Private Bank fordert Benutzernamen und Passwort an, um die Identität zu überprüfen, bevor Geld an das Konto gesendet wird

Ich wurde gebeten, meinen Benutzernamen und mein Passwort anzugeben, damit mein Verlobter seine Bank, Macoto, meine Identität überprüfen lassen kann, bevor sie das Geld überweist. Klingt das richtig? Ich denke, wenn er das Okay gibt und sie meine Kontonummer und Tracking-Nummer haben, sollte das ausreichen? Hat jemand schon einmal von dieser Praxis gehört?

" Ich wurde nach meinem Benutzernamen und Passwort gefragt " Von wem nach Ihrem Passwort gefragt?
" Klingt das richtig? " "Sicher nicht in den USA!!!
Mein Verlobter sagt, damit seine Bank das Geld auf mein Konto überweisen kann, braucht seine Bank mein Passwort und meinen Benutzernamen.
Um zu überprüfen, ob mein Konto auf dem Level ist.
Er Banken mit Privatbank-Macoto
Ist er in Taiwan? Sind Sie? Bitte fügen Sie Ländercodes hinzu.
Er ist geschäftlich in der Türkei. Geld ist angeblich in der Bank in Grand Rapids, Michigan. Ich bin in den USA. Tut mir leid, ich kenne die Ländercodes nicht.
Angenommen, er ist ein US-Bürger, der eine US-Adresse hat, verwenden Sie, was alle anderen verwenden: PayPal!!! Oder Zelle oder "Web Bill Pay", wo sie Ihnen einen Scheck ausstellen.
Es ist eine große Summe Geld. Würde das einen Unterschied machen?
Wie groß ist „groß“? Und er kann dir das Geld immer von seiner Bank in Michigan überweisen lassen.
Außerdem ... wenn das Geld in Grand Rapids ist, warum zum Teufel bezieht er dann eine taiwanesische Bank mit ein?
Jemand versucht, mit Ihrem Geld davonzulaufen. VORSICHT und WISSEN !!
Über 400.000. Ich glaube, ich werde betrogen. Jetzt kann ich eine konkrete Entscheidung treffen. Danke schön.
Warum schickt er dir 400.000 Dollar?
Haben Sie in letzter Zeit mit Ihrem Finanzier gesprochen?
Ist Ihr Verlobter zufällig jemand, den Sie bisher nur online getroffen oder mit dem Sie gesprochen haben?
Falls niemand anderes erwähnt hat, dies ist einfach einer der häufigsten Betrügereien im Internet. Es ist völlig unsinnig.
Bei "Passwort" habe ich aufgehört zu lesen. Gib das niemals jemandem.
Niemand außer Ihnen selbst wird jemals Ihr Passwort brauchen! Jeder andere, der es anfordert, ist immer ein Betrug!
Ich hasse es, das zu fragen... wie lange kennst du deinen "Verlobten"? Wie gut kennst du ihn? Haben Sie Zeit mit ihm von Angesicht zu Angesicht verbracht? Kennst du seine Freunde? Familie? Das klingt wie ein Betrug... und es tut mir weh, daran zu denken, dass ein "Verlobter" der Täter ist... Vielleicht werden Sie geangelt
Ist Ihr Verlobter ein nigerianischer Prinz?
Warum gibt es auf all diese „Mein Verlobter“-Fragen keine Antworten auf die „Kennst du eigentlich deinen Verlobten?“-Fragen. Bemerkungen?
Sie fragen nach einem Benutzernamen und Passwort? Dies sollte die lautesten Alarme und den höchsten DEFCON-Pegel auslösen.
Wenn das Q&A hilft zu verhindern, dass jemandes Leben ruiniert wird, gute Arbeit, Leute!!!
Zu welchem ​​Zweck schickt Ihnen jemand dieses Geld?
Nein, sie versuchen nicht, dich zu betrügen. Um sicherzugehen, senden Sie mir einfach Ihren Benutzernamen und Ihr Passwort. (Dies ist ein Witz. Bitte senden Sie dies niemals ... an irgendjemanden. Aus irgendeinem Grund)
Es ist ein Rätsel, warum jemand darauf reinfällt. Warum benötigt eine Bank Anmeldeinformationen bei einer anderen Bank, um ihre Identität zu überprüfen? Sie werden sich anmelden und überprüfen, ob der Name auf der Website mit Ihrem Namen übereinstimmt? Hat Ihre Bank gesagt: „Geben Sie niemals Ihr Passwort an Dritte weiter … es sei denn, sie benötigen es natürlich, um Ihre Identität zu überprüfen“? Braucht Facebook auch Ihr Bankpasswort? Meine eigene Bank hat mich einmal angerufen und nach meinem Passwort gefragt und ich habe einfach mein Konto geschlossen und ein anderes eröffnet - ich kann mit dieser Dummheit nicht umgehen.
@DrEval War wahrscheinlich nicht deine Bank.

Antworten (7)

Ich denke, das ist ein dampfender Topf Kuhmist.

Die (na ja, eine ) Standardmethode, um festzustellen, ob ein Konto "auf der Höhe" ist, sind Mikrozahlungen: Sie geben ihnen die "Routing Number" Ihrer Bank (Name ändert sich je nach Land) und Ihre Kontonummer. Sie tätigen ein paar kleine Einzahlungen, und dann melden Sie sich auf ihrer Website an und geben den Betrag dieser Einzahlungen ein.

Selbst wenn es legitim ist , ist es schrecklich unsicher, und ich würde es auf keinen Fall tun.

(Natürlich ist es immer möglich, dass Ihr Freund dies als Vorwand benutzt, um Zugang zu Ihren Bankkonten zu erhalten.)

Danke schön. Ich stimme zu. Ich erinnere mich an die Mikrozahlungen in der Vergangenheit.
BF is using this as a subterfuge to get access to your bank accountsDas ist ein sehr plausibler Grund, und ich bin mir ziemlich sicher, dass es der Grund ist.
Es gibt keine Situation, in der man nach seinem Passwort gefragt wird, außer durch das Passwortsystem, z. B. bevor ich mit meiner Bank chatten kann, melde ich mich an und dann wissen sie, dass ich es in meinem eigenen Konto bin. Aber der Agent / Repräsentant wird niemals nach meinem Passwort fragen. +1
@DumbCoder oder BF wird ebenfalls betrogen usw.
Streng genommen nicht zum Thema, aber warum sollte sich die andere Seite darum kümmern (vorausgesetzt, sie sind legitim). Sie sollen dir Geld schicken, du behauptest, Zugang zu diesem Konto zu haben, warum kümmert es sie, ob du Zugang zu diesem Konto hast oder nicht, sicherlich ist es deine Idiotie, wenn du es nicht tust
@RichardTingle: Sie würden haftbar gemacht, wenn sie die Kontonummer, die Sie ihnen gegeben haben, nicht korrekt eingegeben haben. Der Bestätigungsschritt schützt davor, dass ihr System einen Fehler macht, und selbst wenn dies nicht so wahrscheinlich ist wie der Empfänger, der einen Fehler macht, lohnt es sich dennoch, ihn zu tun.

Das klingt nach Betrug. Es gibt keinen Grund für irgendjemanden, Ihren Benutzernamen und Ihr Passwort zu kennen. Sind Sie sicher, dass es Ihre Verlobte oder einige Betrüger sind?

Sie können mit Ihrem Geld rennen oder es für illegale Aktivitäten verwenden.

Danke. Ich stimme zu. Klingt nach Betrug. Schätzen Sie die Hilfe aller.
Ich würde nicht sagen, dass es keinen Grund gibt, aber das ist keiner. Ich denke an die Finanzaggregatorseiten, die es in den USA gibt.
@LorenPechtel Finanzaggregatoren werden Sie dazu bringen, sich über die Registrierung anzumelden und nicht per E-Mail danach zu fragen.
Ich stimme zu, dass sie nicht in einer E-Mail danach fragen werden, aber Sie haben die umfassendere Aussage gemacht, dass es keinen Grund gibt, dass jemand Ihren Benutzernamen und Ihr Passwort kennt.

Um eine frühere Antwort zu verstärken; es ist ein dampfender Haufen Kuhmist. Der Benutzername/das Passwort der Bank ist nicht nur die wichtigste Information, die Sie bei sich tragen, für die echte Macoto Bank wäre es für Authentifizierungszwecke völlig nutzlos (da sie keine Möglichkeit haben sollte, diese Information zu verifizieren)!

Vorausgesetzt, dass es sich bei der erwähnten Macoto-Bank um die Macoto Bank of Taiwan handelt, ist dieser Vorgang nicht nur verdächtig, sondern auch illegal , da Taiwan ziemlich fortschrittliche Datenschutzgesetze hat, die den USA und der EU völlig ebenbürtig sind. Das bedeutet auch, dass die Macoto Bank zumindest einen Verfahrensverstoß erlitten hat, da die abgefragten Informationen für sie nicht nur nutzlos sind, sondern auch weil es viiiiel bessere Methoden zur Authentifizierung gibt!

Wenn Sie die Anfrage nicht direkt von der Macoto Bank erhalten haben, handelt es sich mit 99,9999 %iger Sicherheit um Betrug.

Wenn Sie die Anfrage direkt von der Macoto Bank erhalten haben, sollten Sie nach alternativen Authentifizierungsmethoden fragen. In Deutschland (zumindest bei VolksBank und DiBa) werden Sie normalerweise gebeten, einen handgeschriebenen Zettel persönlich in der nächsten Filiale abzugeben. Auch wenn Sie die Anfrage von der Macoto Bank erhalten haben, sollten Sie diese den Verbraucherschutzbehörden melden (falls vorhanden).

Die beste Lösung wäre, sie einfach nach ihren Authentifizierungsverfahren im Rahmen Ihres Falls zu fragen, in mehreren Filialen und, wenn möglich, über den Kundendienst. Überprüfen Sie so viel wie möglich, bevor Sie fortfahren!

Vorausgesetzt, Ihre Verlobte hat die Transaktion entweder persönlich oder über 2-Faktor-authentifiziertes Online-Banking durchgeführt, sollte dies eine ausreichende Authentifizierung bieten, es sei denn, ihr Konto wird aktiv untersucht.

tl;dr: Keine angesehene Behörde oder Firma fragt direkt nach privaten Kontoinformationen, insbesondere nach Benutzernamen und Passwörtern. Sofern es sich nicht um einen direkten Betrug handelt, werden (und sollten) die Informationen für den Anfragenden völlig und absolut nutzlos sein!

Update Ein weiterer Gedanke, der mir gerade aufgefallen ist, ist, dass die Beweislast für die Transaktion selbst normalerweise beim Schuldner liegt (Ihre Verlobte, die das Geld sendet , und die Partei, die einen Schaden riskiert), es sei denn, der Gläubiger (Sie, der jemand, der das Geld erhält ).

Ich würde meine Kontoauszüge und Steuerunterlagen überprüfen, wenn ich du wäre...

Eine Bank wird nur nach Ihrem vollständigen Namen, Ihrer IC-Nummer oder Ihrer Bankkontonummer fragen. Eine Bank wird Sie niemals nach Ihrem Passwort fragen: Sie möchte Ihr Passwort nicht wissen, weil es privat ist und niemandem außer Ihnen bekannt ist.

Ich bin noch nie auf eine Bank gestoßen, die Sie nach Ihrem persönlichen Bankpasswort gefragt hat. Wenn jemand nach Ihrem Passwort fragt, bedeutet das, dass es sich nicht um eine Bank, sondern um einen Betrüger handelt.

Seien Sie sich bewusst: Legen Sie den Anruf einfach auf oder ignorieren Sie ihn.

Willkommen bei P&M. Was ist eine IC-Nummer?
@RupertMorrish Nun, eine Person mit demselben Benutzernamen und demselben Bild hat in einem großen sozialen Netzwerk einen Hinweis auf ihren Standort in Form von Geokoordinaten gepostet. Davon ausgehend würde ich vermuten, dass "IC-Nummer" die Nummer von Singapurs Personalausweis ist, was sie jedoch sehr standortspezifisch machen würde.
@AlexanderKosubek Die meisten Länder haben ein Äquivalent zu der IC-Nummer, auf die Sie sich hier beziehen. Die USA haben beispielsweise ihre Sozialversicherungsnummer (obwohl sie nie als Identifikationsnummer gedacht war). Der Name mag anders sein, aber es ist eine sichere Annahme, dass die meisten Länder so etwas haben, auch wenn es nur die Seriennummer für Ihren Ausweis ist.
@Valthek Du hast natürlich recht. Das Konzept ist übertragbar und breit anwendbar, nur der eigentliche Begriff "IC-Nummer" ist nur in einem bestimmten Gebietsschema sinnvoll.
@Valthek : Viele vielleicht, aber nicht alle. Das Vereinigte Königreich hat keine von der Regierung ausgestellte Nummer, an der eine Bank interessiert wäre. Deutschland hat einen Ausweis, aber ich wurde nie nach meiner Ausweisnummer gefragt (was auch gut so ist, weil ich keine habe).

Wenn jemand nach Ihrem Passwort fragt, geben Sie es folgendermaßen an.

Erfinden Sie zuerst einen neuen Benutzernamen, den Sie nirgendwo verwenden.

Gehen Sie zu einer beliebigen Passwort-Generator-Site und lassen Sie sich ein völlig neues Passwort erstellen, das nirgendwo anders verwendet wird. Lt.Cmdr. Daten bekommen es .

Wenn sie zurückkommen und sagen „Das Passwort funktioniert nicht“, dann betrügen sie dich. Der einzige legitime Grund, nach einem Passwort zu fragen, ist, wenn sie ein neues Konto für Sie einrichten. Wenn bereits ein Passwort existiert, geben Sie es niemals an Dritte weiter .

Schon beim Einrichten des Kontos. Sie geben im Allgemeinen ein temporäres Passwort an, das der Benutzer bei seiner ersten Anmeldung ändert, Sie sollten ihn nicht nach seinem Passwort fragen.

Das ist vielleicht kein Betrug, aber ich würde es trotzdem vermeiden

Dies wird zumindest in den USA tatsächlich zu einer gängigeren Praxis. Ich habe gesehen, dass eine Reihe von Banken dies anbieten, um Ihren Kontobesitz sofort zu authentifizieren. Durch die Bereitstellung Ihrer Online-Banking-Anmeldeinformationen kann sich ihr Dienst als Sie ausgeben und automatisch Daten aus dem Online-Banking-Portal Ihrer Bank entfernen. Sie verwenden die gesammelten Daten, um zu überprüfen, ob Ihre Kontoinformationen mit den zuvor eingegebenen übereinstimmen. Es hat mich immer etwas nervös gemacht, da es keine Möglichkeit gibt zu sagen, welche zusätzlichen Daten sie möglicherweise sammeln oder was sie damit machen könnten. Daher neige ich dazu, diese Dienste persönlich zu meiden, aber soweit ich das beurteilen kann, sind sie legitim. Dwolla bietet dies beispielsweise als Option zum Hinzufügen eines Kontos an.

Wie @RonJohn sagte, sind Mikroeinzahlungen das üblichere Mittel zur Überprüfung eines Kontos. Die meisten Banken, die das Online-Banking anbieten, bieten dies alternativ auch an. Nicht jeder hat Online-Banking, und ihr Scraper würde wahrscheinlich sowieso nicht mit allen kleineren Banken funktionieren.

Wenn Sie das Online-Banking aus Zeitgründen oder aus anderen Gründen unbedingt nutzen müssen, ändern Sie Ihr Passwort vor und nach . Falls Sie dieses Passwort an anderer Stelle wiederverwendet haben, sollten Sie es vorher in ein Dummy-Passwort ändern, damit es für die Hacker nutzlos ist, wenn es irgendwo in einer Datenbank aufbewahrt wird und es kompromittiert wird. Sie sollten es danach ändern, denn sonst haben sie Ihr echtes Passwort und können sich jederzeit anmelden.

Sei dir nur bewusst, dass alle Gelder auf deinen Konten in Gefahr sind, bis du dein Passwort das zweite Mal änderst. (Und selbst dann möglicherweise, wenn es ihnen gelungen ist, Ihre Daten zu ändern oder zukünftige Transaktionen zu planen.)

Schwer zu glauben. Eigentlich unmöglich. Sie würden die Unanfechtbarkeit über das gesamte Konto verlieren. Sie machen keine Transaktion und behaupten dann, dass sie es getan haben, und die Existenz eines solchen Systems würde jede Verteidigung, die sie vor Gericht vorbringen könnten, hinfällig machen.
@EJP Vielleicht, aber ich habe es mehr als einmal persönlich gesehen, also ist es definitiv da draußen. Denken Sie jedoch daran, dass es nicht Ihre Bank ist, die dies ermöglicht. Es ist eine Software, die von der anderen Bank gepflegt wird. Sie haben den Anmeldeprozess für eine Reihe von großen Banken per Skript erstellt, sodass sie die Webanfragen automatisieren können, als wären sie ein echter Benutzer. Sie ersetzen einfach Ihren Benutzernamen und Ihr Passwort. Ich habe in der Vergangenheit ähnliche Skripte mit Lasttestsoftware (RadViews Webload) erstellt, und es ist technisch nicht so kompliziert.
@EJP Was den rechtlichen Aspekt betrifft, so haben Sie technisch gesehen die Kontodaten weitergegeben, sodass Sie aus Sicht Ihrer Bank weiterhin für alle ergriffenen Maßnahmen verantwortlich sind. Ein Grund mehr, warum ich solche Dienste eher meide.
Ich denke, Sie verwechseln eine API, die einige Finanzinstitute implementieren, bei der diese Institution Ihnen erlaubt, sich mit Ihrem Bank-Login AUF DEM EIGENEN PORTAL IHRER BANK anzumelden und der anfragenden Bank oder Institution die Erlaubnis zu erteilen, Zugriff auf Ihre grundlegenden Kontoinformationen zu erhalten. Dies ermöglicht die automatische Einrichtung von Überweisungen oder Zahlungen. Ähnlich wie Ihre mobilen Apps angemeldet bleiben und Zugriff auf Ihre Kontoinformationen haben, wenn Sie dies wünschen. Aber zu keinem Zeitpunkt geben Sie Ihre Anmeldeinformationen tatsächlich an die andere Bank weiter, obwohl es den Anschein haben kann, wenn Sie nicht genau aufpassen.
@Keith Das scheint viel logischer zu sein. Ich könnte mir nicht vorstellen, dass ein seriöses Unternehmen Ihre Kontoinformationen auch nur berühren möchte. Zu viel Potenzial für Gegenreaktionen.
@Keith Nein, bin ich definitiv nicht. Und deine Beschreibung stimmt nicht. Ich schlage vor, Sie schauen sich den Dwolla-Link an, den ich hinzugefügt habe.
Bei allen Ablehnungen schlage ich vor, dass Sie tatsächlich etwas recherchieren, bevor Sie zu FALSCHEN Schlussfolgerungen über meine Antwort kommen, denn was ich beschreibe, ist zu 100% genau.
Ich kann bestätigen, dass diese Antwort, obwohl sie verrückt klingt, tatsächlich richtig ist. Einige US-Banken werden Sie bei einer anderen Bank nach Ihrem Benutzernamen/Passwort fragen, wenn Sie Ihrem Portfolio „ein Konto bei einer anderen Bank hinzufügen“ (damit Sie alle Ihre Konten an einem Ort sehen können). Es handelt sich nicht um einen sicheren API-Aufruf (OAuth/SAML), die Zugangsdaten der zweiten Bank werden direkt an die erste Bank übermittelt. Eigentlich ein trauriger Zustand.
Das ist nichts Neues, Facebook und Twitter (früher?) belästigen Sie ständig nach Ihrem Gmail/Yahoo/Hotmail-Passwort, damit sie es kratzen können, um Ihre Freunde zu finden. In Bezug auf die Sicherheit ist dies eine sehr schlechte Sache . Anstatt diese Praxis zu verbieten, haben einige E-Mail-Anbieter damit alle Ihre E-Mail-Konten in ihre UX integriert. Also ist Entität X, die Ihre Anmeldeinformationen von Entität Y verlangt, nichts Neues. Ich habe das Gefühl, dass Downvoter nicht ganz klar sind, was Sie meinen. Ich habe es, aber ich bin bereits damit vertraut. Und natürlich benutzen Betrüger es jeden Tag, was es noch viel schrecklicher macht.
Dies ist ein weiteres Beispiel für "Sicherheit auf Kosten der Benutzerfreundlichkeit geht auf Kosten der Sicherheit ". Natürlich verabscheut die SecOps-Abteilung der Bank diese Praxis. Die Produktmarketingabteilung der Bank liebt die Praxis jedoch, und beide antworten auf das Management/den Vorstand, der die Sicherheit für den wahrscheinlichen Gewinn opfert. Eine bessere Praxis wäre der öffentliche Schlüsselaustausch, der einfach ist, wenn beide Seiten kooperieren.

Passwörter sollten immer ein Geheimnis sein, das nur Ihnen und dem Dienst bekannt ist, den das Passwort schützen soll (z. B. Ihre Bank, Ihr E-Mail-Konto usw.). Jeder seriöse Dienst wird Ihr Passwort so sichern, dass niemand außer Ihnen es jemals kennen kann, ohne dass Sie es preisgeben, da niemand außer Ihnen jemals Ihr Passwort für einen ehrlichen Zweck kennen muss.

Wenn Sie Ihr Passwort weitergeben, geben Sie die Kontrolle darüber ab, was Ihr Passwort schützt, und ermöglichen es jemand anderem, für alles, was dieser Dienst tut, "Sie zu werden".

Jeder Dritte, der nach Ihrem Passwort fragt, tut dies für schändliche Zwecke, z. B. um Ihr gesamtes Guthaben von Ihrem Konto zu entfernen.

Damit eine Bank Gelder an ein Empfängerkonto bei einer anderen Bank senden kann, benötigt sie lediglich die Identifikation der Zielbank und die Zielkontonummer. Um zu bestätigen, dass es sich um das richtige Konto handelt, werden sie wahrscheinlich den Namen des Kontoinhabers wissen wollen/müssen. Keine Passwörter.

Die sendende Bank muss Ihre Identität nicht überprüfen. Sie müssen nicht wissen oder sich darum kümmern, wer Sie sind. Sie werden die Identität der Person überprüfen wollen, die die Auszahlung von Geldern beantragt (dh Ihr Verlobter); Bevor sie Geld von seinem Konto abheben, werden sie wissen wollen, ob er damit einverstanden ist. Alles, was sie über Ihr Konto wissen müssen, reicht aus, um Fehler bei der Ausführung seiner Anfrage zu vermeiden; Es reicht aus, den Namen des Kontoinhabers mit der Zielkontonummer zu versehen.

Private Bank fordert Benutzernamen und Passwort an, um die Identität zu überprüfen, bevor Geld an das Konto gesendet wird
AntwortenHierDatenschutz-Bestimmungen1y, 0v