Paypal Account gehackt

T42p

New member
Themenstarter
Registriert
7 Sep. 2004
Beiträge
9.522
Moin!

Heute Nacht wurde scheinbar mein Paypal Account gehackt, denn gegen 2:30 Uhr wurden 50$ an eine Firma namens "Aeria Games & Entertainment" überwiesen. Laut Transaktion wurden sogenannte "Aeria Points" gekauft. Der Account ist inzwischen gesperrt und Paypal über den Vorfall informiert, nur wundere ich mich wie der Hacker an das Passwort gekommen ist. Ich habe meine Rechner mit Avira (gute Erkennungsrate) und dem Kaspersky Online Virenscanner gecheckt, konnte jedoch keine Trojaner oder Keylogger ausfindig machen. Phishingmails landen sowieso gleich im Müll, und ich würde mich als recht sicherheitsbewussten Anwender bezeichnen. Mich wurmen gar nicht so sehr die ca. 40 EUR die ich vielleicht noch per Bankeinzug verlieren werden (Was macht Paypal wenn man den Betrag einfach zurückbucht?) sondern der Umstand dass ich nicht weiß wie es dazu gekommen ist. Mein Passwort ist eine Kombination aus Buchstaben und Zahlen, und ich würde es als relativ sicher bezeichnen wollen. Dennoch muss der Hacker es ja irgendwo herbekommen haben. Jemand ne Idee?

Möglicher Weise hängt die Sache mit einem vor einigen Wochen passierten Vorfall zusammen, und zwar wollte ich mich bei ebay einloggen, was nicht möglich war, angeblich sei das Passwort falsch. Später stellte sich heraus dass mein Account von ebay gesperrt wurde, weil sich angeblich jemand daran zu schaffen gemacht hätte. Das Passwort wurde geändert und seitdem war wieder Ruhe und ich habe mich nicht weiter darum gekümmert, da kein Schaden entstanden ist. Aber ist es nicht unüblich dass so viel Zweit zwischen 2 Hacks vergeht, wenn man ein Paypal-Konto um Geld erleichtern will?

Ich habe natürlich erst einmal sämtliche wichtigen Passwörter geändert, zu welcher weiteren Vorgehensweise könnt ihr mir raten?
 
Klingt beängstigend. Aber 50$? Warum nur so wenig? Scheinbar hat sich da jemand auf deine Kosten ein wenig die Zeit vertrieben. Der eigentliche "Sinn" war wohl der Spaß am hacken und weniger die persönliche Bereicherung. Mehr als ärgerlich bleibt das allemal.

Habe durch den Vorfall inspiriert gleich mein PayPal Passwort geändert. Dabei fiel mir auf, dass ich nicht mehr die gleichen persönlichen Sicherheitsfragen wählen konnte. Wo werden diese persönliche Infos eigentlich gespeichert und wer überwacht den Zugriff darauf? Meine Horrorvorstellung: PayPal verfügt über Unmengen an höchst persönlichen Informationen über seine Nutzer wie Geburtsort, Lieblingsfarbe, Mädchenname der Mutter, Geburtsort der Mutter, erstes Haustier ect. pp.
 
man darf ja auch nicht vergessen von deinem Höchstbetrag abgesehendas der hacker ja sich eben nicht so ohne weitere waren bestellen kann da diese dann an eine adresse geschickt werden müssten und das wäre dann wirklich gelinde gesagt amateurhaft.
Insofern war es ziemlich Klug sich punkte für spiele items zu holen wobei mir jetzt nicht ganz klar ist ob man diese wieder zu geld machen kann, denn sonst würde das ganze irgendwie keinen sinn machen wenn die ganze sache aufliegt.
wie dem auch sei dein Missgeschick zeigt mir das man in dem Bereich nicht vorsichtig genug sein kann, und man regelmäsig sein passwort bei wirklich wichtigen accounts also Bank, Ebay, Pay pal, E-Mail account ect. ändern sollte.
EDIT: also wenn ich hohe Beträge bei pay pal via Kreditkarte bezahle geht das problemlos, allerdings ist das eine Prepaid card die voher aufgeladen werden muss um damit zu bezahlen zu können. Hat den vorteil das man diese nicht plündern kann aber den Nachteil das es bis zu fünf dauert kann bis das Geld auf dem Kreditkartenkonto gebucht wurde.
 
hi,
@T42p, das ist echt sch**** !
der betrag ist ja "nur" das eine, die andere seite ist, wenn das erfahrenen jusern passiert (was ja hier der fall ist) dann bleibt ein sehr schlechtes gefühl zurück .
so in etwa: wie wenn man weiss, es war jemand in der wohnung, auch ohne das etwas gestohlen wurde.
das bedrückende gefühl und die unsicherheit überwähgen hier den betrag, denke ich .....

zum sachverhallt
Da der Betrag in USD abgebucht und scheinbar auf einer US-Website eingesetzt wurde, vermute ich eher einen ausländischen Angreifer.
nein nicht zwingend über einen proxy auf die com seite einloggen ......
Aber ich gebe Dir echt das war ein amatuer am werk.
da schliesse ich mich eher der aussage von cunni an, dazufügen möchte ich, internationale strafuntersuchungen werden für solch beträge erst gar nicht gemacht.
das weiss auch die "mafia". und nutz es als schutz, die buchen lieber 200 mal 50 euro ab und wissen es geschiet nichts.
einmal 10000 euro ab buchen, dann werden wohl alle verfolger (justiz/geschädigte) tätig.
Von Aeria Games hat sich noch niemand gemeldet, ich denke mal denen ist das relativ schnuppe.
da bekommst du höchstens ne mail dass sie die daten nicht herausgeben dürfen ohne durchsuchungsbefehl gegen das jenige konto, dass du ja nicht hast.

auch hier nutzt die "mafia" online portale um die machenschfften zu verschleiern.
-a- bei viellen onlinegames haben die meisten juser mehrere acounts, oft mit dem selben passwort wie der jusername im game.......
-b- die konten werden genommen um solche gelder verschwinden zu lassen, das ist möglich weill man innerhalb der gameportale das geld wiederumm auf andere konten gutschreiben kann.
bei vielen portalen kann eine "wahrengutschrift" mit verlust auch wieder in bargeld umgewandelt werden.
genau das nutzen die leute um anonym zu bleiben.
da das gehackte konto nur für transaktionen genutzt wurde, ohne den besitzer zu schädigen, wird der hier vermeintlich missbrauchte gamer gar nie etwas unternehmen.
somit kommt man nicht an die Infos die mann bräuchte um dagegen rechtlich vorzugehen.

dass erklährt natürlich nicht wie die an dein passwort gekommen sind, wollte nur zeigen wie man das ganze netz eben nutzen kann.

zum Passwortmissbrauch, da würde ich mal im nächsten umfeld eruieren, wer die möglichkeit hätte an die infos via social hacking zu kommen.
ja, sorry ist nicht gerade nett, der gedanke, aber oft naheliegend.
die andere möglichkeit ist ein proxyserver den du vielleicht benutzt, wo auch immer, in den logfiles lassen sich passwörter die im browser eingegeben weden auslesen ...
als drittes ist es möglich die W-lan verbindung einfach mitloggen, ohne VPN-Verbindung ist es egal ob WEP WPA WPA2 oder was auch immer .....
mit der Man-in-the-Middle-scenario lässt sich da fast alles auslesen .

greeTz lyvi
 
Ich nutze auch diesen Hardware- Schlüssel, es gab da mal irgendwo einen Bericht von Leuten vom CCC (Chaos Computer Club). Dort wurde auf dien Sicherheitsmangel von Paypal bzgl.der Anmeldung nur über e-Mail und Passwort hingewiesen und auch gesagt, dass die Sache durch den Key-Dongle ziemlich sicher ist. Jeder dongle beutzt einen anderen Algorythmus zur Keyberechnung. Auf der Rückseite des Dongles ist eine Seriennummer aufgeklebt und genau diese Nummer musste ich bei der Umstellung meines Accounts eingeben. DasPaypal- System kennt dadurch den Allgorythmus MEINES Dongles und somit kann ich mich ziemlich eindeutig identifizieren. Würde ich z.B. Ingos Dongle benutzen oder vieleich einen den ich z.B. gefunden hätte, würde das nicht funktionieren. Die Uhrzeit spiel meines Erachtens dabei keine Rolle.

Der Dongle kam direkt aus USA von Paypal und hat 4,95€ gekostet. DAs ist mir die Sicherheit aber wert.
 
Nochmal zu dem Schlüssel-Generator: Angenommen, ich verreise und vergesse dummerweise das Gerät zu Hause. Kann ich dann ohne das Teil trotzdem eBay und PayPal nutzen? Oder braucht man zum Umschalten auf den normalen Modus einen erzeugten Schlüssel (ähnlich beim Onlinebanking, wo man für eine Änderung der Daten eine TAN braucht)?
 
[quote='phil83',index.php?page=Thread&postID=472545#post472545]Nochmal zu dem Schlüssel-Generator: Angenommen, ich verreise und vergesse dummerweise das Gerät zu Hause. Kann ich dann ohne das Teil trotzdem eBay und PayPal nutzen?[/quote]

Ja das geht. Du kannst dich von eBay auf einer von dir hinterlegten Nummer anrufen lassen. Da wird dann etwas abgefragt, was weiß ich grad nicht :)
(Bankverbindung oder so?)
 
[quote='phil83',index.php?page=Thread&postID=472545#post472545]Nochmal zu dem Schlüssel-Generator: Angenommen, ich verreise und vergesse dummerweise das Gerät zu Hause. Kann ich dann ohne das Teil trotzdem eBay und PayPal nutzen? Oder braucht man zum Umschalten auf den normalen Modus einen erzeugten Schlüssel (ähnlich beim Onlinebanking, wo man für eine Änderung der Daten eine TAN braucht)?[/quote]

NEIN! geht nur noch mit dem passenden Dongle- und genau so soll es auch sein. Das heisst eBay kannst Du ja nutzen, das hat mit dem Dongle ja nichts zu tun, aber mit Paypal kannst Du in diesem Fall nich Zahlen. Den Paypal Account kann ich nicht wieder auf "ohne Dongle " umschalten.

edit Ingo war schneller, die von Dir beschriebene Variante kenne ich nicht
 
@ vge - ich meinte nur eBay, sorry.
Ob dieser Weg auch bei PayPal funktioniert weiß ich nicht, bei eBay funktioniert es 100%ig.
 
Naja und bezahlen kann man ja zur Not auch noch wenn man wieder zuhause ist. Ich nutze das Paypal mit dieser Sicherung lieber als wie b.B Bezahlung per Kreditkarte. Viele Online- Händler bieten ja mitlerwele auch schon zahlung per Paypal.
 
[quote='vge',index.php?page=Thread&postID=472549#post472549]Den Paypal Account kann ich nicht wieder auf "ohne Dongle " umschalten.[/quote]Nie nie nie niemals wieder? 8|
 
[quote='lyvi',index.php?page=Thread&postID=472504#post472504]hi,
@T42p, das ist echt sch**** !
der betrag ist ja "nur" das eine, die andere seite ist, wenn das erfahrenen jusern passiert (was ja hier der fall ist) dann bleibt ein sehr schlechtes gefühl zurück .
so in etwa: wie wenn man weiss, es war jemand in der wohnung, auch ohne das etwas gestohlen wurde.
das bedrückende gefühl und die unsicherheit überwähgen hier den betrag, denke ich .....[/quote]

So ist es, eben weil ich nicht weiß was noch ausgespäht wurde, und wie der Täter an das Passwort gekommen ist. Ich habe auch noch 2 weitere Rechner mit Knoppicillin gecheckt auf denen ich mich mal bei ebay eingeloggt habe. Nichts.... Schadsoftware scheidet also mit ziemlicher Sicherheit aus.

zum Passwortmissbrauch, da würde ich mal im nächsten umfeld eruieren, wer die möglichkeit hätte an die infos via social hacking zu kommen.

Schließe ich eigentlich so gut wie aus. Am wahrscheinlichsten erscheint mir inzwischen ein Hack einer Website wo ich mich mal mit korrekter E-Mail-Adresse und Standardpasswort angemeldet habe. Das wird mir definitiv nicht mehr passieren, ich werde noch öfter Dienste wie Mailinator einsetzen und für jede Website ein anderes Passwort benutzen.

die andere möglichkeit ist ein proxyserver den du vielleicht benutzt, wo auch immer, in den logfiles lassen sich passwörter die im browser eingegeben weden auslesen ...

Benutze ich eigentlich auch nicht.

als drittes ist es möglich die W-lan verbindung einfach mitloggen, ohne VPN-Verbindung ist es egal ob WEP WPA WPA2 oder was auch immer .....

Aber es ist doch verschlüsselt? Wäre das nicht ein bisschen zu viel Aufwand?

[quote='vge',index.php?page=Thread&postID=472562#post472562]Naja und bezahlen kann man ja zur Not auch noch wenn man wieder zuhause ist. Ich nutze das Paypal mit dieser Sicherung lieber als wie b.B Bezahlung per Kreditkarte. Viele Online- Händler bieten ja mitlerwele auch schon zahlung per Paypal.[/quote]

Kreditkarte ist deutlich sicherer als Paypal, denn man haftet bei Betrug bis max. 50 EUR und kann Beträge leicht zurückbuchen.
 
[quote='T42p',index.php?page=Thread&postID=472569#post472569]Wäre das nicht ein bisschen zu viel Aufwand? [/quote]Ja, wäre es. Ich glaube auch nicht, dass jemand den WPA2-verschlüsselten Datenverkehr mitloggt. Kann ja dann nur ein Nachbar sein. Und ich weiß nicht, wo du wohnst bzw. was du für Nachbarn hast. Aber das wäre schon sehr riskant für denjenigen. Außerdem ist die Anmeldung zu eBay/PayPal HTTPS verschlüsselt, somit wird es noch etwas komplizierter.

Ich denke am ehesten, dass es eine XSS-Lücke war und du dich einfach unbewusst auf einer vielleicht gefakten Seite eingeloggt hast Seite...
 
[quote='vge',index.php?page=Thread&postID=472562#post472562]Naja und bezahlen kann man ja zur Not auch noch wenn man wieder zuhause ist. Ich nutze das Paypal mit dieser Sicherung lieber als wie b.B Bezahlung per Kreditkarte. Viele Online- Händler bieten ja mitlerwele auch schon zahlung per Paypal.



Kreditkarte ist deutlich sicherer als Paypal, denn man haftet bei Betrug bis max. 50 EUR und kann Beträge leicht zurückbuchen. [/quote]



Sicherer? weiß ich, wer da noch meine Kreditkartendaten mitloggt? Haftung, mag sein, aber ich will ja erst gar keine Betrugsfall zustandekommen lassen. Und genau das finde ich über die Paypal + Dongle Lösung bedeutend sicherer.
 
weiß ich, wer da noch meine Kreditkartendaten mitloggt?
jedes geldinstitut das Google Analytics einsetzt übermittelt deine daten zu google in den USA die wiederum haben so gut wie keinen datenschutz.
 
[quote='vge',index.php?page=Thread&postID=472581#post472581]
Sicherer? weiß ich, wer da noch meine Kreditkartendaten mitloggt? Haftung, mag sein, aber ich will ja erst gar keine Betrugsfall zustandekommen lassen. Und genau das finde ich über die Paypal + Dongle Lösung bedeutend sicherer. [/quote]

Aber Du kannst es doch eh zurückbuchen lassen.
Dass Paypal alles andere als sicher ist, kannst Du überall nachlesen und mein Fall ist doch das beste Beispiel.

@hep:

Wie gesagt, ich bin nie anders als über die Originalseite auf Paypal gegangen.
 
Hatte zwar noch nie Probleme mit PayPal oder Hackern oder Sonstigem, aber habe mich als Reaktion auf diesen Thread gleich mal vom Lastschriftverfahren bei PayPal abgemeldet. Mit GiroPay sind wenigstens noch ein paar Passwort, etc. Abfragen dazwischen.

Was mich aber wundert, wenn dein Account gehackt wurde, wieso hat dann der Hacker nur "ein paar Dollar" sich ergaunert...
 
[quote='T42p',index.php?page=Thread&postID=472683#post472683]

Dass Paypal alles andere als sicher ist, kannst Du überall nachlesen und mein Fall ist doch das beste Beispiel.
[/quote]

http://www.teltarif.de/arch/2008/kw15/s29561.html

@ metacircle

Da steht auch was zu GiroPay drin. Ich glaube das nennt man pishing.
 
[quote='vge',index.php?page=Thread&postID=472703#post472703]Da steht auch was zu GiroPay drin. Ich glaube das nennt man pishing.[/quote]Die Banken warnen davor sich auf die Bankseite weiterleiten zu lassen. Man soll immer die URL direkt eintippen oder eine Bookmark benutzen. Was ist Giropay? Das Weiterleiten auf die Bankseite durch einen dritten.

IMHO bietet meine Bank mit mit Giropay etwas an vor dem sie selber warnt. Ich bin begeistert.
 
Wenn ich als "Mann vom Fach" (welches Fach lasse ich mal offen! :D ) auch noch mal was beisteuern dürfte:

Ich würde Dir, T42p, empfehlen, Dich morgen mal mit Paypal in Verbindung zu setzen, um zu klären, ob nicht vielleicht einfach nur ein Buchungsfehler vorliegt. Kommt bei den besten Bankinstituten vor, warum also nicht bei (dem ohnehin nicht gerade allzu gut in der Beziehung dastehenden) Paypal? Sollte es sich herausstellen, dass genau das passiert ist (was auf Grund des niedrigen Betrages gar nicht so abwegig scheint), wäre nämlich die ganze Aufregung jetzt umsonst. Allerdings hätten dann viele auch heute gar nicht recht gewusst, was sie hätten tun/schreiben sollen! :D

hajowito
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben