Bankkonten leergeräumt: Telekom gab Ersatz-SIMs an Kriminelle aus

Eine Reihe von Mobilfunkkunden der Deutschen Telekom war in den letzten Tagen auf einmal hohe Geldbeträge los. In Dutzenden Fällen sollen sich Betrüger Zugang zu den Online-Banking-Accounts und zu Mobilgeräten verschafft haben, was ihnen letztlich ... mehr... Logo, Deutsche Telekom, Telekom, Flagge, Telekommunikationsunternehmen Bildquelle: Telekom Logo, Deutsche Telekom, Telekom, Isp Logo, Deutsche Telekom, Telekom, Isp Deutsche Telekom

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
Vielleicht überweisen mir die Täter ja noch was aus mitleid, wenn die mein Konto sehen O.o
 
@CptCattivo: Wieviel brauchste denn? :-P
 
@Schweini1: Was kostet 1 Jahr Netflix und Pizza :D
 
@CptCattivo: ne Teilzeitstelle bei McDonalds... :p
 
@CptCattivo: Ein neues Sofa, wegen durchgesessen und völlig mit Pizzabestandteilen versaut ? :D
 
@CptCattivo: 6325 € etwa, wenn man davon ausgeht, dass du jeden Tag eine Familienpizza für 17 € isst und Netflix 10€ mtl. kostet :P Hahnewasser muss dann wohl reichen :D
 
@CptCattivo: Müssen sie erst noch was draufbuchen damits was zu klauen gibt? :D
 
@Aerith: Leider ja *cries in spanish*
 
Schon heftig.Genau aus solchen Grunde habe ich mir die Android Favo-Bank gekauft.Die Push-Nachrichten kann man bis auf eine Minute genau einstellen, wann abgebucht oder zugebucht wird.Eine zeit lang habe ich Banking A4 genutzt, hat aber keine Push-Nachrichten und war daher für mich nutzlos.

Siehe: http://bank.favo.org/
 
@Fanta2204: oder einfach kein Mobile-TAN verwenden. Lieber mittels HBCI-Chipkarte oder Sm@rt-TAN plus, ist sicherer.
 
@Zeussi: HBCI ist keinen Deut sicherer, wenn auf dem Computer schon Schadsoftware vorhanden ist (wie oben im Artikel beschrieben). Ist dies der Fall kann die jeweilige Software manipuliert werden und der Vorteil von HBCI ist verpufft.
 
@Fallen][Angel: Wenn auf dem Computer Schadsoftware drauf ist, hilft dir eigentlich kein Sicherheitsmechanismus mehr...
 
@Fallen][Angel: Soweit ich weiß ist kein Fall bekannt, der es geschafft hätte, eine Banking-Software zu manipulieren. Das ist eine kompilierte, sicherheitskritische Software und keine Wald-und-Wiesen Web-Anwendung. Auch findet die Transaktion im Secoder, also im Kartenlesegerät statt. Diese sind nur theoretisch knackbar und vom BSI versiegelt. Das oben beschriebene spioniert Informationen aus (lesend). Das reicht aber nicht, um ein HBCI-Chipkarten-Verfahren zu knacken (Banking-Software oder Kartenlesegerät manipulieren). Ich empfehle die Info-Seite des BSI dazu, dort wird es klar erleutert, dass Mobile-TAN nicht sicher ist (zeigt sich ja auch anhand der Meldungen von Vorfällen, hier Telekom, in der Vergangenheit bei Vodafone, usw.), im Gegensatz zu den anderen beiden Verfahren.
 
@Zeussi: Ich bin Zeussis Meinung. Ich nutze deswegen auch nur Onlinebanking via HBCI.
Man hat eine separate Software, einen Karteleser (ich mit eingenem Keypad), eine HBCI Karte und eine 5 Stellige Pin.
Das sind viele Bereiche, die Geknackt werden müssen. Der Datenstrom zwischen Anwendung und KArtenleser ist verschlüsselt, die Onlinebankingdaten in einem verschlüsselten Container und die Verbindung auch wieder verschlüsselt.
Knackbar ist zwar alles, aber HBCI ist auf jedemfall besser als per Website.
Und Onlinebanking Tools auf meinem Smartphone ist eh der overkill.
Am geilsten sind die Leute, die keine Loginsperre haben, SMSTan und die Onlinebanking software drauf. Handy weg, alles weg. Top.

Und man sollte sich bei Banking Apps mal die AGBs durchlesen. Da wird jede Verantwortung auf den Anwender abgeschoben.
Und größtenteils greifen die bisherigen Regulierungen bei Schadensersatz nicht bei Handyapps.
D.h. die Bank haftet nicht mehr, wenn etwas passiert.
Daher meine Meinung: Bloß Hände weg von Banking Apps, egal welcher Art!
 
@Zeussi:

Genau so ist es! Ganz früher Anfang der 90er habe ich mich via Telefon-Verbindung auf dem Bankserver eingeloggt - da gab es keine Mithörmöglichkeit. Ende der 90er kam das Browser-gestützte Banking auf, das ich ablehnte. Seit das HBCI-Verfahren existiert, arbeite ich damit - ein Keylogger o. Ä. hat da kaum eine Chance, da meine Chipkarte im Reiner-SCT steckt und nur von dort die 5er Pin eingegeben wird.
Wer Online-Banking über den Webbrowser oder sogar übers Smartphone macht, hat selber Schuld (der hat sehr wahrscheinlich auch nichts zu verbergen! :D).
 
@Zeussi: Hab mir vor kurzen einen Tan Nummerngenerator für 10€ gekauft. Das Verfahren ist zugegebenerweise sehr umständlich aber man hat keine Tanlisten herumliegen und der Generator ist nutzlos solange keine EC Karte dabei ist. MTan habe ich abgelehnt als die Zwangsumstellung darauf anstand. Die größte Sicherheitslücke ist leider dennoch Schadsoftware auf dem PC oder Handy.
 
@Fanta2204: lieber die gute alte Tan Liste
 
@rafterman: Solange du die auch wirklich die PINS nur digital einträgst, wenn Sie benötigt werden und nciht alle irgendwo am PC digital ablegst.
 
Aber was kann denn nu die Bank dafür das hier der Kontoinhaber schlicht seinen pc/handy/was auch immer er nutzt zum online-banking nicht ordentlich gesichter hat?!? phishing-mails angeklickt weil er auf das zig-millionen-erbe aus ostafrika gehofft hat?!?
die bank muss imho kein geld erstatten!
 
@HangMan: zum glück ist dein imho kein pifferling wert.
 
@HangMan: Was kann der Kunde dafür wenn die Telekom unberechtig neue SIM-Karten ausgibt obwohl der echte Kunde sowas nie beauftrag hat.
 
@MarcelP: Naja, dass hier die Telekom die größte Schuld trägt, ist klar, aber die Bank ist hier in der Kette auch meiner Meinung nach eher unschuldig. Aber natürlich super, wenn die Kunden trotzdem ihr Geld wieder bekommen.
 
@FatEric: die banken holen sich das sicherlich bei der telekom wieder.
 
@MarcelP: Wie soll das gehen? Bank und T-Com haben kein Geschaeftsverhaeltnis. Da existiert kein Vertrag, also kann kein Schadenersatz verlangt werden.
 
@JanKrohn: Richtig aber die Telekom hat den Schaden zu verantworten. Wenn die Sicherheitsmechanismen korrekt gelaufen wären hätte wäre die SIM-Karte niemals anderweitig rum gegangen.
Wobei mich persönlich im nachhinein überlegt wundert, wie das sowieso passieren konnte ohne das es der Kunde merkt. Ich meine es wird ja mit Aufschaltung der Nummer auf die neue SIM-Karte die alte gesperrt (zumindest bei PrePaid ist das so). Wenn ich sehe das meine Karte plötzlich nicht mehr gültig ist ruf ich doch sofort beim Kundenservice an.
 
@JanKrohn: Blödsinn. Man muss doch kein Vertragsverhältnis haben, um Schadensersatz einzuklagen. Wenn du mein Auto kaputt haust und ich dich erwische und dich verklage, bekomme ich auch Schadensersatz obwohl wir kein Vertragsverhältnis haben.
 
@MarcelP: also bei verträgen gibt es ja die Multi sim und da merkst du nix leider. deswegen konnten die auch fleissig sim karten holen.
 
@Karmageddon: Wenn ich Dir widerrechtlich das Auto kaputthaue, erfolgt der Schadenersatzanspruch aus Paragraph soundso im BGB. Das gilt zwischen zwei Firmen nicht.
 
Und deswegen: optical tan via TAN generator. Das ist ne kleine Kiste die bei mir Zuhause liegt und nicht mit meinem telephon verknüpft. Sicher umständlicher und unterwegs nicht nutzbar, aber sicherheit ist idr mit Aufwand verbunden.
 
@Aerith: benutze ich auch und wenn es echt mal so nötig ist, das man jemand geld schicken muss und man den generator nicht dabei hat, zahlt man eben extra fürs einmalige telefonbanking oder benutzt paypal. normalerweise wird eh alles eingezogen, weiß gar nicht wann ich die letzte übeweisung manuell getätigt habe.
 
Wie hieß es nach dem letzten großen SIM-Karten-Betrug vor genau zwei Jahren nochmal? Ach ja... "mTAN-Betrug: Telekom verschärft Sicherheitsvorkehrungen": https://www.telekom.com/verantwortung/sicherheit/news/205918
 
Irgendwas stimmt an dem Artikeln nicht. Erstens schickt T-Mobile keine aktivierten Ersatzkarten mehr raus (okay, das ist die kleinste Hürde). Zweitens muss man als Gauner das "Glück haben, dass der rechtmäißge Inhaber auch noch genau mit dieser Nummer Onlinebanking betreibt. Dann muss man von diesem auch noch die E-Mail-Adresse haben und seinen PC infizieren, um an die Login-Daten zu kommen. Drittens: Wenn die Gauner Ersatzkarten für "verlorene" SIM ordert, werden di alten sofort deaktiviert. Das ist keinem aufgefallen?
Die im Artikeln in der Süddeutschen erwähnten Sicherheitsmaßnahmen der Telekom (Ausweis, Passwort) wird schon seit langem praktiziert. Mir scheint, dass man hier einen Artikel von vor 2-3 Jahren herausgekramt hat. Sogar der Wortlaut kommt mir irgendwie bekannt vor, auch das mit den 30.000 Euro bei einem Fall.

BTW, wenn mTAN, dann mit einem extra Handy, dessen Nummer keiner kennt, mit einer Prepaidlkarte und featurephone.
 
@iPeople: "BTW, wenn mTAN, dann mit einem extra Handy, dessen Nummer keiner kennt, mit einer Prepaidlkarte und featurephone." - und wer macht sowas? Außer ein paar Spezies mit Aluhut niemand ;)
 
@dodnet: Ich mache das, auch ohne Alu-Hut.
 
@iPeople: Du hast einen unsichtbaren :-P
 
@iPeople: Sicher, ohne Alu-Hut xD
 
Wie gut, dass ich SMS TAN nie genutzt habe und stattdessen eine HBCI Karte habe..
 
@ConiKost: noch umständlicher als ein tan generator, ständig ein gerät am rechner, was man so gut wie nie braucht und mitnehmen wird man es wohl auch nie. mal abgesehen von dem preis. ungefähr 6-7 mal so teuer wie ein tan generator.
aber warum nicht :D solange man sich damit besser fühlt
 
@3PacSon: Dir kann man nicht mehr helfen. Dir kann man nur hoffen das du irgendwann mal so ein schaden erleidest und ohne danach geholfen zu werden. So etwas zu verharmlosen grenzt schon an einer Straftat.
 
@Menschenhasser: sonst geht es dir gut? Chip tan Geräte sind sicher genug. Warum also ein noch komplizierteres bzw größeres Gerät das 7 mal soviel kostet? Weil man denkt man braucht es, was aber nicht der Fall ist. Ob ich nun 5 oder 5000 auf dem Konto habe ist dabei doch wurst, solange Chip tan sicher ist
 
@3PacSon: Du glaubst es wäre sicher aber wenn es um sein Geld geht kann es nicht sicher genug sein. Lieber etwas mehr dafür machen als nachher zu heulen wenn das Geld weg ist.
 
@3PacSon: irgendwie scheinst Du den Sinn vom Onlinebanking nicht verstanden zu haben oder hast einfach nur ein paar Euro zur Verfügung. Die meisten nutzen noch extra dafür einen abgestellten PC oder eine Livelinuxdvd, damit überhaupt nichts dazwischen funkt.
 
@Yepyep: die meisten? Mit Sicherheit... Lol
 
@3PacSon: zumindest diejenigen die auf ihr Geld achten, wer natürlich nur mal 1000 Euro verschiebt wird sich die Arbeit nicht machen.
 
@Yepyep: wasn quatsch. lol peinlich
 
@3PacSon: du glücklicher, wenn man kein Geld hat, kann man auch keins verlieren. Andere müssen schon darauf achten.
 
@Yepyep: jaja wir haben es nun verstanden, das du dich als "reicher" hinstellen willst. :D das macht es nicht besser. peinlich bleibt peinlich
 
@3PacSon: ich glaube nicht, dass du auch nur annähernd eine Vorstellung davon hast was es heißt vermögend zu sein. Wer sich Deine Beiträge über einen kleinen Zeitraum antut, bemerkt wer peinlich ist. Aber wenn Du irgendwann mal arbeiten gehst wirst Du vielleicht auch noch sicheres Banking schätzen.
 
@Yepyep: ich musste lachen.
 
@3PacSon: ja, ich finde die Unterhaltung mit Dir auch sehr interessant
 
ja - jetzt schreien der pöbel, aka nicht-bankmitarbeiter, wieder blöd nach cardtans, bürgerkarten, generatorapps. die schwachstelle ist nicht mtan sondern ein mobilfunker der auf kundendaten scheißt. und leute, die zu blöd sind brain.exe zu verwenden und den pc sauber zu halten.
 
"mTAN geknackt" meint man überall zu lesen.

Ist aber völlig falsch wiedergegeben. Die Teilnehmer haben komplett versagt. Nutzer UND Telekom.
Nutzer, die sich ihre Account-Daten fürs Online-Banking ausspähen lassen, handeln bereits fahrlässig.
Natürlich hat ein Angreifer, der die Nutzung Web-Portals mit Spyware ausspäht dann schon die halbe Miete.

Da muss im schlimmsten Fall eben ein (abgeschotteter) Rechner (mit Linux?) her, der NUR fürs Online-Banking genutzt wird. Aber das ist der Masse der Nutzer kaum begreiflich zu machen.

Das Versagen der Telekom ist dennoch der größere Skandal. Es gab vor Jahren bereits einen prominenten Fall aus Australien. Dort haben die Angreifer mit der selben simplen Masche die TAN's auf ihre SIM-Karten umleiten lassen. Auch dort glaubte das Mobilfunk-Unternehmen blind den Anrufern.
Mir unbegreiflich, dass sowas nicht der Schriftform bedarf.
Auch wenn es für den Kunden oft bequem erscheinen mag, dass man so einfach neue SIM-Karten registrieren lassen kann: seit mit Smartphones eben auch "wichtige", heikle Dinge gemacht werden können, geht das nunmal nicht mehr so einfach - darf es jedenfalls nicht.

Da das bereits hinlänglich bekannt war, war es grob fahrlässig von der Telekom.
Und daher sehe ich auch die Hauptverantwortung bei denen.

Das mTAN-Verfahren ist jedenfalls nicht unsicherer als es je war.
Diejenigen, die lieber zur Sparkasse fahren und ihre Überweisungsscheine abliefern, sollen das gerne tun.
"Sicherer" ist das auch nicht - für mich nur (zeit-)aufwändiger. Ich nutze meine Freizeit lieber für Ausflüge in die Natur als zur Bank.
Kommentar abgeben Netiquette beachten!

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles