Passwortliste für Onlineshops geklaut

[Man-at-Arms]

Was tun, wenn die Passwortliste für diverse Onlineshops nicht mehr sicher ist?

Ein Angreifer, der Shopzugang hat, kann munter die Zahlungsmethoden verwenden, da bei den unzähligen Onlineshops jedesmal Zahlungsmethoden hinterlegt sind wie Bankkonto, Kreditkarte und Paypal.

Eine Kreditkarte lässt sich einmal bequem beim Anbieter sperren, dann ist diese Zahlungsmethode ungültig.

Wie kann ich Paypal und Bankkonto absichern?

SEPA-Mandat entziehen ist ja vollkommen unpraktikabel.

 

[grill]

Bei der Bank anrufen, den Diebstahl melden und jeglichen Zahlungsverkehr sperren. Dann Schadensbeseitigung betreiben...

Aber wer erstellt sich denn bitte eine Passwortliste, die einfach so geklaut werden kann?

 

[Cardhu]

Alle Passwörter ändern, wäre vllt so eine Maßnahme?
Vllt nicht unbedingt seine Passwörter aufm PC speichern und am besten noch Kundennummer und Shop dazu?

 

[memmex]

Allgemein: keine doppelten Passwörter verwenden, keine Zahlungsdaten bei Shops "speichern"
oder "merken lassen"

Paypal: 2FA nutzen, Passwort regelmäßig ändern
Kreditkarte: zurückbüchen
Bankkonto: Einzug zurückbuchen lassen, allgemein sparsam verwenden (Daten bleiben häufig Jahrzente gleich)

 

[neofelis]

...
Aber wer erstellt sich denn bitte eine Passwortliste, die einfach so geklaut werden kann?

Stimmt! So was fotografiert man ab
Das war anscheinend ein unprofessioneller Dieb.

Das blödeste an einer sorgfältig geführten Passwortliste ist, dass man ohne sie überhaupt nicht mehr weiß, wo man überall brav verschiedenste Passwörter eingesetzt hat.
Wenn die Daten nur anderen bekannt geworden sind, hat man halt viel Arbeit und muss alle Passwörter ändern.

Das einfachste bei Verlust ist in so einem Fall der Bankwechsel / neues PaPal-Konto oder wenigstens eine neue Kontonummer. Man kann sein Konto ja nicht ewig sperren lassen.

 

[grill]

Stimmt! So was fotografiert man ab
Das war anscheinend ein unprofessioneller Dieb.

Sorry, aber .txt ist kein Format für Passwortlisten.

 

[neofelis]

Sorry, aber .txt ist kein Format für Passwortlisten.

Dachte da eher an analoge Listen. Solche mit Zettel und Stift erstellte. Absolut Hacker-sicher aber anfällig in der wirklichen Welt.

 

[leipziger1979]

da bei den unzähligen Onlineshops jedesmal Zahlungsmethoden hinterlegt sind wie Bankkonto, Kreditkarte und Paypal.

Bei welchem Shop sind die hinterlegt?
Ich kenne keinen.
Wenn ich Paypal oder Kreditkarte zur Auswahl habe muss ich es jedes Mal per Hand eingeben.

 

[Man-at-Arms]

Danke für das Feedback und die "gut gemeinten Ratschläge" ;-)

Bei der Bank anrufen, den Diebstahl melden und jeglichen Zahlungsverkehr sperren. Dann Schadensbeseitigung betreiben...

Wie lange ist der Zahlungsverkehr dann "gesperrt"? Was passiert da wirklich und wie praktikabel ist das?

keine Zahlungsdaten bei Shops "speichern" oder "merken lassen"

Sehr gute Idee für die Zukunft! Vor allem für das Bankkonto, da man sich bei Paypal-Bezahlung dort immer während des Bestellprozesses nochmal separat einloggen muss/kann mit 2FA.
Bankkonto scheint hier eine Schwachstelle zu sein.

Paypal: 2FA nutzen, Passwort regelmäßig ändern

Stimmt. Wie gesagt, bei Paypal kann man sich nochmal beim Bezahlen separat authentifizieren.
Lastschriftverfahren bei der Bank sieht sowas nicht vor afaik.

Nochmal zurück zur Frage:
Was kann ich jetzt tun, um unbefugte Lastschriften im Vorfeld zu verhindern?
Alle Onlineshop-Konten mit neuen Passwörtern zu versehen ist unpraktikabel und muss auch anders gehen.
Wie gesagt, Lastschriftmandat-Entzug wäre das Mittel der Wahl, scheint aber so ausgestaltet zu sein, das es nicht ernsthaft durchführbar ist.

Ergänzung (18. Juni 2019)

Bei welchem Shop sind die hinterlegt?
Ich kenne keinen.
Wenn ich Paypal oder Kreditkarte zur Auswahl habe muss ich es jedes Mal per Hand eingeben.

Es geht mir haupstsächlich ums Bankkonto.
Paypal bietet Login-Schutz + 2FA, Kreditkarte lässt sich bequem sperren und man bekommt schnell eine frische Nummer.

 

[memmex]

Was kann ich jetzt tun, um unbefugte Lastschriften im Vorfeld zu verhindern?

Einfach nicht per Bankeinzug zahlen - die Daten also nirgends angeben.
Ein Bankkonto ist kein Zahlungmittel für das Internet, da sich deine Daten nicht mehr ändern werden oder nur beim Wechsel der Bank. Außerdem benötigen Zahlungen mehrere Tage. Alles nicht wirklich praktikabel in meinen Augen.
Wenigstens lassen sich unberechtigte Einzüge zurückbuchen.

 

[grill]

Wie lange ist der Zahlungsverkehr dann "gesperrt"? Was passiert da wirklich und wie praktikabel ist das?

Das kannst du mit deiner Bank abklären. Wichtig ist dass du dich dann schnellstens darum kümmerst, dass alle Shops in denen deine Bankdaten hinterlegt sind informiert werden und du dort wieder Zugriff auf deine Daten erhälst.

Grundsätzlich kann ich dir aber nur dazu raten keinerlei Bankverbindungsdaten irgendwo anzugeben und nur per KK oder PP zu zahlen. Erspart dir viel Ärger, bei genau solchen Fällen wie diesem hier.

 

[Nilson]

Alle Onlineshop-Konten mit neuen Passwörtern zu versehen ist unpraktikabe

Aber genau das machen.
Passwortmanager zulegen und für jeden Shop ein eigenes PW anlegen. Und eben PW für PayPal und Co ändern.

 

[Phneom]

Einfach nicht per Bankeinzug zahlen - die Daten also nirgends angeben.
Ein Bankkonto ist kein Zahlungmittel für das Internet, da sich deine Daten nicht mehr ändern werden oder nur beim Wechsel der Bank. Außerdem benötigen Zahlungen mehrere Tage. Alles nicht wirklich praktikabel in meinen Augen.

Also das mit dem Bankeinzug würde ich nie machen aber eine Überweisung an bekannte Shops durchführen ist jetzt nichts schlimmes. Es gibt auch Shops die noch auf Rechnung versenden und da halte ich jetzt eine Überweisung für nicht tragisch.
Wobei ich persönlich auch zu über 90% mit Paypal zahle, und man ja meist so oder so über einen Marketplace ( Amazon ebay) sich was holt und abgesichert ist. Aber selbst der Chinese schmeißt einem die Kohle ja eh wieder zurück wenn was nicht stimmt nur um bloss keine schlechte Wertung zu bekommen.
Was Passwörter angeht: Passwortmanager.

 

[jonderson]

Aber genau das machen.
Passwortmanager zulegen und für jeden Shop ein eigenes PW anlegen. Und eben PW für PayPal und Co ändern.

Passwörter DEFINITIV ändern.
Würde aber keinen Passwortmanager verwenden, sondern masterpasswordapp.com
Ist einfacher...

 

[Man-at-Arms]

Ok, Passwörtänderung für alle Zahlungsmittel hab ich als erstes gemacht, aber das hat bei Bank-Lastschriften ja keine Wirkung.
Bei ca. 30-40 Onlineshops ist eine Passwortänderung natürlich ätzend, und da ist es natürlich schön vom anderen Ende aus Mißbrauch einen Riegel vorschieben zu können.

Ok ok, Schaden macht klug und Bankeinzug ist ab jetzt endgültig gestorben.

 

[Nixdorf]

Ok, Passwörtänderung für alle Zahlungsmittel hab ich als erstes gemacht, aber das hat bei Bank-Lastschriften ja keine Wirkung.

Lastschriften kannst du zurückbuchen lassen.

Bei ca. 30-40 Onlineshops ist eine Passwortänderung natürlich ätzend, und da ist es natürlich schön vom anderen Ende aus Mißbrauch einen Riegel vorschieben zu können.

1. Keine Passwörter mehr als unverschlüsselte Datei oder als Zettel offen rumliegend aufbewahren! Die paar Passwörter, die man hinschreibt, gehören in die Geldkassette, auf jeden Fall halt gut verwahrt.
2. Für jeden Dienst ein anderes Passwort verwenden! Die Bequemlichkeit der Mehrfachnutzung sorgt sonst dafür, dass man bei jedem Verlust eines Passworts wieder erneut alle ändern darf.
3. KeePass benutzen! Das kann dann konsequent für alles genutzt werden, auch auf dem Tablet und dem Handy.

Ok ok, Schaden macht klug und Bankeinzug ist ab jetzt endgültig gestorben.

Wie gesagt, das kann man zurückbuchen lassen. Und das Lastschriftmandat ist übrigens so ziemlich das Einzige, was die Shops ohne riesigen Aufwand legal speichern dürfen. Schon mit den Kreditkartendaten wird es für die kompliziert. In der Regel liegen dieser daher auch nicht beim Shop selber, sondern der lässt das über einen Zahlungsdienstleister regeln.

 

[M@rsupil@mi]

Bankeinzug ist ab jetzt endgültig gestorben.

Bankeinzug ist das geringste deiner Probleme. Die Daten werden ja ständig zwischen 2 Personen ausgetauscht und wenn da was nicht stimmt, dann kann man einfach eine Rückbuchung veranlassen.

Ist einfacher...

Einfach bedeutet nicht zwangsweise sicher(er).
Ob man jetzt all seine PW, Logins und CO einem Anbieter im Internet vertrauen sollte ist durchaus etwas, was man sich gut überlegen / abwägen sollte.

 

[florian.]

Nur weil jemand deine Kontonummer kennt, kann er damit noch lange keinen Schabernack treiben.
Da bereits jeder 2. Onlineshop gehackt wurde, sind meine Bankdaten garantiert schon längst im Darknet.
Firmen drucken ihre Bankdaten übrigens sogar auf Briefe.

Die einzige Gefahr geht von dem gekaperten Onlineshop Konto aus.
Ware wird bestellt, dein Konto wird belastet, die Ware geht aber zu einer Paketstation.
Aber das Problem willst du ja nicht beheben, viel zu umständlich....

Stattdessen ist die Bank/Lastschrift Böse, weil sie....., ja warum eigentlich?

 

[Man-at-Arms]

Es geht mir weniger um den Datensatz des Bankkontos als um die erteilten Lastschriftmandate.
Warum kann ich nicht bequem meiner Bank den Auftrag erteilen alle Mandate aufzukündigen.
Warum muß ich erst noch jedem einzelnen Onlineshop eine Kündigung postalisch zuschicken?
Vollkommen unmöglich und das geht bei anderen Zahlungsmitteln heute einfacher. Und 36 Monate warten bis ein Mandat von alleine erlischt muß auch nicht sein.

Außerdem, wer trägt die Gebühren für eine Rücklastschrift, wenn das Onineshop -Konto gehackt wurde?
Der Shopbetreiber will bestimmt nicht freiwillig zahlen, zumal auch noch Ware im Spiel ist.

Jedenfalls führen da wohl nur primitive Vorgehensweisen zum Ziel und ich kann nur hoffen, keinen Shop zu übersehen.

 

[BalthasarBux]

Das Onlineshop-Konto wurde nicht gehackt, wenn dir jemand die Passwortliste geklaut hat. Dann wurdest du "gehackt". Und es ist deine Pflicht, dass so schwer wie nur möglich zu machen.