DKB Sammelthread

[netzfaul]

ANZEIGE

Aha. Und natürlich wartet auch jedes Betrugsopfer in Zeiten von Social Media bis zu einem Vergleich mit der Bank bevor es etwas ins Netz stellt.

Ja. macht Sinn.

Dass Posts, die bis dahin gemacht wurden, gelöscht werden müssen, steht in so einem Vergleich ja auch. Glaubst du nicht? Na gut, ist an sich auch egal. Selbst, wenn ich dir eine Quelle finde, wirst du das mit "Ach, das war ja nur einer, mir passiert so was nicht" abtun.

In diesem Sinne. Viel Glück!

 

[geos]

Ein "Problem" wird eher sein, dass Betrugsopfer häufig die Hintergründe des Betruges gar nicht verstehen und häufig auch nicht in der Lage sind, den konkreten technischen Ablauf einzuschätzen, und außerdem den Fehler natürlich nicht bei sich lokalisieren und noch seltener das öffentlich freimütig zum besten geben.
Ein Posting der Art "Übrigens, mir wurde letzte Woche mein Konto leergeräumt durch eine Überweisung in die Türkei, nachdem so eine Saubande mich mit einer Whatsapp-Nachricht dazu gebracht hatte, ..." wird man eher selten finden.

Aus der Tatsache, dass man jetzt nicht auf Knopfdruck solche Berichte aus dem Ärmel ziehen kann, sollte man nicht folgern, dass es solche Fälle nicht zuhauf gibt. Und nein, meistens werden in den Berichten für die Öffentlichkeit die technischen Details und Hintergründe nicht so genau dargestellt.

https://www.moz.de/lokales/hennigsd...us-hennigsdorf-alle-konten-leer-49390600.html (nur ein Bespiel; hat auch nichts explizit mit 2FA zu tun, zumindest nicht erkennbar) finde ich ganz interessant, weil man über solche Fälle eher seltener liest.
Leider steht dort nicht genau drin, was das Opfer auf der Fake-Webseite eingeben musste, also ob es eine einzelne Transaktion freigegeben hat oder gar die Anmeldung für ein (weiteres) Gerät (unter der Kontrolle der Betrüger).

 

[kmak]

https://www.moz.de/lokales/hennigsd...us-hennigsdorf-alle-konten-leer-49390600.html (nur ein Bespiel; hat auch nichts explizit mit 2FA zu tun, zumindest nicht erkennbar) finde ich ganz interessant, weil man über solche Fälle eher seltener liest.
Leider steht dort nicht genau drin, was das Opfer auf der Fake-Webseite eingeben musste, also ob es eine einzelne Transaktion freigegeben hat oder gar die Anmeldung für ein (weiteres) Gerät (unter der Kontrolle der Betrüger).

Ich deute den Ablauf so:

- Betrüger hat irgendwoher Zugangsdaten zum Onlinebanking, aber keinen Zugriff auf die SMS Tan.
- Betrüger bestellt im Namen der Kundin Aktivierungscode für die SecureGo Plus App. Das geht anscheinend ohne SMS Tan.
- Aktivierungscode wird per Post von der Bank an die nichts ahnende Kundin geschickt.
- Betrüger schickt einen zusätzlichen Brief an die Kundin in der sie zur Eingabe des Codes auf einer Webseite des Betrügers aufgefordert wird.
- Betrüger ruft zusätzlich an, gibt sich als Bank aus und unterstreicht noch mal die Notwedigkeit den Code einzugeben.
- Kundin macht das. Betrüger kann sich die SecureGo Plus App für dieses Konto aktivieren. Er hat damit auch den zweiten Faktor zum Konto.
- Betrüger räumt die Konten leer.

 

[wizzard]

Letzteres ist Spekulatoion.
Aber spannender Fall: tatsächlich "Brief"? Also per Post (täuschend echt aussehend von der Sparkasse oder sowas)?
Und da stand dann eine URL zum Abtippen/QR-Code zum Einscannen drin, wo man die Daten angeben sollte? Oder wie lief das konkret ab?

Sowas in dieser Art:

Betrüger schicken falsche Bankpost – 20.000 Euro weg

Heike Kühne, Inhaberin eines Hennigsdorfer Pflanzengeschäfts, fiel auf  eine perfide Betrugsmasche herein: Betrüger schickten ihr falsche Bankbriefe und stahlen ihre Zugangsdaten. Damit nicht genug: Diebe klauten ihr auch noch 450 Euro aus der Kasse.

www.maz-online.de

Wie blöd kann man sein? Jeden Tag steht halt ein Dummer auf und schlimm genug, dass es immer wieder Menschen gibt, die meinen, es sei Aufgabe von Banken, ihre IT Deppen-sicher zu machen.

Es nervt mich schon genug, dass einige Banken anfangen, das selbst zu glauben und mir Spam-Mails mit Tipps zum sicheren Umgang mit Onlinebanking schicken, die man nicht so ohne Weiteres abbestellen kann.

 

[Frank N. Stein]

@geos und @netzfaul

Wie viele Fälle von tatsächlichem Fraud bei deutschen Banken aufgrund von Single Device 2FA sind euch denn bekannt, bzw. könnt ihr mit Quellen belegen? Als Quelle würde ich sogar unverifizierte Forenbeiträge akzeptieren.

Und verschont mich mit dem Russenscheiss vor dem die BaFin gewarnt hat. Wir wissen, dass es da keinen einzigen Fall in D je gegeben hat.

Natürlich kein Fall, ansonsten im Promillebereich oder konstruiert.
Aber wie meistens: die Blinden parlieren über die Farbe des Rapsfeldes.

Der naive Bankkunde hat natürlich alles, nur nie Schuld.
Der Gleiche schreibt ja auch mit der nigerianischen Prinzessin oder trifft sich in Hotelzimmern,
um Dollar gegen Gold zu tauschen.

Es musste einfach wieder der nächste Faden von max. einer handvoll Nerds gekapert werden,
die sich wichtiger nehmen als sie sind.

 

[Hotel]

Mit Sicherheit (no pun intended) hat die DKB auch Security-Experten, aber sie hat fraglos auch Marketing-Experten, die erzählen, dass es für viele Kunden ein entscheidender Faktor ist, alles so einfach wie möglich, d.h. u.a. auch auf einem Gerät, machen zu können.

Insofern vermute ich, dass die Sicherheits-Experten bei der DKB nicht diejenigen sind, die das letzte Wort in punkto Produktgestaltung haben.

Mit Sicherheit hat die DKB auch jemand, der/ die/ das die Grundrechenarten beherrscht.
Im Ergebnis wird die DKB die für sie insgesamt preiswerteste Lösung wählen.

Lasst mal pro Jahr 1Mio€ Schaden wegen 2FA und Banking auf dem selben Gerät entstehen. Wird für DKB immer noch preiswerter als sicherere Lösungen sein (@mattes77 hat bestimmt eine super Idee dazu).

Auch Dickschiffe wie die Spk machen Banking und 2FA auf demselben Smartphone.

 

[Amic]

Wie blöd kann man sein? Jeden Tag steht halt ein Dummer auf und schlimm genug, dass es immer wieder Menschen gibt, die meinen, es sei Aufgabe von Banken, ihre IT Deppen-sicher zu machen.

Es gehört eine gute Portion Misstrauen dazu, physische Briefe seiner Bank zu ignorieren, die richtig adressiert sind und keine sprachlichen Fehler enthalten. Zumal wenn man nicht so onlineaffin ist und Phishing-URLs gut erkennt.

Es nervt mich schon genug, dass einige Banken anfangen, das selbst zu glauben und mir Spam-Mails mit Tipps zum sicheren Umgang mit Onlinebanking schicken, die man nicht so ohne Weiteres abbestellen kann.

Ganz zu schweigen von versendeten Mails, die (per se) von Phishing-Mails quasi ununterscheidbar sind.
Siehe dazu die DKB:



Man trainiert die Leute mit Drohungen ja geradezu dazu, auf Links in Emails zu klicken, und dort ihre Zugangsdaten anzugeben.

 

[Frank N. Stein]

Man trainiert die Leute mit Drohungen ja geradezu dazu, auf Links in Emails zu klicken, und dort ihre Zugangsdaten anzugeben.

Finde ich auch, was ist das für ein Kundenservice!
Die sollten bei solchen Fällen jemanden persönlich vorbeischicken
und die Sachlage vor Ort am heimatlichen Küchentisch bei Gebäck & Kuchen klären.
Aber Obacht!
Nicht, dass sich da jemand ins Haus schleicht, der mit der DKB gar nichts zu tun hat.
Trotz 3 Apps Schlössern!
Ich hab gehört, soll alles auch schon passiert sein.
Die Welt ist so schlecht!

 

[ZfT]

Sind eigentlich inzwischen schon jemandem von den anderen AGB-Verweigerern die Karten gekündigt worden?
Ich musste mich heute nach längerer Zeit mal wieder auf der Weboberfläche einloggen weil ich einen Kontoauszug brauchte, und siehe da, die Vorschaltseite zur AGB Zustimmung ist weg und meine Karten wohl noch da. Zumindest funktionierte die Girocard zwecks Chip TAN Generierung noch und die VISA Debit Karte wird auch noch angezeigt.
Die letzte Droh-E-Mail bzgl. Zustimmung bis 12.06 habe ich bislang nicht bekommen.

 

[netzfaul]

Sind eigentlich inzwischen schon jemandem von den anderen AGB-Verweigerern die Karten gekündigt worden?
Ich musste mich heute nach längerer Zeit mal wieder auf der Weboberfläche einloggen weil ich einen Kontoauszug brauchte, und siehe da, die Vorschaltseite zur AGB Zustimmung ist weg und meine Karten wohl noch da. Zumindest funktionierte die Girocard zwecks Chip TAN Generierung noch und die VISA Debit Karte wird auch noch angezeigt.
Die letzte Droh-E-Mail bzgl. Zustimmung bis 12.06 habe ich bislang nicht bekommen.

Hier ebenso nichts gekündigt.

 

[avator]

Alles ist da wie immer. Bin gespannt ob und wann die DKB mir eine Kündigung schickt.
Übrigens die Zustimmung der AGB beim Einloggen sieht man manchmal, sehr oft aber auch nicht, mehr.

 

[RollinCHK]

Gerade kam wieder ne nette Werbemail, Rabatt bei FREENOW usw.

Sie verweisen weiterhin ebenfalls stolz auf ihre 1% Zinsen aufs Tagesgeld... Man möchte fast denken die spinnen...

 

[mattes77]

Ich möchte gerne mal erfahren, woher die "selbsternannten Sicherheitsexperten" wissen, dass es so gut wie keine Fälle von
erfolgreichen Angriffen auf Smartphones bzw. die "super all in one Apps" bei den Banken in Deutschland gab oder gibt?

Es ist wohl vielmehr so, wie netzfaul und hotel ausführen. Die Bank wählt den "billigsten Weg", Das bedeutet konkret, erst einmal
den "Kunden im Regen stehen lassen". Wenn der dann aufgibt, hat er Pech gehabt. Ansonsten halt einen Vergleich. Aber nur,
wenn der Kunde "Welle" oder "Druck" über soziale Medien, öffentlich-rechtlichen Rundfunk, etc. gemacht hat.

Und dann ist das "wichtigste" für die Bank, dass der Kunde brav die "Klappe hält". Damit die "systemische Unsicherheit" und
"gobe Fahrlässigjeit" im Erstellen bzw. der Architektur der IT Systeme seitens der Banken nicht weiter thematisiert wird!

 

[RollinCHK]

Hör doch mit der Schwurbelei auf...

 

[dadi01]

@RollinCHK war schneller ;D
man kann sich gern über sicherheit im OB unterhalten.
aber das geht hier wieder seitenweise nur darüber hinaus und ist so belanglos.

ich bin stozler nutzer von "pushtan" und mir ist noch nie was passiert ach, ich habe auch sämtliche sonstige anfragen immer im blick und weiß einfach
was von mir kommt und von mir nicht kommen würde an pushTANs

heißt DKB thread btw.
lassts mal jetzt ehrlich gut sein.

 

[Frank N. Stein]

Frage an die Cyber-Security-Experten:
Help!
Von meinen Konten sind schlagartig tausende an Euronen verschwunden.
Kann es sein, dass das mit meinen Überweisungen zusammen hängt?

 

[avator]

ich bin stozler nutzer von "pushtan" und mir ist noch nie was passiert

Prima Argument, damit dürfte die Diskussion am Ende sein.



BTW hat sonst noch jemand diese Fehlermeldung bekommen?

Danke dass du unsere DKB App nutzen möchtest
Das verwendete Gerät kennen wir noch nicht.
Bitte melde dich zu deiner Sicherheit bei uns um es freizuschalten

Softwareversion: 15.7.6

About the security content of iOS 15.7.6 and iPadOS 15.7.6 - Apple Support

This document describes the security content of iOS 15.7.6 and iPadOS 15.7.6.

support.apple.com

 

[Modano1908]

…

 

[lucky_]

Habe vor 3-4 Monaten die „echte“ Kreditkarte der DKB gekündigt. Kann man die wieder neu beantragen? Im Service-Bereich der App finde ich dazu leider nichts.

In der neuen App unter Card Control das Credit - Foto auswählen und beantragen

 

[DennyK]

@Modano1908
Mich würde interessieren warum du die Karte gekündigt hast und warum du sie jetzt wieder bestellen möchtest?

 

[RollinCHK]

@avator: Also iPhone 7 oder älter...

 

[geos]

Wie blöd kann man sein? Jeden Tag steht halt ein Dummer auf und schlimm genug, dass es immer wieder Menschen gibt, die meinen, es sei Aufgabe von Banken, ihre IT Deppen-sicher zu machen.

Ist wohl so, andernfalls könnten wir alle glücklich weiter TAN-Listen auf Papier verwenden.

 

[geos]

Der Grund, wieso in dem DKB-Thread das Thema IT-Sicherheit beim Banking hochkam, obwohl es grundsätzlich nicht spezifisch für die DKB ist, dürfte auch in den Ambitionen der DKB liegen, sich zur selbsternannten Techbank umzubauen, was bei ihr u.a. eine starke technische Veränderung des Online-Bankings in relativ kurzer Zeit beinhaltet (die dadurch besonders bemerkbar wird).
Im Grunde genommen beleuchtet folgender mittlerweile schon knapp vier Jahre alte Artikel das Thema sehr gut und ausreichend umfassend, und wenn man sich die Meinungsäußerungen mancher Foristen und mutmaßlichen DKB-Kunden der letzten Tage hier so ansieht, bestätigen dies die These des Autors hinsichtlich der Präferenzen vieler Kunden.

Wie Banken Online-Banking durch Apps unsicher machen

Die flächendeckende Verbreitung von Banking-Apps wird die Betrugsfälle stark ansteigen lassen - Banken tragen hier eine erhebliche Mitschuld.

www.kuketz-blog.de

Achtung: bitte Link nicht anklicken und Artikel nicht lesen, falls man sich für das Thema nicht interessieren oder es gar für irrelevant halten sollte. Wäre nur Zeitverschwendung; bitte einfach übergehen.

 

[Amic]

Im Grunde genommen beleuchtet folgender mittlerweile schon knapp vier Jahre alte Artikel das Thema sehr gut und ausreichend umfassend, und wenn man sich die Meinungsäußerungen mancher Foristen und mutmaßlichen DKB-Kunden der letzten Tage hier so ansieht, bestätigen dies die These des Autors hinsichtlich der Präferenzen vieler Kunden.

„Zu behaupten, Online-Banking wäre vor der Einführung von Banking-Apps sicherer gewesen, ist Quatsch. Online-Banking war per se noch nie sicher bzw. unsicher. Entscheidend ist vielmehr das verwendete TAN-Verfahren“

Genau. Deshalb hätte der Autor seinen „reisserischen“ Titel auch umschreiben können.
Es sind nicht per se Apps, die da (potentiell) was unsicher machen (vor allem nicht im Vergleich zu Desktopbrowsern!).
Es ist höchstens die Verwendung von TAN auf demselben Gerät.

„Aktuell würde ich persönlich entweder vollständig auf Online-Banking via Smartphone verzichten oder…“

Quark. Erstens muss man kein Smartphone verwenden, dass unter der Update-Politik der Hersteller mit Android OS leidet. Zweitens: was ist die sicherere Alternative? Ein dedizierter Computer? Hab mal einen Gartenbauer getroffen, der sich nur für Onlinebanking ein extra Laptop gekauft hat (Apple - im vierstelligen Preisbereich). Der Mann war wenigstens konsequent. Ansonsten könnte man noch ein dediziertes Lifesystem booten - aber da haperts halt praktisch an Updates, wenn‘s einen remote Exploit gibt oder der User sich nur vertippt oder verklickt.

 

[Frank N. Stein]

ANZEIGE

Achtung: bitte Link nicht anklicken und Artikel nicht lesen, falls man sich für das Thema nicht interessieren oder es gar für irrelevant halten sollte. Wäre nur Zeitverschwendung; bitte einfach übergehen.

Bitte ebenfalls nicht anklicken, wer aktuellere Informationen als welche von anno dazumal = 2019 lesen möchte.
Sind im schnelllebigen IT-Bereich nur > 4 Jahre, da hat sich an Aktualität rein gar nichts getan.
Scheint demnach nichts Neueres zu geben, ergo weiter unbeschwert das Banking betreiben.