• OT

  • 2FA bei Nexi - Verbraucherzentrale klagt

Hallo,

die Verbraucherzentrale klagt Nexi, dass sie angeblich die Bankenbestimmung PSD2 nicht einhalten und Zwei-Faktor-Authentifizierung nicht vollständig umsetzen. Ich kann das nicht ganz nachvollziehen, zum Login in mein Konto benötige ich ein Passwort und zusätzlich noch einen Code der per Pushmitteilung bei instalierter App bzw. SMS kommt. Kann mir jemand erklären wo man rein mit Passwort oder Code Zahlungen machen kann, ohne vorherigen Credential Phishing des Passworts?

LG
creatix

Quelle:
https://www.consumer.bz.it/de/phishing-betrug-und-datenschutz

Ich kann mich erinnern dass es mal so war: du gibst die nummer, Fälligkeit und CCV ein und dann in einem zweiten Schritt ein von dir vorher festgelegtes Passwort - da wäre der "Trick" möglich. Das ist aber Jahre her, keine Ahnung ob es da schon PSD2 gab - seit damals habe ich keine nexi Karte mehr

  • ml- gefällt das.

Kann ich mir auch nicht erklären. Ich muss mich bei jeder Zahlung mit NEXI über die App authentifizieren - außer bei Amazon. Bis vor ein oder zwei Jahren war das allerdings noch anders, da war ein Wirrwarr je nach Online-Shop zwischen gar keinen Code eingeben oder den 3D Secure Code.
Laut dem Link der Verbraucherzentrale gehts hier ja eindeutig um Phishing. Vielleicht wird der SMS-Code über Phishing-Methoden abgefragt und die Leuten geben den Code freiwillig weiter?! Dass man SMS mit gefälschtem Absender im Titel versenden kann, dem müsste man eigentlich schon lange einen Riegel vorschieben. Bei Email erkennt man es meistens leicht an falscher Absenderdomain oder einem abstrusen Link im Text. Hab auch schonmal eine gefälschte NEXI SMS bekommen, war täuschend echt.

Nicht ganz nachvollziehbar für mich das ganze.

Bei den Südtiroler Banken die sich das Homebanking "in house" machen sieht es auch nicht gerade rosig aus:

  • Raika hat gar kein Passwort, der fortlaufende Username ist kein Geheimnis und die Authentifizierung über die App damit defacto ein einzelner Faktor.

  • Sparkasse App (Android) lässt sich mit einem einfachen Code oder Fingerabdruck entsperren, ohne zweiten Faktor. Das schließt Login sowie auch Transaktionen mit ein.

Der Verbraucherzentrale geht es ja nicht darum, den Status Quo zu verbessern was die Sicherheit betrifft, sondern es geht darum bei Betroffenen den Schaden erstattet zu bekommen. Die paar Tausender, die wahrscheinlich auch noch von Versicherungen abgedeckt werden, werden die Banken kaum dazu bewegen ihre Produkte ordentlich abzusichern.

  • Apex5 hat auf diesen Beitrag geantwortet.
  • lks gefällt das.

    Für mich ist das auch unverständlich, mich würde auch konkret interessieren in welchen Fällen eine Rückerstattung nicht mehr erfolgt, das wird vermutlich nicht arbiträr sein:

    Leider gab es Fälle, bei denen der ABF den Ausführungen der VZS nicht gefolgt ist, auch wenn sich die Sachlage nahezu identisch darstellte. Damit auch diese Personen eine Rückerstattung erhalten, hat die VZS versucht, bei Nexi außergerichtlich eine gütliche Einigung zu erzielen. Andere Zahlungsdienstleister, darunter auch die örtlichen, fanden sich immer zu Verhandlungen bereit. Nexi hat unsere Anfrage recht lapidar abgelehnt.

    Wie vermutet, kann man in der Regelung unter Art. 24 lesen:

    Art. 24 - Comunicazione di Operazioni di pagamento e di anticipo di
    contante non autorizzate o non correttamente eseguite
    Se il Titolare viene a sapere di Operazioni di pagamento o di anticipo di contante
    non autorizzate, non eseguite o eseguite in modo inesatto, può ottenerne la
    rettifica solo se:

    • comunica subito il fatto a Nexi, chiamando il Servizio Clienti o il
      numero dedicato al blocco della Carta;
    • conferma il fatto scrivendo Nexi, che può chiedere documentazione
      aggiuntiva a supporto entro 13 mesi dalla data di addebito.
      Il termine di 13 mesi non vale solo se Nexi non ha fornito o non ha messo a
      disposizione le informazioni relative all’Operazione di pagamento o di anticipo
      di contante, come previsto dalle disposizioni in materia di trasparenza delle
      condizioni e di requisiti informativi per le Operazioni di pagamento e di anticipo
      di contante via via vigenti.

    Das heißt also, wenn man den Schaden direkt an Nexi innerhalb 13 Monate meldet, bekommt man das Geld direkt zurück (ist Erfahrungsgemäß auch so). Man könnte meinen, eine regelmäßige Kontrolle der Abrechnung sei nicht zu viel verlangt, bzw. welchen Vorgang man bei einem Betrug einleiten muss, Basiswissen bei der Verwendung einer Krditkarte halt. Die Konsumenten sind natürlich unverfehlbar, der "größte" Zahlungsdienstleister muss das inhärent Böse sein.

    Nexi gilt als das größte Unternehmen für Zahlungsdienstleistungen in Italien, und verwaltet ca. 41,3 Millionen Zahlungskarten (Prepaid, Debit, Kreditkarten).

    So nebenbei: Zum Thema 5G findet man auch sehr beunruhigende Aussagen, so sind in mancher Umgebung sogar die Gebäude der Strahlung zum Opfer gefallen:

    Es kann auch passieren, dass die umliegenden Gebäude die Strahlen zurück reflektieren, auch ins Innere des Gebäudes, auf dem sich die Antenne befindet. Dieses Gebäude wird somit von vielen Mikrovibrationen durchlaufen, welche auch die Statik und die Stabilität der Immobilie gefährden könnten (gemäß mehrere technischer Studien zu Akustik und Statik).

    5G: Telefonanbieter auf der Jagd nach Dachterrassen

    Des weiteren liest man in Verbraucherzentrale Südtirol und Bürgerwelle nehmen am ersten globalen Protest-Tag gegen 5G teil:

    Am 25. Jänner wird in vielen Ländern der erste globale Protest-Tag gegen 5G abgehalten. Dieser Tag ist der erste einer Reihe, an dem die Zivilgesellschaft ihre Stimme gegen die Bestrahlung des Planeten erheben will. In diesen Tagen wird der Appell gegen die Bestrahlung auf der Erde und aus dem Weltall, mit über 3.300 Seiten Unterschriften, in vielen Ländern an die politisch Verantwortlichen übergeben. In der Erdumlaufbahn befinden sich bereits 120 der insgesamt 20.000 neuen Satelliten, welche mit den Drohnen auf der Erde interagieren sollen.

    Wird wohl in so was enden:
    Image description

    b123
    Die PSD2 sieht bei der Starken Kundenauthentifizierung vor, dass 2 von folgenden 3 Kriterien zur Anwendung kommen:
    -Wissen (z.B. PIN, Passwort…)
    -Besitz (z.B. Handy, Token…)
    -Inhärenz (z.B. Fingerabdruck, Face-Id)

    Erklären Sie mir also bitte wo bei den von Ihnen zitierten Südtiroler Banken ein Sicherheitsproblem sein sollte?

    Wenn Sie den User der Raika haben dann benötigen Sie ie auch das entsprechende Smartphone auf dem die mit dem User gekoppelte App installiert ist bzw das entsprechende Lesegerät. Und dann benötigen Sie noch die entsprechende PIN bzw. Biometrische Erkennung.

    Bei der Sparkasse ist es nicht viel anders. Dort benötigen Sie neben dem User auch noch das Passwort und zur Autorisierung entweder eine PIN die nur Sie kennen sollten bzw. Ihre biometrischen Daten, das Smartphone mit der gekoppelten Rufnummer oder das Lesegerät.

    Wenn die persönlichen Daten dann leichtsinnig weitergegeben werden, hilft leider auch keine PSD2-Richlinie.

        Ob und wie die Banken PSD2 der Schrift nach erfüllen oder nicht interessiert mich weniger als die konkrete Probleme.

        Ist ein Passwort für Homebanking wirklich zu viel verlangt?

        Die Raika hatte einen großes Problem mit dem fehlenden Passwort, weil die User beim Vertippen des Usernames manchmal andere, valide Accounts erwischt haben, Notifications auf fremde Smartphones rausgegangen sind und manch unbedarfter User auf dem Smartphone einfach die Verbindung zugelassen hat (aufgrund fehlendem Verständnis was das eigentlich bedeutet), dadurch sind die User in fremden Konten gelandet.

        Die Schuld vom User? Ja klar. Gutes System? Auf keinen Fall.

        Der Fix war afaik den Usernamen um ein Zeichen zu erweitern, damit die Wahrscheinlichkeit, einen validen User durch einen Tippfehler zu erwischen, verringert wird.

        Wir sprechen über Smartphone Notifications die getriggered werden, ohne auch nur ein einziges Sicherheitskriterium zu erfüllen. Lediglich der 9 stellige Username wird dafür benötigt.

        Eine langsame und verteilte Enumeration Attacke würde wahrscheinlich ein paar Konten unbedarfter User öffnen, und eine große Anzahl von Kunden mit Notifications nerven.

        Apex5 Bei der Sparkasse ist es nicht viel anders. Dort benötigen Sie neben dem User auch noch das Passwort und zur Autorisierung entweder eine PIN die nur Sie kennen sollten bzw. Ihre biometrischen Daten, das Smartphone mit der gekoppelten Rufnummer oder das Lesegerät.

        Nein, wenn einmal die Smartphone App mit Fingerabdruck eingerichtet ist, wird (für die Banking App auf dem Handy) nur noch der Fingerabdruck benötigt, für absolut alles. Kein Username, kein Passwort kein PIN.

        Das die Kombination Handy + Fingerabdurck/Face-ID als 2 separate Kriterien gelten, und daher als sicher genug gelten, ist für mich nicht nachvollziehbar.

            b123 Der Fix war afaik den Usernamen um ein Zeichen zu erweitern, damit die Wahrscheinlichkeit, einen validen User durch einen Tippfehler zu erwischen, verringert wird.

            Es waren zwei Zeichen, aber da hast du einen Punkt!

            b123 Die Schuld vom User? Ja klar. Gutes System? Auf keinen Fall.

            Ich würde mir wünschen, die Banken würden zumindest optional (für interessierte User) noch zusätzliche Sicherheitsmechanismen anbieten. Beispielsweise Passwort oder FIDO2.

            Es gibt mit dem aktuellen System augenscheinlich Probleme. Raiffeisen hat z.B. erst das Limit für Instant-Überweisungen reduziert und die Generierung von neuen Registrierungscodes für die Neueinrichtung der RaiffeisenID App im OnlineBanking deaktiviert, welches ich immer bei Handywechsel verwendet habe. Sonst kann ich mir nicht erkären wieso man diese Funktionen allen Kunden wegnimmt.

            Finde wer einen zusätzlichen Sicherheitsmechanismus freiwillig aktiviert, sollte diese Funktionen wieder zurück bekommen.

            Was wir hier schreiben juckt aber vmtl. eh niemand, man wird weiterhin daran arbeiten möglichts krasse root detection zu haben, das offensichtliche aber nicht einbauen.

            • Kruz hat auf diesen Beitrag geantwortet.
            • Kruz gefällt das.

                  b123

                  Das fehlende Verständnis der User ist lediglich beim Einstig über den PC gegeben. Über die App reichen auch hier die Biometrischen Daten (falls aktiviert) bzw. die selbst definierte PIN.

                  Leider sind die Smartphonenutzer heutzutage gewohnt überall ohne lang lesen draufzuklicken damit die Cookies nicht angezeigt werden bzw. damit die App funktioniert. Bei der Nutzung einer Bankapp mit entsprechendem Zugriff auf meinen Ersparnissen wäre das lesen der Push-Benachrichtigungen schon das Mindeste.

                  Apropos Biometrische Daten; der Zugriff mit Fingerprint bzw. Face-ID ist dei der Sparkasse ein Optional und kann beim Ersteinstieg aktiviert werden. Bei nicht Aktivierung, erfolgt der Zugriff immer mit Passwort und entsprechender PIN und bei der Autorisierung von Transaktionen ist auch die PIN erfolrderlich. Diese Einstellung kann jeder Nutzer "freiwillig" aktivieren.

                    netgear Was wir hier schreiben juckt aber vmtl. eh niemand, man wird weiterhin daran arbeiten möglichts krasse root detection zu haben, das offensichtliche aber nicht einbauen.

                    Ja, das ist ein krasser Witz: externe "Sicherheitsfeatures" einkaufen und damit prahlen, selbst aber ein Sicherheitskonzept alá HOB Einstiegsinformatiker haben und das ganze teils noch schlechter umgesetzt bzw. nur gerade notdürftig gepacht.

                      20 Tage später

                      hmm... neulich habe ich bei einem US-amerikanischem Softwareanbieter mit jährlichem Abo einfach die Kreditkartendaten mit Verfallsdatum und CVV eingegeben, und wurde nicht nach Nexi Account, Nexi Code, oder einem 6-stelligen One-Time-Passwort per Pushmitteilung oder SMS gefragt.

                      Das hat mich etwas überrascht, scheint vielleicht doch etwas dran zu sein an der Behauptung der Verbraucherzentrale.

                      • didi69 hat auf diesen Beitrag geantwortet.

                        creatix
                        hast du den Codice Nexi Key6 eingestellt ?
                        den muss man eingeben beim online zahlen

                        • creatix hat auf diesen Beitrag geantwortet.
                            6 Tage später

                            Habe erneut bei einem Onlineshop (Melopero.com) eine Bestellung können aufgeben, rein mit den Infos die auf der Kreditkarte vorne und hinten aufgedruckt sind. Auf die Frage im Shop, ob ich die Daten hinterlegen will, hab ich dankend abgelehnt. Jemand mit ähnlicher Erfahrung?

                            Habe die letzten 20 Jahre eigentlich immer mit PayPal bezahlt. Wegen der Zwei-Faktor-Authentifizierung dort wo ich ständig mein Handy griffbereit haben muss, bin ich jedoch etwas faul geworden und bevorzuge gerade deshalb immer öfter die Zahlung per Kreditkarte weils da nicht so streng gehandhabt wird ...

                              creatix Habe die letzten 20 Jahre eigentlich immer mit PayPal bezahlt. Wegen der Zwei-Faktor-Authentifizierung dort wo ich ständig mein Handy griffbereit haben muss, bin ich jedoch etwas faul geworden und bevorzuge gerade deshalb immer öfter die Zahlung per Kreditkarte weils da nicht so streng gehandhabt wird ...

                              Naja, mit Paypal zahle ich eigentlich nur wegen dem Käuferschutz.
                              Wenn ich einen Shop nicht kenne und das Paket nicht ankommt, bekommt man das Geld recht einfach zurück.
                              Kreditkarte ist mir zu umständlich. Wenn aber ApplePay angeboten wird, dann verwende ich das (außer bei Erstbestellungen eben PP wegen Käuferschutz).