Zitat aus dem genannten beobachter.ch Artikel von Otto Hostettler:
Eliane Steiner ist Kundin bei Yuh. Die Frau, die eigentlich anders heisst, nutzt die App für ihre Börsengeschäfte. Am 1. Oktober 2024 konnte sie sich plötzlich nicht mehr einloggen. Sie rief den Kundendienst von Yuh an und erfuhr: Ihr Konto war gesperrt worden, weil das Guthaben auf null war. Betrüger hatten mehr als 50’000 Franken auf Kryptokonten transferiert. … während bei normalen Banktransaktionen immer eine IBAN des Empfängers bekannt ist und sich dieser damit identifizieren lässt, ist bei Kryptowährungen eine Kryptobörse dazwischengeschaltet.
Im FAQ von Yuh steht jedoch:
Kann ich Wertpapiere oder Kryptowährungen von Yuh zu einem anderen Finanzinstitut übertragen oder umgekehrt? Leider nein! Im Moment bieten wir keinen Service an, Wertpapiere oder Kryptowährungen von oder zu anderen Finanzinstituten zu übertragen.
Versteht jemand von euch, wie Betrüger auf Kryptokonten transferieren konnten, wenn Yuh diese Funktion gar nicht anbietet? Im Beobachter-Artikel steht noch, dass Eliane Steiner offenbar auf eine Phishing-Mail hereingefallen ist, trotzdem verstehe ich nicht, wie der Betrug funktioniert.
Ich kann den Artikel nicht lesen wegen Paywall und kenne auch den Fall nicht, von daher etwas schwierig zu beurteilen. Kann auch gut sein das wie so oft die Journalisten die Thematik nicht genau verstanden haben und dann einfach was schreiben oder halt die Erklärungen des Opfers gegenüber dem Journalisten nicht genau waren oder beide etwas nicht ganz verstanden haben und so halt der Artikel dann etwas unscharf wird, sieht man ja tagtäglich in den Medien.
Wenn das Feature von Yuh nicht unterstützt kann es ja auch gut sein, dass die Kryptos einfach in CHF umgewandelt und danach auf andere Konten überwiesen wurden auf kompromitierte Konten von welchen dann das Geld weiter fliesst, abgehoben wird, oder von Omas die denken sie helfen einem Enkelkind oder so irgendwie sonst abgehoben, weitergeleitet oder was auch immer werden.
Ich teile etwas die Auffassung das generell solche Apps und Neo-Banken Konten oftmals viel schlechter geschützt sind was für mich auch ein Grund war wieder davon abzusehen. Teilweise konnte man einfach mit Email und Passwort von irgendeinem Handy wieder auf die App einloggen und wenn es hoch kommt musste man einen Email Code oder SMS Code bestätigen. Dieses Vorgehen wird aber seit Jahren als unsicher eingestuft. Solche Apps sollten mindestens eine aktuelle Multi-Factor Authentication Methode einsetzen und vom TPM Chip der Handys gebraucht machen damit man nicht einfach so von überall her einloggen kann. Auch Transaction Signing ist eigentlich heute ein muss aber leider implementieren das viele Apps relativ simpel in der selben App mit PIN.
Ich weiss jetzt nicht wie das bei Yuh der Fall ist ob man da einfach von irgend einem Handy einfach so einloggen kann wenn man die Nutzerdaten hat. Die Story mit dem Phishing deutet ja etwas auf sowas hin, denn mit einer richtig geschützten App ist auch Phishing nur noch begrenzt von nutzen.
Ich verstehe den zitierten Text so, dass es nicht eine Überweisung war, sondern eine echte blockchain Transaktion. Wenn es zuerst eine normale Überweisung gab, dann hätte man ja eine IBAN.
Neben guter Sicherheit beim Login wäre es sinnvoll, wenn man gefährlichere features in den Apps einschränken oder sperren könnte, z.B. alle Auslandsüberweisungen, oder alles was mit Krypto zu tun hat. Auch einstellbare Überweisungslimite wären gut.
Aus Sicht der Strafverfolgung hast du nun die IBAN einer ausländischen Kryptobörse, aber dann ist schluss. Was dann ein Journalist aus dieser Information macht, ist eine andere sache.
Ja so hab ich es auch verstanden aber das kann ich mir nicht vorstellen. Das wäre ein Mega-Hack dann bei Swissquote, Yuh ist am Ende ja nur ein Konto bei SQ und da haben sie ja die Whitelist soweit ich weiss. Ein Hacker müsste also all diese Schranken umgangen haben und dann wäre das wohl wesentlich presenter in den Medien.
Ich gehe deshalb davon aus dass die Cryptos umgewandelt wurden und dann von dort an eine IBAN überwiesen wurde. Das kann wie oben erwähnt an eine IBAN im Ausland einer Kryptobörse gewesen sein oder sonst irgend eine IBAN die irgendwie missbraucht wurde. Die Details kennen wir ja nicht.
Ja das wäre sinnvoll. Deshalb finde ich es ja gut das meine Bank ein Read-Only Mode anbietet für Mobile Apps. So kann man gar keine Transaktionen ausführen ausser E-Bills bewilligen. Es gibt ja gerade im Ausland immer mehr der Trend (der wohl bald auch in der Schweiz anklang findet wie alles andere auch) weil mitterweile praktisch jeder Banking Apps auf dem Handy hat, dass Leute auf der Strasse angehalten und erpresst werden die Handys und Apps zu unlocken und dann wird alles verkauft und überwiesen. Die IBAN Inhaber an welche das Geld überwiesen werden sind meist selbst auch Opfer oder wissen davon gar nichts (ältere Personen, etc.) und von dort fliesst das Geld dann weiter.
Daher wäre ein Read-Only Mode super wichtig nebst sicherem Login, TPM, richtigem MFA (am liebsten mit FIDO2/WebAuthn - aber das bieten selbst die wenigsten Banken an), Transaction Signing, und aben Sperren von gewissen Sachen. Die Sperrung macht aber nur Sinn wenn man sie nicht einfach selbst wieder einfach so im E-Banking oder der App disablen kann, d.h. ein neues Setting welches mehr zulässt dürfte z.B. erst nach 7 Tagen oder so aktiv werden sonst bringt es wenig. Aber ja die meisten Neo Banken bieten hier nichts dergleichen an.