DKB Konto nicht mehr nutzbar nach Hacking

Zitat von Clemens76

Meine Frau und ich sind mit unserem Gemeinschaftskonto bei der DKB Ende letzten Jahres Opfer einer Phishing Attacke geworden.

Wir vermuten, dass meine Frau früher auf einer falschen DKB Homepage die Kontodaten eingegeben hatte. Einige Zeit später meldete sich ein angeblicher IT-Mitarbeiter der Bank, weil die App aktualisiert werden müsse, sie würde sonst nicht mehr funktionieren. Zwar ist ihm meine Frau auf den Leim gegangen und gab eine TAN per Telefon durch, es fiel ihr aber unmittelbar nach dem Telefonat auf und wir konnten das Konto sperren. Der Hacker hatte bereits seine Handynummer im Konto hinterlegt und 5.000€ und 10.000€ angewiesen. Beide Überweisungen konnten gestoppt werden.

Die DKB hat sich bei der Bearbeitung des Falls sehr ungeschickt angestellt, vergaß zB die Handy-Nummer des Betrügers im Konto wieder durch die meiner Frau zu ersetzen. So konnte sich der Hacker, während die neuen Passwörter per Post an uns verschickt wurden, Zugang verschaffen und selber online ein neues Passwort zuweisen - das geht laut Bank eben genau in dem Zeitraum, in dem die Passwörter im Versand sind.

Da kamen dann also zwei ungeschickte Leute zusammen: Eine ungeschickte Kundin und ein ungeschickter Hotliner.

Ich habe kein Gemeinschaftskonto, sondern nur Einzelkonten, bei denen meine eigene Handynummer hinterlegt ist. Sind bei Gemeinschaftskonten denn zwei Handynummern hinterlegt, die beider Kontoinhaber?

Zitat von Clemens76

Mittlerweile ist das Konto zwar wieder sicher, allerdings passiert nun folgendes: da der Anmeldename zwingend die Kontonummer gefolgt von ‚_p‘ ist und dem Hacker diese bekannt ist, wird unser Konto regelmäßig gesperrt, da er immer wieder versucht, sich Zugang zu verschaffen. Nach drei missglückten Anmeldeversuchen wird das Konto erneut gesperrt. So kann zwar dem Konto nichts passieren - aber wir haben auch keinen Zugang zum Konto mehr.

Es handelt sich also um einen relativ dummen Hacker (oder um einen Automaten), denn es ist ja klar, daß er nun nichts mehr erreichen kann.

Zitat von Clemens76

Hätten wir nicht zusätzlich persönliche Konten bei der DKB, über deren Banking-Zugang auch das Gemeinschaftskonto eingesehen werden kann, wären wir vom Online-Banking abgeschnitten. Auf unsere Anfragen bei der Bank, ob man einen eigenen Anmeldenamen vergeben kann, bekamen wir voneinander abweichende Antworten. Schlussendlich erhielten wir die Aussage, dass dies nicht möglich sei.

Der normale Hotline-Wahnsinn also.

Zitat von Clemens76

Man stelle sich das vor: in dem Augenblick, wo jemand anderes meine Kontonummer kennt, kann er absichtlich meinen Online-Banking-Zugang stilllegen.

Das ist bei vielen Banken so.

Bei anderen Banken ist der Nutzername eine E-Mail-Adresse. Auch hier gilt: Ein böser Mensch kann Dir den Online-Zugang dichtmachen, weil regelmäßig im PC nach alter Väter Sitte Nutzerkennung und Kennwort abgefragt werden. Damit ist man am PC aber im Konto noch nicht drin, da man ein zweites Gerät zum Freischalten braucht. Ich habe ein Konto, bei dem der Nutzername meine weithin bekannte E-Mail-Adresse ist. Könnte ich mal ändern, war mir bisher nicht klar, daß das ein Sicherheitsproblem sein könnte.

Ob die Handy-App noch funktioniert, wenn ein böser Mensch durch bewußte Falscheingabe des Benutzerkennworts auf dem PC den Onlinezugang dichtgemacht hat, weiß ich nicht, das probiere ich jetzt auch nicht aus.

Zitat von Clemens76

Das muss nicht gleich ein Hacker sein, es kann auch jemand sein, der sich einfach einen Spaß machen und jemanden ärgern will. Vor diesem Hintergrund kann man unseres Erachtens die DKB nicht weiter empfehlen.

Hat jemand ähnliche Erfahrungen gemacht? Bei der DKB oder auch einer anderen Bank? Wie ist der Anmeldename bei den anderen Banken gelöst, die von Finanztip empfohlen werden? Ist auch dort der Anmeldename gleich der Kontonummer?

Eine Störaktion der beschriebenen Art dürfte bei den meisten Banken funktionieren. Das ist in der Tat ein Schwachpunkt, aber offensichtlich sind derlei Störaktionen selten, sonst würden sich die Banken eine andere Zugangsprozedur ausdenken.

Bei manchen Banken ist die Nutzerkennung die Kundennummer, die mit der Kontonummer nichts zu tun hat und üblicherweise nicht kommuniziert wird. In einem Phishingfall hilft das allerdings nicht weiter, der der Phisher phisht ja auch die Kundennummer ab.

Ein selbstgewählter Nutzername könnte helfen, den könnte man ändern (lassen) ohne gleichzeitig die Konto- oder Kundennummer ändern zu müssen.

Ich habe meinen Anmeldenamen bei der DKB irgendwann mal geändert, weil ich mir diese Nummer nicht merken konnte. Allerdings gab es da noch das alte Online-Banking im Browser. Bei der neuen Version scheint das tatsächlich nicht mehr zu funktionieren. Die tolle KI-Hilfe dort meint jedenfalls:

Anmeldenamen ändern

KI Antwort

Den Anmeldenamen für deinen Banking-Zugang bei der DKB kannst du nicht selbst ändern. Wenn du deinen Anmeldenamen vergessen hast, kannst du ihn dir per E-Mail zusenden lassen. Dazu benötigst du die Debitkartennummer, die du auf der Rückseite deiner Visa Debitkarte findest. Wenn du weitere Hilfe benötigst, lass es mich wissen!

Diese Antwort ist natürlich Blödsinn. Sie besagt lediglich, dass man den Anmeldenamen nicht selbst ändern kann. Das schließt jedoch nicht aus, dass die DKB ihn ändern kann. Ob die das allerdings macht, weiß man nicht. Technisch ist es jedenfalls möglich. Es muss nicht zwingend die Kontonummer mit dem Suffix sein.

Wenn die DKB in diesem Falle nicht weiterhilft, wird dir nichts anderes übrig bleiben, das betroffene Konto zu kündigen und ggf. ein neues zu eröffnen.

Was man in dem Fall gut sehen kann, ist die unsichere Implementierung der 2-Faktor-Autorisierung. Bringt der Täter das Opfer dazu, nur eine TAN herauszurücken, kommt er in den dauernden Besitz des 2. Faktors und hat vollen Zugriff. Das liegt eben daran, dass die 2FA-Berechtigung softwaremäßig auf eine andere Hardware, hier das Smartphone, einfach transferiert werden kann. Würde man die TANs mittels Debitkarte und Kartenleser erzeugen, wäre der Transfer niemals möglich, weil der Täter eben normalerweise keine Möglichkeit hätte, an die benötigte Hardware (Debitkarte) zu kommen. Aber Smartphone-Banking ist ja so cool und bequem.

Zitat von sam51

Was man in dem Fall gut sehen kann, ist die unsichere Implementierung der 2-Faktor-Autorisierung. Bringt der Täter das Opfer dazu, nur eine TAN herauszurücken, kommt er in den dauernden Besitz des 2. Faktors und hat vollen Zugriff.

Wäre aber bei Raibas, Sparkassen und Co. nicht anders, weil das hier ein simpler Phishing + Social Engineering-Fall ist - kein Hacking.

Wenn der Kunde in der DKB App oder per ChipTan diese an den Betrüger weitergibt, dann hat der Betrüger Zugriff auf das Konto. Bei der DKB sind zwei 2FA Abfragen nötig um die Telefonnummer zu ändern, soweit mir bekannt ist. 1. Anfrage: Login

2. Anfrage: Änderung von Passwort oder Telefonnummer

Das bedeutet hier müssen sogar zwei „TANs“ weitergeben werden.

Das bedeutet der Betrüger ändert die Telefonnummer und legt dann ein neues Gerät an.

Bitte hier nicht den TE in „Schutz“ nehmen und die Bank beschuldigen. Die Bank kann da wenig dafür wenn durch den „unsichereren Faktor“ Mensch einfach so TANs/PINs oder 2FA Freigaben ausgelöst werden, obwohl dies von Seiten der Banken immer wieder gesagt wird - „Niemals TANs per Telefon, Email oder sonst wie rausgeben“.

Das einzige was ich blöd gelöst von der DKB und vielen anderen Banken finde ist das Anmeldekennungen oft nicht angepasst werden können. Bei der DKB können nämlich Neukunden ihre Anmeldekennung selbst festlegen.