Paypal Account gehackt

T42p

New member
Themenstarter
Registriert
7 Sep. 2004
Beiträge
9.522
Moin!

Heute Nacht wurde scheinbar mein Paypal Account gehackt, denn gegen 2:30 Uhr wurden 50$ an eine Firma namens "Aeria Games & Entertainment" überwiesen. Laut Transaktion wurden sogenannte "Aeria Points" gekauft. Der Account ist inzwischen gesperrt und Paypal über den Vorfall informiert, nur wundere ich mich wie der Hacker an das Passwort gekommen ist. Ich habe meine Rechner mit Avira (gute Erkennungsrate) und dem Kaspersky Online Virenscanner gecheckt, konnte jedoch keine Trojaner oder Keylogger ausfindig machen. Phishingmails landen sowieso gleich im Müll, und ich würde mich als recht sicherheitsbewussten Anwender bezeichnen. Mich wurmen gar nicht so sehr die ca. 40 EUR die ich vielleicht noch per Bankeinzug verlieren werden (Was macht Paypal wenn man den Betrag einfach zurückbucht?) sondern der Umstand dass ich nicht weiß wie es dazu gekommen ist. Mein Passwort ist eine Kombination aus Buchstaben und Zahlen, und ich würde es als relativ sicher bezeichnen wollen. Dennoch muss der Hacker es ja irgendwo herbekommen haben. Jemand ne Idee?

Möglicher Weise hängt die Sache mit einem vor einigen Wochen passierten Vorfall zusammen, und zwar wollte ich mich bei ebay einloggen, was nicht möglich war, angeblich sei das Passwort falsch. Später stellte sich heraus dass mein Account von ebay gesperrt wurde, weil sich angeblich jemand daran zu schaffen gemacht hätte. Das Passwort wurde geändert und seitdem war wieder Ruhe und ich habe mich nicht weiter darum gekümmert, da kein Schaden entstanden ist. Aber ist es nicht unüblich dass so viel Zweit zwischen 2 Hacks vergeht, wenn man ein Paypal-Konto um Geld erleichtern will?

Ich habe natürlich erst einmal sämtliche wichtigen Passwörter geändert, zu welcher weiteren Vorgehensweise könnt ihr mir raten?
 
[quote='T42p',index.php?page=Thread&postID=472253#post472253]@ingope: Von dem Dongle wusste ich noch nichts, da ich Paypal auch nur selten nutze hätte ich ihn wohl auch nicht für kaufenswert erachtet, zumal man sich ja auch sicher fühlt mit allen Updates, Firefox, Brain 2.0 und Antivir. Funktioniert CSS eigentlich inzwischen mit Firefox 3.0?[/quote]

Das stimmt, gekauft hätte ich ihn mir wahrscheinlich auch nicht, inzwischen muss ich sagen, würde ich ihn schon kaufen. Ob sicherer oder nicht muss jeder selbst entscheiden, aber
zumindestens scheint es noch keinen dokumentierten Fall zu geben wo dieser Code gehackt wurde.
Ein eBay / PayPal Account ohne Schlüssel schon oft genug, wie auch leider bei dir.
Die 4,95 € sind es mir Wert da ich schon ein bischen was mehr bei ebay/PayPal mache.

CSS nutze ich nicht, kann ich dir leider nicht sagen.
 
moin,

ich kann mir kaum vorstellen, dass man für das illegal angewiesene geld gerade stehen muss.

eigentlich dürfte das doch ähnlich wie bei anderen online-geschäften ablaufen. paypal wird das also zurückbuchen, oder selbst den schaden tragne muessen.

zur not halt mal gerichtlich entscheiden lassen das ganze.


gruß
 
[quote='ingope',index.php?page=Thread&postID=472258#post472258]Ob sicherer oder nicht muss jeder selbst entscheiden,[/quote]Ich glaube, ich lege mir auch so ein Teil zu.
Dann ist mein eBay/PayPal-Account zwar sicherer, als mein Bankkonto (da dort nur iTan verwendet wird), aber schaden kann es ja nicht.

@T42p: Hast du mal geschaut, wann der letzte Login bei PayPal war? Wenn da eine sonderbare Uhrzeit steht, heißt es aufpassen.
 
Was meinst Du damit? Das Kind ist ja bereits in den Brunnen gefallen ;) Der letzte Login war ich selbst als ich das Konto sperren ließ, und die Abbuchung erfolgte 2:38 Uhr ca., da hab ich schon gepennt. Ich werde aber die Login-Zeit zukünftig im Auge behalten, bis das Konto wieder freigeschaltet ist, danach werde ich es wohl schließen, Paypal ist mir definitiv zu unsicher geworden.
 
[quote='T42p',index.php?page=Thread&postID=472253#post472253]@ingope: Von dem Dongle wusste ich noch nichts, da ich Paypal auch nur selten nutze hätte ich ihn wohl auch nicht für kaufenswert erachtet, zumal man sich ja auch sicher fühlt mit allen Updates, Firefox, Brain 2.0 und Antivir. Funktioniert CSS eigentlich inzwischen mit Firefox 3.0?[/quote]Funktioniert wunderbar... kannst aber auch nur ein kleines Update runterladen...

Gruß
 
Da es für die Thinkpads das wunderbare Client Security gibt, sollte man dies auch nutzen. CSS anstatt der Windows Anmeldung verwenden, dann muss man sich auch nur 1x authentifizieren. Dann für die wichtigen Websites und Truecrypt Container 15-20 stellige zufallsgenerierte Passwörter verwenden und im CSS Passwort Tool abspeichern. Dann muss man sich die Passwörter nicht merken. Zusätzlich würde ich die Passwörter aber auch noch irgendwoanders abspeichern, evtl. in einem anderen TC Container auf nem USB Stick, falls man das Thinkpad verlieren sollte.

Gegen Phishing hilft nur, die gefährdeten Webseiten (Banken/Paypal/ebay) nie über externe Links ansurfen und einloggen, sondern nur durch eigene Bookmarks oder eigenes Eintippen der URL. Und am besten einen sicheren Browser verwenden, z.B. Opera (da sowieso am sichersten und zusätzlich auch noch wenig verbreitet und somit ist die Gefahr geringer dass ein Exploit ausgenutzt wird). Naja, und gegen Trojaner, Viren usw. hilft halt nur ein anderes OS. Linux hat da durchaus Vorteile und ich empfinde es als sehr angenehm dass ich mich nicht mehr um AV Scanner usw. kümmern muss. 100 %igen Schutz bieten die ja sowieso nicht.
 
Die besagten Dongles, welche Zahlenfolgen generieren, unterliegen einem Algorithmus. Wenn man den Algorithmus kennt, kann man beliebige Zahlenfolgen generieren, die funktionieren werden. Das gleiche Prinzip wird bei Software-Keys angewendet. Der Trick ist lediglich die Verschlüsselung des Algorithmus so zu basteln, dass man es nicht zurückverfolgen kann.

Ansonsten ist das Problem natürlich ärgerlich, aber sicherlich kein Einzelfall. Hier und da gibt es immer mal wieder Vorfälle und sicher ist niemand. Das muss man sich einfach täglich klarmachen und im Hinterkopf haben. Ich sehe es als Preis für den heutigen Luxus.

edit:
Der Befall von Viren ist fast nie ein grundsetzlicher Fehler eines OS, sondern so gut wie immer auf fahrlässiges Handeln des Benutzers zurückzuführen. Der größte Bug sitzt immer noch VOR dem PC. Da helfen keinerlei Virenscanner u.ä. Der Vorteil von Linux ist neben ein paar weiteren Features hauptsächlich die vergleichsweise extrem geringe Verbreitung.
 
@t42p: Sehe ich das richtig, dass du die Abbuchung per Email erfahren hast (also über die Buchungsbestätigung von Paypal?)
Eine Lastschrift von Paypal auf dein Konto kannst du - falls sie abbuchen - widerrufen.

Grüße,
Cunni
 
Wenn du den CSS-Passwort Manager meinst, den akzeptiert der Fuchs 3.00.4 nicht. Das Plug-in ist nicht kompatibel.
huch..die Anfrage ist über 3 Stunden alt. Wie war das noch mit dem schwarzen Loch über CERN ?!?

Mal was anderes, gibts vom CSS ein Update, damit der PM im FF3 andocken kann ?

@Elektriker
Von was kann man nur ein kleines update runterladen..? Vom PM, von CSS, FF3 :) ??

Yon
 
@ Ingope: Danke für den Tipp - die Sache mit dem Schlüssel werde ich auch einmal angehen. Wobei ich gerade gelesen habe, dass man das die Verwendung des Schlüssels auch umgehen kann (weil Schlüssel gerade nicht zur Hand), wenn man eine Sicherheitsfrage richtig beantwortet...

Aber richtig ist/bleibt: es ist eine Stufe Sicherheit mehr... unknackbar ist das gesamte System nicht.

Grüße,
Cunni
 
[quote='T42p',index.php?page=Thread&postID=472211#post472211]Typo3.org? Nein habe ich nicht, was ist das?

Ja mit den E-Mail-Accounts wäre natürlich eine Möglichkeit. Von Aeria Games hat sich noch niemand gemeldet, ich denke mal denen ist das relativ schnuppe.[/quote]

http://www.heise.de/security/Passwo...g-Webserver-ausgespaeht--/news/meldung/118922
Da ist eine Webseite gehackt worden und die Usernamen/Passwörter wurden im Internet veröffentlicht. Dadurch konnte man diese Username/Passwort Kombinationen auf anderen Webseiten ausprobieren und viele benutzen auf anderen Seiten den gleichen Usernamen und Passwort. Ist übrigens nicht nur auf die Seite beschrnkt, das kann bei jeder Seite der Fal sein, dass die Passwörter im Klartext gespeichert werden und geklaut werden können.
 
[quote='cunni',index.php?page=Thread&postID=472356#post472356]@t42p: Sehe ich das richtig, dass du die Abbuchung per Email erfahren hast (also über die Buchungsbestätigung von Paypal?)
Eine Lastschrift von Paypal auf dein Konto kannst du - falls sie abbuchen - widerrufen.

Grüße,
Cunni[/quote]

So ist es, was ja im Grunde gegen einen Einbruch im E-Mail-Konto sprechen würde, denn dann hätte der Täter doch die E-Mail entfernen und weiter lustig abbuchen können. Oder es handelt sich hier tatsächlich um einen Stümper.

@Yonah:

Ah, dann geht es also immer noch nicht, schade. CSS nützt ja nichts wenn man dafür einen unsicheren Browser benutzen muss.

@Kooky:

Ah deswegen die Frage mit Typo3.org. Nein da habe ich keinen Account, aber irgendwo muss mein PW ja abgefisht worden sein, nur eben mit Sicherheit nicht über Links oder Phishing-Mails, auf so etwas falle ich nicht rein, ich gehe nur über den direkten Weg auf Paypal etc..
 
Das mit der Typo3 Sete ist nur stellvertretend für alle möglichen Seiten, die gehackt wurden, wenn irgendwo auf einer anderen Seite das gleiche Passwort verwendet wurde wie auf Paypal, dann ist deren Adminteam und evtl. Einbrecher theoretisch im Besitz deines Passworts.
 
hmm kann es sein Das Du fast immer das gleiche Passwort verwendest also ohne Variationen.
Ich benutze schon seit 10 Jahren immer eine Kombination aus Buchstaben und Zahlen, und zwar deshalb weil mein damaliger Provider ( ein reichlich abgefahrener verein wo man einen nicht kommerziellen Netzaccount bekam) ein Login Passwort aus ewiner kombination von Buchstaben und Sonderzeichen forderte. Ich weiss noch wie sich jemand wunderte das ich so ein komisches Passwort hatte . Jedenfalls habe ich das beibehalten aber ich benutze Variationen also zwei oder vier Zahlen mehr. Nach deiner Aktion ist jetzt eine Variation hinzu gekommen.
So ist mein Ebay Passwort NICHT identisch mit meinem PayPal passwort. Und auch meine e-Mail accounts haben unterschiedliche Passwörter.
Es kann also sein das man deshalb deinen pay pal account knacken konnte weil sie dein Ebay Passwort hatten.

wenn ich sowas knacken würde würde ich mir auch zeit lassen von zeit zu zeit mich einloggen und schauen ob es gültig ist und nach einer Weile zuschlagen. Und wenn ich eines Knacken kann kann ich auch andere knacken .
Aber ich gebe Dir echt das war ein amatuer am werk.
Zum Glück kann man bei Pay Pal weder an deine Konto oder Kreditkarten nummer komme, da diese nie vollständig angezeigt werden.
 
[quote='McPixl',index.php?page=Thread&postID=472421#post472421]Aber ich gebe Dir echt das war ein amatuer am werk. [/quote]

moin,

das sieht man doch schon an dem lächerlichen betrag von 50 tacken ;)
 
[quote='ingope',index.php?page=Thread&postID=472234#post472234].................und da auch Banken sowas als TAN Generator nutzen.....................[/quote]Bei meinem Bankkonto ist es aber so, dass der TAN-Generator mir nur eine TAN erzeugt, wenn die Scheckkarte darin steckt!
Ein Test mit der Karte meines Bruders, der Kunde bei der selben Bank ist, zeigte mir vorhin, dass (wie erwartet) nur die TANs funktionieren, die ich mit meiner Karte erzeuge.

Stefan
 
[quote='kopernikus',index.php?page=Thread&postID=472423#post472423]

[quote='McPixl',index.php?page=Thread&postID=472421#post472421]Aber ich gebe Dir echt das war ein amatuer am werk. [/quote]

moin,

das sieht man doch schon an dem lächerlichen betrag von 50 tacken ;)[/quote]Nein, das ist nicht amateurhaft, sondern nur logisch. Denn die Zahlungsweise über PayPal mit Einzugsermächtigung von einem Konto funktioniert nur bis zu einem gewissen Höchstbetrag (bei mir zumindest). Wenn du also mehrere hundert EUR einziehen willst, meldet PayPal, dass diese Zahlungsmethode nicht möglich ist - und man muss von einem Bankkonto auf PayPal überweisen.
Weiterhin kann man hoffen, dass geringere Summen beim Kontoeigentümer nicht so auffallen wie große Brocken, die fehlen. So ja auch passiert, nachdem in dem Callcenter die Kundendaten der Telebum verloren gegangen sind...

Grüße,
Cunni

PS: Bei mir sind alle "sicherheitsrelevanten" Passwörter (Banken, Email, Admin-Zugänge) verschieden. Ansonsten hat man wirklich den Supergau, wenn einmal ein Konto gehackt wird.
 
[quote='cunni',index.php?page=Thread&postID=472457#post472457]Denn die Zahlungsweise über PayPal mit Einzugsermächtigung von einem Konto funktioniert nur bis zu einem gewissen Höchstbetrag [/quote]Bis zu welchem Betrag ungefähr?
 
[quote='phil83',index.php?page=Thread&postID=472466#post472466]
[quote='cunni',index.php?page=Thread&postID=472457#post472457]Denn die Zahlungsweise über PayPal mit Einzugsermächtigung von einem Konto funktioniert nur bis zu einem gewissen Höchstbetrag [/quote]Bis zu welchem Betrag ungefähr?[/quote]Weiß ich nicht genau. Ich wollte (ist schon etwas her) einmal etwas um die 150 EUR einziehen lassen - das klappte nicht. Keine Ahnung, ob das immer noch so ist. Vielleicht bekommt man hier noch etwas Info von der Paypal-Seite...?
 
  • ok1.de
  • thinkstore24.de
  • ok2.de - Notebook Computer Server
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben