Es gibt derzeit eine Geschichte auf der BBC - Nachrichten - Website . Die relevanten Punkte sind:
Welche Informationen/Hilfe benötigt ein Betrüger, um diese Zahlungen zu leisten?
Ich denke, wenn die Antwort lautet "alles, was Sie normalerweise verwenden, um auf Ihr Konto einzuzahlen und Zahlungen zu leisten", dann ist die Forderung der Bank wegen grober Fahrlässigkeit von Alex gerechtfertigt. Wenn die Antwort etwas anderes ist, würde ich es wirklich gerne wissen.
Über den Link in Vickys Antwort benötigten die Betrüger Zugriff auf den Computer des Opfers (oder für die Opfer, um das Geld zu überweisen, oder allgemeinen Zugriff auf das Konto des Opfers) und für das Opfer, um die Einmalpasswörter auszulesen, nach denen sie gefragt hatten. Dies war ein sozialer Betrug, kein technischer Betrug.
Andererseits scheint es, als hätten sie die Santander Bank aus einem bestimmten Grund ins Visier genommen, und dieser Grund scheint eine minderwertige Betrugsprävention zu sein.
Am Ende hat die Bank die Zeit und das nötige Wissen, um über die neuesten Betrugsmaschen auf dem Laufenden zu bleiben; ihre Kunden nicht.
Nun, sie haben (vermutlich absichtlich) die Details der Methoden, die die Betrüger verwendet haben, nicht veröffentlicht, also kann keiner von uns etwas sagen. Die BBC-Geschichte ist sehr detailarm, aber sie sagt, dass sie das Opfer eines „ausgeklügelten Betrugs“ war und dass sie „dazu verleitet wurde, sensible Sicherheitsdetails herauszugeben“.
Alles, was wirklich zählt, ist, dass der Financial Ombudsman, der Einzelheiten darüber hatte, was passiert ist, sich auf die Seite von Alex gestellt hat und die Bank Alex die Verluste zurückzahlen muss.
[Bearbeiten: Mit etwas weiterem Googeln gibt es hier ziemlich viele weitere Details: https://www.thisismoney.co.uk/money/beatthescammers/article-4358442/Santander-fraud-victims-tell-anguish.htmleinschließlich, dass der Financial Ombudsman Service erhebliche Schwachstellen in den Sicherheitssystemen von Santander festgestellt und auch festgestellt hat, dass sie keine Maßnahmen ergriffen haben, um das sehr ungewöhnliche Muster von Abhebungen zu verhindern oder sogar zu überprüfen, was eine vernünftige Person denken könnte, dass sie es tun sollten.] Diese Frage fühlt sich wirklich gleichwertig an zu "diese Zeitung sagt, dass Person X wegen Mordes an Person Y verhaftet wurde, aber Person X vor Gericht freigesprochen wurde. Was braucht man, um eine Person zu ermorden, denn wenn es wirklich so einfach ist, wie sie mit einem Hammer zu schlagen, dann kann ich es verstehe nicht, warum Person X freigesprochen worden wäre". Grundsätzlich: Ohne alle Details können wir das unmöglich beurteilen.
In einem Kommentar haben Sie Ihre Frage wie folgt präzisiert:
Welche Informationen müssen gesichert werden, um zu verhindern, dass Betrüger Ihr Bankkonto löschen?
Die gute Nachricht ist, dass Banken die Sicherheit und den Betrugsschutz weiterentwickelt haben, als sie Dienstleistungen hinzugefügt haben. Da der Fokus Ihrer Frage auf Betrügereien zu liegen scheint, die auf den Zugriff über Online-Banking setzen, sind die typischen Merkmale:
Zwei-Faktor-Authentifizierung, nur um sich anzumelden, mit einem gewissen Maß an „Intelligenz“: Möglicherweise benötigen Sie nur Ihren Benutzernamen und Ihr Passwort, um sich anzumelden, aber das Online-Banking-System fordert Sie auf, einen zweiten Faktor einzugeben, bevor es Sie tatsächlich anmeldet, falls dies der Fall ist Der Zugriffsversuch schlägt bei bestimmten Tests fehl. Häufig verwendet die Bank ein Bewertungssystem, das eine Reihe von Faktoren bewertet und entscheidet, was zu tun ist. Abgesehen davon, dass ein zweiter Faktor erforderlich ist, sperren Banksysteme manchmal auch den Online-Zugang einer Person, wenn genügend verdächtiges Verhalten vorliegt:
Eine andere Art der Multi-Faktor-Validierung, wenn verdächtige Aktivitäten auftreten, nachdem Sie tatsächlich eingeloggt sind. Die meisten Banksysteme werden auch aktiv einen Kunden herausfordern, der versucht, ungewöhnliche Transaktionen durchzuführen. Beispielsweise kann der Kunde aufgefordert werden, eine PIN einzugeben, die per Textnachricht an sein Telefon gesendet wird, wenn er ein neues Rechnungszahlungskonto hinzufügt, wenn er eine Rechnungszahlung oder externe Überweisung über einem bestimmten Schwellenwert durchführt, oder selbst wenn er dies tut mehr als 1000 $ zwischen ihren eigenen Konten überweisen.
Passive Benachrichtigung über verdächtige Aktivitäten: Viele Banksysteme benachrichtigen Kunden passiv, wenn bestimmte Transaktionen stattfinden, selbst wenn alle oben genannten Herausforderungen bestanden wurden und die Transaktion abgeschlossen ist – dies soll den Kunden zumindest benachrichtigen, wenn jemand bei ihnen „eingebrochen“ ist Konto oder es wurde anderweitig kompromittiert. Häufig sind diese Benachrichtigungen so konzipiert, dass sie andere Kanäle verwenden als die Multi-Faktor-Herausforderungen. Wenn beispielsweise für eine große Überweisung eine an ein Mobiltelefon gesendete PIN erforderlich ist, erfolgt die Benachrichtigung per E-Mail oder durch einen automatisierten Anruf an eine andere hinterlegte Nummer für den Kunden.
Es gibt auch Fälle, in denen Banken passive Benachrichtigungen per Post implementieren – wenn Sie beispielsweise Ihr Online-Banking-Passwort ändern, erhalten Sie eine Benachrichtigung per Post, die Sie darüber informiert. Dies ist als letzte Benachrichtigung gedacht, um Personen zu helfen, deren gesamte digitale Identität unwissentlich kompromittiert wurde (dh wenn jemand weiß, wie er auf Ihr Telefon zugreifen kann und Zugriff auf Ihre Online-Banking-App und Ihre Texte hat).
Um einen anderen Punkt anzusprechen, den Sie in den Kommentaren angesprochen haben,
Wenn die Antwort "Ihr Benutzername und Ihr Passwort" lautet, bin ich sicher, scheint aber kein ausgeklügelter Betrug zu sein
In gewisser Weise haben Sie Recht – ein Betrüger kann sich theoretisch nur mit Ihrem Benutzernamen und Passwort Zugang verschaffen, aber es gibt eine Grauzone in Bezug darauf, ob er sich tatsächlich anmelden kann oder was er sein könnte damit durchkommen können, sobald sie sich eingeloggt haben. Der "ausgeklügelte" Teil kommt ins Spiel, in dem Sinne, dass das Ziel dazu gebracht wird, alle oben genannten Kontrollen zu umgehen oder zu ignorieren - der Betrüger muss das Ziel überreden, ihm die PINs zu geben an ihr Telefon gesendet werden oder sogar die Bank anrufen und ihr Konto entsperren, wenn ihr Online-Banking-Zugang aufgrund fehlgeschlagener Anmeldeversuche gesperrt wird.
Das ist der ganze Grund, warum die meisten Banken eine aktive Betrugsprävention durch Bankmitarbeiter implementieren:Die wahrscheinlich üblichste Methode, um einen Social-Engineering-Angriff zu stoppen, besteht darin, dass Bankmitarbeiter aktiv auf verdächtige Aktivitäten achten und dann Maßnahmen ergreifen, um den Kunden zu schützen. Neben dem Beobachten von Mitgliedern, die die oben genannten Auslöser erreichen oder nicht bestehen, kann es andere Dinge geben, die die Bank aktiv überwacht – oft basierend auf Verhaltensauslösern (jemand tut etwas, was er normalerweise nicht tut), Qualitätsauslösern (jemand hat Kontrollbilder, die angezeigt werden). kurz vor dem Scheitern der Verifizierung) oder Zeitfenster (jemand erstellt ein neues Online-Banking-Konto und versucht sofort, sein gesamtes Geld per Überweisung abzuheben). Manchmal ergreifen Mitarbeiter Korrekturmaßnahmen, indem sie das Konto oder bestimmte Transaktionen sperren, den Online-Banking-Zugang sperren, das Mitglied anrufen oder andere Methoden zur Betrugsprävention anwenden.
Banken werden absichtlich versuchen, die Details ihrer eigenen Tools zur Betrugsprävention vor der Öffentlichkeit zu verbergen, um zu verhindern, dass sich Betrüger auf ihre Schwächen konzentrieren. Wenn eine Bank über eine ausreichende Reihe von Tools verfügt, die von der Öffentlichkeit nicht gut verstanden werden, muss ein Betrüger, um erfolgreich zu sein, wirklich das volle Vertrauen seiner Marke sichern, anstatt nur zu versuchen, bestimmte Informationen herauszupressen ihnen. Sobald eine Marke ausgetrickst wurde, verhindert keiner der oben genannten Faktoren den Verlust.
Um den ganzen Kreis zu Ihrer ursprünglichen Frage zu bringen,
Welche Informationen/Hilfe benötigt ein Betrüger, um diese Zahlungen zu leisten?
Die Antwort ist, es hängt von der Bank ab, aber in der Regel benötigen sie Ihren Benutzernamen und Ihr Passwort sowie vollen Zugriff auf Informationen, die zwischen Ihnen und der Bank vertraulich behandelt werden sollen (z. B. PINs, die per SMS, Telefonanruf, E-Mails usw.), um typische Betrugskontrollen zu umgehen. Mit anderen Worten, wenn die Bank bei der Betrugsprävention gute Arbeit leistet, gibt es keine vordefinierte Liste von Dingen, die der Betrüger benötigt – der Betrüger muss Sie dazu verleiten, ihm zu helfen, alle Maßnahmen zu umgehen, die seine Aktivitäten auslösen.
Peter B.
dwizum