Sicherheitsaspeke bei Kreditkarten und Banking

[selaf]

ANZEIGE

Falls ich das richtig verstanden habe, dann ist nicht der ePerso (bzw. die GC/KK) die Schwachstelle, sondern das Smartphone (Apple-Pay/Google-Pay/...) ?

Das hast du vollkommen richtig verstanden. Da das Verfahren aber die Nutzung eines Smartphones als Kartenleser und PIN-Pad erlaubt, ist damit das gesamte Verfahren unsicher. Die Sicherheit eines Verfahrens wird durch das schwächste Glied der Kette bestimmt, und das ist in diesem Fall das Smartphone.

 

[geos]

Habe ich das jetzt vereinfacht richtig verstanden?
Die Informationen vom Perso wurden auf das Smartphone übertragen, und dann wurde das Smartphone gehackt?
Also analog zum Fall, wo die Karteninformationen (KK/GC) auf das Smartphone übertragen werden (eWallet) und das Smartphone gehackt wird?

Falls ich das richtig verstanden habe, dann ist nicht der ePerso (bzw. die GC/KK) die Schwachstelle, sondern das Smartphone (Apple-Pay/Google-Pay/...) ?

Der letzte Satz ist zumindest vollkommen richtig.
Allerdings ist der Vergleich mit einem Wallet nicht sonderlich glücklich, da die Informationen nicht dauerhaft auf das Telefon übertragen werden (das wäre beim Perso/Pass/Führerschein (*) auf dem Telefon der Fall, was ja auch irgend wann mal kommen soll).
Es ist vielmehr so, dass das Telefon als Lesegerät fungiert. Der Angriff ist also eher mit einem manipulierten Bezahlkartenterminal vergleichbar (was es ja durchaus auch gibt, wobei dort die Brauchbarkeit der abgefischten Daten, z.B. an GAA, dank Chip&PIN immer mehr zurückgeht.)
Ein vergleichbares Szenario wäre ein Kartenterminal, das für den nichtsahnenden Kunden nicht nur eine, die gewünschte, Bezahlung ausführt, sondern, ohne es anzuzeigen, noch eine zweite. Im Fall eines Kreditkartenterminals lässt sich allerdings leicht nachvollziehen, woher das kam, da sich das Terminal ja authentisieren muss gegenüber dem Zahlungsanbieter, schon allein dass der Händler den Umsatz zugeordnet bekommt).
Beim Einsatz des ePersos identifiziert und authentifiziert sich das Lesegerät nicht gegenüber der abfragenden Stelle (z.B. Bank).
Die Bank hat auch keine Möglichkeit zu erkennen, um welche Kategorie (Sicherheitsstufe) von Leser es sich handelt.
Das Sicherheitsmodell geht davon aus, dass der Nutzer selbst für die Sicherheit seines Lesers verantwortlich ist.

(*) den Versuch gab es 2021 bereits in Deutschland, aber er wurde schnell zurückgezogen, als sich eklatante Mängel zeigten. Der Verkehrsminister hieß damals Andi Scheuer (CSU).

Verimi: Eklatante Schwächen beim digitalen Führerschein aufgedeckt

Der Dienstleister Verimi bietet die Digitalisierung von Führerscheinen an. Doch die Fotoidentifikation der App lässt sich mit einfachsten Mitteln austricksen.

www.spiegel.de

 

[mattes77]

Ich finde viele Kommentare hier greifen zu kurz bzw. gehen am Thema vorbei.

So besonders z.B. die Aussage, "Wer Sicherheit will, soll dafür bezahlen".
Diese problematische und unfaire Forderung wird doch befördert durch
die Bankenlobby und die Interessen der Wirtschaft am stetigen Strom
von Kundendaten inzwischen in allen Bereichen des Lebens umgesetzt.

Gerade wer im Banking Bereich die einzig einigermaßen sichere Methode eines
hardware basierten, frei von App Zwängen und Smartphone Nutzung durchführ-
baren Legitimationsverfahren nutzen will, muss stets ein Gerät mit Kosten von
ca. 20 € bis 40 € beschaffen.

Falls man doch noch das SMS Tan Verfahren verwenden möchte, kostet es beinahe
überall Gebühren zwischen 9 und 12 ct pro SMS!

Die unsicheren Apps, die vor allem darauf ausgerichtet sind; den Datenkraken
einen ständig fließenden Strom mit neuen Daten zu erzeugen, werden "kostenlos"
über die Plattformen an die Kunden verteilt.

 

[geos]

ChipTAN-Generatoren (zumindest diejenigen mit Flickercode) bekommt man häufig über Ebay-Kleinanzeigen geschenkt (*).
Man muss sich dann halt eine Bank suchen, die das unterstützt, aber selbst darunter gibt es Anbieter mit bedingungslos kostenlosen Konten.
So teuer ist es also nicht, aber man muss halt drauf Wert legen und wissen, was man tut, und bereit sein, dafür ein klein wenig Aufwand zu betreiben (und vielleicht auch nicht alles unhinterfragt glauben, was die Anpreisungen verschiedener Angebote versprechen).

(*) Ja, sie könnten in der Tat böswillig manipuliert sein. Bei Fehlen einer externen Anbindung sind die Möglichkeiten, wie ein Angreifer/Betrüger daraus Kapital schlagen kann, allerdings sehr begrenzt.

 

[Captain Picard]

Im Sparkassen-Shop kosten die TAN-Generatoren 19 bis 27 €. Die Dinger halten gefühlt ewig; noch nie ist mir eines dieser Geräte kaputt gegangen.

Was kostet dagegen ein Android-Smartphone, das du bald mangels Updates eigentlich vom Netz nehmen musst? Und das nächste? Und das nächste? Und wieviel bezahlst du mit deinen Daten, die dir so wichtig sind, noch dazu?

Was sind da 19 bis 27 €? Das ist ein Mittagessen im Restaurant.

 

[Waldemar_von_Gallenstein]

Im Sparkassen-Shop kosten die TAN-Generatoren 19 bis 27 €. Die Dinger halten gefühlt ewig; noch nie ist mir eines dieser Geräte kaputt gegangen.

Was kostet dagegen ein Android-Smartphone, das du bald mangels Updates eigentlich vom Netz nehmen musst? Und das nächste? Und das nächste? Und wieviel bezahlst du mit deinen Daten, die dir so wichtig sind, noch dazu?

Was sind da 19 bis 27 €? Das ist ein Mittagessen im Restaurant.

In mittlerweile mehr als zehn Jahren habe ich bereits zweimal meinen TAN-Generator (nicht Flicker, die Dinger haben sich für mich in der Praxis als untauglich erwiesen) ersetzen müssen. Der dritte läuft jetzt seit drei Jahren problemlos – wird's angesichts meiner bisherigen Erfahrungen aber wohl nicht mehr lange machen . Nichtsdestotrotz kann ich die Dinger nur jedem empfehlen.

 

[SeltenFliegerHH]

TAN-Generator ... Nichtsdestotrotz kann ich die Dinger nur jedem empfehlen.

kann man die Geraete eigentlich 'gebrauchte' Geraete weiternutzen? Habe noch so'n Teil nach Kontokuendigung hier liegen, was man gern zu ein paar EUR machen koennte

 

[ive]

Darüber gab es hier schon eine Diskussion, wenn ich mich richtig erinnere war es so, die Kobil Geräte kannst du uneingeschränkt weiter nutzen und weitergeben.
Die Rainer Geräte funktionierten nicht mehr, mit den neuen GiroCards.
Und das ist genau das Problem, auf ebay findest du die Geräte fast geschenkt, aber das sind die Rainer Geräte, die nicht kompatibel sind.

 

[wma]

Schade finde ich nur, dass Banken wie die ING und CoBa vendor-locked Geräte verkaufen und man nicht z.B. wie bei Sparkassen und VoBa einen Generator für verschiedene Banken benutzen kann.
Grundsätzlich finde ich nämlich Hardware-Generatoren schon sinnvoll, sei es als Backup oder weil man bei mehreren Banken Kunde ist und keinen Bock hat 10 Banken Apps zu installieren. Aber wenn ich am Ende 10 Generatoren hier liegen habe dann hilft das natürlich auch nicht weiter.

 

[geos]

kann man die Geraete eigentlich 'gebrauchte' Geraete weiternutzen? Habe noch so'n Teil nach Kontokuendigung hier liegen, was man gern zu ein paar EUR machen koennte

Ja, man kann sie weiternutzen, wenn sie nicht bankspezifisch sind. Das trifft idR. nur für ChipTAN-Geräte zu, bei denen der eigentlich Faktor ja nicht das Gerät, sondern der Besitz der jeweiligen Girocard ist. Allerdings wirst Du vermutlich kein oder kaum noch Geld dafür erlösen, vor allem wenn die Batterien schwach oder ganz leer sind.

Beitrag automatisch zusammengeführt: 20.02.2024

Darüber gab es hier schon eine Diskussion, wenn ich mich richtig erinnere war es so, die Kobil Geräte kannst du uneingeschränkt weiter nutzen und weitergeben.
Die Rainer Geräte funktionierten nicht mehr, mit den neuen GiroCards.
Und das ist genau das Problem, auf ebay findest du die Geräte fast geschenkt, aber das sind die Rainer Geräte, die nicht kompatibel sind.

Der Hersteller schreibt sich Reiner.
Ich habe etliche dieser Geräte und konnte bislang keine Inkompatibilität feststellen; es betrifft nur bestimmte Chargen von Girocards.
Näheres dazu siehe hier:

Online-Banking mit chipTAN | Sparkasse Schweinfurt-Haßberge

Für schnelles und bequemes Banking · Online-Banking mit chipTAN ✓Mit dem neuen Verfahren chipTAN QR noch schneller und einfacher zur individuellen TAN ✓Kostenfreie Nutzung (nur Anschaffungskosten für TAN-Generator/en) ➜Jetzt informieren

www.sparkasse-sw-has.de

Was tun wenn der TAN-Generator den Fehler 00 bei einer neuen Bankkarte ausgibt? - VR-Dienste eG

Was tun wenn der TAN-Generator den Fehler 00 ausgibt? So können Sie das Problem lösen und direkt einen neuen Karteleser bestellen.

www.vr-dienste.de

Reiner SCT betont natürlich, dass sie nicht schuld seien...

Fehler 00 in Verbindung mit neuer Sparkassen-Card / Bankkarte

Die Technik Ihrer neuen Sparkassen-Card / Bankkarte hat sich geändert, dadurch ist deren Funktion mit Ihrem bisherigen TAN-Generator nicht mehr gegeben. Dieser zeigt nun den Fehler 00 an. Die Ursache liegt nicht an Ihrem TAN-Generator, dieser ist weiterhin vollständig konform mit den Vorgaben der...

forum.reiner-sct.com

Der TAN-Generator zeigt "Fehler 00" im Display an

Folgende Möglichkeiten können den Fehler 00 bei einem TAN-Generator hervorrufen: INHALTSVERZEICHNIS Sparkassen Volks- & Raiffeisenbanken (GENO-Banken) DKB Sparda-Bank Sie haben KEINE neue Bankkarte / Sparkassen-Card erhalten Sie...

help.reiner-sct.com

Vermutlich ist das eine Frage der Specs der Chips und wie eng diese einzuhalten sind.

 

[Captain Picard]

kann man die Geraete eigentlich 'gebrauchte' Geraete weiternutzen? Habe noch so'n Teil nach Kontokuendigung hier liegen, was man gern zu ein paar EUR machen koennte

Dafür gibt es auf Ebay einen regen Markt. Luftpolstertasche, Warensendung für 2,25 €, fertig.

 

[SeltenFliegerHH]

Ja, man kann sie weiternutzen, wenn sie nicht bankspezifisch sind. Das trifft idR. nur für ChipTAN-Geräte zu, bei denen der eigentlich Faktor ja nicht das Gerät, sondern der Besitz der jeweiligen Girocard ist. Allerdings wirst Du vermutlich kein oder kaum noch Geld dafür erlösen, vor allem wenn die Batterien schwach oder ganz leer sind.

kommen frisch aus laufendem Betrieb - werden nur wegen Bankabzocke nicht mehr benoetigt... Sind sogar 2 verschiedene, muss mal Fotos anfordern

 

[ive]

Ich habe etliche dieser Geräte und konnte bislang keine Inkompatibilität feststellen; es betrifft nur bestimmte Chargen von Girocards.

Also mit der neuen DKB Girocard haben die Rainer Geräte nicht mehr funktioniert und mit der Girocard bei der VR Bank war es genauso, die Rainer Geräte siind einfach nur noch Sondermüll.
Dafür funktioneren aber die uralten Kobil (egal ob Branding von der Sparkasse oder sonstiges) sowohl mit DKB als auch mit der Karte von der VR.
Übrigens die TAN Geräte wo ein VR Logo drauf sind funktioniert auch bei beiden Banken, nur mal so am Rande.
Da kann die Firma Rainer oder Reiner noch so viel beteuern, sie hielten sich an die Spezifikation, im Prinzip sind sie die einzigen, die kompatibilitätsprobleme haben.
Aus meiner Sicht ein NoGo.
Woher ich das weiß? Bin ehrenamtlich für die ältere Generation in der Nachbarschaft tätig. Da bekommt man so etwas automatisch mit.

 

[geos]

Sparkasse unterliegt vor Gericht bzgl. Haftung bei Betrug durch untergeschobene ApplePay-Aktivierung (die mutmaßlich durch den Kunden in der Banking-App erfolgt ist):

Sparkasse Karlsruhe muss über € 42.000,00.- an Phishing-Opfer erstatten!

www.anwalt.de

 

[Mistmade]

Keine Ahnung, was da genau passiert ist, aber spannend zu sehen, wie Gerichte wenig Ahnung haben von der Funktionsweise von Apple Pay bzw deren Einrichtung. Der Kunde muss da was freigegeben haben, aktiv. Und wenn ein Kunde auf einer Phishing seine Zugangsdaten eingibt… was kann die Bank genau dafür? Nichts. Aber in USA wurden ja Firmen wegen Lächerlichkeiten auf Mio verklagt… in diese Richtung entwickelt wir uns auch. Wenn jemand mit Online Banking oder generell mit IT nicht umgehen kann, soll die Finger davon lassen

 

[mattes77]

Ich finde es eine teilweise äußerst "befremdliche" Diskussion hier.

Einige "Fläubigen" der datenschutzmäßig eher schwächeren app
basierten Verfahren mit ihren "mobilen Wanzen" kritisieren
Nutzer der "sicheren" Verfahren als "rüclständig" und "lächerlich".

Und wenn dann Menschen Opfer von Phshing und Cybercrime
werden, sind sie selbst schuld!

Das ist auf jeden Fall sher unfair!

 

[ive]

Möglicherweise hat der Kunde fahrlässig gehandelt, aber es gibt genug Kunden, die mit dem Verfahren technisch Schwierigkeiten haben. Manchmal wissen es die Kunden gar nicht, sie meinen Ach Smartphone habe ich doch, damit kenne ich mich aus, aber ganz so einfach ist es nicht. Es lauern sehr viele Fallstricke!
Ich finde es gut, die Bank ist dafür haftbar zu machen, nicht der Kunde! Die Bank soll die Verfahren so sicher und so einfach gestalten, damit alle Kunden mit dem Verfahren umgehen können! Vielleicht werden die Banken durch Schmerzen daraus etwas lernen.

 

[ive]

Ein Erklärungsbewusstsein des Klägers, dass er das Apple-Pay-Bezahlverfahren auf einem fremden IPhone freigab, verneinte das Gericht zu Recht. Ein etwaiges versehentliches Berühren des Displays im räumlichen Bereich des Freigabe-Buttons für das Bezahlverfahren Apple-Pay wäre indes subjektiv entschuldbar gewesen, so das Gericht mit überzeugender Begründung.

Das Gericht hat den Sachverhalt genau verstanden, das Problem ist, der Nutzer bekommt auf seinem Smartphone ständig irgendwelche Mitteilungen, und ist damit einfach überfordert. Da werden die Meldungen gar nicht mehr aufmerksam gelesen, der Kunde drückt automatisch einfach alles weg in dem er auf OK drückt. Das hat auch das Gericht sehr gut erkannt: Das Problem ist, der Kunde nutzt sein Smarphone einfach für alles: Whatsapp, Facebook und auch Banking!
Bei einem externen TAN Gerät, gibt es Mitteilungen die nur das Banking betreffen, genau das ist der Unterschied!

Auch fiel dem Kläger kein grob fahrlässiges Verhalten zu Last, was die Beklagte ihm unterstellen wollte.

Auch verneinte das Gericht eine häufigers Kontrolloblienheit des Klägers als etwa alle zwei Wochen.

Genau deswegen gibt es den Kontoausszug, digital oder analog, damit die Kunden nicht 5x am Tag ihre Umsätze kontrollieren müssen! Gesetzlich reicht es aus, wenn der Kunde ca. alle 50 Tage seine Umsätze kontrolliert, deswegen haben viele Banken die Pflicht eingeführt, der Kunde muß seinen Kontoauszug lesen zur not wird ihm der Kontoauszug per Post gesendet.

 

[dagget1]

Das dürfte der Grund sein, warum man bei manchen Sparkassen Apple Pay (oder auch ein neues Push-Gerät) nur nach telefonischer Rücksprache oder gar persönlich in der Filiale freischalten darf.

 

[netzfaul]

Das dürfte der Grund sein, warum man bei manchen Sparkassen Apple Pay (oder auch ein neues Push-Gerät) nur nach telefonischer Rücksprache oder gar persönlich in der Filiale freischalten darf.

Ggf. sollte man wie bei Depots einen Fragebogen zu den Kenntnissen zu Smartphones ausfüllen, der dann bestimmt, ob man Apple Pay direkt mit Tan-App einrichten kann oder ob man dazu in die Filiale bzw. ans Telefon muss.

 

[geos]

Im geschilderten Fall sehe ich zwei problematische Aspekte:

Durch die Aktivierung von Apple Pay kann mit nur einer gültigen TAN ein Schaden von mehreren 10.000 € verursacht werden. Das dürfte auch der Grund sein, wieso sich Betrüger auf diese Methode fokussieren. Insbesondere wenn Banken sowas wie Überweisungstageslimits usw. haben, die deutlich geringer ist, ist sowas aus Betroffenensicht natürlich ein Hohn, zumal die meisten Kunden an Apple Pay gar kein Interesse und nichts am Hut haben dürften und auch von diesem spezifischen Risiko nichts ahnen.
Apple sollte auf Grund seiner permanent gesammelten Daten übrigens problemlos in der Lage sein, das verwendete iPhone nicht nur zu identifizieren, sondern auch dessen Bewegungs- und Nutzungshistorie, sodass ein Aufspüren in vielen Fällen möglich sein müsste. Ob sie das machen oder ob sie lieber die Illusion für ihre Kunden aufrechterhalten, sie seinen nicht verfolgbar, weiß ich natürlich nicht.

Zweite Problematik ist der Umstand, dass 2FA hier durch eine einfache Bestätigung realisiert ist. Das ist ein Verfahren, das vergleichsweise erfolgreich auszuhebeln ist (Stichwort z.B. Fatigue Attack), nicht nur im Banking-Bereich. Viel sicherer sind 2FA-Verfahren, in denen der Nutzer eine TAN auf dem Anmeldegerät (hier Onlinebanking) aktiv eingeben muss. Die Hürde, das Opfer zur Herausgabe dieser zu bewegen, liegt deutlich höher (aber auch das ist natürlich nicht unmöglich).
Ich weiß nicht, wie die App der Sparkasse Karlsruhe umgesetzt ist im Detail, also ob z.B. solche Autorisierungsanfragen auch dann zum Nutzer durchdringen (als Push-Nachricht z.B.), wenn er gar nicht aktiv die App benutzt, und wie transparent oder auch nicht diese gestaltet sind und wie sie von anderen Systemmitteilungen usw. sich abhebt (sprich wie offewnsichtlich für den Nutzer es ist, woher diese Meldung kommt und wie sie zuzuordnen ist). Hier ist ein 2FA-Gerät, das ausschließlich für diese Anwendung (also hier Online-Banking) eingesetzt wird und das vom Nutzer dafür ausdrücklich vor dem Einsatz aktiviert/angeschaltet werden muss, deutlich sicherer. Damit wäre der hier zu beklagende Angriff nicht möglich gewesen.

 

[geos]

Wird bei einer Ersatzkarte eine neue PIN mitverschickt?

EC-Karte gestohlen: Dorothea sperrte sie, trotzdem sind 7000 Euro weg

Erst wurde der Berlinerin der Geldbeutel gestohlen – und dann noch Tausende Euro vom Konto. Viele fallen krimineller Masche zum Opfer. Wie man sich schützt.

www.morgenpost.de

Aus meiner Sicht ziemlich mies von der Sparkasse, ihre Kundin für die laxen Sicherheitsstandards (kein Versand per Einschreiben) bluten zu lassen.

Wieso haben die Täter Cashback im Supermarkt gewählt, statt direkt am Automaten Geld abzuheben? Konnten sie auf diese Weise Tageslimits umgehen?

 

[eham]

Wird bei einer Ersatzkarte eine neue PIN mitverschickt?

Wieso haben die Täter Cashback im Supermarkt gewählt, statt direkt am Automaten Geld abzuheben? Konnten sie auf diese Weise Tageslimits umgehen?

Ich vermute, die haben Cashback gewählt, weil bei Geldautomaten eigentlich eine Kamera eingebaut ist, so dass Abhebungen und insb. Karteneinzug gefilmt werden.

Zu meinen Ausbildungszeiten bekamen die Kunden die PIN nach Hause geschickt und mussten die Karte in der Filiale persönlich abholen und dort unterschreiben. Ist bei Direktbanken und bei wenigen Filialen heute ja nicht mehr machbar.

Und ja, Ersatzkarte wg. Verlust gibt auch immer neue PIN.

 

[mattes77]

Ich wünsche dem Opfer alles Glück der Welt! Ich sehe aber wenig Chancen für sie!
Die Banken berufen dich bei vier- oder fünfstelligen Schäden immer gern auf den
Anscheinsbeweis und lassen die Kunden im Regen stehen.

 

[geos]

ANZEIGE

Ich vermute, die haben Cashback gewählt, weil bei Geldautomaten eigentlich eine Kamera eingebaut ist, so dass Abhebungen und insb. Karteneinzug gefilmt werden.

Das habe ich mir auch schon überlegt, aber durch entsprechende Verkleidung oder andere Maßnahmen ließe sich dem ja vorbeugen. Auch im Supermarkt gibt es Überwachungskameras.
Könnte der Aspekt Tageslimits eine Rolle spielen? Wird Cashback auf die Tageslimits für GAA angerechnet?

Zu meinen Ausbildungszeiten bekamen die Kunden die PIN nach Hause geschickt und mussten die Karte in der Filiale persönlich abholen und dort unterschreiben. Ist bei Direktbanken und bei wenigen Filialen heute ja nicht mehr machbar.

ich weiß auch nicht, wieso eine lokale Sparkasse das nicht so macht.

Und ja, Ersatzkarte wg. Verlust gibt auch immer neue PIN.

OK, verstehe. Dann lohnt es sich für Diebe, die ein Portemonnaie geklaut haben, ja durchaus, den Briefkasten des Opfers in der nächsten Zeit im Auge zu haben.