Sicherheitsaspeke bei Kreditkarten und Banking

[cockpitvisit]

ANZEIGE

Und die glauben auch meistens, wenn der Betrüger was wie „Wir müssen ihr Geld in Sicherheit bringen. Bitte überweisen Sie 5.000€ an den Vorstand der Bank mit der IBAN die ich Ihnen gleich nenne. Falls Sie eine Meldung sehen, dass der Empfänger von der IBAN abweicht, beachten Sie den Hinweis nicht, denn damit wollen die Betrüger Sie verwirren.“ am Telefon sagt. Das sind immer ähnliche Maschen die fast unverändert so seit zig Jahren oder Jahrzehnten ablaufen.

LOL, habe vor einiger Zeit einen Anruf von Barclaycard bekommen (habe eine kostenlose VISA von denen). Als erstes wollte man, dass ich meine Identität bestätige, man wollte meine Anschrift, Geburtsdatum und noch irgendwas.

Das richtig schlimme war aber: es waren keine Betrüger! Die Bank selbst geht so unprofessionell vor. Habe nämlich das Problem geschildert ("woher weiß ich, dass Sie vor der Bank sind?"). Man hat mir vorgeschlagen, die angezeigte(!) Nummer selbst anzurufen. Auch das habe ich abgelehnt und die normale Hotline angerufen. Die haben bestätigt, dass der Anruf echt war

 

[wma]

LOL, habe vor einiger Zeit einen Anruf von Barclaycard bekommen (habe eine kostenlose VISA von denen). Als erstes wollte man, dass ich meine Identität bestätige, man wollte meine Anschrift, Geburtsdatum und noch irgendwas.

Das richtig schlimme war aber: es waren keine Betrüger! Die Bank selbst geht so unprofessionell vor. Habe nämlich das Problem geschildert ("woher weiß ich, dass Sie vor der Bank sind?"). Man hat mir vorgeschlagen, die angezeigte(!) Nummer selbst anzurufen. Auch das habe ich abgelehnt und die normale Hotline angerufen. Die haben bestätigt, dass der Anruf echt war

Ich mein… Advanzia fragt beim Anruf an der Hotline immer noch als aller erstes nach der vollständigen Kreditkartennummer

Danach dann ein paar Fragen zu Geburtsdatum, Kreditlimit und seit wann man Kunde ist (was kaum jemand auswendig wissen dürfte), und fertig.

 

[fzang]

Ich mein… Advanzia fragt beim Anruf an der Hotline immer noch als aller erstes nach der vollständigen Kreditkartennummer

Danach dann ein paar Fragen zu Geburtsdatum, Kreditlimit und seit wann man Kunde ist (was kaum jemand auswendig wissen dürfte), und fertig.

Das ist auch OK solange du dort anruftst und du die Tel Nr. von der ofizziellen Seite genommen hast.

 

[Songbird]

Man hat mir vorgeschlagen, die angezeigte(!) Nummer selbst anzurufen. Auch das habe ich abgelehnt und die normale Hotline angerufen.

Wenn das jeder beherzigen würde, dann gäbe es viel weniger Betrugsfälle.

 

[avator]

richtig (mache ich auch so; allerdings ist SMS-TAN auch anfällig für betrügerische Angriffe).

Selbst eine 2FA mit SMS ist immer noch sicherer, als eine 2FA auf nur einem Gerät, wie es beispielsweise die DKB macht, weil beim SMS-TAN zwei unterschiedliche Geräte genutzt werden. Da muß der Hacker beide Verfahren aushebeln.

 

[avator]

Wenn das jeder beherzigen würde, dann gäbe es viel weniger Betrugsfälle.

Genauso ist es, warum soll der Hacker sie die Mühe machen ein oder mehrere Geräte zu knacken, wenn er durch einen Anruf direkt zum gewünschten Ergebnis kommt. Klar man kann das SMS Verfahren Aushebeln, das machen aber Geheimdienste, die stecken viel Zeit und Geld da rein. Aber die meisten Betrüger wählen den einfachsten weg. Sprich sie senden eine Email die mit einer Hompage verlinkt ist, wo der gutgläubige Nutzer alle Daten inklusive Tel Nummer selbst einträgt. Danach wird er angerufen und dazu gebracht die TAN zu geben. Die Benutzerdaten haben die Betrüger bereits durch die Homepage erhalten.

 

[geos]

Selbst eine 2FA mit SMS ist immer noch sicherer, als eine 2FA auf nur einem Gerät, wie es beispielsweise die DKB macht, weil beim SMS-TAN zwei unterschiedliche Geräte genutzt werden. Da muß der Hacker beide Verfahren aushebeln.

Na ja, die Angriffswege auf SMS-TAN sind eben andere. Neben Angriff auf das Gerät sind noch Angriffe auf das Netz (Stichwort SS7) oder auf den Prozess des Providers (Stichwort SIM Swapping) denkbar.
Es ist also nicht so einfach vergleichbar.
Wenn allerdings Zugriff auf die SMS (auf welchem Weg auch immer) genügt, um z.B. die Banking/TAN-App auf einem anderen Gerät zu installieren (z.B. im Verlustfall des Geräts), kann man auf jeden Fall sagen, dass das App-Verfahren nicht sicherer ist als das mTAN-Verfahren.

Im übrigen gibt es zig Leute, die auf einem Gerät SMS-Empfang und Banking machen. Früher haben viele Banken das per AGB versucht auszuschließen oder sogar technisch versucht zu verhindern.

 

[knauserix]

Klar man kann das SMS Verfahren Aushebeln, das machen aber Geheimdienste, die stecken viel Zeit und Geld da rein.

Man konnte das SMS-Verfahren -jedenfalls in der Vergangenheit- auch dadurch aushebeln, indem man z.B. bei vielen Mobilfunkanbietern eine neue SIM-Karte bestellen konnte, die den Betrügern direkt zugesandt wurde ...

Beitrag automatisch zusammengeführt: Dienstag um 06:47

Selbst eine 2FA mit SMS ist immer noch sicherer, als eine 2FA auf nur einem Gerät, wie es beispielsweise die DKB macht, weil beim SMS-TAN zwei unterschiedliche Geräte genutzt werden. Da muß der Hacker beide Verfahren aushebeln.

ja, das 2FA-Verfahren auf nur einem Gerät zu nutzen, was mittlerweile wohl fast alle Banken ermöglichen, ist immer gefährlich. Aber man kann es ja auch über ein 2. Smartphones verwenden (auch bei der DKB).

 

[avator]

ja, das 2FA-Verfahren auf nur einem Gerät zu nutzen, was mittlerweile wohl fast alle Banken ermöglichen, ist immer gefährlich. Aber man kann es ja auch über ein 2. Smartphones verwenden (auch bei der DKB).

Selbst wenn du es auf mehreren Smartphones installiert hast, bleibt das Problem bestehen: Sobald eines der Smartphones kompromittiert ist, ist es vorbei. Du kannst nämlich nicht einstellen, dass du mit dem 1. Smartphone-Banking und mit dem 2. TAN machst. Jedes einzelne Smartphone ist Banking und TAN zugleich, das kannst du leider nicht verhindern.

 

[knauserix]

Selbst wenn du es auf mehreren Smartphones installiert hast, bleibt das Problem bestehen: Sobald eines der Smartphones kompromittiert ist, ist es vorbei. Du kannst nämlich nicht einstellen, dass du mit dem 1. Smartphone-Banking und mit dem 2. TAN machst. Jedes einzelne Smartphone ist Banking und TAN zugleich, das kannst du leider nicht verhindern.

bei mir ist das nicht so. ich kann das Smartphone auswählen, dass die Authentifizierung macht. und alle anderen geben dann nur Zugang zur App bzw. lassen dort wohl Aufträge erstellen (was ich aber üblicherweise im Webbanking mache).

Allerdings habe ich kein vollwertiges Girokonto dort (bei DKB), obwohl es mittlerweile so bezeichnet wird dort, sondern ein Wertpapier-Verrechnungskonto (allerdings mit Überweisungs- und Lastschrift-Funktion), ein Depot und ein Tagesgeldkonto. Aber das wird wohl kaum die Unterschiede ausmachen.

EDIT:
bzgl. der DKB nehme ich das alles zurück bzgl. der Überweisungen per Smartphone, habe es gerade ausprobiert. Für die DKB gilt das mit der Auswahlmöglichkeit des Authentifizierungs-Gerätes nur bei Verwendung eines PC als -die kommende Transaktion- auslösendes Gerät.

 

[geos]

Man konnte das SMS-Verfahren -jedenfalls in der Vergangenheit- auch dadurch aushebeln, indem man z.B. bei vielen Mobilfunkanbietern eine neue SIM-Karte bestellen konnte, die den Betrügern direkt zugesandt wurde ...

Beitrag automatisch zusammengeführt: Dienstag um 06:47

s.o.; nennt sich SIM Swapping.

Beitrag automatisch zusammengeführt: Dienstag um 22:10

Selbst wenn du es auf mehreren Smartphones installiert hast, bleibt das Problem bestehen: Sobald eines der Smartphones kompromittiert ist, ist es vorbei. Du kannst nämlich nicht einstellen, dass du mit dem 1. Smartphone-Banking und mit dem 2. TAN machst. Jedes einzelne Smartphone ist Banking und TAN zugleich, das kannst du leider nicht verhindern.

Gilt nur, wenn die Bank keine separate TAN-App anbietet und die Banking-App, falls Du sie nutzt, keine TANs erzeugen kann. Ob es vor allem letzteres auf dem Markt gibt, vermag ich nicht zu sagen.

 

[fzang]

Du bekommst die Push-TAN nur auf einem Smartphon, jedoch kannst du das problemlos ändern.
Das ist die Schwachstelle!

 

[geos]

Zum Thema Push-TAN hier ein interessantes Urteil:

OLG-Urteil: S-pushTAN-Verfahren reicht nicht für starke Kundenauthentifizierung

Eine Sparkasse muss einem Kunden, der grob fahrlässig Phishing-Opfer wurde, wegen Verzicht auf einen sicheren Login-Schutz einen Teil seines Schadens erstatten.

www.heise.de

Auch nett:

Sparkassen: Betrüger springen auf S-pushTAN-Probleme auf

Flinke Betrüger haben Betrugsseiten aufgesetzt, um damit Opfer zu ködern, die Sonntag Probleme mit dem Online-Banking hatten.

www.heise.de

Generell sollten Nutzer von Push-Messages, egal von welcher App, folgendes kennen (was nicht überrascht, wenn man weiß, wie sie funktionieren):

iPhone und Android: Push-Nachrichten als Datenschatz für staatliche Überwachung

Push-Nachrichten für iPhones und Android-Geräte laufen über Apples und Googles Server. An diesem Datenschatz sind auch staatliche Akteure interessiert.

www.heise.de

 

[knauserix]

Zum Thema Push-TAN hier ein interessantes Urteil:

OLG-Urteil: S-pushTAN-Verfahren reicht nicht für starke Kundenauthentifizierung

Eine Sparkasse muss einem Kunden, der grob fahrlässig Phishing-Opfer wurde, wegen Verzicht auf einen sicheren Login-Schutz einen Teil seines Schadens erstatten.

www.heise.de

Auch nett:

Sparkassen: Betrüger springen auf S-pushTAN-Probleme auf

Flinke Betrüger haben Betrugsseiten aufgesetzt, um damit Opfer zu ködern, die Sonntag Probleme mit dem Online-Banking hatten.

www.heise.de

Generell sollten Nutzer von Push-Messages, egal von welcher App, folgendes kennen (was nicht überrascht, wenn man weiß, wie sie funktionieren):

iPhone und Android: Push-Nachrichten als Datenschatz für staatliche Überwachung

Push-Nachrichten für iPhones und Android-Geräte laufen über Apples und Googles Server. An diesem Datenschatz sind auch staatliche Akteure interessiert.

www.heise.de

Die in dem Urteil des OLG Dresden enthaltene Passage

"In der pushTAN-App seien ihm keine konkreten Angaben zu Empfängern oder Beträgen angezeigt worden, führte der Kläger dazu aus. Ihm seien lediglich unbestimmte "Aufträge" zur Freigabe vorgelegt worden. "

trifft natürlich auf sehr viele Banken zu, wenn es z.B. um Freigabe irgendwelcher Einstellungen beim Onlinebanking geht.

 

[knauserix]

Du bekommst die Push-TAN nur auf einem Smartphon, jedoch kannst du das problemlos ändern.
Das ist die Schwachstelle!

man kann es jedenfalls bei der DKB meines Wissens nur mittels eines Gerätes mit bereits installierter App, deren Ingangsetzen zumindest zu Anfang authentifiziert werden musste, ändern.

Beitrag automatisch zusammengeführt: Gestern um 06:48

Gilt nur, wenn die Bank keine separate TAN-App anbietet und die Banking-App, falls Du sie nutzt, keine TANs erzeugen kann. Ob es vor allem letzteres auf dem Markt gibt, vermag ich nicht zu sagen.

Die Sparkassen, die Genobanken, die Deutsche Bank, Commerzbank/comdirect und Consorsbank haben separate Authentifizierungs-Apps, die Postbank -jedenfalls früher zusätzlich zur Banking-App- auch.

 

[fzang]

man kann es jedenfalls bei der DKB meines Wissens nur mittels eines Gerätes mit bereits installierter App, deren Ingangsetzen zumindest zu Anfang authentifiziert werden musste, ändern.

Jetzt erkennst du langsam das Problem, auch!
Du hast beispielsweise drei Smartphones, welche alle authentifiziert wurden, von dir.
Smartphone A nutzt du für die Push-TAN, B und C nur für das Banking.

Wenn A kompromittiert wird, ist alles klar, der Hacker kann machen was er will.
Wenn nur B kompromittiert wird (welches du bereits authentifiziert hast, sonst geht Banking nicht) dann wird die Push-TAN Funktion aktiviert, dazu brauchst du nicht Smartphone A. Anschließend kann der Hacker mit B machen was er will.
C ist exakt so wie B.
Hoffe es ist klar, was ich damit meine.

 

[knauserix]

Jetzt erkennst du langsam das Problem, auch!
Du hast beispielsweise drei Smartphones, welche alle authentifiziert wurden, von dir.
Smartphone A nutzt du für die Push-TAN, B und C nur für das Banking.

Wenn A kompromittiert wird, ist alles klar, der Hacker kann machen was er will.
Wenn nur B kompromittiert wird (welches du bereits authentifiziert hast, sonst geht Banking nicht) dann wird die Push-TAN Funktion aktiviert, dazu brauchst du nicht Smartphone A. Anschließend kann der Hacker mit B machen was er will.
C ist exakt so wie B.
Hoffe es ist klar, was ich damit meine.

ich weiß nicht, ob mir das alles klar ist.

bei Nutzung nur eines einzigen Smartphones für die Auftragserstellung und die TAN-Vergabe, ja klar. Das ist immer hochgefährlich.

bei Nutzung von zwei Geräten bin ich mir nicht sicher, ob das auch so ist, denn da kann man ja vergleichen, was im einen und was im anderen angezeigt wird (von den oben diskutierten "Aufträgen" einmal abgesehen).

 

[wizzard]

Ich verstehe die Urteilsbegründung nicht. Ich dachte, es reiche aus, wenn alle 90 Tage 2FA für den Zugang zum OLB verlangt werde. Hier wird jetzt plötzlich unterschieden nach Art der Einsichtnahme, d.h. ich soll ohne 2FA nicht einmal mehr das Menü zur Änderung des Überweisungslimits einsehen dürfen.

Wenn jetzt andere Banken das Urteil zum Anlass nehmen, nur noch die reine Kontostandsabfrage ohne ständige 2FA zu erlauben, na dann Prost Mahlzeit.

 

[knauserix]

Wenn jetzt andere Banken das Urteil zum Anlass nehmen, nur noch die reine Kontostandsabfrage ohne ständige 2FA zu erlauben, na dann Prost Mahlzeit.

ja sehe ich auch so.

Die DKB geht da noch weiter und verlangt selbst bei der Abfrage der Umsätze via HBCI-Software eine starke Authentifizierung.

Das führt am Ende vielleicht noch dazu, dass 'aus Bequemlichkeit' immer mehr Nutzer nur noch die Smartphone-Apps nutzen, weil man da ja 'ganz bequem' an diese Informationen rankommt (Fingerabdruck etc.).

 

[knauserix]

Gilt nur, wenn die Bank keine separate TAN-App anbietet und die Banking-App, falls Du sie nutzt, keine TANs erzeugen kann. Ob es vor allem letzteres auf dem Markt gibt, vermag ich nicht zu sagen.

gerade gesehen:

selbst die broker-App finanzen.net_zero bietet 2FA via separater App an, und man kann das Gerät vor Auftragsfreigabe auswählen. und bei diesem Institut kann man ja nicht einmal Überweisungen auf Fremdkonten durchführen.

Wenn selbst so kleine Institute das können, fragt sich, warum andere das nicht können ... oder wollen ...

 

[vlugangst]

Die DKB geht da noch weiter und verlangt selbst bei der Abfrage der Umsätze via HBCI-Software eine starke Authentifizierung.

Wenn du mit "bei der" "bei jeder" meinst, ist das falsch, siehe hier.

 

[knauserix]

Wenn du mit "bei der" "bei jeder" meinst, ist das falsch, siehe hier.

bei den von mir verwendeten Anwendungen (Banking4, Starmoney, AlfBanco (Win) + MoneyMoney (MacOS) muss ich bei jedem Abruf die Authentifizierung betätigen; und beim Lexware-Finanzmanager (Quicken) jedenfalls früher auch (aktuell mir nicht mehr bekannt);
sollte damit gemeint sein, dass beim nochmaligen Abruf aus der gleichen Anwendung das nicht erforderlich ist, dann möglich, mache ich halt praktisch nie mehrfach an einem Tag).

 

[fzang]

ich weiß nicht, ob mir das alles klar ist.

bei Nutzung nur eines einzigen Smartphones für die Auftragserstellung und die TAN-Vergabe, ja klar. Das ist immer hochgefährlich.

bei Nutzung von zwei Geräten bin ich mir nicht sicher, ob das auch so ist, denn da kann man ja vergleichen, was im einen und was im anderen angezeigt wird (von den oben diskutierten "Aufträgen" einmal abgesehen).

Es geht nicht darum, was du bei einer Überweisung machst, sondern wie der Hacker das machen würde.
Wenn der Hacker es schaft auch nur eines deiner Smpartphones zu kompromitieren, dann macht er eine Echtzeitüberweisung damit und du siehst das Geld nie wieder.

Wenn App und TAN getrennt wäre, dann müßte er beide Geräte kompromitieren. Das ist aber bei der All in One Lösung, wie es DKB macht nicht der Fall.

 

[knauserix]

Es geht nicht darum, was du bei einer Überweisung machst, sondern wie der Hacker das machen würde.
Wenn der Hacker es schaft auch nur eines deiner Smpartphones zu kompromitieren, dann macht er eine Echtzeitüberweisung damit und du siehst das Geld nie wieder.

Wenn App und TAN getrennt wäre, dann müßte er beide Geräte kompromitieren. Das ist aber bei der All in One Lösung, wie es DKB macht nicht der Fall.

der Hacker müsste dann ja quasi warten, bis ich irgendeinen Vorgang am PC auslöse (z.B. Überweisung, oder Umsatz -Abruf), um genau dann einen manipulierten Auftrag darüber zu schieben ?

Gab es das denn schon einmal ?

 

[Hotel]

ANZEIGE

Es geht nicht darum, was du bei einer Überweisung machst, sondern wie der Hacker das machen würde.
Wenn der Hacker es schaft auch nur eines deiner Smpartphones zu kompromitieren, dann macht er eine Echtzeitüberweisung damit und du siehst das Geld nie wieder.

Wenn App und TAN getrennt wäre, dann müßte er beide Geräte kompromitieren. Das ist aber bei der All in One Lösung, wie es DKB macht nicht der Fall.

Das ist ja gerade falsch: Die Bank bietet ein Verfahren mit aus deren Sicht hinreichender Sicherheit, welches aber für die Bank kostengünstig ist.

Und klar siehst Du im Fall von Betrug Dein Geld dann wieder, wenn Du dieses Verfahren mit immer geupdateter Hardware genutzt hast.

Die Bank juckt das überhaupt nicht, weil ein absolut sicheres Verfahren noch viel teurer wäre.
Es ist also in der Gesamtkalkulation nicht immer das sicherste Verfahren auch das beste für die Bank. Genau das kapiert mancher von uns Nerds leider nicht.