Phishing-Angriff auf Pollin-Kunden

Was taugen Pollin, Reichelt und Co

Moderatoren: Sven, Heaterman, TDI, Finger

Phishing-Angriff auf Pollin-Kunden

Beitragvon bastelheini » Do 28. Jul 2016, 14:30

Ich stells mal als eigenes Thema rein, damit es jeder gleich sieht...

http://www.heise.de/newsticker/meldung/ ... itrag.atom
bastelheini
 
Beiträge: 1000
Registriert: So 11. Aug 2013, 13:55

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon uxlaxel » Do 28. Jul 2016, 15:46

danke für die info, ich hätte es mit sicherheit überlesen! lg axel
Benutzeravatar
uxlaxel
 
Beiträge: 8150
Registriert: So 11. Aug 2013, 22:05
Wohnort: Jena (Thüringen)

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Arndt » Do 28. Jul 2016, 16:07

Hah, da kam die Mail heute her!

War an sich gut gemacht und ist mir erst aufgefallen, dass mein Paypalkonto angeblich "Eingeschränkt" wurde und mittels *Augenzwinker* einem Link wieder freigeschaltet werden kann.....
Ein Blick zur sicherheit bei Paypal rein zeigte keine Einschränkung und keine Transferbewegungen.

Naja und der Absender noreply@verifiyservice.de ist doch auch schon irgendwie auffällig.

Grundsätzlich muss ich aber feststellen, dass die Jungs besser werden, das macht schon Sorge, dass man doch mal reinfällt.
Benutzeravatar
Arndt
 
Beiträge: 1674
Registriert: Fr 28. Jun 2013, 13:42
Wohnort: einen Schritt über den Abgrund hinaus

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Name vergessen » Do 28. Jul 2016, 21:32

Tja, was soll ich dazu sagen... ein einziges Mal gebe ich eine BV in einem versch*ssenen Onlinedreck an, und was passiert...? Die Mails sind echt mein kleinstes Problem daran, jetzt darf ich nämlich täglich das Konto kontrollieren, ob was abgebucht wurde, als wenn ich sonst nichts zu tun hätte. :evil:
Wäre toll gewesen, diese Info von Pollin zu bekommen...

Gleich mal die Daten auf "Vorkasse" gestellt, damit die BV zumindest aus der Übersicht gelöscht ist, und das PW auch gleich geändert. Super geile Woche. Ändert aber nichts daran, daß dieser Datensatz noch in 10 Jahren auf dem Schwarzmarkt herumkopiert werden wird. Also noch Mailadresse ändern, damit wenigstens sofort klar ist, ob Mails echt sind oder nicht.

Wollte eigentlich demnächst was bei Pollin bestellen, aber das lasse ich jetzt bleiben.

BTW: einer der Kommentare bei Heise schreibt ja, daß die Daten zumindest in seinem Fall nicht von Pollin stammen könnten (anders Konto). Es ist ja auch absolut möglich, daß die Mailanbieter Maildaten "verlieren". Zumindest GMX verkauftliert regelmäßig Nutzerdaten: ich bekomme SPAM mit den korrekten Daten selbst an Accounts, die ich ausschließlich für einen einzigen Zweck eingerichtet und genau aus diesem Grund mit falschen Daten beim Zielaccount genutzt habe (die "korrekten" Daten liegen also ausschließlich bei GMX...).

Vielleicht wäre es also sinnvoll, die Mailanbieter der gephishten Leute zu kennen?
Benutzeravatar
Name vergessen
 
Beiträge: 1964
Registriert: Mo 12. Aug 2013, 19:47

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon SchuesselTech » Do 28. Jul 2016, 22:19

meine @yahoo.de adresse bekam auch eine solche email... :shock:
SchuesselTech
 
Beiträge: 399
Registriert: So 1. Dez 2013, 15:16

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon scotty-utb » Do 28. Jul 2016, 22:23

Hi!

googlemail: bisher keine derartige phishing

vr-web (mittlerweile abgeschalten): ich erinnere mich an 1 Mail mit korrekter Anschrift und Anrede, das ist aber > 1 Monat her, solang gibts vr-web schon nicht mehr.
edit: das könnte aber auch von web.de gekommen sein... die Weiterleitung läuft ja jetzt seit 1 Monat ins Leere, und ich wundere mich über so wenig Spam... ich glaube das bleibt so *g*
Zuletzt geändert von scotty-utb am Do 28. Jul 2016, 22:49, insgesamt 1-mal geändert.
Benutzeravatar
scotty-utb
 
Beiträge: 918
Registriert: Mi 4. Jun 2014, 14:46
Wohnort: Schwandorf

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Bastelbruder » Do 28. Jul 2016, 22:31

[OT]Und ich hab gestern ein paar unverfängliche infomails von Angelikas bekommen
Bild
Wer hat sich da verschluckt? Die Beförderungszeiten sehen aus als wär der Mailserver richtig im Streß gewesen.[/OT]
Bastelbruder
 
Beiträge: 3840
Registriert: Mi 14. Aug 2013, 18:28
Wohnort: drunt' am Neckar - km142,7

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon zauberkopf » Do 28. Jul 2016, 22:34

Was ich interessant finde :
Also bei mir war als "Rechnungsadresse" die vor 8 Jahren drin..
Benutzeravatar
zauberkopf
 
Beiträge: 6172
Registriert: So 11. Aug 2013, 15:33
Wohnort: gefährliches Halbwissen

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon xoexlepox » Do 28. Jul 2016, 22:39

Das "riecht" doch sehr nach einem Botnetz... Was "sagen" die Mailheader? Alle Mailer/Wege(/Absender sowieso) unterschiedlich?
Benutzeravatar
xoexlepox
 
Beiträge: 4089
Registriert: So 11. Aug 2013, 19:28
Wohnort: So etwa in der Mitte

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Name vergessen » Do 28. Jul 2016, 22:40

Hm, das berichtet bei den Kommentaren auch einer "mindestens 1,5 Jahre alt". Hm. Du hattest also vor 8 Jahren schon GayPal?
Benutzeravatar
Name vergessen
 
Beiträge: 1964
Registriert: Mo 12. Aug 2013, 19:47

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon duese » Fr 29. Jul 2016, 08:20

Ich hab heute morgen eine Email von Pollin bekommen in der sie sagen, was Sache ist und darum bitten das Passwort zu ändern (beim nächsten Einloggen muss man das dann wohl auch ändern). Ändern hat aber nicht geklappt. Nach dem Einloggen bekam ich nur eine weiße Seite. Der Server ist wohl grad ein bisschen ausgelastet :lol:
duese
 
Beiträge: 2688
Registriert: So 11. Aug 2013, 17:56

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon zauberkopf » Fr 29. Jul 2016, 08:43

Hm, das berichtet bei den Kommentaren auch einer "mindestens 1,5 Jahre alt". Hm. Du hattest also vor 8 Jahren schon GayPal?

Jo !
Und da ich einige homosexuelle extrem liebe Menschen kenne, ist Gay für mich auch kein Schimpfwort mehr.
(Welcher Trottel kam eigentlich auf die Idee??? Ausserdem : Mehr Homosexuelle ... mehr Frauen für mich.. egal)

Ausserdem muss ich sagen, das ich ca bis zur Jahrtausendwende selbst in etliche Systeme eingedrungen bin.
Aus Neugier und mit der alten Hacker Ethik(so mit Mails hinterher an die Admins schicken.. ).
Damals war das echt zu einfach.
Aber auch heute gilt : Ein Cracker muss nur einmal "Glück" haben.. Ein Admin jeden Tag.
"Glück" deswegen, weil die Systeme immer komplexer werden. Und weil es auch zahlenmäßig ein ungleicher Kampf ist.
Danach habe ich auf der anderen Seite gearbeitet.. und gemerkt, zu viel Sicherheit schadet der Produktivität.
Oder aber, Passwörter auf dem Monitor kleben.. auch nett.. ;-)

Also, jeder sollte für sich entscheiden, welches Kosten/Nutzen/Risikoverhältnis er eingehen will, wenn er
im Netz unterwegs ist.
100% Sicherheit ist im Leben eine Illusion. Das Leben alleine ist schon tödlich.

Paypal hat schon seine Berechtigung.. ohne wurde ich auch schon mal um 200Eur erleichtert.
Die Gebühren auch.. denn die wollen auch Geld verdienen, und müssen Risiken abfangen.

Ansonsten ist das nichts, worüber ich mich aufregen könnte.. Peanuts... ;-)
Eigentlich muss ich über die Phishing Mails sogar grinsen... nach dem Motto : Netter Versuch !
Benutzeravatar
zauberkopf
 
Beiträge: 6172
Registriert: So 11. Aug 2013, 15:33
Wohnort: gefährliches Halbwissen

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon zauberkopf » Fr 29. Jul 2016, 09:15

Das ist ja witzig.. ich will gerade mein Pollin Konto ändern.. da merke ich, das ich dort 2 mal registriert war !
Mit unterschiedlichen E-Mail Adressen....Alzheimer unter 40.. :roll:

Interessanter weise bekam ich aber nur vom alten Account ne Phishing Mail.. (noch) nicht vom neuen !
Da ist die Adresse ist bei web.de..

(Vielleicht haben die ja ein altes Backup-Tape /Festplatte versehentlich verhöckert.. ;-) )
Benutzeravatar
zauberkopf
 
Beiträge: 6172
Registriert: So 11. Aug 2013, 15:33
Wohnort: gefährliches Halbwissen

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Profipruckel » Fr 29. Jul 2016, 13:57

heise Security / 29.07.2016 12:40 Uhr Ronald Eikenberg
Elektronikversand Pollin bestätigt schwerwiegenden Hacker-Angriff
... erklärte der Elektronik-Shop nun, dass seine Server angegriffen wurden. Die Täter haben viel mitgenommen, darunter auch offenbar die Bankverbindungen der Kunden.

http://www.heise.de/newsticker/meldung/Elektronikversand-Pollin-bestaetigt-schwerwiegenden-Hacker-Angriff-3281324.html
Profipruckel
 
Beiträge: 1342
Registriert: Di 13. Aug 2013, 19:10
Wohnort: Niedersachsen Süd-Ost

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon scotty-utb » Fr 29. Jul 2016, 14:33

Die Mail an die Kunden schließt mit dem Hinweis...

achja? Ich hab keine Mail...
Aber die Passwort-Änderungslink-Mail kam an.
Gut, geändert
Benutzeravatar
scotty-utb
 
Beiträge: 918
Registriert: Mi 4. Jun 2014, 14:46
Wohnort: Schwandorf

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon xoexlepox » Fr 29. Jul 2016, 14:49

scotty-utb hat geschrieben:Aber die Passwort-Änderungslink-Mail kam an.

Hmm, bei mir kam (bisher) nichts an, und auch bisher kein erhöhtes Spam-Aufkommen. Ich habe mich auf den Webseiten jedoch auch nicht registrieren lassen, aber meine Kundennummer finden die anscheinend bei jeder Bestellung wieder... Die "geklauten" Daten sind demzufolge wohl eher die der "registrierten Kunden".
Benutzeravatar
xoexlepox
 
Beiträge: 4089
Registriert: So 11. Aug 2013, 19:28
Wohnort: So etwa in der Mitte

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Name vergessen » Fr 29. Jul 2016, 16:26

Hehe, ich hab gerade gegrinst:
*Sehr geehrte<snip>*

um die Sicherheit der Daten zu gewährleisten, findet regelmäßig eine
Sicherheits-Prüfung unseres Systems und der Server-Infrastruktur statt. In einer
aktuell durchgeführten Analyse haben wir festgestellt, dass sich unbekannte
Dritte aufgrund eines gezielten Serverangriffs unberechtigten Zugriff auf Daten
verschafft haben können, die in der Vergangenheit auf der Website von Pollin
Electronic eingetragen wurden. Davon können beispielsweise Namen, Geburtsdaten,
E-Mail Adressen, SEPA-Daten, Zugangsdaten, Telefonnummern oder postalische
Adressen unserer Kunden betroffen sein.

Den Zugriffsweg, der unter Einsatz massiver krimineller Energie geschaffen
worden ist, konnten wir umgehend nach Feststellung des Angriffs identifizieren
und schließen. Dadurch war es uns möglich, den Angriff zu unterbrechen und zu
stoppen.



Zu Ihrer Sicherheit möchten wir Sie um folgendes bitten:

*Ändern Sie bitte Ihr Passwort bei Pollin Electronic*

Ob diese Sicherheitsanalyse vielleicht das Lesen von Heise-Newstickern ist? :lol: OK, klar, Heise kann Sachen erstmal veröffentlichen und Pollin wird da schonmal nachgucken müssen, bevor die ein Faß aufmachen, andererseits wird Heise da auch nicht gerade bei der ersten Mail einen Artikel draus gemacht haben...

Na immerhin, es gab diese Infomail; natürlich frage ich mich, ob es die auch gegeben hätte, wenn die Sache nicht ohnehin schon bekannt geworden wäre . . .

Ich gehe davon aus, daß primär (zunächst) GayPal-Kunden direkte Auswirkungen (Spam) spüren, das wird aber nur die erste Angriffswelle sein. Die sonstigen Daten (Kontonummer usw.) werden dann später und geschickter mißbraucht werden. Nur: was soll ich jetzt machen? Zur Bank rennen und ein neues Konto eröffnen? PW bei Polin ändern ist ja ne nette Geste, denn mit der BV können die ja im Zweifelssfall bei Pollin auf meine Kosten bestellen (wenig sinnvoll...), aber den echten Ärger / Risiko hab' ich jetzt am Hals und sonst keiner.
Ich kann mir vorstellen, daß die anderen Kunden auch später ausgewertet werden, die erste Angriffswelle mußte halt sofort raus, bevor das Leck öffentlich wurde, für maximale Schadwirkung, und da ist der Filter halt schnell gestrickt.
Ich sage es ungern nochmal, aber die wirklich schlimmen Auswirkungen solcher Datenlecks werden meistens nicht offensichtlich oder wenn, erst viel später. Spam ist echt das kleinste Übel, dem man mit ein Bißchen Vorsicht nicht auf den Leim geht, auf alles andere hat man keinen Einfluß mehr.

Ist halt die Frage: hätte ich die BV nicht im Konto stehenlassen, wäre sich ja dennoch im System gewesen, bzw. in mehreren Systemen, weil ja auch Pollin sicherlich die Geldgeschäfte outgesourced hat. Archiviert Pollin sowas auch noch? Man weiß es nicht.

Daß Sicherheit die Produktivität behindert, ist korrekt. Das liegt allerdings mitunter auch daran, daß es keine brauchbare Sicherheitsarchitektur gibt, weil niemand für sowas Geld ausgeben, Mitarbeiter binden / schulen und Prozesse umkrempeln will. Klar kommt man damit nicht auf wirklich große Sicherheit, aber zumindest firmenintern könnte man auf Paßwörter verzichten, indem man Tokens benutzt, die regelmäßig getauscht werden, und sich Gedanken macht, welche Daten wirklich für was nötig sind (Datensparsamkeit), anstatt wie bisher einfach mal maximal zu sammeln für den Fall, daß man's mal braucht, und wer / welches System wie und wann überhaupt Zugriff benötigt. Vollverschlüsselte Kommunikation und Festplatten sollten selbstverständlich sein.
Und: Paßwörter, die am Monitor kleben, sind sicherer als überall "Sex" und "Gott" zu verwenden. Zumindest, solange man nicht dauernd mit dem Schmierphone vor dem Monitor herumfuchtelt, das die PW-Zettel filmt und an die ganze Welt verteilt.

Ansonsten hast Du leider 100% Recht, was den Admin angeht. Der hat auf der einen Seite die ständigen Angriffe, die z.T. mit Milliardenkapital und / oder regierungsfinanzierten Großrechnern / Geheimdienstlich entwickelter Schadsoftware nahezu flächendeckend und pausenlos gefahren werden, auf der anderen Seite einen Chef, der keine Kohle für irgendwas rausrückt und beim kleinsten Stillstand gleich loskeift, dazwischen noch tausende z.T. hirntote oder einfach nur ahnungslose (weil anderes Fachgebiet und keine entsprechende Fortbildung "Sicherheit im Netz" finanziert wird) User, die bei allem gleich genervt anrufen, gleichzeitig aber munter Viren im Netz verteilen.

WG gay: damit habe ich auch keine Probleme, aber ich nutze die allgemein negative Konnotation, um mein Mißfallen über die entsprechenden Marken kundzutun (mir ist auch bekannt, daß "gay" eigentlich / noch immer auch für "Freude" steht). GayPal z.B. hat sich bei mir unbeliebt gemacht, als die Wikileaks den Geldhahn abgedreht haben. Egal, was die sonst so treiben, das ist nicht hinnehmbar, führt aber zu weit.

zauberkopf hat geschrieben:(Vielleicht haben die ja ein altes Backup-Tape /Festplatte versehentlich verhöckert.. ;-) )
Hat bestimmt einer in das 10,- Ü-Paket getan. :mrgreen:
Benutzeravatar
Name vergessen
 
Beiträge: 1964
Registriert: Mo 12. Aug 2013, 19:47


Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Hansele » Fr 29. Jul 2016, 18:17

Klasse, jetzt kann man wieder einige Zeit investieren in ein gutes Passwort,
anschließend den Schrott wieder überall ändern.

Naja, mal sehen was da passiert.

Btw.
Wie generiert ihr eure Passwörter und verwaltet diese?
Benutzeravatar
Hansele
 
Beiträge: 1403
Registriert: So 11. Aug 2013, 15:15
Wohnort: Bw

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Name vergessen » Fr 29. Jul 2016, 18:18

Tja... ich würde ja gerne per Rechnung bezahlen, denn dann gäbe es diese Angriffe gar nicht, bzw. gäbe es nichts zu holen. Aber auch da hat man ja das komplette Risiko auf den Kunden / Bürger abgewälzt, wie das inzwischen ja üblich ist. Die Folgen zeigen sich ja hier. Also ein ganz herzliches "Dankeschön" an Pollin und all die anderen. :evil:
Benutzeravatar
Name vergessen
 
Beiträge: 1964
Registriert: Mo 12. Aug 2013, 19:47

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Profipruckel » Fr 29. Jul 2016, 19:18

xoexlepox hat geschrieben:Hmm, bei mir kam (bisher) nichts an, und auch bisher kein erhöhtes Spam-Aufkommen. Ich habe mich auf den Webseiten jedoch auch nicht registrieren lassen, aber meine Kundennummer finden die anscheinend bei jeder Bestellung wieder...
Ich habe da eine Kundennummer, bei einer Bestellung fülle ich den Kram jedoch jedesmal neu aus - "Bestellen ohne Anmeldung" hieß das wohl.

Bislang keine Mail gesehen, weder Phishing noch von Max.
Profipruckel
 
Beiträge: 1342
Registriert: Di 13. Aug 2013, 19:10
Wohnort: Niedersachsen Süd-Ost

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon felixh » Fr 29. Jul 2016, 19:44

Hansele hat geschrieben:Klasse, jetzt kann man wieder einige Zeit investieren in ein gutes Passwort,
anschließend den Schrott wieder überall ändern.

Naja, mal sehen was da passiert.

Btw.
Wie generiert ihr eure Passwörter und verwaltet diese?


ganz einfach: per system.
such dir ein Merkmal der webseite aus, z.B. firmenname, web-addresse, domainnamen, irgendwas "konstantes".
Verwurschtel das irgendwie in dein passwort, und du kannst dir dein passwort leicht merken, und dir bei solchen Lecks keine Sorgen machen.

z.B. Pollin: erster und letzer Buchstabe, jeweils um eine stelle verschieben, und ins PW reinpfriemeln.
ich hab ausserdem passwort für seiten bei denen es mir wurscht ist, und die email hat natürlich ein ganz eigenes.
Benutzeravatar
felixh
 
Beiträge: 559
Registriert: So 11. Aug 2013, 13:46

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon o_christoph_o » Fr 29. Jul 2016, 20:38

Mist. Ich habe die Pollin-Mail heute morgen bekommen und hatte den ganzen Tag schlechte Laune.

Ich gehe normalerweise sehr vorsichtig mit meiner BV um, aber bei Pollin hab ich die genauso wie bei Amazon und Conrad hinterlegt. Sonst nirgens bei Shops. Das ist jetzt ein ganz blödes Gefühl zu wissen, dass meine Daten bei Hackern in der Datenbank sind.

Ich hab mir leider, weil nix passiert ist, mit den Jahren abgewöhnt, für jedes Portal eine eigene EMailadresse zu erzeugen. Das werde ich jetzt ganz schnell wieder einführen, allein schon damit ich zukünftig besser sehen kann, dass eine Mail von Pollin wirklich von Pollin ist. Mit den Daten kann man ja Phishen par excellence, auch im Namen von anderen Portalen. Wenn jedes Portal ne eigene (neue) Mailadresse hat, kann man das einfach schneller erkennen wenn ne Mail faul ist.

Was mir an der Mail vom Max heute morgen auch gestunken hat: Da steht nichtmal Entschuldigung dafür, dass ich jetzt mein Konto viel öfter nach faulen Lastschriften scannen muss. Dass die jetzt meine Telefonnummer und Geburtsdatum (Das hab ich mal sofort auf Fantasiedaten geändert, brauchen die ja sowieso nicht-warum dann Abfragen und die Beute für Hacker erhöhen? ).

Und warum besteht die Gefahr dass das hinterlegten Passwort auch bei anderen Seiten probiert werden könnte? Sowas gehört gehasht und gesalted in die Datenbank. Ich hätte nie gedacht, dass der Laden so mit meinen Daten umgeht, sonst hätte ich da nicht aus Bequemlichkeit die BV hinterlegt.

Sorry für den Rant.

Aber nachdem Linkedin und andere Größen sich schon 100te Millionen von Daten abluchsen lassen haben muss man halt auch irgendwann akzeptieren, dass man keien 100%ige Sicherheit bekommt.

Name vergessen hat geschrieben:Tja... ich würde ja gerne per Rechnung bezahlen, denn dann gäbe es diese Angriffe gar nicht, bzw. gäbe es nichts zu holen. Aber auch da hat man ja das komplette Risiko auf den Kunden / Bürger abgewälzt, ...

Naja, Lastschrift ist für den Händler heutztage schon noch ein ordentliches Risiko, auch mit Mandat kannst du das 8 Wochen zurückbuchen lassen und wenn das Konto nicht gedeckt ist, bleibt der Händler drauf sitzen.
Aber Bezahlen auf Rechnung wird natürlich wenn angeboten sehr oft von vollkommen überschuldeten Mitbürgern genutzt um doch noch irgendwie dem Konsum nachgehen zu können. Da ist das Risiko quasi unbegrenzt. Würde ich als Händler- wie eigentlich praktisch alle realen Shops auch- nicht anbieten.

felixh hat geschrieben: Hansele hat geschrieben:
Klasse, jetzt kann man wieder einige Zeit investieren in ein gutes Passwort,
anschließend den Schrott wieder überall ändern.

Naja, mal sehen was da passiert.

Btw.
Wie generiert ihr eure Passwörter und verwaltet diese?



ganz einfach: per system.
such dir ein Merkmal der webseite aus, z.B. firmenname, web-addresse, domainnamen, irgendwas "konstantes".
Verwurschtel das irgendwie in dein passwort, und du kannst dir dein passwort leicht merken, und dir bei solchen Lecks keine Sorgen machen.

z.B. Pollin: erster und letzer Buchstabe, jeweils um eine stelle verschieben, und ins PW reinpfriemeln.
ich hab ausserdem passwort für seiten bei denen es mir wurscht ist, und die email hat natürlich ein ganz eigenes.


Ich habe Gottseidank für jede Seite ein abgewandeltes Passwort, auch so ein System habe ich mir überlegt. Aber wenn man dann auf das Ergebnis schaut, sieht es dann doch irgendwie durchschaubar aus und die Stellen, die verändert werden pro Seiten fallen jedenfalls bei meinem System irgendwie auf.

Ich hab die Passwörter alle noch in meinem alten Palm, offline und mit einer Palmapp verschlüsselt. Dazu hat der Palm noch einen Systemzugangspasswort, also doppelt gemoppelt.

Hilft aber nix wenn man unterwegs ist und den nicht mithat.

Android ist mir als OS für eine Passwortapp zu unsicher. Wenn man sich einen Keylogger eingefangen hat, dann kann der das Passwort für Keypass abgreifen und muss nur noch die Datenbank auf die Reise bringen, was auf einem Gerät mit permanentem Internetzugriff nicht zu schwer sein sollte. Wenn ich mir vorstelle, dass alle meine Passwörter auf einmal gehackt werden könnten wird mir schlecht. Ausserdem: Wie kann man sicherstellen, dass die Autoren der Millionen von Passwortsafeapps sauber sind?

Ich hatte heute eine Idee dazu. Warum nicht ein einfaches System, wie z.B. ein Passwort wie

PassWor99tebay##

Und dann eine App schreiben, in die man das Passwort eingibt und welche aus dem eine Art Hash mit alphanumerischen Ergebnis erzeugt, die man als Passwort benutzt. Mit passendem Hash sieht das Ergebnis mit nur einer Ziffer unterschiedlich vollkommen willkürlich aus. Und das würde ich dann immer einfügen/kopieren oder abtippen.

Ich hab dann im PLaystore gesucht und die Idee ist natürlich nicht neu, es gibt Apps die das machen. Nur sollte es auch eine PC-Version geben.

Somit hätte man nirgendwo eine Datenbank mit allen Passwörtern. Wenn jemand einen Keylogger aufs Handy packt kann er maximal ein, zwei Passwörter abgreifen, aber nicht alle auf einmal.
(Hmm .. ok, beim Nochmal nachdenken - er könnte das System erkennen)

Die Apps, die ich gefunden habe sind leider alle Downloadzwerge. Keine renomierten Namen, kein Open Source. Und natürlich, wenn sojemand dann die Historie loggt und sich schickt, ist das ganze auch übel.
Das ist ja eigentlich kein Hexenwerk. Ich überlege mir eine PHP-Seite auf meiner HP zu programmieren mit einem Hash-Algorithmus. Die könnte ich dann von Handy und PC aus aufrufen über https.
Muss ich nochmal drüber nachdenken.
Benutzeravatar
o_christoph_o
 
Beiträge: 235
Registriert: Sa 1. Mär 2014, 10:02
Wohnort: Düsseldorf

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon bastelheini » Sa 30. Jul 2016, 00:57

So ein hash Tool gibt es als Firefox Erweiterung... Ich suche es morgen mal raus
bastelheini
 
Beiträge: 1000
Registriert: So 11. Aug 2013, 13:55

Re: Phishing-Angriff auf Pollin-Kunden

Beitragvon Name vergessen » Sa 30. Jul 2016, 01:48

o_christoph_o hat geschrieben:Das ist jetzt ein ganz blödes Gefühl zu wissen, dass meine Daten bei Hackern in der Datenbank sind.
So ist es.
o_christoph_o hat geschrieben:Was mir an der Mail vom Max heute morgen auch gestunken hat: Da steht nichtmal Entschuldigung dafür, dass ich jetzt mein Konto viel öfter nach faulen Lastschriften scannen muss. Dass die jetzt meine Telefonnummer und Geburtsdatum (Das hab ich mal sofort auf Fantasiedaten geändert, brauchen die ja sowieso nicht-warum dann Abfragen und die Beute für Hacker erhöhen? ).
Weil man uns wie den Frosch ganz langsam quasi daran gewöhnt hat, daß wir die Kontrolle über unsere Daten verlieren. Es ist ja nahezu selbstverständlich, daß alle außer uns selber nach Belieben über unsere Daten (und damit uns) verfügen.
o_christoph_o hat geschrieben:Naja, Lastschrift ist für den Händler heutztage schon noch ein ordentliches Risiko, auch mit Mandat kannst du das 8 Wochen zurückbuchen lassen und wenn das Konto nicht gedeckt ist, bleibt der Händler drauf sitzen.
Aber Bezahlen auf Rechnung wird natürlich wenn angeboten sehr oft von vollkommen überschuldeten Mitbürgern genutzt um doch noch irgendwie dem Konsum nachgehen zu können. Da ist das Risiko quasi unbegrenzt. Würde ich als Händler- wie eigentlich praktisch alle realen Shops auch- nicht anbieten.
Naja, es gibt die Auskunfteien, zu deren unbegrenzte Nutzung man ohnehin quasi per Blankoscheck "völlig freiwillig" zustimmt, weil man sonst einfach nicht bestellen darf. Damit sollte das Risiko auch bei Rechnung nicht so hoch sein, immerhin gab es Pollin & Co schon zu Zeiten, als Rechnung absoluter Standard war und der ganze Onlinemüll noch gar nicht erfunden war, die sind damit überhaupt erst groß geworden. Unbegrenzt kann das Risiko also gar nicht sein, und es ist kalkulier- und versicherbar (und eingepreist; alle Kosten, egal welcher Art (auch Steuern, Verpflichtungen, Mieten...), werden immer und zu 100% an den Endverbraucher durchgereicht). Im krassen Gegensatz zu dem Risiko, dem man unsereins zwangsweise und völlig selbstverständlich aussetzt, denn es ist absolut nicht absehbar, welche Ausmaße das für mein weiteres Leben annehmen wird, und nachzuweisen ist es auch nicht, während die Wahrscheinlichkeit, daß so etwas jedem passiert, bei nahezu 100% liegt. Wer versichert mich gegen die entstehenden Schäden (selbst, wenn ich nachweisen könnte (was selbstverständlich dank der schleichend eingeführten Beweislastumkehr und der perfiden Heimlichkeit der Schädigungen selbstverständlich absolut unmöglich ist - ich werde sie in den allermeisten Fällen nicht einmal erkennen können), die mir in meinem restlichen Leben dadurch entstehen? Und dazu noch zu einem bezahlbaren Preis? Genau, keiner, weil das Risiko einfach unüberschaubar und unkalkulierbar ist). Und im Gegensatz zu Pollin verdiene ich kein Geld mit dem Angeben meiner BV bzw. dem Einkaufen bei Onlineshops, meine Situation ist also absolut nicht mit der des Onlinehändlers vergleichbar, ich werde also ungleich stärker geschädigt als ein Händler, bei dem mal trotz Schufa & Co eine Rechnung nicht bezahlt wird (es steht ja schon überall drin "bestimmte Zahlungsmethoden werden nur bei hinreichender Bonität angeboten".). Meinetwegen geht Rechnung auch nur bis z.B. 500,- gesamt pro Monat, wenn das Risiko derart extrem ist.

BTW, eine unberechtigte Lastschrift kann ich ja 8 Wochen lang zurückbuchen, wie Du schon schriebst, somit wäre das nicht einmal sooo schlimm, wenn da die Rumänen (an die polizeilich erstaunlicherweise nicht ranzukommen ist...) das machen. Bei einer Papierüberweisung sieht das schon anders aus, da habe ich ganze 3 Tage, und wie weise ich nach, daß die nicht doch von mir stammt? Genau, gar nicht, alle sind fein raus, und ich habe jetzt den Ärger, den permanenten Aufwand, das Risiko und im Zweifelsfall (Urlaub, Krankheit etc.) den Schaden, dank schlauen BWL-Schnöseln und pflichtvergessener Politiker (tut mir leid, aber das mußte sein, und ich muß leider noch hinzusetzen, daß ein nicht zu nennender hochrangiger Minister (ich GLAUBE, es war Frau von der Leyen, finde das Zitat aber leider nicht mehr, kann es also nicht beweisen - ich habe damals schon nicht verstanden, weshalb diese groteske und beschämende Zuschaustellung von fehlender Fach- und Rechtskenntnis offenbar einfach als selbstverständlich und akzeptabel hingenommen wurde, anstatt ein tagelanges Medienecho zu bekommen) zum Thema "inforrmationelle Selbstbestimmung" in einem Interview allen Ernstes meinte, das hieße lediglich, "daß die Leute darüber informiert werden müssen, was man mit ihren Daten anstellt" (und nicht etwa, daß sie dabei irgendwas mitzureden haben dürften (so lächerlich die gesetzlichen Möglichkeiten dazu auch sind)! Wer jetzt noch glaubt, daß die "schon wissen, was sie tun", dem ist echt nicht mehr zu helfen).
Pollin tut gerade so, als sei mit der Änderung des PWs das Problem erledigt, ist es für die sicherlich auch, die haben ihre gesetzlichen Pflichtlein (Diminutiv bewußt gewählt, um die Lächerlichkeit auszudrücken) ja brav erfüllt, der schwarze Peter liegt bei uns (Ex-)Kunden, wo er mangels jeglicher rechtlicher oder sonstiger Handhabe auch fein bleibt. :x Die richtig Gelackmeierten sind aber die, die diese tolle "Sofortüberweisung" benutzt haben. Da dürften "sofort" hunderte Euros überwiesen worden sein, und da diese praktische Sofortüberweisung von den Banken der Leute explizit nicht zulässig ist, bleiben die zu 100% auf dem Schaden sitzen und kriegen ggfs. noch einen Tritt von "ihrer" Bank, weil sie ihre Daten ja entgegen der AGB fahrlässig weitergegeben haben.

Aber da das hier sonst wegen Verschwörungs"theorie" geschlossen wird, aber für neue Erkenntnisse offen bleiben sollte: gerne weitere Diskussionen per PN.

BTW, Zabex hat auch so ein Tool gebaut.
Benutzeravatar
Name vergessen
 
Beiträge: 1964
Registriert: Mo 12. Aug 2013, 19:47

Nächste

Zurück zu Shops

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast

span