comdirect

ehemaliger Nutzer · ‎29.01.2020

hallo, zwar wurde zunächst diese 2-faktor-initiative ausgerollt, aber trotzdem finde ich es erschreckend, dass man nur die online-zugangsdaten braucht, um sensible daten wie

- name

- kontosalden

- umsätze

- depotaufstellung

zu sichten - ganz ohne zwei-faktor-authentifizierung.

derzeit habe ich noch sms-tans aktiviert (unsicher), und hoffe, dass mit dem bestellten phototan-generator der oben genannte umstand verschwindet (!).

denn ansonsten sind den kriminellen tür und tor offen - insbesondere bei sms-tan.

diese stellen einfach einen imsi-catcher in der nähe des opfers auf (bis zu 2km funkreichweite) und fischen seine sms bsw. ab. davon merkt der anwender nichts, weil jedes handy alle signale ungefiltert akzeptiert... zzgl. sogar zum ausrollen von schadsoftware über stille sms oder aktivierung von best. hintergrunddiensten zur spionage auf heute mittlerweile funktionsmächtigen sim-karten...

zum vergleich: bei maxblue / deutsche bank bsw. muss man sich zwingend schon beim login doppelt authentifizieren - sprich, das wissen um die online-zugangsdaten reicht da nicht...

mfg

Weinlese · ‎29.01.2020

Wie realistisch ist denn so ein Szenario? Der Angreifer braucht zunächst die Zugangsdaten, die schon mal nicht so einfach zu bekommen sind. Ich kann nicht einschätzen, ob das Abfangen von SMS wirklich so leicht durchführbar ist. Aber selbst wenn, so muss der Angreifer in lokaler Nähe zum Opfer sein. Das dürfte schon mal in 99,9% der Fälle nicht gegeben sein. Dass hier "Tür und Tor geöffnet" sind, erscheint mir also etwas übertrieben.

Viele Grüße

Weinlese

GetBetter · ‎29.01.2020

Ja, wer kennt sie nicht, diese mit Technik vollgestopften Vans, stetig auf der Suche nach wehrlosen Dummköpfen, deren SMS erbarmungslos ausspioniert werden nur um schubkarrenweise Geld von den Konten dieser arglosen Kleinanleger auf irgendwelche karibischen Inseln umzuleiten. Wahrhaft ein ernstes Problem. Die Zeitungen sind voll mit herzzerreißenden Berichten von plötzlich Mittellosen die doch jüngst noch Mittelständler waren.

Der Umstieg auf photoTAN ist dringlichst geboten um dieses jahrelang nicht ausreichend gewürdigte Sicherheitsdesaster ein für alle Mal auszumerzen.

Aber zukünftig vor dem Einloggen immer schön die Rollläden schließen, sonst greift der Nachbar von Gegenüber die photoTAN per Teleobjektiv ab oder späht unbemerkt Name, Kontosalden, Umsätze und Depotaufstellung aus.

uburoi · ‎30.01.2020

@Weinlese schrieb:
Wie realistisch ist denn so ein Szenario?

Gar nicht so unrealistisch, wenn man Anrufer von "Microsoft" in die Gleichung addiert, die sich auf deinen Rechner schalten wollen, um ein Update zu installieren. Genau das ist jemandem in meinem Bekanntenkreis passiert und hat ihn 2000€ gekostet. So oder so sollte man vom SMS-Tan-Verfahren Abstand nehmen, weil es bekanntermaßen unsicher ist.

Nikoneer · ‎30.01.2020

@uburoi schrieb:
@Weinlese schrieb:
Wie realistisch ist denn so ein Szenario?
Gar nicht so unrealistisch, wenn man Anrufer von "Microsoft" in die Gleichung addiert, die sich auf deinen Rechner schalten wollen, um ein Update zu installieren. Genau das ist jemandem in meinem Bekanntenkreis passiert und hat ihn 2000€ gekostet. So oder so sollte man vom SMS-Tan-Verfahren Abstand nehmen, weil es bekanntermaßen unsicher ist.

Bei diesen Microsoft-Calls werden Bank-Kunden ganz gezielt psychisch so unter Druck gesetzt, dass sie "freiwillig" Zugangsdaten und Kreditkartenummern am Telefon rausgeben oder die Überweisungen "zu Testzwecken" gleich selbst am eigenen Rechner freigeben.

Welches TAN-Verfahren dabei benutzt wird oder ob das Konto mit 2FA zusätzlich geschützt ist, spielt somit keine Rolle.

Vielleicht kann man ja Kundengehirne irgendwann mit einer 2-Faktor-Authentifizierung ausstatten, um den Online-Trickbetrug zu verhindern? 😉

Ich selbst wurde auch schon zwei oder dreimal von einem angeblichen Microsoft-Mitarbeiter angerufen. Ich habe gleich mit einem fröhlichen **piep** you! aufgelegt.

Eine Bekannte von mir allerdings hatte mal ein Gespräch, das über eine Stunde ging. Zwar hat sie keine Bankdaten oder ähnliches verraten, aber sie konnte einfach nicht auflegen. In ihrer Verzweiflung hat sie dann irgendwann das Telefonkabel aus der Wand gerissen...

Frnk · ‎30.01.2020

Comdirect nutzt die 90-Tage-Regel. Starke Kundenauthentifizierung findet nur 1 x alle 90 Tage statt.

Von vielen Nutzern von Multibankingsoftware, die täglich mehrere Konten bei verschiedenen Banken abrufen, wird das favorisiert.

Zu diesem Thema gibt es hier auch schon einen Thread. Einfach hier deinen Wunsch formulieren, dann nimmt es der Kundeservice entgegen und bei genügend Relevanz in im Kundenkreis passt die Comdirect das ggf. an. (Aber ich würde mal eher nicht damit rechnen.)

Smurf · ‎30.01.2020

@Weinlese schrieb:
Aber selbst wenn, so muss der Angreifer in lokaler Nähe zum Opfer sein. Das dürfte schon mal in 99,9% der Fälle nicht gegeben sein.
Viele Grüße
Weinlese

Um sich per Handschlag zu bedanken oder wie meinst du das?

Wer deinen Account gehackt hat und zudem deine SMS abfängt kann dein Konto bequem von Timbuktu aus plündern...

RRRRRR · ‎30.01.2020

Die bekanntgewordenen mTAN-Betrugsfälle sind alle so abgelaufen, dass der Betrüger sich erstens die Bankdaten und die Telefonanschlussdaten ausgekundschaftet hat, zweitens dann beim Provider eine Ersatz-SIM-Karte bestellt hat und drittens diese per Post an die Anschrift des Kunden des Providers gesandte SIM-Karte abgefangen hat. Zumindest letzteres dürfte typischerweise so abgelaufen sein, dass an der Empfängeranschrift die Post abgefangen oder der Briefkasten ausgeräubert wurde.

Insgesamt ist das jedenfalls deutlich anspruchsvoller als sich unbefugten Zugriff auf ein Android-System zu verschaffen. Seit es App-basierte Verfahren wie PushTAN oder PhotoTAN gibt, wird kein wirschaftlich denkender Betrüger mehr versuchen, sich Kontozugangsdaten und eine SIM-Karte illegal zu beschaffen.

Frnk · ‎30.01.2020

Es gibt noch eine Variante des SIM-Swap-Angriffs, wo ein Komplize Zugriff auf Austauschkarten hat, z.B. weil er in einem Handyladen arbeitet.

Erstaunlich, dass trozt der bekannten Angriffe auf die neuen TAN-Verfahren noch keine Betrugsfälle bekannt sind? Betrüger denken offensichtlich nicht mehr wirtschaftlich heutzutage.

Es gibt zudem noch eine dritte Variante: durch Phishing wird sich Zugriff auf die Identifizierungsmerkmale erlangt, die zum Ändern der verknüpften Telefonnummer nötig sind. Die TAN wird dann auf einer neuen Nummer des Betrügers zugestellt.

Finanztest übriges bewertet Foto- und App-TAN mit "hoch" (bzw. "sehr hoch", wenn ein externer Reader eingesetzt wird), im Vergleich die SMS-TAN mit "mittel". Aber was wissen die schon.

RRRRRR · ‎30.01.2020

Die erstgenannte Methode ist reine Theorie. Da muss jemand die Bank- und die Telefondaten abfischen oder sonstwie in Erfahrung bringen und zusätzlich muss zufällig noch der Täter oder ein Komplize im "passenden" Handyshop arbeiten.

Was die App-basierten Verfahren angeht, die sind durchweg ziemlich neu und es dauert eben eine gewisse Zeit, bis Betrugsverfahren etabliert werden. Im übrigen gibt die Kreditwirtschaft Missbrauch grundsätzlich nicht zu. Die Möglichkeit Karten-PINs auszulesen, wurde ca. 6 Jahre lang wider besseres Wissen bestritten. Skimming wurde jahrelang für unmöglich erklärt. Der inzwischen florierende Missbrauch des kontaktlosen Bezahlens wird aktuell nach außen auch bestritten. Jede Bank behauptet, bei ihr sei noch kein einziger Fall aufgetreten, es gibt aber inzwischen Merkblätter und Schulungen für die Mitarbeiter sowie formalisierte Verfahren, die regeln, wie mit entsprechenden Kundenreklamationen umzugehen ist.

Und Finanztest? Na ja, die Stiftung Warentest nimmt doch wohl niemand mehr ernst. Und außerdem, wenn die Einschätzung für den Einsatz externer Reader gelten soll, dann spielt das für die Praxis keinerlei Rolle, denn das benutzt ja niemand.

comdirect

ungenügende privatsphäre online-banking