Mitglied 95037
Gäste
Hat wunderbar geklappt 
Neue Betrugsmasche bei Amazon, aufpassen!
- Ersteller uli2003
- Erstellt am
Holzfummler
ww-robinie
Moin,
laut ct 13 vom 6.6.20, Seite 114, "Amazon: Gehackte Verkäuferkonten", gibt es Möglichkeiten, die 2-Faktor-Authentifizierung durch Pishing zu überwinden.
Grundsätzlich ist also bei Mails von Amazon oder anderen Firmen bzgl. Konto etc. sehr misstrauisch vorzugehen. Bei Verdacht die Absenderadresse überprüfen. Niemals auf einen Link in der Mail klicken.
Auch regelmässiges Scannen der PC-HW auf Trojaner etc. ist ein muss.
"Erst denken, dann klicken" kann viel Ärger ersparen.
Gruß
Thomas
laut ct 13 vom 6.6.20, Seite 114, "Amazon: Gehackte Verkäuferkonten", gibt es Möglichkeiten, die 2-Faktor-Authentifizierung durch Pishing zu überwinden.
Grundsätzlich ist also bei Mails von Amazon oder anderen Firmen bzgl. Konto etc. sehr misstrauisch vorzugehen. Bei Verdacht die Absenderadresse überprüfen. Niemals auf einen Link in der Mail klicken.
Auch regelmässiges Scannen der PC-HW auf Trojaner etc. ist ein muss.
"Erst denken, dann klicken" kann viel Ärger ersparen.
Gruß
Thomas
Mir ging es um Käuferkonten.
Wie ein einmal gültiger SMS-Code durch Pishing abgefangen werden soll, ist mir ein Rätsel.
Holzfummler
ww-robinie
Moin,
gilt grundsätzlich auch für Käuferkonten.
Vermutlich wurde erst im PC der Code abgefangen, nicht im Handy. Aber es gibt auch gehackte Handys.
Gruß
Thomas
gilt grundsätzlich auch für Käuferkonten.
Vermutlich wurde erst im PC der Code abgefangen, nicht im Handy. Aber es gibt auch gehackte Handys.
Gruß
Thomas
Das kann ich mir nicht vorstellen. Ein zweimaliger LogIn mit gleichem Code ist nicht möglich. Also entweder kommt der Angreifer rein und ich nicht, oder ich und der Angreifer nicht. Wenn dann kommt - Code ungültig oder schon verwendet, sollte man dies merken.
Und da der Passworthack zusätzlich zum Codehack laufen müsste, halte ich das für nahezu unmöglich. Naja, unmöglich ist nichts, aber ich denke die Hacks laufen trivialer ab. Es gibt halt ausreichend unbedarfte Nutzer, bei denen man leichtes Spiel hat.
Ja, soll es geben. Wenn dann die Mailadresse auch noch im Handy 'anwesend' ist, hat man ja den LogIn zusammen.
Allerdings sollte das dem Handynutzer auffallen, wenn ihm plötzlich ohne Anforderung ein Code von beispielsweise Amazon zugesendet wird.
Ich würde mich dann sofort einloggen und nachsehen.
Als Apple Nutzer fühle ich mich jedoch, bedingt durch die strikten Regulierungen seitens des Herstellers - recht sicher.
Holzfummler
ww-robinie
Hi Uli,
wenn ich es halbwegs verstanden habe, läuft es so ab:
Trojaner auf dem PC, der deine Eingaben mitliest, bzw. entsprechend umlenkt. Der Code per SMS auf dem Handy mußt du ja auch über PC eingeben bei der 2-Faktor-Authentifizierung. Schon ist der Bösewicht mit drin.
Laut ct ist es aber auch den Profis unklar, wie es abgelaufen ist.
Gruß
Thomas
wenn ich es halbwegs verstanden habe, läuft es so ab:
Trojaner auf dem PC, der deine Eingaben mitliest, bzw. entsprechend umlenkt. Der Code per SMS auf dem Handy mußt du ja auch über PC eingeben bei der 2-Faktor-Authentifizierung. Schon ist der Bösewicht mit drin.
Laut ct ist es aber auch den Profis unklar, wie es abgelaufen ist.
Gruß
Thomas
Nein, mit dem Code kann sich nur einer und nur einmal einloggen. Mitlesen bringt da nix.
Holzfummler
ww-robinie
Hi Uli,
vielleicht drücke ich mich ja falsch aus. Der Ablauf ist doch so:
1. Ich melde mich an mit Username + PW über PC an.
2. Ich bekomme eine SMS mit Code aufs Hdy.
3. Den Code gebe ich über PC zur Verifizierung ein.
Klar kann der Code nur einmal verwendet werden.
Naja, eben halt aufpassen
Gruß
Thomas
vielleicht drücke ich mich ja falsch aus. Der Ablauf ist doch so:
1. Ich melde mich an mit Username + PW über PC an.
2. Ich bekomme eine SMS mit Code aufs Hdy.
3. Den Code gebe ich über PC zur Verifizierung ein.
Klar kann der Code nur einmal verwendet werden.
Naja, eben halt aufpassen
Gruß
Thomas
Das hab ich schon verstanden und ist richtig.
Der, der Passwort und Code als Erster eingibt ist eingeloggt.
Für weitere Anmeldungen ist der Code nutzlos. Sprich - war der Angreifer schneller, ist er eingeloggt und die Anmeldung des Inhabers schlägt fehl. Das sollte man merken.
Der, der Passwort und Code als Erster eingibt ist eingeloggt.
Für weitere Anmeldungen ist der Code nutzlos. Sprich - war der Angreifer schneller, ist er eingeloggt und die Anmeldung des Inhabers schlägt fehl. Das sollte man merken.
Hi,
dann muss geklärt werden, wie der SMS-Code abgefangen, umgeleitet, oder was auch immer, werden kann.
Wenn diese Leute ihre hohe Intelligenz für legale Zwecke einsetzen würden...
Gruß Reimund
So, der Faden geht noch weiter. Heute Nacht wurden 6! Gutscheine bestellt.
Ich kann natürlich die letzten Anmeldeversuche meiner Frau nicht bis ins Detail nachvollziehen, es würde mich aber interessieren wie die Hacker an der 2-Faktor Authentifizierung vorbei gekommen sind. Es kann nur so sein, dass der Login bei meiner Frau nicht geklappt hat und sie sich nochmals mit neuer Nummer eingeloggt hat, derweil haben die Hacker sich schon eingeloggt und ein Cookie angelegt, welches den Browser für weitere Logins autorisiert hat.
Nun die Frage wie die Daten abgegriffen wurden. Tja, einfacher als ich dachte. Meine Frau startet Amazon wohl manchmal über eine Amazon Verknüpfung auf dem Desktop. Diese Verknüpfung war manipuliert, sprich beim Nutzen wurden eingegebene Daten ausgelesen.
Gemeinerweise als Systemlink angelegt und das Ziel nicht editierbar, sodass der wesentliche Zusatz zum Link im Verborgenen blieb und nicht eingesehen werden konnte.
Amazon hat übrigens binnen weniger Minuten reagiert und das Konto gesperrt.
Wieder um eine Masche schlauer geworden.
Ich kann natürlich die letzten Anmeldeversuche meiner Frau nicht bis ins Detail nachvollziehen, es würde mich aber interessieren wie die Hacker an der 2-Faktor Authentifizierung vorbei gekommen sind. Es kann nur so sein, dass der Login bei meiner Frau nicht geklappt hat und sie sich nochmals mit neuer Nummer eingeloggt hat, derweil haben die Hacker sich schon eingeloggt und ein Cookie angelegt, welches den Browser für weitere Logins autorisiert hat.
Nun die Frage wie die Daten abgegriffen wurden. Tja, einfacher als ich dachte. Meine Frau startet Amazon wohl manchmal über eine Amazon Verknüpfung auf dem Desktop. Diese Verknüpfung war manipuliert, sprich beim Nutzen wurden eingegebene Daten ausgelesen.
Gemeinerweise als Systemlink angelegt und das Ziel nicht editierbar, sodass der wesentliche Zusatz zum Link im Verborgenen blieb und nicht eingesehen werden konnte.
Amazon hat übrigens binnen weniger Minuten reagiert und das Konto gesperrt.
Wieder um eine Masche schlauer geworden.
ChristophW
ww-robinie
Also ich kapiere ehrlich gesagt nicht wo da jetzt die 'Masche' ist... Der Rechner ist offensichtlich Infiziert und da braucht man über haupt keine auch nix abfangen...
Gelegentlich bekomme Ich solche Emails von Amazon
Amazon-sicherheitsalarm: Anmeldung erkannt
Wann Jun 08, 2020 08:21 AM Central European Summer Time Gerät Google Chrome Windows (Desktop) In der Nähe XXXXXXXXXXX, Germany
ChristophW
ww-robinie
Nein das ist ein Trugschluss. 2FA hilft nur wenn jemand zufällig (oder absichtlich) in den Besitz des Passwortes gekommen ist oder durch Brute-Fore/Wörterbuch Angriffe.
Für den Fall der hier vorliegt, dass das Endgerät infiziert ist hilft das nicht, zumindest nicht in der simplen Form wie es für solche Services genutzt wird.
Das braucht es eine MFA, wo du z.B. auf einem unabhängigen Gerät jede Bestellung mit den Daten siehst und explizit freigibt.
Das ist doch der Punkt. Das Passwort ist bekannt, ob durch Zufall oder absichtlich. Login nur mittels zusätzlicher PIN.
Gehen wir davon aus, die via SMS übermittelte PIN wurde auch mitgelesen. Der Hacker gibt die PIN ein, kann sich einloggen. Komme ich jetzt als Kunde mit gleicher PIN noch in meinen Account? Oder 'gewinnt' der, welcher sich als Erster einloggt?
Dann sollte man aber als Kunde hellhörig werden, wenn der PIN ein Einloggen nicht mehr zulässt. Dass die PIN mehrmals verwendet werden kann, kann ich mir nicht vorstellen, dann wäre sie unnütz.
ChristophW
ww-robinie
Der Trick ist das du denkst deine Daten auf Amazon einzugeben, in Wirklichkeit leitet der Angreifer die Daten weiter und ist eingeloggt, es gibt also nur einen Login siehe hier https://de.m.wikipedia.org/wiki/Pharming_(Internet)
Holzfummler
ww-robinie
Ach Lorenzo...
im Prinzip gilt es für jedes Konto. Nur haben viele Onlinehändler nicht die 2AF.
Gruß
Thomas
im Prinzip gilt es für jedes Konto. Nur haben viele Onlinehändler nicht die 2AF.
Gruß
Thomas
FredT
ww-robinie
Stimmt alles, deshalb wird auch immer wieder empfohlen, nur über die originale Webseite auf die Seiten zu gehen, niemals über irgendwelche, vielleicht noch obskure, Links...
eingemaischt
ww-birke
SMS sind unsicher. Damit du von der Telekom Deutschland eine SMS an Vodafone GB schicken kannst, obwohl sich der Brite gerade in Lettland aufhält, laufen viele Prozesse im Hintergrund ab. Eines davon ist das SS7-Protokoll.
Auf das haben naturgemäß alle Provider Zugriff.
Jetzt musst du nur noch einen Provider kennen (oder selber anmelden) und dann einfach behaupten: Handy XY ist gerade in meinem Netz (absolut vereinfacht dargestellt) - und du bekommst eine erwartete SMS.
( https://www.sueddeutsche.de/digital...iminelle-hacker-raeumen-konten-leer-1.3486504 )
Dazu muss das Handy aber umgebucht werden und geht im fremden Netz online. Mindestens! die Willkommensnachricht beim Einbuchen ins alte Netz würde dann auf die 'alte' Karte kommen, und ganz sicher auch die (Re-)Aktivierung der SMS-Funktion der alten Karte. Für einen Amazon Hack viel zu aufwändig.
Das ist mir klar. Dennoch wird der Kunde dann nicht eingeloggt, sondern nur der Hacker. Das hätte meine Frau bemerkt. Sie hat nachweislich nur eine PIN abgefragt und war eingeloggt.
Am besten noch die SMS auf eine fremde Karte senden. Dann wird es unmöglich für den Angreifer die Inhaberdaten herauszufinden.
eingemaischt
ww-birke
Nein, das Handy muss nicht umgebucht werden. Man lügt und behauptet auf SS7, dass das Handy bei einem sei. Bzw. antwortet auf die Frage "Wo ist das Handy gerade" schneller als der Originalanbieter, der erst prüfen muss, ob das Handy noch da ist.
Das ganze Mobilfunkzeugs ist weitaus labiler als man das glauben mag.
Das ganze Mobilfunkzeugs ist weitaus labiler als man das glauben mag.
