Handy weg, meine Finanzielle Sicherheit at risk

Zitat von pmeinl

Gerät ein Handy entsperrt in die falschen Hände, dann kann das katastrophale Folgen haben. Deshalb sollten Handys gut gegen missbräuchliches Entsperren geschützt sein und man sollte sie nicht leichtfertig entsperrt aus der Hand geben.

Deshalb braucht man trotz entsperrten Smartphone immer noch einen AppPin oder eine erneute Entsperrung per Fingerabdruck/FaceID. Und „erraten“ von AppPin ist auch schwierig, weil nach drei Fehlversuchen wird die App zurückgesetzt.

Zitat von sam51

Ich habe in meinem Post beschrieben, wie der Angriff funktioniert. Der Angreifer braucht das Opfer nur zu veranlassen, eine TAN herauszugeben. Dann hat er virtuell das Smartphone entwendet, also sein eigenes Smartphone zum TAN-Generator gemacht. Der Faktor "Besitz" ist weg und "Wissen" in Form von PIN etc. braucht der Angreifer nicht vom Opfer, das erzeugt er sich selbst.

Sowas geht aber auch generell. Dann fordert der Betrüger eben die Einrichtung von den App Verfahren per chipTAN vom Opfer an. Soll auch schon passiert sein. Dann erhält das Opfer eine SMS mit dem Freigabelink (bei Sparkassen) oder PiN. Und schon hat der Betrüger Zugriff aufs Banking, nachdem man nett nachgefragt hat.

Es ist praktisch irrelevant für den Betrüger, ob chiptan oder AppTAN verwendet wird, die haben für beide Szenarios in der Regel ihr Handbuch.

Aber wer auf sowas reinfällt der gibt auch zig Überweisungen per Chiptan frei. Das Problem sitzt eben zu beinahe 100% vor dem Gerät.

Auch beim „bösen App-Verfahren“ steht klar da inkl. IBAN bei Überweisungen und Betrag was man da freigibt. Wer das trotzdem macht, der ist leider selbst schuld.

Liebe BirgitN

die Verweigerung von vielen Anforderungen - Neuerungen hat nicht unbedingt mit dem Alter zu tun, sondern fußt in meinem Fall auf einigen schlechten Erfahrungen.

Ich habe genug anderes zu tun, als mich regelmäßig um Änderungen von Accounts zu kümmern. Habe ich den Eindruck, die Sicherheit durch Kümmern erhöhen zu können, tue ich es ja auch.

Im Moment suche ich Alternativen zu "kleinstweich", da die Version 10 nicht mehr viel länger unterstützt wird -hier kein Thema.

Meine Einstellungen muss keine(r) teilen.

Zitat von Wentscher

Liebe BirgitN

die Verweigerung von vielen Anforderungen - Neuerungen hat nicht unbedingt mit dem Alter zu tun, sondern fußt in meinem Fall auf einigen schlechten Erfahrungen.

Ich habe genug anderes zu tun, als mich regelmäßig um Änderungen von Accounts zu kümmern. Habe ich den Eindruck, die Sicherheit durch Kümmern erhöhen zu können, tue ich es ja auch.

Im Moment suche ich Alternativen zu "kleinstweich", da die Version 10 nicht mehr viel länger unterstützt wird -hier kein Thema.

Meine Einstellungen muss keine(r) teilen.

O.K., dein Alter hättest trotzdem nennen können. Aber vermutlich ist das dann auch sensible Information, die ich nutzen könnte.

Ja, wir haben tatsächlich unterschiedliche Einstellungen dazu.

Zitat von fabioso

Ist das von dir? Respekt!

Habe mich im Rahmen meiner Reisen intensiv mit diesen Themen befasst. Auf meiner Website schreibe ich breit und tief u.a. zu Sicherheit unterwegs, Vorsorge für Notfälle, Kontenmodell und Karten für Langzeitreisen, Telefonieren und Internet im Ausland, Packlisten und Vorbereitungen zum Reisen, ...
Mein Beitrag hier ist ein, hoffentlich noch verdaubares, Destillat daraus zum Thread-Thema.

Zitat von BirgitN

O.K., dein Alter hättest trotzdem nennen können. Aber vermutlich ist das dann auch sensible Information, die ich nutzen könnte.

Ja, wir haben tatsächlich unterschiedliche Einstellungen dazu.

Na ja, auch kleine Geheimnisse machen das Leben interessanter.

Eines will ich die aber anvertrauen: Dein Bild weckt die Sehnsucht in mir nach Ameland, Schiermonnikoog und Borkum. Aber jetzt Schluss mit den öffentlichen Auslassungen.

Zitat von Asna

{Beitrag durch Mod aufgrund potenziell beleidigendem Inhalt editiert}

Sehr bemerkenswert!

Zitat von RichardS

Habe mittlerweile fast alle meine Finanzthemen auf dem Handy [...]

Mein Handy nehme ich überall hin, leider gibt es ja auch Langfinger und begabte Hacker. Insgesamt habe ich Sorge, dass bei einem Diebstahl/ Hack meine finanzielle Sicherheit auf dem Spiel steht. Insbesondere wenn Apps wie bei DKB ja mittlerweile innerhalb einer App alles freigegeben wird.

Habe überlegt, ein separates „Finanz-Handy“ anzuschaffen, was ich zu Hause lasse und ausschließlich für Banking, Versicherung und Co nutze. So ganz überzeugt bin ich aber nicht.

Wie seht Ihr das? Was macht Ihr? Welche Ideen habt Ihr?

Langfinger sind eins (Räuber übrigens auch!), Hacker ein anderes.

Ein "begabter Hacker" kommt ggf. überall hinein, auch in Dein Gerät am heimischen Schreibtisch.

Der Langfinger klaut ein Handy und muß es dann öffnen können. Das wird er in der Regel aber nicht tun (oder nicht schaffen), sondern könnte allenfalls das Gerät auf Werkseinstellung zurücksetzen (wenn das geht) und als Gebrauchtgerät verkaufen. Mein Schrotthandy dürfte diesbezüglich keinen nennenswerten Wert mehr darstellen. Eine Gefahr für meine Konten sehe ich nicht, der Durchschnittsdieb dürfte keine professionellen Mittel zur Nutzung meiner Daten zur Verfügung haben.

Einen Räuber fürchte ich. Es gibt den Tatbestand, daß man einen Menschen mit der Androhung körperlicher Gewalt dazu zwingt, mit seiner Bank- oder Kreditkarte Geld vom Geldautomaten abzuholen. Geldautomaten sind meist öffentlich angebracht, es besteht aus Sicht des Räubers somit die Gefahr, daß dem Opfer jemand zu Hilfe kommt.

Das geht in einer stillen Gasse besser: Man zwingt das Opfer zu einer Sofortüberweisung ins Ausland und weiß ja auch, daß ab dem Endes des Jahres 2025 Sofortüberweisungen Pflicht für jede Bank sind. Das kann das Opfer nur dadurch verhindern, daß er auf seinem Mobiltelephon überhaupt keine Banking-Apps installiert hat. Es mag möglich sein, die Apps auf dem Mobiltelephon zu verstecken. Auf meinem PC schaffe ich das, dort kann ich Programme zumindest vor den Augen eines Laien verstecken. Auf meinem Mobiltelephon weiß ich nicht, wie das ginge. Mit einem Zweitgerät - durchaus auch einem Tablet - ist das unproblematisch: In der Regel wird das Tablet zuhause liegen, somit wäre eine Abzocke keine Gefahr. Ich habe eine einzige Banking-App auf meinem Tablet. Ich muß mal prüfen, ob das mit allen Banking-Apps geht. Ich meine mich dumpf daran zu erinnern, daß eine zwingend auf einem Mobiltelephon bestand, dem es zusätzlich eine SMS zuschicken können wollte, erinnere mich aber nicht an die Details.

Ein weiteres Problem ist das Moment "Point of single failure": Gern hätte ich eine Sicherung gegen Verlust oder Versagen des Geräts. Ich möchte mit meinem PC (genauer: einem meiner PCs) noch an mein Konto kommen, wenn das Mobiltelephon weg oder kaputt ist. Die meisten Banking-Apps erlauben die Registrierung mehrerer Authentisierungsgeräte (was auch wiederum ein Sicherheitsproblem darstellen könnte), bei manchen geht zwingend nur ein einziges. Wenn das Gerät dann kaputt ist, hat der Nutzer ein Problem.

Zitat von fotoman

Da mir mein Smartphone nicht gehört und mir damit die Firma auch jederzeit vorschreiben kann, wann ich es austauschen muss, laufen mittlerweile all meine Finanz-Apps (soweit sie der Freigabe dienen) nur auf einem extra dafür angeschafften Tablet. Und dies unter vollem Bewusstsein der unten aufgeführten Probleme damit.

Das ist das Verfahren mit dem Zweitgerät. Mich hätte interessiert, welche Probleme Du damit hast, habe dieselben aber leider nicht gefunden.

Zitat von Achim Weiss

Das geht in einer stillen Gasse besser: Man zwingt das Opfer zu einer Sofortüberweisung ins Ausland und weiß ja auch, daß ab dem Endes des Jahres 2025 Sofortüberweisungen Pflicht für jede Bank sind. Das kann das Opfer nur dadurch verhindern, daß er auf seinem Mobiltelephon überhaupt keine Banking-Apps installiert hat.

Ein interessantes Szenario. Bei einem Überfall konnte man früher das, was man dabei hatte und etwas wert war (Bargeld, Schmuck, Uhr, Smartphone(!)) verlieren. Jetzt sind die bösen Jungs echt begeistert, da sich völlig neue Möglichkeiten auftun. Selbst wenn man das Opfer früher zu einer Überweisung zwingen konnte, war dies nicht von Nutzen, da diese nach dem Überfall rückgängig gemacht werden konnte, wenn sie zeitnah gemeldet wurde (außer vielleicht bei TR und Co. wegen Unmöglichkeit der Kontaktaufnahme). Die nun eingeführte SEPA-Echtzeitüberweisung ist hier der echte Gamechanger. Für den Räuber sieht es dadurch so aus, als hätte das Opfer sein Kontoguthaben in bar am Mann bzw. an der Frau.

Ich halte jedoch das Risiko, Opfer eines solchen Angriffs zu werden, für gering. Für Kriminelle dürfte es deutlich lohnender sein, in herkömmlicher Weise die Opfer per Anruf zur Herausgabe einer TAN zu bewegen. Da man hier aus dem Ausland agieren kann, ist das Risiko, erwischt zu werden, auch deutlich geringer.

Zitat von Achim Weiss

Das geht in einer stillen Gasse besser: Man zwingt das Opfer zu einer Sofortüberweisung ins Ausland

Für Erpressungsszenarien gibt es in GrapheneOS eine Duress-PIN. Damit kann man eine PIN festlegen, bei deren Eingabe anstelle der Entsperr-PIN alle Daten auf dem Handy unwiederbringlich gelöscht werden. Leider gibt es bei Standard-Android und bei iOS so ein Feature nicht.

Datenschutzfreundliche Handy-Betriebssysteme wie GrapheneOS oder iodéOS kommen für mich aber gerade wegen Banking-Apps nicht infrage: Zwar laufen einige Banking-Apps darauf, aber bei einem Sicherheits- oder Betrugsfall könnte die Bank die Haftung ablehnen und auf die Nutzung eines „nicht unterstützten“ oder „modifizierten“ Geräts verweisen. Alle meine Banken untersagen in ihren Geschäftsbedingungen keine Root/Custom ROMs und die Verwendung der aktuellsten App-Version.

Aktuell hilft gegen Erpressungsszenarien „in einer stillen Gasse“ mit Handys nur, keine oder möglichst wenige Banking-Apps auf einem mitgeführten Handy installiert zu haben. Das schützt aber natürlich nicht vor Erpressungen zu Hause – sei es mit Handy oder anderen Autorisierungsverfahren.

Etwas verbessern kann man die Handy-Sicherheit, indem man biometrisches Entsperren erst gar nicht konfiguriert oder vorausschauend für erwartbar kritische Situationen/Gegenden temporär deaktiviert oder Biometrie generell nur zu Hause nutzt. Bei Android geht temporäres Deaktivieren über den Lockdown-Button im Power-Menü. Bei iPhones, glaube ich, über Einstellungen in „Notruf SOS“. Damit geht Entsperren nur via PIN-Eingabe. Das hilft immerhin gegen vors Gesicht halten oder Finger auflegen, unter Zwang oder Betäubung.

Am Ende ist es unter Zwang wohl sinnvoll, seine Zugangsdaten preiszugeben.

Zitat von pmeinl

Bei iPhones, glaube ich, über Einstellungen in „Notruf SOS“. Damit geht Entsperren nur via PIN-Eingabe. Das hilft immerhin gegen vors Gesicht halten oder Finger auflegen, unter Zwang oder Betäubung.

Bei iPhones: Seitentaste + eine Lautstärketasten für 2 Sekunden gedrückt halten (liegen gegenüber, ist ein Handgriff) . Dann muss das Kennwort eingegeben werden statt FaceID oder TouchID. Das kann man auch gut unbemerkt in der Hosentasche machen.

Zitat von Achim Weiss

Mich hätte interessiert, welche Probleme Du damit hast, habe dieselben aber leider nicht gefunden.

Soll ich den gesamten 2. Teil meines Postings kopieren?

Das Zweitgerät liegt zu Hause, ist garantiert nicht auf Reisen dabei und vermutlich auch nicht bei einer Reha.

Zitat von fotoman

Da lande ich als Single mal eben für ein paar Wochen im Krankenhaus/der Reha. Oder ich komme auf die Schwachsinnige Idee, ein paar Wochen/Monate Urlaub von zu Hause machen zu wollen (an >4 Wochen Auslandseinsatz für die Firma denke ich da noch garnicht).

Derjenige, der sich in der Zeit um meine Wohnung kümmert, ist durchaus berechtigt, meine Post zu öffnen, abzufotografieren und mir per Mail zu senden. Eine Bankvollmacht hat er aber nicht, also muss ich die Sachen selber überweisen.

Den Teil mit der Anweisung an das Pflegeheim meiner Mutter lasse ich diesmal weg, dass sowas nur Sarkasmus sein kann, weiss jeder, der sich um die Finanzen einer pflegebedürftigen Person im Heim kümmern muss.

Jetzt kannst Du noch damit ankommen, dass ich bei geplanter Abwesenheit die 2FA Apps auf dem Smartphone aktivieren kann. Das mag bei einigen Banken funktionieren, bei anderen nur mit extrem langem Vorlauf (Postbank, Aktivierung nur noch per Brief) oder auch garnicht (u.U. ist Scalable Capital der einzige Broker, bei dem sowas nicht funktioniert).

Alternativ bleiben die Rechungen zu Hause halt liegen, die Mahnungen stapeln sich und das ganze wird am Ende mit Glück nur teurer (weil noch niemand ein Inkassobüro beauftragt hat).

Von daher werde ich das ganze, sobald ich mir ein eigenes Smartphone kaufen muss, wieder ändern und die Apps auf dieses umziehen.

Es ist schon lustig, dass hier irgendwelche extrem hypothetisch-unwahrscheinlichen Szenarien intensiv beleuchtet werden, aber die Fälle, über die 99% der Geldabschöpfung von privaten Konten passieren, ignoriert werden...aber man muss ja Feinbilder pflegen (Banking auf dem Smart Phone!) und daher Probleme beschreiben, die de facto inexistent sind.

Als ob ein Räuber die Zeit hätte, auf dem Handy nachzuschauen, ob und welche Banking-Apps man installiert hätte...achja, auf iOS kann man Apps übrigens auch verstecken, dann erscheinen Sie nicht auf dem Home Screen.

Zitat von lieberjott

achja, auf iOS kann man Apps übrigens auch verstecken, dann erscheinen Sie nicht auf dem Home Screen.

Bei Android auch

Zitat von lieberjott

Es ist schon lustig, dass hier irgendwelche extrem hypothetisch-unwahrscheinlichen Szenarien intensiv beleuchtet werden, aber die Fälle, über die 99% der Geldabschöpfung von privaten Konten passieren, ignoriert werden...aber man muss ja Feinbilder pflegen (Banking auf dem Smart Phone!) und daher Probleme beschreiben, die de facto inexistent sind.

Als ob ein Räuber die Zeit hätte, auf dem Handy nachzuschauen, ob und welche Banking-Apps man installiert hätte...achja, auf iOS kann man Apps übrigens auch verstecken, dann erscheinen Sie nicht auf dem Home Screen.

Rede die Sorgen doch nicht klein. Das passiert bestimmt in 0,001% der leergeräumten Konten 🤪