Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenprinz
Beiträge: 5794
User seit 15.07.2006
| Geschrieben am 22.12.2008 um 18:45 Uhr  
| Hallo zusammen u. eine spezielle Frage an die IT ler unter Euch,
folgendes ist passiert:
Mein Laptop meldet mir heut Morgen einen Trojaner im Symantec Antivirusbereich und dass dieser in Quarantäne sei. Meine Versuche diesen dann zu löschen scheiterten bzw. die Anzahl hat sich sogar vermehrt. Da es sich um einen Firmenrechner handelt den ich im Homeoffice nutze habe ich unseren IT Manager um Hilfe gebeten. Der hat Ihn online auch nicht löschen können so dass ich morgen mit dem Teil in die Fa. muss um den Scheiss zu eliminieren. Aber jetzt kommts...
Heute Nachmittag rief ein Herr XY angeblich vom IT Service der Deutschen Bank auf meinem Handy an um mich zu informieren dass mein Rechner mit einem Trojaner infiziert sei und er mir helfen könne diesen zu entfernen. Auf meine zuerst misstrauische Nachfrage konnte er mir alle meine Bankdaten ausser meiner Zugangspin nennen. Dieser Trojaner sei am vergangenen Freitag bei mir eingedrungen, hätte angeblich meine bisher vergebenen TAN Nummern ausspähen können, die ungebrauchten aber nicht. Bis zu diesem Zeitpunkt wusste er nicht dass ich unterwegs war und momentan keinen Zugriff zu meinem Rechner hatte.
Ich sagte Ihm dann dass ich seine Hilfe nicht brauche weil das morgen unser hauseigener IT Manager erledigt. Ergab mir dann noch seine Tel. Nr. mit der Bitte dass unser IT Mensch Ihn anruft um Ihm Hilfestellung zu leisten da dieser Trojaner sehr schwer zu löschen sei. Ausserdem haben wir vereinbart dass er meine Konten sofort sperrt und dafür sorgt dass ich neue Zugangsdaten fürs Onlinebanking erhalte. Das Ganze hörte sich sehr seriös an.
Nun hatte ich leider ein mittlerweile leeres Handy und konnte nicht sofort meine Bankfiliale in Karlsruhe anrufen denn je mehr ich über diesen vermeintlich tollen Bankservice nachdachte um so mehr kamen mir Zweifel an der Echtheit dieser Sache.
Ich habe dann eben doch noch die Filialleiterin erreicht die zwar feststellte dass es diesen Herrn XY gibt, aber welche Abteilung etc. war im internen Verzeichnis nicht zu eroieren. Auch meine angeblich gesperrten Konten waren es nicht. Sie hat dann vorsichtshalber die Sollseite gesperrt und kann nun erst morgen die Sache weiter verfolgen.
Was meint Ihr, dreister Versuch oder ist sowas normal ?
Grüße
Claus
| Antworten
Antworten mit Zitat
E-Mail an bitti Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forengrundschüler
Beiträge: 35
User seit 20.12.2008
| |
|
Affiliate-Anzeigen:
|
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenkaiser
Beiträge: 16799
User seit 11.09.2004
| Geschrieben am 22.12.2008 um 19:27 Uhr  
| Hallo Claus,
der Anruf kommt mir zwar auch komisch vor, denn wie kann der IT-Service mitbekommen, dass bei dir verbrauchte TANs ausgespäht wurden? Oder gab es bereits den Versuch, von deinem Konto mit verbrauchten TANs Gelder zu überweisen? Da hätte ich als erstes nach gefragt.
Ansonsten ist es doch einfach zu klären: stimmt die Telefonnummer mit dem richtigen Hauptanschluss der Deutschen Bank überein? Wurde bei dem Anruf die Nummer des Anrufers übertragen?
Bitte halte uns auf dem Laufenden
Gruß
Guido
--
*** SLK280 schwarz/schwarz *** | Antworten
Antworten mit Zitat
E-Mail an SLK172 Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenkaiser
Beiträge: 10872
User seit 04.11.2004
| Geschrieben am 22.12.2008 um 20:00 Uhr  
| [ Beitrag wurde zuletzt editiert von Olaf M am 22.12.2008 um 20:00 Uhr ]
Moin!
Hmmm - wenn mich da in so einem Fall ein Heini anrufen würde gäbe es von mir erst einmal eine Rückfrage an die Leiterin meiner Filiale um zu klären ob da alles im grünen Bereich ist!
Künftige TANs kann ich gar nicht nennen, da vorab zwei vorgegebene Codes Online abgefragt werden und bei korrekter Eingabe erst eine TAN rausgeschmissen wird - dreifach hält besser!
--
Viele Grüße aus dem Süden von Hamburg: > O.L.A.F. ohne Punkte >> SLK 230K FL, INXX, SS-Ovalbrüller, Ein-Lameller-Grill als Einzelstück, GenI Black und anderer Tüdelütt und hassunichgesehn... | Antworten
Antworten mit Zitat
E-Mail an Olaf M Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Affiliate-Anzeigen:
|
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenquartaner
Beiträge: 123
User seit 08.12.2008
| |
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forengrundschüler
Beiträge: 33
User seit 28.11.2008
| Geschrieben am 22.12.2008 um 20:13 Uhr  
| Hi Claus
Eine Bank ruft NIE ohne Dein Zutun in Onlinebelangen an. Und GAR NIE wird Dich ein Helpline-Mitarbeiter nach dem Password fragen.
-Wenn Dir sowas passiert schlage ich folgendes Vorgehen vor:
1. Bank anrufen (und zwar über die Nummer von der 11880 und nicht aus irgend ner Mail) und Konto SOFORT sperren.
2. Den vorgeblichen IT-Techniker zurückrufen und melden es würde wieder alles funktionieren. (So checkst Du ob die Rückrufnummer geschaltet ist)
3.POLIZEI mit Schilderung des Vorfalls inkl. Angabe der Nummer bedienen.
sachdienliche Infos findest Du hier:
http://www.kobik.ch/faqs.php?language=de#Phishing
Grüsse aus der Schweiz
Ueli
PS: dass Bankmitarbeiter mit ihrem Namen und weiteren Daten für solche Aktionen benutzt werden ist branchenbekannt... Das einzige was nicht stimmt ist die Rufnummer!
| Antworten
Antworten mit Zitat
E-Mail an WillyCH Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Affiliate-Anzeigen:
|
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenobersekundaner
Beiträge: 356
User seit 24.03.2008
| Geschrieben am 23.12.2008 um 09:01 Uhr  
| Moin!
Ich bin auch Kunde bei der Deutschen Bank und da wird man doch regelmäßig von denen drauf hingewiesen, dass NIE jemand von denen anruft und Dich nach Online-Banking Sachen fragt. Also mir käme das so verdächtig vor, dass ich auch sofort in "meiner" Filiale anrufen würde um das erlebte zu berichten. Ohne Telefon-Banking PIN / Kennwort kann Dir per Telefon nichtmal Dein Kontostand mitgeteilt werden.
Ich denke, an der Sache is was faul und bin mal gespannt wie es weitergeht.
Hoffentlich nimmts ein gutes Ende...
Gruß
Jörn
--
Habe den Mut, dich deines eigenen Verstandes zu bedienen. | Antworten
Antworten mit Zitat
E-Mail an Dampfmaschine Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenprinz
Beiträge: 5794
User seit 15.07.2006
| Geschrieben am 23.12.2008 um 16:48 Uhr  
| Hallo zusammen,
also die Sache hat sich aufgeklärt. Hatte heute Morgen einen Rückruf meiner Bankfilialleiterin dass das in Ordnung sei. Ich also ab in die Fa. um mit Hilfe meines IT Koordinators meinen Rechner zu säubern. Wir haben dann doch die Hilfe des Bankmenschen in Anspruch genommen da sich dieser Scheisstrojaner hervorragend getarnt hatte und wir ohne ihn die doppelte Zeit gebraucht hätten um des Übels Herr zu werden. Hervorragende und sehr kompetente Hilfe für einen wie mich der von solchen Dingen 0 Ahnung hat. Hier noch die entsprechende Hilfsmail für alle die es interessiert:
Sehr geehrter Herr Bittmann,
wie bereits telefonisch angekündigt senden wir Ihnen hiermit Informationen zur Erkennung und, im Fall einer Infektion durch einen Trojaner, der Bereinigung Ihres Computers.
Bei einer routinemäßigen Überprüfung der Online-Banking-Zugänge haben wir Hinweise gefunden, die auf die Existenz eines Trojanischen Pferdes auf Ihrem Computer hindeuten. In diesem Zusammenhang sind zwei Trojanische Pferde im Umlauf, die unter den Namen „silentbanker“ sowie „yaludle“ bekannt sind. Aus Sicherheitsgründen empfehlen wir Ihnen dringend, eine Überprüfung Ihres Computers auf beide Trojanischen Pferde auszuführen.
Die nachfolgenden Informationen sollen Ihnen eine Hilfestellung bei der Erkennung und Beseitigung des Schädlings geben:
silentbanker
Das Trojanische Pferd „silentbanker“ wird von einer Vielzahl an Anti-Virenprogrammen bereits erfolgreich erkannt und kann wie nachfolgend beschrieben entfernt werden. Informieren sie sich, ob die von Ihnen genutzte Software der aktuellesten Version entspricht. Aktualisierungen Ihrer Software können auf der jeweiligen Internetseite des Anbieters durchgeführt werden. Starten sie die Überprüfung Ihres Computers mit Hilfe Ihrer Anti-Virensoftware. Wenn Ihre Software als Ergebnis einen Trojaner meldet, folgen Sie bitte den Hinweisen des Herstellers zur Bereinigung des Systems.
Wenn Ihr Anti-Virenprogramm keinen Schädling findet, suchen Sie bitte manuell nach dem Trojanischen Pferd. Üblicherweise installiert das Trojanische Pferd „silentbanker“ im Verzeichnis Windowssystem32 eine DLL mit dem Dateinamen mscorews.dll.
Öffnen Sie dazu den Windows Explorer und navigieren Sie zu dem folgenden Verzeichnis:
Arbeitsplatz-> Lokaler Datenträger (C-> windows-> system32
In diesem Verzeichnis suchen Sie bitte die Datei mscorews.dll und entfernen diese.
yaludle
Auf Grund der bislang geringen Erkennungsrate mittels einer Anti-Virensoftware ist es möglich, dass dieser Trojaner auf Ihrem System aktiv ist, aber nicht von Ihrer Anti-Virensoftware erkannt wird. Ein Grund hierfür kann sein, dass sich der Trojaner mit einem sogenannten „Rootkit-Tarnmantel“ schützt.
Mit Hilfe von zusätzlichen Programmen ist es möglich, diese versteckten Einträge aufzuspüren und zu entfernen.
Die Anwendung eines Rootkit-Detective hat sich hier bewährt. Hierbei handelt es sich um ein Programm, welches Ihnen auf der Homepage der Firma McAfee kostenfrei zum Download zur Verfügung gestellt wird.
Downloadadresse:
http://vil.nai.com/vil/stinger/rkstinger.aspx
Für die Nutzung des Rootkit Detectives von McAfee beachten Sie bitte die beigefügte Anleitung.
Falls Sie keinen der beiden genannten Schädlinge auf Ihrem PC finden sollten, setzen Sie sich bitte erneut mit uns in Verbindung.
Wir weisen Sie darauf hin, dass das Trojanische Pferd ggf. jegliche Kommunikation und Passwörter ausgespäht hat (z.B. auch diejenigen, die in der Autovervollständigung des Internet Explorers eingetragen sind). Wir empfehlen Ihnen daher eine Änderung aller Zugangsdaten.
Mit freundlichen Grüßen
Deutsche Bank Privat- und Geschäftskunden AG
Online-Sicherheit
E-Mail: online.sicherheit@db.com
Tel: 069/910-39900
Dieser Hilfsdienst hat natürlich bei einem Anruf beim misstrauischen Kunden erhebliche Identifikationsprobleme aber ein Rückruf bei der Bank kann das natürlich klären. So, ich kann wieder ruhig schlafen und wünsche allen nochmals frohe Festtage
Grüße
Claus
| Antworten
Antworten mit Zitat
E-Mail an bitti Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Affiliate-Anzeigen:
|
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenprinz
Beiträge: 5794
User seit 15.07.2006
| Geschrieben am 30.12.2008 um 08:49 Uhr  
| Hallo zusammen,
hab grad Andibarics Bericht bezügl. Virus gelesen und wollt euch in dem Zusammenhang nochmals berichten.
Also nach der vermeintlich erfolgreichen Säuberung dch. die hochkarätigen IT Experten meiner Fa. mit Hilfe des Security Service der Bank zu Hause wieder ans Netz gegangen und peng, der Trojaner war er wieder da. Konten natürlich wieder sofort gesperrt. Entgegen aller landläufigen Meinungen keine XXX Seiten gesehen sondern MBSLK, NTV, Skigebiete, Chefkoch, Wetterseiten etc.... also daran kanns nicht liegen. Bleibt also nur den Rechner komplett platt zu machen.
Euch allen einen guten Rutsch und trotz aller negativen Meldungen ein erfolgreiches, gesundes 2009.
Grüße Claus
| Antworten
Antworten mit Zitat
E-Mail an bitti Moderatoren-Team informieren Themen-Abo bestellen |
|
|
Beitrag von:
... ist OFFLINE
Schreiberlevel: Forenobertertianer
Beiträge: 239
User seit 19.02.2007
| |
|