4. Online Banking

Online Banking

  • Y

    Daniel Wuellner schrieb:

    Liebe Leser,

    ich habe gerade den Autor kontaktiert. Er hat gesagt, dass die Betrüger eine eigene SIM-Karte verwendet haben und dann beim Anbieter von der Betrogenen einen Rufnummerübernahme beantragt haben, sodass die mTANs auf das Betrüger-Handy umgeleitet wurden.

    Mit freundlichen Grüßen,
    Daniel Wüllner

    Die Schwachstelle liegt hier also eindeutig beim Mobilfunkanbieter, der die Nummer auf eine neue Karte übertragen lässt, ohne die Identität der vermeintlichen Kundin zu überprüfen.
    Wenn man als Opfer merkt, dass die eigene SIM-Karte nicht mehr funktioniert, ist es vermutlich schon zu spät.

    0

  • yanni schrieb:

    Daniel Wuellner schrieb:

    Liebe Leser,

    ich habe gerade den Autor kontaktiert. Er hat gesagt, dass die Betrüger eine eigene SIM-Karte verwendet haben und dann beim Anbieter von der Betrogenen einen Rufnummerübernahme beantragt haben, sodass die mTANs auf das Betrüger-Handy umgeleitet wurden.

    Mit freundlichen Grüßen,
    Daniel Wüllner

    Die Schwachstelle liegt hier also eindeutig beim Mobilfunkanbieter, der die Nummer auf eine neue Karte übertragen lässt, ohne die Identität der vermeintlichen Kundin zu überprüfen.
    Wenn man als Opfer merkt, dass die eigene SIM-Karte nicht mehr funktioniert, ist es vermutlich schon zu spät.

    Warum? Sobald man merkt, dass die eigene Simkarte nicht mehr funktioniert ( man schreibt ja auch SMS oder telefoniert ), dann macht man kein Online-Banking mehr, so lange, bis es wieder funktioniert, oder man eine neue Sim-Karte hat.

    0
  • C

    It0101 schrieb:

    Warum? Sobald man merkt, dass die eigene Simkarte nicht mehr funktioniert ( man schreibt ja auch SMS oder telefoniert ), dann macht man kein Online-Banking mehr, so lange, bis es wieder funktioniert, oder man eine neue Sim-Karte hat.

    Eh nein, das ist genau die falsche Maßnahme. Das was du beschreibst wird allerdings schon automatisch gemacht, Online-Banking ist dann ja gar nicht mehr möglich. 🤡
    Man ruft natürlich sofort seinen Telefonanbieter an und fragt was los ist. Vielleicht auch gleich noch die Bank.

    0
  • Mod

    cooky451 schrieb:

    Man ruft natürlich sofort seinen Telefonanbieter an und fragt was los ist. Vielleicht auch gleich noch die Bank.

    Dann ist die Sache an sich aber schon längst gelaufen. Wie schnell würdest du denn feststellen, dass dein Telefon nicht mehr funktioniert? Und wie schnell würdest du ohne Telefon deine Bank/Anbieter anrufen können, vorzugsweise mitten in der Nacht? Das dauert wohl mindestens ein paar Stunden, bis eine Reaktion erfolgt.

    Wer ist dann eigentlich der Schuldige? Die Bank kann sich erst einmal unschuldig stellen und höchstens Kulanz anbieten. Der Mobilfunkanbieter hat sicherlich im Vertrag stehen, dass er das so machen darf (In Klausel 364c des Kleingedruckten). Der Kunde hat sich immerhin die PIN ausspähen lassen und diesen Mobilfunkanbieter gewählt.

    0
  • F

    SeppJ schrieb:

    Der Mobilfunkanbieter hat sicherlich im Vertrag stehen, dass er das so machen darf (In Klausel 364c des Kleingedruckten). Der Kunde hat sich immerhin die PIN ausspähen lassen und diesen Mobilfunkanbieter gewählt.

    Da bin ich mir wirklich nicht sicher. Im endeffekt hat Sie dennoch ihre Sorgfaltspflicht missachtet. Der Pin oder das Passwort was man wählt ist doch ohnehin ein Witz. Ich denke mal da ist ohnehin viel Anfechtbar. Ein wirklicher Identitätsnachweis ist das auf jeden Fall nicht. Es haben sich halt bisher zu wenige Beschwert da es einfach bequem ist.

    0
  • Mod

    Fedaykin schrieb:

    SeppJ schrieb:

    Der Mobilfunkanbieter hat sicherlich im Vertrag stehen, dass er das so machen darf (In Klausel 364c des Kleingedruckten). Der Kunde hat sich immerhin die PIN ausspähen lassen und diesen Mobilfunkanbieter gewählt.

    Da bin ich mir wirklich nicht sicher. Im endeffekt hat Sie dennoch ihre Sorgfaltspflicht missachtet. Der Pin oder das Passwort was man wählt ist doch ohnehin ein Witz. Ich denke mal da ist ohnehin viel Anfechtbar. Ein wirklicher Identitätsnachweis ist das auf jeden Fall nicht. Es haben sich halt bisher zu wenige Beschwert da es einfach bequem ist.

    Es würde mich in unserer Anwaltswelt nicht wirklich wundern, wenn da tatsächlich so Klauseln in den Verträgen stehen, die besagen, dass man das System der Bank durch Teilnahme als sicher anerkennt.

    0
  • F

    Ich denke hier müsste ohnehin ein Gericht Entscheiden. Die Frage ist ob irgendjemand seine Sorgfaltspflicht verletzt hat. Ggf der Mobilfunkanbieter indem er ohne Identitätsnachweis die Nummern tauschen lassen hat. Die Kundin, weil sie ggf nicht genug auf Viren geachtet hat.

    Meine Vermutung ist halt daher der Mobilfunkanbieter. Der hätte ggf die alte Nummer nicht freigeben dürfen bzw herausfinden können das dort was nicht sauber läuft. Das ließe sich zumindest rausfinden wenn auf entsprechenden Formularen die Unterschriften zu der Kundin unterschiedlich sind.

    Prinzipiell glaube ich auch noch nicht zu 100% das im geschilderten Fall die Bank aus reiner Kulanz die ca 80.000€ zurück gezahlt hat. Bei Beträgen < 5.000 hätte ich das eingesehen, aber die Summe war relativ hoch. Ggf gibt es rechtliche Spitzfindigkeiten die ggf dazu führen könnten, das es ein Grundsatzurteil gegen die Banken gefällt werden könnte, um dies zu vermeiden Zahlt man dann halt aus Kulanz.

    Aber eine eindeutige Antwort gibts hier bisher wohl nicht.

    0
  • ?

    Ich verwende einen (physikalischen) Zweitrechner, der NUR fürs Onlinebanking da ist. Installiert sind nur: Windows, alle Updates, Browser, Virenscanner.

    0
  • ?

    KlausB schrieb:

    Hallo

    ist Karte und Lesegeraet nicht besser ?
    Mfg
    Klaus

    Doch ist es.

    Deswegen nutze ich einen Tangenerator mit eigenem Keypad und Display.
    Dazu braucht man dann noch die EC Karte und ein PC dem man vertraut.

    Wird der PC kompromitiert, dann können andere zwar die Kontodaten einsehen, aber Überweisungen tätigen können sie nicht.

    Ein HAndy kann man verlieren und auf fremden Rechnern würde ich eh kein online Banking machen.
    Da ist dieses Argument pro m-Tan dummes Zeugs.

    Wer zwischen zwei Wohnungen pendeln muss, der kann den Tan Generator auch mitnehmen, so schwer ist der nicht,

    0
  • V

    KlausC schrieb:

    Ein HAndy kann man verlieren und auf fremden Rechnern würde ich eh kein online Banking machen.
    Da ist dieses Argument pro m-Tan dummes Zeugs.

    Handy ist immer in der Hosentasche.

    Das Lesegerät liegt neben dem Rechner, die Bankkarte im Regal, falls einer einbricht, so unsicher, wie die Tan-Liste, falls einer einbricht.

    Hängt wohl davon ab, wie man welche Sachen wo aufhebt. Zum Glück stellen "Erperten" vom Verbraucherschutz und der TÜV-Rheinland laut Medien verläßlich fest, was sicher ist und was nicht.

    Für mich wäre am sichersten, wenn ich per Mail und GPG mit der Bank scripten könnte. Und auch viel praktischer!! Meinen Rechner kann ich viel verläßlicher sauber halten als die Handyprovider ihre Rechner oder ich meine Wohnung.

    Für mich ist mTAN ein guter Kompromiss, das mögen die knacken wie sie wollen, es badarf eines gewissen auch finanziellen aufwands, und dann knacken die meinen Nachbarn vor mir, der hat das dickere Auto vor der Tür.

    0
  • ?

    volkard schrieb:

    Handy ist immer in der Hosentasche.

    Stell ich mir beim Telefonieren schwierig vor. Und stehst du beim Laden immer neben der Steckdose oder hast du einen Generator im Rucksack?

    0

  • @echt?
    Laden geht einfach. Über Nacht, da hat man die Hose eh nicht an.
    Ich vermute aber fast dass volkard das nicht ganz so absolut gemeint hat.

    0
  • ?

    hustbaer schrieb:

    @echt?
    Laden geht einfach. Über Nacht, da hat man die Hose eh nicht an.

    Das ist ja dann voll unsicher, nachts passieren die meisten Einbrüche.

    0
  • B

    Nein, vormittags.

    0
  • ?

    Bashar schrieb:

    Nein, vormittags.

    So ist es, wenn die Leute auf der Arbeit sind.

    0
  • O

    In Dänmark benutzt man überall nemID das ist eine zentrale Identifikationstechnik. Es wird kein mTAN verwendet sondrn der klassische Tanzettel + username/password. Der Zettel ist so gestanzt dass er zu checkkartenformat zusammengelegt werden kann und wird in der Hosentasche getragen.

    0
  • C

    Und wie genau schützt das jetzt gegen man-in-the-middle? Hört sich ziemlich unsicher an, eben genau so wie es hier vor mTAN war, abgesehen von dem Gefalte.

    0
  • ?

    volkard schrieb:

    KlausC schrieb:

    Ein HAndy kann man verlieren und auf fremden Rechnern würde ich eh kein online Banking machen.
    Da ist dieses Argument pro m-Tan dummes Zeugs.

    Handy ist immer in der Hosentasche.

    Das Lesegerät liegt neben dem Rechner, die Bankkarte im Regal, falls einer einbricht, so unsicher, wie die Tan-Liste, falls einer einbricht.

    Also bei mir ist die im Geldbeutel und den nehme ich in der Regel mit, wenn ich wegwehe. Und da, wo ich keine Bankkarte mitnehme, z.b. beim Joggen oder ins Freibad, da würde ich auch kein Handy mitnehmen.

    Der Ort Zuhause ist im übrigen wesentlich sicherer als irgendetwas Online oder im Computer.
    Wer z.B. regelmäßig dazu neigt, seine Passwörter zu vergessen, dem lebt wesentlich sicherer, wenn er sie auf einen Zettel aufschreibt.
    Das ist leider wirklich so.

    Es setzt natürlich vorraus, dass man im normalen Alltag seinem Zuhause vertrauen kann.
    Im Büro würde ich auch keine Zettel mit Passwörtern drauf an den Monitor kleben.

    Prinzipiell lassen sich ein Zettel und ein Lesegerät aber sehr einfach in einer Wohnung vertecken. Wer also Angst vor Einbrechern hat, der in der Regel sowieso zu dumm ist und eher nach Schmuck, Geld und Münzen sucht, der kann den Zettel und das Lesegerät so gut verstecken, dass er Stunden brauchen würde, es zu finden.

    Wer vor irgendeinem staatlichen Geheimdienst etwas zu befürchten hat, der braucht natürlich wesentlich andere Methoden, da ist ein Zettel mit Passwörtern drauf schon zu schlecht.

    Hängt wohl davon ab, wie man welche Sachen wo aufhebt. Zum Glück stellen "Erperten" vom Verbraucherschutz und der TÜV-Rheinland laut Medien verläßlich fest, was sicher ist und was nicht.

    Ja und die werden Leuten, die dazu neigen PW zu vergessen, auch empfehlen, diese besser auf einem Zettel aufzuschreiben und im Schreibtisch zu verschließen als die Passwörter im Computer zu speichern.
    Und das ist wirklich so, das würde ich ebenfalls unterschreiben.

    Für mich wäre am sichersten, wenn ich per Mail und GPG mit der Bank scripten könnte. Und auch viel praktischer!! Meinen Rechner kann ich viel verläßlicher sauber halten als die Handyprovider ihre Rechner oder ich meine Wohnung.

    Was machst du, wenn dir jemand, den du kennst, eine ausführbare Datei schickst, die du dringend brauchst?

    Selbst wenn du jotti anwirfst, hast du hier schon verloren, wenn es der Social Engeneer es daruf abgesehen hat, dir einen Trojaner unterzuschieben.

    Und jetzt frage dich mal, wie einfach es dem gleichen Typen gelingen würde, in deiner Wohnung Wanzen und Kameras zu installieren und wie groß die Chance ist, dass du die findest.

    0
  • O

    cooky451 schrieb:

    Und wie genau schützt das jetzt gegen man-in-the-middle? Hört sich ziemlich unsicher an, eben genau so wie es hier vor mTAN war, abgesehen von dem Gefalte.

    Die Schlüsseltabell wird auf einem sicheren Seitenkanal übertragen, die Transaktion selbst läuft über SSL. Wenn du glaubst dass SSL nicht sicher ist, dann hilft dir mTAN auch nicht mehr. Wir ersetzen nur das"m" in mTAN durch einen sicheren Seitenkanal.

    0
  • C

    otze schrieb:

    Die Schlüsseltabell wird auf einem sicheren Seitenkanal übertragen, die Transaktion selbst läuft über SSL. Wenn du glaubst dass SSL nicht sicher ist, dann hilft dir mTAN auch nicht mehr. Wir ersetzen nur das"m" in mTAN durch einen sicheren Seitenkanal.

    Es geht hier nicht um SSL, sondern darum dass jemand einfach deinen PC unter Kontrolle hat.

    0
Anmelden zum Antworten