Vorsicht Phishing: Spam-Angriff auf Kunden der Deutschen Bank

Meine Bank ist abgebranntEs muss gewarnt werden. Eine E-Mail von der Deutschen Bank, Betreff: „Wichtige Mitteilung – Ihr Konto ist inaktiv“. Soso, ist ja komisch. Aber: Logo der Deutschen Bank, Mailadresse der Deutschen Bank, und nicht ein ganz so holpriges Deutsch, wie man es von einschlägigen Phishing-Versuchen gewohnt ist:

Sehr geehrter Deutsche Bank Kunde,
als Teil unserer Sicherheitsmaßnahmen untersuchen wir die Aktivität in dem Deutsche Bank System regelmäßig.
Für die Sicherheit unserer Kunden hat Deutsche Bank eine Sicherheitsmaßnahme eingeführt:
Periodisch muß jeder unserer Kunden beweisen daß sein TAN-Block sich noch in seinem Besitz befindet.
WICHTIG:
Folgen Sie den von uns nächstens angegebenen Schritten nur, falls Sie den im Moment aktiven TAN-Block bei Ihnen haben.
Diese Sicherheitsmaßnahme kann nur durch der von uns angegebenen Webadresse durchgeführt werden, versuchen Sie es bitte nicht direkt aus Ihrem Konto.
Folgen Sie den von uns vorgeschriebenen Schritten bitte genauestens.

Es folgt ein Link, laut diesem Bericht des PC Magazins auf eine Seite, die auf einem Server der Telecom Italia liegt und Logindaten abfragt. Also Mauszeiger weg davon und Finger hin zur Entf-Taste!

Wenn’s ums Geld geht – aufregen!

Um die Trilogie „Die Sparkasse und die Umstellung ihrer Onlinebanking-Verfahren“ würdig abzuschließen (Teil 1, Teil 2), möchte ich auf den Erfahrungsbericht von Dirk in seinem Blog RundumGenuss verweisen.

Er war ob der ausbaufähigen Kommunikation der Kasse mit ihren Kunden ebenfalls irritiert und suchte das Gespräch. Das Ergebnis und sein Fazit:

Dafür trug ich beim Verlassen der Einrichtung das o.g. Gerät [chipTAN-Gerät – sl.] in der Tasche, fertig für mich konfiguriert, ohne die 11 Euro bezahlt zu haben. Da stellt sich die Frage, warum die Firma das Gerät nicht grundsätzlich kostenlos zur Verfügung stellt, sondern auf die Leidensfähigkeit ihrer Kunden setzt, um es sich von allen, die sich nicht aufregen, erst mal bezahlen zu lassen.

Das angekündigte Erklärschreiben an alle Onlinebanking-Kunden habe ich im übrigen nie erhalten, stattdessen bin zweimal per Telefon sanft zum Wechsel aufgefordert worden. Bislang habe ich noch bequem meine iTAN-Nummern verbraten, die Umstellung auf das smsTAN-Verfahren steht demnächst an. Mal sehen.

Wandel beim Onlinebanking: chipTAN und mobileTAN ersetzen iTAN

Wie jüngst hier bereits angeschnitten, wird die Zeit der papiernen TAN-Listen für das Onlinebanking demnächst ablaufen – zumindest für alle Sparkassen-Kunden. Die Deutsche Bank bietet das iTAN-Verfahren weiterhin an, die Volks-und Raiffeisenbanken haben die Papier-Liste längst abgeschafft, andere Banken wie die Commerzbank oder HypoVereinsbank sind noch am Planen.

Mehr Wissenswertes zum Thema habe ich in die Zeitung geschrieben und in das Nordkurier-Hitech-Blog Zeilenfresser gedrückt – et voilà.

Sparkasse Neubrandenburg-Demmin: TAN-Liste aus Sicherheitsgründen abgeschafft – nun chipTAN oder smsTAN

UPDATE: Habe dann für die Zeitung einfach mal nachgefragt. Die Ergebnisse gibt es hier.

* * * * * * * *

Gut, dass wir darüber geredet haben, liebe Heimat-Sparkasse. Oder auch nicht. Denn die Initiative in diesem Fall ging nicht von euch aus.

Ab 1. Juli können Kunden der Sparkasse Neubrandenburg-Demmin beim Online-Banking nicht mehr mit der herkömmlichen TAN-Liste aus Papier arbeiten. Die TAN-Liste (oder ihr Upgrade iTAN) wird abgeschafft. Stattdessen soll sich der geneigte Kunde für eines von zwei anderen Verfahren entscheiden: chipTAN oder smsTAN.

Ich habe damit mehrere kleine Probleme. Zum ersten bin ich erstaunt, dass der Wechsel auf chipTAN oder smsTAN zwar prominent auf eurem Banking-Portal angepriesen, dabei aber nicht erwähnt wird, dass die Papier-TAN-Liste demnächst definitiv abgeschafft wird. Diesen Fakt sowie das dazugehörige Datum 1. Juli 2011 musste ich mir bei eurer netten Hotline-Frau erfragen.

Zum zweiten werde ich – aus Prinzip – bockig, wenn etwas, wofür ich vorher nichts bezahlen musste, nun Geld kostet. Beim Verfahren chipTAN bin ich angehalten, bei euch einen sogenannten TAN-Generator zu erwerben, was mich laut Netz-Auskunft „14 bis 15 Euro“, laut Telefon-Hotline etwa 8 Euro kostet, wenn ich den Kasten bei euch vor Ort kaufe. Beim chipTAN-Verfahren stecke ich meine Sparkassen-Card in den Generator, dann … doch lest selbst. Umständlicher ist es allemal.

Beim smsTAN-Verfahren bekomme ich von euch nach Ausfüllen des Überweisungs-Formulars eine SMS mit der entsprechenden TAN-Nummer. Kostet mich pro SMS fünf Cent. Andere Sparkassen spendieren ihre Kunden vier SMS pro Monat oder auch 30 SMS im Quartal für umsonst. Sind alles keine Rockefeller-Summen, und wenn es der Sicherheit dient, meinetwegen. Aber fragwürdig bleibt das Prozedere allemal.

Und drittens: Hauptgrund für die Umstellung und also Abschaffung der herkömmlichen TAN-Liste sei die Sicherheit, sagt ihr. Mag sein, sicherer wird das ganze durch Verkomplizierung einer Überweisung ganz gewiss. Doch gibt es trotz allem keine hundertprozentige Sicherheit, erste Trojaner-Angriffe auf das smsTAN-System wurden bereits gemeldet. Und warum lässt man dem Kunden nicht die Wahl, welches Verfahren er bevorzugt?

Diese Quasi-Entmündigung prangere ich an. Das stelle ich zur Diskussion.