N26

[Amino]

ANZEIGE

Dass eine SMS von jeder App ausgelesen werden kann, ist ja bekannt. Für einen Trojaner ist das Auslesen einer SMS hundertmal einfacher als das Knacken einer verschlüsselten App.

Außerdem kann eine SMS-Tan immer nur maximal so sicher wie der Mobilfunkanbieter sein, die Sicherheit ist also nicht nur von der Bank und dem Kunden, sondern noch von einem Dritten abhängig.

Leider ist es bei vielen Mobilfunkanbietern ziemlich einfach, eine Ersatz-Sim-Karte anzufordern, die Identität wird meist gar nicht richtig kontrolliert:
Onlinebanking: Bankbetr

"Die Betrüger konnten sich in den aktuellen Fällen aber einfach beim Mobilfunkanbieter eine zusätzliche SIM-Karte im Namen des betroffenen Bankkunden bestellen"

Oder die Betrüger geben sich einfach selbst ans Mitarbeiter eines Mobilfunkshops aus: SMS-Tan-Verfahren - Betrugsserie beim Online-Banking - Geld - S

Unabhängig davon kommt noch hinzu, dass viele immer noch völlig veraltete Sim-Karten verwenden, die man leicht hacken kann: Verschlüsselung: Millionen SIM-Karten sind nicht sicher |*ZEIT ONLINE

Dadurch, dass man alte Sim-Karten in das Micro-Sim oder Nano-Sim Format zuschneiden kann, gibt es sogar Leute, die ein nagelneues Handy haben, aber eine 10-Jahre-alte Sim-Karte, weil sie nicht die paar Euro für den Kartentausch ausgeben wollen.

Aus dem dritten Link:

Die Folge: Nohl ist in der Lage, in manchen Fällen mit nur einer SMS, die er an ein Telefon verschickt, dieses zu kapern und komplett zu übernehmen. Er braucht dazu lediglich die Mobilfunknummer des Nutzers und etwas Glück, dass dessen SIM die veraltete Verschlüsselung verwendet. Ohne dass der Nutzer es merkt, kann der Angreifer dann von dem fremden Telefon aus SMS verschicken, Anrufe auf eine neue Nummer umleiten oder gar Gespräche mithören. Er kann aus der Ferne die Karte klonen und mit dem Klon auf Kosten des Nutzers telefonieren.

 

[bgsrhhtgsre]

Außerdem, das Prinzip sollte ja sein, dass die Bestätigung (TAN) über einen anderen Kanal erfolgt, als die Beauftragung der Transaktion. Beispiel: Überweisung im Web beauftragt, Bestätigung über SMS-TAN oder eine App-TAN (von mir aus) am Handy.

Das Abfangen von SMS, abhören von Anrufen, etc. ist leider vielfach ein Kinderspiel wenn man Zugang zu SS7 (Backbone der Mobilfunkbetreiber, kann man in Asian für ein paar hundert Euro kaufen) hat.

Siehe dazu:

https://www.youtube.com/watch?v=lQ0I5tl0YLY

https://www.youtube.com/watch?v=GeCkO0fWWqc

 

[Martun]

Und um eine Basisstation zu betreiben (was allerdings noch nicht ausreicht um eingehende Nachrichten abzufangen) reicht sogar ein 20€ Handy wie das Motorola C123 o.ä.

Bei einer Vorstellung davon hat sich mein Handy mal selbstständig unbemerkt in ein solches gefaktes Netz eingewählt. War nicht so beruhigend...

 

[Amino]

Ob das Verfahren von Number26 wirklich 100%ig sicher vor Trojanern ist, kann man natürlich in Frage stellen. Einen Virenscanner sollte man also immer am Handy haben.

Im Vergleich zu anderen Banken ist Number26 aber um Welten sicherer, durch den Verzicht auf das unsichere mTan-Verfahren.

 

[Banana Joe]

Was hier für ein Aufriss um die vermeintlichen Sicherheitsaspekte gemacht wird. Als hättet Ihr 6-stellige Betraege auf dem N26 Konto. :-D

Der Grossteil der Nutzer wird das Konto als BackUp nutzen. Wer das Konto als Hauptkonto führt wird aus irgendeinem anderen Grund bei seiner Hausbank vermutlich keine Kreditkarte bekommen. Da werden dann aber auch sicherlich keine Phantastillionen an Guthaben hinterlegt sein.

Viel Wind um nichts...

 

[sparfux]

Viel Wind um nichts...

Schon klar. Alles ist egal.

 

[nrw]

10.000 Kunden zu 400 Euro (am Hartz-IV-Zahltag) sind auch 4 Mio. Mit gutem Trojaner "Hartz-IV-Zusatzleistungen sichern. Infos in der App!" oder: "Datenvolumen verdoppelt durch Komprimierung, einfach App installieren!" realisierbar.

 

[Amino]

Angesichts der mTan-Sicherheitslücken ist ja gerade eben nicht das Konto von Number26 gefährdet, sondern die Konten bei (fast) allen anderen Banken.

 

[sparfux]

Angesichts der mTan-Sicherheitslücken...

Denke, dass mit SS7 habe ich soweit verstanden. Geheimdienste und böse Operator können recht einfach meine TANs ausspionieren. Aber selbst wenn ich mir SS7 Equipment kaufe, wie bekommt man als "gemeiner Krimineller" Zugriff auf das Core Netzwerk der Operator?

ist ja gerade eben nicht das Konto von Number26 gefährdet, ...

ich halte es aber weiterhin sicherer, die Überweisung an einem Gerät (z.B. PC) zu beauftragen und die Bestätigung über das zweite Gerät abzuwicklen. Nach Euren Ausführungen zu SS7 gerne über eine App-TAN mit ordentlicher Verschlüsselung. Das kann man natürlich auch über N26 erreichen, in dem man eben Transaktionen nur über den PC macht. So wird es aber nicht propagiert von N26.

 

[MaxBerlin]

Also am sichersten ist wohl Chip-TAN. Es gibt sogar eine bessere internationale Variante davon: https://en.wikipedia.org/wiki/Chip_Authentication_Program

Aber es hat sich aus irgendeinem Grund nicht durchgesetzt.
Finde es jedenfalls edel, dass die Consorsbank mir einen Token (wenn auch ohne Chipleser) ohne Zusatzkosten zugesendet hat, nachdem ich telefonisch angefragt habe.

 

[wizzard]

Letztendlich sind alle Verfahren sicher, wenn der User nicht doof ist. Ich frage mich bei solchen Diskussionen deshalb immer, warum ihr etwas diskutiert, was euch niemals passieren wird (weil ich unterstelle, dass hier keiner doof ist).

 

[gowest]

Wann kommt jetzt endlich die Silberne Mastercard ?

 

[Amino]

kann man natürlich auch über N26 erreichen, in dem man eben Transaktionen nur über den PC macht. So wird es aber nicht propagiert von N26.

Auch "normale" Banken propagieren nicht, dass man die Überweisungen ausschließlich am PC durchführen kann, im Gegenteil: Jede Bank hat ihre Banking-Apps fürs Handy und weil es so praktisch ist, verwenden die Kunden natürlich SMS-Tan.

Oder hast du schon mal jemanden gesehen, der bei Überweisungen am Smartphone einen ChipTan-Generator verwendet? Wäre viiiieeel sicherer, macht aber keiner.

Wenn man große Summen am Konto hat, sollte man am besten weder mTan noch PushTan verwenden und beides deaktivieren lassen.

Wirklich trojanersicher ist beispielsweise ChipTan, denn der Tan-Generator kann nicht von Viren befallen werden.

 

[Toms]

Die Sparkassen-App sperrt Überweisungen vom Handy aus, wenn PushTAN oder smsTAN als Verfahren ausgewählt ist

 

[Darkside]

Die Reihenfolge der Sicherheiten von TAN Verfahren dürften wohl folgendermaßen aussehen (korrekte Implementierung vorausgesetzt):

Platz 1 (sehr sicher): ChipTAN/SmartTAN (mir allerdings zu umständlich)

Platz 2 (relativ sicher): PushTAN und das N26 Verfahren

Platz 3 (relativ unsicher): SMS-TAN / iTAN / PhotoTAN

Darüber hinaus spielt das Betriebssystem natürlich eine Rolle. Ein iPhone ohne Jailbreak mit der neuesten iOS Version dürfte am sichersten sein. Mir ist kein einziger Fall bekannt, bei dem in dieser Konstellation z.B. PushTAN ausgehebelt wurde.

siehe auch: Online-Banking: Das sollten Sie über mTAN, ChipTAN, iTAN wissen

PS: Ich nutze das N26 übrigens als Hauptkonto und fühle mich dort sicher aufgehoben.

 

[iStephan]

Ich habe jetzt die Webseite von www.Number26.eu mehrmals durchsucht und nichts (mehr) darüber gefunden.
Gibt es überhaupt noch eine Maestro-Karte (oder Maestro-Application auf der Mastercard) bei Number26?

Die Webseite schweigt sich scheinbar völlig aus. Ist Maestro eliminiert worden, weil ja eh alles über Mastercard-Debit laufen soll?

 

[DerSimon]

Ich habe jetzt die Webseite von www.Number26.eu mehrmals durchsucht und nichts (mehr) darüber gefunden.
Gibt es überhaupt noch eine Maestro-Karte (oder Maestro-Application auf der Mastercard) bei Number26?

Die Webseite schweigt sich scheinbar völlig aus. Ist Maestro eliminiert worden, weil ja eh alles über Mastercard-Debit laufen soll?

Gibts immer noch. Vorteil für Number26 gibts für die MasterCard ja eh nicht.

MasterCard Debit bleibt trotzdem Hauptkarte, da ja auch online bei mehr Händlern einsetzbar. Afaik muss man auch 100€ oderso einzahlen, um die Karte zu bekommen.

 

[iStephan]

Gibts immer noch.

Okay, danke- schön! Und wo kann man das nachlesen?

Vorteil für Number26 gibts für die MasterCard ja eh nicht.

Was hat das zu bedeuten? was keinen Vorteil (irgendwelche Karten) bringt wird also doch nicht angeboten?

Afaik muss man auch 100€ oderso einzahlen, um die Karte zu bekommen.

Welche Karte? Maestro oder die zuletzt erwähnte Mastercard?

 

[DerSimon]

Okay, danke- schön! Und wo kann man das nachlesen?

Im Blog (1. Google ), im Control Center oder in der App.

Was hat das zu bedeuten? was keinen Vorteil (irgendwelche Karten) bringt wird also doch nicht angeboten?

Für Number26 macht es keinen Unterschied mit welcher Karte du zahlst.
Für dich in einigen Ländern schon.

Welche Karte? Maestro oder die zuletzt erwähnte Mastercard?

Maestro

 

[bgsrhhtgsre]

Für Number26 macht es keinen Unterschied mit welcher Karte du zahlst.

Bekommen die nicht 0.3% Interchange mit der MasterCard und 0.2% mit der Maestro?

 

[DerSimon]

Bekommen die nicht 0.3% Interchange mit der MasterCard und 0.2% mit der Maestro?

Ist ne Debit, also auch nur 0.2%.

 

[Amino]

Die Maestro wird nicht so sehr beworben, man bekommt sie auch nur, wenn der Wohnsitz in Deutschland oder Österreich liegt (nicht aber in den anderen Ländern, in denen N26 aktiv ist).

Aber ich kenne jemanden, der erst vor einigen Wochen ein N26-Konto eröffnet hat und derjenige konnte auch die Maestro bestellen.

Jedenfalls sind es 2 getrennte Karten, im Gegensatz zu Fidor. Mit beiden Karten verfügt man direkt über das Kontoguthaben, sodass es in Läden, die beide Karten akzeptieren, keinen Unterschied macht, mit welcher man bezahlt.

 

[Darkside]

Weiß jemand warum die N26 Mastercard kein 3D-Secure beherrscht? Das nervt mich neben der fehlenden Girocard-Funktion auf der N26-Maestro am meisten im täglichen Gebrauch...

 

[Amino]

Vermutlich wegen des höheren Risikos: Eine Zahlung ohne SecureCode kann im Falle von Kreditkartenbetrug zurückgebucht werden, eine Zahlung mit SecureCode wird hingegen gegenüber dem Händler garantiert.

Kommt es also trotz SecureCode zu einer unautorisierten Zahlung und kann man dem Karteninhaber kein Verschulden nachweisen, so haftet die kartenausgebende Bank: Sie muss gegenüber dem Händler zahlen, kann aber vom Kunden mangels (nachgewiesener) Farlässigkeit keine Zahlung verlangen.


Aber was spricht eigentlich gegen eine kostenlose Kreditkarte als Zweitkarte? Beispielsweise die Advanzia-Mastercard unterstützt 3D-Secure und ist kostenlos.

 

[DerSimon]

ANZEIGE

Vermutlich wegen des höheren Risikos: Eine Zahlung ohne SecureCode kann im Falle von Kreditkartenbetrug zurückgebucht werden, eine Zahlung mit SecureCode wird hingegen gegenüber dem Händler garantiert.

Kommt es also trotz SecureCode zu einer unautorisierten Zahlung und kann man dem Karteninhaber kein Verschulden nachweisen, so haftet die kartenausgebende Bank: Sie muss gegenüber dem Händler zahlen, kann aber vom Kunden mangels (nachgewiesener) Farlässigkeit keine Zahlung verlangen.

Dafür muss Number26 nun aber in jedem Fall haften, oder?

Weiß jemand warum die N26 Mastercard kein 3D-Secure beherrscht? Das nervt mich neben der fehlenden Girocard-Funktion auf der N26-Maestro am meisten im täglichen Gebrauch...

Die fehlende girocard-Funktion ist für mich gerade der Grund für die Number26 im Alltag