Phishing? TANs? Warum?

Hallo,

gerade hat mir meine Online Bank NETBANK unheimlichen Ärger gemacht und ich hoffe jetzt eine andere Online Bank zu finden, die OHNE TAN und ohne neumodige ITAN oder sonstigen Firlefax auskommt.

Ich habe zwei Online-Zugänge zu meinen englischen Bankkonten, die komischerweise ohne diese Dinge auskommen! Sind Deutsche Sicherheitsfreaks oder gibt es Banken wo es einfacher ist. Zugangsname, Login und eventuelle Sicherheitsfragen sollten doch genügen?

NETBANK war so toll den Zugang aus Sicherheitsgründen zu verkomplizieren ohne die Kunden zu informieren (bzw. die Post habe ich nicht erhalten) und, was noch viel schlimmer ist, online nicht KLAR darauf hinzuweisen, dass man etwas geändert hat.

Da ich nicht mal einloggen kann, weil mein Zugriff gesperrt wurde, konnte ich weder eine dringende Überweisung veranlassen noch sonst etwas. Lapidar sagte man mir, dass ich ein Formular schicken sollte per Fax um die Sperrung aufzuheben. Auf dem Formular kann man ankreuzen, welchen Fehler man gemacht hat! Die Bank hat natürlich keinen gemacht! Weder wurden meine Fragen zu iTAN noch andere Dinge beantwortet, wahrscheinlich weil ich mich nicht ausweisen konnte per Email?! Grrrrr.

Ich frage mich was an einem FAX sicherer sein soll als an einer EMAIL.

Die neuen iTAN wurden eingeführt um sogenanntes Pfishing zu verhindern. Alles im Sinne des Kunden! Mich k***** das Ganze nur an.

Lustigerweise…dachte ich mir…gehste halt zur INGDIBA, die ING gibt es auch in England. Da musste ich lesen, dass die auch die iTAN einführen in Deutschland, aber in England geht alles ohne!

HILFE! Ich brauch ein einfaches deutsches Konto, für einfache Kontoführung. Ich will keine TAN-Nummerzettelwirtschaft, keine iTANs kein Fingerabdruck an der Tastatur. Wer weiss Rat?

Mit freundlichen Grüßen
Eencockniedo

Ich frage mich was an einem FAX sicherer sein soll als an
einer EMAIL.

Also normalerweise hat die Bank deine Unterschrift und damit wird die Unterschrift unter dem FAX verglichen.
Wie soll das bei einer EMAIL gehen?

Hi,

Ich habe zwei Online-Zugänge zu meinen englischen Bankkonten,
die komischerweise ohne diese Dinge auskommen!

Das nenne ich Arbeitserleichterung für dreiste Diebe.

Zugangsname, Login und eventuelle Sicherheitsfragen sollten
doch genügen?

Nein, reichen eigentlich nicht so richtig.

http://www.tecchannel.de/news/themen/sicherheit/4325…

HILFE! Ich brauch ein einfaches deutsches Konto, für einfache
Kontoführung. Ich will keine TAN-Nummerzettelwirtschaft,
keine iTANs kein Fingerabdruck an der Tastatur. Wer weiss
Rat?

„Socke und Kopfkissen“. Jederzeit, selbst in der Nacht, ist dein Geld verfügbar, der Zugang wird nicht durch komplizierte Mechanismen erschwert. Kurzum, es sollte ideal für dich sein.

mfg Ulrich

Also normalerweise hat die Bank deine Unterschrift und damit
wird die Unterschrift unter dem FAX verglichen.
Wie soll das bei einer EMAIL gehen?

Und die Mitarbeiter die das vergleichen haben mit sicherheit eine Grafologische (schreibt man das so?) Ausbildung genossen.
Meine Unterschriften sehen alle unterschiedlich aus. Das kann dann vielleicht jemand vergleichen, der besondere Charakterzüge bei den Zeichen vergleicht zusammen bringen. Das ist ähnlich Sinnvoll wie das Unterschreiben beim bezahlen mit der EC oder Kreditkarte.
Beim Onlinebanking wäre es wohl schon Sinnvoll die Länge der Passwörter mal zu erhöhen.

Gruß,
Boris

Hallo,

Zugangsname, Login und eventuelle Sicherheitsfragen sollten
doch genügen?

Nein, reichen eigentlich nicht so richtig.

UNSINN

http://www.tecchannel.de/news/themen/sicherheit/4325…

Da steht ganz klar in Deinem Beweis, dass noch kein Kunde zu Schaden gekommen ist, wenn mal tatsächlich irgendwelche Hacker das Konto leergeräumt haben. Die Technik schützt also eher die Bank, aber besser noch…die IT-Leute verdienen sich ein goldenes Näschen damit.

Würde gerne mal eine Kostenaufstellung sehen… Schaden durch Phishing…Kosten für TAN und ähnlichen Unsinn.

HILFE! Ich brauch ein einfaches deutsches Konto, für einfache
Kontoführung. Ich will keine TAN-Nummerzettelwirtschaft,
keine iTANs kein Fingerabdruck an der Tastatur. Wer weiss
Rat?

„Socke und Kopfkissen“. Jederzeit, selbst in der Nacht, ist
dein Geld verfügbar, der Zugang wird nicht durch komplizierte
Mechanismen erschwert. Kurzum, es sollte ideal für dich sein.

Bla bla bla

ofG

Eencockniedo

Boris hat ja schon gut geantwortet. Ich kann noch eine Sache hinzufügen. Technisch ist es leicht möglich zu erkennen, wo die Email herkommt (es sei denn der findige Dieb hat sich da auch was ausgedacht). Ausserdem sollte vom Inhalt KLAR erkennbar sein, dass es sich nicht um einen Versuch handelt das Konto leerzuräumen.

Für mich ist das nur mieser Kundenservice, der vorgibt im meinem Sinne tätig zu werden.

Eencockniedo

[Bei dieser Antwort wurde das Vollzitat nachträglich automatisiert entfernt]

Hi,

Da steht ganz klar in Deinem Beweis, dass noch kein Kunde zu
Schaden gekommen ist, wenn mal tatsächlich irgendwelche Hacker
das Konto leergeräumt haben.

Das Geld ist weg, wer bezahlt letztlich die Zeche? Alle Kunden. Einen Schutz vor einem unberechtigtem Zugriff auf das Konto halte ich für durchaus sinnvoll.

mfg Ulrich

Hallo,

Das Geld ist weg, wer bezahlt letztlich die Zeche? Alle
Kunden. Einen Schutz vor einem unberechtigtem Zugriff auf das
Konto halte ich für durchaus sinnvoll.

Dem stimme ich ja durchaus zu! Und ich bin sogar Feuer und Flamme für eine Massnahme die erwiesener Massen messbare Vorteile bringt (höhere Guthabenzinsen?). Nur darf ich wohl hinterfragen, warum in Deutschland die Banken TAN etc. benutzen und in anderen Ländern nicht.

Kosten-Nutzen? Nutzerfreundlichkeit?

Dass die fehlende Kommunikation diesbezüglich der Auslöser für meine derzeitige Aufregung ist, sollte ich nochmal hervorheben. Wenn letztendlich alle deutschen Online-Banken das so machen, muss ich das wohl so akzeptieren. Muss ja auch akzeptieren dass England immer noch Pfund benutzt, obwohl der Sinn dieser Massnahme sich mir auch völlig entzieht!

Eencockniedo

Ich kann noch eine Sache

hinzufügen. Technisch ist es leicht möglich zu erkennen, wo
die Email herkommt (es sei denn der findige Dieb hat sich da
auch was ausgedacht). Ausserdem sollte vom Inhalt KLAR
erkennbar sein, dass es sich nicht um einen Versuch handelt
das Konto leerzuräumen.

Bitte kläre mich über die beiden Punkte deiner Aussage auf.

Kein Problem, auch wenn ich es nur laienhaft erklären kann.

Technisch ist es leicht möglich zu erkennen, wo

die Email herkommt (es sei denn der findige Dieb hat sich da
auch was ausgedacht).

Dies bezieht sich darauf, dass erstens meine Emailaddresse meinem Konto zugeordnet werden kann UND festgestellt werden kann von welchem Ort meine Email geschickt wurde (IP Adresse). Deswegen kann ich auch dauernd Werbung im Internet speziell für meinen kleinen Ort lesen, da jeder erkennen kann, wo ich mich aufhalte.

Ausserdem sollte vom Inhalt KLAR

erkennbar sein, dass es sich nicht um einen Versuch handelt
das Konto leerzuräumen.

Nun. Bei Kreditkartenunternehmen gibt es auch keine TANs etc. Da reicht im Ausland z.B. immer noch einfach eine Unterschrift!
Diese erkennen aber schnell wenn eine Zahlung „ungewöhnlich“ erscheint (komisches Land, komischer Artikel…etc…) und fragen nach bzw. stoppen eine Transaktion bevor es zu spät ist.

Wenn ich mich hinsetze und eine Email schreibe und ausführlich darstelle für was das Geld verwendet wird und das plausibel erscheint etc etc… und die Höhe der Überweisung im Vergleich zum Guthaben relativ wenig ist, dann sollte es doch schon „klick“ machen dürfen.

Bitte kläre mich über die beiden Punkte deiner Aussage auf.

Damit getan.

Dies bezieht sich darauf, dass erstens meine Emailaddresse
meinem Konto zugeordnet werden kann UND festgestellt werden
kann von welchem Ort meine Email geschickt wurde (IP Adresse).

Ist leider zu leicht verfälschbar und im normalen Betrieb zu schwer nachprüfbar. Gerade Emails sind nicht immer leicht nachzuverfolgen.

Wenn ich mich hinsetze und eine Email schreibe und ausführlich
darstelle für was das Geld verwendet wird und das plausibel
erscheint etc etc… und die Höhe der Überweisung im Vergleich
zum Guthaben relativ wenig ist, dann sollte es doch schon
„klick“ machen dürfen.

Ja, ich verspreche dir, ich könnte eine Email die mit folgender angezeigter Adresse [email protected] verschickt wird, mit einem sehr überzeugenden Text schreiben, dass dieser Betrag auf Konto X überwiesen werden sollte.

Nochmals zurück zum Thema Unterschriften:

Bei mir ist die Bank sehr heikel mit unterzeichneten Dokumenten und hat deswegen schon desöftern nachgefragt.

Hallo auch.

Dies bezieht sich darauf, dass erstens meine Emailaddresse
meinem Konto zugeordnet werden kann UND festgestellt werden
kann von welchem Ort meine Email geschickt wurde (IP Adresse).
Deswegen kann ich auch dauernd Werbung im Internet speziell
für meinen kleinen Ort lesen, da jeder erkennen kann, wo ich
mich aufhalte.

Bei einer E-Mail wird nicht die IP-Adresse des Senders übertragen. Welchen Sinn sollte das bei dynamischen IP Adressen auch haben?
Siehe http://de.wikipedia.org/wiki/Header_%28E-Mail%29
Die IP trifft auch keine Aussage, wo du dich aufhältst. Wenn ich im Büro surfe, wollen mich immer Frauen aus Stuttgart treffen, weil sie scharfe Kerle in der Nachbarschaft suchen (350 KM)

Nun. Bei Kreditkartenunternehmen gibt es auch keine TANs etc.
Da reicht im Ausland z.B. immer noch einfach eine
Unterschrift!
Diese erkennen aber schnell wenn eine Zahlung „ungewöhnlich“
erscheint (komisches Land, komischer Artikel…etc…) und
fragen nach bzw. stoppen eine Transaktion bevor es zu spät
ist.

??? Sitzt da jemand bei der Kreditkartengesellschaft und prüft Komische Transaktionen ??? Wo kann man sich bewerben, den Job will ich haben!
Ich hätte jetzt gesagt, das der Kreditkartenbenutzer seine Abrechnung prüfen müsste.

Wenn ich mich hinsetze und eine Email schreibe und ausführlich
darstelle für was das Geld verwendet wird und das plausibel
erscheint etc etc… und die Höhe der Überweisung im Vergleich
zum Guthaben relativ wenig ist, dann sollte es doch schon
„klick“ machen dürfen.

Hmpf. Ich soll also die Bank per E-Mail informieren, was ich mit meinem Geld vorhabe? Und dann soll jemand bei der Bank entscheiden, ob ich mein Geld für diese Zwecke ausgeben darf?

Eine E-Mail, die nicht digital signiert wurde, kann entweder nicht vom Absender stammen oder auf dem Weg zum Empfänger verfälscht werden. Ist demnach eine denkbar schlechte Möglichkeit mit meiner Bamk zu kommunizieren.

Grüße
Joshua

Hallo,

Diese erkennen aber schnell wenn eine Zahlung „ungewöhnlich“
erscheint (komisches Land, komischer Artikel…etc…) und
fragen nach bzw. stoppen eine Transaktion bevor es zu spät
ist.

??? Sitzt da jemand bei der Kreditkartengesellschaft und prüft
Komische Transaktionen ???

es gibt in der Tat Kreditkartenanbieter, die eine Software im Hintergrund mitlaufen lassen und die eine Karte sperrt, wenn ein deutliche deutliche Änderung des Nutzungsverhaltens auftritt.

Es gab vor etlichen Jahren mal einen netten Artikel in der Süddeutschen Zeitung, in dem ein Redakteur seine erste Begegnung mit dieser Software beschrieb. Während er die Karte sonst sporadisch für kleine Beträge im Inland verwandt hatte, bezahlte er einmal für seine Tochter in den USA die Semestergebühren (gerne mal ein fünfsttelliger Betrag) und scheiterte dann grandios mit der Begleichung seiner Hotelrechnung in New York (auf dem Weg, seine Tochter zu besuchen).

Gruß,
Christian

Hallo,

Nun. Bei Kreditkartenunternehmen gibt es auch keine TANs etc.
Da reicht im Ausland z.B. immer noch einfach eine
Unterschrift!
Diese erkennen aber schnell wenn eine Zahlung „ungewöhnlich“
erscheint (komisches Land, komischer Artikel…etc…) und
fragen nach bzw. stoppen eine Transaktion bevor es zu spät
ist.

??? Sitzt da jemand bei der Kreditkartengesellschaft und prüft
Komische Transaktionen ??? Wo kann man sich bewerben, den Job
will ich haben!
Ich hätte jetzt gesagt, das der Kreditkartenbenutzer seine
Abrechnung prüfen müsste.

Das wäre aber ziemlich teuer für die Kreditkartenfirma wenn erst nach 3 Monaten der Betrug auffällt.

Meine Bank hat schon mehrere Mal angefragt, ob eine Transaktion auch wirklich in Ordnung ist. Sie behält es sich auch vor Transaktionen gar nicht erst zuzulassen, wenn es ihr komisch vorkommt. Also bei Reisen in Dritte Welt Länder informiere ich sie daher vorher. Ein super Service. Aber sowas kann man ja von einer deutschen Bank nicht erwarten! Komischerweise macht die englische Bank auch mehr Profit. Ist schon eine komische Welt.

Wenn ich mich hinsetze und eine Email schreibe und ausführlich
darstelle für was das Geld verwendet wird und das plausibel
erscheint etc etc… und die Höhe der Überweisung im Vergleich
zum Guthaben relativ wenig ist, dann sollte es doch schon
„klick“ machen dürfen.

Hmpf. Ich soll also die Bank per E-Mail informieren, was ich
mit meinem Geld vorhabe? Und dann soll jemand bei der Bank
entscheiden, ob ich mein Geld für diese Zwecke ausgeben darf?

Eine E-Mail, die nicht digital signiert wurde, kann entweder
nicht vom Absender stammen oder auf dem Weg zum Empfänger
verfälscht werden. Ist demnach eine denkbar schlechte
Möglichkeit mit meiner Bamk zu kommunizieren.

Du bist Du, ich bin ich. Ich will einen einfachen sicheren Online-Dienst. Wenn der Bank dazu nur TAN, iTan, Fingerabdrücke etc einfällt, dann sollte man vielleicht online ganz sein lassen. Ich bin schneller mal in die Filiale gelaufen, als meine TAN aus meinem Hochsicherheitstresor herausgehalt zu haben. Vorher muss ich noch die Laser ausschalten und die Schutzmannschaft nach Hause schicken. Übelst aufwendig.

Eencockniedo

Danke für die Info.

Es vergeht doch kein Tag, an dem man nichts hinzulernen kann.

Grüße
Joshua

Hi,

es gibt viele Nachteile in diesem Land - das TAN Verfahren ist eines der großen Vorteile!
Ich weiss nicht wie man auf die Idee kommen kann, die eigene Sicherheit reduzieren zu wollen.
Soll ich dir mal zeigen, wie ich dein Zugangspasswort trotz SSL-Verschlüsselung im Klartext durch den Raum schreien kann?
Es wäre eine Katastrophe auf TANs oder gleichwertige Systeme zu verzichten, dann könnte ich hier tatsächlich eine Anleitung schreiben, wie denn nun dein Konto leerzuräumen wäre.
Also, auch wenn es sich deiner Kenntnis entzieht, glaub mir, es ist viel besser für uns alle, dass es diese TANs gibt.
Die großen Kosten macht das übrigens nicht aus bei der Bank, vor allem gibt es fertige Systeme, die nicht immer neu erfunden werden müssen.