Um eine groessere Rechnung zu bezahlen wollte ich runde 2500Eur ueberweisen. Also, wie immer, bei der DKB eingeloggt, Ziel-IBAN und Betrag eingetippt, auf TAN generieren geklickt. Nachdem ich ChipTAN verwende, EC-Karte in das ChipTAN-Geraet gesteckt, gescannt und...
Eigentlich haette ich jetzt ueberpruefen wollen ob IBAN und Betrag dem entsprechen, was der TAN-Generator so anzeigt. Nur zeigt der da grade nix an was irgendwie so aussieht, sondern sagt "Online-Abschluss 47110815" und spuckt mir dazu eine TAN aus. Und da faellt mir dann, stutzig geworden, auch auf, dass mich die Webseite nicht dazu auffordert, IBAN und Betrag zu vergleichen sondern einen "Online-Abschluss 47110815" zu bestaetigen.
Screenshot: 
Paranoid wie ich bin habe ich natuerlich die TAN nicht abgetippt sondern erstmal ueberlegt was das sein koennte. Zertifikat der Webseite sieht OK aus, Fingerabdruck entspricht dem was der Laptop und ein Rechner in der Uni behaupten. Wenn jemand meine Accounts ueberall da passend kompromittiert hat waere er gruendlich gewesen. Die DKB-Webseite hatte an dem Tag Wartungsarbeiten, zwar in anderen Bereichen (irgendwas mit Kreditkarten), aber vielleicht lags ja dadran. Also mal dem Support geschrieben, auf der Webseite gibts ein Kontaktformular...
Nachdems Samstag abends war ist erstmal nichts weiter passiert, aber heute, sonntags, habe ich dann erstmal eine Email mit Bitte um weitere Informationen bekommen. Meinen Screenshot, den ich im Formular koenne aus Sicherheitsgruenden (sic!) ausserdem nicht runtergeladen werden. Ausserdem noch ein paar witzige Fragen, ob ich Android oder IOS verwende (janoe, Desktop-Rechner), ob ich so boese Sachen wie LineageOS haette (wtf?) und welchen Browser ich verwende (kann das nicht das Supportformular mit einsammeln?). Die Mail war uebrigens weder signiert noch sonst irgendwie schoen der DKB zuzuordnen. Mailheader enthielten tonnenweise Krempel von irgendwelchen *.v998.intern-Domains (wtf?) und eine Zeile:
Received: from relay1021.mail.s-web.de (relay1021.mail.s-web.de [195.140.123.99])
Das einzige war dann doch eine DKIM-Signatur fuer dkb.de. Wie das ein DAU pruefen soll und von Phishing unterscheiden weiss ich nicht. Wirklich sicher war ich mir an der Stelle auch nicht, und ich bilde mir ein so Sachen zu verstehen. Nungut, jedenfalls hab ich drauf geantwortet mit dem Screenshot unverschluesselt im Anhang, weil S/MIME oder GPG kann die DKB anscheinend nicht, jedenfalls findet Google nix dazu (und vermutlich waer das auch dem Support aus "Sicherheitsgruenden" unmoeglich gewesen zu entschluesseln...).
Die dann folgende Antwort (unsigniert und ohne In-Reply-To, also wieder keinerlei Moeglichkeit nachzuvollziehen, dass die zu meiner Anfrage gehoert...)zitiere ich einfach mal so, die muss man auf sich wirken lassen:
Sehr geehrter Herr Wuerstlein, vielen Dank für Ihre Rückmeldung. Hierbei handelt es sich um keinen Fehler. Es kann Stichprobenartig vorkommen, das Überweisungsaufträge erst von unserer Fachabteilung überprüft werden. Dies dient zu Ihrer eigenen Sicherheit um auszuschließen, dass die Überweisung eventuell von einer anderen Person getätigt wurde. Ist die Überweisung für die Überprüfung vorgesehen, erhalten Sie nur die Information, dass Sie eine TAN für einen "Online-Abschluss" eingeben sollen, da die eigentliche Überweisung erst nach der Überprüfung von uns freigegeben wird. Sie können daher die Überweisung bedenkenlos durchführen. Sollte es von uns Rückfragen zu der Überweisung geben, setzt sich unsere Fachabteilung mit Ihnen in Verbindung. Ich hoffe, Ihnen mit diesen Angaben weitergeholfen zu haben und wünsche Ihnen einen angenehmen Tag. Mit freundlichen Grüßen <zensiert>
Da war ich dann endgueltig komplett misstrauisch und habe alles nochmal nachgeschaut, weil ich nicht geglaubt hatte, dass das sein kann. Dann ist mir noch eingefallen, dass doch sicherlich, die Anleitung sagt, dass man die IBAN und den Betrag zu pruefen hat, oder zumindest die Bedingungen das vorschreiben. Schliesslich will die Bank ja sowas da reinschreiben um im Zweifelsfall wenn was schiefgeht den Kunden auf dem Schaden sitzenlassen zu koennen. Also mal fix die Bedingungen angeschaut, wo sich folgende tolle Passage 8.4 findet:
Soweit die DKB AG dem Teilnehmer Daten aus seinem Onlinebanking- Auftrag (z. B. Betrag, Kontonummer des Zahlungsempfängers, Wert- papierkennnummer) im Kundensystem oder über ein anderes Gerät des Teilnehmers (z. B. Mobiltelefon, Chipkartenlesegerät mit Display) zur Bestätigung anzeigt, ist der Teilnehmer verpflichtet, vor der Be- stätigung die Übereinstimmung der angezeigten Daten mit den für die Transaktion vorgesehenen Daten zu prüfen
Wie toll, ich muss also nix pruefen wenn nix dasteht...
Gestaerkt durch das Wissen, dass die DKB schuld sein wird wenn da was schiefgeht und in der Hoffnung das auch vor Gericht so durchzukriegen wenn ich mein Geld wiederhaben will habe ich dann die Ueberweisung doch so durchgefuehrt, die Sache mit dem "Online-Abschluss 47110815" ging naemlich nicht weg. Eine folgende Ueberweisung sah wieder wie gewoehnlich aus.
Ich finde das ganze, egal ob ich jetzt morgen feststelle, dass das Geld irgendwo verschwunden ist, extrem besorgniserregend. Die DKB trainiert Kunden darauf, im Zweifels- fall auch mal fuenfe gerade sein zu lassen und "Online-Abschluss $RANDOM" auch zu akzeptieren. Die Fachabteilung weiss ja dann bei der Ueberpruefung auch sicher genau, welche Kontonummer ich denn gerne als Ziel gehabt haette. Und Kommunikation laeuft auch gut ueber unverschluesselte, unsignierte Emails, bei denen man nur mit viel Phantasie selbst als bewanderter User vielleicht kleine Anzeichen von Echtheit hineininterpretieren koennte.
Falls also mal jemand Man-in-the-Middle fuer die DKB implementiert, einfach die TAN immer fuer "Online-Abschluss 47110815" generieren, der Support sagt dass das OK ist wenn der Kunde fragt. Vermutlich werden zwar 90% der Kunden eh nicht so genau hinschauen oder fragen, aber wenn doch kriegt man damit die Quote auf 100%...
posted at: 21:41 | path: | permanent link to this entry