Amazon, meine 1000€ und die Mailbombe

[DJServs]

@Stinkfisch ich hab jetzt nicht alle Beiträge hier im Thread gelesen (nach der 3. Seite aufgehört), aber kann es nicht sein, dass irgendwer unbefugt in Deiner Wohnung und an Deinem Rechner war (Vermieter z.B. mit Zweitschlüssel). hast Du in der Ereignisanzeige mal nachgeschaut ob der Rechner zu der Zeit wirklich aus war?

 

[Stormfirebird]

Den Beitrag hättest du dir aber auch echt sparen können wenn du schon keine Lust hast zu lesen, sogar tatsächlich das was du vorgibst gelesen zu haben.

 

[tollertyp]

Vor allem entbehrt es jeder Logik, dass jemand Zugang zum PC hatte, sonst wäre der Spam-Unsinn gar nicht notwendig gewesen. Und deshalb schickt es Eindringling auch genau dort hin, wo es hingesendet wurde - um von sich abzulenken vermutlich.

Aber immerhin konsequent: Nicht lesen und auch nicht nachdenken.

 

[Azdak]

@Stinkfisch für dich ist das Thema ja mitlerweile erledigt und ich bin erst jetzt auf das Thema aufmerksam geworden.
Einen Weg, wie du ggf. (auch jetzt noch) an ein wenig "Forensik-Daten" kommen könntest, wäre der Versuch eines Auskunftsersuchens nach DSGVO Art. 15 mit Kopie (Abs. 3). Dabei dann darauf hinweisen, was der Landesdatenschutzbeauftragte des Landes Bayern bei der 1. Zwischenkonferenz der unabhängigen Datenschutzaufsichtsbehörden des Bundes und der Länder am 27. Januar 2022 (Protokoll ) zur Auslegung des Abs. 4 (Einschränkung der Auskunftspflicht) angemerkt hat (TOP4).
Bayern (LfD) ergänzt, dass die strittigen Punkte der Leitlinie zum Auskunftsanspruch,

Beauskunftung von Log-Dateien und die Auslegung von Art. 15 Abs. 4 DSGVO, im Sinne der
deutschen Rechtsaufassung durchgesetzt wurden. Log-Dateien fallen unter den
Auskunftsanspruch des Art. 15 DSGVO. Art. 15 Abs. 4 DSGVO ist dahingehend auszulegen,
dass ein Auskunftsanspruch in der Gestalt einer Kopie erfüllt wird.

Die Chancen sind zwar sehr Klein, aber ein Versuch vielleicht wert.

 

[Stinkfisch]

Hallo Zusammen,

wahnsinn wieiviele sich hier noch gemeldet haben und weitere Tips gegeben haben.

Update zu meiner Sache:

Während ich aktiv bei Amazon eingelogt war kam es Ende Juli zu weiteren seltsamen Aktivitäten, die wohl durch das Sicherheitssystem von Amazon direkt unterbunden wurden. Ich erhielt in kruzer Folge diese Nachrichten von Amazon:

Deren Inhalt besagt aber nichts Neues:

Hinzu kam, dass wieder die Amazon Hub in Dortmund bei meinen Adressen hinterlegt wurde. Habe jetzt alle Adressen bis auf Eine gelöscht.

@Intruder + @Azdak Es handelt sich bei meinem Vorfall um keinen Identitätsdiebstahl, sondern wohl um eine vermeindliche Sicherheitslücke bei Amazon. Zumindest habe ich keine Probleme mit meinem Girokonto, Kreditkarte, etc. und hätte jemand Zugang zu meinem PC gehabt würde sich das Ganze nicht nur auf Amazon beschränken.

Zur Sicherheit werde ich diese Woche meinen PC mit einer frischen Windows-Installation neu aufsetzen. Habe jetzt eh neue Hardware am Start und freue mich auf das Bastelprojekt.

Gruß, Stinkfisch

 

[riversource]

Es handelt sich bei meinem Vorfall um keinen Identitätsdiebstahl, sondern wohl um eine vermeindlichen Sicherheitslücke bei Amazon.

Sorry, nein. Das hätte ganz andere Auswirkungen gehabt.

Was mir an deiner Stelle Sorgen machen würde, ist der Umstand, dass sie immer noch Zugriff auf dein Konto haben. Offenbar waren alle Maßnahmen von dir bislang nicht hinreichend, sie auszusperren.

 

[Stinkfisch]

'Normales' Smartphone ohne Root oder Custom ROM? Loggst du dich auch auf dem Smartphone bei Amazon ein? -> Da liegt ja auch dein zweiter Faktor, d.h. Zugriff auf Smartphone (bzw. kompromittierung) kann unter Umständen schon reichen um beide Faktoren zu erhalten. Wo liegen die Backups von andOTP bzw. vom TOTP?

@BeBur

• Ja, ein normales Nokia. Ganz Original. Die sind ohnehin nicht sonderlich Root freundlich und damit auch nicht Custom ROM freudig.
• Nein, keine Amazon-App auf dem Handy.
• BackUp liegt in meiner verschlüsselten NextCloud bei Hetzner, die auch widerum über eine F2A verfügt.

Ist der TOTP MFA per push? Oder musst du einen Code eingeben manuell?

@benjiman

• Alle 30 Sekunden per Push.

Deswegen nimmt man ja auch den Branchenprimus, KeePass.

@crashbandicot

• Wie im Thread nachzulesen habe ich KeePassXC mit 3-fach Authentifizierung im Einsatz.

Was mir an deiner Stelle Sorgen machen würde, ist der Umstand, dass sie immer noch Zugriff auf dein Konto haben. Offenbar waren alle Maßnahmen von dir bislang nicht hinreichend, sie auszusperren.

@riversource Deshalb werde ich meine PC mit Windows darauf komplett erneuern.

-------------------------------------------------------------------------------------------------------------------------

Eine Idee ist mir gerade noch gekommen:

Ich verwende für mein Netzwerk DLan von Devolo. Eines meiner Gerät ist kaupp gegangen. Ich habe mir bei Ebay ein gebrauchtes Devolo dLAN 500 AVplus gekauft. Dieses wurde am 28.06.2022 geliefert und ich habe es anfang Juli in Betrieb genommen. Liegt hier möglicherweise die Schwachstelle?

 

[riversource]

Du hast kein Problem mit Keepass oder verlorenen Zugangsdaten.

Während ich aktiv bei Amazon eingelogt war kam es Ende Juli zu weiteren seltsamen Aktivitäten, die wohl durch das Sicherheitssystem von Amazon direkt unterbunden wurden.

Da liegt der Schlüssel. Du hast alle Zugangsdaten verändert, dann war Ruhe. Du loggst dich einmal ein, und es geht wieder los. Während des Login Vorgangs hast du ihnen schön brav alle Infos zukommen lassen, die sie brauchen, inkl. 2fFA. Wenn du sie nicht sogar selber eingeloggt hast und sie auf deiner Session weitergearbeitet haben.

Mindestens eines der Geräte ist kompromittiert. Du nutzt einen Tunnel, einen Proxy, einen Fake DNS Server, ein Browserplugin oder irgendwie sowas. Jedenfalls werden deine Zugriffe auf Amazon abgefangen, so viel ist sicher.

 

[benjiman]

@benjiman

• Alle 30 Sekunden per Push.

Und da kann auch ein Problem liegen… habe bei diversen Mitarbeitern erlebt die ein Push einfach approved wurde obwohl nicht von jenen initiiert.

Ich würde dringend empfehlen auf PIN Eingabe umzusteigen

 

[Stinkfisch]

Und da kann auch ein Problem liegen… habe bei diversen Mitarbeitern erlebt die ein Push einfach approved wurde obwohl nicht von jenen initiiert.

Ich würde dringend empfehlen auf PIN Eingabe umzusteigen

Entschuldige, vielleicht reden wir auch aneinander vorbei. Ich erhalte über die App auf meinen Nokia alle 30 Sekunden eine 6 bis 8 stellige Nummer. Von daher müsstest du bitte das Ganze näher erläutern?

 

[benjiman]

Entschuldige, vielleicht reden wir auch aneinander vorbei. Ich erhalte über die App auf meinen Nokia alle 30 Sekunden eine 6 bis 8 stellige Nummer. Von daher müsstest du bitte das Ganze näher erläutern?

Ok dann habe ich dich nur falsch verstanden, dann passt das

 

[Donnidonis]

Du hast sehr wahrscheinlich, wie zuvor genannt, ein kompromittiertes Gerät. Per Session Hijacking braucht man dann auch kein 2FA mehr. Am wahrscheinlichsten ist der PC. Daher: offline nehmen, komplette Neuinstallation vornehmen. Am besten auch weitere Geräte im Haus, falls es etwas persistenter ist.

 

[Alf2012]

Der Vorfall von Stinkfisch ist ja nun schon 2 Monate her. Mir ist heute genau das gleiche passiert nur bei mir war es eine Grafikkarte für schlappe 3500 Euronen. Ich habe aber in dem Heuhaufen des Mail-Bombardements die Nadel der Bestell- und Versandbestätigung von Amazon zufällig, aber noch rechtzeitig, entdeckt. Gleich Amazon Kundendienst angerufen. Die Sendung war noch nicht an DHL übergeben! Amazon hat es trotzdem versemmelt und die Sendung 4 Stunden später an DHL übergeben ...Ziel ein Kiosk (DHL Paketshop) in Köln, Übergabe gegen Unterschrift). Aber Glück im Unglück: Die DHL-Sendungsverfolgung bietet die Option "Annahme Verweigern" :-). Also die Annahme online verweigert ...und nun ist das Paket auf dem Rückweg zu Amazon. Ich hoffe nun, daß Amazon es nicht wieder versemmeln und das Paket nochmal losschickt (sicherheitshalber habe ich parallel dazu die Rückgabe des Artikels beantragt). "Tausend" Mails mit dem Kundendienst hin- und hergemailt ...ich hoffe, daß ich noch mal mit einem "blauen Auge" davon gekommen bin.

Mein Amazon Account ist vorläufig gesperrt, aber das wird hoffentlich nicht lange dauern.

Jedoch die Frage bleibt ...wie konnte das passieren?!?! Soweit ich die Beiträge in diesem Chat gelesen habe, gab es viele gute Ratschläge, aber wie diese Betrugsmasche funktioniert und (viel wichtiger) wie man sich davor schützen kann ist dabei NICHT herausgekommen (?).

@Stinkfisch: Hast du zu deinem Fall neue Erkenntnisse, weißt du wie das passieren konnte? Muß ich nun alles platt machen und neu aufsetzen oder gibt es eine andere sichere Lösung? Was hast Du getan?

 

[riversource]

Mein Amazon Account ist vorläufig gesperrt, aber das wird hoffentlich nicht lange dauern.

Ich wäre mir an deiner Stelle nicht sicher, ob ich will, dass der reaktiviert wird.

Ansonsten laufen viele Vermutungen in Richtung kompromittierter Endgeräte. Da solltest du ansetzen.

 

[Paolo123]

Die Entwicklung von Trojanern und ähnlichem ist ja nicht stehen geblieben, wo es früher nur Funktionen gab wo man pixelbrei Screenshots bekommen hat gibt es heute den desktop in Echtzeit als Stream. Das ganze ist auch unter den Namen hvnc oder hidden Browser und ähnlichen bekannt. Das ganze übernimmt einfach die aktuelle Sitzung und der PC wird von der Ferne gesteuert aber da ja trotzdem alles über den eigenen PC läuft schlagen bei Amazon usw keine Sicherheitsmaßnahmen an. Die Frage ist nur wieso dann die Mails? Eine logische Erklärung dafür ist nur das derjenige keinen Zugriff auf das mail Konto hat.

 

[D0m1n4t0r]

Könnte mir vorstellen, dass das mit den Mails einfach zur verschleierung dient. Wenn man eine Mail von Amazon bekommt merkt man natürlich sofort was los ist. Aber wenn man zweihundert Spam Mails bekommt kann es sein dass man die eine wichtige Amazon Mail in dem Mailhaufen übersieht in der das mit der Bestellung über paar hundert oder tausende Euro drin steht.

 

[AriKana]

08.09.2022 ist mir das selbe wie @Stinkfisch und @Alf2012 passiert.
Da ich die Mailadresse nur sporadisch nutze, mich in letzter Zeit aber über die Flut an Spam-Mail gewundert habe, hab ich nachgesehen was da los war.
Auffällig war, dass viele Spam-Mails erstmals am 08.09. eingegangen sind. Nachdem ich stundenlang damit beschäftigt war, tausende Mails der letzten Wochen zu löschen, bin ich am besagten Tag angekommen...
Insgesamt war es eine Mailbombe von ca. 1500 Mails. Darin versteckt waren zwei Amazon Bestellungen.

Anscheinend wurde die Masche aber mittlerweile weiterentwickelt um weniger aufsehen zu erregen:
Bei mir wurden zwei Bestellungen als "nicht zugestellt" gemeldet, worauf das Geld in Form eines Amazon-Gutscheins gutgeschrieben wurde. Zeitgleich wurden die Bestellungen getätigt. In meinem Fall "35€ Valorant Guthaben" und "2.150 APEX Coins". Gesamt ca. 54€, wobei mein Konto aufgrund der Gutschriften nicht belastet wurde.
Offensichtlich müssen sie Zugang zum Amazon Account gehabt haben bzw. genau gewusst haben, was dort vor kurzem bestellt wurde. Ich hab auch eine nette Mail vom Kundenservice bekommen, worin sie sich bedanken, dass ich mich mit meinem Anliegen an sie gewendet habe. Ob der Kontakt telefonisch stattgefunden hat, kann ich nicht sagen. Ich bin der Sache auch noch nicht weiter auf den Grund gegangen, werde aber morgen dort mal anrufen und fragen, was deren Aufzeichnungen hergeben.

 

[markusgo1967]

Leute, nutzt alle euch zur Verfügung stehende Möglichkeiten die Amazon und eure Internet Security anbieten. Wenn so was geht, liegt es meistens an einer nicht ausreichender Schutzmaßnahme.

 

[2800]

Die Entwicklung von Trojanern und ähnlichem ist ja nicht stehen geblieben, wo es früher nur Funktionen gab wo man pixelbrei Screenshots bekommen hat gibt es heute den desktop in Echtzeit als Stream. Das ganze ist auch unter den Namen hvnc oder hidden Browser und ähnlichen bekannt. Das ganze übernimmt einfach die aktuelle Sitzung und der PC wird von der Ferne gesteuert aber da ja trotzdem alles über den eigenen PC läuft schlagen bei Amazon usw keine Sicherheitsmaßnahmen an. Die Frage ist nur wieso dann die Mails? Eine logische Erklärung dafür ist nur das derjenige keinen Zugriff auf das mail Konto hat.

Wie infiziert man seinen PC mit sowas? Reicht es grob gesagt auf einen Link zu klicken oder muss man aktiv etwas installieren?

Wenn jemand deinen PC übernehmen kann, was hindert ihn dann daran sich in deinem Router einzunisten? Dann wäre jeder mit dem Router verbundene PC wieder infiziert. (Ich phantasiere nur. Oder wäre das möglich?)

Macht es einen Unterschied, ob Windows oder Ubuntu genutzt wird?

 

[BFF]

Router verseuchen ist ja machbar und wurde auch schon getan. Nur halt mehr um die zum Miner zu machen oder den DNS umzulenken.

Was mich an den Vorfällen etwas wundert ist, das Amazon selbst nix erklärt was passiert sein kann.

Ich persönlich denke nicht wirklich das hier Endgeräte der Nutzer abgegriffen wurden. Eher denke ich das da ein in/bei/für Amazon Tätiger da irgendwas abzieht.
Dafür würde sprechen das die tausenden Mail nötig sind um die Bestellung zu verdecken. Wenn Endgerät gekapert wäre es möglich die Bestellmail zu löschen.

Insgesamt dennoch sehr krude.

Interessant wäre ob die drei die es erwischt hat hier eine örtliche Nähe haben.