Hallo,

mein Vater ist auf einen Betrugsanruf hereingefallen, aber leider sind seine Angaben nicht zuverlässig bzw. er erinnert sich nicht richtig.

Er hat mir eben mitgeteilt, dass er vor ein paar Tagen einen Anruf erhielt, der vermeintlich von der DKB stammte.

Er hat während des Telefonats in seiner DKB App Freigaben durchgeführt und behauptet, er habe dabei in der App nichts gelesen, weil dort nichts stand. Das glaube ich nicht, da ich die Erfahrung gemacht habe, dass jede Freigabe in der App beschrieben ist.

Dann erhielt er eine Email seitens der DKB, weil er angeblich eine Dispo-Linie von 15000 Euro beauftragt hat. Diese Email stammte wohl tatsächlich von der DKB, welche aufgrund der Höhe die Einrichtung zu hinterfragen schien und so konnte das Konto gesperrt werden, ohne dass es zu Abbuchungen kam.

Das Konto war quasi leer, daher wohl der Versuch über einen Dispo an Geld zu kommen...

Jetzt versuch ich Ihm klar zu machen, dass es nicht damit getan ist, das Konto zu sperren und neue Zugangsdaten zu erhalten, sondern man überlegen muss, wie die Täter an die Login Daten gekommen sind, denn offensichtlich hatten Sie Zugriff aufs Online Banking, bloß der zweite Faktor (die App) fehlte noch. Diesen Zugriff haben Sie dann mit dem Fake Anruf erhalten...

Er selbst behauptet er nutze nur die DKB App fürs Online Banking und habe die Zugangsdaten sonst nirgendwo eingegeben und natürlich auch nicht im Anruf erwähnt. Die App steuert er mittels Fingerabdruck.
Das Passwort ist zwar relativ unsicher, aber die Kombination aus diesem und seiner Nutzerkennung zu erraten mit den drei Versuchen die man da hat, halte ich für extrem unwahrscheinlich.

Sind die Aussagen meines Vaters bzgl. der Login Daten hier wirklich glaubwürdig?
(also nichts gegen meinen Vater, er lügt da natürlich nicht absichtlich, aber ist da leider unzuverlässig)

Denn wenn es so wäre, dann wäre sein Smartphone derart kompromittiert, dass die Login Daten irgendwie aus der App ausgelesen worden sein müssten oder welche Möglichkeiten sollte man noch in Betracht ziehen?

So wie ich deinen Text lese, benötigte der Angreifer 2, vielleicht auch 3 Informationen. Die Telefonnummer, gegebenenfalls den Namen deines Vaters und die Info, dass er DKB-Kunde ist. Diese Infos könnten sie sonstwo abgeschöpft haben. Wenn sie einfach wahllos auf gut Glück irgendwo anrufen brauchen sie evtl. nicht mal diese Infos.
Dann haben sie möglicherweise im Gespräch noch mehr (z.B. Kontonummer!?) aus ihm herausgekitzelt (social engineering) und ihn den Kreditrahmen ändern lassen, um später evtl. über andere Wege Abbuchungen vornehmen lassen zu können.
Bis zu diesem Punkt mMn keinerlei Kompromittierung des Handys notwendig.

Wie kommst du also darauf, das Handy könnte kompromittiert sein?

Darauf, dass das Handy kompromittiert sein könnte, komme ich durch seine (evtl. unbewusst falsche) Aussage, er habe im Telefonat definitiv keine Zugangsdaten (wie Passwort) verraten und in der App nur Bestätigungen ausgeführt und das glaube ich ihm auch zumindest soweit, dass er sich auf jeden Fall daran erinnert hätte, wenn er selbst den Verfügungsrahmen geändert hätte, da es extrem schwierig ist (eigene Erfahrung) ihm am Telefon zu erklären wie er durch eine Menüstruktur durchklickt, um etwas zu erreiche, was für mir persönlich intuitiv vorkommt. Auch weil er selbst rumklickt und dann versäumt das mitzuteilen. Kurz gesagt, es ist möglich, dass man ihn durch die App navigiert hat, aber es ist extrem unwahrscheinlich, dass er sich daran nicht erinnert.

Er hat mir auch erklärt, warum er überhaupt darauf reingefallen ist; er sagte, er hätte Benachrichtigungen bzw. Bestätigungsaufforderungen in der DKB App erhalten und er dachte, dass nur ein Anrufer der Bank dazu in der Lage wäre diese Aufforderungen auf der App auszulösen. Er hat also das Prinzip des zweiten Faktors nicht ganz verstanden, da natürlich jeder mit Zugang zum Online Banking dafür verantwortlich sein kann...

Also gibt es unter obigen Annahmen nur zwei Möglichkeiten:
1. Die Zugangsdaten mussten den Angreifern bekannt sein
2. Die App hat ohne das jemand die Zugangsdaten kannte die Aufforderungen gesendet, weil diese manipuliert wurde

Da er angeblich nur dieses Smartphone nutzt, müsste die Ursache dann dort liegen..
Zumindest insofern, dass z.B. die Zugangsdaten über diese Smartphone gephisht wurden.

Ich traue dem Gerät zumindest nicht mehr und habe es auf Werkseinstellungen zurückgesetzt und dabei die Option gewählt, wo alle Dateien gelöscht werden.
Ist das die richtige Methode, potentielle Schadsoftware sicher zu entfernen oder könnte diese selbst diesen Prozess überstehen?

Mein Beitrag hier diente vor allem, Dinge zu finden, an die ich evtl. noch nicht gedacht habe, die aber ursächlich gewesen sein könnten, weil Experten auf dem Gebiet da natürlich mehr durchblicken können als ich..