Thema "Betreff: ungenügende privatsphäre online-banking" in Konto, Depot & Karte

ungenügende privatsphäre online-banking

ehemaliger Nutzer — Wed, 29 Jan 2020 21:39:36 GMT

hallo, zwar wurde zunächst diese 2-faktor-initiative ausgerollt, aber trotzdem finde ich es erschreckend, dass man nur die online-zugangsdaten braucht, um sensible daten wie

- name

- kontosalden

- umsätze

- depotaufstellung

zu sichten - ganz ohne zwei-faktor-authentifizierung.

derzeit habe ich noch sms-tans aktiviert (unsicher), und hoffe, dass mit dem bestellten phototan-generator der oben genannte umstand verschwindet (!).

denn ansonsten sind den kriminellen tür und tor offen - insbesondere bei sms-tan.

diese stellen einfach einen imsi-catcher in der nähe des opfers auf (bis zu 2km funkreichweite) und fischen seine sms bsw. ab. davon merkt der anwender nichts, weil jedes handy alle signale ungefiltert akzeptiert... zzgl. sogar zum ausrollen von schadsoftware über stille sms oder aktivierung von best. hintergrunddiensten zur spionage auf heute mittlerweile funktionsmächtigen sim-karten...

zum vergleich: bei maxblue / deutsche bank bsw. muss man sich zwingend schon beim login doppelt authentifizieren - sprich, das wissen um die online-zugangsdaten reicht da nicht...

mfg

Betreff: ungenügende privatsphäre online-banking

Weinlese — Wed, 29 Jan 2020 22:25:10 GMT

Wie realistisch ist denn so ein Szenario? Der Angreifer braucht zunächst die Zugangsdaten, die schon mal nicht so einfach zu bekommen sind. Ich kann nicht einschätzen, ob das Abfangen von SMS wirklich so leicht durchführbar ist. Aber selbst wenn, so muss der Angreifer in lokaler Nähe zum Opfer sein. Das dürfte schon mal in 99,9% der Fälle nicht gegeben sein. Dass hier "Tür und Tor geöffnet" sind, erscheint mir also etwas übertrieben.

Viele Grüße

Weinlese

Betreff: ungenügende privatsphäre online-banking

GetBetter — Wed, 29 Jan 2020 22:54:50 GMT

Ja, wer kennt sie nicht, diese mit Technik vollgestopften Vans, stetig auf der Suche nach wehrlosen Dummköpfen, deren SMS erbarmungslos ausspioniert werden nur um schubkarrenweise Geld von den Konten dieser arglosen Kleinanleger auf irgendwelche karibischen Inseln umzuleiten. Wahrhaft ein ernstes Problem. Die Zeitungen sind voll mit herzzerreißenden Berichten von plötzlich Mittellosen die doch jüngst noch Mittelständler waren.

Der Umstieg auf photoTAN ist dringlichst geboten um dieses jahrelang nicht ausreichend gewürdigte Sicherheitsdesaster ein für alle Mal auszumerzen.

Aber zukünftig vor dem Einloggen immer schön die Rollläden schließen, sonst greift der Nachbar von Gegenüber die photoTAN per Teleobjektiv ab oder späht unbemerkt Name, Kontosalden, Umsätze und Depotaufstellung aus.

Betreff: ungenügende privatsphäre online-banking

uburoi — Thu, 30 Jan 2020 06:54:38 GMT

@Weinlese schrieb:
Wie realistisch ist denn so ein Szenario?

Gar nicht so unrealistisch, wenn man Anrufer von "Microsoft" in die Gleichung addiert, die sich auf deinen Rechner schalten wollen, um ein Update zu installieren. Genau das ist jemandem in meinem Bekanntenkreis passiert und hat ihn 2000€ gekostet. So oder so sollte man vom SMS-Tan-Verfahren Abstand nehmen, weil es bekanntermaßen unsicher ist.

Betreff: ungenügende privatsphäre online-banking

Nikoneer — Thu, 30 Jan 2020 08:26:25 GMT

@uburoi schrieb:
@Weinlese schrieb:
Wie realistisch ist denn so ein Szenario?
Gar nicht so unrealistisch, wenn man Anrufer von "Microsoft" in die Gleichung addiert, die sich auf deinen Rechner schalten wollen, um ein Update zu installieren. Genau das ist jemandem in meinem Bekanntenkreis passiert und hat ihn 2000€ gekostet. So oder so sollte man vom SMS-Tan-Verfahren Abstand nehmen, weil es bekanntermaßen unsicher ist.

Bei diesen Microsoft-Calls werden Bank-Kunden ganz gezielt psychisch so unter Druck gesetzt, dass sie "freiwillig" Zugangsdaten und Kreditkartenummern am Telefon rausgeben oder die Überweisungen "zu Testzwecken" gleich selbst am eigenen Rechner freigeben.

Welches TAN-Verfahren dabei benutzt wird oder ob das Konto mit 2FA zusätzlich geschützt ist, spielt somit keine Rolle.

Vielleicht kann man ja Kundengehirne irgendwann mit einer 2-Faktor-Authentifizierung ausstatten, um den Online-Trickbetrug zu verhindern? 😉

Ich selbst wurde auch schon zwei oder dreimal von einem angeblichen Microsoft-Mitarbeiter angerufen. Ich habe gleich mit einem fröhlichen **piep** you! aufgelegt.

Eine Bekannte von mir allerdings hatte mal ein Gespräch, das über eine Stunde ging. Zwar hat sie keine Bankdaten oder ähnliches verraten, aber sie konnte einfach nicht auflegen. In ihrer Verzweiflung hat sie dann irgendwann das Telefonkabel aus der Wand gerissen...

Betreff: ungenügende privatsphäre online-banking

Frnk — Thu, 30 Jan 2020 09:57:00 GMT

Comdirect nutzt die 90-Tage-Regel. Starke Kundenauthentifizierung findet nur 1 x alle 90 Tage statt.

Von vielen Nutzern von Multibankingsoftware, die täglich mehrere Konten bei verschiedenen Banken abrufen, wird das favorisiert.

Zu diesem Thema gibt es hier auch schon einen Thread. Einfach hier deinen Wunsch formulieren, dann nimmt es der Kundeservice entgegen und bei genügend Relevanz in im Kundenkreis passt die Comdirect das ggf. an. (Aber ich würde mal eher nicht damit rechnen.)

Betreff: ungenügende privatsphäre online-banking

Smurf — Thu, 30 Jan 2020 21:01:01 GMT

@Weinlese schrieb:
Aber selbst wenn, so muss der Angreifer in lokaler Nähe zum Opfer sein. Das dürfte schon mal in 99,9% der Fälle nicht gegeben sein.
Viele Grüße
Weinlese

Um sich per Handschlag zu bedanken oder wie meinst du das?

Wer deinen Account gehackt hat und zudem deine SMS abfängt kann dein Konto bequem von Timbuktu aus plündern...

Betreff: ungenügende privatsphäre online-banking

RRRRRR — Thu, 30 Jan 2020 21:14:59 GMT

Die bekanntgewordenen mTAN-Betrugsfälle sind alle so abgelaufen, dass der Betrüger sich erstens die Bankdaten und die Telefonanschlussdaten ausgekundschaftet hat, zweitens dann beim Provider eine Ersatz-SIM-Karte bestellt hat und drittens diese per Post an die Anschrift des Kunden des Providers gesandte SIM-Karte abgefangen hat. Zumindest letzteres dürfte typischerweise so abgelaufen sein, dass an der Empfängeranschrift die Post abgefangen oder der Briefkasten ausgeräubert wurde.

Insgesamt ist das jedenfalls deutlich anspruchsvoller als sich unbefugten Zugriff auf ein Android-System zu verschaffen. Seit es App-basierte Verfahren wie PushTAN oder PhotoTAN gibt, wird kein wirschaftlich denkender Betrüger mehr versuchen, sich Kontozugangsdaten und eine SIM-Karte illegal zu beschaffen.

Betreff: ungenügende privatsphäre online-banking

Frnk — Thu, 30 Jan 2020 21:25:55 GMT

Es gibt noch eine Variante des SIM-Swap-Angriffs, wo ein Komplize Zugriff auf Austauschkarten hat, z.B. weil er in einem Handyladen arbeitet.

Erstaunlich, dass trozt der bekannten Angriffe auf die neuen TAN-Verfahren noch keine Betrugsfälle bekannt sind? Betrüger denken offensichtlich nicht mehr wirtschaftlich heutzutage.

Es gibt zudem noch eine dritte Variante: durch Phishing wird sich Zugriff auf die Identifizierungsmerkmale erlangt, die zum Ändern der verknüpften Telefonnummer nötig sind. Die TAN wird dann auf einer neuen Nummer des Betrügers zugestellt.

Finanztest übriges bewertet Foto- und App-TAN mit "hoch" (bzw. "sehr hoch", wenn ein externer Reader eingesetzt wird), im Vergleich die SMS-TAN mit "mittel". Aber was wissen die schon.

Betreff: ungenügende privatsphäre online-banking

RRRRRR — Thu, 30 Jan 2020 21:48:18 GMT

Die erstgenannte Methode ist reine Theorie. Da muss jemand die Bank- und die Telefondaten abfischen oder sonstwie in Erfahrung bringen und zusätzlich muss zufällig noch der Täter oder ein Komplize im "passenden" Handyshop arbeiten.

Was die App-basierten Verfahren angeht, die sind durchweg ziemlich neu und es dauert eben eine gewisse Zeit, bis Betrugsverfahren etabliert werden. Im übrigen gibt die Kreditwirtschaft Missbrauch grundsätzlich nicht zu. Die Möglichkeit Karten-PINs auszulesen, wurde ca. 6 Jahre lang wider besseres Wissen bestritten. Skimming wurde jahrelang für unmöglich erklärt. Der inzwischen florierende Missbrauch des kontaktlosen Bezahlens wird aktuell nach außen auch bestritten. Jede Bank behauptet, bei ihr sei noch kein einziger Fall aufgetreten, es gibt aber inzwischen Merkblätter und Schulungen für die Mitarbeiter sowie formalisierte Verfahren, die regeln, wie mit entsprechenden Kundenreklamationen umzugehen ist.

Und Finanztest? Na ja, die Stiftung Warentest nimmt doch wohl niemand mehr ernst. Und außerdem, wenn die Einschätzung für den Einsatz externer Reader gelten soll, dann spielt das für die Praxis keinerlei Rolle, denn das benutzt ja niemand.

Betreff: ungenügende privatsphäre online-banking

Frnk — Thu, 30 Jan 2020 22:21:47 GMT

Sie sind mir aber ein sehr gut informierter Scherzkeks.

Unlängst waren 9 Mitarbeiter von Telefonanbietern vor Gericht, wei sie der Mitwirkung bei einem SIM-Tausch-Betrug angeklagt wurden.

Die Ansage, externe Reader würden nicht genutzt werden, ist absurd. Sparkassen, Volksbanken bieten "Chip-TAN" schon seit 2003 in verschiedenen Versionen an. Natürlich wird das rege genutzt, auch bei Comdirekt, Consorsbank. Und die Postbank hat unlängst ebenfalls ein neues Verfahen auf Basis einer externen Hardware eingeführt.

Ich fürchte, deine Meinung zum Thema ist schon so fundiert formuliert, dass es jetzt auch nichts hilft, wenn ich die Risikoeinschätzung des BSI dazu anführe. Wie wäre es mit der Doktorarbeit jenes Wissenschaftlers, der die App-TAN-Verfahren zerlegt hat? Anstelle sich also nur auf die zweifelsohne verwundbaren neuen TAN-Verfahren zu kaprizieren, studiere doch auch den Abschnitt zu SMS-TAN.

https://opus4.kobv.de/opus4-fau/frontdoor/index/index/docId/11321

Haupert erwähnt außerdem in der abschließenden Zusammenfassung, dass es technisch wirksame Lösungen zur (Hardware-)Gerätebindung bei App-TAN-Verfahren gibt. Das ist der nächste logische Schritt, die Solarisbank und auch die DKB nutzen das bereits in einfacher Form, andere vermutlich auch. Die Anname, SMS-TAN sei sicherer als die neuen Verfahren, ist aber schlichtweg falsch.

Betreff: ungenügende privatsphäre online-banking

Weinlese — Fri, 31 Jan 2020 00:34:01 GMT

@Smurf schrieb:
Um sich per Handschlag zu bedanken oder wie meinst du das?

Wer deinen Account gehackt hat und zudem deine SMS abfängt kann dein Konto bequem von Timbuktu aus plündern...

Im Ausgangsbeitrag war die Rede von ISMS-Catchern in der Nähe des Opfers (Zitat: "bis zu 2km Funkreichweite").

Viele Grüße

Weinlese

Betreff: ungenügende privatsphäre online-banking

Smurf — Fri, 31 Jan 2020 05:58:59 GMT

@Weinlese schrieb:
@Smurf schrieb:
Um sich per Handschlag zu bedanken oder wie meinst du das?

Wer deinen Account gehackt hat und zudem deine SMS abfängt kann dein Konto bequem von Timbuktu aus plündern...
Im Ausgangsbeitrag war die Rede von ISMS-Catchern in der Nähe des Opfers (Zitat: "bis zu 2km Funkreichweite").

Viele Grüße
Weinlese

Ah okay danke für die Aufklärung. Hab ich wohl überlesen. Aus meiner Praxis ist mir ein solches Vorgehen allerdings bislang noch nicht untergekommen. Interessant.

Gruss

Betreff: ungenügende privatsphäre online-banking

ehemaliger Nutzer — Tue, 04 Feb 2020 23:42:56 GMT

@Frnk

alles soweit richtig. umso brisanter finde ich es, dass die sog. phototan-app von comdirect nur mit der comdirect-bankingapp aktiviert werden kann.

so aber wird die phototan-app automatisch unsicher, sobald ein trojaner die kommunikation auf dem smartphone zwischen den apps mitlesen und manipulieren kann (!).

in den agb schreibt jede bank - inkl. comdirect - dass man nicht für entstandene schäden aufkommt, wenn das onlinebanking und die authentifizierung auf demselben gerät statt finden (!).

d. h. comdirect bastelt sich eine 2-wege autohentifizierung per app, die dem kunden kein mehrgewinn an sicherheit bringt.

und ich habe mich dauernd gewundert, warum ich die phototan-app nicht auf dem smartphone akvieren kann, als stand-alone (so wie es richtig wäre).

nunja, jetzt ist dieses kleine schwarze daheim, als im prinzip sicherste offline-alternative.

weiterhin bleibt aber der makel des depots, dass man sensible kundendaten auch ohne 2-faktor-login sichten kann - sofern der kunde sich bereits binnen 90 tagen einmal eingeloggt habe.

das finde ich inakzeptabel.

mfg

Betreff: ungenügende privatsphäre online-banking

Frnk — Wed, 05 Feb 2020 01:01:11 GMT

Hey @ehemaliger Nutzer, das sind leider längst überholte Infos.

Wann hast du die Comdirect-AGBs das letzte Mal wirklich gelesen? Nur SMS-TAN ist explizit untersagt bei der Verwendung auf dem selben Gerät. Die App-TAN-Verfahren natürlich nicht. Die sind ja häufig so konzipiert, dass sie direkt miteinander arbeiten. Banken haben die AGBs natürlich entsprechend angepasst. Wäre doch absurd, wenn Banken extra Features von Apps entwickeln und deren einzigen Daseinszweck dann in den AGBs von der Nutzung auschließen.

Wie du schreibt ist es völlig richtig, dass die Installation von Banking- und TAN-App auf dem selben Gerät eine Schwachstelle ist. Aber Frage ist doch nicht, ob App-TAN angreifbar ist. Die Frage ist, ob es nach Einschätzung der Forscher zum Thema im Vergleich zu SMS-TAN ein Gewinn an Sicherheit ist.

Aber es muss ja auch niemand so machen.

Das bringt uns zur Aktivierung: Den Einwand verstehe ich nicht. Im Onlinebanking kann man einen Brief zur Aktivierung beantragen. Der kommt mit der Post. Damit aktiviert man die TAN-App. Die Banking-App muss man dazu überhaupt nicht installiert haben. Man kann die App stand-alone verwenden. Ruf’ doch bei der Kundenbetreuung an, die helfen dir, das nach deinem Wunsch einzurichten.

So. Ich bin dan mal raus hier. Seitdem Onlinebanking nicht mehr über BTX läuft, ist es eh unzumutbar mit der Sicherheit.

Betreff: ungenügende privatsphäre online-banking

ehemaliger Nutzer — Sat, 04 Apr 2020 21:25:04 GMT

hallo,

mich interessieren nicht irgendwelche leute, die multibanking betreiben mit irgendwelchen apps - und das wäre eher die minderheit.

fakt ist, dass andere banken, bsw. die db, es schaffen, den sog. komfort-login (alle 90 tage) _optional_ anzubieten.

wieso hier die comdirect wie die mehrheit der banken (sparkassen, volksbanken etc.) quasi für jeden kunden 90tage auf den zweiten faktor verzichten, halte ich für falsch.

interessant: die muttergesellschaft der comdirect, commerzbank, hat auf meine anfrage hin geantwortet, dass bei denen _jeder_ login eine tan brauche (und vermutlich hier nur optional dei 90-tage-regel).

weiterhin mangelhaft bei comdirect: scant man die phototan ab, zeigt das display beim login nicht die eigene kontonummer an. das kann die db besser und wirkt seriöser.

und was mich noch mehr stört an dem photo-tan der comdirect und was wie hingeklatscht schnell-schnell wirkt:

es gibt keine sichtbare bestätigung der genutzten tan auf der website nach freigabe der transaktion. man gibt die tan vom gerät ins eingabefeld ein und der nächste bestätigungsdialig erhält nicht die tan, welche abgefragt wurde.

das kann die db (und wahrscheinlich auch die commerzbank) ebenfalls besser.

die ganze phototan/2fa-geschichte der comdirect wirkt extrem sparsam aufgelegt, als ob man das in letzter minute gemacht hätte...

umso enttäuschender, da der mutterkonzern der comdirect es vernünftig macht.

mfg

Re: Betreff: ungenügende privatsphäre online-banking

ehemaliger Nutzer — Mon, 06 Apr 2020 06:54:32 GMT

Hallo @ehemaliger Nutzer,

dein Feedback gebe ich sehr gerne weiter.

Viele Grüße

Mario

Re: Betreff: ungenügende privatsphäre online-banking

ehemaliger Nutzer — Thu, 16 Apr 2020 01:13:54 GMT

alles klar chef.

roger and out.

Betreff: ungenügende privatsphäre online-banking

kevkev — Sat, 13 Mar 2021 08:26:25 GMT

Ich finde das auch erschrekend, sehr naiv und überlege deshalb die Bank zu wechseln. Ich finde der Kunde sollte selbst die Möglichkeit haben einstellen zu können nach wie vielen Tagen er wieder die TAN beim Login eingibt.

Betreff: ungenügende privatsphäre online-banking

bz — Sat, 13 Mar 2021 15:23:18 GMT

Hallo,

ein älterer Thread, aber immer noch aktuell.

Die Diskussion, was sicher ist und was unsicher ist, reißt nie ab. Man darf aber nie vergessen, daß die Benutzbarkeit gegeben sein muß.

Zum TAN-Zwang

Ich bin mir ziemlich sicher, daß bei vielen Kunden TAN-Zwang bei jedem Login die Häufigkeit senkt, das Konto zu checken. Das mag bei Vieltradern nicht zutreffen, oder denjenigen, die immer ihr Smartphone an der Hand haben. Aber das ist ja nicht bei jedem gegeben. Weniger Konto-Checks senken wiederum die Sicherheit.

Ich habe mein Privatkonto bei der Comdirect und verwalte auch noch ein Geschäftskonto bei einer anderen Bank. Bei beiden wird meist keine TAN beim Login verlangt, und ich finde das sehr praktisch. Ständiger TAN-Zwang würde mich da total nerven.

Es spricht aber überhaupt nichts dagegen, daß man den TAN-Zwang einstellbar macht. Denkbar wäre auch, den TAN-Zwang davon abhängig zu machen, ob man sich vom selben Browser aus wiederholt einloggt.

Zur Online-PIN

An die Login-Daten kommen Fremde ja nicht so einfach heran. Ich gebe meine PIN nur auf dem PC ein, von dem ich Online-Banking betreibe. Wenn die PIN dort jemand abfischt, ist er sowieso schon mit drauf und kann alles mitlesen. Also hier sehe ich kein Problem.

Problematisch ist es, wenn die PIN noch woanders benötigt wird. Und das ist bei der Comdirect leider gegeben, nämlich:

• Telefon-Zugang

• Initialisierung TAN-App

Mußte ich beides schon mal machen, habe aber direkt danach die PIN geändert. Es läßt sich also wieder ausbügeln.

Sicherheit als solche

Was sicher ist und was nicht, bleibt ein ewiger Streit. Absolut sicher ist kein Verfahren. Aber man kann die Sicherheit gigantisch erhöhen, wenn man zwei voneinander unabhängige Zugänge kombiniert.

Ich benutze einen PC für das Banking und seit neuestem ein Smartphone mit Photo-TAN (offline) und bin damit voll zufrieden.

Grüße.