Phishing-Attacken auf Sparkassen und Volksbanken

  • 20er werden hier bedingt geprüft, die gehen durch son Kontrollapparillo, 50er aufwärts werden immer geprüft, jedenfalls bei den Discountern hier. Wenn ich große Summen in Bar zahlen muss, wie Auto oder Reparaturen allgemein, prüft die keiner. Ob die das getrennt ablegen und später bei der Bank machen lassen, keine Ahnung. Allerdings war ich nie ein Opfer von Falschgeld.

    Wegen Kontoführungsgebühren, aber einer bestimmten Eingangssumme braucht man hier in D bei manchen Banken nichts zahlen. Ich find das irgendwo albern und auch ungerecht, weil gerade die, die ein geringes Einkommen habe und eh schon zählen müssen, dann auch noch mit sowas belegt werden. Mit 6-7 Euro kann man schon mal eine Familie einen Tag lang ernähren, für mich wären das 2-3 Tage LIDL-Futter zum Überleben, Leben ist was anderes. Ein Kumpel von mir hat sich während der Ausbildung mal nur von Chips und Cola ernährt, wenn auch nicht lange - ist alles drin, Salz, Kartoffeln, Zucker, Wasser. War damals aber auch günstiger als heute, ungesund sowieso. Heute gibts für 1,50 ein Pfund geschnitten Brot und Wurst aus der Verpackung, macht auch satt. Oder ne Dose Eintopf. Discounter eben.

    Jedenfalls konnte ich bislang keine Abrechnungsgebühren dafür finden, nur andere, weil halt auch mal im Dispo, und den haben die jetzt noch gestaffelt - bis 500, bis 1000, über 1000. Und alles teurer als ein Kleinkredit.

    Wo ich gerne Geld hole ist die Commerzbank hier, per CC - die gibt nämlich noch 5 Euro raus, ich hoffe, das bleibt so. Was die CC selbst angeht, kann ich bei andere Banken inzwischen nur noch 4 Mal kostenfrei abholen, ansonsten 1% bzw min 5.95 Gebühren. Dabei bin ich einmal fast auf die Nase gefallen, weil mein Abrechnungszeitraum vom 10 bis zum 9 des nächsten geht (fragt mich bitte nicht, warum). Stand drin, ab Dez, klar, ich vorher nochmal hin, holen, vorm 10. Haben die mir den kompletten Nov berechnet, hab ich mir zurückgeholt, die zwei Gebühren, weil das nicht ausreichend genau kommuniziert wurde von denen.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Für einen Tag? ;) Jetzt nur Essen&Trinken, wobei Trinken eher Kraneberger ist als Cola/Fanta/Bier. Ich hatte auch nicht immer eitlen Sonnenschein, da gab es auch Zeiten mit 3 Euro pro Tag ^^

    Ich war mal bei der Deutsche Bank , war auch kostenfrei, bis sie anfingen, so Bezahl-Modelle einzuführen, all inkl. kostete dann plötzlich 7,95€/Monat. Ich mein, der deutsche Michel hat diese Bank dann bewusst gemieden, vor allem wegen der "24" im Namen, wo jeder Depp wusste, wenn das auf der Karte einer Firma stand, dass diese nur bis 5 Millionen gut war. "Kleinkunden". Schade, dass die Allianz ihr Joint Venture mit der Oldenburgischen nicht verlängert hat. Praktisch meine erste Online-only-Bank mit guten Konditionen.

    26/Q macht gut 8 Euro ebbewas/Monat, auch schon heftig. Ich kann ja verstehen, wenn Banken ihren Aufwand bezahlt haben wollen, mit Plus wird mit dem Geld gearbeitet, bei Minus zahlt man Zinsen. Heute auch zum ersten Mal eine Aufwandsgebühr von 1,- gesehen auf dem Debit-Konto, fällt in den Bereich versteckte Kosten, würde ich sagen, die neuen AGB durchlesen, wo der Euro auftaucht.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Hallo!

    dass 2FA (getrennte Geräte!) bei sowas Sinn ergibt

    Nur bieten die meisten Banken beim Anmelden kein 2FA an. Erst bei der Überweisung oder anderen Aktionen benötigt man eine mit dem Konto verknüpfte EC-Karte und einen passenden TAN-Generator. Die Sparda-Banken hatten mal die Möglichkeit einer Legitimation per Bankkarte bei jeder Anmeldung, wurde aber abgeschafft (Als erste Begründung wurde "Mangelhafte Nutzung, und damit zu teuer" angegeben. Beim zweiten Mal hiess es "Dürfen wir nicht mehr".).

    Gruß, René

  • Nur bieten die meisten Banken beim Anmelden kein 2FA an.

    Ich bezweifle, dass das heute wirklich noch auf die meisten Banken zutrifft. Insbesondere da die europäische Zahlungsdiensterichtlinie („Payment Service Directive II“) dazu verpflichtet, auch den Login mit einer starken Authentifizierung zu schützen. Siehe PSD2 Artikel 97a. Wenn meine Bank dagegen verstoßen würde, würde ich das so mal sicher nicht akzeptieren.

  • Interessant. :/

    Ich habe ausgerechnet für morgen Nachmittag einen Termin in meiner Bank vereinbart, wo es auch um das Thema Online-Banking geht. Wenn ich mir das so durchlese, sollte ich es mir wohl aber noch mal überlegen... wünscht mir Glück!

    LG, J. ^^

    » <3 SIC TRANSIT GLORIA MUNDI <3 «

  • Welche Bank ist es denn?

    Wie Sören bereits gesagt hat, keine Bank darf ohne 2FA - wie sich das jeweils gestaltet, ist eine andere Sache. Ich hab hier ne App, woanders gehts auch mit eTan.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • Welche Bank ist es denn?

    Diese Info fällt unter das Bankgeheimnis! ^^

    Aber ich werde in den nächsten Tagen berichten, wie ich so klarkomme und ob es für mich funktioniert. Fand es ja nur grundsätzlich lustig, dass sich das ganze mit dem Thema hier überschnitten hat. Werten wir es mal als gutes Zeichen...

    Herzliche Grüße, J. 8)

    » <3 SIC TRANSIT GLORIA MUNDI <3 «

  • Insbesondere da die europäische Zahlungsdiensterichtlinie („Payment Service Directive II“) dazu verpflichtet, auch den Login mit einer starken Authentifizierung zu schützen.

    Aber deshalb die Bank wechseln? Keine Bank beschreibt per Email oder auf ihrer Homepage, welche Schutzmaßnahmen bei Online-Banking existieren. Und extra bei jeder Bank persönlich vorzusprechen, nur um sich den Vorgang zeigen zu lassen, ist keine Option.

  • Keine Bank beschreibt per Email oder auf ihrer Homepage, welche Schutzmaßnahmen bei Online-Banking existieren.

    Also meine Bank beschreibt das auf der eigenen Website. Aber das muss ja auch gar nicht sein, denn nochmal: Mittlerweile muss eh jede Bank 2FA umsetzen. Wie genau 2FA umgesetzt wird, bleibt der Bank überlassen, aber der Zugriff auf das Konto muss durch eine sichere Authentifizierung geschützt sein.

    Aber deshalb die Bank wechseln?

    Wenn meine Bank gegen das Gesetz verstoßen würde? Aber selbstverständlich aus meiner Sicht. Und ich würde nicht nur wechseln, sondern auch noch die für Verstöße zuständige Behörde einschalten. Es geht hier um dein hart verdientes Geld. Da ist ein fahrlässiger Umgang doch wohl keine Option.

    Und extra bei jeder Bank persönlich vorzusprechen, nur um sich den Vorgang zeigen zu lassen, ist keine Option.

    Wieso denn bei "jeder Bank"? Du wirst kaum viele Banken finden, die PSD2 nicht umsetzen, falls überhaupt eine, zumal man in der Regel sowieso auch online Informationen darüber findet.

    Übrigens schreibst du weiter oben von der Sparda-Bank und dass die die Legitimation per Bankkarte bei jeder Anmeldung beim Login abgeschafft hätten. Nicht nur, dass auch die Sparda-Bank auf seiner Website über die starke Kundenauthentifizierung schreibt, da steht sogar ausdrücklich, dass sie auch den Login schützen, und zwar via TAN oder App. Das Verfahren mag also mittlerweile ein anderes sein, aber es gibt einen zweiten Faktor.

  • Wie genau 2FA umgesetzt wird, bleibt der Bank überlassen, aber der Zugriff auf das Konto muss durch eine sichere Authentifizierung geschützt sein.

    Da steht sogar ausdrücklich, dass sie auch den Login schützen, und zwar via TAN oder App.

    Die Sparda-Bank fragt nur alle 90 Tage den zweiten Faktor ab. Also nichts mit "Bei jeder Anmeldung". Das Dumme daran ist, dass dies immer gleich für alle Geräte gilt. Wenn ich also am PC den zweiten Faktor angebe, gilt diese Freigabe auch für alle anderen Geräte, also alles andere als sicher. Aber mal schauen was die Volksbank sagt, da schaue ich heute mal hin (die ist nur 5 Minuten von meiner Wohnung entfernt).

  • Die Sparda-Bank fragt nur alle 90 Tage den zweiten Faktor ab. Also nichts mit "Bei jeder Anmeldung".

    Hallo :)

    letzteres ist auch gar nicht erforderlich.

    Nach der PSD 2 ist die Starke Kundenauthentifizierung auch dann erforderlich, wenn der Nutzer online auf sein Zahlungskonto zugreift. In der Praxis wird aber für das einfache Einloggen in das Online-Banking oft eine einfache Authentisierung ausreichen, zum Beispiel die Eingabe eines Passworts. Denn die Delegierte Verordnung sieht eine Ausnahme von der Pflicht zur Starken Kundenauthentifizierung vor, wenn der Nutzer nur seinen Kontostand oder die Umsätze der letzten 90 Tage ansehen will.

    Damit der mögliche Missbrauch eines ausgespähten Online-Banking-Passworts nicht unbegrenzt fortgeführt werden kann, muss der Nutzer aber mindestens alle 90 Tage eine Starke Kundenauthentifizierung durchführen.

    Das ist also völlig legal, und bei meinen Banken teilweise auch so.

    Gruß Ingo

  • In der EU-Verordnung steht allerdings unmissverständlich, dass eine starke Authentifizierung für den Zugriff auf das Konto erforderlich ist - von einer Ausnahme ist dort nicht die Rede. Ich fände es bedenklich, wenn Deutschland bei der Umsetzung in geltendes Recht um die EU-Verordnung herum gearbeitet hätte - aber wundern würde es mich ehrlich gesagt nicht. Deutschland hat die PSD2 ja auch erst mit Jahren (!) Verspätung umgesetzt.

    Hier der relevante Teil der EU-Verordnung im Original-Wortlaut:

    Die Mitgliedstaaten stellen sicher, dass ein Zahlungsdienstleister eine starke Kundenauthentifizierung verlangt, wenn der Zahler

    a) online auf sein Zahlungskonto zugreift,

    b) einen elektronischen Zahlungsvorgang auslöst,

    c) über einen Fernzugang eine Handlung vornimmt, die das Risiko eines Betrugs im Zahlungsverkehr oder anderen Missbrauchs birgt.

    Ich lese dort eigentlich keinen Interpretationsspielraum heraus.

    Jedenfalls bin ich froh, dass meine Bank keine halben Sachen macht. Da ist schon seit Jahren ohne zweiten Faktor weder ein Login noch eine Überweisung im Cent-Bereich möglich. Da gibt es keine Ausnahmen und genau so muss das meiner Ansicht nach auch sein.

  • Also ich muss jede Aktion (mit Kennwort) bestätigen, ausser, wenn meine Sitzung abgelaufen ist und ich mich direkt wieder anmelde. Minuten später ist aber auch das vorbei. Und ohne das Kennwort zu kennen, der Timeout ist 4 oder 5 Minuten für Aktionen, geht da gar nichts. Da könnte noch nicht mal jemand tricksen, wenn er in der selben Wohnung wäre und ich nicht am Rechner.

    Wir sind keine Beschwerdestelle, hier gibt es nur Lösungen! Meine Glückszahl hier: 93.

  • bei Überweisungen unter 30 Euro möchte meine Bank (PSD) keine 2. Authentifizierung

    Hallo :)

    Du verwechselst da den Login mit der TAN. Meine Volksbank verlangt bei Kleinbeträgen auch keine TAN. Beim Login wird wie oben beschrieben alle 90 Tage eine 2FA verlangt.

    Ich lese dort eigentlich keinen Interpretationsspielraum heraus.

    Das dürfte unter die Bagatellgrenze fallen:

    Zu den Ausnahmen zählen Kleinbetragszahlungen bei (elektronischen) Fernzahlungsvorgängen unter 30 EUR sowie kontaktlose Zahlungen an der Verkaufsstelle, wenn der Einzelbetrag des kontaktlosen elektronischen Zahlungsvorgangs nicht über 50 EUR hinausgeht und die früheren kontaktlosen elektronischen Zahlungsvorgänge, die beispielsweise durch Eingabe des PIN-Codes der Karte ausgelöst wurden, seit der letzten Durchführung einer starken Kundenauthentifizierung zusammengenommen nicht über 150 EUR hinausgehen.

    Das ist hier bei der Volksbank genauso. Andere Banken handhaben das aber nicht so.

    Gruß Ingo