Abt. 46 ?A propos 12-jährige Tochter- Sieh mal diese 12-jährige.http://www.bloomberg.com/video/92663181/Könnte vom Thema her deine Tochter sein. :repsekt: Nochmals zum Hauptthema. Da wo ich wohne, bekomme ich von der Bank jedesmal ein SMS wenn sich jemand auf mein Konto einlogt. Zudem bekomme ich bei jeder Transaktion ein SMS. Natürlich ist es bei einem Betrug schon zu spät, da Geld weg, aber man sieht es wenigstens sofort (billiger Trost?). Zahle ich also mit meiner Debitkarte im Laden, kommt schon das SMS während noch die Quittung ausgedruckt wird. Jede elektronische Ueberweisung wird sofort ausgeführt (auch Sa/So, nachts) und nicht erst am nächsten Bankerarbeitstag. Manchmal könnten Topländer wie die CH etwas von Schwellenländern lernen oder gibt es das in CH auch?
Sicherheit von Bankkonten
- Ersteller Marcus Fabian
- Erstellt am
Das ist richtig, wobei meine Tochter ja nach der ersten Überweisung bei der UBS reklamiert und verlangt hat das Konto zu sperren.Wenn aber von einem gesperrten Konto noch was abgebucht wird, geht das eindeutig zu Lasten der Bank.
Kein Wunder, dass die den Betrag ausgleichen (wäre noch interessant wenn es 20k gewesen wären....), sonst kommen sie in Erklärungsnotstand. So fragt niemand nach. Aber interessant wäre die Erklärung schon, wie eine Abbuchung stattfinden kann, wenn das Konto gesperrt ist. Geht normalerweise doch gar nicht :nein:
Heute zufällig im Kassensturz (habe es noch nicht selbst gesehen):
Den Trojaner "Torpig" wird er wohl schon auf dem Computer gehabt haben, aber wie kann das der durchschnittliche Anwender erkennen? Bei Flash und Java gibt es ja alle paar Wochen neue Sicherheitslücken - und der Kunde hatte Kaspersky auf seinem PC installiert gemäss Beitrag Kassensturz:
http://www.tvprogramm.sf.tv/details/1b2 ... 0518ce7f9d
Den Trojaner "Torpig" wird er wohl schon auf dem Computer gehabt haben, aber wie kann das der durchschnittliche Anwender erkennen? Bei Flash und Java gibt es ja alle paar Wochen neue Sicherheitslücken - und der Kunde hatte Kaspersky auf seinem PC installiert gemäss Beitrag Kassensturz:
http://www.kassensturz.sf.tv/Nachrichte ... -der-Kunde
Fassen wir mal zusammen, ich hab' nämlich gestern Abend nochmals mit meiner Tochter gesprochen:Sie hat das UBS-Konto seit drei Jahren. Damals hat sie - mal zum Ausprobieren - etwas mit e-banking gemacht. Seither nie mehr. Sie hebt Geld von Konto im Bankomat ab, verwendet die Karte für Direktzahlungen beim Einkaufen und macht Kontoüberweisungen etc. mittels Multimat oder am Bankschalter der UBS.Es ist allerdings auch richtig, dass sie - nach der ersten Fehlüberweisung - ihren PC auf Viren und Trojaner überprüft hat und dabei massenweise fündig geworden ist.Zwischen dem letzten e-Banking und den Fehlüberweisungen liegen also über 2-1/2 Jahre.Eine Man-in-the-middle Attacke kann man somit ausschliessen.Denkbar ist, dass ein Virus/Trojaner an die e-Banking Daten von damals gekommen ist, sofern die im Browser-Cache oder im Registry abgelegt worden sein sollten. Aber das ist doch eher unwahrscheinlich. Und vor allem sollten die ersten Zugangsdaten wie Konto/Userid/Passwort alleine nicht für eine Überweisung ausreichen.Denkbar wäre auch, dass ein Besucher, Schulkamerad der vielleicht mal alleine in ihrem Zimmer war, die Bankzugangsdaten inklusive Streichliste oder Tan gestohlen hat. Das traue ich allerdings keinem ihrer Freunde zu und ausserdem wäre der betreffende wohl nicht nach Zofingen gefahren, um dort die Überweisung durchzuziehen.Unter dem Strich finde ich es schade, dass die UBS hier nicht weiter geforscht hat. Schliesslich könnte es sich wirklich um die Spitze eines Eisberges handeln, von dem die UBS noch gar nichts weiss.
Dann ist der Fall wirklich mehr als komisch. Ich glaube ohne weitere Details zu kennen an eine Fehlbuchung seitens der Bank, das heisst die UBS hat eine (in diesem Fall legitime) Buchung vom falschen UBS-Konto auf PP überwiesen.Hat Deine Tochter denn inzwischen einen Auszug bekommen wo die Ueberweisung im Detail aufgeführt war?
Du weisst ja nicht, was die UBS im Hintergrund macht. Vielleicht haben sie auch kein Interesse daran, die Kunden über ihre Massnahmen zu informieren. Aus Sicht der Bank hätte ich auch kein Interesse, über Schwächen zu informieren und so die Kunden zu ängstigen. Ich hoffe nur, da ich selber auch UBS-Kunde bin, dass sie ihre Lehre daraus ziehen, um solche Abbuchungen zu unterbinden.
Verstehe ich nicht ganz. - Zur Man-in-the-middle-Situation: Da müsst MF's Tochter doch die aktuellen Daten liefern. Hat sie aber nicht, oder? - Der PC selbst wird nicht tätig und der Zugriff von aussen bringt die TAN auch nicht, sofern die Liste nicht auf dem PC abgelegt ist...?? (oder ist eine alte von vor 2.5 Jahren etwa noch aktiv drauf). - Aber da es aktuell ja eine vituelle Tan ist, von einem Generator, wenn ich das richtig mitbekommen habe. - Was wiederum ein Abgreifen über einen Keylogger ins Gespräch bringt. Aber eben, sie hat ja gar kein e-banking betrieben. Also auch nichts eingetippt.....Ich sehe da auch nur ein UBS-Fehler und würde ebenfalls einmal PayPal nerven. Vielleicht haben die nähere Daten und geben sie sogar raus.
Hallo myst3r10n
Zugriff auf UBS Konto via Internet (mit dem "Kartenleser").
a. Eingabe der Kontraktnummer (nicht identisch mit Kontonummer)
b. UBS-Seite zeigt eine 6 stellige Eingabenummer (alpha oder/und nZiffer)
c. Um Kartenlesegerät zu starten muss die AccessKarte eingeschoben werden und ein Passwort eingegeben werden (nach 3x Fehler kannst ihn wegwerfen benötigst Neuen)
d. Die 6 stellige Eingabenummer der UBS muss im Kartenlesegerät eingegeben werden.
e. Kartenlesegerät generiert eine neue 6 stellige Nummer (alpha oder/und Ziffer)
f. Diese Nummer muss auf der UBS Seite eingeben werden.
g. Nun bist auf deinem Konto
h. Bei Zahlung für einen neuen Begünstigten musst du via Kartenlesegerät mit einer neuen Eingabenummer die aus deinem Auftrag ausgewählt wird (und mit xZeichen verdeckt) ,wieder punkt c-f vollziehen. (ab welchem Betrag ist auf Kontobasis reguliert, aber ist sehr tief gesetzt, bei Jugendkonto weiss ich es nicht)
Und dann gibt es noch die 2te Variation mit dem AccessKey (siehe auch link unten)
Und nochmal ein Link, der die beiden Zugriffe detailliert dokumentiert (erwarte keine smilies), indem man die PDFs runterlädt
http://www.ubs.com/2/g/ebanking_microsi ... urity.html
edit
fyi bin nicht bei der UBS in irgendeinem Arbeitsverhältnis
.
Zugriff auf UBS Konto via Internet (mit dem "Kartenleser").
a. Eingabe der Kontraktnummer (nicht identisch mit Kontonummer)
b. UBS-Seite zeigt eine 6 stellige Eingabenummer (alpha oder/und nZiffer)
c. Um Kartenlesegerät zu starten muss die AccessKarte eingeschoben werden und ein Passwort eingegeben werden (nach 3x Fehler kannst ihn wegwerfen benötigst Neuen)
d. Die 6 stellige Eingabenummer der UBS muss im Kartenlesegerät eingegeben werden.
e. Kartenlesegerät generiert eine neue 6 stellige Nummer (alpha oder/und Ziffer)
f. Diese Nummer muss auf der UBS Seite eingeben werden.
g. Nun bist auf deinem Konto
h. Bei Zahlung für einen neuen Begünstigten musst du via Kartenlesegerät mit einer neuen Eingabenummer die aus deinem Auftrag ausgewählt wird (und mit xZeichen verdeckt) ,wieder punkt c-f vollziehen. (ab welchem Betrag ist auf Kontobasis reguliert, aber ist sehr tief gesetzt, bei Jugendkonto weiss ich es nicht)
Und dann gibt es noch die 2te Variation mit dem AccessKey (siehe auch link unten)
Und nochmal ein Link, der die beiden Zugriffe detailliert dokumentiert (erwarte keine smilies), indem man die PDFs runterlädt
http://www.ubs.com/2/g/ebanking_microsi ... urity.html
edit
fyi bin nicht bei der UBS in irgendeinem Arbeitsverhältnis
.Das ist der wunde PunktUm Licht ins Dunkel zu bringenMF schreibt dem KUBE ein email und verlangt eine schriftliche StellungnahmeSollte dieser nicht innerhalb 10 Tagen eintreffen, einen eingeschriebenen Brief an die zuständige Abteilung (das sorgt immer für Unruhe, denn da muss jemand visieren, also ne Antwort kommt spätestens dann)Und in der Antwort wird sicher auch aufgeführt, mit was seine Tochter zugriff aufs Konto , und wie und von welcher Quelle die ungerechtfertigten Zahlungen gemacht wurden
Ok, so sieht das Ding bei mir aus. Da ist noch Handarbeit gefragt.
-Aufrufen Bank-Webseite
- Eingabe Vertragsnummer
- Die Bank sendet über neue Seite einen 6stelligen Code
- Den Rechner einschalten, Karte einstecken, einen privaten Code eintippen
- Nun den von der Bank gesendeten 8stelligen Code eintippen
- Der Rechner gibt einen Zugangscode (auch 4x2) aus den man dann auf der Seite eingeben muss, danach wird der Zugang zum Konto freigegeben
Soviel ich weiss gibt es noch eine neuere Lösung mit einem USB Stick, der am PC eingesteckt wird und bei dem der Code die Verbindung direkt mit der Bankseite hergestellt wird. Da weiss ich nicht genau wie das abläuft. Bin aber er Meinung, dass die handgestrickten Lösungen eher besser sind, da Keylogger eher ins Leere laufen.
-Aufrufen Bank-Webseite
- Eingabe Vertragsnummer
- Die Bank sendet über neue Seite einen 6stelligen Code
- Den Rechner einschalten, Karte einstecken, einen privaten Code eintippen
- Nun den von der Bank gesendeten 8stelligen Code eintippen
- Der Rechner gibt einen Zugangscode (auch 4x2) aus den man dann auf der Seite eingeben muss, danach wird der Zugang zum Konto freigegeben
Soviel ich weiss gibt es noch eine neuere Lösung mit einem USB Stick, der am PC eingesteckt wird und bei dem der Code die Verbindung direkt mit der Bankseite hergestellt wird. Da weiss ich nicht genau wie das abläuft. Bin aber er Meinung, dass die handgestrickten Lösungen eher besser sind, da Keylogger eher ins Leere laufen.
Ja ich kenne den Keyaccess, wusste nur nicht mehr wie er funktioniert. Aber ich wusste noch, dass ich ihn für unsicherer gehalten habe als das alte System! Deshalb habe ich nicht gewechselt.Im alten System wird mir eine Nummer geliefert die ich extern in einen Rechner ohne Verbindung zum PC als Basis für eine Kontrollnummer verwende. Diese tippe ich dann ein und sie wird im UBS-Server verifiziert. Das ganze findet also ohne Anschluss am PC statt. Beim Keyaccess läuft alles über den PC mit permanenter VerbindungIch gebe die Vertragsnummer ein und den Pin, dann wird die Seite freigeschaltet. Irgendwie muss ich mich darauf verlassen, dass die Verbindung von der UBS kommt, dass keiner meine Eingaben abhören kann (WLAN....) usw.Aber bin da vielleicht nicht so auf dem laufenden, evtl. ist das Zeugs ja sicherCrashGuruGibt auch noch den Keyaccess (lies mal in der doku). Aber benötigt auch noch ne Menge handgriffe
Ich kann einfach nicht glauben, dass Jemand nach 2,5 Jahren ein Login rekonstruiert und sich via Proxy über ein WLAN in Zofingen einloggt um dann etwas Geld von einem Konto abzuheben.Theoretisch schon möglich, aber ich glaube weiterhin an einen sonstigen internen Fehler seitens UBS. Noch eine klärende Frage an MF:
[/SIZE]
Waren es zwei Transaktionen, sind also ingesamt 350.- "verschwunden" ? Wenn ja, wohin ging die erste Ueberweisung, müsste ja auch in einem Auszug ersichtlich sein?[SIZE= px]PS: Vielleicht bin ich da auch nicht objektiv, siehe UBS-Thread; die zwei Grossbanken, ihre Geschäftspraktiken, Lohn/Anreizsysteme und ihre Aktien können mir gestohlen bleiben
[/SIZE]Wäre ich Marketingchef Inland/Jugend bei UBS, hätte ich eine Weisung kreiert, dass in solchen Fällen (Jugendlicher, kleiner Betrag) die Fr. 200 sofort hätten ausbezahlt werden können, plus z.B. Fr. 50 für den Aerger oder einen Gutschein für 2 für einen Popanlass o.ä. Sollte Herr Ermotti diesen Blog lesen: ich hätte noch etwas freie Kapazität!Es gibt im Marketing eine wichtige Regel: Jede Kundenreklamation ist eine Super-Chance mit einem Kunden direkt in Kontakt zu kommen und durch eine geeignete Massnahme den Aerger in Goodwill zu verwandeln. Wäre dies passiert, wäre deine Tochter heutige ein Gratiswerberin für UBS und ihr Vater beruhigt, weil man ihr versichert hat, dass man den Vorfall Ernst nehme und prioritär versuche, der Ursache nachzugehen. Liebe UBS: eine Chance verpasst. "Kundennähe" in Inseraten herauszuposaunen und eine solche praktisch umzusetzen sind eben zwei total verschiedene Sachen
Ja die Nummer welche von UBS auf der e-banking Seite geliefert wird, muss in das schwarze Kästchen getippt (oben ist diese Zahl, unten das Feld, resp. die 4 Felder zu zwei Zeichen für die Freischaltung). Die Access Card mit dem Chip liefert darauf die entsprechende 8stellige Zahl/Buchstaben-Kombi. Diese wird dann in ein entsprechendes 2x4 Ziffernfeld eingegeben (Keylogger?) und abgeschickt. Das gibt dann den Zugang frei.Du meinst also die Nummer wird in dieses schwarze Rechenteil eingegeben richtig? Wie gehts dann weiter, dass wird an den Server gesendet über was?Es gibt keine sichere Verfahren, sondern nur die Illusion davonAber bin da vielleicht nicht so auf dem laufenden, evtl. ist das Zeugs ja sicher
Also, langsam wird's klarer:
Neben Userid/passwort braucht meine Tochter zum einloggen ins e-banking einen SMS-Code.
Das interessante dabei ist, dass ihr die UBS einen "für alle zukünftigen Transaktionen gültigen" SMS-Code geschickt hat!
Dies im Gegensatz zu mir: Wenn ich mich (nicht bei UBS) für's e-banking anmelde bekomme ich jedes mal einen neuen SMS-Code aufs Handy geschickt. Der Code ist dann nur wenige Minuten gültig.
Insofern ist klar: Wenn das Tripple aus Userid/passwort/smscode für alle Zeit und Ewigkeit gültig ist, machen sämtliche oben gelesenen Erklärungen Sinn!
Mich erstaunt, dass die UBS hier Jugendkonten offenbar sehr viel lascher handhabt als die "richtigen" Konten!
Neben Userid/passwort braucht meine Tochter zum einloggen ins e-banking einen SMS-Code.
Das interessante dabei ist, dass ihr die UBS einen "für alle zukünftigen Transaktionen gültigen" SMS-Code geschickt hat!
Dies im Gegensatz zu mir: Wenn ich mich (nicht bei UBS) für's e-banking anmelde bekomme ich jedes mal einen neuen SMS-Code aufs Handy geschickt. Der Code ist dann nur wenige Minuten gültig.
Insofern ist klar: Wenn das Tripple aus Userid/passwort/smscode für alle Zeit und Ewigkeit gültig ist, machen sämtliche oben gelesenen Erklärungen Sinn!
Mich erstaunt, dass die UBS hier Jugendkonten offenbar sehr viel lascher handhabt als die "richtigen" Konten!