ComputerBase Menü
Aktuelles

Sicherheitslücke Sparkasse - Evaluierung

  • Ersteller Ersteller JX666
  • Erstellt am Erstellt am
J

JX666

Gast
Hallo CB-Community,

zufällig habe ich folgendes Video gesehen: Wiso - Sicherheitslücke bei der Sparkasse

ich habe mich dann tatsächlich gefragt, wie genau der Betrug funktioniert. Im Prinzip ist es doch nichts anderes als Phishing, oder?
Selbst mit der SMS und dem Link passiert doch erstmal nichts, da die PushTan App mit einem Passwort gesichert ist. Der Kritikpunkt, dass beim Login ins Online Banking der Sparkasse nur ein Passwort benötigt wird, halte ich für absolut berechtigt. Sinnvoller wäre es, wenn dort auch ein 2FA abgefragt wird, zumal im Online Banking sensible Informationen hinterlegt.
Ich würde denken, dass der betrogene Mensch doch selbst die Zahlungen in der PushTan App freigegeben hat, und somit kann ich die Argumentation der Sparkassen auch nachvollziehen. Bei einem Chip-Tan Verfahren würde das, soweit ich es beurteilen kann, nicht passieren.
Ohne Menschen diskreditieren zu wollen, glaube ich schon, dass die gezeigte Person im Video grundlegende IT-Sicherheitsmaßnahmen/Konzepte nicht ergriffen hat z.B. Passwort-Manager. Wie seht ihr das? Habt ihr schon Erfahrungen mit Sparkassen Phishing gemacht?

Viele Grüße
 
  • Gefällt mir
Reaktionen: frankyboy1967
Habe den Bericht gerade mal angesehen. Das man sich die Daten nur mit Nutzer/Passwort ansehen kann ist bei meiner Sparkasse auch immer noch so. Sollte echt nicht so sein.

(edit: ab Mitte Juli ist ein Login nur noch von einer Liste mit vertrauenswürdigen Geräten möglich oder es wird die TAN angefordert - gerade als Pop up beim Login bekommen)

Aber eine Änderung oder Transfer ist trotzdem nur über eines der TAN Verfahren möglich. Da hat sich diese Kundin aus dem Bericht komplett verarschen lassen.
 
Zuletzt bearbeitet:
versteh eh nicht warum sie immer noch auf das 5 stellige pw bestehen, das man das ned ändern kann den pin. aber im gegenzug von uns verlangen das os aktuell zu halten, virensanner und co.
 
  • Gefällt mir
Reaktionen: Baya
cvzone schrieb:
Habe den Bericht gerade mal angesehen. Das man sich die Daten nur mit Nutzer/Passwort ansehen kann ist bei meiner Sparkasse auch immer noch so. Sollte echt nicht so sein.
Zum Vergrößern anklicken....
Da werden viele Kunden schreien, im Regelfall schauen die Kunden sich den Kontostand schnell beim kacken an. Und danach an der Haltestelle, und danach beim ersten Kaffee bei der Arbeit, usw.
 
Bei ausführlicher Mithilfe des Opfers helfen allerdings keine technischen Maßnahmen. Sie war ja offenbar von Anfang an überzeugt davon, dass sie mit einem Sparkassenmitarbeiter spricht. Aber es ist natürlich fahrlässig, dass die Telefonnummer schon über den normalen Login einsehbar ist.

Hab nur drüber gescrollt über das Video, frage mich, wie die Angreifer ursprünglich an die Login-Daten gekommen sind, bzw. an die Telefonnummer.
 
  • Gefällt mir
Reaktionen: unlock
foofoobar schrieb:
Da werden viele Kunden schreien
Zum Vergrößern anklicken....
Wenn ich das richtig verstehe, dann kann man zukünftig einmalig mit TAN das Handy oder PC auf die Liste der sicheren Geräte nehmen und kann dann auch weiterhin ohne TAN sich einloggen.
 
Und wie erkennt man sicher das "sichere" Gerät?
Das riecht ziemlich stark nach snakeoil.
 
  • Gefällt mir
Reaktionen: frankyboy1967 und LukS
Auf der einen Seite ist mir auch schon aufgefallen, dass die Sparkassen in Sachen Sicherheit weit hinterher hinkt. Auf der anderen Seite fehlt mir im Video, wie es zu den fast 5000€ gekommen ist - das muss doch trotzdem noch mit TAN Verfahren bestätigt werden? Spätestens da hätte es im Hirn klingeln müssen, dass das Betrüger sind.

Ich habe mich grade bei der Sparkasse Leverkusen eingeloggt... direkt nach Login kommt eine Frage zur Bestätigung meiner Account-Daten, mit Anschrift, Telefonnr. und Namen.
Erst danach bemüht sich die Website irgendwann mit TAN-Verfahren zu bestätigen, dass der Web-Zugriff auch rechtens ist. Ich habe erstmal den Support angeschrieben, weil das ist eindeutig die falsche Reihenfolge.
 
  • Gefällt mir
Reaktionen: LukS, Autokiller677 und User007
JX666 schrieb:
Im Prinzip ist es doch nichts anderes als Phishing, oder?
Zum Vergrößern anklicken....
ja
JX666 schrieb:
Der Kritikpunkt, dass beim Login ins Online Banking der Sparkasse nur ein Passwort benötigt wird, halte ich für absolut berechtigt. Sinnvoller wäre es, wenn dort auch ein 2FA abgefragt wird, zumal im Online Banking sensible Informationen hinterlegt.
Zum Vergrößern anklicken....
ja
JX666 schrieb:
Ich würde denken, dass der betrogene Mensch doch selbst die Zahlungen in der PushTan App freigegeben hat, und somit kann ich die Argumentation der Sparkassen auch nachvollziehen.
Zum Vergrößern anklicken....
ja. Ich bin da auch der Meinung dass beide Seiten schuld haben. Die Bank hats nicht sicher gestaltet, und der Kunde war dumm und gibt Daten raus und vertrau irgendwelchen SMS.
JX666 schrieb:
Ohne Menschen diskreditieren zu wollen, glaube ich schon, dass die gezeigte Person im Video grundlegende IT-Sicherheitsmaßnahmen/Konzepte nicht ergriffen hat z.B. Passwort-Manager.
Zum Vergrößern anklicken....
Verwandte arbeiten seit 40 Jahren bei der Bank, auch am Schalter. Leider gibt es zu viele Menschen die eigentlich kein online-Banking aufgrund zu niedrigem technischen Verständnis machen sollten.
Ähnliches Thema: siehe Polizei-Betrug/enkel-Trick: Da ruft jemand an, gibt sich als Bulle aus, und die leuten lassen einfach Kohle rüberwachsen.
JX666 schrieb:
Bei einem Chip-Tan Verfahren würde das, soweit ich es beurteilen kann, nicht passieren.
Zum Vergrößern anklicken....
Mag sein, aber das Problem beim Phishing ist ja das "Bio-Hacking". Wenn also der Kunde dem Dieb hilft, kann da kein noch so geiles System helfen.
 
  • Gefällt mir
Reaktionen: User007 und Rickmer
Das passt doch vorne und hinten nicht zusammen. Die Betrüger hatten doch schon die Zugangsdaten des Opfers und waren in dem Account eingeloggt. Also - wie sind die an die Daten gekommen? Das ist doch die Frage.

Und wenn sich jemand in das Konto der WISO-Leute einloggt - auch da braucht der deren Zugangsdaten.

Ich bin auch bei der Sparkasse. Überweisungen muss ich mit der Sparkassen-App auf dem Handy freigeben, der Zugang zu dieser Software ist genauso wie der Zugang zur Sparkassen-App biometrisch gesichert.

Das Opfer muss also - das geht gar nicht anders - die Zugangsdaten irgendwem mitgeteilt haben. Und wenn man das macht, ja, das ist schon fahrlässig. Auch wenn es über eine Man-in-the-Middle-Attacke auf dem Handy passiert.
 
foofoobar schrieb:
Und wie erkennt man sicher das "sichere" Gerät?
Zum Vergrößern anklicken....
Laut Sparkasse wohl über Cookies. Also auch nicht gerade die sicherste Lösung.

Man könnte natürlich auch ganz auf eine Freigabe sicherer Geräte verzichten und immer mit TAN einloggen. Da ich QR chipTAN verwende und das Lesegerät nur zuhause habe, würde das von Unterwegs natürlich nicht mehr gehen.

https://www.sparkasse-osterode.de/de/home/aktionen/geraeteerkennung.html?n=true&mdi=cobra_ak_geraeteerkennung|default|online-und-mobileBanking&ety=mditext
 
Und so ganz nebenbei: Der beste Schutz beim Online-Banking nutzt nichts gegen den alten Überweisungstrick, der in der letzten Zeit wieder aufkommt. Einfach eine Überweisung in den Briefkasten der Sparkasse werfen. Kein PIN, keine TAN, kein Kennwort, keine Biometrie. Und als Sahnehäubchen: Die Banken sind nicht verpflichtet, die Echtheit der Unterschrift zu prüfen.
 
  • Gefällt mir
Reaktionen: Rickmer
cvzone schrieb:
Laut Sparkasse wohl über Cookies. Also auch nicht gerade die sicherste Lösung.
Zum Vergrößern anklicken....
Den Cookie übernehmen ist durchaus möglich, das ist z.B. für youtube ein Problem:

YouTube

An dieser Stelle steht ein externer Inhalt von YouTube, der den Forumbeitrag ergänzt. Er kann mit einem Klick geladen und auch wieder ausgeblendet werden.

Ich bin damit einverstanden, dass YouTube-Embeds geladen werden. Dabei können personen­bezogene Daten an YouTube übermittelt werden. Mehr dazu in der Datenschutzerklärung.


yxcvb schrieb:
Einfach eine Überweisung in den Briefkasten der Sparkasse werfen.
Zum Vergrößern anklicken....
Ich weiß, wo ich online-Banking deaktivieren kann. Wo kann ich den Briefkasten deaktivieren?
 
Was ich mir da wünschen würde: Authentifizierung über die Chipkarte der Bank als zweiten Faktor.
Aber wie kann die Karte einfach und preiswert am PC eingelesen werden?
Per NFC übers Smartphone? (Geht beim e-Perso schliesslich auch.)

Um es mit einem Satz auszudrücken:
Es besteht ein massives Authentifizierungsdefizit bei Geschäften übers Telefon und Online, überall wo eine gegenseitige Authentifizierung der Personen erforderlich wäre.
 
Zuletzt bearbeitet:
WinnieW2 schrieb:
Was ich mir da wünschen würde: Authentifizierung über die Chipkarte der Bank als zweiten Faktor.
Aber wie kann die Karte einfach und preiswert am PC eingelesen werden?
Zum Vergrößern anklicken....
HBCI (herstellerübergreifendes Banking-Protokoll inkl. Support für Smartcards, Smartcardreader dafür kosten ein paar wenige Euro) gibt's seit Ewigkeiten, hat aber nie große Verbreitung gefunden und wurde durch PSD2 effektiv abgeschafft, weil sich die FinTechs bei der Politik gegen Sicherheit und Menschenverstand durchgesetzt haben. "Dieser ganze Sicherheitskrams steht der geilen Kontoübersichts-App, die die fünf Studis meines hippen Startups gerade geschrieben haben, nur im Weg!!1!"
Siehe dazu u.a. auch diverse Talks beim C3.
 
Da wir beim Thema Sparkasse sind, und bei dieser Bank gilt generell:
HBCI, was in FinTS umbenannt wurde gibt es bei der Sparkasse nur noch für Geschäftskunden,
Privatkunden haben nur die Wahl zwischen chipTAN und pushTAN als zweiten Faktor beim Online-Banking.
 
Wobei anzumerken ist, dass HBCI ein Protokoll und der Auth-Kram nur ein Teil davon ist. Eine HBCI-fähige Bank kann von einer beliebigen HBCI-fähigen Software interagieren. Sozusagen SMTP für Konten.

chipTAN und pushTAN sind ja nichtmal echte Standards, sondern nur eine Art Designpattern, und jede Bank kocht da intern ein anderes Techniksüppchen, was auch den Stand der Dinge in Sachen Sicherheit erklärt.
 
Ich finde es von WISO extrem frech, das als "Sicherlücke der Sparkasse" zu titulieren.
Es gibt keine "Lücke". Es ist halt nur 1 Schloss an der Tür statt 2.

Optimal ist das sicher nicht, aber dass das Geld weg ist liegt an der Dummheit und/oder Naivität der Protagonistin.

Dass die Geräteaktivierung - angeblich - umgangen werden kann ist natürlich schwach. Ist aber nicht der Grund dafür, dass das Geld weg ist.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Ton 618 und Rickmer
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz