Risiko Banking Apps

Hallo zusammen,
ich frage mich warum heutzutage sowas wie Erpressungen, Geiselnahme etc. gibt - viel einfacher ist doch eine Person auszuspähen (ob die genug hat und bei einer Bank ist, wo Bankings Apps zwingend notwendig sind) und dann irgendwo wo die Person alleine ist auf den Kopf hauen und mit dem Fingerabdruck auf die BankingApp einlogen und ganzes Geld abziehen.
Bzw. mit zwei Personen festhalten und unter Androhung von Gewalt mit Messer soll die Person über Banking App ganzes Geld auf bestimmtes Konto überweisen. Wenn da noch ein Depot befindet, welches 6 oder 7Stellig ist, haben die Kriminelle gewonnen, da man innerhalb von paar Minuten alles verkaufen kann.

Diese Banking Apps bieten keine 2FA und ich verstehe nicht warum sowas zugelassen ist. Ich möchte mein ganzen Vermögen nicht mit mir rumtragen, aber immer mehr Banken haben nur noch diese Möglichkeit (z.b. ING, DKB)
Man kann so innerhalb von 5 Minuten sein ganzes Vermögen verlieren, alle andere kriminelle Fälle erfordern um einiges mehr Risiko und/oder Zeit für Betrüger.
Was sagt ihr dazu?

Das Geld ist trotzdem erst zwei Tage später auf dem Konto. Außerdem gibt es Obergrenzen für Einzelüberweisungen, die entweder voreingestellt sind oder die man selber aktivieren muss (eigentlich ersteres, aber man kann a) nichts ausschließen und die b) meist auch ausschalten).

„2FA“ ist seit 1.1.2021 vorgeschrieben.

Tatsächlich hält sich die Zahl der Entführungen mit Bereicherungsabsicht sehr in Grenzen und es ist nicht erkennbar, dass sich die Herrschaften, die in diesem Segment aktiv waren, sich nun auf das von Dir beschriebene Geschäftsmodell verlagern oder gar neue Marktteilnehmer diesen Weg beschreiten würden.

Tatsächlich ist es wohl lukrativer, Phishing-Mails zu verschicken, Geldautomaten zu manipulieren oder über soziale Netzwerke Beziehungen mit dem Ziel aufzubauen, den- oder diejenige abzuzocken.

Gruß
C.

Ich arbeite mit dem ING Photo-TAN Generator (kostet halt ein wenig extra):

https://www.ing.de/hilfe/auftraege-freigeben/phototan/

Bei der Apobank moniere ich dagegen auch, dass Kriminelle in Kenntnis von PIN und Vr-Netkey praktisch bereits schon Zugriff aufs Konto haben bei Nutzung der App. Es muss neuerdings nichts mehr abgescannt werden und man sieht leider erst im letzten Moment, um welche Transaktion genau es sich handelt.

Es ist zwar zwei Tage später auf dem Konto (in Zukunft wird es wahrscheinlich schneller gehen, siehe China und USA), aber man kann das Geld durch Kreditzinsen bei den meisten Brokern trotzdem sofort überweisen.
Obergrenzen für Einzelüberweisungen kann man leicht nach oben ändern wenn man in der App drin ist, verstehe deswegen nicht den Sinn ganz.

Warum gilt es dann nicht für ING und DKB Banking App ?

Ja, zumindest öffentlich ist nichts davon zu hören. Wie ich aber sagte, ist viel einfacher als irgendwelche Erpressungen und Entführungen. Hat sich bei Kriminellen wohl noch nicht so rumgesprochen …

Nun, früher hießen die beiden Faktoren mal „wissen der Logindaten“ und „Besitz der TAN-Liste“ Das hatte in deinem Szenario den Vorteil, dass die Leute selten ihre TAN-Liste dabei hatten. Man müsste sie schon zu Hause überfallen und erpressen.

Zwischendrin wurde auf SMS-TAN und dann auf handy-TAN umgestellt. OK, du kannst die Leute jetzt direkt auf der Straße erpressen, musst sie nur entführen und vor einen Computer setzen.

Heute ist auch das Banking selbs auf dem Handy. Du musst die Leute nicht mehr entführen und vor einen Computer setzen.

2FA haben wir schon sehr lang, sicher ist das Erpressungsszenario so oder so nicht. Es soll ja auch davor schützen, dass jemand versucht, in deinem Namen Dinge zu tun.

Wiki: Die Zwei-Faktor-Authentisierung ( 2FA ), häufig auch Zwei-Faktor-Authentifizierung genannt, bezeichnet den Identitätsnachweis eines Nutzers mittels einer Kombination zweier unterschiedlicher und insbesondere voneinander unabhängiger Komponenten

Wenn alles über Smartphone geht, sind es nicht zwei unterschiedliche voneinander unabhängige Komponente.

Zwei Faktor heißt zwei der drei Faktoren Besitz, Wissen und Biometrie und so ist die Vorgabe dann mit Besitz (Handy) und Biometrie (Fingerabdruck) bzw. Wissen (PIN) erfüllt.

Ich persönlich halte das durchaus für einen Designfehler. Aber die Leute wollen es halt bequem. Und es gibt Alternativen…

Ich bin heute 10 km Radgefahren und hatte mein Handy nicht dabei, sehr wohl aber meine Fingerabdrücke. Diese beiden Merkmale scheinen also durchaus voneinander unabhängig zu sein.

Die Idee der 2FA ist, dass es nicht reicht,

• ein Handy zu finden oder
• eine PIN zu kennen oder
• einen Fingerabdruck oder einen Retinascan zur Hand zu haben,

um Schindluder zu treiben, sondern es müssen eben mindestens zwei Faktoren verfügbar sein.

Natürlich ist es möglich, ein Handy zu finden und sich ein weiteres Merkmal über ausgefuchste Hackeraktivitäten oder irgendwelche Gadgets zu verschaffen, über die Ethan Hunt oder James Bond verfügen, aber die totale Sicherheit ist nun einmal nicht der Ansatz derartiger Apps und sie kann es auch gar nicht sein.

Wie Fips schon schreibt:

Die TAN-Liste wurde für unsicher befunden und deswegen abgeschafft und durch andere Verfahren ersetzt, die z.T. viel leichter und vor allem viel leichter ohne vorherige Aktivität des Kriminellen in falsche Hände geraten können als eine zu Hause in einer Schublade verwahrte TAN-Liste - SMS-TAN zum Beispiel.

Mobiltelefone werden häufig irgendwo liegen oder zumindest mal aus den Augen gelassen und bei vielen sind auch Nachrichten ohne Entsperrung des Bildschirms zu lesen. SMS-TAN ist also wesentlich unsicherer, wenn man von der Prämisse ausgeht, dass ein Übeltäter über Benutzernamen und Kennwort verfügt (was bei der alten TAN-Liste auch notwendig war).

Hinzu kommt, dass die EU mit der PSD (Payment Services Directive) m.E. einen Fehler begangen hat. Eigentlich von der hehren Idee getrieben, dass auch Nichtbanken den Kreditinstituten Konkurrenz machen können sollen, hat das letztlich dazu geführt, dass man für nahezu jeden Furz im online-Banking eine Freigabe am Handy erteilen muss: Ansicht älterer Kontoumsätze, Zugriff auf das Postfach, Änderung eines Dauerauftrages.

Die ständigen Aufforderungen, irgendetwas freizugeben, haben m.E. zu einer Herabsetzung der Aufmerksamkeit der Benutzer geführt. Dadurch steigt die Wahrscheinlichkeit, dass der Benutzer irgendetwas freigibt, das dann vielleicht doch keine Lappalie war.

Einen „normalen“ Betrug nach den geschilderten/bekannten Mustern halte ich jedenfalls für weitaus wahrscheinlicher, als dass hier auf einmal Banden umherziehen und die Leute zwingen, Überweisungen zu tätigen.

Übrigens hast Du noch eines nicht bedacht: eine Überweisung wird auf ein Konto getätigt, das einer Person zugeordnet ist. Es mag wohl sein, dass sich bspw. die baltischen Sicherheitsbehörden lange Zeit nicht für ein paar tausend via Phishing abgeräumte Euro nicht besonders interessierten, aber erstens hat sich auch das geändert und zweitens ist ja eine schwere Straftat noch ein ganz anderes Kaliber.

Natürlich ist es auch theoretisch möglich, Geld in Länder zu überweisen, in denen die Sicherheitsbehörden auf allen Augen blind sind, aber z.B. bei Überweisungen in nicht kooperative Länder im Hinblick auf Geldwäsche & Co. greifen dann im Zweifel die Sicherheitsmechanismen der Kreditinstitute.

Wer aber wirklich absolut sichergehen will, muss sich andere Lösungen suchen als ausgerechnet seine Bankgeschäfte über ein mobiles und digitales Endgerät (das zumindest potentiell ausgespäht, entwendet oder kompromittiert werden kann) zu erledigen.

Meine Rede.

Hallo,

bei der 2FA sollte man nicht - wie es der UP wohl offensichtlich macht - den technischen Zugangsweg über Endgeräte verwechseln mit dem eigentlichen Vorgang der Authentifizierung.

Eine 2FA kann durchaus quasi nacheinander über denselben technischen Zugang (Handy, Laptop) erfolgen.

&tschüß
Wolfgang

Statistisch wahrscheinlich wahrscheinlicher, aber da kann man was dafür, da man da was falsch gemacht hat (nicht gut genug aufgepasst). In meinem Fall, kann man noch so aufpassen wie man will, wenn man bei DKB als Kunde ist, hat man keine andere Wahl als diese App zu haben.
Und meine geschilderten Fälle lassen sich vermeiden, wenn man nicht nur alles über 1 Gerät machen lässt.

Wie ich im Eingangspost geschildert habe, geht es nicht dass man zufällig (von irgendwelchem Nachbar) so ausgeraubt wird, sondern es würden im Vorfeld Vorarbeiten geleistet, eben professionelle Kriminielle.
Und Sicherheitsmechanismen bei Überweisungen in manchen Ländern ist ein Witz, warum gibt es diese ganze Phishing Mails, weil es so wohl funktioniert und dort keine Sicherheitsmechanismen greifen. Meistens ist so was man überweist ist es weg, und wenn es noch Ausland ist, ist es noch schwierieger was zu machen
Vor kurzem wurde meine Freundin knapp 1000 Euro durch ihre Kreditkarte los, ok da hat sie einiges falsch gemacht, aber auch hier haben keine Sicherheitsmechanismen zugegriffen. Beschwerde bei der Bank und Anzeige bei Polizei haben natürlich das Geld nicht zurück gebracht.

Das ist jetzt ein bisschen so als würde man über die Wirksamkeit von Fahrerassistenzsystemen in modernen Autos sprechen und dann kommt einer und sagt, dass das Nachbarhaus trotz Versicherung und Feuerlöscher im Haus abgebrannt ist, nachdem der Nachbar im Keller ein Fass Benzin angezündet hat.

Wenn jemand ihre DKB App mit Zugangsdaten hätte, wäre noch mehr Geld weg - das wollte ich sagen. Keine Sicherheitsmechanismen, keine Verfolgung weil man es einer Person eben nicht mehr zuordnen kann, wenn das Geld im Ausland ist und sofort auf weitere Konten transferiert wird.

Ich möchte hier mal etwas ganz Anderes darstellen:

Wenn Jemand einen zwingt, kann er auch einen Überweisungsvordruck unterschreiben lassen
und mit Drohung dafür sorgen, das dieser Auftrag auch ausgeführt wird.
Wie bereits in Beiträgen genannt, geht das Geld auf ein Konto und die Kreditwirschaft wird
dafür sorgen, das Betrügereien immer seltener werden, wobei das Problem der Menschen ist, dass
zwar immer Alles günstiger und schneller haben wollen, aber dabei vergessen sich auch mit
den Konsequenzen auseinander zu setzen.
Viele Schäden im Onlinebanking entstehen dadurch, das die Benuzter TAN erzeugen und weitergeben.
Es gibt keine absolute Sicherheit, ich kann mir auch ein Zweithandy für zu Hause kaufen, das
sollte bei den genannten Vermögenswerten kein Problem sein.