ANZEIGE
Damit du selbst siehst, wie einfach es für einen Gauner ist das Konto leerzuräumen, ohne Kenntnis des Passwortes!
DKB Sammelthread
- Starter*in wurstpeter
- Datum Start
ANZEIGE
Damit du selbst siehst, wie einfach es für einen Gauner ist das Konto leerzuräumen, ohne Kenntnis des Passwortes!
Nochmal: Du brauchst den Anmeldenamen (ohne den kommst du nicht weiter!), dann Zugriff auf die SMS und musst dazu den CVC Code der Debitkarte kennen. Sorry, aber daran ist nichts einfach. Nicht unmöglich, aber eben auch nicht einfach. Gegen die freiwillige Preisgabe des Benutzers kann man sich nicht schützen.
Anmeldekennung ist die Kontonummer, das ist doch kein Geheimnis. Ja natürlich muß der unbedarfte DKB Kunde alles weitergeben! Darum dreht sich doch die ganze Diskussion, lies noch mal von vorne! Kunde gibt SMS TAN und CVC an den Gauner und Gauner räumt das Konto leer.
So kommen wir nicht weiter, wenn du alles vergißt und ich alles wieder von vorne erklären muß!
Bei mir nicht. Das ist nämlich nicht allgemeingültig.
Im Grunde sind wir genauso weiter wie vorher. Es ist nicht „einfach“ das Konto leerzuräumen.
Das bedeutet eine Mitwirkung des Kunden. Entweder Geldbeutel stehlen lassen inkl. Smartphone. Das Smartphone sollte komplett ungesichert sein (also damit auf jedenfall SMS Codes gesehen werden können). Und der Dieb muss natürlich genau wissen welche Angaben die DKB erwartet für einen Reset. Und das Konto darf nicht „zu neu“ sein, sonst funktioniert es nicht mehr einfach mit „Anmeldekennung = Kontonummer“.
Oder der Kunde muss auf Phishing reinfallen und ggf. Freigaben erteilen (es gibt unterschiedliche Betrugsansätze).
Selbstverständlich könnte die DKB den Prozess noch sicherer gestalten. Beispielsweise könnte man einen Ausweisscan einbauen (wie es die ING gemacht hat). Oder man setzt auf den alten Freischaltbrief.
Egal wie man es macht: Es wird immer Kunden geben, die sinnlos Transaktionen freigeben oder Daten weitergeben egal wie oft man es denen sagt. Offenbar brauchen wir echt mal eine striktere rechtliche Regelung die auch mal den Kunden mehr in die Pflicht nimmt.
Möglicherweise kann es sein, dass das Gericht den Passwort zurücksetzen Prozess als „Schwachpunkt“ ansieht und vielleicht da wenn es blöd läuft bald Anpassungen durch die DKB erfolgen. Es kann also nur nerviger werden. Alles was „zu einfach“ ist muss ja früher oder später ausgenutzt werden.
Das Fazit der ganzen Diskussion ist doch im Endeffekt: Der Benutzer muss drei - ja DREI - sensible Informationen bewusst preisgeben. Obwohl die DKB auch per Mail sensibilisiert, Daten niemals weiterzugeben. Irgendwo muss man einen Strich ziehen, um Prozesse nicht unnötig zu verkomplizieren.
Nee, die SMS wird ja auch auf dem Lockscreen angezeigt - ohne Entsperrung. Ja, kann man abschalten. Macht aber so gut wie niemand.
Und ja, der Code steht sogar ganz am Anfang der Nachricht.
Ich habe hier noch eine Original Nachricht:
"Bitte gib den Code 123456 ein, um Deine Visa Kreditkarte (****1234) zu Apple Pay hinzuzfügen. Der Code ist 30 Minuten lang gültig. Bitte teile ihn mit niemandem".
[edit]
Und ja, das war auf einem anderen Handy.
Also bei iOS ist das meines Wissens der Standard. Bei mir muss das Gerät entsperrt sein, damit der Nachrichteninhalt gesehen werden kann. Aber jeder kann ja selbst entscheiden wie man das machen will.
Nette Stereotypen. Ich kann Dich beruhigen, dass auch gewisse moderne PC-Betriebssysteme wie z.B. entsprechende Linux-Distributionen automatisch Updates holen und installieren; geht im Hintergrund und ohne dass der Benutzer davon etwas mitbekommt. Da sie recht ressourcensparsam sind, rennen sie auch problemlos auf dem 15 Jahre alten Aldi-PC und sie unterstützen diese Hardware über einen Zeitraum, den man bei keinem Smartphone-Hersteller erhält. Und das ganze natürlich ohne ein Registrierung oder ein Konto (und Tracking) beim Betriebssystemhersteller.
Und genau deswegen ist die Registrierung von Telefonen unter der Kontrolle des Angreifers auf ApplePay des Opfers ein beliebter Angriffsweg, und weil die Hürden dafür oft nicht so sehr hoch sind, der Schaden dann aber umso größer, werden viele Banken erfolgreich verklagt von Opfern.
Zwei Dinge, erstens ist es nicht üblich, z. B. für ältere Leute einerseits auf Apps zu verzichten, andererseits auf Linux zu setzen. Da läuft auf dem alten Rechner klassisch Windows... Zweitens ist es so, wenn ein Computer nicht sehr oft hochgefahren wird, braucht das gute Stück erst einmal eine Zeit lang, bis die Updates heruntergeladen und installiert wurden. Da kommts ja nicht nur auf die Hardware an. Die Downloads müssen erst mal durchlaufen und installiert werden. Person X fährt aber den Computer hoch und möchte zeitnah ins Banking, nicht erst noch 10 Minuten und länger warten. Das ist halt leider so.
Ich habe wörtlich die SMS zitiert, die ich Anfang März von der DKB für die Freischaltung von Apple Pay auf einem anderen Gerät bekam (nur die Nummern sind geändert). Da stehen 30 Minuten.
Letzten Herbst hatte ich einen Handywechsel. In dieser SMS (da ist der Code auch nicht am Anfang) stand nicht, wie lange der Code gültig ist.
Das "selber entscheiden können" ist genau das Problem - und an wichtigen Stellen auch eingeschränkt. Versuche mal ein zu einfaches Passwort/PIn - wird nix. Versuche mal 2FA abzuschalten - wird nix. Ich erinnere mich auch an Zeiten, da war man bei der DKB auch ausgesperrt, wenn man das Handy gewechselt hatte und bei der Einrichtung der Bank-App auf das alte keinen Zugriff mehr hatte. Dann musste man einen Freischaltbrief anfordern und hatte ein paar Tage Pause. (Ich hatte damals noch zusätlich Chip-Tan, also kein Problem, ein Bekannter war tatsächlich ausgesperrt).
Mit der SMS hat man jetzt einen sehr einfachen, schnellen Weg aus dem Dilemma - potentiell aber sehr gefährlich - und bei Anzeige im Lockscreen ist es auch kein 2FA mehr. Da müssten nämlich zwei unterschiedliche Faktoren (Besitz, Wissen, Biometrie) verwendet werden. Es genügt hier aber 2x Besitz (Handy + KK).
Ja, man kann nicht jedes Aushebeln von 2FA technisch verhindern die klassische mit Edding auf die EC-Karte geschriebene PIN ist auch so ein Fall. Die Frage ist halt nur, wo die grobe Fahrlässigkeit beginnt. Und eine KK und sein gesperrtes Handy mit Standardeinstellungen an einem Ort kurz mal unbeobachtet zu lassen sehen nicht alle Gerichte als "grob Fahrlässig" an.
Das ist jetzt wieder ein ganz anderes Thema, wie sicher ist die Nutzung am PC bzw. am Smartphone.
Aber das andere Thema war, wie relativ einfach ein Gauner dein Konto leerräumen kann, ohne dein Smartphone oder PC zu übernehmen, nur indem er dir einige wenige Sachen am Telephon abschwatzt. Und genau das ist passiert und genau da hat der Richter entschieden die DKB trägt eine Mitschuld und muß deshalb bezahlen.
Aber damit kommen wir nicht mehr weiter, wir drehen uns einfach im Kreis, wie groß die Schuld des Kunden war, das Gericht hat es jedenfalls anders gesehen und ich auch, du siehst es anders. OK alles klar.
Nennt sich digital detox. Andere verlangen da Geld dafür, die DKB bietet es kostenfrei an - und wird dennoch dafür gescholten. Wie mans macht macht mans verkehrt
Ich weiß nicht, wie es bei Dir unter iOS eingestellt ist. Geh auf Einstellungen > Mitteilungen > Nachrichten und konfiguriere dein Telefon anständig. Da wird überhaupt nix im Sperrbildschirm angezeigt, außer Du WILLST es...
@Benutzern: Einige wenige Sachen abschwatzt? Sorry, aber das ist Quatsch. Ein Teil der Kennung, ein Teil der Kartendaten, einen SMS Code etc. Irgendwo hörts dann auch auf... Du verstehst gar nicht, wie Betrugsmaschen funktionieren. Du kannst ZEHN Hürden einbauen. Das Opfer wird ja dazu gebracht, die benötigten Daten höchst selbst heraus zu geben. Der menschliche Faktor ist hier entscheidend.
Habe ich jetzt schon häufiger geschrieben, aber dein Gedächnis ist kürzer als beim Goldfisch im Aquarium.
Die Anmeldekennung ist die Kontonummer, nur bei neuen Konten scheint es anders zu sein.
So ab jetzt werde ich deine Beiträge ignorieren, habe keine Lust mich mit einen zu unterhalten der so grosse Gedächnisprobleme hat.
Die Anmeldekennung ist die Kontonummer, nur bei neuen Konten scheint es anders zu sein.
So ab jetzt werde ich deine Beiträge ignorieren, habe keine Lust mich mit einen zu unterhalten der so grosse Gedächnisprobleme hat.
Es ist immer die gleiche Sorte "Mensch" die ausfallend wird, wenn man sie mit ihrem Unvermögen konfrontiert.
Meine Anmeldekennung ist NICHT die Kontonummer und so "neu" ist mein Konto nicht.
Meine Anmeldekennung ist NICHT die Kontonummer und so "neu" ist mein Konto nicht.
Wenn ich mich nicht falsch erinnere konnte man beim alten Banking noch die Anmeldekennung ändern. Das ist derzeit nicht möglich. Nur Neukunden können derzeit einmalig eine eigene Kennung festlegen. Ich denke mal, die Funktion wird in einigen Monaten vielleicht wieder kommen.
Andersrum: Ich habe jetzt geschaut, bei iOS gibt es 3 Auswahloptionen für die Anzeige der Benachrichtigungen von "Nachrichten" (=SMS) auf dem Lockscreen:
Immer (Standard)
Wenn entsperrt
Nie
Zu Deutsch: die per SMS zugeschickte PIN taucht auf dem nicht entsperrten Lockscreen von Otto Normaluser auf. Und damit ist 2FA für die Freigabe von Apple Pay für eine KK/DK der DKB ausgehebelt, da man nur 2x Besitz braucht (Karte + Handy).
Ja, ich habe diese Einstellung jetzt geändert, auch ich war mir dieser Gefahr nicht wirklich bewusst. Aber standardmäßig wird die PIN direkt angezeigt.
Und zu den Benutzernamen, falls man nicht Apple Pay, sondern die App freischalten will: Es ist durchaus einen Versuch wert:
Falls du deinen Anmeldenamen nicht geändert oder selbst vergeben hast: Er setzt sich normalerweise aus deiner Kontonummer (die letzten 10 Stellen deiner IBAN) und einem Zusatz (meist _p oder _c) zusammen. Zum Beispiel: 1234567890_p.
Und für das Gericht stellt sich dann eben nur die Frage: leichte Fahrlässigkeit (Bank haftet) / Grobe Fahrlässigkeit (Kunde haftet).
Wenn die einzig wirklich geheime Information in den Standardeinstellungen direkt auf einem gesperrten Telefon angezeigt wird, dann wird halt keine grobe Fahrlässigkeit seitens des Kunden angenommen.
Du wirfst ein paar Szenarien durcheinander. Einerseits gehts um Onlinebanking-Betrug bzw. es geht darum den Kunden dazu zu bringen, seine Daten heraus zu geben, so dass unbefugte Menschen Überweisungen ausführen können bzw. es geht darum, dass Geld auf fremde Konten unter Vorspielung falscher Tatsachen überwiesen wird. (Sohn im Knast, Tochter hatte Unfall usw.)
Das andere Thema ist der Diebstahl persönlicher Gegenstände, also Smartphone PLUS Geldbörse. Unabhängig davon, dass so ein Verlust zeitnah bemerkt wird, weil das Smartphone für viele Menschen ja so wichtig ist wie das tägliche Brot ist es doch so: Niemand! wird sich mit Apple Pay befassen und versuchen, das irgendwie einzurichten und an die SMS zu kommen. Es ist viel realistischer, dass der Dieb so schnell wie möglich 3 kontaktlose Zahlungen mit der Karte selbst vornimmt. Die sind ohne Aufwand möglich und bleiben zunächst auch erst einmal unbemerkt. Ein geklautes Smartphone eingeschaltet und online zu lassen... würd ich jetzt nicht machen... Außerdem kann der Dieb ja überhaupt nicht einschätzen, wie viel Geld auf dem Konto des Opfers überhaupt zur Verfügung steht. Hat das Opfer nur noch 200 Euro auf dem Konto, weil es schon Ende vom Monat ist, oder liegt da ein 4-stelliger Betrag unverzinst herum.
Das andere Thema ist der Diebstahl persönlicher Gegenstände, also Smartphone PLUS Geldbörse. Unabhängig davon, dass so ein Verlust zeitnah bemerkt wird, weil das Smartphone für viele Menschen ja so wichtig ist wie das tägliche Brot ist es doch so: Niemand! wird sich mit Apple Pay befassen und versuchen, das irgendwie einzurichten und an die SMS zu kommen. Es ist viel realistischer, dass der Dieb so schnell wie möglich 3 kontaktlose Zahlungen mit der Karte selbst vornimmt. Die sind ohne Aufwand möglich und bleiben zunächst auch erst einmal unbemerkt. Ein geklautes Smartphone eingeschaltet und online zu lassen... würd ich jetzt nicht machen... Außerdem kann der Dieb ja überhaupt nicht einschätzen, wie viel Geld auf dem Konto des Opfers überhaupt zur Verfügung steht. Hat das Opfer nur noch 200 Euro auf dem Konto, weil es schon Ende vom Monat ist, oder liegt da ein 4-stelliger Betrag unverzinst herum.
Mhmm - bei mir unter iOS 26.3.1 (a) nicht....
Hier wird unter Einstellungen / Mitteilungen / Vorschauen anzeigen / NIE als Standard angezeigt
edit:
das hat mir jetzt so bissel keine Ruhe gelassen und ich hab das nochmal gecheckt und folgendes rausgefunden
Das STANDARD ist keine Vorgabe von Apple/iOS sondern die übergeordnete Instanz unter Mitteilungen. Direkt unter Einstellungen / Mitteilungen kann man für alle Mitteilungen zentral IMMER / WENN ENTSPERRT / NIE einstellen. Diese Auswahl wird dann in den Detaileinstellungen der einzelnen Apps als STANDARD übernommen.
...wieder was gelernt....
Die beiden Szenarien haben eine ganz große Gemeinsamkeit:
Die einzige "Absicherung" ist ein 6-stelliger Zahlencode, der bequem per SMS gesendet wird (dazu muss man nicht mal die Handynummer wissen). Alle anderen Daten sind nicht wirklich geheim (IBAN kennt jeder, mit dem man jemals Bankgeschäfte machte) bzw. geschützt (direkt auf die KK gedruckt). Und das langt den Gerichten halt nicht, um automatisch eine Haftung zulasten des Kunden anzunehmen.
Um es herunterzubrechen: Für die Registrierung eines weiteren Geräts und damit dauerhaft unbegrenzten Kontozugriff benötigt man an geheimen Daten nur die per SMS übermittelte Nummer.
Für jede Überweisung benötigt man mehr.
Zu den 3 kontaktlosen Zahlungen: Das geht nur für Kleinkram, sonst wird eine PIN abgefragt. Und die Haftung ist für den Kunden auf 50€ gedeckelt.
ANZEIGE
![]()
Ich sag es Dir jetzt auch noch mal... *g* Die Anmeldekennung ist NICHT die Kontonummer, zumindest bei mir nicht. Der Inhalt einer SMS kann bei mir im Sperrbildschirm nicht gelesen werden. Wenn DU wirklich Schutz willst, dann denk ein bisschen um Ecken und ich schlage Dir folgendes vor...
Verwende ausschließlich Apple Pay und lass die Visa-Debit irgendwo versteckt zu Hause auf dem Dachboden. Dann hat schon mal KEIN Dieb deine IBAN und er weiß eigentlich nicht einmal, bei welcher Bank Du Kunde bist. Bargeld kannst Du im Supermarkt beim Einkaufen beziehen bzw. halt dort, wo der Bezug von Bargeld auch mit Visa-Karten möglich ist (Rossmann?). Das sollte dnan auch in Kombination mit Apple Pay funktionieren.
Ich will damit folgendes sagen: Ein bisschen Eigenverantwortung muss JEDER tragen. Auf Weihnachtsmärkten, oder Volksfesten, wo vor Taschendieben gewarnt wird hat man die Geldbörse auch nicht einfach in der Außentasche seiner Jacke ganz ohne Reißverschluss.