Amazon, meine 1000€ und die Mailbombe
- Ersteller Stinkfisch
- Erstellt am
t0oastaa
Lieutenant
- Registriert
- Jan. 2018
- Beiträge
- 869
Also ich habe erst vor 3 Tagen eine Amazon Bestellung an einen Amazon Locker in Norddeutschland geschickt, weil ich gerade im Urlaub bin. Ich konnte den Locker auswählen ohne nochmals die Zahlungsmethode anzugeben.
Diese 2. Abfrage nach dem Bankkonto oder der Kreditkarte macht Amazon wohl nicht bei ihren eigenen Lockern.
Diese 2. Abfrage nach dem Bankkonto oder der Kreditkarte macht Amazon wohl nicht bei ihren eigenen Lockern.
Spielt doch keine Rolle. Rechtsschutz regelt. das kann doch einfach ein Gericht entscheiden.kachiri schrieb:
Die Wahrscheinlichkeit das Amazon den Fall abhakt ist höher als ein Gerichtsverfahren.
Recht haben heisst in Deutschland nicht automatisch Recht bekommen. Und geht hier ja nicht darum einen Schuldigen zu finden sondern dem Themenstarter die Rechnung von 1000€ zu ersparen ^^
Ich würde darauf spekulieren das Amazon den Kosten / Nutzen Faktor abwiegt und im Sinne des Kunden entscheidet ^^
kachiri
Fleet Admiral
- Registriert
- Apr. 2011
- Beiträge
- 17.786
Setzt voraus, dass man eine Rechtsschutz hat. Ohne, liegt die Kosten/Nutzen-Rechnung nämlich erst einmal beim geschädigten Kunden. Der muss zum Anwalt. Der muss den Anwalt bezahlen und der hat erstmal die ganzen Kosten mit der Ungewissheit, dass er am Ende auch die Verfahrenskosten trägt, weil das Gericht u.U. keine Haftung des Händlers sieht.ExigeS2 schrieb:
Kann natürlich sein, dass Amazon hier vielleicht "kulant" ist. Möglicherweise aber mit der Folge, dass das Konto halt auch gesperrt wird.
Das Recht haben und Recht bekommen zwei paar Schuhe sind, ist mir klar.
Aber ich finde hier ist der Fall relativ eindeutig, wenn das "Loch" wirklich der direkte Zugang zum Account über Passwort und 2FA war. Das Passwort legt der Kunde fest. Die Geräte und Möglichkeiten für die 2FA eben auch.
Ich bin dafür verantwortlich, dass niemand Zugriff auf meinen Account hat. Das ist überall so. Nicht nur beim Onlinehändler. Einfaches Beispiel: Der eigene Nutzerzugang in der Firma. Wenn mein Kollege Mist mit meinem Account baut, weil ich ihm mal das Passwort verraten oder den Rechner beim Toilettengang nicht gesperrt habe, dann bin ich erst einmal "angearscht"
Anders sieht das natürlich aus, wenn der IT-Admin quasi Remote meinen Rechner/Account übernimmt. Ist hier ja durchaus auch eine Überlegung. DANN haftet natürlich Amazon ggü. den Kunden.
Ich habe manchmal das Gefühl, dass "der Bürger" denkt, er ist vor allem geschützt. Nein. Bin ich nicht. Mir kann Schaden entstehen, auch wenn ich nichts dafür kann und es gibt auch keine Stelle, die mich dabei unterstützt. Den Schaden muss ich dann begleichen. Und so wird das sehr wahrscheinlich auch hier sein.
Man kann froh sein, dass es "nur" 980 Euro sind.
Stormfirebird
Admiral
- Registriert
- Sep. 2012
- Beiträge
- 9.264
Du stellst dich also auf den Standpunkt dass Firmen wie Amazon unfehlbar sind und es pauschal immer am Kunden liegt. Wo ist denn deiner Meinung nach die Lücke in den vorkehrungen vom TE weil es für dich so klar ist, nach genau sowas fragt er ja.kachiri schrieb:
Die Rechtsschutzversicherung prüft selbstverständlich die Erfolgsaussichten.
Und warum sollte amazon etwas beweisen müssen? Amazon wird erklären, es gab einen gültigen Login und eine gültige Zwei-Schritt-Verifizierung. Damit wurde rechtskräftig bestellt. Ware wurde ausgeliefert und abgeholt. Feddisch.
Wäre es anders, würde doch jeder "gephishte Depp" auf diese Weise versuchen, die Kohle wiederzubekommen.
Und warum sollte amazon etwas beweisen müssen? Amazon wird erklären, es gab einen gültigen Login und eine gültige Zwei-Schritt-Verifizierung. Damit wurde rechtskräftig bestellt. Ware wurde ausgeliefert und abgeholt. Feddisch.
Wäre es anders, würde doch jeder "gephishte Depp" auf diese Weise versuchen, die Kohle wiederzubekommen.
2FA nicht unfehlbar, man kann auch aus versehen selber 2FA zu 1FA degradieren ohne es zu wissen. Mit genug Mitwirkung (phishing) kann auch 2FA ausgehebelt werden.Stormfirebird schrieb:
TE hat aber bisher nicht gesagt, wie er 2FA genau eingesetzt hat. An erfolgreiches Phishing wird der TE sich womöglich gar nicht mehr erinnern, da müsste er mal alte Mails/SMS und Co. durchforsten.
Spätestens bei der Abholung wird es Unregelmäßigekeiten gegeben haben. Das wird soweit ich weiß meist über gekaufte fake accounts abgewickelt. Also Spuren einer kriminellen Handlung werden sich finden lassen. Ob Amazon damit aber irgendwie in der Pflicht ist - ka.jof schrieb:
kachiri
Fleet Admiral
- Registriert
- Apr. 2011
- Beiträge
- 17.786
Ich gehe in meinem Gedankenspiel davon aus, dass der Angreifer erstens das Passwort hatte, woher auch immer, und Zugriff auf die 2FA. Die kann bei Amazon ja unterschiedlich ausgeprägt sein. Man kann ja auswählen, ob man eine SMS, eine E-Mail oder eben die App nimmt. Man kann auch alle drei Dinge gleichzeitig einrichten und bei der konkreten Anmeldung aussuchen, ob man den Link in der E-Mail oder in der SMS anklickt oder auf "OK" in der App klickt.Stormfirebird schrieb:
Ich sage aber auch die ganze Zeit: Gab es eine Lücke bei Amazon, bei denen bspw. Nutzerdaten samt Passwort gestohlen wurden, sieht die Geschichte anders aus. Wobei ich bei Amazon schon davon ausgehe, dass die Passwörter nicht im Klartext irgendwo abgreifbar sind...
Aber es gab ja auch schon Fälle bei Onlinebanking-Zugängen, wo Kunde A plötzlich nach dem Login das Konto von Konto B gesehen hat und eben nicht sein eigenes.
Aber dafür muss es halt Anhaltspunkte geben und das ist ein arg konstruierter Fall und in aller Regel sind es doch immer die einfachsten Wege, die zur Lösung führen.
- Registriert
- Okt. 2007
- Beiträge
- 24
Hallo Zusammen,
ich möchte eine kurze Rückmeldung zu diesem Thema geben.
Amazon hat die Angelegenheit nach meinem gestrigen Anruf nochmal geprüft und festgestellt, dass "kürzlich erfolgte nicht autorisierte Aktivität in Ihrem Konto" rückgängig gemacht wird und somit die Bestellung storniert wird.
Nach der Einweisung zum weiteren Vorgehen heißt es "Wir wissen nicht, wie diese Person an Ihre Anmeldedaten gekommen ist, da dies nicht auf unseren Websites geschehen ist. Möglicherweise wurde Schadsoftware zur Erfassung der Tastenanschläge des Benutzers (Keylogger) verwendet oder es wurden betrügerische E-Mails gesendet, in denen der Empfänger zur Eingabe von Kontoinformationen aufgefordert wurde (sogenanntes "Phishing")."
Bzgl. der Fragen zu meiner 2FA: Der Typ der 2FA ist TOTP. Ich setze auf meinem Android-Smartphone die App "andOTP" ein und selbst diese ist mit einem individuellen Passwort, welches ich mir merken kann und nirgends anderswo eingetzt wird oder bereits wurde, gesichert.
Danke an alle Beteiligten bei der regen Beteiligung in diesem Thread. Ich hoffe das Dieser wenigstens zukünftigen Opfern einige Anhaltspunkte liefern kann.
Mehr an Sicherheit kann ich in meinem Fall kaum noch fahren, ohne das es denn bezahlbaren Bereich verlässt.
Nichts desto trotz hat mich die ganze Angelegenheit genug Nerven und Schweiß gekostet.
Gruß, Stinkfisch
ich möchte eine kurze Rückmeldung zu diesem Thema geben.
Amazon hat die Angelegenheit nach meinem gestrigen Anruf nochmal geprüft und festgestellt, dass "kürzlich erfolgte nicht autorisierte Aktivität in Ihrem Konto" rückgängig gemacht wird und somit die Bestellung storniert wird.
Nach der Einweisung zum weiteren Vorgehen heißt es "Wir wissen nicht, wie diese Person an Ihre Anmeldedaten gekommen ist, da dies nicht auf unseren Websites geschehen ist. Möglicherweise wurde Schadsoftware zur Erfassung der Tastenanschläge des Benutzers (Keylogger) verwendet oder es wurden betrügerische E-Mails gesendet, in denen der Empfänger zur Eingabe von Kontoinformationen aufgefordert wurde (sogenanntes "Phishing")."
Bzgl. der Fragen zu meiner 2FA: Der Typ der 2FA ist TOTP. Ich setze auf meinem Android-Smartphone die App "andOTP" ein und selbst diese ist mit einem individuellen Passwort, welches ich mir merken kann und nirgends anderswo eingetzt wird oder bereits wurde, gesichert.
Danke an alle Beteiligten bei der regen Beteiligung in diesem Thread. Ich hoffe das Dieser wenigstens zukünftigen Opfern einige Anhaltspunkte liefern kann.
Mehr an Sicherheit kann ich in meinem Fall kaum noch fahren, ohne das es denn bezahlbaren Bereich verlässt.
Nichts desto trotz hat mich die ganze Angelegenheit genug Nerven und Schweiß gekostet.
Gruß, Stinkfisch
Lord_Dragon
Captain
- Registriert
- Dez. 2006
- Beiträge
- 3.223
Glück gehabt. Und darauf nun einen Doppelten trinken! ^^
Stormfirebird
Admiral
- Registriert
- Sep. 2012
- Beiträge
- 9.264
Das schränkt die Möglichkeiten irgendwie ein ohne Sicherheitslücke bei Amazons 2FA.Stinkfisch schrieb:
Nett auch von Amazon zu sagen, ist zwar ihr Fehler aber betrachten sie die Sache als erledigt.
Das klingt nach template Antworte ohne dass die sich einen Fehler eingestehen wollen.
'Normales' Smartphone ohne Root oder Custom ROM? Loggst du dich auch auf dem Smartphone bei Amazon ein? -> Da liegt ja auch dein zweiter Faktor, d.h. Zugriff auf Smartphone (bzw. kompromittierung) kann unter Umständen schon reichen um beide Faktoren zu erhalten. Wo liegen die Backups von andOTP bzw. vom TOTP?Stinkfisch schrieb:
crashbandicot
Commander
- Registriert
- Dez. 2013
- Beiträge
- 3.071
Deswegen nimmt man ja auch den Branchenprimus, KeePass. KeePass wird von diversen europäischen Behörden (u.a. dem BSI) empfohlen (https://keepass.info/help/kb/trust.html), des Weiteren wurde der Code von EU-FOSSA 1 auditiert, die Zusammenfassung gibt es online (https://joinup.ec.europa.eu/sites/default/files/inline-files/DLV WP6 -02- Summary of the evaluation of results _KeePass_published.pdf).
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.451
Naja. Branchenprimus ist jetzt nicht gerade ein Garant dafür, das man auch das Beste kriegt. Also gerade in der Softwarewelt gabs und gibts ja da nun genug Beispiele für.crashbandicot schrieb:
Auch das ist eher ... schwierig. So ist das BSI dem Bundesinnenministerium unterstellt. Also dem Ministerium, das auch für Strafverfolgung usw. zuständig ist und die daher nur bedingt Interesse an Computersicherheit haben und das in der Vergangenheit auch oft genug hintertrieben haben. Das wirkt sich natürlich auch aufs BSI aus (von denen kommen mitunter auch manchmal recht merkwürdige Empfehlungen).crashbandicot schrieb:
Ich würde also eher nach dem gucken, was Leute nutzen die sich auskennen und denen Sicherheit wichtig ist.
Und das erste was da einem auf der Seite entgegenspringt ist so ne Cookie-Meldung und die Erwähnung von Adsense. Ich glaube nicht, das da irgendeine böse Absicht hintersteckt. Aber bei einem Tool bei dem es zentral um Privatsphäre und Sicherheit geht sieht das einfach unglücklich aus. Insbesondere wenn die Seite als Sub-Überschrift noch "Trust" hat.crashbandicot schrieb:
Aber ja. Trotz allem kann man mit KeePass vermutlich nicht allzuviel verkehrt machen.
crashbandicot
Commander
- Registriert
- Dez. 2013
- Beiträge
- 3.071
Komisch, bei mir kommt nichts dergleichen hoch. Laut uBlock wird auch ausschließlich keepass.info geladen, kein Verweis auf Google (Adsense) oder andere Ad-Anbieter.andy_m4 schrieb:
andy_m4
Admiral
- Registriert
- Aug. 2015
- Beiträge
- 7.451
Dann lösche mal alle Cookies. Die Meldung kommt nur, wenn keine Cookies gesetzt sind.crashbandicot schrieb:
Das steht auch nur in der Cookie-Meldung und es wird vermutlich Adsense auch nur dann benutzt, wenn man die positiv beantwortet. Wenn man das ablehnt wird nur ein Cookie gesetzt um sich zu merken, das man die Cookie-Meldung abgelehnt hat (und die nicht nochmal angezeigt wird).crashbandicot schrieb:
Alternativ kannst du in den Seitenquelltext gucken, da findest Du die Meldung natürlich auch gleich nach dem body-Tag:
HTML:
<aside id="consent_c"><div id="consent_dlg" role="dialog">
<span class="big"><strong>Cookie Consent</strong></span>
<p>This website uses cookies for improving the usability.
Furthermore, we use AdSense for showing ads, and the web server
providing the ads may also use cookies.</p>
<p>For details, please see our
<a href="../../help/base/terms.html" target="_blank">Privacy Policy</a>.</p>
<button type="button" id="consent_btn_accept"><img
src="../../help/images/b16x16_ok.png" alt="" /> Accept</button>
<button type="button" id="consent_btn_decline"><img
src="../../help/images/b16x16_cancel.png" alt="" /> Decline</button>
<small>You can also allow specific cookies only and you can revoke
your consent at any time; see our
<a href="../../help/base/terms.html" target="_blank">Privacy Policy</a>.</small>
</div></aside>
Zuletzt bearbeitet:
Intruder
Captain
- Registriert
- Juni 2011
- Beiträge
- 3.408
Was du noch machen könntest @Stinkfisch - provisorisch, ist eine Einmeldung von Identitätsdiebstahl bei den größten Auskunfteien in Deutschland! Du weißt ja nicht, ob das hier bei Amazon nur die Spitze auf dem Eisberg ist oder obs noch unerwartet weiter geht!!!
Wenn du diese Einmeldung von Identitätsdiebstahl gemacht hast, wird bei Anfragen zu irgendwelchen Diensten eine erweiterte Abfrage und besondere Vorkehrungen getroffen. Sprich wenn vor Ort ein Vertrag gemacht werden sollte, muss man Perso dabei haben etc.
Falls es noch mehr unerlaubte Käufe über andere Shops gegeben haben sollte, sollte man sich sofort an den Shop, den Zahlungsdienst, Bank und und und in Verbindung setzen. Auch wenn man Mahnungen bekommt, gleich dort melden.
Natürlich sollte man schon Anzeige bei der Polizei gestellt haben. Aktenzeichen etc. reicht vollkommen aus und das schickt man überall hin. Man kann auch gleich die Einmeldung an die Auskunfteien mit hinschicken.
In regelmäßigen Abständen die Auskunfteien mit Selbstauskünften nerven und bei falschen Meldungen die Löschung dieser beantragen. Nur so kann man seinen "guten Ruf" bewahren.
Ja - es ist viel Schreiberrei, viel Aufwand, kostet Nerven aber so ist man für die nächsten Jahre erst mal "sicher".
Einmeldung Identitätsdiebstahl bleibt glaube 2 Jahre bestehen bzw. solange bis du es wieder aufheben lässt.
Sobald jemand versucht dich zu betrügen = Anzeige! Selbst der Versuch ist strafbar und sollte unbedingt angezeigt werden und auch, wenn dir (noch) kein Schaden entstanden ist.
Habe es selber hinter mir 😉
nur so kann man Briefe von Mahnungen, Inkassodienste etc. lächelnd ohne Stress und Panik "ignorieren" und weg heften denn im besten Fall bleibt es bei den Schriftstücken und verläuft sich im Sande.
Btw. bekommt man mit der Anzeige bei der Polizei und dem Nachweis von der Einmeldung des Identitätsdiebstahl schneller seine Kohle wieder.
Ahhh was ich vergas = Einmeldung Identitätsdiebstahl, weil man keinen Bock zu Zahlen hat, ist eine Straftat. Also nicht das jemand denkt, so Shoppen zu gehen ohne Bezahlen zu müssen.
Es soll den Bürgern vor weitere Schäden bewahren und nicht dabei helfen Mist zu bauen.
Ich drücke dir die Daumen das alles gut ausgeht und das keine weiteren negativen Überaschungen auf dich zukommen.
- schufa - Einmeldung von Identitätsbetrug durch Betroffene bei der SCHUFA
- Boniversum
- Crif / Bürgel - Identitätsbetrugsmeldung
- Regis24 Verbraucher-Service
- infoscore - Selbstauskunft
Wenn du diese Einmeldung von Identitätsdiebstahl gemacht hast, wird bei Anfragen zu irgendwelchen Diensten eine erweiterte Abfrage und besondere Vorkehrungen getroffen. Sprich wenn vor Ort ein Vertrag gemacht werden sollte, muss man Perso dabei haben etc.
Falls es noch mehr unerlaubte Käufe über andere Shops gegeben haben sollte, sollte man sich sofort an den Shop, den Zahlungsdienst, Bank und und und in Verbindung setzen. Auch wenn man Mahnungen bekommt, gleich dort melden.
Natürlich sollte man schon Anzeige bei der Polizei gestellt haben. Aktenzeichen etc. reicht vollkommen aus und das schickt man überall hin. Man kann auch gleich die Einmeldung an die Auskunfteien mit hinschicken.
In regelmäßigen Abständen die Auskunfteien mit Selbstauskünften nerven und bei falschen Meldungen die Löschung dieser beantragen. Nur so kann man seinen "guten Ruf" bewahren.
Ja - es ist viel Schreiberrei, viel Aufwand, kostet Nerven aber so ist man für die nächsten Jahre erst mal "sicher".
Einmeldung Identitätsdiebstahl bleibt glaube 2 Jahre bestehen bzw. solange bis du es wieder aufheben lässt.
Sobald jemand versucht dich zu betrügen = Anzeige! Selbst der Versuch ist strafbar und sollte unbedingt angezeigt werden und auch, wenn dir (noch) kein Schaden entstanden ist.
Habe es selber hinter mir 😉
nur so kann man Briefe von Mahnungen, Inkassodienste etc. lächelnd ohne Stress und Panik "ignorieren" und weg heften denn im besten Fall bleibt es bei den Schriftstücken und verläuft sich im Sande.
Btw. bekommt man mit der Anzeige bei der Polizei und dem Nachweis von der Einmeldung des Identitätsdiebstahl schneller seine Kohle wieder.
Ahhh was ich vergas = Einmeldung Identitätsdiebstahl, weil man keinen Bock zu Zahlen hat, ist eine Straftat. Also nicht das jemand denkt, so Shoppen zu gehen ohne Bezahlen zu müssen.
Es soll den Bürgern vor weitere Schäden bewahren und nicht dabei helfen Mist zu bauen.
Ich drücke dir die Daumen das alles gut ausgeht und das keine weiteren negativen Überaschungen auf dich zukommen.
