Amazon, meine 1000€ und die Mailbombe

[Millkaa]

Sind die Dinger nicht videoüberwacht?

Packstationen nicht, die Locker von Amazon sind auf den meisten Bildern auch ohne erkennbare Überwachungstechnik.

Ich muss mich da @kachiri anschließen.
Wenn die Fakten stimmen, dass kein erkennbarer Zugriff auf den Account erfolgt ist. Also bei Amazon nichts auffälliges Registriert wurde (wer weiß welche Maßstäbe die ansetzen) kann das eng werden.
Grundsätzlich ist erst einmal alles ordnungsgemäß abgelaufen. Bestellung, Bezahlung und Abholung.

Es ist nicht unüblich, dass man auch mal etwas für jemanden anderen bestellt. Bspw. habe ich eine gute Arbeitskollegin ohne Prime. Da bestell ich gerne mal was und schicke es ihr direkt zu, nicht über mich.
Surface an das studierende Kind bestellen, durchaus plausibel. Also ich will damit sagen, dass eine 980€ Bestellung in eine andere Region in DE nicht per se etwas ungewöhnliches ist.
Will gar nicht wissen wie viele Fetischwaren, Geheimnisse etc. pp. an andere Adressen verschickt werden, damit es zu Hause nicht auffällt. Oder man ist auf Montage oder oder oder. Also es gibt hunderte plausible Gründe warum Waren weit weg von zu Hause versandt werden könnten.

Mit einem Nachweis, dass man zur Abholungszeit in Bayern war, könnte schon etwas geholfen sein, vor allem wenn man den Nachweis der Anzeige beifügt. Sonst gibt es auch da wieder genügend Gründe warum nicht ausgerechnet du als Person das Paket abgeholt hast.

Hier sollte ein enger und konstruktiver Austausch mit Amazon passieren. Bestenfalls per Mail oder Chat, wo du alles schriftlich hast. Telefonate helfen da so gut wie nichts.
Konkret alle Fakten aufschreiben, auch mit Anzeige und und und. Da muss Amazon reagieren und du kannst die Antworten dokumentieren, falls du wirklich auf dem Schaden sitzenbleibst.
Alles telefonisch abgesprochene ist nix wert. Schlimmstenfalls heisst es: Haben wir nie so gesagt.

Also alles dokumentieren und speichern. Schriftliche Antworten verlangen und Situation detailliert erklären.

 

[Stinkfisch]

Dies ist kein Problem. Während der Bestellung und der Abholung (Dortmund) war ich in Bayern auf der Arbeit. ;-)

Kann jeder und niemand gewesen sein. Wird auch schwer nachzuweisen, dass du es selbst nicht warst.

 

[calippo]

Gruselig, bis vor einiger Zeit waren solche Fälle immer mit offensichtlichen Fehler der Nutzer verbunden, aber das hört sich ja an, als ob Du grundsätzlich nach besten Wissen und Gewissen alles richtig gemacht hast.

Sind die Dinger nicht alle videoüberwacht?

Ob das was hilft, wer so einen gezielten Angriff starten kann, der setzt sich Hut, Sonnenbrille und FFP Maske auf beim Abholen.

 

[Wolfpac]

Dies ist kein Problem.

Wo du in diesem Moment warst ist ja aus meiner Sicht auch gar nicht relevant, den Code kannst ggf. auch du weitergegeben haben.

 

[Stinkfisch]

2FA hattest du scheinbar nicht? Mich fragt Amazon bei jedem Login von einem neuen Gerät nach einer Bestätigung via E-Mail/SMS/App. Das hätte dich hier vermutlich tatsächlich gerettet, da der Täter wohl keinen Zugriff auf eben diese hatte...

@madmax2010

 

[SimSon]

Für mich hört es sich so an, als ob der Täter nur Zugriff auf Amazon hatte und nicht auf dein Email Konto.
Die Spam-Mails dienten nur zur Ablenkung für die Tat und dies würde ich der Polizei so mitteilen und auch dem Mailanbieter. Evtl. war der Täter ja so blöd und hat die Mails von seinem privaten Rechner verschickt. Die Chance ist gering, aber besser als gar nichts.
Hätte er Zugriff auf deine Mails, wären die Amazon Mails nicht mehr vorhanden. Da er aber die Bestellung archiviert hat, muss er deine Zugangsdaten für Amazon kennen oder hatte Zugriff auf eines deiner Geräte.

Das Geld hätte ich mir auch über die Bank zurückgeholt, weil Amazon muss den Erhalt der Ware beweisen. Kann Amazon in diesem Fall aber nicht. Stell dich aber schon mal auf ein gesperrtes Konto und Inkasso ein.

 

[Stinkfisch]

2FA hattest du scheinbar nicht? Mich fragt Amazon bei jedem Login von einem neuen Gerät nach einer Bestätigung via E-Mail/SMS/App. Das hätte dich hier vermutlich tatsächlich gerettet, da der Täter wohl keinen Zugriff auf eben diese hatte...

Wie ich bereits geschrieben habe. Mein Account ist mit 2FA geschützt. Daher die Frage wie man es geschafft hat eine unberechtigte Bestellung auszulösen.

 

[kachiri]

Mein Account ist mit 2FA geschützt. Daher die Frage wie man es geschafft hat eine unberechtigte Bestellung auszulösen.

Ja, dann muss der Täter auf mindestens einer diese Geräte/Accounts Zugriff gehabt haben. Ohne Bestätigung kommst du nicht in den Account. Oder er hatte Zugriff auf ein angemeldetes Gerät.
Und da wird es knifflig.

Aber da ist halt alles Fischen im Teich. Setz dich mit Amazon in Verbindung.

Das Geld hätte ich mir auch über die Bank zurückgeholt, weil Amazon muss den Erhalt der Ware beweisen.

Bestellung von seinem Account. Das die Lieferung erfolgt ist, kann Amazon nachweisen. Sonst könnte man ja easy bescheissen bis zum geht nicht mehr. Einfach immer an einen Locker liefern lassen und behaupten, es hat jemand anderes abgeholt (der nebenbei auch für die Abholung Zugriff auf das Amazon-Konto benötigt)...
So einfach funktioniert das nicht.

 

[BlubbsDE]

Wenn das Konto per 2FA geschützt war, eine neue Lieferadresse eingerichtet wurde (das führt dazu, man muss die Zahlungsoption neu bestätigen) dann wundert mich Amazons Antwort. Vielleicht nochmal Kontakt mit denen aufnehmen. Oder sie wissen eben mehr. Sagen tun sie Dir nichts.

Mit meiner bei Amazon genutzen Mailadresse wurde vor ein paar Jahren ein "neues" Amazon Konto eingerichtet. Ja, das geht oder ging bei Amazon wohl. Infos habe ich da auch keine bekommen. Amazon sagt nichts. Zwei Konten mit einer Mailadresse. Und dann damit Schindluder getrieben. Mir entstand kein Schaden aber als ich Amazon kontaktierte war die Sache für die klar. Mißbrauch, ich soll Anzeige erstatten damit das Aktenkundig ist. Das war es für mich.

 

[rpsch1955]

Wenn ich das alles lese, wird das wohl auf teures Lehrgeld rauslaufen. Ich sehe nichts, was hier nach Betrug aussieht, ausser deiner Aussagen.

 

[Stinkfisch]

Schon einmal Kontakte nach Dortmund gehabt? Familie oder Verwandte da? Oder haben deine Freunde Familie oder Bekannte dort?

Loggst du dich immer aus nach jedem Seitenbesuch oder bist du auch mal eingeloggt?

Was waren das denn für Mails die als SPAM gekommen sind? Amazon relevante?

Irgendwelche Geräte mal aus der Hand gegeben? Wo warst du zur Zeit der Bestellung und welche Personen in deiner Nähe oder in der Näher deiner Geräte?

Nein, keine Verwandten, Bekannten oder Freunde in Dortmund.
Ja, ich logge mich meist immer aus.
Nein, mein Smartphone gebe ich nicht aus der Hand. Zur Zeit der Bestellung war ich auf der Arbeit und habe mit einer Kollegin per Teams kommuniziert. Mein PC war zu diesem Zeitpunkt heruntergefahren und mein Smartphone auf der Arbeit spielte wegen der Mails verrückt. Dies habe ich auch meiner Kollegin gezeigt. Mein Smartphone hat keine Zugriff auf meinen Passwort-Safe und auch nicht auf meinen Amazon-Account (weder per App, noch per Browser).

Über 1000 Spam-Mails, zumeist scheinen dies Newsletter-Anmeldungen zu sein, die eine Bestätigung haben möchten. Amazon-Mails zu diesem Vorfall habe ich bereits aus dem Spam-Ordner hervorgeholt. Alle nur zu dieser einen Bestellung.

 

[Stormfirebird]

Einfach immer an einen Locker liefern lassen und behaupten, es hat jemand anderes abgeholt (der nebenbei auch für die Abholung Zugriff auf das Amazon-Konto benötigt)...

Dass das nicht reibungsfrei läuft im Nachgang sollte klar sein.
Das ist denke ich auch dem TE klar wenn er die Lastschrift zurückbucht, aber meiner Erfahrung nach stellt Amazon bei Problemen gerne auf block, jetzt sind sie zumindest im Zugzwang. Aus Sicht des TEs ist der Ablauf ja nicht anzuklagen, denn für ihn ist es eine nicht autorisierte Abbuchung.

Der Thread hier hat für den TE ja keinen Wert irgendwelche Lügen zu erzählen also ist es denke ich Zeitverschwendung ihm hier irgendwas zu unterstellen oder Sachen abzufragen die er selber schon beantwortet hat. Dass es ein bekannter gewesen sein soll passt auch nicht zu den Spam emails.

Ich erinner mich dunkel schonmal den ein oder anderen Thread gelesen zu haben wo es danach klang als wäre da ein Amazon insider am Werk gewesen, ausgang meist ungewiss.

 

[Eisbrecher99]

Wie ich bereits geschrieben habe. Mein Account ist mit 2FA geschützt. Daher die Frage wie man es geschafft hat eine unberechtigte Bestellung auszulösen.

2FA ist heute nur noch trügerische Sicherheit. Ich meine vor nicht so lange Zeit einen Artikel gelesen zu haben, bei dem es angeblich um die 1.200 Toolkits gäbe, um 2FA zu umgehen. Phising, Man-in-the-Middle-Angriffe, etc.

Ich würde so einen Man-in-the-Middle-Angriff nicht ausschließen ode du hast doch etwas auf dem Rechner, das etwas abfischt. Das könnte man vielleicht mit Wireshark aufklären. Die ganzen Viren/Rootkit-Tools etc. finden halt nur das, was auf Masse im Netz kussiert. Aber nicht unbedingt Entwicklungen von Einzelpersonen.

Ich hab vor Ewigkeiten mal mit dem technischen Paypal-Support telefoniert, als es gerade den Übergang von deren phyischen 2FA-Generator zum 2FA per Smartphone gab. Die meinten, dass ihre Kunden auch trotz 2FA am laufenden Band gehackt werden würden (wobei das dann in der Masse wohl sicherlich eher unbedarfte Leute gewesen sind, d.h. mit schwachen Passwörtern und denen Sicherheit komplett egal war).

 

[kachiri]

@Stormfirebird
Es geht hier doch gar nicht um "Unterstellung". Amazon ist insoweit in Zugzwang, dass sie mahnen und schon bald ihr Inkassobüro einschalten werden. Das ist das, was Amazon tun wird.
Deswegen sage ich ja die ganze Zeit: Kommunikation mit dem Händler inkl. Info über die Anzeige gegen Unbekannt ist das A und O.

Ich kann mir durchaus vorstellen, dass Amazon mehr sieht, als man dem TE erzählen möchte. Wobei ich vermute, dass unabhängig vom Ermittlungsergebnis, der Schaden beim TE bleiben wird. Es sei denn, man kann Amazon vorwerfen, dass der Täter durch eine Lücke im System in den Account gelangt ist.
Wenn Amazon also nicht gerade kulant ist, wird ohne Ermittlung des Täters der TE für die Kosten aufkommen müssen. Die Abbuchung war ja insoweit autorisiert, dass die Bestellung durch seinen Account erfolgt ist und sein Bankkonto als Zahlungsmittel mit Lastschriftmandat hinterlegt war.

 

[Stinkfisch]

Genauso sehe ich das auch und habe es auch bei der Onlineanzeige so aufgegeben.

Für mich hört es sich so an, als ob der Täter nur Zugriff auf Amazon hatte und nicht auf dein Email Konto.
Die Spam-Mails dienten nur zur Ablenkung für die Tat und dies würde ich der Polizei so mitteilen und auch dem Mailanbieter.

 

[Stoiklopfer]

Blöde Frage:
Hast du zufällig bei einem Shop mit "Amazon Pay" bezahlt?

 

[Millkaa]

@Stinkfisch
Was zwar abwegig klingt aber auch durchaus so sein kann:
Wir setzen jetzt Mal voraus, dass wirklich niemand physischen Zugang zu deinem Account hatte.
Dann könnte theoretisch noch ein "Insider" Amazon nahe oder so aktiv geworden sein?
Wäre nur die Frage ob dann nicht auch die Bestellung ganz verschwinden würde.
In der Konstellation muss es aber irgendwas geben, was sehr offensichtlich ist, wir aber alle übersehen.
Vllt. die Ex Freundin, die noch einen Schlüssel hat. Die Hauswirtschaftskraft oder oder oder.
Sonst kann doch niemand unbemerkt von Außen an einen Keypass 2FA Amazon Account kommen eine Bestellung abgeben und einen solchen Aufwand betreiben. Ein Profi würde doch mehr als eine 980€ Bestellung aufgeben.
Von den Indizien würde ich auf eine Person aus dem Nahfeld tippen. Dann aber die Spammails aus diversen Ländern etc. das muss ja dann eine Liste sein, die für solche Zwecke angeschafft wurde. So nach dem Motto: Mail eintragen und ein Programm meldet diese Mail bei XY Newslettern an. Das würde wieder auf einen Semi Profi schließen.

Ich finde den Fall sehr interessant.

Theoretisch wäre es auch möglich, dass der TE so etwas selbst durchführt und gar nicht betroffener ist, wir müssen ja alles so nehmen, wie es erzählt wurde um den Gedanken von @rpsch1955 auch einen Platz zu geben.

Die Wahrheit werden wir sicherlich nicht rausfinden. Eine signifikante Hilfe werden wir auch nicht leisten können.
Ich finde es ist eine spannende Abendunterhaltung auf der Arbeit, für mich. Vllt. kann sich der ein oder andere ein paar Ideen/Tipps da raus ziehen. Das Detektiv spielen und die Gedanken laufen lassen ist auf jeden Fall spannend.

 

[tollertyp]

Das Geld hätte ich mir auch über die Bank zurückgeholt, weil Amazon muss den Erhalt der Ware beweisen. Kann Amazon in diesem Fall aber nicht

Können sie das wirklich nicht? Oder ist das nur eine Mutmaßung?
Ich meine sonst schicke ich immer an eine Packstation und sage "Ich habs nicht abgeholt"....

 

[Stinkfisch]

Habe ich heute während des Telefonats mitgeteilt.

Es geht hier doch gar nicht um "Unterstellung". Amazon ist insoweit in Zugzwang, dass sie mahnen und schon bald ihr Inkassobüro einschalten werden. Das ist das, was Amazon tun wird.
Deswegen sage ich ja die ganze Zeit: Kommunikation mit dem Händler inkl. Info über die Anzeige gegen Unbekannt ist das A und O.

Ergänzung (14. Juli 2022)

Nein. Mache ich nie. Höchstens PayPal.

Blöde Frage:
Hast du zufällig bei einem Shop mit "Amazon Pay" bezahlt?

 

[1Justin]

Der Kriminelle hatte auf jeden Fall Zugang zum Amazon-Konto, denn nur so konnte er die Lieferadresse ändern, und nur so konnte er die Bestellung archivieren (um sie damit erst einmal "unsichtbar" zu machen).
Und er hatte wahrscheinlich keinen Zugang zum Email-Konto, daher die vielen SPAM-Emails, damit im Flut der Emails die eigentliche wichtige Email (Bestellvorgang Amazon) übersehen wird.
Der ganze Vorgang lässt eher vermuten, dass hier Profis am Werk waren. "Jemand aus dem Haushalt" würde ich persönlich eher ausschließen.

Der Fall zeigt auf jeden Fall die enormen Sicherheitslücken von Amazon.
Ich bewerte "Amazon Hub Locker" als "anonymen Standort". Ich finde es schon krass, wenn man die Lieferadresse ohne weiteres von Bayern auf Dortmund (wohlgemerkt "anonym") ändern kann, und dann als Abholer nur noch einen lumpigen Code braucht, um die Ware auch tatsächlich abholen zu können.

Ich bin froh das ich keine Lastschrift nutze - und ich werde auch in Zukunft konsequent darauf verzichten.