Moin,

mein Vater bekam eben eine Bestellbestätigung für ein 830€ Notebook von Amazon. Versand per Guten Morgen Express oder so an eine Packstation in 49irgendwas. Stornierung oder Änderung online nicht mehr möglich, ein Anruf bei Amazon konnte den Versand noch verhindern. Amazon empfahl das Amazonkonto komplett zu schließen und Anzeige bei der Polizei zu erstatten. Mein Vater ist dahin jetzt unterwegs ...

Ich stelle mir die Frage wie die Täter an die Accountdaten gekommen sind? Ich muß sagen sein Passwort war ein geläufiger Vorname mit 4 Buchstaben. Die Bestellbestätigung kam 17.44 Uhr, zu dieser Zeit trudelten auch massenweise Spammails (siehe Bild) ein.

896

Waren die Mails nur ein Ablenkungsmanöver? Oder ist vielleicht ein Trojaner im Spiel? Wir öffnen eigentlich nie fragwürdige Mailanhänge und unser Virenscanner (Trens Micro) hat auch nicht gemeckert. Ich scanne grade den Rechner von meinem Vater mit unserem Virenscanner. Was kann ich noch machen?

Gruß David

EDIT: Was mich wundert ist warum die nicht schnell das Kennwort geändert haben? Dann wäre es für uns sicher schwerer geworden die Bestellung noch zu stornieren.

Boah ey, harte Sache... Da liebt man es doch gleich, daß die KK-Daten immer schön hinterlegt bleiben.
Letzere Frage wüsste ich nur so zu beantworten als daß Kriminelle nicht immer die hellsten sind...

Das Passwort hat man ja auch vielleicht so knacken können...

Ich vermute einfach mal da hat jemand einfach dasPasswort raus bekommen. 4x26 Buchstaben sind eher leichte Beute.
Ich würd es als Anlass nehmen überall wo ich dieses Pass noch verwende es grad überall zu ändern.

Die Zieladresse habt ihr?

Zieladresse ist ne Packstation. Ich nehme an die kann man auch schön anonym anmieten. Was bliebe ist die IP, die Amazon an die Polizei weitergibt, falls die sich dafür interessieren. Wobei ja auch ein Proxy oder ein offenes WLAN für die Bestellung verwendet worden sein kann?

Ich wollte mal eine Packstation anmieten, das geht nur mit deutscher Adresse...

Ich muß sagen sein Passwort war ein geläufiger Vorname mit 4 Buchstaben.

Am Ende noch sein eigener. Möööp. ;)


Ich nehme an die kann man auch schön anonym anmieten.

Nope, die Daten werden geprüft.


Die "SPAM"-Mails sehen irgendwie eher danach aus, dass man auch versucht hat, auf das Mail-Konto zuzugreifen. Wird Zeit, dass da jemand über großflächiges Passwort-Ändern nachdenkt.

Meinst du wirklich die Mails sind "offiziell"? Da kamen übrigens grade nochmal ~ 20 neue. Ich habe mal sicherheitshalber das PW des betreffenden Mailaccounts geändert.

Die Kripo meinte man solle sich da nicht viel Hoffnung machen. Die Sache geht an die Polizei im Empfängerort .... IP werden nur bei schweren Verbrechen zurück verfolgt ... Außerdem könnten die Täter in nem "Türkenladen" gesessen haben ....

Ohne die kompletten Mailheader schlecht zu beurteilen.

Sagt Dir das was?

EDIT: Ich schicks Dir per PM.

Mir ist was ähnliches bei ebay passiert, hatte auch ein schlechtes Passwort und das wurde geknackt, gibt doch Programme die Passwortlisten drin haben und dann einfach nacheinander alle Passworte ausprobieren, mit solchen Programmen ist es ein Leichtes Passwörter, die einfache Namen oder Wörter sind zu knacken. Bei amazon habt ihr da allerdings noch Glück, da die Kontonummer mit xxxxx gespeichert wird und man sie nicht komplett sieht. Bei ebay ist die ja komplett gespeichert und bei mir war es dann nicht nur so, dass bei ebay nen Haufen Sachen bestellt wurde, sondern, dass sich der Täter danach mit meinem Namen und meiner Kontonummer bei allen möglichen Pornoseiten angemeldet hat, ich hab das Geld natürlich zurückgeholt und so bekam ich dann jeden Tag bis zu 15 Briefe von Inkasso-Unternehmen. Das kann hier in dem Fall ja zum Glück nicht passieren.
Habe übrigens auch Anzeige erstattet, aber der Täter saß in einem Internetcafe und konnte nicht ermittelt werden.

hatte das mal bei Bertelsmann (www.derclub.de), auch an ne Packstation... Weiss bis heute nicht, wie die an mein Passwort gekommen sind.

Hab das erst nach Zustellung und Packstation-Leerung bemerkt, als ne Papierrechnung kam.

Glücklicherweise war Bertelsmann sehr kulant, hat das Geld umgehend erstattet und dann selbst Anzeige erstattet. Von daher weiss ich nicht mehr, was draus geworden ist.

Ich habe nachdem Fireball ratlos war bei meinem Provider gefragt ob man sich dort die Mails erklären kann.



Lieber Kunde,
aus unserer Sicht ergibt sich kein Zusammenhang in diesen Mails zu einem Amazon-Account. Nicht auszuschließen ist allerdings, daß Ihre Mailadresse zum Spamversand mißbraucht wurde nachdem diese bei Amazon sicherlich bekannt war.
Bei weiteren Fragen stehen wir Ihnen gerne zur Verfügung.
Mit freundlichen Grüssen,
xxxxx

Hmmm ...

Wie dem auch sei, mein Vater macht jetzt globales PW-Wechseln und dann ist das hoffentlich wieder gut.

tach auch !

Das Passwort war aber nicht Denis, oder ?
[SCNR]

Ansonsten eine sehr schlimme Sache, die una allen zur Warnung gereicht.
Ein Passwort wie :
D3r mit d3m Wolf t@nzt!!!!111"§$%&876&/%//
ist bestimmt sicher, nur wer kann sich das merken?

Nimm doch einfach ein Passwort wie "Sabbergasse13a*4567Nirgendwo/1899", wobei ersteres die Straße der Studetenbude Deiner ersten großen Liebe, das zweite der Geburtsort Deines vermeintlichen Vaters mit alter Postleitzahl rückwärts und das lezte Dein Geburtsjahr minus Deinem Alter beim ersten Kuß ist. Das sollte man sich merken können und trotzdem ist es für einen Fremden so gut wie nicht knackbar.

Mit ein wenig Mühe bekommt man für sicherheitsrelevate Anmeldungen schin sichere Passwörter hin, die auch ohne PostIt am Bildschirmrand nutzbar sind.

Gruß
Roland

Meine Passworte sind meist einfach Worte oder eine Songtitel. Dabei tausche ich _mache_ "o" durch "0" und "e" durch "e". Das lässt sich noch gut tippen da die Tasten recht gut beieinader liegen. Dazu kommen Gross/Kleinschreibungen.

Bei dir muss doch jeden Tag eine Fehlermeldung kommen, dass du das Passwort bitte nochmal eingeben sollst... *SCNR*

;)

Ne ne... das geht.. ich merke mir muster... nicht den Inhalt :D

dabei tausche ich ... "e" durch "e".

scnr :D :D :D

1Password ist auch sehr praktisch.

Hangover 2: "Dein Passwort ist Blutwurst1?" -"Früher war es nur Blutwurst, aber jetzt braucht man ja auch eine Zahl!"

*gröhl*

scnr :D :D :D*rofl*

Hier ist ein sehr guter Artikel zum Thema sichere Passwörter:
http://www.baekdal.com/tips/password-security-usability

... zusammen mit der Erkenntnis, warum "This is fun" als Passwort 10x sicherer ist als "J4fS!2"

Nur lassen sowas viele Anwendungen, oder Betreiber gar nicht zu, da sie dich auf 6 - 8 Zeichen limitieren.

trotzdem ist "The Papa" oder "P4p4B34r" ziemlich sicher und merkbar.

Heute Morgen hat ein Polizist aus dem Zielort des Paketes bei meinem Vater angerufen und sich mit ihm unterhalten. Offensichtlich wird da tatsächlich ermittelt. Mal sehen ob die was rausbekommen ... ?

Die Scheisse ist mir auch passiert (April diesen Jahres). Ich gucke unter "offene Bestellungen" und........ein Rasierer 3D für schlappe 300 € an eine Packstation in Baden Württemberg bestellt.Ich habe keine Bestellmail bekommen. Also durch Zufall mitbekommen. Und dann das: Amazon aber sowas von kundenfreundlich. Sofort (zum Glück ging´s noch) Lieferung gestoppt und meinen Account geschlossen. Die Mitarbeiter (ich habe mehrmals angerufen) total freundlich und hilfsbereit.
Undmein Passwort hatte 10 Buchstaben. Einfach wars nicht. Muss sich irgendein Profi eingehackt haben.
Habe jetzt unter neuer E-Mailadresse ein neues Kundenkonto.
Anzeige läuft.
Aber ich habe Blut und Wasser geschwitzt.

@gibber

Hack oder nicht.....................aber du musst doch eine Bestellmail bekommen :wiebitte:

@std: Ich würde vermuten, dass bei einer Account-Übernahme als erstes die Emailadresse geändert wird, damit der "Zahlungsleister" nicht von der Bestellung mitbekommt. Eckaards Vater hat da IMHO Glück gehabt...

Wobei ich jetzt zugeben muss, dass ich im Moment nicht weiss, wie Amazon die Änderung der Email abwickelt (ob und welche Adressen da Mails rausgehen).

Normalerweise gibts eine Email an die alte Adresse, dass eine neue angegeben wurde...

@gibber

Hack oder nicht.....................aber du musst doch eine Bestellmail bekommen :wiebitte:

Deswegen war ich ja auch so schockiert. Alles nochmal in meinen E-Mail Konten durchsucht ("aus Versehen gelöscht"? Passiert mir wirklich bei Amazon NIE), aber nichts, wirklich nichts gefunden.

wenn du Pech hast hat ein Keylogger o.ä. Daten der Amazon- und E-Mail-Accounts verraten. Dann kann der Angreifer auch die Bestätigungs-Mail löschen.
Das Packstationskonto könnte ebenfalls einem ahnungslosen Opfer gehören

Bei meinem Vater gabs ja diese mysteriösen (Spam-)mails. Ich vermute mal stark die stehen im Zusammenhang mit der Bestellung. Komischerweise wurde mein Vater aber nur wegen der vielen Mails auf die Bestellbestätigung aufmerksam.

Ist zwar schon etwas her, das hier, aber zum Thema Passwort und Sicherheit habe ich da einen interessanten Beitrag gefunden: Guckst du hier (http://www.gulli.com/news/16285-moderne-grafikkarten-knacken-auch-schwierige-passwoerter-06-06-2011)

Wenn das keine Ente ist, sind also alle Gamer PC's die wahrlich gefährlichen Rechner. Da werkeln ja auch gerne mal 2 Karten im Verbund und stellen die da benutze Grafikkarte locker in den Schatten. Na Prost Mahlzeit...

GPUs werden gern für solche Aufgaben genutzt. Sie sind in ihrne Rechenwerken relativ dumm, aber dafür hundertfach vorhanden uns sehr schnell.
Die Chinesen unter den Rchenwerken :D

Also ich würde diese Rechnerei mit den Brute-Force-Attacken nicht ganz so dramatisch ernst nehmen. Überall da, wo es um wirkliche Sicherheit geht, ist es eben nicht möglich, Paßwörter in beliebiger Menge ohne Zeitverlust hintereinander einzugeben, bis man zufällig das richtige trifft (oder der zustäbdige Mensch hat keinerlei Ahnung von der Materie).
Üblicherweise, wird nach mehrmaliger Falscheingabe ein Account gesperrt und/oder zwischen den Eingaben wird z.B. 1 Sekunde Wartezeit eingebaut (manchmal auch zunehmend nach einer bestimmten Anzahl Fehlversuchen). Eine Sunde merkt kein Mensch und behindert den User auch bei versehentlicher Fehleingabe nicht.
Nehmen wir an, wir haben ein vierstelliges Paßwort und bemühen lediglich Groß- und Kleinbuchstaben und Ziffern, also 62 Zeichen, dann gibt es 14.776.336 Kombinationen. Bei einer Sekunde Wartezeit benötigt ein Rechner dann längstens 246.272 Minuten bzw. 4105 Stunden bzw. 171 Tage um das Passwort zu knacken. Erhöhen wir auf 5 Zeichen Länge werrden daraus schon 29 Jahre.
Und wenn wir nun, wie vielfach vorgeschlagen, einen einfch zu merkenden Ausdruck oder Satz (ohne wirklichen Personenbezug nehmen), wie z.B. "Scheiß-Passwort-Abfrage!", dann reicht ein Menschenleben nicht. Und bei der angenommenen Sekunde Wartezeit zwischen den eraubten Abfragen ist die Rechenpower des Angreifer so was von egal!
Und wie gesagt: Je nach Sicherheitsrelevanz ist nach einer bestimmten Anzahl Versuche eh' Schluss mit Lustig!

Die technischen Mittel, ein System gegen Brute-Force-Attacken zu schützen, sind schon seit Jahrzehnten gegeben!

Gruß
Roland

Alles richtig - außer man hat einen Dump der Accountdaten. Bekommt man zum Beispiel bei Sony, hab ich gehört [tm].

Najo. Ich ging halt naiver weise bislang davon aus, dass man bei den bekannten Zeiten von CPU ausgeht und deswegen die Zeiten per GPU deutlich gedrückt werden können. Wie man sieht, habe ich kaum Background Wissen in dem Bereich, da mich das Thema dazu nicht ausreichend interessiert (hat).

@Fire: soll es auch bei Sega geben, habe ich vernommen ;-)