ComputerBase Menü
Aktuelles

Amazon, meine 1000€ und die Mailbombe

Danke für deinen Beitrag. Ich kann dir versichern: Kein getrolle oder Selbstbetrug. Vielleicht ist Betrug das falsche Wort bei diesem Fall. Ich stelle mir halt die Frage wie ich mich in Zukunft davor schützen kann, ohne das Lehrgeld @rpsch1955 hinnehmen zu müssen und aus der Konsequenz heraus meinen Amazon-Account für immer zu löschen.

Millkaa schrieb:
@Stinkfisch
Was zwar abwegig klingt aber auch durchaus so sein kann:
Wir setzen jetzt Mal voraus, dass wirklich niemand physischen Zugang zu deinem Account hatte.
Dann könnte theoretisch noch ein "Insider" Amazon nahe oder so aktiv geworden sein?
Wäre nur die Frage ob dann nicht auch die Bestellung ganz verschwinden würde.
In der Konstellation muss es aber irgendwas geben, was sehr offensichtlich ist, wir aber alle übersehen.
Vllt. die Ex Freundin, die noch einen Schlüssel hat. Die Hauswirtschaftskraft oder oder oder.
Sonst kann doch niemand unbemerkt von Außen an einen Keypass 2FA Amazon Account kommen eine Bestellung abgeben und einen solchen Aufwand betreiben. Ein Profi würde doch mehr als eine 980€ Bestellung aufgeben.
Von den Indizien würde ich auf eine Person aus dem Nahfeld tippen. Dann aber die Spammails aus diversen Ländern etc. das muss ja dann eine Liste sein, die für solche Zwecke angeschafft wurde. So nach dem Motto: Mail eintragen und ein Programm meldet diese Mail bei XY Newslettern an. Das würde wieder auf einen Semi Profi schließen.

Ich finde den Fall sehr interessant.

Theoretisch wäre es auch möglich, dass der TE so etwas selbst durchführt und gar nicht betroffener ist, wir müssen ja alles so nehmen, wie es erzählt wurde um den Gedanken von @rpsch1955 auch einen Platz zu geben.

Die Wahrheit werden wir sicherlich nicht rausfinden. Eine signifikante Hilfe werden wir auch nicht leisten können.
Ich finde es ist eine spannende Abendunterhaltung auf der Arbeit, für mich. Vllt. kann sich der ein oder andere ein paar Ideen/Tipps da raus ziehen. Das Detektiv spielen und die Gedanken laufen lassen ist auf jeden Fall spannend.
Zum Vergrößern anklicken....
 
1Justin schrieb:
Ich finde es schon krass, wenn man die Lieferadresse ohne weiteres von Bayern auf Dortmund (wohlgemerkt "anonym") ändern kann, und dann als Abholer nur noch einen lumpigen Code braucht, um die Ware auch tatsächlich abholen zu können.
Zum Vergrößern anklicken....
Naja wenn der Zugang zum Konto gewährt war ist es ja lang nicht mehr "ohne weiteres" dann wird ja das PW vorgelegen haben.
Jeder mit Zugang kann die Adresse ändern. Das finde ich auch gut.
Ich würde ungern Amazon mitteilen wem und was ich da verschicke, wenn es von meiner Standard Lieferadresse abweicht. Am besten soll man noch eine Ummelebescheinigung einreichen, wenn man umzieht? Das ist ein bissel zu weit gedacht.
1Justin schrieb:
Der Fall zeigt auf jeden Fall die enormen Sicherheitslücken von Amazon.
Zum Vergrößern anklicken....
Welche denn konkret? Ich habe hier noch keine gefunden, die zweifelsfrei identifiziert wurde. So ist es erst einmal viel Spekulation.
Wenn jemand an dein PW und deine 2FA kommt, dann bedeutet es ja nicht direkt, dass die Schwachstelle beim Shop liegt.
Ergänzung ()

Stinkfisch schrieb:
Ich stelle mir halt die Frage wie ich mich in Zukunft davor schützen kann,
Zum Vergrößern anklicken....
Wenn du wirklich so viele Sicherheitsmaßnahmen schon eingehalten hast, dann bin ich auch überfragt.
Es gibt noch so Hardware Lösungen für 2FA oder PW Schutz. Die können aber auch gerne mal ein paar hundert Euro kosten. Ob die wirklich sicherer sind und die Verhältnismäßigkeit für ein privates Amazon Konto gegeben ist, steht auf einem anderen Blatt.

Es ist so schwer nachzuvollziehen, wieso es ausgerechnet dich getroffen hat. Wenn das User XY wäre mit dem PW: 123456Katze dann hätten ich das verstanden. Aber Keypass, 2FA, Sonderzeichen und max. Länge, immer aufpassen etc. pp. ist so richtig unwahrscheinlich. Aber auch beim Lotto gewinnt immer mal jemand und knackt die minimale Chance. Bei dir kann es eben auch einfach so schief gelaufen sein, dass die ersten Versuche einfach geklappt haben.

Dass Amazon ggf. intern mehr sieht als sie sagen glaube ich schon. Die Frage ist nur ob das was die sehen deine Unschuld beweisen kann. Theoretisch können die Ermittlungsbehörden ja Daten einfordern. Ich frage mich nur, ob da intensiv ermittelt wird, wahrscheinlich nicht.
 
  • Gefällt mir
Reaktionen: Zoidberg42 und tollertyp
Es liesst sich wie eine Black-Story für ITler und digitale Sicherheitsexperten. Ich bin im Netz nicht fündig geworden, daher meine Hilfesuche hier. Und ja, ich habe zuvor die Forumsuche bemüht. Es scheint sich Alles ausschließlich im Amazon-Account abgespielt zu haben und die Mailbombe als Ablenkung.
 
An der Stelle bin ich froh, dass ich für jeden Anbieter eigene E-Mail-Adressen habe. Schützt das vor so etwas? Nein. Aber zumindest wäre mir aufgefallen, wenn z.B. meine Amazon-Adresse gespammt würde.
 
Millkaa schrieb:
Jeder mit Zugang kann die Adresse ändern. Das finde ich auch gut.
Ich würde ungern Amazon mitteilen wem und was ich da verschicke, wenn es von meiner Standard Lieferadresse abweicht. Am besten soll man noch eine Ummelebescheinigung einreichen, wenn man umzieht? Das ist ein bissel zu weit gedacht.
Zum Vergrößern anklicken....

Mir geht es nur um die Lieferadresse "Amazon Hub Locker". Hier sollten verschärfte Kontroll-Mechanismen greifen, da genau hier sehr viel kriminelle Energie möglich ist.

@Stinkfisch: die Polizei kann vielleicht ermitteln, von welcher IP-Adresse die vielen Emails verschickt wurden.
Wenn es aber Profis waren, hast du keine Chance.
 
Muss man denn nicht bei der Eingabe einer neuen Lieferadresse auch die ausgewählte Zahlungsart neu verifizieren?
Ich meine mich daran zu erinnern, als ich mich vor 2 Jahren Jobtechnisch einige Monate an einem anderen Ort aufgehalten habe, bei der Eingabe der neuen Lieferadresse, meine Kreditkartendaten nochmals komplett verifizieren musste.
Ich kann mich natürlich täuschen und dies war bei einem anderen Shop, aber ich tendiere doch zu Amazon.

D.h. in dem Fall, muss ja derjenige auch deine Kontodaten kennen.
 
Und Amazon kann eigentlich "ermitteln" nehme ich an, von welcher IP die Bestellung durchgeführt wurde...

@Kleiner69: Für mich hört es sich so an, als wäre erst bestellt, und dann die Adresse geändert worden. Ob das möglich ist - keine Ahnung. Scheinbar. Und wenn das geht, dann hat hier Amazon wirklich eine Lücke, zumindest wenn es sich um Ziele handelt, zu denen man früher nie bestellt hat.

Wobei wenn sie dann wiederum via 2FA "sicherstellen", dass man das ist, dann ist das für mich genauso gut wie eine erneute Eingabe der Zahlungsdaten... letztere halte ich sogar für unsicherer, weil mitunter findet man die Bankverbindung auch wenn man Zugriff auf den E-Mail-Account hat (was hier wohl nicht der Fall war, geht eher ums Prinzip).
 
tollertyp schrieb:
Für mich hört es sich so an, als wäre erst bestellt, und dann die Adresse geändert worden. Ob das möglich ist - keine Ahnung. Scheinbar.
Zum Vergrößern anklicken....
Interessante Theorie. Werde ich bei meiner nächsten Bestellung mal versuchen. Bisher hatte ich nur mal die Zahlungsoptionen bei einer laufenden Bestellung, die noch nicht versandt war, geändert.
 
Millkaa schrieb:
Von den Indizien würde ich auf eine Person aus dem Nahfeld tippen.
Zum Vergrößern anklicken....
Das denke ich ganz und garnicht, überleg dochmal, wie du so eine spam-mail kaskade lostreten kannst, guck dir doch mal den Screenshot an! Das ist garantiert ein toolkit welches das automatisiert macht, und das bekommt man nicht mal eben so, das war jemand aus der Scene, der sich auf entsprechenden Boards rumtreibt und an so ein Zeuch rankommt, ohne das sein eigener Rechner beim versuch sowas zu installieren Platt gemacht wird.
Mein verdacht: da hat sich jemand bei Amazon ins Shopsystem eingehackt und dort mit einem existierendem Kundenaccount eingekauft und um das zu verschleiern eben Zeitgleich die Spamkanonen abgefeuert, und das richtig zu Timen, dürfte nicht einfach sein.
Ergänzung ()

Millkaa schrieb:
Ein Profi würde doch mehr als eine 980€ Bestellung aufgeben
Zum Vergrößern anklicken....
naja, die Bestellung muss schon im für dem Opfer gewohnten Rahmen bleiben. Und vor allem muss das Konto ja auch ensprechend gedeckt sein.

Millkaa schrieb:
Theoretisch wäre es auch möglich, dass der TE so etwas selbst durchführt und gar nicht betroffener ist,
Zum Vergrößern anklicken....
dann wäre deine andere Behauptung, mit den "geringen" Bestellbetrag auch unsinn, wenn er sich diesen Aufwand macht, dann bestimmt mit höheren Summen.
Ergänzung ()

Millkaa schrieb:
Es gibt noch so Hardware Lösungen für 2FA oder PW Schutz.
Zum Vergrößern anklicken....
Offensichtlich wurde das beim Bestellvorgang gar nicht abgefragt, also bringt das alles nix.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Benji18 und tollertyp
pvcf schrieb:
naja, die Bestellung muss schon im für dem Opfer gewohnten Rahmen bleiben. Und vor allem muss das Konto ja auch ensprechend gedeckt sein.
Zum Vergrößern anklicken....
Inwiefern muss das Konto gedeckt sein. Mit dem Versand belastet Amazon dein Konto. Bei einer Lastschrift ist erstmal egal, ob das Konto gedeckt ist oder eben nicht. Im Zweifel wird die Lastschrift mangels Deckung abgelehnt. Da hat der Betrüger die Ware aber schon.
 
Ist ja richtig, aber ihr diskutiert gerade etwas am Thema vorbei :-)

Ich bin auch der Meinung, dass es niemand aus dem persönlichen Umfeld oder mit Zugriff auf den PC war. Und dass es viel zu "professionell" dafür war.
 
kachiri schrieb:
Inwiefern muss das Konto gedeckt sein. Mit dem Versand belastet Amazon dein Konto.
Zum Vergrößern anklicken....
Bei mir ist es so, dass das Geld direkt instant abgebucht wird, und wenn das klappt, die Bestellung von Amazon angenommen bzw ausgeführt wird.
Ich bekommen zwischendurch noch eine Email die den Erfolgreichen Geldeingang bestätigt und wo dann drinnsteht, das Amazon das Ding nun absendet, zusammen mit der Lieferart und Trackingnumer.

Das bedeuted: Wenn nicht genug Geld aufm Konto, kommt der Versand nicht zustande. Und zahlen per Nachname klappt ja hier bei der Betrugsmasche auch nicht.
 
pvcf schrieb:
Bei mir ist es so, dass das Geld direkt instant abgebucht wird, und wenn das klappt, die Bestellung von Amazon angenommen bzw ausgeführt wird.
Zum Vergrößern anklicken....
Ist OT, aber bei normaler Amazon-Lastschrift ist das aber nicht so, da schicken sie es direkt ohne Geldeingang los. Genau das macht Amazon ja so bequem und schnell.
 
Schildere den Fall doch bitte mal im Forum auktionshilfe.info - da sitzen Spezialisten für Onlinebetrug.

Dass der Täter das Amazon-Passwort kannte ist eigentlich unstrittig. Welche 2FA Authentifizierung hat denn hier vorgelegen?
 
Ich wusste bis heute nicht, dass frische Bestellungen sofort archiviert werden können ....
 
jof schrieb:
Dass der Täter das Amazon-Passwort kannte ist eigentlich unstrittig.
Zum Vergrößern anklicken....
Nicht wenn er direkt den Server angegriffen hat und da einfach die Bestellung in die Datenbank des Bestellsystems geschrieben hat. Da brauch er keinerlei Passwörter, er brauch halt nur ne Möglichkeit zu unterbinden, dass das Opfer per Mail davon in Kenntniss gesetzt wird und den Bestellvorgang vorzeitig cancelt.
Darum diese Spambombe.

sprich:
der Hacker hat:
-kein Passwort,
-kein Zugriff auf den Email Account und
-kein Zugriff auf das Bankkonto,

er hat aber Zugriff auf
-das Shopsystem wo Artikelnummer, die Bestelladresse und die Lieferart / Zieladresse eingegeben wird.
gegen einen Insider Spricht, dass es eben nötig ist, die Mailbombe zu nutzen, ein interner hätte vielleicht noch die Emailadresse für Benachrichtigung ändern können.
 
Das klingt nach viel Aufwand.

Üblich ist doch, dass jemand sein Passwort auf einer Fake -Seite eingibt.
 
  • Gefällt mir
Reaktionen: tollertyp
pvcf schrieb:
gegen einen Insider Spricht, dass es eben nötig ist, die Mailbombe zu nutzen, ein interner hätte vielleicht noch die Emailadresse für Benachrichtigung ändern können.
Zum Vergrößern anklicken....

Weiß man nicht, da es vielleicht verschiedene Berechtigungen beim Accountzugriff durch Amazon-Mitarbeiter geben könnte.
 
kachiri schrieb:
Und dann wird Amazon eine berechtigte Forderung - von dem Konto wurde das Gerät nun einmal bestellt - weiterhin einfordern. Dunno, ob das die richtige Maßnahme ist.
Wenn Amazon nichts "auffälliges" feststellen kann, spricht das u.U. sogar dafür, dass irgendwer im eigenen Haushalt Zugriff erlangen konnte.
Zum Vergrößern anklicken....
Dann sollen sie einmal belegen das er das auch wirklich gekauft hat und dafür verantwortlich ist.
Bei so einem Geschäftsablauf mit Adressen die nichts mit dem Wohnort und dem Aufenthaltsort zum Zeitpunkt der Bestellung zu tun haben wird das schwierig. - Das Konto ist ein Amazon Service. Wenn sie den nicht sicher genug machen, dann haften sie auch selber für Schäden wäre in dem Fall mein Standpunkt :)

Allgemein sollte man online bzw. immer NUR mit der Kreditkarte arbeiten. NIEMALS mit Lastschriften.
Es ist immer einfacher um eine Rechnung zu kämpfen wenn man noch nichts gezahlt hat als wenn man darum kämpft sein Geld zurück zu bekommen!

Und im Zweifelsfall springt die Versicherung der Kreditkartenfirma ein und die Buchung wird storniert wenn man nicht autorisierte Zahlungen belegen kann. - Hatte ich schon mit ~3000€ Twitch-Donations als ich noch keine 2-Factor-Authorisierung aktiv hatte. - Ein Anruf bei der KK-Gesellschaft und das Thema war erledigt.
 
Wie hast du 2FA umgesetzt? Je nach Umsetzung können sich durchaus Angriffsvektoren ergeben. Auch Phishing kann man nicht ausschließen.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

C
Gaming Pc 1000€ über Amazon
Antworten
18
Aufrufe
1.367
CaptainLuftikus
C
Frank
News eero Max 7: Wi-Fi 7 von Amazon mit 10 und 2,5 Gigabit Ethernet
5 6 7
Antworten
138
Aufrufe
15.397
someoneElse666
S
birdskywinter
Welche zwei gebrauchten Smartspeaker von amazon oder google (max 100€ für beide gebraucht)?
Antworten
10
Aufrufe
727
JeGe
JeGe
G
Amazon Account gesperrt - was ist mit Retoure?
Antworten
19
Aufrufe
3.521
GatoYT
G
S
Eigenartige Mail von Amazon ("Amazon password assistance")
2
Antworten
24
Aufrufe
32.876
Don R.
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz