kunde direkt schon auf dem Holzweg unterwegs war.Gruß
dürfte das Login ja nicht der korrekten Bank ersichtlich sein
Doch, weil der Angreifer sich dort gleichzeitig versucht einzuloggen. Deswegen wird bei ordentlicher Banking App immer per INI-Brief verheiratet.Ich behaupte dennoch, dass die nicht Zugangsname und PIN gefunden haben, sondern dass damit versucht wurde, sich anzumelden.
Mhh, kann natürlich gut sein - ich werde da nochmal explizit nachhaken.
Ich traue es den Banken zwar auch zu, dass die proaktiv vorgehen und sich da rumtreiben
Bis zu einem gewissen Grad traue ich denen das auch zu. Aber permanent, immer die aktuellsten Foren zu scannen bzw. überhaupt erstmal zu finden, halte ich auch für nahezu unmöglich.Denn nebst Zugangsname und PIN sind da in so einem Lead ja auch die IBAN und BIC mit enthalten.
Macht Sinn, eigentlich logisch, hatte ich aber nicht auf dem Schirm. Somit wäre das Webscapping ja durchaus machbar. Ob man jedoch immer die richtige "Quelle" anzapft, halte ich für nicht möglich.Das für eine mickrige Versicherung zu machen ist noch deutlich unwahrscheinlicher
Der Satz des Beraters hatte halt echt ein gschmäckle.Ah...im Büro wurde ich tatsächlich schon zweinmal aus Indien angerufen
Beneide Dich. Meine VMs warten schon seit Jahren auf einen Besuch Gruß
Doch, weil der Angreifer sich dort gleichzeitig versucht einzuloggen. Deswegen wird bei ordentlicher Banking App immer per INI-Brief verheiratet.
Ahh, spannend. Okay, aber Login wurde grob korrekt geolokalisiert.
Und wie gesagt, es ging per Safari (warum auch immer ..).
Es handelte sich übrigens um die 90 Tage Frist für einen AnmeldeTAN. (die ja tatsächlich real ist und dem Kunden bekannt, daher blind geklickt).
Danke euch für euren Input.
Gruß
Kunde im Urlaub
Hat er seine normale SIM Karte verwendet oder ist er über dort vorhandenes WLAN rein gegangen?Zitat von @NordicMike:
Kunde im Urlaub
Hat er seine normale SIM Karte verwendet oder ist er über dort vorhandenes WLAN rein gegangen?Da das WLAN vor Ort eine Katastrophe sein soll, wird das sehr sicher über die normale HandySIM gegangen sein.
Gruß
Muss ja eine kleine Bank sein wenn sie nicht mal eine eigene APP hat. Bestimmt wurden sie gehackt.
Muss ja eine kleine Bank sein wenn sie nicht mal eine eigene APP hat. Bestimmt wurden sie gehackt.
Hart sinnfreier Kommentar. Die Bank hat auch eine App - ich kann Dir nur nicht sagen, warum der Kunde sie nicht nutzte.Witzige Nebeninfo: als ich fragte, wieso 2FA nicht aktiv war, hieß es knallhart: "das haben wir erst seit 2 Wochen aktiv". Ich bin nicht 100% sicher, ob der Berater wusste, was ich von Ihm wollte. Sollte die Bank 2FA tatsächlich erst seit einigen Wochen unterstützen und anbieten, wundert mich nichts mehr.
P.s: es handelt sich um eine große und bekannte Bank.
Gruß