Depot und Girokonto bei der selben Bank

[Shonsu]

vor 11 Stunden von Ramstein:

I. a. R. schaue ich mindestens jeden 2. Tag auf Konto/Depot. Da würde ich Verkäufe bemerken und könnte eingreifen.

 

Mach ich ähnlich, aber mir stellt sich jetzt die Frage: Wie kannst man da noch eingreifen? Wenn eine Betrüger Daten geklaut hat und wirklich frei schalten und walten kann, d.h. nicht nur 1 oder 2 Tranksaktionen, sondern beliebige Transaktionen, wird er das Depot räumen und dann das gesamte Geld überweisen.

 

Auch wenn die etwas kosten, habe ich bei allen Konten und Depots einen TAN-Generator, getreu dem Motto: "Die Frage ist nicht, ob Du paranoid bist, die Frage ist, ob Du paranoid genug bist". 

 

Grundsätzlich stellt sich mir die Frage, ob die Banken einen internen Schutzmechanismus einbauen im Sinne von: Der Kunde verkauft alles und überweist dann das gesamte Geld auf ein Konto auf den Seychellen... da muss was faul sein.

[W.Heisenberg]

vor 23 Minuten von hattifnatt:

Ich bin da auch etwas paranoid und würde lieber das Girokonto (Komplettzugriff vom Handy aus) vom Depot trennen, weil es sich für mich einfach falsch anfühlt, ein Millionendepot immer auf dem Handy mit mir rumzuschleppen. 

Zweiten Smartphone welches nur zu Hause liegt und wo man nur Bankgeschäfte tätigt?

[ein_johannes]

vor 1 Minute von Shonsu:

Grundsätzlich stellt sich mir die Frage, ob die Banken einen internen Schutzmechanismus einbauen im Sinne von: Der Kunde verkauft alles und überweist dann das gesamte Geld auf ein Konto auf den Seychellen... da muss was faul sein.

Ich nehme das doch mal ganz stark an. Aber verlassen würde ich mich nicht drauf. Zumal auch Betrüger lernfähig sind und sich stehts was neues ausdenken werden.

[Andy72]

vor 27 Minuten von el_Mare:

Ja, nur mit registrierten Geräten.

Ich hab mir den Generator jetzt mal bestellt. Dann kann ich weiter berichten.....

auch das Giro?

Ja

[hattifnatt]

vor 8 Minuten von W.Heisenberg:

Zweiten Smartphone welches nur zu Hause liegt und wo man nur Bankgeschäfte tätigt?

Das geht auch, gibt allerdings bei älteren Android-Handys das Problem, dass sie evtl. nicht mehr mit den Sicherheitsanforderungen solcher Apps kompatibel sind. Und es erfüllt auch nicht die Anforderung von @el_Mare, das Girokonto von unterwegs checken zu können.

[tfhb]

Der gesonderte TAN-Generator bringt bei Phishing leider auch nichts, wenn man mit diesem dann aufgrund Spoofing + betrügerischen Anruf ein Handy des Täters als neues Authentifizierungsinstrument freischaltet (üblicher Angriffsweg aktuell). Muss letzten Endes aber jeder selber entscheiden, wie viel Sicherheit er braucht. 

[Ramstein]

vor 44 Minuten von Shonsu:

Mach ich ähnlich, aber mir stellt sich jetzt die Frage: Wie kannst man da noch eingreifen?

Anruf bei Hotline oder beim persönlich bekanntem Niederlassungsleiter.

[Andy72]

vor 15 Minuten von Ramstein:

Anruf bei Hotline oder beim persönlich bekanntem Niederlassungsleiter.

Bei der ING. 
Gibt’s da so was?

[Ramstein]

Ich sprach von der Deutschen Bank.

[Vango]

Man kann Photo-Tan oder die ING App nutzen.

 

Beides gleichzeitig geht nicht, auch wenn man die ING App nur als "Lese" Zugriff benutzen möchte, geht dies nicht wenn man schon Photo-Tan verwendet. Eine Anmeldung in der App wird dann das Photo-Tan Verfahren deaktivieren und man hat die App als neue freigabe Methode.

 

Registrierung neuer Geräte App oder Tan-Generator erfolgt aktuell über einen Breif an die hinterlegte Anschrift. Früher war dies mal durch eine SMS gelöst an die hinterlegte Telefonnummer.

[oktavian]

vor 3 Stunden von hattifnatt:

Ich bin da auch etwas paranoid und würde lieber das Girokonto (Komplettzugriff vom Handy aus) vom Depot trennen, weil es sich für mich einfach falsch anfühlt, ein Millionendepot immer auf dem Handy mit mir rumzuschleppen

zumindest bietet ING noch einen fünfstelligen pin in der app zusätzlich an.

 

Ich würde generell die banken zwingen read-only Zugänge einzurichten. Gibt es das nicht mit PSD2? Leider hat PSD2 keine read only TANs meines Wissens. Multibanking nutze ich nicht. Aber generell wäre das eine Möglichkeit. Nur alle 90 Tage muss man eine scharfe TAN eingeben.

[StE]

Von gestern: https://www.bleepingcomputer.com/news/security/massive-sms-stealer-campaign-infects-android-devices-in-113-countries/

 

"A malicious campaign targeting Android devices worldwide utilizes thousands of Telegram bots to infect devices with SMS-stealing malware and steal one-time 2FA passwords (OTPs) for over 600 services."

 

Einfallstor war imho eine Lücke in Telegram, bei der APK-Dateien also installierbare Android-Programm verschickt wurden, vorgeblich war es eine Video-Datei. Telegram war arglos und hat die Datei übermittelt. Leute haben dann auf ja, erlauben, ja, installieren geklickt, und danach kam Erzählungen nach prompt sogar das Video.

 

Ab 20k am Giro oder im Depot... weg mit dem Handy.

[Neverdo]

Am 30.7.2024 um 10:47 von Ramstein:

Ich sprach von der Deutschen Bank.

Wenn du, wie du schreibst, bei einem Klassiker bist, dann solltest du doch über absolut alles was sich bewegt eine Mitteilung per Mail bekommen oder hast du bei denen kein Elektronisches Postfach ?

[Ramstein]

vor 1 Minute von Neverdo:

Wenn du, wie du schreibst, bei einem Klassiker bist, dann solltest du doch über absolut alles was sich bewegt eine Mitteilung per Mail bekommen oder hast du bei denen kein Elektronisches Postfach ?

Bekomme ich, aber bekomme ich genauso bei Flatex.

[Neverdo]

Am 29.7.2024 um 21:38 von ein_johannes:

Ich stand früher selbst vor diesem Problem; Girokonto bei der Sparkasse und Depot auch (bzw. S-Broker).

Ich habe es für mich so gelöst, das ich als Referenzkonto ein neues Konto bei der Sparkasse eröffnet habe. Auf diesem habe ich dann den Zugriff im Onlinebanking so beschränken lassen, das nur "gelesen" werden kann, sprich, ich kann die Kontobewegungen auf diesem zwar sehen, aber keine auslösen. Abgehende Überweisungen vom Konto sind nur mit der Karte am Überweisungsautomat möglich.

 

Um mein Depot zu plündern müsste jemand somit Zugriff aufs Depot haben, dort die Wertpapiere verkaufen, das Geld landet dann auf dem Referenzkonto - und dann bräuchte er die Karte (die sicher verwahrt ist) und den Pin und müsste in einer Filiale eine Überweisung auf mein Girokonto tätigen und dieses dann wiederum über das Onlinebanking plündern.

 

Ich fand das einen guten Kompromiss aus Nutzbarkeit und Sicherheit. Bis zur Filiale hab ichs aber auch nur ein paar hundert Meter und ich ziehe höchstens alle paar Wochen oder mit unter Monate mal Geld runter.

 

 

Edit: Hintergrund ist, das ich mich lange gegen Onlinebanking gewehrt habe und dem ganzen nicht zu 100% vertraue. Wer garantiert mir, das sich in diesem Moment nicht schon ein Trojaner auf PC oder Handy eingenistet hat ? Zwei Sicherheitsnetze sind besser als eines.

Das kann man bei der Spaka so machen, Depot mit Referenz Geldmarktkonto , das kann man nicht absaugen, es sei denn so wie du beschrieben hast, aber warum nimmst du dein Giro-Konto nicht raus aus dem Online-banking?

Du hast den Laden doch vor der Tür ?

[ein_johannes]

Ich möchte schon immer gerne wissen, wie viel auf dem Konto ist. Im Depot sehe ich zwar einen Wert, für wie viel ich jetzt Wertpapiere kaufen könnte. Dieser Wert beinhaltet neben dem Kontostand des Referenzkontos aber auch Dinge wie meinen Lombardkredit oder Geld (zb. Dividenden oder kürzlich getätigte Verkäufe), welches "vorgemerkt", aber noch gar nicht final gebucht ist.

Es wäre sicher kein Beinbruch, für das Referenzkonto den Onlinezugriff ganz zu sperren und den Kontostand dann grob zu schätzen. Aber bei aller Paranoia - ein bisschen Komfort muss auch sein.

 

[Lazaros]

Am 29.7.2024 um 22:00 von Ramstein:

I. a. R. schaue ich mindestens jeden 2. Tag auf Konto/Depot. Da würde ich Verkäufe bemerken und könnte eingreifen.

Und war ein eingreifen schon mal nötig?

 

[Ramstein]

Nein.

Es gab einmal ungerechtfertigte obskure Belastungen der Kreditkarte. Ich war in der Filiale, habe die Karte sperren lassen und eine kostenlose Neue argumentiert.

Als ich wieder zuhause war, hatte ich einen Brief vom Acquirer im Briefkasten. Denen war die Buchungen auch aufgefallen und sie hatten sie selbständig storniert.

[dw_]

Am 29.7.2024 um 21:19 von el_Mare:

Was denkt Ihr darüber? Sind meine Bedenken gerechtfertigt?

Dank 2FA muss ein fiktiver Angreifer jemand sein der dich persönlich kennt. Banking & Handy Passwort ausspäht, dein Handy physikalisch in Besitz nimmt und dann die Geschäfte erledigt.

Wenn dann jemand auf diesem Weg Geld von deinem Konto weg überweist, kommt dann die Frage, wieso das nicht aufgeklärt werden könnte.

Ich halte das für ein bisschen paranoid.

[Belgien]

vor 3 Stunden von dw_:

 

Ich halte das für ein bisschen paranoid.

 

Sofern mit viel Phantasie ein Bedrohungsszenario theoretisch vorstellbar ist, wird es im WPF mit hoher Wahrscheinlichkeit von zig Usern dazu eine seitenlange Sicherheitsdiskussion geben. Dies erleben wir doch hier mit schöner Regelmäßigkeit alle paar Wochen in Endlosschleife seit vielen Jahren, wobei die Anlässe für die Diskussionen zwar unterschiedlich sind, die Sicherheitsbedenken jedoch stets ähnlich sind. Ich würde nicht so weit gehen und formulieren, dass das WPF voller paranoider User ist, doch kann man schon sagen, dass alle deutschen Onlinebanking-Sicherheitsparanoiker im WPF als User angemeldet sind, um sich hier über theoretische Bedrohungsszenarien austauschen zu können und sich gegenseitig bestätigen zu können, das Onlinebanking/broking eine höchst unsichere Angelegenheit ist.

[tfhb]

Die technischen Systeme der Banken sind sicher und ohne Hilfe des Kontoinhabers kaum zu hacken, aber das bringt halt alles nichts, wenn er bei Phishing-Attacken die Systeme selbst freigibt. Dementsprechend landen idR auch keine Hacking-Fälle vor Gericht, sondern Phishing/Social Engineering-Fälle. Wenn man sicher sein kann, auf sowas nicht reinzufallen, hat man tatsächlich kaum ein Risiko. 

[StE]

vor einer Stunde von Belgien:

theoretische Bedrohungsszenarien

Frisch auf den Tisch: https://www.bleepingcomputer.com/news/security/new-android-malware-wipes-your-device-after-draining-bank-accounts/

 

Nur eine Frage der Zeit, bis eine Anpassung auch für deutsche Banken erfolgt. Vermutlich sind sogar schon welche im Umlauf, aber die cleveren Kontoabräumer holen sich nur so viel, daß das Thema in der Betrugspräventionsabteilung der Bank verbleibt, und nicht LKA BKA INTERPOL FBI oder die US Marshalls auf den Plan ruft. Sind mir Leute bekannt, denen durch technischen Betrug schon ein paar wenige 1000er entfleucht sind, ja sind sie.

vor einer Stunde von tfhb:

Die technischen Systeme der Banken sind sicher

CrowdStrike, Wirecard, Automatensprengungen, Lehman Brothers ...

 

Und Schmankerl wie https://github.com/fboldewin/FastCashMalwareDissected/blob/master/Operation Fast Cash - Hidden Cobra‘s AIX PowerPC malware dissected.pdf "In a highly targeted operation attackers were able to perform fraudulent transactions by compromising a bank's payment switch application server in 08/2018. By faking transaction response messages at the switch, actors withdrawn cash simultaneously from ATMs located in 23 countries." Manche reden von 13.5 Mio USD, die aus den Automaten geholt wurden, andere von knapp 100 Mio USD Gesamtschaden. Ermöglichst durch gezielte Programmcode-Änderung in einem Gerät in der Bank.

 

Ich muss sagen, hier im Thread gibts viele Meinungen, aber technisch fundiert ist leider nur eine, meine.

 

Abermals mein Rat, ab 10k, oder meinetwegen 20k, weg mit Handy-Apps und Handy als zweiten Faktor, nur dezidiertes TAN-Gerät ohne jegliche Internet-Verbindung verwenden. Und keine Session-TANs.

[CorMaguire]

vor 4 Stunden von StE:

....CrowdStrike, Wirecard, Automatensprengungen, Lehman Brothers ......

Crowdstrike war ein Verfügbarkeitsproblem,

Welches technische Problem hatte die Wirecard-Bank? Wirecard selbst hatte ein Vorstandsproblem.

(Automaten)Sprengungen würde ich jetzt auch nicht direkt als technisches Problem einstufen.

Was war bei Lehman das Technik-Problem?

vor 4 Stunden von StE:

.... Und Schmankerl wie https://github.com/fboldewin/FastCashMalwareDissected/blob/master/Operation Fast Cash - Hidden Cobra‘s AIX PowerPC malware dissected.pdf "...

 

Was schon sechs Jahre alt ist .... und mit Online-Banking nicht direkt was zu tun hat.

vor 4 Stunden von StE:

.... Ich muss sagen, hier im Thread gibts viele Meinungen, aber technisch fundiert ist leider nur eine, meine. ...

So wirds sein

 

 

vor 19 Stunden von StE:

Von gestern: https://www.bleepingcomputer.com/news/security/massive-sms-stealer-campaign-infects-android-devices-in-113-countries/

 

"A malicious campaign targeting Android devices worldwide utilizes thousands of Telegram bots to infect devices with SMS-stealing malware and steal one-time 2FA passwords (OTPs) for over 600 services."

 

Einfallstor war imho eine Lücke in Telegram, bei der APK-Dateien also installierbare Android-Programm verschickt wurden, vorgeblich war es eine Video-Datei. Telegram war arglos und hat die Datei übermittelt. Leute haben dann auf ja, erlauben, ja, installieren geklickt, und danach kam Erzählungen nach prompt sogar das Video.....

vor 4 Stunden von StE:

Frisch auf den Tisch: https://www.bleepingcomputer.com/news/security/new-android-malware-wipes-your-device-after-draining-bank-accounts/

 

Nur eine Frage der Zeit, bis eine Anpassung auch für deutsche Banken erfolgt. ....

Setzt ein/e deutsche Bank/Broker 2FA-SMS (ich würde mal auf die schnelle anzweifeln dass das dann überhaupt 2FA ist) ein?

[el_Mare]

So. Noch mal eine Rückmeldung von mir:

 

Nach langer Recherche und Austausch mit Kollegen aus unserer IT Sicherheitsabteilung habe ich nun folgende optimale Lösung für mich gefunden:

 

TAN Generator für die ING bestellt.

Die App wird nicht mehr genutzt.  Outbank zum checken der Kontostände (und Information von Kontobewegungen über Push Nachricht).

Outbank hat den Vorteil, dass die ING ihre HBCI Schnittstelle nur zum Abruf der Umsätze und für keinerlei Transaktionen autorisiert. Somit ist eine Transaktion von meinem Girokonto wirklich nur noch über den TAN Generator am heimischen Mac möglich.

 

Ich denke, damit habe ich für mich das Optimum aus Komfort und Sicherheit gefunden. 

[dimido]

vor 7 Stunden von StE:

Sind mir Leute bekannt, denen durch technischen Betrug schon ein paar wenige 1000er entfleucht sind, ja sind sie.

Durch ausschließlich(!) technischen Betrug?

Bei Online-Banking mit Freigabe per App mit Geräte-Bindung?

Ohne Zutun des Anwenders wie z.B. Freigabe eines weiteren Freigabe-Gerätes nach betrügerischen Anruf / SMS / Whatsapp durch social engineering?

 

Zitat

Frisch auf den Tisch: https://www.bleepingcomputer.com/news/security/new-android-malware-wipes-your-device-after-draining-bank-accounts/

 

Nur eine Frage der Zeit, bis eine Anpassung auch für deutsche Banken erfolgt.

Auch dieses Angriffszenarium beginnt mit eine Attacke auf den User, und nicht auf die Technik:

Zitat

Promoted through text messages, the malware poses as a legitimate mobile security tool and can steal up to 15,000 EUR per transaction.