Check24 Bank startet mit MasterCard Debit ab 10/2020

[BR 612]

ANZEIGE

Nochmal zum Mitschreiben! Photo Tan ist kein "veraltetetes Tan Verfahren". Sondern aus Sicht der IT Sicherheit das Beste!!!

Sm@rt-TAN Photo (Genobanken) bzw. Chip-TAN QR (Sparkassen) finde ich nicht schlecht, als Backup. Es kann immer mal sein, dass das Handy verloren geht, kaputt geht oder warum auch immer die App spakt und einen Reset erforderlich macht. Da macht es schon Sinn, ein zweites TAN-Verfahren in der Hinterhand zu haben.
So ein TAN-Generator kostet knapp 24 € (der kann aber auch alles, Chip-TAN manuell, Sm@rt-TAN Photo und Chip-TAN QR), das ist es mir wert. Den TAN-Generator kann jeder mit der passenden Karte nutzen.
Was ich hingegen nicht mag sind diese eigenen Lösungen von CoBa/CoDi und der DeuBa und Noris. Da braucht jede Person ihren eigenen TAN-Generator und die Dinger sind auch nur für die eine Bank tauglich. All diese Banken geben ja Girocards aus (CoBa, DeuBa und Noris standardmäßig, CoDi auf Wunsch).

 

[Hannoveraner]

Mich stört immer noch, dass bei Mastercard-Zahlungen kein Ort angegeben ist. Ist es wirklich so schwer, das einzurichten? Bei anderen KK-Anbietern geht es doch auch.

Das verstehe ich auch, aber es gibt zwei Umwege um diesen einzusehen: Entweder über den Reiter Analyse in der App (über die entsprechende Kategorien gehen, bis die einzelne Transaktionen aufgelistet werden) oder über die Anzeige des Cashback-Programmes. Dort wird der Ort als »Ortsname, Land«, wobei Land als drei-buchstabiges Kürzel (also DEU für Deutschland) dargestellt wird. Besser wäre es direkt in den Umsatzdetails direkt. Noch schöner wäre es, wenn die genaue Anschrift dargestellt werden könnte. Das macht z. B. DiPocket. Einige Banken im Ausland zeigen nicht nur die vollständige Adresse, sondern auch den Ort auf einer Karte.

 

[RollinCHK]

So und dann stellt sich folgendes Problem...: Ich hab bei Media Markt online etwas bestellt. Bezahlt hab ich mit Kreditkarte (nicht C24). Als Ortsangabe steht dann bei den Umsätzen: Wankelstraße 5, 85046 Ingolstadt. Das ist die Adresse, die im Impressum des Onlineshops steht. Ich war noch nie in Ingolstadt und mich zieht da auch nix hin. In wie fern hilft mir also die Ortsangabe jetzt genau bei was?

Zum Thema TAN-Verfahren und Webportal: Sie wollen es nicht machen und sie werden es nicht machen. Das kann man gut finden, oder auch nicht, aber wer darauf wartet bei der C24, kann lange warten. Das ist nicht das Konzept, was sie verfolgen. Das werden sie allenfalls entwickeln, wenn sie sich davon mehr Kundenwachstum erhoffen.

Was bringen die oben erwähnten TAN-Verfahren mir bitte an Sicherheit??? Erklärt es mir. Ich bin neugierig. Die Szenarien: Man ist ein Phishing-Opfer, oder aber man wird überfallen und bedroht. Wenn ich auf Phishing Mails, oder Betrugsmaschen herein falle, dann WILL ich mein Geld überweisen, weil ich in dem Moment glaube, das Richtige zu tun. Das ist ja z. B. auch die miese Nummer beim Enkeltrick. Werde ich überfallen und bedroht geht es um mein Leben. Da wird man kaum anfangen, mit dem Verbrecher zu diskutieren.

Bei der C24 lege ich ne PIN fest und erzeuge ein Passwort. Das Passwort kennt Niemand. Beim entsprechenden TAN-Verfahren habe ich sicherlich nen Brief mit irgend einem QR-Code, oder Master-Key in der Schublade liegen, damit ich im Zweifelsfall das TAN-Verfahren auf einem neuen Gerät Reaktivieren kann.

Auch ein Dieb müsste also erst einmal mein Smartphone in die Hände bekommen (die C24 ermöglicht das Banking ja nur mit EINEM Gerät), er müsste das Smartphone entsperren können, er bräuchte die App Pin und das festgelegte Passwort...

 

[netzfaul]

Zum Thema TAN-Verfahren und Webportal: Sie wollen es nicht machen und sie werden es nicht machen. Das kann man gut finden, oder auch nicht, aber wer darauf wartet bei der C24, kann lange warten. Das ist nicht das Konzept, was sie verfolgen. Das werden sie allenfalls entwickeln, wenn sie sich davon mehr Kundenwachstum erhoffen.

Was bringen die oben erwähnten TAN-Verfahren mir bitte an Sicherheit??? Erklärt es mir. Ich bin neugierig. Die Szenarien: Man ist ein Phishing-Opfer, oder aber man wird überfallen und bedroht. Wenn ich auf Phishing Mails, oder Betrugsmaschen herein falle, dann WILL ich mein Geld überweisen, weil ich in dem Moment glaube, das Richtige zu tun. Das ist ja z. B. auch die miese Nummer beim Enkeltrick. Werde ich überfallen und bedroht geht es um mein Leben. Da wird man kaum anfangen, mit dem Verbrecher zu diskutieren.

Bei der C24 lege ich ne PIN fest und erzeuge ein Passwort. Das Passwort kennt Niemand. Beim entsprechenden TAN-Verfahren habe ich sicherlich nen Brief mit irgend einem QR-Code, oder Master-Key in der Schublade liegen, damit ich im Zweifelsfall das TAN-Verfahren auf einem neuen Gerät Reaktivieren kann.

Auch ein Dieb müsste also erst einmal mein Smartphone in die Hände bekommen (die C24 ermöglicht das Banking ja nur mit EINEM Gerät), er müsste das Smartphone entsperren können, er bräuchte die App Pin und das festgelegte Passwort...

Bei einem externen, isolierten Gerät wird zur Erzeugung der TAN vorher das Empfängerkonto und der Betrag angezeigt. Das heißt, selbst wenn irgendwo ein Man-In-The-Middle(/Browser/Phone) stattgefunden hat, hast du hier noch die chance, das zu entdecken.

Bei TAN über app kann eine Schadsoftware, die root-Rechte erhalten hat, im schlimmsten Fall unbemerkt Bildschirmbereiche mit gewünschten Inhalten überschreiben. Du kannst also eine Überweisung an deinen Freund für 15 Euro eingeben, die Schadsoftware ändert das aber in 3298 Euro an einen "Finanzdienstleister"(=Geldwäscher). Dadurch, dass dir an jeder Stelle aber die 15 Euro an deinen Freund angezeigt wurden, bestätigst du die Transaktion im besten Gewissen. Die Bank wird nachher behaupten, du hättest diese Überweisung selbst veranlasst.

Drive-By vulnerabilities gibt es immer wieder, sowohl unter Android als auch iOS. Es kann jeden zu jeder Zeit erwischen. Best practice ist, für das Überweisen und das Bestätigen der Transaktion zwei unabhängige, nicht miteinander verbundene Geräte zu verwenden. Ich möchte nur an den Zeus Trojaner erinnern, der auf einem Windows-PC ein per USB angeschlossenes Telefon infiziert hat, um die mTAN abzufangen und im Inhalt zu ändern, um einen MITM(Browser)-Angriff zu verstecken.

Edit: Ich speichere mir jetzt den Permalink zu dem Post. Gefühlt habe ich dieses Angriffszenario alleine in diesem Forum schon 20 mal beschrieben.

 

[RollinCHK]

Die Schadsoftware mit Root Rechten muss auch erst einmal auf das EINE Smartphone, welches für das Banking verwendet werden kann, egal ob nun aufs iOS, oder Android Gerät.

 

[netzfaul]

Die Schadsoftware mit Root Rechten muss auch erst einmal auf das EINE Smartphone, welches für das Banking verwendet werden kann, egal ob nun aufs iOS, oder Android Gerät.

Korrekt. Und wieviel Smartphones hat der durchschnittliche Kunde im Gebrauch?

 

[RollinCHK]

Ich verstehe was Du meinst, aber dennoch, die Schadsoftware muss aufs Telefon. Das setzt eigentlich voraus, dass das Opfer ein Mensch ist, der sich gerne mal unbedacht diverse Apps im Store zieht bzw. sie manuell installiert. Das setzt sicher auch voraus, dass man anfällig dafür ist, irgendwelche Links in Mails, oder komischen SMS anzuklicken. Von Nichts kommt Nichts...

Damit will ich wirklich nichts verharmlosen, oder herunter spielen. Ich verstehe deine Argumentation.

 

[netzfaul]

Ich verstehe was Du meinst, aber dennoch, die Schadsoftware muss aufs Telefon. Das setzt eigentlich voraus, dass das Opfer ein Mensch ist, der sich gerne mal unbedacht diverse Apps im Store zieht bzw. sie manuell installiert. Das setzt sicher auch voraus, dass man anfällig dafür ist, irgendwelche Links in Mails, oder komischen SMS anzuklicken. Von Nichts kommt Nichts...

Damit will ich wirklich nichts verharmlosen, oder herunter spielen. Ich verstehe deine Argumentation.

Was hast du an

Drive-By vulnerabilities gibt es immer wieder

nicht verstanden? Es reicht aus, wenn du browst, und ein Angreifer mal wieder einen Adserver hops nimmt, und dann Werbung ausspielt, die Browserschwachstellen ausnutzt. Quelle: https://blog.confiant.com/tag-barna...ers-redirects-victims-to-malware-50cdc57435b1 (gibt aber viele viele andere übernahmen)

 

[Hannoveraner]

Zu meiner Geschichte über Mails an feedback@c24.de:
Ich habe es mir erlaubt per Mail nachzuhaken und es gab nach wenigen Stunden die Antwort mit dem Inhalt der ursprünglicher Antwort, welche am Tag meiner ursprünglicher Antwort verschickt werden sollte. Die Mail mit ursprünglicher Antwort ist nie bei mir eingetroffen (nein, auch nicht im SPAM-Ordner).

So und dann stellt sich folgendes Problem...: Ich hab bei Media Markt online etwas bestellt. Bezahlt hab ich mit Kreditkarte (nicht C24). Als Ortsangabe steht dann bei den Umsätzen: Wankelstraße 5, 85046 Ingolstadt. Das ist die Adresse, die im Impressum des Onlineshops steht. Ich war noch nie in Ingolstadt und mich zieht da auch nix hin. In wie fern hilft mir also die Ortsangabe jetzt genau bei was?

Das gibt dir eine ladungsfähige Anschrift. Die kann man anfahren, aber gleichermaßen auch Korrespondenz einsenden. Bei unseriösen Händlern kann das insoweit helfen, dass man durch das Einsenden von Korrespondenz an den Händler nachweisen kann, dass man ernsthaft versucht hat, den Händler zu erreichen, bevor man mit Chargeback anfängt. Der Versuch einer Klärung mit dem Händler ist eine Voraussetzung für das Chargeback-Verfahren. Man kann auch die angezeigte Adresse auf Plausibilität überprüfen: Stimmt diese mit den Angaben auf der Webseite überein? Existiert diese Adresse überhaupt?

Ich hoffe, dass die meisten ohne weiteres einsehen können, wofür eine Adresse beim Einkaufen vor Ort hilfreich sein könnte.

 

[RollinCHK]

@Hannoveraner: Für das Einkaufen vor Ort ist das jetzt noch nicht ganz klar. *g* ... außer man legt Wert auf Bewegungsprofile... Wenn Du Apple Pay nutzen solltest, ist übrigens aber auch der Ort der Zahlungen in der Apple Wallet hinterlegt. Vielleicht ist das ja auch ne Option. Bei Google Pay ist das ja evtl. auch so? Das ist dann ja vielleicht für den Übergang, bis die C24 möglicherweise Änderungen vornimmt eine Idee.

@netzfaul: Das größtmögliche Maß an Sicherheit erhält man meiner Meinung nach durch zwei Dinge:

1. Der gesunde Menschenverstand: Nein, das ist nicht überheblich gemeint, aber wer bei keinem Gewinnspiel mit macht, der wird es hoffentlich vermeiden eine E-Mail mit dem sinngemäßen Inhalt "Ihre 500 € REWE Gutschein wartet auf Sie." anzuklicken. Ein anderes Beispiel: Wer alles per Karte, oder Lastschrift bezahlt und wer vielleicht 2x im Jahr ein paar Schuhe für 100 Euro auf Rechnung kauft, der braucht kein 5.000 Euro Überweisungslimit. Hier kann man das Limit auf z. B. 150 Euro herabsetzen und so erhält man dann auch einen gewissen Schutz. Stichwort: "Was will ich, was brauche ich..."

2. PCs, Smartphones und Tablets sollten immer aktuell gehalten werden. Damit meine ich, das regelmäße Einspielen von Updates, Firmware, OS, Apps & Software. Ebenfalls macht es sicherlich Sinn, den Browsercache regelmäßig zu löschen und für das Online-Banking idealerweise einen sauberen, eigenständigen Browser zu verwenden. Auch Ad-Blocker als Browsererweiterung einzusetzen kann hilfreich sein.

Ich glaube, die beiden Dinge können viel bewirken...

 

[Hannoveraner]

Wenn man mehrere Filialen eines Händlers in einem Ort hat und man hat mehr als eine am einen Tag besucht (z. B. weil ein Artikel in einer nicht vorrätig war und in anderer schon), dann kann es Tage später so sein, dass man nicht ohne den Blick auf die Kassenbons (und die nehmen viele nicht mit) nicht mehr weiß, wo es tatsächlich zum Kauf gekommen ist. Es gibt noch weitere Konstellationen davon. Es kann auch sein, dass man eine Restaurant in fremder Stadt besucht hat und würde diese jemanden empfehlen wollen, aber findet man die Webseite auf die schnelle nicht oder es gibt reihenweise ähnlich genannte Kneipen. Mit genauer Adresse kann man dann solches Fall schneller lösen.

 

[RollinCHK]

Das sind eher persönliche Befindlichkeiten.

 

[Meckie]

Ich weiß eigentlich immer wo ich was gekauft habe. Bei Artikeln, die man ggf. umtauschen möchte/muss, da nimmt man eh den Kassenzettel mit... aber das mir mal entfallen wäre wo ich was gekauft habe...

 

[RollinCHK]

Ich sehe das ähnlich, aber es spricht ja nix dagegen, dass die C24 das implementiert. Für die meisten Leute hat das aber keinen praktischen Mehrwert, das ist meine Meinung und bezogen auf mein oben stehendes Media Markt Beispiel: Sieht sich eine fremde Person meine Kreditkartenabrechnung an, würde sie denken ich war im Media Markt in Ingolstadt. Da steht nichts von einem Online-Kauf.

 

[netzfaul]

2. PCs, Smartphones und Tablets sollten immer aktuell gehalten werden. Damit meine ich, das regelmäße Einspielen von Updates, Firmware, OS, Apps & Software. Ebenfalls macht es sicherlich Sinn, den Browsercache regelmäßig zu löschen und für das Online-Banking idealerweise einen sauberen, eigenständigen Browser zu verwenden. Auch Ad-Blocker als Browsererweiterung einzusetzen kann hilfreich sein.

Browsercache löschen soll die Sicherheit erhöhen? Damit hast du dich gerade als Diskussionspartner in diesem Thema disqualifiziert.

Zwischen der Entdeckung eines Exploits (sogenannter 0-day) und dem patchen des Problems vergehen bei iOS i.d.R ca. 1-2 Wochen, bei Android — LOL good luck. Gerade die ganzen gebrandeten Geräte bekommen die Updates doch erst Wochen bis Monate später, da sieht es düster aus, wenn das Problem nicht gerade in "Webview" oder anderer, über Play updatebare Komponenete bestand.

Deine Meinung ist Irrelevant, Das größtmögliche Maß an Sicherheit erhält man, indem man ein weiteres isoliertes Gerät benutzt. Ein Gerät in deinem Wifi ist bereits nicht mehr isoliert.

Edit: In der Regel bitten dich "Firmen" bei komischem Verhalten mit ihrer Webseite, den Browsercache zu leeren, weil sie selbst nicht Herr der Lage über ihre Ressourcen sind. Das ist nicht, weil "es da probleme geben kann", sondern, weil sie nicht in der Lage sind ihre skripte ordentlich zu versionieren oder die cache-until anweisung falsch verwenden.

 

[RollinCHK]

Es geht doch in diesem Fall um etwas völlig anderes. Wir sprechen von einem App basierten Banking Produkt und von einem größtmöglichen Maß an Sicherheit für Privatpersonen. Die Zero-Day Exploits, die 1 - 2 Wochen Schaden anrichten (dein iOS Beispiel) werden in aller Regel selten dazu missbraucht, um Hans Müller von seinen angesparten 2.000 Euro zu befreien. Da geht es um ganz andere Fische. Eine weitere Diskussion ist in dem Thread hier auch wenig zielführend.

 

[ThePaddy]

Als nächstes ist zu erwarten:
* Ein Filter für Transaktionen aus den Sparregeln (denke mal Ausblenden?)
* Eine Sparregel die mit häufigen Transaktionen zu tun hat (?)
* Tab "Entwicklung" bei der Analyse (Gegenüberstellung Ein- und Ausgaben)

 

[geos]

Was bringen die oben erwähnten TAN-Verfahren mir bitte an Sicherheit??? Erklärt es mir. Ich bin neugierig. Die Szenarien: Man ist ein Phishing-Opfer, oder aber man

sie vereiteln gewisse Angriffsszenarien (wenn der Nutzer sie richtig einsetzt natürlich), insbesondere jene, bei denen der Browser des Nutzers manipuliert worden ist. Das ist ihr Zweck. Die Welt retten können sie nicht.

wird überfallen und bedroht. Wenn ich auf Phishing Mails, oder Betrugsmaschen herein falle, dann WILL ich mein Geld überweisen, weil ich in dem Moment glaube, das Richtige zu tun. Das ist ja z. B. auch die miese Nummer beim Enkeltrick. Werde ich überfallen und bedroht geht es um mein Leben. Da wird man kaum anfangen, mit dem Verbrecher zu diskutieren.

für diese Szenarien helfen Multi-Faktor-Autorisierungen/Authentisierungen natürlich nichts, egal wie sie technisch vonstatten gehen.

Bei der C24 lege ich ne PIN fest und erzeuge ein Passwort. Das Passwort kennt Niemand. Beim entsprechenden TAN-Verfahren habe ich sicherlich nen Brief mit irgend einem QR-Code, oder Master-Key in der Schublade liegen, damit ich im Zweifelsfall das TAN-Verfahren auf einem neuen Gerät Reaktivieren kann.

nicht unbedingt, hängt von der Bank ab. Bei ChipTAN z.B. ist der Besitz der Girocard der zweite Faktor. Wenn man diese verliert, muss man eine neue beauftragen (und dann einrichten). Es kann sein, dass man zur Anmeldung dieser dann einen Mastercode benötigt.

Auch ein Dieb müsste also erst einmal mein Smartphone in die Hände bekommen (die C24 ermöglicht das Banking ja nur mit EINEM Gerät), er müsste das Smartphone entsperren können, er bräuchte die App Pin und das festgelegte Passwort...

oder er muss das Smartphone kompromittieren.

 

[RollinCHK]

Meine Argumentation bezieht sich ja eher darauf, in wie weit bei der C24 irgend ein TAN Verfahren ein höheres Maß an Sicherheit bieten würde. Ich beziehe das ja auf diese eine Bank, wo eben NICHTS ohne das eine Smartphone funktioniert, also kein Banking im Browser etc. Es gibt keine Master-Passwörter auf Papier, die Jemand entwenden könnte. Das Smartphone selbst müsste übernommen werden. Man könnte sich noch überlegen, ob man den Kartencode auf der Rückseite der MasterCard schwärzt und ihn sich wo auch immer speichert. Der Kartencode wird zur Aktivierung eines "neuen" Smartphones benötigt.

 

[RollinCHK]

... Und wieder lassen sich die Kontoauszüge am 1. des Monats nicht herunterladen...

EDIT:

Funktioniert jetzt...

 

[Slakish]

Jetzt gibt es auch für Android Überweisungsvorlagen.

 

[herbert60]

Heute wollte ich an einer SB-Kasse in einem Spar-Markt in Salzburg mit der C24 MC über google-Pay bezahlen. Die Bezahlung wurde abgelehnt da die Karte lt. google-Pay in diesem Land angeblich nicht zugelassen ist. Das Terminal zeigte an, dass ich die Karte stecken soll. Da ich die Karte nicht dabei hatte, habe ich eine andere MC gesteckt und die Zahlung wurde akzeptiert. Danach habe ich in der App nachgeschaut und Europa war für alle Zahlungen freigegeben.
Kann sich jemand dieses merkwürdige Verhalten erklären?

 

[Maigus]

Guten Morgen und kurze Frage.

Wenn beide Partner jeweils ein Smartkonto haben und den anderen zu seinem Konto einladen, hat man dann in der Übersicht zwei Konten mit denen kann man die Mastercard verbinden kann?

 

[houruian]

Guten Morgen und kurze Frage.

Wenn beide Partner jeweils ein Smartkonto haben und den anderen zu seinem Konto einladen, hat man dann in der Übersicht zwei Konten mit denen kann man die Mastercard verbinden kann?

ja, das funktioniert auch mit der girocard.

Weiterhin ist es eine "echte Bankvollmacht", die man digital erteilt. https://api.c24.de/api/documents/shared_account_terms/download/

Großer Nachteil: Push Benachrichtigungen bekommt man nur für Umsätze auf dem eigenen Konto.

 

[RollinCHK]

ANZEIGE

Heute wollte ich an einer SB-Kasse in einem Spar-Markt in Salzburg mit der C24 MC über google-Pay bezahlen. Die Bezahlung wurde abgelehnt da die Karte lt. google-Pay in diesem Land angeblich nicht zugelassen ist. Das Terminal zeigte an, dass ich die Karte stecken soll. Da ich die Karte nicht dabei hatte, habe ich eine andere MC gesteckt und die Zahlung wurde akzeptiert. Danach habe ich in der App nachgeschaut und Europa war für alle Zahlungen freigegeben.
Kann sich jemand dieses merkwürdige Verhalten erklären?

Da würde ich tatsächlich mal die Bank kontaktieren. Das klingt auf jeden Fall merkwürdig.