ANZEIGE
Damit du selbst siehst, wie einfach es für einen Gauner ist das Konto leerzuräumen, ohne Kenntnis des Passwortes!
DKB Sammelthread
- Starter*in wurstpeter
- Datum Start
ANZEIGE
Damit du selbst siehst, wie einfach es für einen Gauner ist das Konto leerzuräumen, ohne Kenntnis des Passwortes!
Nochmal: Du brauchst den Anmeldenamen (ohne den kommst du nicht weiter!), dann Zugriff auf die SMS und musst dazu den CVC Code der Debitkarte kennen. Sorry, aber daran ist nichts einfach. Nicht unmöglich, aber eben auch nicht einfach. Gegen die freiwillige Preisgabe des Benutzers kann man sich nicht schützen.
Anmeldekennung ist die Kontonummer, das ist doch kein Geheimnis. Ja natürlich muß der unbedarfte DKB Kunde alles weitergeben! Darum dreht sich doch die ganze Diskussion, lies noch mal von vorne! Kunde gibt SMS TAN und CVC an den Gauner und Gauner räumt das Konto leer.
So kommen wir nicht weiter, wenn du alles vergißt und ich alles wieder von vorne erklären muß!
Bei mir nicht. Das ist nämlich nicht allgemeingültig.
Im Grunde sind wir genauso weiter wie vorher. Es ist nicht „einfach“ das Konto leerzuräumen.
Das bedeutet eine Mitwirkung des Kunden. Entweder Geldbeutel stehlen lassen inkl. Smartphone. Das Smartphone sollte komplett ungesichert sein (also damit auf jedenfall SMS Codes gesehen werden können). Und der Dieb muss natürlich genau wissen welche Angaben die DKB erwartet für einen Reset. Und das Konto darf nicht „zu neu“ sein, sonst funktioniert es nicht mehr einfach mit „Anmeldekennung = Kontonummer“.
Oder der Kunde muss auf Phishing reinfallen und ggf. Freigaben erteilen (es gibt unterschiedliche Betrugsansätze).
Selbstverständlich könnte die DKB den Prozess noch sicherer gestalten. Beispielsweise könnte man einen Ausweisscan einbauen (wie es die ING gemacht hat). Oder man setzt auf den alten Freischaltbrief.
Egal wie man es macht: Es wird immer Kunden geben, die sinnlos Transaktionen freigeben oder Daten weitergeben egal wie oft man es denen sagt. Offenbar brauchen wir echt mal eine striktere rechtliche Regelung die auch mal den Kunden mehr in die Pflicht nimmt.
Möglicherweise kann es sein, dass das Gericht den Passwort zurücksetzen Prozess als „Schwachpunkt“ ansieht und vielleicht da wenn es blöd läuft bald Anpassungen durch die DKB erfolgen. Es kann also nur nerviger werden. Alles was „zu einfach“ ist muss ja früher oder später ausgenutzt werden.
Das Fazit der ganzen Diskussion ist doch im Endeffekt: Der Benutzer muss drei - ja DREI - sensible Informationen bewusst preisgeben. Obwohl die DKB auch per Mail sensibilisiert, Daten niemals weiterzugeben. Irgendwo muss man einen Strich ziehen, um Prozesse nicht unnötig zu verkomplizieren.
Nee, die SMS wird ja auch auf dem Lockscreen angezeigt - ohne Entsperrung. Ja, kann man abschalten. Macht aber so gut wie niemand.
Und ja, der Code steht sogar ganz am Anfang der Nachricht.
Ich habe hier noch eine Original Nachricht:
"Bitte gib den Code 123456 ein, um Deine Visa Kreditkarte (****1234) zu Apple Pay hinzuzfügen. Der Code ist 30 Minuten lang gültig. Bitte teile ihn mit niemandem".
[edit]
Und ja, das war auf einem anderen Handy.
Also bei iOS ist das meines Wissens der Standard. Bei mir muss das Gerät entsperrt sein, damit der Nachrichteninhalt gesehen werden kann. Aber jeder kann ja selbst entscheiden wie man das machen will.
Nette Stereotypen. Ich kann Dich beruhigen, dass auch gewisse moderne PC-Betriebssysteme wie z.B. entsprechende Linux-Distributionen automatisch Updates holen und installieren; geht im Hintergrund und ohne dass der Benutzer davon etwas mitbekommt. Da sie recht ressourcensparsam sind, rennen sie auch problemlos auf dem 15 Jahre alten Aldi-PC und sie unterstützen diese Hardware über einen Zeitraum, den man bei keinem Smartphone-Hersteller erhält. Und das ganze natürlich ohne ein Registrierung oder ein Konto (und Tracking) beim Betriebssystemhersteller.
ANZEIGE
![]()
Und genau deswegen ist die Registrierung von Telefonen unter der Kontrolle des Angreifers auf ApplePay des Opfers ein beliebter Angriffsweg, und weil die Hürden dafür oft nicht so sehr hoch sind, der Schaden dann aber umso größer, werden viele Banken erfolgreich verklagt von Opfern.