EC-Karten-Sicherheit

Hmmm…

Einzige Abhilfe gegen so etwas wäre ja, EC-Karten und PIN nur mit Einschreiben zu verschicken. Aber das ist teurer also macht das eine Bank entweder gar nicht, oder sie legt die Kosten auf die Kunden um. Ob nun über Zinsen, Kontoführungsgebühren oder Kartengebüren ist ja egal.

Neu bzw. wesentlich daran: Die Erkenntnis, dass es überhaupt nicht darum geht, einen bestimmten Kunden anzugreifen.

Welche Bank schickt den PIN auch per Post raus? Ich muss mit Karte und Lichtbildausweis persönlich zur Bankfiliale meiner Wahl, um den Code abzuholen. Da gibts keine höheren Kosten noch sonstwas. Was sich heute alles Bank nennen darf… dafür hinkt meine Bank beim Onlinebanking hinterher. Die haben vor ein paar Wochen ein neues Feature groß angepriesen: Automatisches Logout nach 15 Minuten…

Äh…alle die diversen Banken, bei denen ich Konten habe…Nur eine hat kürzlich damit aufgehört und verschickt TAN-Generatoren, die erst aktiviert werden, nachdem man den Empfang per Fax/Post bestätigt hat.

Der klassische Fehler, den geheimen Schlüssel über denselben Kanal wie die Nachricht zu verschicken.

Den Angriff könnte man vermutlich sogar “verbessern”, indem man nicht auf eine EC-Karte wartet, sondern, sobald man Bank-Post findet, die EC-Karte als gestohhlen meldet und damit einen Neuversand auslöst.

PS: Mir ist es bisher nur einmal passiert, daß ich den Umschlag mit der PIN bei einer Bank direkt ausgehändigt bekommen habe. Ansonsten wurden die immer mit normaler Post zugeschickt.