Sicherheitsaspeke bei Kreditkarten und Banking

[wizzard]

ANZEIGE

In jedem größeren Ort gibt es noch Vobas und Sparkassen. Muss man halt ein paar Kilometer fahren, wenn man kein Onlinebanking will. Ich sehe das Problem nicht.

Ja, die Banken versprechen, dass Online-Banking sicher ist. Ist es ja auch. Aber sie haben nie versprochen "falls etwas passiert, dann erstatten wir den Schaden". Das Versprechen lautet, dass sie einen Schaden dann ersetzen, wenn kein Eigenverschulden des Kunden vorliegt.

 

[wizzard]

Hier mal ein aktuelles Beispiel:



Wer meint, das Schreiben käme von seiner Bank, ist selbst schuld. Und wer den Anweisungen dann auch noch folgt, dem ist echt nicht mehr zu helfen. Sorry, so jemand sollte die Finger von Onlinebanking lassen.

Wetten, dass da wieder Hunderte drauf rein fallen? Aber was bitte sollen Banken da tun, außer vor so einem Schwachsinn zu warnen?

 

[Mistmade]

Im Grunde bin ich auch der Meinung, dass für die eigene Dummheit niemand anderes verantwortlich sein kann als derjenige selbst…

Allerdings, wenn man diese Herangehensweise überall so ansetzen würde, bräuchte es keine Geschwindigkeitsbegrenzungen, Warnhinweise auf Zigaretten, Alkohol, etc. All das hat man ja nur deshalb zu verdanken, weil es eben auch Menschen gibt, die (aus welchen Gründen auch immer) es nicht so mit der Intelligenz haben. Und aufgrund dieser kleinen Minderheit muss man alles idiotensicher gestalten, unabhängig ob es jetzt Banking oder andere Dinge im Leben sind.

Ich frage mich ja auch oft, wie kann man auf einen Enkeltrick oder beim Phishing reinfallen… allerdings erwische ich mich dabei, wie ich von meiner Sicht ausgehe. Allerdings hat nicht jeder Mensch das gleiche Verständnis oder Auffassungsgabe. Da hilft es nicht, gebetsmühlenartig zu predigen, dass man nicht auf Links klicken darf etc

Letztens hatte ich eine Reportage gesehen, da ist sogar ein ehemaliger Kripobeamter reingefallen auf die Masche mit Sohn, Unfall, Kaution… und er sagte im Interview, er war sich immer sicher, ihm könnte sowas nie passieren…am Ende waren 3000 Euro weg…

 

[mpm]

Hier mal ein aktuelles Beispiel:

Anhang anzeigen 265849

Wer meint, das Schreiben käme von seiner Bank, ist selbst schuld. Und wer den Anweisungen dann auch noch folgt, dem ist echt nicht mehr zu helfen. Sorry, so jemand sollte die Finger von Onlinebanking lassen.

Wetten, dass da wieder Hunderte drauf rein fallen? Aber was bitte sollen Banken da tun, außer vor so einem Schwachsinn zu warnen?

Die üblichen E-Mails kannte ich. Aber einen Brief, scheinbar an eine persönliche Adresse, mit Commerzbank Logo, Post Post QR, etc. Ehrlich gesagt: Das sieht nicht anders aus, als "echte" Briefe der Banken. Krass! Dass Kunden darauf reinfallen, kann ich mir leider sehr gut vorstellen. Ich wundere mich, dass so ein ja wahrscheinlich Serien-Brief durch das Postporto udn Zahlungs-System läuft, ohne dass da etwas auffällt...

 

[Mistmade]

Naja, ich sehe es sofort das es Scam ist. Als Absender (über der Empfängeradresse) steht schon mal nicht die Commerzbank.

Auch sonst fehlen da Angaben wie Referenz/ Kontonummer o.ä.

Auch ist der Text auch nur semioptimal vom Wording her.

Aber ja, nur weil ich es sehe, sehen es 10 andere möglicherweise nicht.

 

[vlugangst]

Spätestens der QR-Code-Scanner erkennt, dass es Scam ist.

 

[kmak]

Der sichtbare Absender ist aber oft (bei echten Bankbriefen) nicht die Bank sondern irgendein Dienstleister. Schließlich soll das Abfangen der Passwortbriefe etc. ja auch nicht zu einfach gemacht werden. Das ist also kein valides Kriterium.

Dennoch - das Porto wird irgendwie unbar bezahlt worden sein, was ein Ansatz für die Kripo sein könnte.

 

[eham]

Obwohl der Text etwas holprig klingt und die persönliche Anrede fehlt, macht ein Brief mehr Eindruck als eine Email.

Ich kann zumindest verstehen, wenn unbedarfte Kunden hier die die Falle tappen.

 

[wizzard]

Dass sie zweifeln und die Möglichkeit in Betracht ziehen, dass der Brief echt ist, kann ich auch noch verstehen, aber dass sie dann ohne weitere Prüfung den QR-Code scannen, nicht. Wer Onlinebanking betreibt, hat Internet und wer Internet hat, kann voher auf die Webseite der Bank gehen und schauen, ob da etwas zu dem Thema steht. Oder er prüft, ob die beiden Unterzeichner überhaupt bei der Commerzbank sind.

 

[vlugangst]

Wie in #106 angedeutet bringt ja spätestens das Scannen des QR-Codes Klarheit. Aufrufen muss ich die hübsche URL ja nicht.

 

[geos]

Commerbank, Targo, Deutsche Bank: Vorsicht vor falschen Briefen per Post

Phishing-Attacken per E-Mail und SMS gibt es seit Langem. Jetzt werden Menschen auch per gefälschtem Postbrief aufgefordert, ihre Kontendaten mit QR-Code preiszugeben.

www.faz.net

Achtung! Gefälschte Bank-Briefe im Umlauf

Aktuell warnt das LKA Niedersachsen vor besonders perfide gefälschten Bank-Briefen. TECHBOOK verrät, wie Sie sich schützen.

www.techbook.de

 

[SeltenFliegerHH]

Ich wundere mich, dass so ein ja wahrscheinlich Serien-Brief durch das Postporto udn Zahlungs-System läuft, ohne dass da etwas auffällt...

warum sollte es? Massenbriefe werden (sagt der Name schon ) in Massen verschickt, und draussendrauf steht nicht zwingend auch die Bank...

Der sichtbare Absender ist aber oft (bei echten Bankbriefen) nicht die Bank sondern irgendein Dienstleister. Schließlich soll das Abfangen der Passwortbriefe etc. ja auch nicht zu einfach gemacht werden. Das ist also kein valides Kriterium.

aber ein Ansatz, der sollte schon wissen fuer wen er das Zeugs verschickt...

Dennoch - das Porto wird irgendwie unbar bezahlt worden sein, was ein Ansatz für die Kripo sein könnte.

jein, s.o. - Dienstleister, per PayPal bezahlt, feddich...

Gibt's den Barcode ggf groesser/schaerfer? Dann kann ich den mal scannen, manches kann ich auslesen - und bei sowas immer gerne

 

[ArmDoors]

Dass sie zweifeln und die Möglichkeit in Betracht ziehen, dass der Brief echt ist, kann ich auch noch verstehen, aber dass sie dann ohne weitere Prüfung den QR-Code scannen nicht.

Warum sollte das scannen des Codes ein Problem sein?

Das ist im Endeffekt nichts anderes als ein URL einzutippen - nur komfortabler. Vom Sicherheitsaspekt her gibt es da keinen Unterschied.

 

[vlugangst]

Gibt's den Barcode ggf groesser/schaerfer?

Für meinen QR-Scanner ist die gepostete Version ausreichend scharf: https://commerzbank.de-id-j5tr6j0xmvzw7gih4sdg6p4.com/

Ich hab mal ca. 50 % der Buchstaben-Zahlen-Kombination nach id- rausgelöscht.

 

[geos]

Das ist im Endeffekt nichts anderes als ein URL einzutippen - nur komfortabler. Vom Sicherheitsaspekt her gibt es da keinen Unterschied.

Technisch natürlich richtig, aber eben weil es komfortabler ist, führt es dazu, dass es auch mehr Leute hinbekommen, die sonst bereits am Eintippen gescheitert wären und die gar nicht wissen, was eine URL und ein FQDN ist, für die https://commerzbank.de-id-j5tr6j0xmvzw7gih4sdg6p4.com/ und https://commerzbank.de/id-j5tr6j0xmvzw7gih4sdg6p4.com/ ja eh praktisch das gleiche ist. Und selbst wenn es Leute gibt, die grundsätzlich den Unterschied verstehen, so werden einige davon dank der bequemen Handhabung und der je nach Browsereinstellungen und UI geringen Transparenz gar nicht darauf achten.

 

[wizzard]

Warum sollte das scannen des Codes ein Problem sein?

Das ist im Endeffekt nichts anderes als ein URL einzutippen - nur komfortabler. Vom Sicherheitsaspekt her gibt es da keinen Unterschied.

Habe ich behauptet, dass es ein Problem ist? Wer aber keine Ahnung von Technik hat, der sollte auch keine QR-Codes aus Pishing-Briefen einscannen, genauso wie er auch keine URLs aus Pishing-SMS oder -Mails aufrufen sollte. Warum sollte er das tun? Brief in den Papierkorb, Pishing-SMS und -Mails löschen, fertig. Wenn Leute, die keine Ahnung haben und gar nicht wissen, was sie tun, dann aus Neugier anfangen, herum zu experimentieren, fehlt mir jedes Verständnis.

 

[geos]

Vollkommen richtig; allerdings werden sie mehr und mehr auch von Unternehmen wie Banken dazu animiert und darauf konditioniert, weil es natürlich für diese einfacher und billiger ist, mehr und mehr Kunden nutzt diese digitalen Möglichkeiten. Achte mal darauf, wieviele Anzeigen mittlerweile verbreitet werden, auf denen nur noch ein QR-Code steht, aber keine URL.
Ich habe letztes Jahr von einer Bank einen Brief zugesandt gekommen, in dem ein QR-Code, aber keine URL stand, über den ich doch bitte einer AGB-Änderung online zustimmen solle. Und das war ein echter Brief.
Die Initiatoren dieser Fake-Kampagne investieren ja nicht in diese, weil sie meinen, damit keinen Erfolg zu haben.

 

[ali2]

Habe ich behauptet, dass es ein Problem ist? Wer aber keine Ahnung von Technik hat, der sollte auch keine QR-Codes aus Pishing-Briefen einscannen, genauso wie er auch keine URLs aus Pishing-SMS oder -Mails aufrufen sollte.

Warum sollte man nicht den QR-Code einscannen? Das einzige was passiert du bekommst einen decodierten Text zurück! Das alleine ist harmlos.

 

[wizzard]

Ja, ist doch kein Problem, wenn Banken Briefe mit QR-Codes verschicken. Die sollen und können die Kunden ja gerne nutzen. Aber eben nur, wenn klar ist, dass der Brief auch echt ist, d.h. wirklich von der Bank kommt. Dass Betrüger versuchen, so etwas nachzuahmen, ist doch klar. Jeden Tag stehen genug Dumme auf, die darauf herein fallen.

 

[wizzard]

Warum sollte man nicht den QR-Code einscannen? Das einzige was passiert du bekommst einen decodierten Text zurück! Das alleine ist harmlos.

Langsam wirds nerdig. Verfolge doch einmal die ganze Diskussion. Es ging darum, wer und in welchem Ausmaß für Sicherheit verantwortlich ist. Da kam dann das Argument auf, die Banken sollten Kunden, die keine Ahnung von Technik haben, vor sich selbst schützen. Willst du mit denen jetzt allen Ernstes diskutieren, welches Risiko damit verbunden sein kann oder nicht, wenn man Pishing QR-Codes öffnet. Du sagst ihm dann: "Den Code kannst du anklicken, aber die betreffende URL besser nicht". Ganz toll. Als ob derjenige den Unterschied versteht. Wenn er sich dann keine Malware einfängt und auf eine normale Pishing-Seite kommt, musst du ihm erklären, dass er da auf keinen Fall seine Zugangsdaten eingeben darf. Ist doch alles Schwachsinn. Wer keine Ahnung, dem sag ich: Lösch den Scheiß und fertig.

 

[geos]

Warum sollte man nicht den QR-Code einscannen? Das einzige was passiert du bekommst einen decodierten Text zurück! Das alleine ist harmlos.

Da spricht der "Techniker", der versteht, was er macht. Frag mal den typischen Bankkunden und Smartphone-Nutzer, was eine URL ist, aus welchen Teilen sie besteht, was ein FQDN ist, wie das Domainname-System syntaktisch aufgebaut ist usw. Die allermeisten Leute verwenden das Zeug, ohne es zu verstehen; es interessiert sie auch nicht, solange es funktioniert. Die Werbung und die Anbieter sagen ja auch, dass alles so einfach ist, und das ist es auch; Smartphones sind so gebaut, dass selbst funktionale Analphabeten sie nutzen können. Und viele tun das auch.

 

[SeltenFliegerHH]

Für meinen QR-Scanner ist die gepostete Version ausreichend scharf: https://commerzbank.de-id-j5tr6j0xmvzw7gih4sdg6p4.com/

nein, ich meinte den bei der Empfaengeradresse

 

[ive]

Ja, ist doch kein Problem, wenn Banken Briefe mit QR-Codes verschicken. Die sollen und können die Kunden ja gerne nutzen. Aber eben nur, wenn klar ist, dass der Brief auch echt ist, d.h. wirklich von der Bank kommt. Dass Betrüger versuchen, so etwas nachzuahmen, ist doch klar. Jeden Tag stehen genug Dumme auf, die darauf herein fallen.

Ich traue mir nicht zu zweifelsfrei festzustellen, ob ein Brief (analog oder digital) von der Bank kommt, kannst du das?

Und noch etwas wegen dummer Bankkunde wie kann er blos, diese Fehler machen? Arbeite in einem internationalen Betrieb mit mehreren Tausend Mitarbeitern, mehr als 95% davon sind Ingenieure. Unsere IT verschickt regelmäßig Pishing Emails damit wir sensibilisiert werden sollen. Mehr als 20% öffnen den Link aus der Email. Mehr als 5% geben auf dieser Seite sensible Daten ein. Dabei baut die IT in dieser pishing Email extra mehrere Fehler ein, an der wir die Emails identifizieren könnten.
Wenn selbst wir Technikafine Mitarbeiter so oft Fehler machen, was meinst du dann wie es mit den Omis ausschaut?

Ich habe bisher diesen Test nicht versemmelt, kann aber auch daran liegen, weil wir vorher intern im Meeting darüber gesprochen haben und ich nicht so schnell neu ankommende Emails lese, da sind meine Kollegen deutlich schneller.

 

[AJ44]

Ich traue mir nicht zu zweifelsfrei festzustellen, ob ein Brief (analog oder digital) von der Bank kommt, kannst du das?

Dann einfach mal im Zweifel kurz die (bekannte!) Hotline anrufen und nachfragen, bei einer lokalen Filiale idealerweise mit dem Brief dort hingehen und den vorlegen.
Natürlich gibt es diese Stolpersteine, man muss ja nur nicht darüber laufen.

 

[avator]

ANZEIGE

Dann einfach mal im Zweifel kurz die (bekannte!) Hotline anrufen und nachfragen, bei einer lokalen Filiale idealerweise mit dem Brief dort hingehen und den vorlegen.
Natürlich gibt es diese Stolpersteine, man muss ja nur nicht darüber laufen.

Leider gibt es immer mehr Online Banken, die auf eine telephonische Hotline verzichten bzw. das immer mehr erschweren. Und Nachrichten werden auch nicht instant beantwortet.
Und wenn deine nächste Filialbank einen halben Tag mit dem Bus dauert ist das auch nicht so einfach.