Trade Republic keine Echtzeit-Überweisung mehr?

    Zitat von sam51

    Wird Smartphone-Banking verwendet, ist 2FA kompromittierbar. Man muss lediglich das Opfer in Stress versetzen, so dass es exakt eine Transaktion freigibt und damit das Smartphone des Angreifers legitimiert.

    Spannend, an so ein Szenario habe ich noch gar nicht gedacht und kann es mir vom Ablauf nicht so richtig vorstellen.

    Kannst du mir kurz erklären, wie so ein Angriff von statten geht? Wie kann ein fremdes Smartphone legitimiert werden?

    Ehrlicherweise habe ich dazu von Saidi und co. noch wenig gehört…

    Danke. ☺️

    Ist mir neulich auch passiert. 15000€ an die DKB überwiesen. Mehrere Nachfragen, ob ich gerade erpresst werde etc. Dann Legitimation mit Selfie.

    Die Überweisung dauerte dann 2 Tage. Also keine Echtzeitüberweisung. Scheinbar macht TR das so, wie es ihnen gerade passt.

    Zitat von bamf

    Die Überweisung dauerte dann 2 Tage. Also keine Echtzeitüberweisung. Scheinbar macht TR das so, wie es ihnen gerade passt.

    Hatte denen am Freitag noch eine ranzige Anfrage zum Vorgang gestellt. Heute kam die übliche höfliche Antwort - allerdings viele Worte ohne jede Erklärung.

    Zitat von Finanzschlumpf

    Spannend, an so ein Szenario habe ich noch gar nicht gedacht und kann es mir vom Ablauf nicht so richtig vorstellen.

    Kannst du mir kurz erklären, wie so ein Angriff von statten geht? Wie kann ein fremdes Smartphone legitimiert werden?

    Ehrlicherweise habe ich dazu von Saidi und co. noch wenig gehört…

    Danke. ☺️

    Das Grundproblem liegt darin, dass die 2FA auf einem Gerät passiert, nämlich dem Smartphone. Die Banking App und die sog. Secure App befinden sich auf dem gleichen Gerät. Da es häufig vorkommt, dass Leute ihr Smartphone wechseln, muss der Prozess vorsehen, die Autorisierung per Secure App auf das neue Gerät zu transferieren. Das geschieht gewöhnlich dadurch, dass man die Software auf dem neuen Smartphone einrichtet und dieses dann durch Bestätigen einer Transaktion auf dem alten Smartphone legitimiert. Genau das machen sich die Betrüger zunutze.

    Es beginnt damit, dass die Zugangsdaten zum Online-Banking abgephisht werden. Das kann man selbst machen oder solche Zugangsdaten im Hunderterpack im Darknet kaufen. Damit haben die Betrüger Zugang zum Online-Banking des Opfers und können lesend auf die meisten Daten zugreifen. Da wird schon einmal vorselektiert, wo sich der Angriff lohnt. Die Kontaktdaten des Opfers findet man ebenfalls dort. Man richtet also zunächst das Online-Banking mit den benötigten Daten auf einem Smartphone ein. Nun muss man das Opfer nur noch dazu bringen, die Transaktion zu bestätigen, die die Verfügungsgewalt über das Konto auf das Smartphone des Betrügers überträgt.

    Dazu rufen die Betrüger, typischer aus einem C*ll-Center in Südost-Europa, beim Opfer an. Die Nummer des Anrufers ist gefälscht und meist die der Bank, die Betrüger sprechen akzentfreies Deutsch. Man erzählt dem Opfer, dass die Sicherheitssysteme der Bank angeschlagen hätten und von seinem Konto eine größere Summe z.B. nach Litauen transferiert worden sei. Damit versetzt man das Opfer gezielt in eine Stresssituation. Der freundliche, vorgebliche Mitarbeiter der Bank erklärt dem Opfer nun, dass es noch möglich sei, das Geld zurückzuholen. Allerdings müsse man schnell handeln und benötige die Mithilfe des Kunden. Er müsse nur die gleich auf seinem Smartphone aufpoppende Transaktion bestätigen. Wer zu diesem Zeitpunkt den Betrug noch nicht erkannt hat, wird dies mit hoher Sicherheit auch tun. Damit wird die Kontrolle auf das Smartphone des Betrügers übertragen, in den meisten Fällen hat das Opfer gar keinen Zugriff mehr.

    Innerhalb weniger Minuten werden nun evtl. vorhandene Limits auf Maximum gestellt, Geld vom Tagesgeldkonto auf das Girokonto verschoben und dann, ggf. in mehreren Überweisungen per SEPA-Echtzeitüberweisung auf ein ausländisches Konto transferiert. Häufig sind diese Konten unter einer falschen Identität eröffnet worden. Von dort geht es sofort weiter in ein anderes Land. Das Geld ist unwiederbringlich verloren.Die Behörden sind machtlos.

    Das Problem für den betrogenen Bankkunden ist hierbei, dass er die Bank nicht haftbar machen kann. Die weiß natürlich, dass ihr Prozessdesign nicht sicher ist. Der von mir beschriebene Angriff ist natürlich schon lange bekannt. Die sichere Variante, nämlich ein nicht transferierbares Token, z.B. die Girocard, für die Autorisierung zu nutzen, ist gegenüber dem Kunden nicht durchsetzbar, da sie als zu umständlich und unbequem empfunden wird. Was also machen Banken, um hier aus der Haftung zu kommen? Sie lassen Software und Prozesse einem Sicherheitsaudit unterziehen und zertifizieren. Damit kann Bank immer behaupten, dass alles sicher sei. Fahrlässiges Verhalten des Kunden, wie z.B. das Notieren der PIN auf der Girocard, ist außen vor. Vor Gericht wird die Bank dann mit ihrer Sicherheitszertifizierung argumentieren, dass der Schaden durch den oben beschriebenen Angriff nur durch ein fahrlässiges Verhalten des Kunden möglich gewesen sein kann. In diesen Fällen hat der Kunde meist das Nachsehen und kann nur auf eine Kulanzlösung mit der Bank hoffen.

    Zitat von sam51

    Das Grundproblem liegt darin, dass die 2FA auf einem Gerät passiert, nämlich dem Smartphone.

    Wow, ich danke dir, dass du dir so viel Mühe bei der Erklärung und Erstellung des Posts gemacht hast.

    Wenn ich es richtig durchdringe, haben die Angreifer schon die Zugangsdaten, es fehlt nur nicht der Zugang zur Secure App, um anschließend Freigaben zu tätigen.

    Das heißt, das Kind ist eigentlich schon vorher (Phishig) in den Brunnen gefallen.

    Bekomme ich nicht mit, wenn sich jemand im meinem Online Banking tummelt. Oft ist ja schon für den Login die 2FA (bspw. mit biometrischen Daten) erforderlich und ich sehe oft einen Zeitstempel des letzten Login?

    Zitat von Finanzschlumpf

    Bekomme ich nicht mit, wenn sich jemand im meinem Online Banking tummelt. Oft ist ja schon für den Login die 2FA (bspw. mit biometrischen Daten) erforderlich und ich sehe oft einen Zeitstempel des letzten Login?

    Die Implementierungen sind da unterschiedlich. Manche verlangen 2FA bei jedem Login (z.B. DKB), andere merken sich ein bereits validiertes Gerät und verlangen 2FA nur einmal im Quartal (Sparkassen) Bei der comdirect kann man sich einfach anmelden, 2FA wird nur bei Transaktionen verlangt. Die Betrüger haben natürlich eine genaue Erkenntnis, welche Bank sich für ihre Zwecke am besten eignet.

    Das Datum des letzten Logins wird häufig mehr oder weniger prominent angezeigt. Die meisten dürften diese Information aber wohl kaum wahrnehmen.

    Das Perfide an dieser Masche ist, dass die Betrüger, anders als beim Enkeltrick, niemals in Erscheinung treten müssen. Es ist recht wenig Aufwand für einen vergleichsweise hohen Ertrag. Die Gefahr, erwischt zu werden, ist sehr gering.

    Zitat von sam51

    Die Implementierungen sind da unterschiedlich. Manche verlangen 2FA bei jedem Login (z.B. DKB), andere merken sich ein bereits validiertes Gerät und verlangen 2FA nur einmal im Quartal (Sparkassen) Bei der comdirect kann man sich einfach anmelden, 2FA wird nur bei Transaktionen verlangt.

    Wirklich spannend und erschreckend zugleich.

    Was ich bestätigen kann, gerade bei der Anmeldung via Browser ist Comdirect eher schwachbrüstig was das Thema Sicherheit angeht.

    Habe gerade auch mal im Girokonto Vergleich bei FT geschaut, da scheint diese wichtige Dimension der Kontensicherheit bisher keine Rolle bei der Platzierung zu spielen.

    Also die ING scheint mir es richtig in Bezug auf den TAN-Generator zu machen.

    Entweder TAN-Generator oder APP. Wenn TAN-Generator, dann ist dieser zusätzlich per PIN -Schutz geschützt.

    Consorsbank ist meiner Meinung nach eher nicht optimal umgesetzt. TAN-Generator und Smartphone, falls APP genutzt wird, können beide als TAN-Generator verwendet werden. Der TAN-Generator ist nicht mit einer PIN geschützt.

    Die Scalable Capital bisher, habe ich dort nur das Smartphone als möglichen zweiten Faktor gefunden. Wenn man sich auf der Webseite am PC anmeldet benötigt man nur eine Bestätigung.

    Allerdings, meine ich gelesen zu haben, dass die Google 2 Faktor-Authentifizierung bzw. Session-Cookies oder Token abgegeriffen werden konnten und somit der 2. Faktor ausgehebelt wurde.

    Zitat von BirgitN

    Jetzt bin ich doch etwas säuerlich. Habe gerade eine Überweisung (1200 Euro) von dort weg getätigt, 15:11 Uhr. Wunderte mich, dass es in der anderen Bank nicht ankommt, war vor der wundersamen Einführung des 24/7 Supports immer problemlos möglich.

    Nun steht in der App, dass ich bis zum 20.4. warten soll. Hätte ich natürlich dann nicht überwiesen, drei Tage gar keine Zinsen. TR spinnt doch.

    Nur so eine Erfahrung von heute nachmittag:

    Ich habe eine Rechnung über einen Betrag von etwas mehr als € 1.000 an eine Firma zu bezahlen. Als Empfängerkonto gibt es ein Konto bei einer Volksbank und ein Konto bei einer Sparkasse.
    Die Echtzeitüberweisung an die betreffende Volksbank hat nicht funktioniert - hier wurde nur nur eine "normale" Überweisung angeboten.
    Ich habe den Vorgang abgebrochen und den Betrag auf das Konto bei der Sparkasse des Empfängers überwiesen. Hier hat die Echtzeitüberweisung funktioniert.

    Es scheint ab und zu etwas "Sand im Getriebe" zu sein. Ob das an der auftraggebenden Bank oder an der Empfängerbank liegt, kann ich nicht beurteilen.

    Zitat von BirgitN

    Und ich wollte es übrigens anlegen, zu guten Konditionen. Du kannst also nochmal rechnen.

    Finanzinvestor : Habe ich zwar schon 2mal geschrieben, aber hier dann noch einmal für dich... Exakt deinen Einwand hat bereits jemand vor einem Monat gemacht.

    Auch bereits erwähnt: Mach das mal mit etlichen Kunden und viel Geld - das summiert sich.

Passende Ratgeber für Dich
Tagesgeld der TF Bank
Tagesgeld der TF Bank

Gute Zinsen aus Schweden: Was Neukunden wissen müssen
Auslandsüberweisungen
Auslandsüberweisungen

So überweist Du Geld ins Ausland
Depotwechsel
Depotwechsel

Wie funktioniert der Depotübertrag?
Sepa
Sepa

Ein Konto für Europa

Von Finanztip-Experten fundiert recherchiert

Was Finanztip ausmacht
Finanztip Bewertungen