Sicherheitsaspeke bei Kreditkarten und Banking

[fzang]

ANZEIGE

der Hacker müsste dann ja quasi warten, bis ich irgendeinen Vorgang am PC auslöse (z.B. Überweisung, oder Umsatz -Abruf), um genau dann einen manipulierten Auftrag darüber zu schieben ?

Entschuldige, ich glaube, da gab es ein Missverständnis.

• Der Hacker muss nicht warten, bis du selbst etwas machst, sondern kann die Aktionen direkt selbst auslösen, weil er die Kontrolle über das Gerät hat.
• Merke beim kompromittierten Gerät gilt: Alles, was du kannst, kann der Angreifer ebenfalls – und oft sogar unbemerkt.
• Genau hier liegt der Vorteil, wenn man für die Zwei-Faktor-Authentifizierung zwei unabhängige Geräte verwendet:
Es ist deutlich unwahrscheinlicher, dass beide gleichzeitig kompromittiert werden.

 

[knauserix]

Und klar siehst Du im Fall von Betrug Dein Geld dann wieder, wenn Du dieses Verfahren mit immer geupdateter Hardware genutzt hast.

Da steckt aber auch eine gewisse Hoffnung drin, weil wenn die Bank dann die Ansprüche-Abwehr-Strategie aus der Schublade zieht ...

Beitrag automatisch zusammengeführt: Mittwoch um 16:29

Die Bank juckt das überhaupt nicht, weil ein absolut sicheres Verfahren noch viel teurer wäre.
Es ist also in der Gesamtkalkulation nicht immer das sicherste Verfahren auch das beste für die Bank. Genau das kapiert mancher von uns Nerds leider nicht.

Das sehe ich auch so.

Zumal offenbar immer mehr Institute diese Apps als kostenlose Litfaßsäule zu betrachten scheinen und den Kunden nach dem Einloggen erst einmal mit Werbung überschütten.

 

[knauserix]

• Der Hacker muss nicht warten, bis du selbst etwas machst, sondern kann die Aktionen direkt selbst auslösen, weil er die Kontrolle über das Gerät hat.
• Merke beim kompromittierten Gerät gilt: Alles, was du kannst, kann der Angreifer ebenfalls – und oft sogar unbemerkt.

naja, ob das ganz so einfach geht, da hätte ich dann doch Zweifel.
Denn dann wären ja bislang schon Abermillionen von Geräten potentiell anfällig dafür gewesen ... und so viele Betrugsfälle gab es dann wohl doch nicht.

 

[fzang]

Darüber wie einfach es ist wurde bereits mehrfach geschrieben und das ist ein anderes Thema.

 

[geos]

Ich verstehe die Urteilsbegründung nicht. Ich dachte, es reiche aus, wenn alle 90 Tage 2FA für den Zugang zum OLB verlangt werde. Hier wird jetzt plötzlich unterschieden nach Art der Einsichtnahme, d.h. ich soll ohne 2FA nicht einmal mehr das Menü zur Änderung des Überweisungslimits einsehen dürfen.

Es geht nicht um Anmeldung zum OLB, sondern um die Freigabe von Transaktionen o.ä., also das, wozu TANs klassisch gut sind. Wenn man aus der TAN nicht erkennen kann, wozu sie gut ist, was man also gerade freigibt, ist dies ein Sicherheitsrisiko. Darum geht es.

Wenn jetzt andere Banken das Urteil zum Anlass nehmen, nur noch die reine Kontostandsabfrage ohne ständige 2FA zu erlauben, na dann Prost Mahlzeit.

Das Urteil adressiert diesen Punkt wie gesagt nicht.

 

[geos]

Zumal offenbar immer mehr Institute diese Apps als kostenlose Litfaßsäule zu betrachten scheinen und den Kunden nach dem Einloggen erst einmal mit Werbung überschütten.

Die Apps, egal in welcher Branche, *sind* kostenlose (nicht ganz, aber fast) und personalisierte Litfaßsäulen und Verkaufsräume gleichzeitig sowie Datenlieferanten (also besser als jede Litfaßsäule, weil die Kundenreaktionen direkt verfolgt werden können und man sogar direkt darauf reagieren kann). Das ist doch der Grund, wieso fast jede Branche so scharf darauf ist, ihren Kunden ihre App aufzudrängen. Was glaubt Ihr, wieso es z.B. Supermarkt-Apps gibt?

 

[wizzard]

Das Urteil adressiert diesen Punkt wie gesagt nicht.

Aber durchgelesen hast du es dir schon, oder?

Er stellte dabei vor allem auf das Einloggen ins Online-Banking und die Anzeige von Zahlungsempfängern in der pushTAN-App ab. Der Kläger argumentierte, dass das Login lediglich mit Anmeldename und statischer PIN erfolgte und sensible Zahlungsdaten ohne weitere Authentifizierung einsehbar waren.

Die Sparkasse habe es versäumt, eine "starke Kundenauthentifizierung" im ZAG-Sinne beim Login in das Online-Banking zu verlangen, obwohl dort "sensible Zahlungsdaten" einsehbar waren. Das Gericht stellte fest: "Vor diesem Hintergrund war der Verstoß der Beklagten gegen aufsichtsrechtliche Vorschriften für das Gelingen des betrügerischen Angriffs jedenfalls mitursächlich, weil so ohne Zutun des Klägers die aus dem Online-Banking heraus zu veranlassenden Vorbereitungsmaßnahmen und Auftragserstellungen vorgenommen werden konnten."

 

[geos]

EU will Online-Zahlungen sicherer machen

Wenn Zahlungsdienste ihre Kunden nicht vor Onlinebetrug schützen können, werden sie haftbar gemacht. Schützt diese Neuregelung wirksam – oder erhöht sie nur die Kosten?

www.faz.net

"Versagen Anbieter bei der Betrugsprävention, können sie für die Verluste der Kunden haftbar gemacht werden. Das gilt speziell für den Identitätsbetrug, wenn sich also Betrüger als Mitarbeiter einer Bank oder eines anderen Anbieters ausgeben und Kunden zu Zahlungen verleiten. In solchen Fällen müssen Zahlungsdienstleister den vollen Betrag erstatten, sofern der Kunde den Betrug bei der Polizei meldet."

Wenn das kommt, wird es lustig. Wie sollen Banken effektiv verhindern, dass Kunden auf so etwas reinfallen? Mehr als "wir rufen Sie niemals an und schicken auch keine Mitteilungen per Whatsapp" können sie ja kaum kommunizieren. Wie soll ein Anbieter in solch einem Szenario bei der Betrugsprävention versagt haben?

 

[longhaulgiant]

Wie soll ein Anbieter in solch einem Szenario bei der Betrugsprävention versagt haben?

Ich nenne mal nur ein Beispiel: e-mail mit Link zu einem bestimmten Angebot / Dialog im OLB. Hab ich mittlerweile oft genug gesehen, nicht nur bei Klitschen. Richtig wäre: kein Link, sondern einfach sagen, der Kunde solle sich einloggen. Dass diese Masche überhaupt funktioniert haben Banken selbst mitzuverantworten.

 

[geos]

Ja, solche Beispiele gibt es. Aber selbst bei Banken, die das nicht machen, fallen Leute auf Anrufe falscher Bankmitarbeiter, Phishing usw. rein. Wieso soll eine Bank dies verantworten?

 

[fzang]

Banken analysieren das Verhalten ihrer Kunden Mithilfe von KI-Systemen, um Betrug zu erkennen. Dabei achten sie auf folgende Muster:

Ungewöhnliche Transaktionsmuster:
Plötzliche hohe Überweisungen an unbekannte Empfänger – besonders, wenn der Kunde sonst nur kleine Beträge überweist.
Abweichungen vom typischen Nutzerverhalten:
Beispiel: Ein Kunde, der bisher nur Inlandsüberweisungen durchführt, sendet plötzlich Geld ins Ausland.
Geschwindigkeit der Transaktion:
Wenn ein Kunde, der normalerweise Standardüberweisungen nutzt, plötzlich eine Echtzeitüberweisung an einen neuen Empfänger vornimmt, kann das verdächtig sein.
Diese Prüfungen laufen normalerweise automatisch ab, in Ausnahmefällen wird manuell nachgeprüft dies kann zu Verzögerungen bei Überweisungen zur Folge haben.

 

[longhaulgiant]

ANZEIGE

Banken analysieren das Verhalten ihrer Kunden Mithilfe von KI-Systemen, um Betrug zu erkennen.

Diese Aussage ist stark simplifiziert. Banken verwenden in ihren fraud prevention Systemen zum einen fest einprogrammierte Algorithmen, welche nach festen Regeln Überweisungen prüfen und dann die Überweisung entweder flaggen oder aufhalten. Das wurde auch schon lange vor dem Aufkommen von „KI“ so gemacht. Relativ neu ist hingegen der Einsatz von machine learning (ML), um Muster zu erkennen, die sich nicht bzw. nur sehr schwer mit einem festen Regelwerk erreichen ließen. Das ist aber nicht die KI, wie die meisten sie im Kopf haben, auch wenn ML streng genommen ein Teilgebiet von KI ist.
Mir wäre nicht bekannt, dass Banken beim Einsatz von LLMs (das ist das, was die meisten unter KI verstehen) in fraud prevention Systemen über Versuchsstadien hinaus wäre. Das Problem bei LLMs ist nämlich, dass sie nicht-deterministisch sind. Das heißt, bei gleichem Input erhält man nicht den gleichen Output. Sowas taugt aus meiner Sicht recht wenig für diesen Einsatzzweck.