online-banking betrug / Phishing

#1 tach,
habe heute auf meinem kontoauszug gesehen, dass über 4000 € von meinem konto per onlineüberweisung abgebucht wurden, ohne dass ich dies veranlasst hätte....
hab schon mit der bank gesprochen und bei der polizei strafantrag gestellt.
klar hat die bank mein online-banking dicht gemacht.
ich hatte an dem tag davor eine überweisung zu tätigen, und dabei wurde meine tan verweigert. auch nach dreimaligem neuen hochfahren des pcs. mit der nächsten klappte dann alles. frage ist jetzt von wegen kulanz etc.
habe ja sogar kontonummer bankleitzahl und name des empfängers auf meinem kontoauszug!
naja mal sehen.
kennt jemand ähnliche fälle?
dann bitte melden!
stehe im moment ein wenig neben mir, ehrlich gesagt!
danke!

#2 hui,

höre solche Geschichten im Augenblick recht häufig im Bekanntenkreis!

Hast Du eventuell in letzter Zeit Emails von Deiner Bank bekommen?
Du solltest Dein Computer unbedingt nach Trojanern durchchecken! (eventuell Hijackthislog posten)

handelt es sich bei dem Empfänger um eine deutsche Bank? oder um eine im Ausland? - ich denke bei deutschen Banken hast Du recht gute Chancen Dein Geld wiederzubekommen!

du solltest per Anwalt veranlassen, das das Geld auf dem Empfängerkonto erstmal eingefroren wird, sowie per Anwalt Einsicht in die Logdaten der Bank anfordern, d.h. wer mit welcher IP wann die Überweisung getätigt hat! (das wird gespeichert)

mit den Daten kann in den nächsten 6 Wochen (danach werden die Daten gelöscht) die Polizei beim Provider den Täter herausfinden

viel Glück, berichte bitte!
Greetz Lp

#3 ist eine deutsche bank sogar eine der gleichen kette bei der ich bin. na die ip der überweisung wird ja wohl meine sein oder? so komm ich da nicht dran. wenn dann gehts nur über die kontodaten des empfängers, vielleicht konto mit gefälschten papieren eröffnet, dann mehrere wie mich abgezogen, konto abgeräumt und auf und davon, naja polizei ermittelt jetzt.
frage mich nur ob die dann auch an meinen rechner müssen....
22:50 na klasse, gibt genau einen gemeldeten in deutschland, der den namen besitzt, der in meinem kontoauszug steht.
und der dealt laut internet mit frauen aus russland.
worauf lass ich mich da jetzt ein?
hab ich bock auf stress mit der russenmafia?
in was für eine scheisse bin ich da nur reingetreten...

#4 Erstell und poste mal so ein LogFile. Evtl. sind Schädlinge bei dir auf dem System aktiv.

Hinweis: Diese wären dann aber erst zu sichern (Beweismittel), und nicht sofort zu löschen! Das aber nur vorweg als Info.

#5 also die IP mit der die Überweisung getätigt wurde (kann Deine) aber wird sehr wahrscheinlich die IP vom Bösewicht sein!!

also ein Logfile von Dir wäre interessant!

Greetz Lp

#6 wie erstelle ich diesen logfile?

#7 HijackThis 1.99.1
http://www.downloads.subratam.org/hijackthis.zip
http://www.spywareinfo.com/~merijn/files/hijackthis.zip
Installiere das Programm in einem eigenen Ordner.
Starte das Programm mit der exe-Datei => Scan drücken => Save Log drücken => der Texteditor mit dem Log öffnet sich. Den gesamten Text abkopieren und hierher posten.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#8 Logfile of HijackThis v1.99.1
Scan saved at 13:12:28, on 12.04.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Nikon\NkView6\NkvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\geosma\LOKALE~1\Temp\Rar$EX00.170\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:1669
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - C:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: AdSubtract.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab

tja von meiner bank steht da irgendwie gar nix drin, den rest versteh ich zwar auch nicht, aber vielleicht kanns mir ja einer von euch erklären...

#9 Hallo geosma,

zunächst einmal würde mich interessieren: bist Du mit dieser Systemkonfiguration, ohne Antivir Prog sowie Firewall (XP-Firewall?) die ganze Zeit schon im Inet unterwegs und machst Internet-Banking? Sitzt Du hinter einem Router? Hast Du das System erst kürzlich neu aufgelegt?

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#10

Zitat

geosma postete
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Nicht gut. Es fehlen "beide" Service-Packs (bzw. das SP2, welches ja ein kumulatives Update ist).

Zitat

O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab

Einen Schädling hätten wir schon mal. Ich glaube allerdings nicht, dass das der einzige ist.

#11 Hallo@geosma

Ich weiss nicht, ob das hier angefuehrte fuer dich in Frage kommt, aber es wuerde mich interessieren, auf welchem Weg die Betrueger in den Besitz deiner Bank-Zugangsdaten gekommen sind.

Phishing
http://www.sicherheit-online.net/phishing.html
Übersetzen könnte man Phishing mit “Angeln” oder “Abfischen” von persönlichen Daten. Die Zahl der Opfer geht bereits in die Zehntausende. Was Phishing ist, wie es funktioniert und wie man sich schützen kann, lesen sie in diesem Kapitel.

überlistet ahnungslose Online-Banking Kunden mit manipulierten Emails

die Methode
Beim Phishings werden die Opfer dazu gebracht, ihre persönlichen Daten, etwa Passworte, Kreditkarteninformationen oder Onlinebanking-Daten, herauszugeben: In eMails, die scheinbar von seriösen Banken oder Firmen stammen, werden die Betroffenen aufgefordert, auf der Internetseite des Kreditinstituts oder des Unternehmens ihre Daten erneut einzugeben. Oft wird als Grund eine notwendige Aktualisierung, ein angeblicher Datenverlust oder sogar eine Sicherheitsmaßnahme angegeben. Die in der eMail angegebenen Links führen auf Webseiten, die den Seiten der echten Unternehmen täuschend ähnlich sehen. Tatsächlich handelt es sich um Fälschungen. Damit landen die dort eingegebenen Daten direkt bei den Betrügern, werden “abgefischt” und missbraucht. So können Onlinebanking-Daten für Abbuchungen direkt aufs Konto der Täter verwendet werden, Passworte, etwa von ebay, für die groß angelegte Abzocke Unbeteiligter missbraucht werden. Allein im Juni 2004 wurden weltweit über 1400 Phishing-Attacken gezählt, die Zahl steigt weiter an.

die Technik
Beim Phishing werden in aller Regel eMails im html-Format eingesetzt, also in der gleichen Technik, in der Webseiten erstellt sind. Das ermöglicht den Täter zum einen, Logos und Grafiken der vorgetäuschten Banken und Firmen einzusetzen. Zum anderen können so die Links auf die gefälschten Webseiten vertuscht werden. Im Zusammenspiel mit der leicht zu fälschenden Absenderadresse ergeben sich Mails, die auf den ersten Blick tatsächlich so aussehen, als stammten sie von den vorgegebenen Unternehmen.

Ähnlich ist es mit den Zielseiten selbst. Auch hier kommen die vertrauten grafischen Elemente der vorgetäuschten Unternehmen oder Banken zum Einsatz. In vielen Fällen wird zugleich der Browser der Opfer derart manipuliert, dass sogar eine sichere Verbindung - die SSL-Verschlüsselung - vorgegaukelt wird. Dies verstärkt bei den Betroffenen den Eindruck, es tatsächlich mit dem seriösen Unternehmen zu tun zu haben - und nicht mit Betrügern.

Beispiel:
# Virus:Trj/Citifraud.A Citibank: Urgent Security Notice For CIient [Sat, 28 Aug 2004 21:01:37 +0600]\MSG_RTF.TXT
# OFFICIAL INFORMATION TO ALL Citizens Bank CLIENTS\MSG_RTF.TXT
# CUSTOMER NOTIFICATION: DETAILS CONFIRMATION\MSG_RTF.TXT

Zwei Beispiele verdeutlichen, wie perfide die Täter arbeiten. Im ersten Fall kommt die eMail scheinbar vom Internetauktionshaus ebay. Das Opfer wird darin aufgefordert, über den angegebenen Link auf die ebay-Startseite zu gehen und dort erneut seine gesamten Zugangsdaten zu “aktualisieren”. Tatsächlich führt der Link aber nicht auf www.ebay.com, sondern auf eine ganz andere Seite. dies ist in der Mail nicht zu erkennen:

Im zweiten Fall wurde die Postbank - und deren Kunden - Opfer der Betrüger. Auch hier schien die Mail tatsächlich von dem deutschen Unternehmen zu kommen. Vorgegeben wurde, dass eine monatliche Überprüfung stattfinde und auf der Webseite des Kreditinstituts die Zugangsdaten der Kunden kontrolliert werden müssten. Auch hier führte der angegebene Link - auf den ersten Blick überhaupt nicht ersichtlich - auf eine andere Seite als die vorgegebene:

Die Gefahr
Die beiden Beispiele führen die Gefahr des Phishings drastisch vor Augen. Selbst für erfahrene Internetsurfer ist kaum ersichtlich, dass es sich um Fälschungen handelt. Der Schaden für den Betroffenen liegt nicht allein im Datenverlust, sondern ganz konkret an der wirtschaftlichen Schädigung. Konto- und Onlinebankingdaten in den falschen Händen können das Opfer schnell mehrere tausend Euro kosten. Es sind viele Fälle bekannt, in denen die Täter Konten vollständig abräumten, ehe Betroffene oder Banken reagieren konnten.

So schützen Sie sich vor Daten-Fischern

Phishing beruht in erster Linie auf Täuschung. Daher ist der beste Schutz vor dieser Art der Internetkriminalität gesundes Misstrauen. Folgende Tipps sollten Sie beherzigen, um nicht zum Phishing-Opfer zu werden:
* Datenschutz: Kein seriöses Unternehmen wird Sie per Mail auffordern, Ihre persönlichen Daten erneut einzugeben oder zu aktualisieren. Sollte dies doch einmal vorkommen, fragen Sie direkt bei der Bank oder der Firma nach. Eine solche Nachfrage sollte immer per Telefon oder Fax erfolgen. Sofern Sie lieber per Mail anfragen möchten, verwenden Sie die Ihnen bekannte Mailadresse des Unternehmens, niemals eine solche, die in der verdächtigen Mail genannt ist.
* Textformat: Die meisten Mailprogramme bieten Ihnen die Auswahl, ob Sie Mails im html-Format erhalten möchten oder im reinen Textformat. Entscheiden Sie sich für das Textformat. Mails mögen dann nicht mehr so farbig sein; irreführende Links - und andere Gefahren - gehören dann aber der Vergangenheit an.
* Seitenbesuch: Besuchen Sie Webseiten immer über das Lesezeichen in Ihrem Browser, oder geben Sie die Adresse (URL) manuell in die Adressleiste des Browsers ein.
* Ignorieren: Reagieren Sie niemals auf eMails, in denen Sie zur Eingabe oder Aktualisierung persönlicher Daten aufgefordert werden.
* Information: Wenn Sie eine verdächtige Mail - gleich welcher Art - erhalten, überprüfen Sie in den gängigen Suchmaschinen, was es damit auf sich hat. Geben Sie hierbei passende Stichworte ein, etwa den Namen des vermeintlichen Absenders und den Begriff “Mail”, “Phishing”, oder auch “Betrug”. Die hohe Zahl der Informations- und Verbraucherschutzseiten im Internet macht es wahrscheinlich, dass aktuelle Phishing-Attacken sehr schnell bekannt werden und entsprechende Warnungen veröffentlicht sind.

wenn es passiert ist
Sollten Sie eines Tages trotz aller Sicherheitsvorkehrungen doch zum Opfer eines Daten-Fischers geworden sein, bleibt Ihnen nur noch schnelle Reaktion:
* Setzen Sie sich sofort mit Ihrer Bank oder Ihrem Auktionshaus in Verbindung. Informieren Sie diese(s) über den Vorfall und bitten Sie um Reaktion, bzw. Sperrung Ihrer Zugangsdaten. Dies ist sehr wichtig, weil Sie sonst unter Umständen selbst für den entstandenen Schaden haften müssen.
* Ändern Sie gegebenenfalls sofort Ihr Passwort. Sollte es sich um Online-Banking handeln, ändern Sie Ihre PIN und lassen beim Kreditinstitut Ihre TAN-Liste sperren.
* Sofern Ihnen finanzieller Schaden entstanden ist, erstatten Sie umgehend Strafanzeige bei Ihrer örtlichen Kriminalpolizeidienststelle. Sichern Sie dazu alle verfügbaren Beweise, etwa die Phishing-Mail. Erstellen Sie einen Screenshot der Betrugsseite. Für einen Bildschirmausdruck gehen Sie auf die entsprechende Seite und drücken die Tasten Alt GR + Druck. Dann öffnen Sie ein leeres Word-Dokument. Nun klicken Sie die rechte Maustaste und gehen im Kontextmenü auf “Einfügen”. Dann haben Sie ein Dokument mit einer Kopie des Bildschirms, das Sie ausdrucken und vorlegen können.

---------------------------------------------------------------------------

Nimm deine XP-CD und formatiere , denn dein PC ist weiterhin verseucht und eine Reinigung wuerde ich nicht empfehlen.
Installiere dann einen Antivirenguard, und surfe mit dem Firefox (siehe 2. Link auf meiner Site)
http://virus-protect.org/
__________
MfG Sabina

rund um die PC-Sicherheit

#12 Ich würde auf keinen Fall formatieren! Sondern den Rechner vom Netz trennen und der Polizei übergeben!

Von einem formatierten Rechner aus, kann keine Beweissicherung statt finden und eine Beweissicherung/Untersuchung ist unerlässlich bei solch einem Fall. 4000€ sind kein Pappenstiel, da muss man schon handeln. Vor allem, wenn man nicht weiß ob man das Geld von der Bank zurück bekommt (sprich: die Überweisung rückgängig/stornieren kann oder ähnliches).

Nachdem der Fall geklärt worden ist, ist der Rechner natürlich zu formatieren, da stimme ich dir 100% zu, aber meiner Meinung nach nicht vorher.
__________
"life's a bitch, turn around and she'll backstab you for a buck."

#13 Hallo, bin neu hier und habe zu diesem Thema eine Frage:
habe vorgestern auch diese besagte Mail bekommen, habe diese geöffnet aber nicht den darin enthaltenen Link geöffnet. Nach einigen Stunden habe ich die Mail gelöscht. Laufe ich allein durch das Öffnen der Mail Gefahr, dass mein Rechner nun infiziert ist oder das sich jemand eingeschleust hat ? Wäre sehr dankbar für eine Antwort, da ich mich im Moment nicht mehr traue auf mein Postbankkonto zu gehen.
VG Irina

#14 Hallo@Irina155

wenn du nicht auf die Mail geantwortet hast und keine Daten uebermittelt, dann hast im Grunde nichts zu befuerchten

Zitat

die Methode
Beim Phishings werden die Opfer dazu gebracht, ihre persönlichen Daten, etwa Passworte, Kreditkarteninformationen oder Onlinebanking-Daten, herauszugeben:

__________
MfG Sabina

rund um die PC-Sicherheit

#15 moin zusammen,
moin geosma

bis zur klärung des falls würde ich dringend empfehlen die fp vom netz zu nehmen (kein i-net zugang mehr machen). wenn du nicht fit bist mit virenscannern, dann lass auch kein virensuchprogrammm laufen oder sonstige troijanersucher und nix löschen. vieleicht ist dochnochwas brauchbares dabei.

ist der fall geklärt (wie auch immer, ich hoffe im guten), ist die empfehlung von sabina die beste, system neu aufbauen.

anschliesend schau dich am board bischen um und härte dein system.

mfg fake
__________
Teile dein Wissen, denn das ist der einzige Weg Unsterblichkeit zu erlangen (Dalai Lama)