Hallo,
mir wurde am Sonntag früh mein online Konto gehakt und jemand hat sich Geld auf sein eigenes Konto überwiesen. Nun erhielt ich die Auskunft, dass man es nicht zurück holen kann, da es danach sofort auf ein anderes Konto überwiesen wurde.
Auf meine Nachfrage, ob Banken nicht gegen so was versichert sein müssten, bekam ich lapidar die Antwort, dass die Bank dies nur ersetzen müsse, wenn sie daran schuld sei.
Nun ist meine Frage, wie (also Anzeige wurde am Sonntag zeitnah gestellt) was kann ich tun, damit die Bank das Geld ersetzen muss? Ich habe schon ein wenig gegoogelt, komme aber nicht wirklich weiter? Einen Anwalt einschalten? Falls die Polizei den bekommt, kann ich dann auch zivilrechtlich klagen? Schließlich habe ich seit Tagen nur Ärger am Hals, hänge nur am Telefon, schreibe E-Mail, Rücklastkosten, weil Dinge nicht abgebucht werden konnten und und und...
Danke
Konto gehakt, Gled gestohlen
Böse Bank?
Böse Bank?
Zitatwas kann ich tun, damit die Bank das Geld ersetzen muss? :
Nachweisen, dass man mit seinen Daten nicht grob fahrlässig umgegangen ist. Welches TAN-Verfahren wird benutzt? Und in welches Land wurde überwiesen?
ZitatFalls die Polizei den bekommt, kann ich dann auch zivilrechtlich klagen? :
Ja. Als Geschädigter kann man Auskunft erhalten, wenn der Kontoinhaber ermittelt wurde.
ZitatEinen Anwalt einschalten? :
Meiner Meinung nach noch zu früh.
Zitat:Zitatwas kann ich tun, damit die Bank das Geld ersetzen muss? :
Nachweisen, dass man mit seinen Daten nicht grob fahrlässig umgegangen ist. Welches TAN-Verfahren wird benutzt? Und in welches Land wurde überwiesen?
Wie soll man das denn nachweisen? Ich mache onlinebanking in der Regel von zu Hause, das bezieht sich darauf, dass ich mal checke, was schon abgebucht wurde, bzw. überweise mal eine Rechnung, was auch selten vorkommt.
Die Fidorbank nutzt MTANS. Angefangen hat das, dass man sich Zugang zu meinem Konto verschafft hat, dann die dort hinterlegte Handynummer geändert hat (ich bekam die SMS und habe dann sofort auf diesen Betrugslink geklickt und eine E-Mail an meine Bank damit ausgelöst), das war um 06:40.
Nun kann man bei dieser Bank einen Geldnotruf in Höhe von 100€ auslösen, für den Zeitraum von 4 Wochen, das hat derjenige gemacht und sich dann insgesamt 510€ auf sein Konto, welches auch bei der Fidorbank ist überwiesen und dieses dann direkt weiter transferiert, aber die Bank wollte mir nicht sagen wohin oder zu welcher Bank, da müsste ich auf die Ermittlungen der Polizei warten.
ZitatFalls die Polizei den bekommt, kann ich dann auch zivilrechtlich klagen? :
Ja. Als Geschädigter kann man Auskunft erhalten, wenn der Kontoinhaber ermittelt wurde.
ok, dann muss ich da warten, bis die was ermittelt haben
ZitatEinen Anwalt einschalten? :
Meiner Meinung nach noch zu früh.
Inwiefern zu früh? Wann ist denn da der "richtige" Zeitpunkt?
Auf Frag-einen-Anwalt.de antwortet Ihnen ein Rechtsanwalt innerhalb von 2 Stunden. Sie bestimmen den Preis.
Zitat:dass die Bank dies nur ersetzen müsse, wenn sie daran schuld sei.
Das ist schlichtweg falsch.
Details siehe u.a. hier: https://www.recht-freundlich.de/phishing-online-banking/phishing-online-banking-gehackt-betrug-rechtslage
Man tut gut daran, zeitnah zu reagieren (hast du offenkundig) und man tut gut daran, nie seine Daten weitergegeben zu haben, Rechner gut geschützt zu haben usw.
Hallo,
Und mit welcher TAN hat man das gemacht?Zitat:Angefangen hat das, dass man sich Zugang zu meinem Konto verschafft hat, dann die dort hinterlegte Handynummer geändert hat
Stefan
Sorry, war längere Zeit krank und konnte nicht antworten.
Nach langen 2,5 Wochen hat die Bank mir nun mitgeteilt, dass sie mir das Geld nicht erstatten wird, da ich wohl Opfer eines Phishingangriffes war und somit selber schuld bin.
Sie hat mir nun die Daten desjenigen genannt, der mein Konto leergeräumt hat.
Anzeige ist ja bereits erstattet, kann ich denn jetzt, ich meine, ich hatte ja nun eine Menge Ärger, Kosten (RL und so), zivilrechtlich da was machen? Anschreiben, Mahnbescheid ect.
Freiwillig wird der das Geld ja wohl nicht rausgeben.
Zitatzivilrechtlich da was machen? Anschreiben, Mahnbescheid ect. :
Ja, kann man alles machen. Jetzt wäre der richtige Zeitpunkt für einen Anwalt. Achtung: Wenn bei demjenigen nichts zu holen ist, bleibt man auf den Kosten sitzen.
Als erstes würde ich mal ein Einschreiben senden, mit der Aufforderung das Geld zurück zu zahlen. Für die Zahlung eine Frist nach Datum setzen (14 Tage mindestens).
Zitat:Anschreiben, Mahnbescheid ect.
In meinen Augen ist es richtig, einen Mahnbescheid gegen die Bank einzureichen.
Zitat:Nach langen 2,5 Wochen hat die Bank mir nun mitgeteilt, dass sie mir das Geld nicht erstatten wird, da ich wohl Opfer eines Phishingangriffes war und somit selber schuld bin.
Nur weil die Bank behauptet, nichts zahlen zu müssen, heisst das nicht, dass die Bank im Recht sei.
Die Bank muss den Zahlungsauftrag und dass deren Sicherheitssystem sicher sind, im Zweifelsfall nachweisen.
Hallo,
meine Frage nach der TAN ist immer noch offen.
Ich befürchte ja das er das auch unfreiwillig nicht tut (besser: tuen kann).Zitat:Freiwillig wird der das Geld ja wohl nicht rausgeben.
Stefan
Zitat:meine Frage nach der TAN ist immer noch offen.
Das ist eine der Kackpunkte, dass man das teilweise ohne machen kann je nach Bank. Und ich vermute, dass dies hier ebenfalls ohne TAN erfolgt ist (@TE: Bitte mal bestätigen).
Die Gesamtsituation wann und wie es zum Phishing kam, ist ebenfalls enorm wichtig. War dieser Phishing-Versuch als solcher gut zu erkennen? Ich habe nicht ohne Grund den Artikel oben verlinkt. Ich finde, er hat da diesen Dschungel aus Urteilen sehr gut zusammen gefasst und auch sehr gut auf die Sorgfaltspflichten des Kontoinhabers verwiesen.
Die zu klärende Randbedingung ist hier, ob die Bank hier nicht doch etwas verkehrt gemacht hat, indem sie so eine Sicherheitslücke offen lässt und eine relativ einfache Stammdatenänderung einfach so online zulässt ohne TAN (wenn es denn so war). Die Banken hören das nicht gerne und der Reflex hier, erst mal abzulenken und alle Schuld dem Kontoinhaber zu zu schieben ist relativ normal, aber deswegen noch lange nicht richtig. Dieser Angriffsvektor mit der Stammdatenänderung ist bereits zu lange bekannt und kann von den Banken relativ problemlos geschlossen werden (Änderung verbieten und nur nach erneuter Personenbestätigung).
Der Zeitablauf ist auch extrem wichtig. Der TE schreibt folgendes:
Zitat:(ich bekam die SMS und habe dann sofort auf diesen Betrugslink geklickt und eine E-Mail an meine Bank damit ausgelöst), das war um 06:40.
Ich lese das so, dass der TE sehr zeitnah reagierte und somit trotzdem die Bank davon wusste, immer weiter über Wochen verteilt Geld verschwunden ist. Und wenn meine Interpretation stimmt, ist das für die Bank ein gewaltiges Problem. Denn alles, was nach Meldung an die Bank da noch an Transaktionen passiert ist, MUSS ersetzt werden. Denn da ist dann zu 100% die Bank selbst Schuld. Hoffentlich kann man die schnelle Reaktion und die entsprechende Meldung an die Bank nachweisen.
Allerdings gibt es hier auch Fallstricke. War die SMS gefakt und diese der eigentliche Phishing-Versuch? War der Link ein Betrugslink? Was musste man da im Formular eingeben? Auch die Zugangsdaten samt PIN?
Darüber hinaus kann man sich das Geld nur vom Kontoinhaber des Geldempfängers wieder holen, wenn man gegen die eigene Bank nicht vorgehen kann oder will. Der hat das natürlich nicht mehr, denn er hat ja nur als Geldagent das Geld weitergeschleust. Meist fallen solche Menschen aus allen Wolken, da sie ja nur "einer seriösen Tätigkeit" nachgegangen sind. Da kann man nicht immer was holen. Manchmal hat man das "Glück" und solche Geldagenten sind noch jung, kriegen mal eine gute Arbeit und irgendwann nach viel Geduld und Ärger kriegt man dann das Geld zurück.
-- Editiert von mepeisen am 24.11.2017 07:11
Hallo,
Ja, sehe ich auch so (deshalb hab' ich etwas hartnäckig gefragt).Zitat:Das ist eine der Kackpunkte, dass man das teilweise ohne machen kann je nach Bank.
Wenn das wirklich ohne TAN geht, dann sehe ich eine 100%ige Haftung bei der Bank, das ist einfach grob fahrlässig.
Seriöse Banken fragen bei solch' gravierenden Änderungen wie der Telefonnummer (über die die TAN ja kommt) sogar mehrmals auf unterschiedlichen Wegen nach (TAN, und per Post o.ä.). Der Grund der doppelten Absicherung ist, dass Betrüger die durch Fishing, Viren oder Trojaner vielleicht an eine TAN gekommen sind damit nur begrenzt Unheil anrichten können.
Eine Info wie "diese Funktion ist online nicht verfügbar" hatte ich jedenfalls schon öfter. Ist manchmal lästig, aber im Zweifel mehrfache Sicherheit ist bestimmt nicht verkehrt.
So hatte ich es eigentlich nicht verstanden.Zitat:trotzdem die Bank davon wusste, immer weiter über Wochen verteilt Geld verschwunden ist.
Aber wenn: Jede TAN die ab der Meldung an die falsche Nummer gesendet wurde liegt ganz eindeutig in der Verantwortung und Haftung der Bank (noch mehr als meine 100% von oben ).
Stefan
Zitat:So hatte ich es eigentlich nicht verstanden.
Hmmm. @TE: Vielleicht nochmal erklären, wie der Ablauf war. Und b das Geld sofort verschwunden war oder auch nach deiner Meldung noch Geld verschwand. Kann man so oder so sehen, was du geschrieben hast :-)
Die Bank hat mir mitgeteilt, dass ich auf Phishing reingefallen wäre und meine Handynummer nur mit E-Mail-Adresse, Passwortes sowie der persönlichen FIN zu ädern wäre, was ich allerdings so nicht bestätigen kann, da ich meine Handynummer ja wieder eingegeben hatte und ich da mein FIN nicht eingegeben habe. Und überhaupt habe ich die bei der FIDOR so gut wie nie nutzen müssen. Ich erinnere mich, dass ich Wochen vorher eine Mail, wie ich sie immer mal wieder erhalten habe, von der Bank bzgl. geänderter AGB´s erhalten habe, aber ob ich mich da online zu einloggen musste, weiß ich echt nicht mehr, war ja lange vor dem hack.
Geld ist nur einmal verschwunden, nach der Meldung bzw. Sperrung nicht mehr, ging eh nicht, er hat ja kaum was draus gelassen.
Mittlerweile habe ich über einige Portale gelesen, dass es wohl in den letzten Wochen häufiger vorgekommen ist, dass man Kunden dieser Bank Geld vom Konto geholt hat, genauso wie bei mir. Also scheint das Problem ja wohl schon länger zu existieren, also schon bevor es mir passiert ist.
Für einen Anwalt habe ich leider kein Geld, aber ein Einschreiben werde ich dem schon mal schicken, denke ich und ihn auffordern, mein Geld zurückzugeben, egal wie.
ZitatAlso scheint das Problem ja wohl schon länger zu existieren, also schon bevor es mir passiert ist. :
Alle Sachen dieman findet entsprechend sichern.
Das kann noch wichtig werden.
Ich würde dann auch mit den Beweisen dieBaFin kontaktieren, das da eine Bank ist die offenbar von Sicherheitslücken weis ohne diese zu beheben.
Und die offenbar sogar lügt, um von den eigenen Sicherheitslücken abzulenken. Die Bank beschreibt Sicherheitsmechanismen, die du gar nicht bestätigen kannst, als du die Handynummer wieder korrigiert hast, und die BaFin möge das mal untersuchen.
Ansonsten habe ich hinsichtlich des Ablaufs offenbar falsch verstanden. Also wenn das einmalig war und nicht über längere Zeit verteilt. Also mal meine Angaben dazu ignorieren. Ändert an dem Rest aber nichts. Wenn es diese Sicherheitsrichtlinien der Bank gar nicht gibt und ein einfacher Login ausreicht, um eine andere Handynummer einzutragen, halte ich das für geradezu schon vorsätzlich fahrlässig. "Beihilfe zum Betrug" will ich jetzt mal nicht in den Mund nehmen...
Hallo,
Und hast du eine solche Email bekommen? Oder wurde auch dein Emailkonto gehackt?Zitat:meine Handynummer nur mit E-Mail-Adresse, Passwortes sowie der persönlichen FIN zu ädern wäre
Oder noch schlimmer: Konnte der Angreifer auch die Emailadresse ändern? Diese Info ist nämlich praktisch genauso Sicherheitsrelevant wie die Handynummer.
Ich bleibe dabei, es ist grob fahrlässig, eine dieser beiden Angaben einfach so änderbar zu machen. Mindestens muss jeweils über den anderen Weg bestätigt werden (Emailadresse per TAN, und Handynummer per Email/Bestätigungslink).
Wie gesagt, mindestens, denn imho reicht das auch nicht (weil beispielsweise das Handy gehackt werden könnte, oder geklaut - und damit hat man sowohl die Emailadresse als auch das Handy respektive die TAN).
Ich würde mich mal an die Schlichtungsstelle für Banken wenden, ist in der Regel sogar kostenlos.
An wen willst du denn das Einschreiben schicken? Kennst du den Geldempfänger?Zitat:Für einen Anwalt habe ich leider kein Geld, aber ein Einschreiben werde ich dem schon mal schicken, denke ich und ihn auffordern, mein Geld zurückzugeben, egal wie.
Stefan
Zitat:an die Schlichtungsstelle für Banken
---> https://bankenombudsmann.de/geschaeftsstelle/anschrift-und-kontakt/
Die Bank muss aber dem Verfahren nicht zustimmen
ZitatHallo, :
Und hast du eine solche Email bekommen? Oder wurde auch dein Emailkonto gehackt?Zitat:meine Handynummer nur mit E-Mail-Adresse, Passwortes sowie der persönlichen FIN zu ädern wäre
Oder noch schlimmer: Konnte der Angreifer auch die Emailadresse ändern? Diese Info ist nämlich praktisch genauso Sicherheitsrelevant wie die Handynummer.Zitat:
Nein, meine E-Mailadresse wurde nicht geändert, was komisch ist, ich habe es nämlich nun mal getestet. Man bekommt, egal, was man ändert immer eine Mail zugeschickt, darin ist ein Link enthalten, dann muss man die FIN eingeben und dann erhält man die MTan.
Ich habe an diesem Morgen eine solche E-Mail nicht erhalten. Nun weiß ich nicht, wie das mit Fishing funktioniert, ob die das dann übergehen können oder das irgendwie anders regeln. Nun könnte man noch sagen, dass ich meine E-Mail Zugangsdaten rausgegeben habe. Nein, das war nicht der Fall, noch nicht mal mein Mann kennt meine Zugangsdaten.
Zitat:Ich würde mich mal an die Schlichtungsstelle für Banken wenden, ist in der Regel sogar kostenlos.Zitat:
Muss da die Bank nicht angeschlossen sein?
An wen willst du denn das Einschreiben schicken? Kennst du den Geldempfänger?Zitat:Für einen Anwalt habe ich leider kein Geld, aber ein Einschreiben werde ich dem schon mal schicken, denke ich und ihn auffordern, mein Geld zurückzugeben, egal wie.Zitat:
Ja die Bank hat mir den Namen und die Anschrift und das Geburtsdatum mitgeteilt.
Ich habe bis heute auch nichts von der Polizei bzw. der Kripo und/oder Staatsanwaltschaft gehört bzw. gelesen.
Stefan
Das mit dem Zitieren üben wir aber nochmal ;-)
Zitat:Nein, meine E-Mailadresse wurde nicht geändert
Vielleicht wurde sie geändert und dann nach Ende der Attacke wieder zurück gestellt, um Spuren etwas zu verwischen...
Ich würde dir auf jeden Fall mal empfehlen, dein System genau nach Trojanern usw. zu untersuchen. Ggf. auch mal ganz frisch neu aufsetzen.
Und alle Passwörter ändern. Nur um ganz sicher zu gehen.
Genau lässt sich das womöglich nicht aufdröseln, wenn die Bank da nicht richtig zuarbeitet.
Zitat:Muss da die Bank nicht angeschlossen sein?
Die Bank muss an dem Schlichtungsverfahren nicht teilnehmen. Egal ob sie da angeschlossen ist oder nicht. Ich würde es probieren. Mehr als ggf. Briefporto kostet dich das ja nicht, dort eine Schlichtung zu probieren.
Ich habe schon alles an relavanten Daten geändert. Und meine Software sucht alle 3 Tage nach allem möglichen.
Was die Änderung der E-Mail Adresse angeht, hätte ich an meine erst mal eine E-Mail bekommen, um diese Änderung zu verifizieren.
Ich habe auf jeden Fall schon mal ein Schreiben aufgesetzt, an den Täter, aber das muss ich noch was ausfeilen.
Wenn die Bank sich an der Schlichtung beteiligt, muss sie den Schlichterspruch akzeptieren.
1) Beschwerde an die BAFIN (viell. wird dann ja jmd bei der Fidor Bank wach)
2) Schlichtung über den Bankenombudsmann starten
3) Gerichtlichen Mahnbescheid gegen Fidor Bank beantragen
Punkt 3 würde ich erst machen, wenn die Schlichtung scheitert bzw. die Bank die Schlichtung verweigert.
Zitat:Ich habe auf jeden Fall schon mal ein Schreiben aufgesetzt, an den Täter, aber das muss ich noch was ausfeilen
Ist die Frage, was das bringt. Das ist ja nicht der eigentliche Täter. Das ist im Regelfall nur einer, der als Geldagent sein Konto zur Verfügung stellt. Klar, man kann sich an ihn halten, aber ob man da etwas holen kann?
Im Endeffekt kostet es nur etwas Mühe, erst mal sowohl bei der Bank als auch beim Kontoinhaber des Zielkontos die Hand aufzuhalten. Aber doppelt befriedigen lassen, ist natürlich nicht erlaubt. Wenn die Bank das Geld ersetzt, dann ist der Geldagent aus dem Spiel und umgekehrt.
-- Editiert von mepeisen am 27.11.2017 16:15
Schritt 1-3 natürlich nacheinander abarbeiten (nicht parallel).
Gegen den Kontoinhaber vorzugehen ist vergebene Liebesmühe.
Hallo,
das mit dem Ombudsmann funktioniert wohl nicht, deine Bank nimmt an diesem Verfahren nicht teil (imho, aber vielleicht hab' ich auch nur nicht richtig geschaut).
Wie kommst du darauf?Zitat:Gegen den Kontoinhaber vorzugehen ist vergebene Liebesmühe.
Natürlich hat der TS einen Herausgabeanspruch, und der ist ganz leicht titulierbar (via Mahnbescheid).
Einzig könnte es schwierig werden den Forderungsanspruch auch durchzusetzen, denn oft haben diese Helfer selber nichts, oder noch weniger.
Ein Titel wäre aber mindestens 30 Jahre gültig, und würde imho auch nicht unter eine Restschuldbefreiung fallen (wegen Straftat).
Man könnte den Kontoinhaber auch noch anzeigen, aber davon würde ich abraten.
Stefan
Zitat:Einzig könnte es schwierig werden den Forderungsanspruch auch durchzusetzen
Genau das ist der Punkt. Das ist ja kein Einzelfall und die Liste der Gläubiger ist lang. Auch wird das kein Gutverdiener sein, denn sonst müsste er solche Jobs als Geldagent nicht machen. Da wird regelmäßig nichts zu holen sein.
Wenn man sich hingegen bei der Bank durchsetzt, wird da viel eher was zu holen sein.
Doch, Fidor Bank nimmt am Schlichtungsverfahren des teil.
https://www.fidor.de/documents/fidor-bank-verbraucherinformation.pdf
Super vielen Dank, das hatte ich noch nicht gesehen, aber jetzt erst mal die Bafin abwarten.
Ich schreibe gerade über Facebook mit einer jungen Frau, die wurde vom selben Typ gehakt wie ich. Sie hat in wohl kontaktiert und er teilte mit, dass er bis Freitag in Thailand sei und nicht auf sein Konto zugreifen kann/will..... bei ihr waren es sogar 1000€, mit meinen 510, kann man schon in Thailand Urlaub machen, denke ich...
Bei ihr hat die Fidorbank der Polizei mitgeteilt, dass sie ihre FIN rausgegeben hätte, hat sie aber genauso wenig wie ich. Das ist alles recht seltsam.
Ich habe von der Polizei noch gar nichts gehört, ist schon 3 Wochen fast her
Da wir beide weder RS noch Geld für einen Anwalt haben, gibt es eine Möglichkeit, zusammen irgendwie zivilrechtlich was zu tun?
Ich würde davon abraten. Zum einen gibt es so etwas wie Sammelklagen nicht. Zum anderen ist es etwas kurios, dass man so einen Hacker wirklich kontaktieren kann bzw. dass er jemals antwortet. Ich wäre vorsichtig. Nicht dass hier nochmal irgendwie mit einer Social Media Attacke nachgelegt wird und du dann Geld überweist in der Hoffnung, dass "ihr Anwalt" was tut und das Geld verschwindet dann ebenso.
Und jetzt?
- Keine Terminabsprache
- Antwort vom Anwalt
- Rückfragen möglich
- Serviceorientierter Support
- Kompetenz und serviceoriente Anwaltsuche
- mit Empfehlung
- Direkt beauftragen oder unverbindlich anfragen
Jetzt Anwalt dazuholen.
Für 60€ beurteilt einer unserer Partneranwälte diese Sache.
- Antwort vom Anwalt
- Innerhalb 24 Stunden
- Nicht zufrieden? Geld zurück!
- Top Bewertungen
-
4 Antworten
-
16 Antworten
-
16 Antworten
-
7 Antworten
-
9 Antworten
-
3 Antworten
-
974 Antworten