Amazon gehackt trotz 2fa

[besseresmorgen]

@BeBur
Wenn Sie die IPs gespeichert haben, sollten diese doch hier:
https://www.amazon.de/hz/privacy-central/data-requests/preview.html
auftauchen

 

[SpookyFBI]

Am 15.5. gab es eine Phising Mail an meine Google Adresse.. ist nicht meine Amazon Adresse.. die sah so aus:

 

[h3@d1355_h0r53]

Das Problem bei 2FA ist, dass du einen Teil der Sicherheit in fremde Hände legst und vertrauen musst - also das Gegenteil von Bitwarden selbst hosten. Aber wenn dein Bitwarden Server auf deiner Hardware läuft und du ausschließen kannst, dass dieser kompromittiert wurde - womöglich ist dann ein anderer Teil kompromittiert.

SMS geht über den Provider, auch die sind anfällig wenn jemand deine Nummer will oder Partnerkarte oder sowas. Hat jemand eine App mit deinem Account, bringt auch 2FA über die App nicht viel. Je nach App / Authenticator reicht es da auch, wenn z.B. das Google Konto gehackt wurde. Womöglich ist in deinem Konto auch eine zweite Nummer oder eine andere App Installationen hinterlegt worden...
Was ich damit sagen will: Ein Passwort, das lang und zufällig ist und das man nicht herausgibt, ist sicher solange der Anbieter das entsprechend sicher verarbeitet. Mit 2FA überträgt man die Verantwortung des Anbieters auf sich selbst oder andere und der Anbieter kann zurecht behaupten: Selbst schuld.

Bei Amazon ist das auch gerne der Fall, denn die setzen das halt auch nicht 100% konsequent um damit es der Kunde bequem hat. Da kannst du womöglich dein Rechner und Mobiltelefon mehrfach plätten ohne Besserung. Aber anzuraten ist es neu aufzusetzen solange du den Grund für den Hack nicht kennst. Und nur weil dein Rechner wochenlang nicht an war, bedeutet das ja nicht, dass der sauber ist. Womöglich wurde der vor Monaten kompromittiert und die Hacker warten (bzw. deren Automatik wartet) dann X Wochen bevor die Action losgeht. Als Hacker würde ich mich freuen wenn ich Zugangsdaten von jemand habe, der nie online ist. Kann ich bestenfalls wochen- oder monatelang mit dem Account betrügen

Lange Rede, kurzer Sinn: Auf Phishing reinfallen ist nicht unwahrscheinlich. Gerade falls du Apple als Mailanbieter nutzt, da gab es in letzter Zeit leider richtig viel Phishing und Spam weil Apple den Spamfilter verkackt hat - teils aber echt gut gemacht.

 

[00Julius]

@SpookyFBI:
Das ist ja mal eine Phishing Mail der "besseren" Sorte.
Auffällig sind hier hauptsächlich die nicht direkte Ansprache und die Adresse in den USA (Amazon EU sitzt in Luxemburg).

 

[SpookyFBI]

@00Julius
Die Ansprache war der Beginn meiner eMail Adresse was ich oben Abgeschnitten habe..
MaxMustermann53 ( da natürlich die email Adresse vor dem @ ), Steigern Sie Ihr Einkaufserlebnis: Testen Sie Amazon Prime 90 Tage lang kostenlos!
Und wenn man weiter runtergescrollt hat.. dann Gründe wegen Jewish etc pp

 

[00Julius]

Die Ansprache war der Beginn meiner eMail Adresse

Alle offiziellen Mails von Amazon (außer Bestellungen) enthalten bei mir in der Anrede meinen richtigen Vor- und Nachnamen, nicht die Mailadresse.
Das habe ich gerade stichprobenartig kontrolliert.

 

[markus-1969]

SMS geht über den Provider, auch die sind anfällig wenn jemand deine Nummer will o

ist es nun besser so wenig App wie möglich zu haben auf dem Handy (also SMS als zweiten Weg) oder so viel App wie möglich auf dem Handy zu haben (dann App) für die zweifach Sicherung ?

ich denke ein Telefon wo so wenig Apps wie möglich drauf sind und das nur für Telefonie und SMS verwendet wird und ein langes nicht erratbares Passwort ist das beste


#########

ich hab eben mein amazon passwort verkompliziert und danach den browser (brave) in allen Fenstern geschlossen und neu gestartet

bei CB mußte ich mich neu anmelden, bei amazon nicht ... ich frage mich, wieso und ob sich evtl jemand in die datenübermittlung einklinken konnte

ursprünglich hast du evtl mit amazon kommuniziert
abgemeldet hast dich nicht da man bei amazon den logout button nicht findet
jemand anders hat zugriff auf deinen Rechner und greift über deinen Rechner auf amazon zu

also: Schadsoftware auf dem Rechner ? Rechner neu installieren ?

und: brave speichert anscheinend die anmeldedaten in amazon selbst dann wenn ich das passwort nicht speichere - dafür gibt es einen eigenen Haken

 

[Paddy0293]

Wenn ich das hier so lese, muss ich ja zwangsläufig auf Phishing reingefallen sein ...
Was wären die nächsten Schritte abgesehen von Passwort ändern ? 2fa disablen und wieder enablen damit ich neue Seeds bekomme ?
Werde zur Sicherheit Rechner + Handy platt machen

Ergänzung (20. Mai 2024)

Nochmal beim Amazon "Kontospezialisten" angefragt und folgende Aussage erhalten:

Wir haben Ihr Konto bei Amazon.de überprüft und dabei keine nicht autorisierten Aktivitäten gefunden. Daher haben wir keine Änderungen an Ihrem Konto vorgenommen.

Für Vorgänge, die als nicht autorisierte Aktivitäten wahrgenommen werden, gibt es häufig folgende Erklärungen:
-- Ein automatisch verlängertes Abonnement
-- Aktivitäten von Personen, die Ihnen bekannt sind und Ihr Konto nutzen oder Zugriff auf Ihre Zahlungsdaten haben
-- Ein versehentlicher 1 Click-Kauf
-- Eine Gebühr für eine früher aufgegebene Bestellung, die gerade versandt wurde
-- Eine Gebühr für eine Bestellung, die von einem Familienmitglied oder Freund über ein gemeinsam genutztes sprachgesteuertes Gerät aufgegeben wurde

Zum Schutz Ihres Kontos empfehlen wir Ihnen, das Passwort für Ihr Amazon Konto sowie die Passwörter für Ihre E-Mail-Konten und andere Websites zu ändern.

Weitere Informationen über sichere Online-Einkäufe finden Sie im Bereich "Sicherheit und Datenschutz" auf unseren Hilfeseiten. Falls Sie der Ansicht sind, dass wir etwas übersehen haben, kontaktieren Sie bitte unseren Kundenservice, der Ihnen gern weiterhilft.

Amazon wahnsinnig tolle Hilfe 🙄

 

[WinFan]

Abmelden geht bei Amazon unter Hallo "Benutzername" Konto und Listen ganz unten

 

[markus-1969]

Prime aktiviert

Wann ? Mit deiner letzten Bestellung ?

Benutzername

das ist doch die mailadresse ... oder gibt es einen andern benutzernamen als die mailadresse ?

was sagt der Betreiber des neuen Servers dazu ?

Welchen Schaden hast denn ? Die Prime Gebühren müssen ab einem bestimmten Zeitpunkt angefallen und abgebucht worden sein ... sonstige Schäden bzw. Bestellungen durch fremde Personen ?

Ergänzung (20. Mai 2024)

Amazon wahnsinnig tolle Hilfe

oh ja .... ich denke wenn du die Angelegenheit der Polizei mit der Bitte um Ermittlung geben solltest werden die nach einem Schaden fragen.

 

[arvan]

Tja...was soll man dazu sagen. Einsicht wäre schon mal der erste Schritt für Besserung in der Zukunft.

Sorry, auf die Aussagen von Amazon oder dessen Kundenservice würdige ich gar nichts geben.
Ich wurde mal gesperrt, weil ich zu oft versucht habe einen Artikel zu kaufen, was aber wegen eines technischen Problems immer nicht klappte. Gut könnte man sagen, da funktioniert die Sicherheit.
Dummerweise kam auch mehrfach eine E-Mail, mein Konto wäre dann nun aus Sicherheitsgründen gesperrt.
War es aber nicht, wurde es auch nie. Soviel zum Thema dazu.
Und ja die E-Mail war von Amazon

 

[markus-1969]

sowas ist doch toll

Ein Problem ist aufgetreten:​

• Du hast heute zu viele Einmalpasswörter (OTPs) angefordert. Du kannst in 24 Stunden ein neues Einmalpasswort anfordern.

 

[Paddy0293]

Welchen Schaden hast denn ?

Zum Glück gar keinen, abgesehen von einem aktuell mulmigen Gefühl.

Das ist doch die mailadresse ... oder gibt es einen andern benutzernamen als die mailadresse ?

Das ist damit gemeint, dieser Name wurde geändert

 

[besseresmorgen]

@Paddy0293
Ich habe ja oben diesen Link gepostet.
Hast du denn mal die Daten herunter geladen und geschaut wann (also genau) Prime aktiviert wurde und von welcher IP?
Ist das ggf. eine IP die deinem Netzanbieter entspricht? War zu der Uhrzeit dein Gerät/Handy unbewacht?

Und wurde der Name in einen dir bekannten Namen geändert oder eher random Buchstabensalat?

 

[Paddy0293]

@besseresmorgen habe ich angefragt, Bearbeitungszeit bis zu einem Monat 🙄

Wurde in den Namen "Lars" geändert

 

[Blood011]

Normal fragt ama doch vorher nach wenn sich auf der anderen seite der welt versucht wird einzuloggen?

Ich kenne das so,das man ne nachricht bekommt,xy hat sich versucht einzuloggen und man muss bestätigen oder den zugriff ablehnen.

Das hatte ich nämlich auch mal,da wurde versucht sich aus China einzuloggen lol,da hatte ich 2FA aber noch nicht aktiv.(ist viele Jahre aber schon her)

Hab ich dann abgeleht und dann war gut,PW geändert und 2FA eingeschalten.

Wenn du garkeine nachricht bekommen hast ist das schon sehr merkwürdig trotz 2FA und langen PW.

Fraglich wieso der jenigen da gerade prime aktiviert und den namen ändert.

Meine spätestens im Konto sieht man das ja,also glaub da würde hacker wohl eher was anderes machen als Prime zu buchen.

 

[Dr. McCoy]

Session-Hijacking, gegebenenfalls in Verbindung mit Phishing oder Sicherheitslücken im Browser (XSS), wären auch eine mögliche Erklärung.

 

[Der_Dicke82]

2fa hab ich über's Handy laufen + Bitwarden App ebenso

Naja, genau so hast du aus 2FA wieder ein einzelnes Einfallstor gemacht. Zugriff auf dein Handy reicht!

Für eine verbesserte Sicherheit muss man deswegen diese Dinge konsequent trennen!

Ich konnte nur laut lachen als mir meine Bank erklärt hat, das der TANgenerator als APP, installiert neben der bankingapp sicherer sein soll als eine TAN-Liste.

Jetzt brauche ich halt zwei Telefone fürs Banking.

Achte bitte das die Idee von 2FA ist, das man unterschiedliche Geräte für den Zugang braucht! Wenn am Ende alles auf einem zusammenläuft bringt es genau null Sicherheit!

Der Grundsatz ist, es geht bequem und es geht Sicher! Wenn es bequem ist, kann es eigentlich gar nicht bequem sein!

Gruß, Stefan

PS: wenn du nicht genau weisst wie es passiert ist und du deswegen ein mulmiges Gefühl hast, solltest du alle deine Geräte die beteiligt gewesen sein könnten komplett zurücksetzen und dein Sicherheitskonzept komplett von null neu aufbauen!

 

[kachiri]

Achte bitte das die Idee von 2FA ist, das man unterschiedliche Geräte für den Zugang braucht! Wenn am Ende alles auf einem zusammenläuft bringt es genau null Sicherheit!

Zwei Geräte machen es sicherer, aber defacto ist die Idee von 2FA nicht zwingend zwei unabhängige Geräte. Klassischer 2FA ist am Geldautomat die Bankkarte plus PIN.
1. Faktor: Bankkarte
2. Faktor: PIN

Ich konnte nur laut lachen als mir meine Bank erklärt hat, das der TANgenerator als APP, installiert neben der bankingapp sicherer sein soll als eine TAN-Liste.

100%ige Sicherheit gibt es nicht. Auch die TAN-Liste ist nicht frei von Risiken. Eine TAN-App ist ja auch niemals ungeschützt. Ich komme an die TAN nur, wenn ich in den Generator komme, der je nach Gerät wieder mit PIN/Passwort oder sogar biometrisch via FaceID/Fingerabdruck geschützt ist.

Allein darum geht es bei 2FA: Du brauchst 2 Faktoren die unabhängig voneinander noch einmal selbst geschützt sind.

Im Netz dürfte der Klassiker halt eigentlich Passwort und E-Mail-Code sein. Sprich
1. Faktor: Passwort
2. Faktor: Bestätigungs-Code oder -Link per E-Mail

Wenn nun die E-Mail-Adresse gleichzeitig der Benutzername von der Seite ist, wo ich mich anmelde und das Passwort dasselbe ist, haben wir natürlich ein Problem

tl;dr
In den allermeisten Fällen ist es schlicht Phishing.

 

[Micha-]

Das komische ist, das der Benutzername geändert wurde

Eben das ist sehr komisch. Auch die Aktivierung von Prime. Was hat ein hacker davon? Der ändert als erstes das Passwort und die Kontakt Adresse und bestellt teures Zeug. Aber nicht so ein Kinder Kram. Apropos mal die Kinder im Haushalt gefragt?