Welche Informationen benötigen Betrüger, um Geld von einem Konto abzuheben?

Es gibt derzeit eine Geschichte auf der BBC - Nachrichten - Website . Die relevanten Punkte sind:

  1. Betrüger riefen Alex an und gaben vor, BT (Telekommunikationsanbieter) zu sein.
  2. Alex versorgte Betrüger mit Informationen / Hilfe
  3. Betrüger leisteten Zahlungen, die das Konto innerhalb von 24 Stunden um 180.000 £ leerten
  4. Zahlungen gekennzeichnet zB. "Rechnungszahlung über schnellere Zahlung an Radu Reference Web Inv 793, Mandat Nr. 127 £2.500,00 £34.617,11"
  5. Die Bank lehnte die Haftung zunächst unter Berufung auf grobe Fahrlässigkeit ab
  6. Financial Ombudsman Service zugunsten von Alex entschieden

Welche Informationen/Hilfe benötigt ein Betrüger, um diese Zahlungen zu leisten?

Ich denke, wenn die Antwort lautet "alles, was Sie normalerweise verwenden, um auf Ihr Konto einzuzahlen und Zahlungen zu leisten", dann ist die Forderung der Bank wegen grober Fahrlässigkeit von Alex gerechtfertigt. Wenn die Antwort etwas anderes ist, würde ich es wirklich gerne wissen.

Es hängt alles vom Finanzinstitut ab. Bei einer Firma, bei der ich früher Bankgeschäfte getätigt hatte, mussten sie nur wissen, dass ich dort ein Konto hatte. Sie haben sich den Weg zum Abheben von Geld gebahnt, obwohl es im Vergleich zu dem von Ihnen zitierten Fall nur ein kleiner Betrag war.
Wenn Sie fragen: "Welche Informationen/Hilfe würde ein Betrüger benötigen, um diese Zahlungen zu leisten?" - Können Sie klarstellen: Versuchen Sie zu verstehen, was in diesem speziellen Fall passiert ist, oder versuchen Sie zu verstehen, wie ein Betrüger Geld von Ihrem Konto abheben könnte? Oder nur die "einfachste" oder "mindestens benötigte" Methode?

Antworten (3)

Über den Link in Vickys Antwort benötigten die Betrüger Zugriff auf den Computer des Opfers (oder für die Opfer, um das Geld zu überweisen, oder allgemeinen Zugriff auf das Konto des Opfers) und für das Opfer, um die Einmalpasswörter auszulesen, nach denen sie gefragt hatten. Dies war ein sozialer Betrug, kein technischer Betrug.

Andererseits scheint es, als hätten sie die Santander Bank aus einem bestimmten Grund ins Visier genommen, und dieser Grund scheint eine minderwertige Betrugsprävention zu sein.

  • Es wird erwartet, dass die Bank nach ungewöhnlichen Transaktionen Ausschau hält, und dies sollten ungewöhnliche Transaktionen gewesen sein. In vielen Fällen waren diese nicht als solche gekennzeichnet.
  • Selbst wenn sie als ungewöhnliche Transaktionen gekennzeichnet waren, kontaktierte Santander den Kunden nicht sorgfältig und ließ die Transaktion standardmäßig durchgehen.
  • Santander fragte den Kunden nach Einmalpasswörtern, ohne auch den Kontext anzugeben. Dadurch konnten die Betrüger vortäuschen, dass die Übertragung einem anderen Zweck diente.
  • Einige der Opfer bestehen darauf, dass sie die Einmalpasswort-Nachrichten nie erhalten haben, aber die Übertragung trotzdem durchgegangen ist. Dies könnte darauf hindeuten, dass die Betrüger die mit dem Konto verknüpfte Telefonnummer ändern konnten, ohne eine Warnung zu erstellen. (Um es klarzustellen, die Opfer könnten stattdessen lügen; dies ist ein etwas peinliches Verbrechen, und es ist natürlich, die Verantwortung abzulehnen. Trotzdem ist dies ein verdächtiges Detail.)

Am Ende hat die Bank die Zeit und das nötige Wissen, um über die neuesten Betrugsmaschen auf dem Laufenden zu bleiben; ihre Kunden nicht.

Nun, sie haben (vermutlich absichtlich) die Details der Methoden, die die Betrüger verwendet haben, nicht veröffentlicht, also kann keiner von uns etwas sagen. Die BBC-Geschichte ist sehr detailarm, aber sie sagt, dass sie das Opfer eines „ausgeklügelten Betrugs“ war und dass sie „dazu verleitet wurde, sensible Sicherheitsdetails herauszugeben“.

Alles, was wirklich zählt, ist, dass der Financial Ombudsman, der Einzelheiten darüber hatte, was passiert ist, sich auf die Seite von Alex gestellt hat und die Bank Alex die Verluste zurückzahlen muss.

[Bearbeiten: Mit etwas weiterem Googeln gibt es hier ziemlich viele weitere Details: https://www.thisismoney.co.uk/money/beatthescammers/article-4358442/Santander-fraud-victims-tell-anguish.htmleinschließlich, dass der Financial Ombudsman Service erhebliche Schwachstellen in den Sicherheitssystemen von Santander festgestellt und auch festgestellt hat, dass sie keine Maßnahmen ergriffen haben, um das sehr ungewöhnliche Muster von Abhebungen zu verhindern oder sogar zu überprüfen, was eine vernünftige Person denken könnte, dass sie es tun sollten.] Diese Frage fühlt sich wirklich gleichwertig an zu "diese Zeitung sagt, dass Person X wegen Mordes an Person Y verhaftet wurde, aber Person X vor Gericht freigesprochen wurde. Was braucht man, um eine Person zu ermorden, denn wenn es wirklich so einfach ist, wie sie mit einem Hammer zu schlagen, dann kann ich es verstehe nicht, warum Person X freigesprochen worden wäre". Grundsätzlich: Ohne alle Details können wir das unmöglich beurteilen.

Wenn die Frage lautete: "Was haben diese Betrüger verwendet?", wäre dies die richtige Antwort. Ich habe versucht, die Frage zu stellen: "Welche Informationen müssen gesichert werden, um zu verhindern, dass Betrüger Ihr Bankkonto löschen". Wenn die Antwort "Ihr Benutzername und Ihr Passwort" lautet, bin ich sicher, scheint aber kein ausgeklügelter Betrug zu sein. Ich vermute, die Antwort lautet: "Nur Ihre Bank kann es Ihnen sagen, und sie wird es nicht sagen". Es scheint eine wirklich wichtige Sache zu wissen.
Ich glaube, du verfehlst das Wesentliche. Offensichtlich ist „Benutzername und Passwort“ ein Weg hinein, aber a) wir haben keine Ahnung, ob die Betrüger dieses oder ein anderes Mittel verwendet haben, und b) jeder kann Opfer eines ausgeklügelten Social-Engineering-Betrugs werden, zum Beispiel angenommen, Sie dachten, Sie würden mit Ihrem sprechen Bank (aber Sie waren es nicht) und sie haben nach dem 1. und 5. Zeichen Ihres Passworts gefragt, um Sie zu authentifizieren - völlig normal, oder? Wiederholen Sie das 3 oder 4 Mal und die Betrüger haben Ihr vollständiges Passwort.
@ Vicky Nein, das ist nicht ganz normal und sollte niemals passieren. Nur Passwort- Hashes sollten jemals von einer Bank oder einer anderen sicheren Website gespeichert werden. Hashes erlauben standardmäßig keine Überprüfung von Teilkennwörtern. Der einzige Zeitpunkt, an dem ein Teil des Passworts preisgegeben werden kann, ist die Eingabe in das Passwortfeld einer sicheren Anmeldeseite.
@nanoman: Es ist normal, wenn die Bank dasselbe Passwort für das Telefonbanking wie für das Internetbanking verwendet. Und selbst wenn es für Santander nicht normal ist, werden die Leute es gewohnt sein, weil einige Unternehmen/Banken es tun. Persönlich weigere ich mich, durch die Sicherheitskontrolle zu gehen, wenn meine Bank mich anruft (auch wenn ich mir aus dem Kontext ziemlich sicher bin, dass es tatsächlich sie ist) und rufe sie unter einer bekannten Nummer zurück, aber sie haben es normalisiert, so dass die meisten Leute es nicht tun sei so paranoid.
@nanoman Banks speichern vollständige Klartext-Passwörter (und fragen dann nach ausgewählten Buchstaben). (Solche Passwörter werden normalerweise von der Bank zufällig generiert und können vom Benutzer nicht geändert werden - Sie müssen den Brief haben, den sie Ihnen geschickt haben.)
@MartinBonner Ich würde hier vermeiden, "normalerweise" zu sagen. Ich hatte Konten bei einem halben Dutzend verschiedener (britischer) Banken und Bausparkassen, und die Sicherheitsverfahren waren für jede einzelne anders. Einige haben zufällig generierte Benutzernamen ; einige haben elektronische 2FA; einige haben „Rasterkarten“ aus Papier (entweder Low-Tech-2FA oder nur ein langes zufälliges Passwort, je nachdem, wie Sie es betrachten); andere fragen nur nach Ihrem Namen, Geburtsdatum und einer aus einer Reihe von "Geheimfragen" (Passwörter mit eingebauten Eingabeaufforderungen, die sie weniger sicher machen). All das ist ein Geschenk an die Betrüger, denn es macht Bildung wirklich schwer!
Eine andere Möglichkeit: Angenommen (und ich sage nicht, dass dies in diesem Fall passiert ist), dass Santander eine Person im Inneren hatte, die persönliche Informationen über die Kunden verkaufte. Einfach niemanden Ihren Benutzernamen und Ihr Passwort mitzuteilen, würde in diesem Fall nicht ausreichen, um Sie zu schützen.
@GaneshSittampalam Erwähnenswert ist, dass derzeit auch ein Betrug kursiert, bei dem Sie aufgefordert werden, aufzulegen und Ihre Bank anzurufen (so wie Sie es möchten); aber da sie ihr Ende nicht getrennt haben, verbinden Sie den Anruf einfach wieder mit ihnen. Speziell entwickelt, um Menschen wie Sie anzusprechen, die bereits sicherheitsbewusst handeln. Kann verhindert werden, indem man 2-3 Minuten wartet, nachdem sie "aufgelegt" haben. Weitere Informationen: which.co.uk/consumer-rights/advice/phone-scams
@Bilkokuya ja, guter Punkt. Auf einem Mobiltelefon kann das nicht passieren, und auf einem Festnetz wäre ich vorsichtig.

In einem Kommentar haben Sie Ihre Frage wie folgt präzisiert:

Welche Informationen müssen gesichert werden, um zu verhindern, dass Betrüger Ihr Bankkonto löschen?

Die gute Nachricht ist, dass Banken die Sicherheit und den Betrugsschutz weiterentwickelt haben, als sie Dienstleistungen hinzugefügt haben. Da der Fokus Ihrer Frage auf Betrügereien zu liegen scheint, die auf den Zugriff über Online-Banking setzen, sind die typischen Merkmale:

Zwei-Faktor-Authentifizierung, nur um sich anzumelden, mit einem gewissen Maß an „Intelligenz“: Möglicherweise benötigen Sie nur Ihren Benutzernamen und Ihr Passwort, um sich anzumelden, aber das Online-Banking-System fordert Sie auf, einen zweiten Faktor einzugeben, bevor es Sie tatsächlich anmeldet, falls dies der Fall ist Der Zugriffsversuch schlägt bei bestimmten Tests fehl. Häufig verwendet die Bank ein Bewertungssystem, das eine Reihe von Faktoren bewertet und entscheidet, was zu tun ist. Abgesehen davon, dass ein zweiter Faktor erforderlich ist, sperren Banksysteme manchmal auch den Online-Zugang einer Person, wenn genügend verdächtiges Verhalten vorliegt:

  • Fehlgeschlagene Versuche mit Benutzername/Passwort
  • Melden Sie sich von einem Gerät an, das Sie noch nie zuvor verwendet haben
  • Melden Sie sich von einem Browser aus an, den Sie noch nie zuvor verwendet haben
  • Anmeldung über einen Browser auf einem Mobiltelefon, wenn der Anmeldeverlauf Ihres Mobiltelefons normalerweise aus der eigenen App der Bank stammt
  • Sich von einer Postleitzahl, einem Staat oder einem Land aus anmelden, von dem aus Sie sich noch nie angemeldet haben
  • Einloggen zu einer anderen Tageszeit als normal (dh Ihr gesamter Verlauf ist tagsüber und plötzlich gibt es einen Versuch um 2 Uhr morgens in Ihrer Zeitzone).
  • Sie haben die Online-Banking-App seit Ihrer letzten Anmeldung neu installiert
  • Sie haben kürzlich die Online-Banking-App auf einem anderen Gerät installiert und versucht, sich anzumelden, wurden aber aufgrund eines falschen Passworts gestoppt

Eine andere Art der Multi-Faktor-Validierung, wenn verdächtige Aktivitäten auftreten, nachdem Sie tatsächlich eingeloggt sind. Die meisten Banksysteme werden auch aktiv einen Kunden herausfordern, der versucht, ungewöhnliche Transaktionen durchzuführen. Beispielsweise kann der Kunde aufgefordert werden, eine PIN einzugeben, die per Textnachricht an sein Telefon gesendet wird, wenn er ein neues Rechnungszahlungskonto hinzufügt, wenn er eine Rechnungszahlung oder externe Überweisung über einem bestimmten Schwellenwert durchführt, oder selbst wenn er dies tut mehr als 1000 $ zwischen ihren eigenen Konten überweisen.

Passive Benachrichtigung über verdächtige Aktivitäten: Viele Banksysteme benachrichtigen Kunden passiv, wenn bestimmte Transaktionen stattfinden, selbst wenn alle oben genannten Herausforderungen bestanden wurden und die Transaktion abgeschlossen ist – dies soll den Kunden zumindest benachrichtigen, wenn jemand bei ihnen „eingebrochen“ ist Konto oder es wurde anderweitig kompromittiert. Häufig sind diese Benachrichtigungen so konzipiert, dass sie andere Kanäle verwenden als die Multi-Faktor-Herausforderungen. Wenn beispielsweise für eine große Überweisung eine an ein Mobiltelefon gesendete PIN erforderlich ist, erfolgt die Benachrichtigung per E-Mail oder durch einen automatisierten Anruf an eine andere hinterlegte Nummer für den Kunden.

Es gibt auch Fälle, in denen Banken passive Benachrichtigungen per Post implementieren – wenn Sie beispielsweise Ihr Online-Banking-Passwort ändern, erhalten Sie eine Benachrichtigung per Post, die Sie darüber informiert. Dies ist als letzte Benachrichtigung gedacht, um Personen zu helfen, deren gesamte digitale Identität unwissentlich kompromittiert wurde (dh wenn jemand weiß, wie er auf Ihr Telefon zugreifen kann und Zugriff auf Ihre Online-Banking-App und Ihre Texte hat).

Um einen anderen Punkt anzusprechen, den Sie in den Kommentaren angesprochen haben,

Wenn die Antwort "Ihr Benutzername und Ihr Passwort" lautet, bin ich sicher, scheint aber kein ausgeklügelter Betrug zu sein

In gewisser Weise haben Sie Recht – ein Betrüger kann sich theoretisch nur mit Ihrem Benutzernamen und Passwort Zugang verschaffen, aber es gibt eine Grauzone in Bezug darauf, ob er sich tatsächlich anmelden kann oder was er sein könnte damit durchkommen können, sobald sie sich eingeloggt haben. Der "ausgeklügelte" Teil kommt ins Spiel, in dem Sinne, dass das Ziel dazu gebracht wird, alle oben genannten Kontrollen zu umgehen oder zu ignorieren - der Betrüger muss das Ziel überreden, ihm die PINs zu geben an ihr Telefon gesendet werden oder sogar die Bank anrufen und ihr Konto entsperren, wenn ihr Online-Banking-Zugang aufgrund fehlgeschlagener Anmeldeversuche gesperrt wird.

Das ist der ganze Grund, warum die meisten Banken eine aktive Betrugsprävention durch Bankmitarbeiter implementieren:Die wahrscheinlich üblichste Methode, um einen Social-Engineering-Angriff zu stoppen, besteht darin, dass Bankmitarbeiter aktiv auf verdächtige Aktivitäten achten und dann Maßnahmen ergreifen, um den Kunden zu schützen. Neben dem Beobachten von Mitgliedern, die die oben genannten Auslöser erreichen oder nicht bestehen, kann es andere Dinge geben, die die Bank aktiv überwacht – oft basierend auf Verhaltensauslösern (jemand tut etwas, was er normalerweise nicht tut), Qualitätsauslösern (jemand hat Kontrollbilder, die angezeigt werden). kurz vor dem Scheitern der Verifizierung) oder Zeitfenster (jemand erstellt ein neues Online-Banking-Konto und versucht sofort, sein gesamtes Geld per Überweisung abzuheben). Manchmal ergreifen Mitarbeiter Korrekturmaßnahmen, indem sie das Konto oder bestimmte Transaktionen sperren, den Online-Banking-Zugang sperren, das Mitglied anrufen oder andere Methoden zur Betrugsprävention anwenden.

Banken werden absichtlich versuchen, die Details ihrer eigenen Tools zur Betrugsprävention vor der Öffentlichkeit zu verbergen, um zu verhindern, dass sich Betrüger auf ihre Schwächen konzentrieren. Wenn eine Bank über eine ausreichende Reihe von Tools verfügt, die von der Öffentlichkeit nicht gut verstanden werden, muss ein Betrüger, um erfolgreich zu sein, wirklich das volle Vertrauen seiner Marke sichern, anstatt nur zu versuchen, bestimmte Informationen herauszupressen ihnen. Sobald eine Marke ausgetrickst wurde, verhindert keiner der oben genannten Faktoren den Verlust.

Um den ganzen Kreis zu Ihrer ursprünglichen Frage zu bringen,

Welche Informationen/Hilfe benötigt ein Betrüger, um diese Zahlungen zu leisten?

Die Antwort ist, es hängt von der Bank ab, aber in der Regel benötigen sie Ihren Benutzernamen und Ihr Passwort sowie vollen Zugriff auf Informationen, die zwischen Ihnen und der Bank vertraulich behandelt werden sollen (z. B. PINs, die per SMS, Telefonanruf, E-Mails usw.), um typische Betrugskontrollen zu umgehen. Mit anderen Worten, wenn die Bank bei der Betrugsprävention gute Arbeit leistet, gibt es keine vordefinierte Liste von Dingen, die der Betrüger benötigt – der Betrüger muss Sie dazu verleiten, ihm zu helfen, alle Maßnahmen zu umgehen, die seine Aktivitäten auslösen.

Ich werde hier kommentieren, weil etwas Ironisches passiert ist, als ich auf „Senden“ für diese Antwort geklickt habe – ich wurde mit einem Captcha aufgefordert, weil das SE-System anscheinend nicht erkennen konnte, ob ich wirklich dwizum war oder nicht.
Welche Informationen benötigen Betrüger, um Geld von einem Konto abzuheben?
AntwortenHierDatenschutz-Bestimmungen1y, 0v