Recent searches
Search options
Gestern flatterte ein Brief ins Haus von einer dubiosen Firma, die sich als neuer Zahlungsdienstleister für die #Kreditkarte meine Frau ausgibt und will, dass wir irgendeine App runterladen und da sensible Daten eingeben.
Alle Alarmglocken an, erstmal recherchiert.
Ergebnis: Die Dienstleister der #Sparkasse sind tatsächlich unter dem Namen #qards fusioniert (@sparfindig hatte berichtet) und müssen aufgrund der neuen dritten Payment Service Directive #PSD3 (#EURichtlinie) u.a. sowas wie #ZweiFaktorAuth für #onlineShopping implementieren.
Weil wir die Kreditkarte selten nutzen und die Gattin nicht noch eine supersichere App (S-ID-App #SIDApp) installieren will, bekommt sie jetzt halt für 10ct ne #mTAN per #SMS aufs Handy.
Und das, obwohl das mTAN-Verfahren wohl schon mehrfach gehackt wurde. Wenn ich's richtig verstanden habe, waren dabei aber immer Trojaner auf Rechner und Handy im Spiel und die Betroffenen hatten keine Alarmglocken eingebaut, als sie ihre Daten fröhlich in irgendwelche Masken eingaben.
Das ist ein umfangreiches Referat, fast schon eine Hausarbeit, und ich kriege nicht mal ne gute Note dafür. Wäre schade, wenn das kurzzeitig agglomerierte Wissen einfach so abgehakt und vergessen würde. Also trööte ich es einfach hier hinein in der Hoffnung, dass es jemand nützt.
mTAN kann auch ohne Trojaner (durch SIM-Swapping) ausgehebelt werden:
https://www.borncity.com/blog/2021/05/18/cyber-kriminelle-bietee-sim-swapping-fr-deutsche-banken-an/
@eggimt @Blackbird @sparfindig Plötzlich cool dass ich meine Überweisungen immer noch an den leider schwindenden Bankterminals mache.
@Blackbird @sparfindig Zum Glück, zum GLÜCK haben die sich mit #qards einen Namen gegeben, der so gar keine Zweifel aufkommen lässt, ob es sich um einen Dienstleister der Sparkassen handelt 
@Blackbird @sparfindig Hab von denen auch ein Schreiben bekommen, als ich S-ID neu einrichten wollte. Dachte auch erst, das wäre Spoofing. Hab dann erstmal recherchiert, bevor ich da irgendwas gemacht habe 
@Blackbird @sparfindig was war noch mal das Problem mit der S-ID-App #SIDApp ?
@markuswerle @sparfindig Für meine Frau war das Problem, dass sie möglichst wenige Apps auf ihrem Handy haben möchte.
Nebensächliche Überlegungen: Eine SMS spioniert mich sicher nicht aus; bei einer installierten App mit Internetzugriff kann sich das von Update zu Update ändern.
@Blackbird @sparfindig das ist ein Trugschluss. Die App hat ein Zertifikat und das hält der Hersteller in der Hand. SMS abfangen ist dagegen einfach. Gruß an die Holde: Bitte App installieren. Dass die Sparkasse SMS noch anbietet ist wild.
@markuswerle
Hab ein vanilla Android ohne Google Services 
@Blackbird @sparfindig
@fehlfarbe @Blackbird @sparfindig und? Ist es gerootet?
@markuswerle @Blackbird @sparfindig eigentlich hab ich nichts dergleichen gemacht aber warum sollte es auch nicht gerootet sein? Ich hab doch auf allen meinen Geräten Root-Zugriff?
@fehlfarbe @Blackbird @sparfindig Auf Handys versucht man das zu vermeiden. Stadardmäßig ist es nicht gerootet. Man erlaubt das installieren von Apps, ähnlich wie bei einem eingeschränkten sudo, und erreicht damit eine Datenisolation der Apps untereinander. Natürlich könnte eine gute Banking App auch mit einem gerooteten Handy umgehen. Und hier könnte es sich um einen false positive handeln.
@markuswerle @Blackbird @sparfindig letztendlich liegt das Problem ja auch tiefer, weil einem von den Herstellern eben Steine in den Weg gelegt werden, wenn man sein Telefon ohne deren Bloatware und über den offiziellen Supportzeitraum hinaus betreiben will.
Ich frage mich nur, welchen Vorteil es hat, wenn die App ihren Dienst verweigert. Beim letzten Gerät hatte ich dasselbe Problem. Die TAN-App, S-ID und die App der Krankenkasse läuft darauf leider auch nicht und die Alternative war ein Katz-und-Maus-Spiel mit Magisk oder anderen Apps, die "irgendwas" machen um der Banking App ein "sicheres" Gerät vorzutäuschen oder ich installiere wieder das komplett veraltete Betriebssystem vom Hersteller. In beiden Fällen habe ich ja am Ende Sicherheit eingebüßt.
@Blackbird @sparfindig Wie @eggimt schon schrieb, kann ein mTAN-Verfahren auch durch SIM-Swop gehackt werden. Allerdings scheint es, als ob zumindest in Deutschland die Inzidenz solcher Vorfälle relativ gering ist. Der Aufwand und das Risiko für Angreifer ist auch recht hoch und das Verfahren skaliert nicht gut.
Mir leuchtet nicht ein, warum eine Authenticator App notwendigerweeise sicherer sein soll als mTAN.
@Blackbird @sparfindig @eggimt Ich sollte noch folgendes zur Klarstellung sagen: Wenn man gezielt angegriffen wird, etwa weil die Angreifer aufgrund von Social-Media-Posts vermuten können, dass da viel Geld zu holen ist, ist SIM Swop eine ernst zu nehmende Gefahr.
@sten @sparfindig @eggimt Dann ist ja gut. Um #HomerSimpson zu zitieren: Ich habe vier Kinder und kein Geld. Ach hätte ich doch keine Kinder und vier Geld!
#simpsonsquotes
@Blackbird @sparfindig
Du hast aber gleich mit deiner Warnung auch einen neue Betrugsmasche veröffentlicht. Als Vorlage! Wären die Deppen vielleicht nicht darauf gekommen. Doch die Warnung ist wichtig und richtig. Doch alles sollte man immer über einen zweiten Kommunikationsweg absichern. Sparkasse anrufen oder noch besser in der Filiale vorsprechen.
@Blackbird @sparfindig
Du erinnerst mich daran, dass ich von der Volksbank Freiburg weg wollte. Ich denke die Norisbank ist eine gute Alternative.
Wenn ich schon aufgrund von immer weniger Filialen und Automaten zum ONLINE-Banking genötigt werde, wie ein Bittsteller behandelt werde, immer mehr unseriöse Entscheidungen hinnehmen muss,....
Wieso soll ich dann soviel Geld dafür bezahlen?
@Blackbird @sparfindig
Um die DKB App für den 2FA Login zu umgehen, habe ich mich dafür entschieden die Girokarte zu bezahlen, um sie weiterhin in das 2FA-Kartenlesegerät zu legen.
Ich will keine Banking App auf meinem Handy.
@scrumschau @Blackbird @sparfindig Thema DKB: Als die damals die alte App eingestellt habe, haben sie auch E-Mails geschrieben, die ich wegen Phishing-Verdachts auch ewig ignoriert habe. Ein Update auf die neue App oder eine Information per Post oder so wäre vermutlich zu einfach gewesen.
Ich raff's nicht, warum die Banken uns gleichzeitig einzutrichtern versuchen, sowas nicht zu trauen, aber dann halt genau das gleiche machen.
@Blackbird @sparfindig
"Es gibt die Firma" und "Ich habe einen laufenden Vertrag mit der Firma und im Brief steht mein Name und die Nummer von meinem Kund*innenkonto" ist KEINE ausreichende Legitimationsprüfung!
Phishing ist inzwischen auf dem Level "Per Briefpost, ohne Rechtschreibfehler, mit korrektem Briefkopf/Logo und Bestandsdaten (Kto-Nr...) laufender Verträge."
Es gibt im Darknet ausreichend Datenreichtum, um derart gezielt zu adressieren.
(Beispiel von realem Phishing)
#phishing
![Scan eines Papierbriefes (Faltmarken im Bild), Briefkopf "ApoBank Bank der Gesundheit / ApoBank eG. Richard-OaskaMatternStraße 6, 40547 Düsseldorf,
"Wichtige Information zu zukünfigten Sicherheitsmaßnahmen / Sehr geehrte Kundin, Sehr geehrte Kunde, im Rahmen unserer Betrugspräventionsmaßnahmen gemäß´der kommenden Paymen Services Directive 3 (PSD3) ist eine Überprüfung Ihres TAN-Geräts und Ihrer persönlichen Daten erforderlich. Damit wird gewährleistet, dass überweisung künftig ausschleßlich über ein gesichertes Gerät (z.B. Mobiltelefon, PC, Tablet) in Kombination mit dem registrierten TAN-Verfahren erfolgen.
[QR-Code mit URL, redacted]
nach der ERstaktivierung Ihres neuen TAN-GErätes können sie weitere Geräte als "gesicherte Geräte" registrieren. ....](https://assets.chaos.social/media_attachments/files/114/119/914/788/401/972/original/c92bb35ab5248a97.png "Scan eines Papierbriefes (Faltmarken im Bild), Briefkopf \"ApoBank Bank der Gesundheit / ApoBank eG. Richard-OaskaMatternStraße 6, 40547 Düsseldorf,
\"Wichtige Information zu zukünfigten Sicherheitsmaßnahmen / Sehr geehrte Kundin, Sehr geehrte Kunde, im Rahmen unserer Betrugspräventionsmaßnahmen gemäß´der kommenden Paymen Services Directive 3 (PSD3) ist eine Überprüfung Ihres TAN-Geräts und Ihrer persönlichen Daten erforderlich. Damit wird gewährleistet, dass überweisung künftig ausschleßlich über ein gesichertes Gerät (z.B. Mobiltelefon, PC, Tablet) in Kombination mit dem registrierten TAN-Verfahren erfolgen.
[QR-Code mit URL, redacted]
nach der ERstaktivierung Ihres neuen TAN-GErätes können sie weitere Geräte als \"gesicherte Geräte\" registrieren. ....")
@adorfer @sparfindig Abgefahren! Ja, denen wäre ich vermutlich auch auf den Leim gegangen... 
@Blackbird @sparfindig SMS ist keine sichere Übertragungsmethode.
@Blackbird @sparfindig mTAN via SMS gilt als unsicher und wurde von den meisten Instituten deshalb schon vor einiger Zeit abgeschaltet.
Andere haben dieses Verfahren nur noch für Bestandskunden in Benutzung.
Ich finde es merkwürdig, dass es tatsächlich noch Anbieter gibt, die die SMS-TAN noch neu aktivieren. Diese Option sollte aus Sicherheitsgründen eigentlich längst Geschichte sein.
#ichbinantifa @Blackbird@freiburg.social @sparfindig@digitalcourage.social
Das ist großartig, weil das System mit der S-ID-APP ist "so sicher", dass sich #qards weigert Dir Dein Geld zurück zu geben, wenn jemand sich an deiner Kreditkarte bedient.
Bei mir hat jemand im Januar die S-ID-App ohne mein Wissen oder Zutun auf seinem Handy installiert und meine Kreditkarte mit 2.250 € belastet. qards ist der Meinung, dass das gar nicht geht (dabei können sie den kriminellen Vorgang genau nachvollziehen, hat mir der Mitarbeiter am Telefon mitgeteilt). Die #Sparkasse ghosted mich seit Wochen und alle meine Beschwerden werden komplett ignoriert. Beschwerde bei der BaFin, bei der Schlichtungsstelle, Inverzugsetzung per Einschreiben, mehrere Besuche in meiner Filiale, zahlreiche Telefonate...
Mein Termin bei der Verbraucherzentrale ist erst am 26.3. Ich bin deswegen mit den Nerven ziemlich am Ende.
Zwei Angriffe gegen SMS-TAN, die ich in dunkler Erinnerung habe:
Die Gauner behaupten über entsprechende Schnittstellen im internationalen Handynetz, ein ausländischer Mobilfunknetzbetreiber zu sein, in dessen Bereich sich das Zielhandy des Opfers angeblich gerade aufhält.
Die Gauner tricksen den Mobilfunkprovider des Opfers aus, ihnen eine Ersatz-SIM-Karte zu schicken.
Details weiß ich aber nicht mehr.
Ach, und drittens: SMS sind zwischen Funkmast und Zielhandy nur miserabel verschlüsselt. Das kann von Leuten in der Nähe abgehört und geknackt werden.
@Blackbird @sparfindig ich habe ne Kreditkarte von der Sparkasse und nach installation der Sparkassen App und der S-Push-Tan App hatte ich keine Lust mehr und nutze die Karte nur im stationären Handel.
Es waren einfach zu viele Apps von zu vielen verschiedenen Anbietern, die ich installieren sollte.
Andere Banken schaffen es mit einer App.
@Blackbird @sparfindig Wäre ja auch zu viel verlangt das nach so vielen Jahren endlich mal in die normale und ganz brauchbare S-pushTAN App zu integrieren anstatt für die Kreditkarte immer noch diese zusätzliche und schlechte App S-ID-Check zu haben, die wirklich unpraktischer ist als mTAN.
@Blackbird @sparfindig kannst du nicht auch den TAN-Generator wie beim normalem Online-Banking nutzen?
@fehlfarbe @sparfindig Nee, das wäre Online-Banking und liefe über die Sparkasse. Hier geht's aber um Online-Shopping und das läuft über den einen Kreditkarten-Finanzdienstleister der Sparkasse. Gaaanz was anderes.
@Blackbird @sparfindig PSD3 ist irgendwie an mir vorübergegangen...