---

@vogtsburger  schrieb:

... oder dass sich bei 'Umschichtungen' von Kapitalanlagen plötzlich ein Bankberater meldet, ob ich Beratungsbedarf in Sachen Kapitalanlage habe.

 

Bei höheren Guthaben, die zinslos auf einem Girokonto liegen, gilt aber:

"kein Sch.... ruft mich an, 
keine S.. interessiert sich für mich" 😎

 

Vielen Dank für den Ohrwurm 😩.

Ehemalige Sparkassenmitarbeiterin hier: Eigentlich werden Aufgaben ausgesteuert, was das Thema hohe Guthaben auf Sichteinlagen/Sparbüchern angeht. Da hatte wohl jemand keine Lust mit Ihnen zu sprechen. 😅

@janm  schrieb:

OLG-Urteil: S-pushTAN-Verfahren reicht nicht für starke Kundenauthentifizierung | heise online

 

Das passt ja ganz leicht ins Thema. In meinen Augen ein Armutszeugnis:

 

Trotzdem sprach das OLG der Sparkasse ein Mitverschulden von 20 Prozent zu.

---

Man muss nur dreist genug sein, die eigene Dummheit auf jemand anderen abzuwälzen. Peinlich, dass das OLG der Sparkasse eine Mitschuld gibt. Mein Vater ist schon auf ähnliches reingefallen, waren "nur" 500 EUR Schaden. 

Ich hatte immerhin oft Kunden die nachgefragt haben, wenn sie komische Mails erhalten haben und beim Abschluss des Online Bankings habe ich auch immer gesagt, dass die Sparkasse NIE nach Zugangsdaten fragt. War einfach irgendwann nötig...

---

Vielen Dank für den Ohrwurm 😩.

 

Gegenmittel: Ein belegtes Brot mit Schinken.

Bitte, gerne. 😁

---

@kai-n  schrieb:

---

Vielen Dank für den Ohrwurm 😩.

 

Gegenmittel: Ein belegtes Brot mit Schinken.

 

Bitte, gerne. 😁

---

Ob ich das besser finde, zeigt sich im Laufe des Tages 😅.

---

@Moonshine  schrieb:

Wie sicher soll denn eine Online Überweisung noch werden?

Ich nutze einen Hardware-TAN-Generator, daher kann ich zur pushTAN-App nichts sagen, aber wenn die Ausführungen im Artikel so stimmen:

In der pushTAN-App seien ihm keine konkreten Angaben zu Empfängern oder Beträgen angezeigt worden, führte der Kläger dazu aus. Ihm seien lediglich unbestimmte "Aufträge" zur Freigabe vorgelegt worden.

Trotzdem sprach das OLG der Sparkasse ein Mitverschulden von 20 Prozent zu. Dies begründete es mit einem Verstoß gegen aufsichtsrechtliche Vorschriften: Die Sparkasse habe es versäumt, eine "starke Kundenauthentifizierung" im ZAG-Sinne beim Login in das Online-Banking zu verlangen, obwohl dort "sensible Zahlungsdaten" einsehbar waren.

Dann kann ich das Urteil schon nachvollziehen.

Ja, du kommst einfach mit Username und PIN ins Online-Banking der Sparkassen. Und die PIN muss nicht einmal besonders komplex sein, meine hat nur fünf Stellen (sollte ich auch mal ändern …). Alle Jubeljahre wird dann mal eine aktuelle TAN abgefragt. Starke Authentifizierung sieht in der Tat anders aus.

Und der TAN-Generator zeigt mir zwar nochmal Empfänger-Kontonummer und Betrag ab - die Webseite in dem Moment aber nicht mehr, da sehe ich das nur im Schritt davor und danach.

Siehe weiter oben, man muss nur dreist sein.

Wenn ich einen Auftrag in der Push Tan App habe und diesen nicht zuordnen kann, dann führe ich diesen nicht aus. Fertig. Wenn die Betrüger dann sich melden und sagen: Hey Was soll das, das war unsere Transaktion...

Diese dann nochmal angestoßen wird und du sie dann bestätigst, kommt es zum gleichen Ergebnis.

---

@rschoepe  schrieb:

 

Ich nutze einen Hardware-TAN-Generator, daher kann ich zur pushTAN-App nichts sagen, aber wenn die Ausführungen im Artikel so stimmen:

In der pushTAN-App seien ihm keine konkreten Angaben zu Empfängern oder Beträgen angezeigt worden, führte der Kläger dazu aus. Ihm seien lediglich unbestimmte "Aufträge" zur Freigabe vorgelegt worden.

Trotzdem sprach das OLG der Sparkasse ein Mitverschulden von 20 Prozent zu. Dies begründete es mit einem Verstoß gegen aufsichtsrechtliche Vorschriften: Die Sparkasse habe es versäumt, eine "starke Kundenauthentifizierung" im ZAG-Sinne beim Login in das Online-Banking zu verlangen, obwohl dort "sensible Zahlungsdaten" einsehbar waren.

Dann kann ich das Urteil schon nachvollziehen.

Ja, du kommst einfach mit Username und PIN ins Online-Banking der Sparkassen. Und die PIN muss nicht einmal besonders komplex sein, meine hat nur fünf Stellen (sollte ich auch mal ändern …). Alle Jubeljahre wird dann mal eine aktuelle TAN abgefragt. Starke Authentifizierung sieht in der Tat anders aus.

Und der TAN-Generator zeigt mir zwar nochmal Empfänger-Kontonummer und Betrag ab - die Webseite in dem Moment aber nicht mehr, da sehe ich das nur im Schritt davor und danach.

---

Ich habe nicht nachgesehen, wann das genau passiert ist. Ich bin allerdings seit 2 / 2,5 Jahren Kunde bei der Sparkasse und musste mich von Tag 1 an mit 2FA (von "unbekannten" Geräten) anmelden. Die Option, einen zweiten Faktor für die Anmeldung zu hinterlegen gab es sicherlich schon länger. Wenn man das nicht tut, nunja.

Ich sehe in der s-push-TAN den Betrag und die IBAN bzw. sinngemäß, dass es ein "Verwaltungsauftrag" ist, im Fall von Limit Änderung. An der Stelle wurde ja sogar zweimal die s-pushTAN völlig blind abgesegnet..

Wir brauchen hier scheinbar dann auch besser Hinweise, dass der Hamster nicht in die Mikrowelle gehört und so. 🙂

Ein belegtes Brot mit Schinken.

....ein belegtes Brot mit Ei. Das sind zwei belegte Brote, eins mit Schinken und eins mit Ei.

Wenn, dann das komplette Menü 🙂

---

@glasi  schrieb:

Ein belegtes Brot mit Schinken.

....ein belegtes Brot mit Ei. Das sind zwei belegte Brote, eins mit Schinken und eins mit Ei.

 

Wenn, dann das komplette Menü 🙂

---

... klingt wie 'Mülltrennung in Deutschland'

... erst sauber getrennt und anschließend alles wieder gut miteinander vermischt 😎

... aber Spaß beiseite:

ich 'arbeite' mit einigen Direktbanken bzw. mit deren Banking-Apps

Leider kommt fast jede Bank mit einer eigenen Banking-App um die Ecke

... und die Sicherheitsverfahren der Banking-Apps erscheinen mir ziemlich unterschiedlich bzw. teilweise nicht stark genug

Stapelverarbeitung 😊

---

@VerenaWied  schrieb:

---

@kai-n  schrieb:

---

Vielen Dank für den Ohrwurm 😩.

Gegenmittel: Ein belegtes Brot mit Schinken.

Bitte, gerne. 😁

---

Ob ich das besser finde, zeigt sich im Laufe des Tages 😅.

---

Vor dem Brot gibt es noch vier Mal ein gekühltes Getränk ... 😉

---

@VerenaWied schrieb:
[...]
Ehemalige Sparkassenmitarbeiterin hier: Eigentlich werden Aufgaben ausgesteuert, was das Thema hohe Guthaben auf Sichteinlagen/Sparbüchern angeht. Da hatte wohl jemand keine Lust mit Ihnen zu sprechen 😅

[...]

---

... nur zur 'Sicherheit', ob ich das richtig interpretiere bzw. schon immer vermute 😎

bei hohen zinslosen Guthaben auf Girokonten verhält man sich als Bank 'mucksmäuschenstill'

... aber wenn Kapital (liquide Mittel') abfließt, gehen in der Hausbank ein paar rote Ampeln an und man versucht, die eigenen Kapitalanlageprodukte wie warmes Bier anzupreisen 😎

---

@vogtsburger  schrieb:

---

@VerenaWied schrieb:
[...]
Ehemalige Sparkassenmitarbeiterin hier: Eigentlich werden Aufgaben ausgesteuert, was das Thema hohe Guthaben auf Sichteinlagen/Sparbüchern angeht. Da hatte wohl jemand keine Lust mit Ihnen zu sprechen 😅

[...]

---

... nur zur 'Sicherheit', ob ich das richtig interpretiere bzw. schon immer vermute 😎

 

bei hohen zinslosen Guthaben auf Girokonten verhält man sich als Bank 'mucksmäuschenstill'

... aber wenn Kapital (liquide Mittel') abfließt, gehen in der Hausbank ein paar rote Ampeln an und man versucht, die eigenen Kapitalanlageprodukte wie warmes Bier anzupreisen 😎

---

Nein, eigentlich ist man angewiesen die Kunden immer anzurufen, um Geschäft zu generieren. Ertrag heißt das Stichwort. 

Aber ja, die Frage der Verwendung bei einer hohen Bargeldauszahlung gehört genauso dazu, wie der Anruf bei einer hohen Überweisung. Letzteres habe ich aber nur gemacht, wenn mir die Überweisung suspekt vorkam. Ansonsten macht mit eurem Geld was ihr wollt (ich hatte aber auch meist schon mit den Kunden gesprochen...). Die "Hey, die 0,05% auf dem Sparbuch kriegen wir besser hin" habe ich lieber gemacht 😁. Sichteinlagen sind für Sparkassen teuer, weil täglich fällig und nur beschränkt "verleihbar". Dazu kamen damals auch noch die Strafzinsen der EZB.

... ich habe auch des Öfteren das genaue Gegenteil gehört ...

... à la ...

"die x.x% auf das Tagesgeld können wir leider nicht bieten"

... ok, in den Null-Zins- oder gar in den Strafzins-Zeiten hat man die Banken schon fast bedauert und wollte den einen oder anderen 5-Euroschein in den Briefschlitz werfen 😎

Spaß beiseite:

... heute hat ein Mandant angefragt, ob er eine E-Mail mit einem seltsamen Anhang (angeblich eine Rechnung) öffnen kann ...

... nämlich eine *.SVG-Datei als Anhang

Bisher habe ich SVG-Dateien als Vektorgrafikdateien gesehen, aber beim Öffnen der Datei mit einem Text-Editor zeigt sich der folgende XML-Text:

... also scheint erst ein Script eine andere Datei auf einer unbekannten URL zu öffnen.

Die Url sieht auch nicht gerade vertrauenerweckend aus.

Im E-Mail-Text steht aber die folgende Formulierung (Auszug)

Sehr geehrter Herr Xxxxxxxxxx,

anbei erhalten Sie unsere Rechnung Nr. 269418 vom 29.11.2024 als PDF-Datei.

Bitte beachten Sie, dass ein zusätzlicher Postversand nicht stattfindet.

Mit freundlichen Grüßen

Yyyyyyyyyyy

Zzzzzzzzzzz

etc.

(eine seriös wirkende E-Mail-Signatur)

aber vielleicht wurde ja ein existierender Outlook-Kontakt für den Versand einer Spam-Nachricht verwendet, um den vermeintlichen Rechnungs-Empfänger zum Klicken und Öffnen des Anhangs zu animieren

Für mich riecht das stark nach einem Fake  bzw. nach einem gefährlichen Anhang

Ich selbst würde diesen E-Mail-Anhang nicht öffnen

SVG-Dateien sind mir bisher als E-Mail-Anlage noch nicht begegnet

SVG (scalable vector graphics) sind schon Vektorgrafiken, der Inhalt wir mittels XML beschrieben. Dass dort "foreign objects" mit kompletten HTML-Seiten samt JavaScript eingebettet werden kann, ist mir aber auch neu - so genau habe ich mich nie damit beschäftigt. Daher danke für den Hinweis.

Beim Standard-Browser empfiehlt es sich, JavaScript als Default zu deaktivieren und nur für ausgewählte Seiten zu aktivieren. Dann ist man bei einem versehentlichen Klick auf üble URLs ein Stückchen besser geschützt. uMatrix ist meine favorisierte Plugin-Lösung dafür.

Nachtrag:

... ich bin der Sache (SVG-Dateien im E-Mail-Anhang) nochmal nachgegangen und habe diverse Quellen gefunden, die hier auch ein Gefahrenpotenzial sehen

z.B. auf www.heise.de

(Auszug)

Phishing und Passwort-Klau: Bösartige Skripte im Mail-Anhang als Vektorgrafik

Immer mehr Phishing-Kampagnen nutzen das wenig bekannte Vektorgrafik-Format SVG. Das kann nämlich Skripte enthalten, die dann beim Öffnen ausgeführt werden.

Nachtrag:

... es ist in der täglichen Praxis nicht machbar, täglich mehrere E-Mails intensiv auf Gefährlichkeit zu überprüfen

... eigentlich sollten einfache E-Mail- bzw. Outlook-Regeln und -Sicherheitseinstellungen reichen, ...

... z.B. akzeptiert werden nur ganz bestimmte Dateiformate für E-Mail-Anlagen, die definitiv keinen unmittelbar ausführbaren Schadcode enthalten können

... alle anderen Dateiformate sollten meiner Meinung nach grundsätzlich (technisch) blockiert werden.

Wenn solche potentiell gefährlichen Dateiformate 'unbedingt' ausgetauscht werden sollen, muss dann eben eine individuelle Prüfung erfolgen, z.B. durch direkten Kontakt und Freigabe zwischen den Kommunikationspartnern (z.B. bei MS-Office-Dateiformaten, die Makros oder Scripte enthalten können)

... und da es zig potentiell gefährliche Dateiformate gibt, sollte man sich nicht auf das "Augen auf"- oder auf das lächerliche "Gehirn einschalten"- Motto verlassen (müssen) ...

---

@vogtsburger  schrieb:

... z.B. akzeptiert werden nur ganz bestimmte Dateiformate für E-Mail-Anlagen, die definitiv keinen unmittelbar ausführbaren Schadcode enthalten können

---

Dann darfst du aber auch keine PDF-Dateien akzeptieren. Denn auch dort lässt sich Schadcode einbetten, den du mit herkömmlichen PDF-Readern nicht findest, der aber von diesen ausgeführt wird bzw. werden kann.

Spontan fallen mir txt und bmp als "sichere" Formate ein. Und selbst da wäre ich nicht überrascht (aber beeindruckt), wenn jemand schon Lücken im Editor bzw. Paint ausgenutzt hat um unerwünschtes Programmverhalten zu verursachen.

Überweisung von 50.000 Euro???

Wer so viel Geld hat, sollte einen Funken Verstand besitzen.