ANZEIGE
Nun, ein mögliches Szenario sieht wie folgt aus:
Opfer scannt einen (vermeintlichen Spenden-) QR-Code auf seinem Tamagotchi ein, der es (vielleicht nach einer vermeintlichen Spendenseite) zu einer Fake-Bankingseite führt (vielleicht vorher noch mit Auswahl, bei welcher Bank man ist, damit das Design darauf stimmt), angeblich zum Bezahlen der Spende. Opfer loggt sich dort mit seinen Logindaten ein, übermittelt diese also an den Angreifer. Der kann diese direkt zum Login bei der richtigen Bank nutzen. Falls dort ein TAN abgefragt wird, reicht er die Frage über das Fakeportal durch. Opfer bekommt eine PushTAN und gibt diese auf der Fake-Webseite ein (ich weiß nicht genau, ob man bei der Sparkasse TANs eingibt oder ob da ein anderer TAN-Mechanismus benutzt wird; aber die Angreifer haben das sicher entsprechend angepasst in ihrer "User-Journey"). Angreifer, nun im Onlinebanking eingeloggt, verknüpft ein olles iPhone unter seiner Kontrolle mit dem Konto des Opfers. Dafür ist eine TAN als Bestätigung erforderlich. Also wird dem Opfer vorgespielt, für die Freigabe der Spende sei die Eingabe einer (ggfs. weiteren) TAN erforderlich. Opfer erhält die TAN und gibt sie auf der Fake-Webseite ein; damit erhält der Angreifer sie und kann die Verknüpfung zu dem iPhone unter seiner Kontrolle freischalten. Danke für die Spende. Wir schicken Ihnen noch eine Spendenquittung an Ihre Adresse. Kann allerdings noch ein paar Tage dauern. Wir bitten um Verständnis und wünschen noch einen schönen Tag.
Jackpot; now it's shopping time!
Ein Opfer, das sich nichts denkt bei der Nutzung solcher QR-Codes, wird mit hoher Wahrscheinlichkeit auch nicht auf die subtilen Mitteilungen in den TANs achten, zumal der Angreifer die Formulierung in der User-Journey so anzupassen versucht, dass es möglichst ein stimmiges Bild ergibt.
Mit hoher Wahrscheinlichkeit wurde die S-TAN-App nicht auf dem fremden Telefon installiert, War auch nicht nötig. ApplePay genügt.
Zuletzt bearbeitet:
Nun übertreib mal nicht. Bei mir läuft er erst seit dem 19.05.
Zuletzt bearbeitet:
aaah, interessant, ich bin also nicht der Einzige, der wartet. Bei mir kam immerhin am 01.06. die Mail, dass das Konto eröffnet sei, und am 02.06. die Mail, dass im Postfach neue Dokumente seien. Jetzt warte ich nur noch auf die Zugangsdaten zum OB, die per Post kommen sollen ...
Zu S-pushTAN: JEDER Vorgang einer TAN Freigabe wird explizit in der App genannt. Also z.B. Einzelüberweisung, neues Gerät als vertrauenswürdig speichern, neue pushTAN Verbindung und auch die Erstellung einer digitalen Karte (Apple Pay). Wer einfach irgendetwas freigibt, ohne den genauen Vorgang zu prüfen, handelt in meinen Augen eigenverschuldet!
Aber die meisten lesen den Text nicht sondern bestätigen einfach die Push TAN.
Langsam wird's blöd. Heutige Antwort der BLSK:
"[...] damit es losgehen kann fehlen noch unterschrieben
-Kundenstammvertrag
-Fatca
-Informationsbogen [...]"
Die habe ich denen bereits am 26.05. geschickt und dann die mir zunächst nicht zugesandte Empfangsbestätigung separat nachgereicht. Alles in dem E-Mail-Verlauf nachvollziehbar. Das kommt davon, wenn jede der drei E-Mails der BLSK darin von einem anderen Mitarbeiter bearbeitet wird und sich keiner den ganzen Verlauf durchliest.
Edit: Und jetzt gings ganz schnell: 17:08 Uhr nochmal die E-Mail mit allen Dokumenten versendet, 17:25 Uhr Antwort-E-Mail mit Bestätigung der Kontoeröffnung erhalten.
Zuletzt bearbeitet:
... die müssen ihre internen Abläufe schon noch etwas optimieren, wenn sie im Internetzeitalter auf Dauer mithalten wollen.
Und bis dann alle Unterlagen für das OB per Post eingetrudelt sind, vergehen bestimmt nochmal 1-2 Wochen.
Aber nicht alle Sparkassen sind so langsam. Bei der 1822direkt z.B. geht sowas ganz flott ...
Dagegen hat die BLSK bestimmt schon 150 Jahre oder mehr auf dem Buckel.
Da können natürlich dann schon so manche altersbedingten Defizite auftauchen ... wie z.B. beim Menschen mit Gicht, Demenz u.v.a.m. auch ... kennt man ja, da ist Nachsicht geboten ...
Und das ist die Schuld der Sparkasse, weil....? Ach nein, es ist nicht die Schuld der Sparkasse!
welche Sparkasse ?
Interessant wäre vor allem auch die Frankfurter Sparkasse oder eine andere Sparkasse aus dem von derselben Sparkassen-IT betreuten Bereich (Hessen ? Thüringen ?), gerade halt im Vergleich zur 1822direkt.
Weil es dort 3,1% aufs Tagesgeld gibt, bin ich jetzt bei der Braunschweigischen Landessparkasse. Gleichzeitig habe ich gehört, dass der S-Broker ab 15.6. seine Ordergebühren auf 0,95€ senkt. Der S- Broker selbst scheint keine FinTS Schnittstelle anzubieten, aber ich lese etwas über ein DepotPlus, was man über manche Sparkassen eröffnen kann und was dem S-Broker Depot entsprechen soll. Stimmt das? Meine Frage: kann ich über die BLSK ein S-Broker-Depot (DepotPlus?) eröffnen, so dass es im Online Banking der BLSK sichtbar ist und über FinTS los mit abgerufen werden kann?
es gibt verschiedene Sparkassen, die das anbieten, und ich meine, S-Broker hat dazu eine Abrufmöglichkeit auf der eigenen Website (jedenfalls hatte er früher eine, als ich noch dort ein Depot hatte).
Es muss aber wohl ein 'richtiges' Girokonto einer Sparkasse sein. Und dann kann es immer noch so sein, dass zwar das S-Giro -wie üblich- via HBCI abrufbar ist, aber das Depot beim S-Broker nur via Webscraping (und nur von Software-Lösungen, die das können).
In der Weboberfläche der Sparkassen scheint das Depot mittlerweile sichtbar zu machen sein:
Aber das heißt noch nicht, dass es dafür auch eine HBCI-Funktionalität gibt (z.B. die ING hatte das lange Zeit für ihr Depot nicht, und die Targobank hat es bis heute nicht).
EDIT:
Mittlerweile kann man es wohl bei der Eröffnung auswählen, ob man das Verrechnungskonto beim S-Broker möchte oder bei einer Sparkasse (aber es nehmen nicht alle teil), denn es ist -wie früher auch- Voraussetzung für das TG-Konto des S-Broker:
Tagesgeldkonto: Attraktive Zinsen & kostenlose Kontoführung
Attraktive Zinsen, tägliche Verfügbarkeit und kostenlose Kontoführung: Eröffnen Sie Ihr S Broker Tagesgeldkonto jetzt und profitieren Sie sofort!
www.sbroker.de
Aber vielleicht hat hier jemand auch aktuellere Infos ...
Zuletzt bearbeitet:
in Banking4 ist (in der Web-Software-Lösung) im Reiter Bankzugänge in der 6. Spalte (nach Kunden-ID) aufgeführt, über welche Schnittstelle der Abruf erfolgt:
FinTS (= HBCI) u.
XS2A (= Webscraping).
Daran kann man es sehen. Die HBCI-Schnittstelle ist halt im Alltag viel zuverlässiger und wird auch nicht -wie bei manchen Anbietern auf ihrer Web-Oberfläche (was dann erst in der Schnittstelle nachvollzogen werden muss)- manchmal alle paar Monate verändert.
ANZEIGE
![]()
Ich hatte auch das Depot Plus, bin aber dann zum normalen Depot ohne Einbindung des Girokontos "gewechselt" (geht nicht direkt, nur durch Kündigung und Neuabschluss inkl. Antrag auf Depotübertrag). Ich konnte das Depot beim Depot Plus zwar über den FinTS Zugang meiner Sparkasse sehen, aber nur der aktuelle Gesamtwert ohne die einzelen Positionen. Dadurch wurde in MoneyMoney kein Verlauf gespeichert und man sah dort nur den täglich aktuellen Gesamtwert. Laut Support von MoneyMoney liegt das am FinTS Server der Sparkasse der die nötigen Daten nicht liefert, kann also nicht geändert werden.
Habe jetzt das normale Direct Depot und MoneyMoney ruft alles korrekt per Webscraper ab, FinTS gibt es beim S Broker nicht. Auch das Tagesgeld geht nur mit Verrechnungskonto bei S Broker, also noch ein Grund das Depot Plus nicht zu nehmen.
Habe jetzt das normale Direct Depot und MoneyMoney ruft alles korrekt per Webscraper ab, FinTS gibt es beim S Broker nicht. Auch das Tagesgeld geht nur mit Verrechnungskonto bei S Broker, also noch ein Grund das Depot Plus nicht zu nehmen.