Amazon-Konto gehackt - Coins wurden gekauft und verschenkt - Ursachenforschung

Registriert
Feb. 2017
Beiträge
5
Moin zusammen,

als ich gestern morgen nichtsahnend im Zug meine E-Mails abgerufen habe, staunte ich nicht schlecht über drei neue Nachrichten von Amazon, die zu diesem Zeitpunkt vor 15 Minuten verschickt wurden.

Bei Mail 1 handelte es sich um eine Benachrichtigung, dass die Sprache meines Amazon-Kontos auf Englisch umgestellt wurde. Mail 2 und 3 waren Bestellbestätigungen über "Amazon Coins", die als Geschenk für "sebastian.huebscher@hotmail.de" gekauft wurden. Der Begleittext des Geschenks war ein einfaches "happy?".

Natürlich habe ich sofort das Passwort geändert und meine Freundin gebeten Amazon zu informieren, da dies vom Zug aus mit den ständigen Funklöchern ein sinnloses Unterfangen geworden wäre. Gegen Abend erhielt ich eine Mail von Amazon, dass mein Passwort erneut zurückgesetzt wurde. Im darauffolgenden Support-Chat (wie auch zuvor in der Mail) teilte man mir dann mit, dass ich die Abbuchungen von meinem Giro-Konto einfach zurückbuchen lassen soll. Über die Ursachen dieses Fremdzugriffs konnte man mir nichts sagen.

Pishing-Mails und Schadsoftware auf dem PC sind als Ursache ausgeschlossen. Daher stellt sich mir die Frage, wie der "Hacker" an meine Zugangsdaten gekommen ist. Besteht die Möglichkeit, dass eine infizierte APK mein Passwort am Handy ausgelesen haben könnte? Ein Scan mit AVG, Kaspersky, BitDefender und Malwarebytes hat allerdings nichts ergeben. Woran könnte es sonst noch liegen?

Merkwürdig finde ich allerdings, dass der "Hacker" nur 2000 Coins im Wert von insgesamt knapp 20 Euro gekauft hat. Wenn ich schon Zugriff auf ein anderes Konto hätte, würde ich das doch ausnutzen und mehr Coins o. Ä. kaufen.
 
Wieviele Zeichen hatte das Passwort? Auf welchen anderen Seiten hast du das Passwort auch verwendet?
 
1. im zug telefonieren, mailen und bei amazon bestellen und der nachbar schaut sich das passwort ab.
2. phishing und schadsoftware funktioniert mit einem händy genauso gut.
3. sei doch froh das der schaden gering ist
4. auch ein "hotspot"-wlan kann tiefgreifende probleme verursachen..
 
Natürlich habe ich sofort das Passwort geändert und meine Freundin gebeten Amazon zu informieren, da dies vom Zug aus mit den ständigen Funklöchern ein sinnloses Unterfangen geworden wäre. Gegen Abend erhielt ich eine Mail von Amazon, dass mein Passwort erneut zurückgesetzt wurde.

@HominiLupus wenn das PW daraufhin geändert wurde und gleich wieder kompromitiert muss wohl ne Schadsoftware auf einem der Geräte sein!

Social Engineering und Phishing fallen dann raus.

@Cat Toaster: und wie erklärst du da die erneute Komprimitierung nach dem PW Wechsel ? Das geht nur wenn du Malware auf dem System hast.
 
Zuletzt bearbeitet:
Möglich ist es auch das eine der hundert anderen Seiten/Foren/Shops wo man Nutzerkonten hat hoch genommen wurden wo man zufällig die gleichen Nutzerdaten verwendet. Sowas wird natürlich bei allen Seiten wo man finanzielle Vorteile nutzen kann mal rasch gegen geprüft.

Einmal eine Gegenprobe machen bei:

https://haveibeenpwned.com/

ohne jeden Anspruch auf Vollständigkeit versteht sich.
 
Wenn Du dein Passwort schon geändert hast kannst Du auch gleich die 2 Wege Authentifizierung mit aktivieren.

Bei Amazon
Mein Konto › Kontoeinstellungen ändern › Erweiterte Sicherheitseinstellungen

Dort dann App oder SMS wählen, aber besser eine App z.B GoogleAuthenticator, AuthenticatorPlus, YubiKey etc.

Dann ist die Sicherheit zumindest etwas höher, nicht desto trotz solltest Du vorher "alle" Geräte mit denen Du auf Amazon zugreifst mal gründlich checken.
 
HominiLupus schrieb:
Wieviele Zeichen hatte das Passwort? Auf welchen anderen Seiten hast du das Passwort auch verwendet?

Das Passwort hatte 8 Zeichen und bestand aus Zahlen und Buchstaben in Kleinschreibung. Erraten konnte man es aber nicht, da es kein sinnvolles Wort war. In der Form habe ich es nur für Amazon temporär verwendet. Mit der entsprechenden Software sollte es jedoch herauszufinden gewesen sein, falls du darauf hinaus möchtest. Und ja, ich weiß, dass es in der Form etwas riskant war. Das neue Passwort besteht aus 19 Zeichen mit Zahlen, Buchstaben, Sonderzeichen sowie Groß- und Kleinschreibung.

chrigu schrieb:
2. phishing und schadsoftware funktioniert mit einem händy genauso gut.

Aber würden die o. g. Programme dann nicht wenigstens anschlagen? Alle Scans waren bisher ergebnislos. Auf die Idee mit dem Handy komme ich eigentlich nur deswegen, weil ich vor einigen Tagen eine Registrierungsbestätigung per SMS von BlaBlaCar erhalten habe - allerdings ohne, dass ich mich dort registriert hätte. Das kann natürlich auch Zufall gewesen sein, macht aber zumindest nachdenklich.
Ergänzung ()

owned_you schrieb:
@HominiLupus wenn das PW daraufhin geändert wurde und gleich wieder kompromitiert muss wohl ne Schadsoftware auf einem der Geräte sein!

Social Engineering und Phishing fallen dann raus.

@Cat Toaster: und wie erklärst du da die erneute Komprimitierung nach dem PW Wechsel ? Das geht nur wenn du Malware auf dem System hast.

Das Passwort wurde das erste Mal von mir geändert, ohne dass Amazon irgendetwas damit zu tun gehabt hätte. Meine Freundin hat Amazon erst danach informiert. Dass das Passwort dann ein zweites mal zurückgesetzt wurde, ist ein standardmäßiger Prozess, der von Amazon in solchen Fällen durchgeführt wird. Ich vermute einfach mal, dass es entsprechend lange gedauert hat bis Amazon den Vorgang bearbeitet hat. Meine Freundin konnte beim Support nur bewirken, dass der Fall an die entsprechende Abteilung weitergeleitet wird. Weiterhin hieß es, dass ich benachrichtigt werden würde. Das ist mit der Mail gegen Abend geschehen, in der ich erst- und einmalig über die Zurücksetzung informiert wurde.
Ergänzung ()

Cat Toaster schrieb:
Möglich ist es auch das eine der hundert anderen Seiten/Foren/Shops wo man Nutzerkonten hat hoch genommen wurden wo man zufällig die gleichen Nutzerdaten verwendet. Sowas wird natürlich bei allen Seiten wo man finanzielle Vorteile nutzen kann mal rasch gegen geprüft.

Einmal eine Gegenprobe machen bei:

haveibeenpwned.com

ohne jeden Anspruch auf Vollständigkeit versteht sich.

Die Seite hat keinen Treffer ergeben.
 
Zuletzt bearbeitet:
Ich hatte mal einen ähnlichen Fall - eigenes Konto bei amazon...
War nichts ahnend bei PizzaHut und hab ne Mail bekommen "Ihre Email Adresse wurde geändert" - dachte erst an Spam, habe mich dann aber im Browser versucht bei amazon einzuloggen - ging nicht.
Kurzform: Kontakt mit amazon aufgenommen - musste ich verifizieren (Ausweis) - Account wurde wieder zurück gesetzt und "Bestellungen wurden storniert". Schaden war bei mir also Null Euro. Glück im Unglück.

Wie das aber passieren konnte versteh ich bis heute nicht. Das Passwort war 15 Zeichen lang und bestand aus Groß- und Kleinbuchstaben, sowie 4 Sonderzeichen. Und hatte es auch nur bei amazon.


Inzwischen habe ich bei allen wichtigen Diensten (amazon, apple, Paypal, Google und Co) eine 2-Wege-Authentifizierung per Google Authenticator oder per SMS TAN. Ich hoffe einfach, dass das "sicher genug" ist...
 
Danke für die hilfreichen Beiträge bisher!

@ Schnuecks und Der Karlson: Das mit der Zwei-Schritt-Verifizierung ist ja eine coole Sache, habe ich direkt aktiviert.

Gibt es denn noch irgendwelche Möglichkeiten, wie ich meine Endgeräte überprüfen kann? Auf den PCs habe ich jeweils Malwarebytes, Spybot und Avast laufen lassen. Auf dem Handy AVG, Kaspersky, Malwarebytes, Avira, CCleaner und SDMaid. Alles ohne Ergebnis.
 
Stechus_Kaktus schrieb:
Auf die Idee mit dem Handy komme ich eigentlich nur deswegen, weil ich vor einigen Tagen eine Registrierungsbestätigung per SMS von BlaBlaCar erhalten habe - allerdings ohne, dass ich mich dort registriert hätte. D
diese art von sms sollte man sofort löschen ohne aufzutun. über sms kannst du, je nach händy, enorm viel schaden verursachen. merken, nein, merken tust du sowas bestimmt nicht auf dem händy. das ist der sinn der sache.... aus dem auge aus dem sinn, trotzdem wird alles umgeleitet oder ausspioniert.
 
Genau das, was chrigu schreibt, es kann durchaus der Auslöser sein. Was fürn Handy hast? Mit welcher OS Version?
 
Samsung Galaxy S7 mit Android 6.0.1. Inzwischen habe ich die SMS gelöscht. Und durch den bloßen Empfang einer SMS kann das Handy infiziert werden? Wie genau funktioniert das denn?
 
Du bist dir ganz sicher, dass es eine klassische SMS war? Damit "sollte" es eigentlich nicht gehen. Aber schließlich gibts ja auch stille SMS zur Ortung.

Nutzt du zufällig Hangouts, Textsecure etc zum Empfang und hast bei MMS den automatischen Download aktiv?
MMS können auch mehr oder weniger wie SMS aussehen und dann wird im Hintergrund was nachgeladen, dass ne Sicherheitslücke ausnutzt.

Die Stagefrightlücke ist dafür z.B. bekannt, obwohl dein Handy eigentlich zu neu dafür sein müsste. Aber wer weiß, wie schnell die Entwicklung in der Richtung weiter geht...
 
Stechus_Kaktus schrieb:
als ich gestern morgen nichtsahnend im Zug meine E-Mails abgerufen habe
Wie rufst Du Deine E-Mails unterwegs im Zug und anderswo ab? Über öffentliche WLAN-Netzwerke, oder ausschließlich via Mobilfunknetz?

[...] da dies vom Zug aus mit den ständigen Funklöchern ein sinnloses Unterfangen geworden wäre.
Also nutzt Du in der Bahn auch mal das offene WLAN?

Pishing-Mails und Schadsoftware auf dem PC sind als Ursache ausgeschlossen.
Aufgrund welcher belastbarer Fakten hast Du diese beiden Punkte ausgeschlossen?

Daher stellt sich mir die Frage, wie der "Hacker" an meine Zugangsdaten gekommen ist.
- Malware auf dem System (PC/Laptop)
- Malware auf einem anderen System (Freundin/Freunde/Bekannte/Kollegen), von denen aus Du Dich in der Vergangenheit mal eingeloggt hattest
- Verwendung unsicherer Netzwerke (z.B. ungesicherte WLAN-Zugänge)
- Verwendung unsicherer Passwörter (angreifbar durch Wörterbuchattacken)
- Verwendung unsicherer "Passwort-Zurücksetzen"-Antworten, die man in manchen Portalen hinterlegen kann
- Aufgebrochene SSL-Verschlüsselungen durch eingesetzte Virenscanner, etc.

Besteht die Möglichkeit, dass eine infizierte APK mein Passwort am Handy ausgelesen haben könnte?
Auch das.

Ein Scan mit AVG, Kaspersky, BitDefender und Malwarebytes hat allerdings nichts ergeben. Woran könnte es sonst noch liegen?
Siehe oben. Und dass die Scanner nichts finden, ist ja auch kein Garant.

Merkwürdig finde ich allerdings, dass der "Hacker" nur 2000 Coins im Wert von insgesamt knapp 20 Euro gekauft hat.
Damit es Betroffenen im Alltagsstress nicht gleich auffällt, werden durchaus auch mal zunächst kleinere Summen "gestohlen".

Stechus_Kaktus schrieb:
Das Passwort hatte 8 Zeichen und bestand aus Zahlen und Buchstaben in Kleinschreibung.
Das ist schlecht. Nur Kleinbuchstaben, nicht mal große, keine Sonderzeichen und dann recht kurz.

Erraten konnte man es aber nicht, da es kein sinnvolles Wort war. In der Form habe ich es nur für Amazon temporär verwendet.
Temporär -- wie lange?

Und ja, ich weiß, dass es in der Form etwas riskant war.
Und weshalb machst Du es dann, wenn Dir doch klar ist, dass sowas riskant ist?

Aber würden die o. g. Programme dann nicht wenigstens anschlagen?
Nein, darauf darfst Du Dich im Zweifel natürlich nicht verlassen.

Stechus_Kaktus schrieb:
Und durch den bloßen Empfang einer SMS kann das Handy infiziert werden? Wie genau funktioniert das denn?
Klar geht sowas, Beispiele dazu:
-> https://www.heise.de/security/meldu...os-Bootschleife-durch-Killer-SMS-3607266.html
-> https://www.heise.de/security/meldu...ge-Android-Geraete-fernsteuerbar-2774415.html

Daher ist es ja auch so immens wichtig, seine Smartphones bzw. die Firmware darauf, immer schön aktuell zu halten.
Ergänzung ()

Stechus_Kaktus schrieb:
Auf die Idee mit dem Handy komme ich eigentlich nur deswegen, weil ich vor einigen Tagen eine Registrierungsbestätigung per SMS von BlaBlaCar erhalten habe - allerdings ohne, dass ich mich dort registriert hätte.
In diesem Zusammenhang gab es in der Vergangenheit mal Phishing-SMS:
-> https://www.heise.de/security/meldu...taetsdiebstahl-bei-Car2go-Kunden-3084730.html
 
Zuletzt bearbeitet:
@ Scheitel: Ja, es sah zumindest aus wie eine normale SMS, welche nur einen Text und einen Bestätigungscode enthielt.

@ Dr. McCoy: Offenes W-LAN im Zug habe ich bei diesem Handy einmal zum News lesen via Flipoard verwendet, ansonsten nicht. Wenn du eine ehrliche Antwort möchtest: Das unsichere Passwort hatte ich temporär einige Monate im Einsatz, um meiner Freundin und meinen Eltern Zugriff auf Prime Video über deren Fire TV Sticks zu gewähren. Eine Mischung aus Faulheit, Leichtsinn und Ignoranz, wenn man so will. Solange man selber noch nie davon betroffen war, denkt man halt gerne, dass es eh nur Andere trifft.

Darum soll es hier auch gar nicht gehen. Ich erwähne es an dieser Stelle aber, damit sich andere potentielle Leser diesen Fehler ersparen können. Falls jemand mit der Moralkeule komme möchte, bitte per PM ;)

Beim Ändern meiner Passwörter habe ich übrigens gemerkt, dass ich dasselbe Passwort mit derselben Mailadresse wider Erwarten auch in einem Forum verwendet habe, welches über keine Verschlüsselung via https verfügt. Möglicherweise lag es also auch daran. Wie dem auch sei, scheinbar kann ich es nicht mehr aufklären. Ich werde zukünftig die Augen offen halten. Bis jetzt gab es aber zumindest keine neuen Auffälligkeiten in irgendeiner Art.

Vielen Dank für die vielen produktiven Hinweise und die nette Unterstützung.
 
Zurück
Oben