ANZEIGE
Damit du selbst siehst, wie einfach es für einen Gauner ist das Konto leerzuräumen, ohne Kenntnis des Passwortes!
DKB Sammelthread
- Starter*in wurstpeter
- Datum Start
ANZEIGE
Damit du selbst siehst, wie einfach es für einen Gauner ist das Konto leerzuräumen, ohne Kenntnis des Passwortes!
Nochmal: Du brauchst den Anmeldenamen (ohne den kommst du nicht weiter!), dann Zugriff auf die SMS und musst dazu den CVC Code der Debitkarte kennen. Sorry, aber daran ist nichts einfach. Nicht unmöglich, aber eben auch nicht einfach. Gegen die freiwillige Preisgabe des Benutzers kann man sich nicht schützen.
Anmeldekennung ist die Kontonummer, das ist doch kein Geheimnis. Ja natürlich muß der unbedarfte DKB Kunde alles weitergeben! Darum dreht sich doch die ganze Diskussion, lies noch mal von vorne! Kunde gibt SMS TAN und CVC an den Gauner und Gauner räumt das Konto leer.
So kommen wir nicht weiter, wenn du alles vergißt und ich alles wieder von vorne erklären muß!
Bei mir nicht. Das ist nämlich nicht allgemeingültig.
Im Grunde sind wir genauso weiter wie vorher. Es ist nicht „einfach“ das Konto leerzuräumen.
Das bedeutet eine Mitwirkung des Kunden. Entweder Geldbeutel stehlen lassen inkl. Smartphone. Das Smartphone sollte komplett ungesichert sein (also damit auf jedenfall SMS Codes gesehen werden können). Und der Dieb muss natürlich genau wissen welche Angaben die DKB erwartet für einen Reset. Und das Konto darf nicht „zu neu“ sein, sonst funktioniert es nicht mehr einfach mit „Anmeldekennung = Kontonummer“.
Oder der Kunde muss auf Phishing reinfallen und ggf. Freigaben erteilen (es gibt unterschiedliche Betrugsansätze).
Selbstverständlich könnte die DKB den Prozess noch sicherer gestalten. Beispielsweise könnte man einen Ausweisscan einbauen (wie es die ING gemacht hat). Oder man setzt auf den alten Freischaltbrief.
Egal wie man es macht: Es wird immer Kunden geben, die sinnlos Transaktionen freigeben oder Daten weitergeben egal wie oft man es denen sagt. Offenbar brauchen wir echt mal eine striktere rechtliche Regelung die auch mal den Kunden mehr in die Pflicht nimmt.
Möglicherweise kann es sein, dass das Gericht den Passwort zurücksetzen Prozess als „Schwachpunkt“ ansieht und vielleicht da wenn es blöd läuft bald Anpassungen durch die DKB erfolgen. Es kann also nur nerviger werden. Alles was „zu einfach“ ist muss ja früher oder später ausgenutzt werden.
Das Fazit der ganzen Diskussion ist doch im Endeffekt: Der Benutzer muss drei - ja DREI - sensible Informationen bewusst preisgeben. Obwohl die DKB auch per Mail sensibilisiert, Daten niemals weiterzugeben. Irgendwo muss man einen Strich ziehen, um Prozesse nicht unnötig zu verkomplizieren.
Nee, die SMS wird ja auch auf dem Lockscreen angezeigt - ohne Entsperrung. Ja, kann man abschalten. Macht aber so gut wie niemand.
Und ja, der Code steht sogar ganz am Anfang der Nachricht.
Ich habe hier noch eine Original Nachricht:
"Bitte gib den Code 123456 ein, um Deine Visa Kreditkarte (****1234) zu Apple Pay hinzuzfügen. Der Code ist 30 Minuten lang gültig. Bitte teile ihn mit niemandem".
[edit]
Und ja, das war auf einem anderen Handy.
Also bei iOS ist das meines Wissens der Standard. Bei mir muss das Gerät entsperrt sein, damit der Nachrichteninhalt gesehen werden kann. Aber jeder kann ja selbst entscheiden wie man das machen will.
Nette Stereotypen. Ich kann Dich beruhigen, dass auch gewisse moderne PC-Betriebssysteme wie z.B. entsprechende Linux-Distributionen automatisch Updates holen und installieren; geht im Hintergrund und ohne dass der Benutzer davon etwas mitbekommt. Da sie recht ressourcensparsam sind, rennen sie auch problemlos auf dem 15 Jahre alten Aldi-PC und sie unterstützen diese Hardware über einen Zeitraum, den man bei keinem Smartphone-Hersteller erhält. Und das ganze natürlich ohne ein Registrierung oder ein Konto (und Tracking) beim Betriebssystemhersteller.
Und genau deswegen ist die Registrierung von Telefonen unter der Kontrolle des Angreifers auf ApplePay des Opfers ein beliebter Angriffsweg, und weil die Hürden dafür oft nicht so sehr hoch sind, der Schaden dann aber umso größer, werden viele Banken erfolgreich verklagt von Opfern.
Zwei Dinge, erstens ist es nicht üblich, z. B. für ältere Leute einerseits auf Apps zu verzichten, andererseits auf Linux zu setzen. Da läuft auf dem alten Rechner klassisch Windows... Zweitens ist es so, wenn ein Computer nicht sehr oft hochgefahren wird, braucht das gute Stück erst einmal eine Zeit lang, bis die Updates heruntergeladen und installiert wurden. Da kommts ja nicht nur auf die Hardware an. Die Downloads müssen erst mal durchlaufen und installiert werden. Person X fährt aber den Computer hoch und möchte zeitnah ins Banking, nicht erst noch 10 Minuten und länger warten. Das ist halt leider so.
Ich habe wörtlich die SMS zitiert, die ich Anfang März von der DKB für die Freischaltung von Apple Pay auf einem anderen Gerät bekam (nur die Nummern sind geändert). Da stehen 30 Minuten.
Letzten Herbst hatte ich einen Handywechsel. In dieser SMS (da ist der Code auch nicht am Anfang) stand nicht, wie lange der Code gültig ist.
Das "selber entscheiden können" ist genau das Problem - und an wichtigen Stellen auch eingeschränkt. Versuche mal ein zu einfaches Passwort/PIn - wird nix. Versuche mal 2FA abzuschalten - wird nix. Ich erinnere mich auch an Zeiten, da war man bei der DKB auch ausgesperrt, wenn man das Handy gewechselt hatte und bei der Einrichtung der Bank-App auf das alte keinen Zugriff mehr hatte. Dann musste man einen Freischaltbrief anfordern und hatte ein paar Tage Pause. (Ich hatte damals noch zusätlich Chip-Tan, also kein Problem, ein Bekannter war tatsächlich ausgesperrt).
Mit der SMS hat man jetzt einen sehr einfachen, schnellen Weg aus dem Dilemma - potentiell aber sehr gefährlich - und bei Anzeige im Lockscreen ist es auch kein 2FA mehr. Da müssten nämlich zwei unterschiedliche Faktoren (Besitz, Wissen, Biometrie) verwendet werden. Es genügt hier aber 2x Besitz (Handy + KK).
Ja, man kann nicht jedes Aushebeln von 2FA technisch verhindern die klassische mit Edding auf die EC-Karte geschriebene PIN ist auch so ein Fall. Die Frage ist halt nur, wo die grobe Fahrlässigkeit beginnt. Und eine KK und sein gesperrtes Handy mit Standardeinstellungen an einem Ort kurz mal unbeobachtet zu lassen sehen nicht alle Gerichte als "grob Fahrlässig" an.
Das ist jetzt wieder ein ganz anderes Thema, wie sicher ist die Nutzung am PC bzw. am Smartphone.
Aber das andere Thema war, wie relativ einfach ein Gauner dein Konto leerräumen kann, ohne dein Smartphone oder PC zu übernehmen, nur indem er dir einige wenige Sachen am Telephon abschwatzt. Und genau das ist passiert und genau da hat der Richter entschieden die DKB trägt eine Mitschuld und muß deshalb bezahlen.
Aber damit kommen wir nicht mehr weiter, wir drehen uns einfach im Kreis, wie groß die Schuld des Kunden war, das Gericht hat es jedenfalls anders gesehen und ich auch, du siehst es anders. OK alles klar.
ANZEIGE
![]()
Nennt sich digital detox. Andere verlangen da Geld dafür, die DKB bietet es kostenfrei an - und wird dennoch dafür gescholten. Wie mans macht macht mans verkehrt
