• Apfeltalk ändert einen Teil seiner Allgemeinen Geschäftsbedingungen (AGB), das Löschen von Useraccounts betreffend.
    Näheres könnt Ihr hier nachlesen: AGB-Änderung
  • Es regnet, ist neblig und kalt, alle sind krank und der Chef wird zunehmend cholerisch. Das Thema des Monats ist also folgerichtig --> Das Grau(en)
    Wir sind gespannt, war Euch dazu einfällt! Zum Wettbewerb --> Klick
  • Auch in diesem Jahr möchten wir auf unserer Webseite mit einem passenden Banner etwas weihnachtliche Stimmung verbreiten. Jeder Apfeltalker kann, darf und sollte uns einen Banner-Entwurf zusenden, wie und wo das geht, könnt Ihr hier nachlesen --> Klick

Apple Pay, Banken, Kreditkarten - Smalltalk und Spekulationen

  • Ersteller Mitglied 154515
  • Erstellt am

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Vom Prinzip her ist das System bei N26 super. Sozusagen eine Drei-Faktor-Authentifizierung. Passwort, Bestätigungs-PIN und Push-Bestätigung in der App des verknüpften Smartphones. Erst dann geht eine Überweisung durch.
 
  • Like
Reaktionen: Mitglied 115348

kolvi

Welscher Taubenapfel
Registriert
08.08.17
Beiträge
760
Man kann nur einen Tod sterben.... Alles „billig“, ohne Zusatzkosten, beim heutigen Marktumfeld unseriöse Angebote mit Negativzinsen, erwartete Fusionen, die den Trend zur Auflösung von Filialen weiter stützen, Geldabhebungen die mehr an Gebühren kosten....man weiß gar nicht mehr wo einem der Kopf steht...
Ich nutze N26 nur für Apple Pay, überweise per Dauerauftrag jeden Monat einen Betrag X vom Giro dahin und alles funktioniert super für meine Bedürfnisse.... Hacken, phishing, whatsoever kann immer passieren - meist ist es der Nutzer, der sorglos mit seinen Daten umgeht...
wäre interessant zu erfahren, was für ein smartphone der Kunde hatte, wo die 80T € verlustig gingen - weil „Apple ist ja so sicher“.... ???
 

Misto

Niederhelfenschwiler Beeriapfel
Registriert
06.11.18
Beiträge
847
Vom Prinzip her ist das System bei N26 super. Sozusagen eine Drei-Faktor-Authentifizierung. Passwort, Bestätigungs-PIN und Push-Bestätigung in der App des verknüpften Smartphones. Erst dann geht eine Überweisung durch.
Naja, vom Prinzip her ist alles immer super. Tatsächlich sieht es wohl so aus, dass das System nicht sicher ist. Denn trotz der angeblichen Drei-Faktor-Authentifizierung, Passwort, Bestätigungs-PIN und Push-Benachrichtigung in der App konnte jemand unbemerkt 80.000 € vom Konto abbuchen.

Ich glaube da auch nicht an Phishing, wie soll das bei N26 gehen? Ich denke eher, hier wurde das System selbst geknackt. Denn es scheint ja kein Einzelfall zu sein.

Und dann wird dem Kunden wochenlang nicht geholfen, ihn sogar im Unklaren gelassen. Geiz-ist-geil bedeutet halt auch, dass irgendwo eingespart werden muss. Das ist dann eben meist am Service.

Gerade für mich als Selbständiger ist ein Geschäftskonto bei solchen "Fin-Techs" ein No-Go, da pfeif ich auf die Dreifuffzig Kontoführungsgebühren und hab dafür bei meiner Sparkasse jederzeit einen Ansprechpartner.

Hab ja auch schon lange schon ein privates Nebenkonto bei der comdirect und da muss ich sagen, ist der Service einfach top. Hab mich die Tage beim Update von Star Money Business auf die neuste Version wohl selbst bei der comdirect ausgesperrt, weil angeblich die PIN dreimal falsch eingegeben wurde. Hat wohl mit dem Update zu tun, weil da auch direkt bei der comdirct ne Fehlermeldung im Programm kam. Wie auch immer, die Entsperr-Nummer angerufen, vielleicht ne Minute gewartet, bis ein Mitarbeiter dran war und mir wurde direkt geholfen. So muss das sein.

Aber einen Kunden wochenlang nicht zu helfen und bei so wichtigen Dingen wie Geldgeschäften nur einen Chat anzubieten - sorry, das geht nicht, das ist einfach unseriös.
 
  • Like
Reaktionen: MukMuk und Macbeatnik

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.368
wäre interessant zu erfahren, was für ein smartphone der Kunde hatte, wo die 80T € verlustig gingen - weil „Apple ist ja so sicher“.... ???
ist eigentlich egal, welches OS das Smartphone hat. es hat seinen Grund, dass Banking nur über Smartphone, ohne zweiten Faktor, von allen Experten abgelehnt wird. Auch wenn es dann unkomfortabel wird.
 

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.368
https://t3n.de/news/n26-diesen-tricks-wurden-kunden-1153702/

Bemerkenswert ist tatsächlich, dass die Sicherheitsmechanismen der Bank trotz des Zusammentreffens mehrerer Auffälligkeiten nicht angeschlagen haben: Änderung der Handynummer (auf ein in England gemeldetes Smartphone), Änderung der E-Mail-Adresse, kompletter Kontoinhalt überwiesen und eine weitere Überweisung bis zum Kreditlimit – und das alles innerhalb von 20 Minuten. Das ist schon so auffällig, dass man sich fragt, was die Aufgabe der Betrugspräventionssysteme ist, wenn sie hier nicht Alarm schlagen.

Kann man nur wiederholen... ohne harten zweiten Faktor ist Banking halt doch einfach nicht zu empfehlen ;)
 

Misto

Niederhelfenschwiler Beeriapfel
Registriert
06.11.18
Beiträge
847
https://t3n.de/news/n26-diesen-tricks-wurden-kunden-1153702/



Kann man nur wiederholen... ohne harten zweiten Faktor ist Banking halt doch einfach nicht zu empfehlen ;)
Wundert mich, dass das so einfach geht. Bei der Sparkasse und bei comdirect bekommt man immer einen Brief mit Freischalt-PIN an die eigene Adresse, wenn sich etwas am Zugang ändert. Egal ob ChipTAN, PushTAN pder PhotoTAN. Ohne Freischaltung kann kein anderees Gerät oder eine andere Karte dafür genommen werden.
 

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.368
Wundert mich, dass das so einfach geht. Bei der Sparkasse und bei comdirect bekommt man immer einen Brief mit Freischalt-PIN an die eigene Adresse, wenn sich etwas am Zugang ändert. Egal ob ChipTAN, PushTAN pder PhotoTAN. Ohne Freischaltung kann kein anderees Gerät oder eine andere Karte dafür genommen werden.
Hat eben schon so seinen Grund, dass die „grumpy old banks“ bei Dingen wie Adressänderungen, Wechsel der Hauptkontaktnummer oder des authentisierendes Geräts gerne auf Postweg oder Vor Ort Präsenz zurück greifen.

Das ist nicht immer nur „old fashioned“ weil man es nicht anders kann. Das hat meist schon seinen Sinn. Im Sinne des Kunden und der Sicherheit.

Kann ja jeder entscheiden, was ihm wichtiger ist.
 
  • Like
Reaktionen: Balkenende und Misto

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Das ist schlicht falsch. Zwar wird die PIN über die App geändert, aber nicht "einfach so". Hier wird mindestens schon die Seriennummer der Mastercard abgefragt, die so nur auf der physischen Karte selbst abgedruckt ist (nicht die eigentliche Kartennummer!). Diese Nummer wird quasi überall abgefragt, selbst beim Start eines Chats mit dem Support (Social-Engineering).

Sollten die geschädigten Kunden wirklich über Phishing angegriffen worden sein, dann muss so gut wie alles abgephisht worden sein, was geht. Und dann braucht sich auch kein Mensch mehr wundern.

Edit:
https://t3n.de/news/n26-diesen-tricks-wurden-kunden-1153702/

Kann man nur wiederholen... ohne harten zweiten Faktor ist Banking halt doch einfach nicht zu empfehlen ;)
Ja... ein ganz feiner Artikel.

Mithilfe weniger Schritte, auf die der Kunde aus juristischen Gründen nicht im Detail eingehen will, schafften die Betrüger es, seine Konto-App umzuleiten und die hinterlegte E-Mail-Adresse sowie die Telefonnummer für die Kommunikation ebenfalls zu ändern.
Ist ja wie bei der BILD. Erst Clickbait und dann fehlen sämtliche relevanten Infos.

Dazu fällt mir noch ein: er sei ja auch so "Technik-affin"... aber dann gibt er seine Daten raus? "Unsere Mitarbeiter werden sie niemals nach XXX fragen, weder per Mail, noch sonst wie..." Diese eiserne Regel hat er wohl im entscheidenden Moment "vergessen".

Ich habe nix gegen harte Fakten, aber dieses merkwürdige Bashing ist einfach daneben.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: Mundl

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.368
Du solltest nochmal drüber nachdenken und auch den ein oder anderen Artikel darüber lesen. Und weshalb es bei anderen Banken noch keine solche Welle gab ;)

Da ist ja nicht nur irgendwo eine Überweisung getätigt worden. Da wurden ganze Accounts gekapert und umgeschrieben. In einer einzigen Aktion. Etwas, das in dieser Form sonst nicht funktioniert.

Und dann hat nicht mal die beworbene „Betrugserkennung“ angeschlagen. Heißt: weder am frontend (User Zugang) noch im backend ist Sicherheit gegeben.

In der Branche wird ja sowieso gerätselt, ob N26 die Anforderungen zur harten Authentifizierung schafft.

Sind wir gespannt, wie es sich entwickelt.



PS: davon abgesehen dass der Umgang mit der Situation und die Erreichbarkeit halt einfach unter aller Kanone war. Was das eigentliche Problem an der Nummer darstellt.
 
Registriert
23.06.17
Beiträge
49
DKB ist fast nie telefonisch zu erreichen. Man wird in die Warteschleife verbunden, und direkt kommt die Ansage, dass man aufgrund des hohen Anrufaufkommens den Anruf nicht entgegennehmen kann. Und dann wird aufgelegt.

Kann ich so nicht bestätigen! Ich habe bisher mit der DKB immer schnell telefonischen Kontakt bekommen-auch Rückrufe!
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
@MichaNbg

Ich gebe dir ja recht, aber was sollen diese Artikel? Jeder will jetzt seinen Senf dazu beitragen, ohne wirklich Licht in die Sache zu bringen.

"Betrugswellen" gab und gibt es ja wohl bei jeder Bank, die sind nur nicht ständig in den Medien, weil schon "normal". Auf einen geprellten N26-Kunden kommen zehn Sparkassen-Kunden, denen Geld gestohlen wurde.

:p

Da wird's nur eben anders gemacht.

Ein Konto bei N26 "umzuschreiben", also die App auf ein neues Smartphone zu verknüpfen ist meiner Meinung nach ausreichend abgesichert. Wenn jemand eben alle möglichen Daten frei Haus liefert, was soll man da noch besser machen?

Erst bekommt man eine Mail an die hinterlegte Adresse, auf diese Mail sollte schon mal nur der Inhaber Zugriff haben. Mit dem Link in der Mail startet der Vorgang. Neben der (physischen) Seriennummer der Mastercard wird noch eine SMS an die hinterlegte Nummer geschickt, auch hier hat ja wohl nur der Inhaber Zugriff. Und zudem wird noch die selbst festgelegte Bestätigungs-PIN abgefragt, die man auch nicht von "außen" ändern kann. Und irgendwann braucht man natürlich auch noch ein Passwort.

Wie viele solcher PINs und Nummern soll man denn noch abfragen und sich bestätigen lassen? Wo fängt es an, wo endet es?

Der Unterschied zu klassischen Banken ist ja nur der, dass bei N26 eine App mit dem Konto verknüpft und damit der Zugriff auf den Inhaber limitiert wird. Es kann immer nur eine App verknüpft sein und ohne verknüpfte App kann keine Überweisung raus gehen. Und bei klassischen Banken läuft das eben über TAN-Generatoren und die Verknüpfung auf die physische Adresse des Inhabers, per Post.
 
  • Like
Reaktionen: Watch und Mundl

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.368
Auf einen geprellten N26-Kunden kommen zehn Sparkassen-Kunden, denen Geld gestohlen wurde.
Jupp Geld gestohlen. Nicht das ganze Konto ;)

Und die können im Zweifel dann wenigstens jemanden vor Ort oder am Telefon anschreien :innocent:

Wie gesagt. Fraud ist die Folge des Wachstums. Wichtig ist, wie man in der Situation mit den Kunden umgeht.
 

saw

Königlicher Kurzstiel
Registriert
31.08.07
Beiträge
10.198
"Unsere Mitarbeiter werden sie niemals nach XXX fragen, weder per Mail, noch sonst wie..." Diese eiserne Regel hat er wohl im entscheidenden Moment "vergessen".
Äh..... deine Kreditkarten ausgebende Bank hat dich also noch nie angerufen weil die "Unstimmigkeiten" festgestellt haben?
Da wird sogar ne ganze Menge an Daten abgefragt am Telefon.
Habe ich schon 2-3 Mal gehabt,
innerhalb kurzer Zeit zuviel geshopt zu Weihnachten, teilweise aus dem Ausland bei Deutschen Händlern und auf einmal war die Karte gesperrt, 5 Minuten später ruft Barclay an und will das klären, bei dem Gespräch, gibt man schon einige Daten an um sich zu authentifizieren.
Die haben, wenn auch zu früh, wegen Auffälligkeiten eingegriffen und waren nicht nur erreichbar, die haben sogar von sich aus angerufen.
Ich bin selbst bei N26, aber wenn die nicht mal telefonisch zu erreichen sind, geschweige 24h am Tag,
sorry aber dann bleibt die Knete bei der Sparkasse und Barclays.
Ist ja wie bei der BILD. Erst Clickbait und dann fehlen sämtliche relevanten Infos.
Super, und wenn die schreiben wie genau es gemacht wurde,
versuchen morgen gleich dutzende Andere den Trick? oO
 

echo.park

deaktivierter Benutzer
Registriert
08.06.11
Beiträge
11.076
Äh..... deine Kreditkarten ausgebende Bank hat dich also noch nie angerufen weil die "Unstimmigkeiten" festgestellt haben?
Nö.

Super, und wenn die schreiben wie genau es gemacht wurde,
versuchen morgen gleich dutzende Andere den Trick? oO
Spätestens dann müssten die bei N26 die Lücken stopfen.

Das ist dann wie mit den veröffentlichten Zero Day Exploits.
 

MichaNbg

Brauner Matapfel
Registriert
17.10.16
Beiträge
8.368
Die werden jetzt schon dabei sein, zu analysieren und zu lernen. Wenn man alles auf no contact, no second factor and ai auslegt, muss das Sicherheitskonzept entsprechend gut sein und reagieren. Im Moment ist es das nicht.