Forum: Netzwelt
Betrugsversuche: Kriminelle nutzen Verwirrung um Änderungen beim Online-Banking
DPA

Eine neue Zahlungsdiensterichtlinie soll Online-Geschäfte sicherer machen. Vielen Kunden allerdings ist unklar, was genau sich für sie ändert. Das ruft Kriminelle auf den Plan.

Seite 1 von 7
vaikl 11.09.2019, 16:00
1. Zugang zum Onlinebanking selbst

Wenn es so chaotisch läuft wie aktuell z.B. bei der mittlerweile französischen Consorsbank, die ihre User bei jedem Login - und sei es nur zur Kontenabfrage - eine TAN über unsichere Android-Apps oder über einen kostenpflichtigen, aber sonst mit nix kompatiblen TAN-Generator generieren lässt (wobei dies auch noch mit einem 5-Minuten-Timeout der eigentlichen Banking-App "belohnt" wird, so dass man sich recht früh aufs neue TAN-Generieren freuen kann) und man im Vorfeld mit teilweise unvollständigen und widersprüchlichen Informationen mehr schlecht als recht informiert wurde, dann ist es kein Wunder, wenn Kriminelle ihre Kerben in solche Service-Wüste einschlagen und Kunden leicht übertölpeln können.

Beitrag melden Antworten / Zitieren
paul.lemke 11.09.2019, 16:02
2. Überregulierung

Das ist wieder ein typischer Fall von Überregulierung. Warum einfach wenn es auch kompliziert geht?

Beitrag melden Antworten / Zitieren
zeichenkette 11.09.2019, 16:17
3. Das Problem ist doch...

dass hier nicht EINMAL Nägel mit Köpfen gemacht werden, sondern die Kunden ständig mit neuen Anforderungen entnervt werden. TAN-Listen, TAN per SMS, Bestätigung per App, TAN-Generator mit Chipkarte, Zwei-Faktor-Authentifizierung... da blickt doch Otto Normalverbraucher jetzt schon nicht mehr durch. Der Service bricht immer mehr weg, es gibt keine Ansprechpartner, in der Hotline darf man sich eine Stunde lang Musik anhören -- die sollen sich bloss nicht wundern, wenn irgendwann Apple/Google/Facebook etwas anbieten, das einfach funktioniert und die Kunden sich erleichtert wegdrehen, Datenschutz hin oder her.

Beitrag melden Antworten / Zitieren
Thomas Kossatz 11.09.2019, 16:18
4. Alter Wein in neuen Schläuchen.

Die Tricks die wir derzeit erleben sind banales social engineering. Mit dem neuen Verfahren hat das nichts zu tun. Die Postbank hat ihre Informationen überwiegend offline verschickt. Ich arbeite bereits mit einer Hardware-Lösung, die völlig stressfrei funktioniert.
Faustformel für Privatkunden: Wenn Deine Bank Dich anruft, ist es nicht Deine Bank.

Beitrag melden Antworten / Zitieren
marthaimschnee 11.09.2019, 16:18
5.

Zitat von vaikl
Wenn es so chaotisch läuft wie aktuell z.B. bei der mittlerweile französischen Consorsbank, die ihre User bei jedem Login - und sei es nur zur Kontenabfrage - eine TAN über unsichere Android-Apps oder über einen kostenpflichtigen, aber sonst mit nix kompatiblen TAN-Generator generieren lässt
Macht die Postbank inzwischen auch und das nervt gewaltig. Und auf diese Weise erzeugt man nicht nur selber maximal Unsicherheit, man vermindert auch die Akzeptanz, insbesondere da die mTan einfach pauschal als unsicher deklariert wurde, obwohl sie wohl kaum unsicherer als die dreihundertfünfundzwanzigste App auf dem Schrott-Phone ist.

Zum Thema Phishing hab ich letztens auch eine solche Mail erhalten, Absender meine Bank, korrekte Anrede, fehlerfreier Amts-Deutsch Text, und fragte auch nicht nach Daten, sondern wollte mir nur mitteilen, daß ich mich zu dem PSD2-Kram da und dort informieren könne. Einzig stutzig machte das fehlende https und daß alle Links auf die selbe Adresse führten, diese allerdings tatsächlich auf einem (zu der Zeit schon nicht mehr erreichbaren) Server der Bank. An der Stelle hat es wohl einen erfolgreichen Angriff auf die Bank gegeben, bei der mindestens ein Teil einer Kontaktdatenbank erbeutet und ein Server mit einem Webserver ausgestattet werden konnte. Und deswegen muß man ganz klar sagen, daß Unternehmen die strafbewehrte Pflicht haben sollten, Sicherheitsvorfälle an einen staatliche Stelle zu melden, bei der man sich darüber informieren kann.

Beitrag melden Antworten / Zitieren
Newspeak 11.09.2019, 16:25
6. ...

Das typische Resultat einer guten Idee, die schlecht umgesetzt wird. Irgendwelche Leute denken sich technische Massnahmen aus, die theoretisch die Sicherheit erhoehen, aber durch die praktische Umsetzung wird die tatsaechliche Sicherheit erniedrigt, weil ein Aspekt von Sicherheit, dass man ein bewaehrtes System moeglichst nicht staendig aendert, ausser Acht gelassen wird.

Ich hoffe, dass es irgendwann einen erfolgreichen digitalen Disruptor fuer Bankgeschaefte geben wird, denn eine arrogantere und kundenunfreundlichere Branche gibt es nicht mehr, seit Uber und Co den Taximarkt umgekrempelt haben. Und wenn das passiert, hoffe ich instaendig, dass 90% der anderen Banken vom Markt verschwinden.

Beitrag melden Antworten / Zitieren
hman2 11.09.2019, 16:26
7.

Zitat von vaikl
Wenn es so chaotisch läuft wie aktuell z.B. bei der mittlerweile französischen Consorsbank, die ihre User bei jedem Login - und sei es nur zur Kontenabfrage - eine TAN über unsichere Android-Apps oder über einen kostenpflichtigen, aber sonst mit nix kompatiblen TAN-Generator generieren lässt (wobei dies auch noch mit einem 5-Minuten-Timeout der eigentlichen Banking-App "belohnt" wird, so dass man sich recht früh aufs neue TAN-Generieren freuen kann) und man im Vorfeld mit teilweise unvollständigen und widersprüchlichen Informationen mehr schlecht als recht informiert wurde, dann ist es kein Wunder, wenn Kriminelle ihre Kerben in solche Service-Wüste einschlagen und Kunden leicht übertölpeln können.
Consors bietet inzwischen als zweiten Faktor auch die bisherige mTAN als SMS auf das Handy an!

Beitrag melden Antworten / Zitieren
markus_wienken 11.09.2019, 16:26
8.

Zitat von zeichenkette
dass hier nicht EINMAL Nägel mit Köpfen gemacht werden, sondern die Kunden ständig mit neuen Anforderungen entnervt werden. TAN-Listen, TAN per SMS, Bestätigung per App, TAN-Generator mit Chipkarte, Zwei-Faktor-Authentifizierung... da blickt doch Otto Normalverbraucher jetzt schon nicht mehr durch. Der Service bricht immer mehr weg, es gibt keine Ansprechpartner, in der Hotline darf man sich eine Stunde lang Musik anhören -- die sollen sich bloss nicht wundern, wenn irgendwann Apple/Google/Facebook etwas anbieten, das einfach funktioniert und die Kunden sich erleichtert wegdrehen, Datenschutz hin oder her.
Ich vermag nicht zu erkennen, dass ich ständig beim Bezahlen mit neuen Anforderungen überhäuft werde.
Da hat sich seit Jahren nichts verändert, weder bei den von mir bevorzugten OnlineShops (OK, Paypal wurde irgendwann mit aufgenommen, was das Zahlen in der Regel erheblich vereinfachte) noch bei meiner Bank deren System seit Jahren unverändert geblieben ist.
Auch habe ich weder bei meinen Banken noch bei den Shops Serviceprobleme.
Ich sag nur: Augen auf bei der Partnersuche und wenns nicht gut läuft einfach wechseln.
Ihre sinnleere Pauschalkritik trifft nicht zu.

Beitrag melden Antworten / Zitieren
hman2 11.09.2019, 16:29
9.

Zitat von marthaimschnee
Macht die Postbank inzwischen auch und das nervt gewaltig. Und auf diese Weise erzeugt man nicht nur selber maximal Unsicherheit, man vermindert auch die Akzeptanz, insbesondere da die mTan einfach pauschal als unsicher deklariert wurde, obwohl sie wohl kaum unsicherer als die dreihundertfünfundzwanzigste App auf dem Schrott-Phone ist.
Die europäische Bankenaufsicht bescheinigt dem mTAN-Verfahren hingegen, dass es ein valider Besitz-Faktor ist für die Zwei-Faktor-Authorisierung. Unzulässig ist hingegen eine App!

Apps unzulässig: Siehe Table 2:
https://eba.europa.eu/documents/10180/2622242/EBA+Opinion+on+SCA+elements+under+PSD2+.pdf

mTAN zulässig:
https://eba.europa.eu/single-rule-book-qa/-/qna/view/publicId/2018_4039

Die Deutsche Bank, und der gehört die Postbank ja, bietet inzwischen (endlich! Lang hat's gedauert!) mobileTAN an...

Beitrag melden Antworten / Zitieren
Seite 1 von 7