# Wie kommen die Betrüger an den Bestätigungscode?



## Prosecutor (2 Januar 2009)

Als Sicherheitsmaßnahme setzen einige Internetanbieter den Handyrückruf ein, wodurch man einen Bestätigungscode erhält, den man anschließend online zur Verifikation eingeben muß.

Die Betrüger müssen also an diesen Bestätigungscode kommen. Eine Variante ist mir bekannt geworden: Die Täter rufen die betreffende Handy-Nummer, die sie selbst zur Verifikation angegeben haben, an und lassen sich diese unter einem Vorwand mitteilen. 

Gibt es noch andere Varianten?


----------



## Reducal (2 Januar 2009)

*AW: Wie kommen die Betrüger an den Bestätigungscode?*



Prosecutor schrieb:


> ....rufen die betreffende Handy-Nummer, die sie selbst zur Verifikation angegeben haben, an und lassen sich diese unter einem Vorwand mitteilen.


So läuft es z. B. bei der _Nachbarschaftskiste_ aus Frankfurt. Auf welches anderes Projekt zielst du deine Frage ab?


----------



## Prosecutor (5 Januar 2009)

*AW: Wir kommen die Betrüger an den Bestätigungscode?*

Es geht um die Fälle, in denen die Täter die Mobilfunk-Rufnummer eines ahnungslosen Dritten zur Verifikation der Identität mißbrauchen. Mit dieser Rufnummer haben sich die Täter zB bei einem Online-Shop registriert, der per SMS einen Besträtigungscode versendet. Nun müssen die Täter an diesen Bestätigungscode gelangen, um sich verfizieren zu können.

Eine Variante ist es, den Dritten anzurufen und ihn unter einer Legende zur Herausgabe des Bestätigungscodes zu veranlassen. Mir liegt nun ein Fall vor, bei dem ein solcher Anruf ausgeschlossen werden kann, d.h. die Täter konnten auf diesem Weg den Bestätigunscode nicht erlangt haben. Dennoch konnten sie unter falschen Personalien eine Bestellung aufgeben. Wie ist das erklärbar?


----------



## DeJu (5 Januar 2009)

*AW: Wie   kommen die Betrüger an den Bestätigungscode?*

Schon an das gedacht?

Man-in-the-middle-Angriff ? Wikipedia

Eine Internetseite wird dazwischen "geschaltet" und schon hat man den Code.


----------



## BenTigger (5 Januar 2009)

*AW: Wie kommen die Betrüger an den Bestätigungscode?*

Das funktioniert aber nur dann, wenn ich die Anmeldung durchführe und andere dann mit meiner ID zugreifen.

Was aber, wenn ich keinerlei Anmeldung durchführe und ohne mein Wissen jemand anderes dann mit meiner ID eine Anmeldung durchführt? Dann gebe ich auf keiner Webseite den Code ein. So habe ich es jedenfalls verstanden.
Das würde nur funktionieren, wenn der Man in the middle die SMS an das Telefon abfangen könnte. Da müsste er ja schon in dem Telekomunikationsunternehmen eingedrungen sein.


----------



## Reducal (5 Januar 2009)

*AW: Wir kommen die Betrüger an den Bestätigungscode?*



Prosecutor schrieb:


> Eine Variante ist es, den Dritten anzurufen und ihn unter einer Legende zur Herausgabe des Bestätigungscodes zu veranlassen.


Abgelehnt, das lohnt sich doch nicht! Wenn jmd. einen Code von einer Maschine übermittelt bekommt, dann schreibt er ihn sich doch in den seltensten Fällen auf, oder? Und eine vierstellige Ziffernfolge prägt sich außerdem auch nicht unbedingt bei vielen Leuten ein.


----------



## Prosecutor (5 Januar 2009)

*AW: Wir   kommen die Betrüger an den Bestätigungscode?*



Reducal schrieb:


> Abgelehnt, das lohnt sich doch nicht! Wenn jmd. einen Code von einer Maschine übermittelt bekommt, dann schreibt er ihn sich doch in den seltensten Fällen auf, oder? Und eine vierstellige Ziffernfolge prägt sich außerdem auch nicht unbedingt bei vielen Leuten ein.



Die SMS mit dem Code bleibt doch im Mobiltelefon gespeichert und ist jederzeit abrufbar. 

Konkret gab es diese Ausspähversuche im Zusammenhang mit Dritten, die entlaufene Tiere annonciert hatten, dann von Click&Buy Bestätigungscodes bekamen und anschließend Anrufe von angeblichen Tierschützern, die den Bestätigungscode haben wollten, weil sie diese angeblich für die Weiterleitung an Tierheime benötigen würden.
Bei Anruf Abzocke < Meldungen aus der Tierwelt < Katzenportal Catplus.de.


----------



## Prosecutor (5 Januar 2009)

*AW: Wie kommen die Betrüger an den Bestätigungscode?*



BenTigger schrieb:


> Das würde nur funktionieren, wenn der Man in the middle die SMS an das Telefon abfangen könnte. Da müsste er ja schon in dem Telekomunikationsunternehmen eingedrungen sein.



Eine Variante fällt mir dazu ein: Handy-Hacking per Bluetooth. Dazu müßte der Täter aber schon vorher die Telefonnummer desjenigen kennen, in dessen Nähe er sich später begibt, um eine Bluetooth-Verbindung herzustellen. Kommt mir auch nicht sehr wahrscheinlich vor.

Das könnte evtl. so ablaufen: Täter sitzt im Zug. Gegenüber sitzt das Opfer mit Handy. Täter hackt das Handy, liest Telefonnummer aus. Tätigt über Internet (per Handy oder Notebook) die Fake-Anmeldung. Dann erhält das Opfer die Bestätigungs-SMS, kann damit nichts anfangen, läßt sie aber gespeichert. Täter greift nun per Bluetooth wieder auf das Opfer-Handy und liest die SMS. Gibt den Code über Internet ein und führt die Bestellung aus.


----------



## Reducal (5 Januar 2009)

*AW: Wie  kommen die Betrüger an den Bestätigungscode?*



Prosecutor schrieb:


> SMS


Ah, tschuldschung bitte!


----------



## Prosecutor (5 Januar 2009)

*AW: Wie kommen die Betrüger an den Bestätigungscode?*



Reducal schrieb:


> Ah, tschuldschung bitte!



Mein Fehler, hatte zunächst ungenau formuliert.


----------



## Der Jurist (5 Januar 2009)

*AW: Wie kommen die Betrüger an den Bestätigungscode?*



DeJu schrieb:


> Schon an das gedacht?
> 
> Man-in-the-middle-Angriff ? Wikipedia
> 
> Eine Internetseite wird dazwischen "geschaltet" und schon hat man den Code.


Ergänzend dazu die Erkenntnisse die damals bei Handypayment hier vorlagen und als Erste Hilfe gedacht waren:
Computerbetrug.de und Dialerschutz.de - Einzelnen Beitrag anzeigen - Erste Hilfe bei Handy-Payment
Tipp: Evtl. BSI fragen, was die wissen.


----------



## Prosecutor (14 Januar 2009)

*AW: Wie  kommen die Betrüger an den Bestätigungscode?*

Danke für die Antworten. Mittlerweile bin ich der Überzeugung, daß dieser Sicherhungsmechanismus nur ausgehebelt werden kann, wenn der Rufnummerninhaber den per SMS erhaltenen Code entweder weitergibt oder sein Mobiltelefon "gehackt" wird.


----------

