Paypal Account gehackt

T42p

New member
Themenstarter
Registriert
7 Sep. 2004
Beiträge
9.522
Moin!

Heute Nacht wurde scheinbar mein Paypal Account gehackt, denn gegen 2:30 Uhr wurden 50$ an eine Firma namens "Aeria Games & Entertainment" überwiesen. Laut Transaktion wurden sogenannte "Aeria Points" gekauft. Der Account ist inzwischen gesperrt und Paypal über den Vorfall informiert, nur wundere ich mich wie der Hacker an das Passwort gekommen ist. Ich habe meine Rechner mit Avira (gute Erkennungsrate) und dem Kaspersky Online Virenscanner gecheckt, konnte jedoch keine Trojaner oder Keylogger ausfindig machen. Phishingmails landen sowieso gleich im Müll, und ich würde mich als recht sicherheitsbewussten Anwender bezeichnen. Mich wurmen gar nicht so sehr die ca. 40 EUR die ich vielleicht noch per Bankeinzug verlieren werden (Was macht Paypal wenn man den Betrag einfach zurückbucht?) sondern der Umstand dass ich nicht weiß wie es dazu gekommen ist. Mein Passwort ist eine Kombination aus Buchstaben und Zahlen, und ich würde es als relativ sicher bezeichnen wollen. Dennoch muss der Hacker es ja irgendwo herbekommen haben. Jemand ne Idee?

Möglicher Weise hängt die Sache mit einem vor einigen Wochen passierten Vorfall zusammen, und zwar wollte ich mich bei ebay einloggen, was nicht möglich war, angeblich sei das Passwort falsch. Später stellte sich heraus dass mein Account von ebay gesperrt wurde, weil sich angeblich jemand daran zu schaffen gemacht hätte. Das Passwort wurde geändert und seitdem war wieder Ruhe und ich habe mich nicht weiter darum gekümmert, da kein Schaden entstanden ist. Aber ist es nicht unüblich dass so viel Zweit zwischen 2 Hacks vergeht, wenn man ein Paypal-Konto um Geld erleichtern will?

Ich habe natürlich erst einmal sämtliche wichtigen Passwörter geändert, zu welcher weiteren Vorgehensweise könnt ihr mir raten?
 
Mein Tipp wäre, dass jemand deinen Emailaccount in die Finger bekommen hat, in so einem Falle werden gerne bei bekannten Seiten wie Ebay oder Paypal die Passwörter dann per Email resettet. Oder musste man bei Paypal vorher noch eine Sicherheitsfrage beantworten? Und Emailaccounts haben oft den Nachteil, dass man mit einfachen Sicherheitsfragen an das Passwort kommt (Siehe Palin..), manchmal kann man auch die Hotline des Emailsanbieter anrufen und das PW resetten lassen. Kannst ja mal schauen, ob darüber jemand evtl. was gemacht hat.
Dass Paypal oder Ebay gehackt wurden, sehe ich eher als entfernte Möglichkeit an, da wird sich dann jemand an deinem PC vergriffen haben (hast du alle neuen Win Updates?). Wobei Windows per Definition nicht sicher ist.
Zum Täter selber: Wenn du an die Seite gehst, wo diese Gamepoints gekauft wurden, kannst du da evtl. mit einem Administrator zusammen herausfinden, wer der Typ ist, der die Points gekauft hat, evtl. ist es jemand aus deinem Umfeld (siehe Email Passwortabfrage).
Und zu guter letzt: Hast du einen Typo3.org Account?
 
Typo3.org? Nein habe ich nicht, was ist das?

Ja mit den E-Mail-Accounts wäre natürlich eine Möglichkeit. Von Aeria Games hat sich noch niemand gemeldet, ich denke mal denen ist das relativ schnuppe.
 
Passt zu dem Thread "Wie gut sind eure Passworte". [Nicht, das ich das jetzt hier verharmlosen oder ins lächerliche ziehen will]
 
Passt wirklich, dort wurde ein meinem Passwort ähnliches Passwort als "stark" eingeschätzt ;)
 
[quote='T42p',index.php?page=Thread&postID=472182#post472182]Heute Nacht wurde scheinbar mein Paypal Account gehackt[/quote]


Tut mir sehr leid das zu hören :(
Ich weiß, hinterher sind alle schlauer, aber ein gut gemeinter Rat für die Zukunft:

Ich nutze schon seit über 2 Jahren einen PayPal/eBay Hardwareschlüssel, so einen dongle fürs Schlüsselbund:

50619-paypal.jpg


Zwar etwas "lästig" den immer dabei haben zu müssen wenn man bei eBay oder PayPal rein will, aber es geht um Geld
und ich setze teilweise mit PayPal eine ganze masse um. Er generiert alle 10 sek. einen neuen Schlüssel.
er wird dann nach dem Einloggen bei eBay/PayPal mit deinen normalen Daten abgefragt:

Anhang anzeigen 9729

Der schlüssel kostet einmalig 5 € (soviel ich noch weiß). Knacken soll so gut wie unmöglich sein, zumindestens
gibt noch keinen dokumentierten Fall.
 

Anhänge

  • ebay.JPG
    ebay.JPG
    65,6 KB · Aufrufe: 108
Informationen über den Sicherheitsschlüssel.

Die Funktionsweise verstehe ich nicht. Man drückt den Knopf, der spuckt eine Zahl aus und die tippt man in den Browser. Woher kennt Paypal/Ebay die Zahl, die der Schlüssel ausgibt? Woher wissen die, dass es die richtige ist?

Wie oft muss man da eine Batterie wechseln?
 
Das klingt ja gar nicht gut. :huh:
Da habe ich gleich mal meinen Accounts überprüft, aber ist zum Glück alles ok.

Das mit dem Passwort bei eBay, welches nicht beim 1. Mal angenommen wurde, könnte ein Indiz sein. Vielleicht wurde eine Browser-Lücke ausgenutzt, XSS oder der DNS-Server manipuliert.
Nutzt du WLAN?

Oder es wurde eine Methode gefunden, ohne Authentifizierung eine Transaktion zu veranlassen, quasi wie bei einer Kreditkarte. Sehr mysteriös. ?(

EDIT: Oh.... da habe ich so lange gebraucht, dass zwei Postings hinzugekommen sind.
@Ingo: Gilt der Token auch für eBay oder nur für PayPal? Musst du dann jeden Tag dich mit einem neuen Key einloggen? Mich nervt es schon so, dass ich mich auf meinem eigenen PC ständig neu bei eBay einloggen muss...
 
Wie ich es damals verstanden habe generiert bei eBay/PayPal ein rechner exakt die selben Schlüssel und kontrolliert.
(nicht lachen wenns falsch ist, ich habe mich damit nicht so wirklich Beschäftigt, habe das Teil nur wegen einem Firmenaccount damals
umsonst bekommen) und da auch Banken sowas als TAN Generator nutzen, kanns nur sicherer sein, unsicherer als nur Login und Passwort geht nicht :)

Batterie habe ich noch nie gewechselt in zwei Jahren, soll angeblich 25 Jahre halten.
 
Wie können zwei Rechner unabhängig voneinander die selben Schlüssel generieren? OK, sie haben die gleiche Software, aber dennoch. Irgend etwas zur Synchronisation muss es doch geben? Hat der Schlüssel Datum und Uhrzeit?

Dass jeder Schlüssel andere Zahlen generiert ist ja noch einfach zu bewerkstelligen, aber die Synchronisation zweier Schlüsselgeneratoren...
 
Offensichtlich hat er keine Uhrzeit und Datum. Angezeigt wird nur ein 6stellig Zahl sobald man den Kopf drückt die nach 30 sek von alleine,
oder durch nochmaiges Betätigen den Kopfs wieder verschwindet.



[quote='chiaki',index.php?page=Thread&postID=472240#post472240]find das aber unsicher, wenn man diesen dongle verliert [/quote]


*gg* der ist nicht nur für dich, jeder auf dieser Welt hat den selben Schlüssel, somit das schlimmste was passiert ist das
du nochmal 5 € Bezahlen musst :D
 
[quote='phil83',index.php?page=Thread&postID=472242#post472242]Eine gewisse Unsicherheit scheint das eBay-Gerät trotzdem zu haben: LINK[/quote]
Jeder hat den selben Schlüssel somit haben wohl auch die Leute die was böses wollen damit, schon lange einen... Panikmache...
 
[quote='ingope',index.php?page=Thread&postID=472244#post472244]Jeder hat den selben Schlüssel [/quote]Aber irgendeinen Unterschied müssen die Dinger doch haben. Sonst kauf ich mir einfach so ein Teil, nehme deinen eBay/Paypal-Login, generiere mir einen Schlüssel und kaufe mir ganz viele teure TPs. :D Ach nein, Passwort muss ja auch noch eingeben. Mist. 8)
 
[quote='phil83',index.php?page=Thread&postID=472245#post472245]Ach nein, Passwort muss ja auch noch eingeben. Mist.[/quote]
:D
Genau das... ohne meinen Login und mein Passwort nützt der beste Schlüssel nicht, er stellt nur einen dritten Schutzwall dar.
Vorzustellen wie ein TAN Generator, da kommst du ohne Login und Passwort deiner Bank auch nicht weiter.
 
Jeder Schlüssel hat zusätzlich zur Uhrzeit noch eine Basis (Zahl) für die Schlüsselgenerierung. Die ist von Schlüssel zu Schlüssel unterschiedlich. Wird ein Konto genau diesem einen Schlüssel zugeordnet?
 
Es ist sicherer da du schon mal drei Sachen brauchst anstatt zwei.

Wie machen es sonst die Banken die einen TAN Generator rausgeben, soll ja sicherer sein als TAN Listen und arbeiten mit exakt dem selben Prinzip.
Banken haben ihren eigenen Generator Code, eBay und PayPal wohl auch.

Bei unserer Bank brauchst du auch den Login und Passwort (sollte ja auch möglichst Komplex gewählt werden) plus einen Tan Generator.
Wie gesagt so habe ich das PayPal System verstanden, möge sich einer der Lust hat da genauer einlesen.


[quote='DVormann',index.php?page=Thread&postID=472250#post472250]Jeder Schlüssel hat zusätzlich zur Uhrzeit noch eine Basis (Zahl) für die Schlüsselgenerierung. Die ist von Schlüssel zu Schlüssel unterschiedlich. Wird ein Konto genau diesem einen Schlüssel zugeordnet?[/quote]


Kann ich dir leider nicht sagen, wie gesagt, so genau habe ich mich damit nicht befasst.
 
@ingope: Von dem Dongle wusste ich noch nichts, da ich Paypal auch nur selten nutze hätte ich ihn wohl auch nicht für kaufenswert erachtet, zumal man sich ja auch sicher fühlt mit allen Updates, Firefox, Brain 2.0 und Antivir. Funktioniert CSS eigentlich inzwischen mit Firefox 3.0?

@phil83: Ja ich nutze auch WLAN, aber das war abgesichert per WPA, seit ein paar Tagen sogar per WPA2. Da der Betrag in USD abgebucht und scheinbar auf einer US-Website eingesetzt wurde, vermute ich eher einen ausländischen Angreifer.
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben