Phishing-Angriff auf Pollin-Kunden

[xanakind]

Bisher habe ich Pollin eigentlich immer vertraut......
zum Glück habe ich da nicht meine Bankdaten hinterlegt.
Für Passwörter habe ich mir eine Tabelle angelegt.
Diese ist auf einer 16MB MMC Speicherkarte gespeichert (bis vor ein paar Jahren noch auf 5 1/4" Floppy) und sonst nirgends gespeichert.
Das ganze dann Ausgedruckt und versteckt aufbewahrt
Für Jede Seite habe ich ein anderes Passwort und enthält Zahlen, Buchstaben in Gross und Klein und Mindestens 2 Sonderzeichen.
Die Passwörter sind oftmals einfach Willkürlich und ohne jeden Zusammenhang.

[Fritzler]

BIn ja noch immer am überlegen ob ich mirn kleinen PW Safe baue, der sich dann als USB Tastatur anstöpseln lässt.
Natürlich mit verschlüsseltem EEPROM

[zauberkopf]

Für Jede Seite habe ich ein anderes Passwort und enthält Zahlen, Buchstaben in Gross und Klein und Mindestens 2 Sonderzeichen.
Die Passwörter sind oftmals einfach Willkürlich und ohne jeden Zusammenhang

.

Ich teile Webseiten und alles was Passwörter braucht in Klassen ein .

- Foren
- Shops
- Mail
- Wichtige Mail
- Bank
- System

'Vorteil, man kann sich das ganze merken..
Nachteil : Ich darf die Passwörter aller Shops in meiner Liste abändern.
Ich mache mir was die "Stärke von Passwörtern" angeht auch keine 'Illusionen.. wenn die Jungs an die PW-Listen vom Server kommen.. und ne gute Graka oder ne ähnliche "Höllenmaschine" haben, dann ist das alles nur eine Frage der Zeit, bis die Passwörter geknackt sind.
Aber wenn ich mir ein Passwort nicht merken kann, dann habe ich die Schwachstelle, namens Liste.
Und merken kann ich mir die Passwörter, weil ich durchs einloggen öfter daran erinnert werde..

Im übrigen, bin ich mir was die Bankgeschichten angeht, mir folgendes zu überlegen :
Also ich sag meiner Bank : Bitte ALLE Lastschriften zurrückschicken.
Und habe dann für sowas einfach ein 2. Konto.
Quasi ein reines (Online)Shop-Konto mit Mastercard.

Andererseits.. da ich mich mindestens 1 mal im Monat dort einlogge, um zumindest Miete und Strom zu überweisen, sehe ich ja auch , ob was schief läuft.

Die Frage bei solchen Geschichten ist immer : Was passiert im Worst Case Fall.
Also wenn einer mein Foren Passwort klaut.. was kann er damit anrichten ? Antwort : Nicht viel !
Bei der Bank wirds auch nicht einfach.. ohne meine Bankkarte...

[video6]

ne pay Pal Mail kam bei mir auch auch an auch so die ca 500€ war aber anderer Händler wo ich noch nie war nicht Pollin
Da lächle ich immer und schau per App bei Pay pal und lächle weiter

[Trax]

Eben und solche Problem zu vermeiden zahle ich bei fast allen Shops mit PayPal, so muss ich nur dafür sorgen mein sicheres PayPal Passwort nicht zu verbummeln.

Außer der Shop unterstützt auch so was da: https://de.wikipedia.org/wiki/Eps-%C3%9Cberweisung das funktioniert von Prinzip her genau so wie paypal nur das man sich bei der eigenen Bank und nicht bei Paypla einloggt.

Dann kann man erst mal überprüfen ob der Betrag und Empfänger stimmen und sicher bezahlen ohne das der Shop die Zahlungsverbindung hat, somit ist es egal wen der Shop gehackt wird.

Die Pollin Angreifer haben jetzt zwar meine email aber dazu nur ein belangloses pollin Passwort mit dem sie nichts anfangen können außer meinen Wahrenkorb durcheinander zu bringen oder so, ne Zahlung veranlassen geht damit nicht.

Man kann gegen PayPal schon sehr viel schlechtes sagen, die sind A*** **cher aller erster Güte, aber für die meisten Kunden sicherheitstechnisch schon eine sehr große Verbesserung.

[Name vergessen]

So, jetzt ist es amtlich: die haben die aktuellen Bank,- und Adreßdaten. Eben kam die Phishing-Mail an, IBAN korrekt (somit können die Daten nicht sehr alt sein), Name und Anschrift auch korrekt. Die Email-Adresse ist die von vor der Änderung aufgrund dieses Threads, somit waren die Daten schon längst geklaut, bevor Pollin die Mail gesendet hat. Toll, ick freu mir ja so. Dann will ich wohl mal wieder das Konto überprüfen...

Offenbar haben die (logischerweise) erstmal alle die gespamt, die GayPal da eingetragen haben, jetzt kommen alle anderen, denn vielleicht hat der eine oder andere ja ein GayPal-Konto und fällt auch drauf rein. Den Link zur Phishingseite haben die im HTML-Code der Mail versteckt, in der Textansicht ist er nicht zu erkennen. Vermutlich mit einem Overlay-Bild mit einer legitimen Adresse.

[duese]

Beim Mausover kriegt man den Link aber angezeigt, oder? Bei auch nur grobem Verdacht schau ich mir den Link immer so an (bzw. unter Android einen langen Klick auf den Link, so dass das Feld mit Kopieren, etc. aufgeht. da steht dann in der Titelleiste der Link). Ich wurde fast noch nie enttäuscht, waren Fishing-Links.

Rant nebenbei: Ebay hingegen verschickt regelmäßig echte Emails in denen sie auffordern, man soll sein Profil aktualisieren. Das nervt mich deutlich mehr als die tatsächlichen Phishing-Mails. Denn mit dieses Emails trainieren sie den Leuten an halt doch auf die Links zu klicken...

[Fritzler]

Kam bei mir auch grade an die Mail.
Seit dem Umzug habe ich bei Pollin nix mehr ebstellt und so steht dort auch die alte Adresse drinne.
Nunja, werde auch zukünftig da nix bestellen.

Habe dort immer als Gast eingekauft, also das wird wohl auch gespeichert.
Somit: l*ckt mich!

[zauberkopf]

Ich bekam gerade auch ne Mail vom neuen Account.
hmm.. schade... theorie hat sich also nicht bestätigt.
Naja. Wenigstens hatte ich keine Bankdaten drin..

[Name vergessen]

Habe dort immer als Gast eingekauft, also das wird wohl auch gespeichert.

Ich hätte es letztens schon geschrieben, aber es gelassen, weil das dann sicher wieder als Verschwörungs"theorie" abgetan worden wäre. Hattet Ihr ernsthaft geglaubt, daß die diese Daten nicht speichern? Damit lassen sich genau so gut Kunden/Persönlichkeitsprofile erstellen wie mit registrierten Leuten. Diesen Leckerbissen läßt sich keiner entgehen, nicht ein winziges Krümelchen davon, solange es gesetzlich irgendwie auch nur ansatzweise zulässig ist. Die Auswirkungen sehen wir ja hier (als hätte es sowas nicht schon tausendfach vorher gegeben, aber gelernt wird daraus ja ganz bewußt nicht).

Ich sag's ja nur ungern, aber: das ist genau das, wovor Cassandramäßig schon seit Ewigkeiten gewarnt wird: je größer der Datenpool, desto lukrativer ist die Beute, und desto wahrscheinlicher ist es, daß er tatsächlich erbeutet wird.

Und das Unerträgliche daran ist, daß man (ich) gezwungen wird, sehenden Auges und wissentlich in das offene Messer zu laufen, das von allen konsequent weggeleugnet wird: dank der Masse der Nichts-zu-Verbergen-Haber wurden und werden nach und nach sämtliche schützenden Anonymitätsoptionen entweder plump verboten (anonyme Prepaid-Handies, obwohl die EU selber bereits festgestellt hat, daß das absolut nichts bringt) oder einfach so abgeschafft (Zahlung auf Rechnung, s.O.: wenn mehr Leute sicherheitsbewußt gewesen wären, wären alle Händler, die das versucht haben, dank rapide geschrumpfter Einnahmen oder Unmengen an Beschwerdebriefen ganz schnell zum Rechnungssystem zurückgekehrt).

Zum selben Thema kommt noch, daß staatliche Stellen Sicherheitslücken in Firmennetzen / Software kennen und nicht etwa dafür sorgen, daß diese umgehend geschlossen werden, sondern im Gegenteil aus purem Eigennutz / Bequemlichkeit diese für sich behalten und lieber die Firmen (die sie vorgeben zu schützen) ungeschützt den unweigerlich darüber erfolgenden Angriffen zum Opfer fallen lassen (und bestenfalls als unfreiwilligen Köder mißbrauchen, erwartetenfalls aber sogar zu eigenen Angriffen mißbrauchen (da dann ja auch Firmen / Institutionen im Ausland oder unliebsame Regimegegner im eigenen Land ebenfalls verwundbar bleiben)).

Und bevor wieder jemand versucht, mit der Verschwörungs"theorie"-Keule meinen Standpunkt ohne jegliche Argumente zu diskreditieren: die staatsgegängelten Medien werden ganz sicher keinen solchen Beitrag senden (dürfen), wenn das nicht nur 100% wahr, sondern auch noch nur die Spitze des Eisberges wäre.

BTW, wenn man wirklich an Sicherheit interessiert wäre, würden ausnahmslos alle offiziellen Mails via GPG signiert. Das stört die Leute, die das aus Faulheit nicht installieren nicht, verschafft denen, die es tun, aber den Vorteil einer weiteren Verteidigungslinie ("Mail kommt nicht von einem vertrauenswürdigen Absender"). Auch so etwas könnte (müßte) man staatlich erzwingen. Aber auch hier läßt man sich ganz bewußt Zeit und setzt (erfolgreich) auf die Bequemlichkeit und Uninformiertheit der breiten Masse.

Also hiermit auch ein ganz herzliches "Dankeschön" an Euch, liebe Nichts-zu-Verbergen-Haber, dafür, daß meine Kontodaten jetzt, und noch jede Menge anderer Daten in Zukunft, gestohlen und mißbraucht wurden!

[zauberkopf]

Also hiermit auch ein ganz herzliches "Dankeschön" an Euch, liebe Nichts-zu-Verbergen-Haber, dafür, daß meine Kontodaten jetzt, und noch jede Menge anderer Daten in Zukunft, gestohlen und mißbraucht wurden!

*grins* Meine Kontodaten haben die nicht..

Übrigens, letztens sollte ich beim Liquid-Kauf genötigt werden, irgend ein Altersverifikationsystem zu nutzen, das mit der Schufa zusammenarbeitet.
Natürlich hat das mit dem falschem Geburtsdatum wieder nicht funktioniert.
Also Shop gewechselt... das ein anderes AVS hatte, und schwups hatte ich am nächsten Tag mein Liquid. Ganz einfach.

Meine Empfehlung : Beruhigungstee, und sich den Vorgang aus der Vogelperspektive mal anschauen.
Zieht Eure Lehren daraus.
Das Internet ist genau so (un)sicher, wie Reale Welt.

Man läuft ja auch nicht durch irgendwelche zwielichtigen Viertel mit seinen gesammten Ersparnissen.
Aber Gottseidank gibts ja Prepaid Kreditkarten, Paypal und ähnliches.

Und ja.. ich wurde auch mal um ca 200Eur erleichtert.
Wie ? Ganz einfach.. ich habe einen Monitor gesucht, bin auf einen sehr günstigen Shop gestossen, der mit folgender Masche gearbeitet hat.
Die erste 10-20 Bestellungen hat er geliefert, bis er gut bewertungen bekommen hat, und man ihm die Bude eingerannt hat.
Dann hat er nur noch kassiert, vertröstet, und sich dann aus dem Staub gemacht.
Selbst seine Mutter wusste nicht mehr, wo er aufzutreiben war, und war auch stink sauer !
(Hatte ich am Telefon. )
Callcenter nicht bezahlt etc..

Ich wurde aber auch schon mal im Real Life ausgenommen.

Trotzdem.. in Panik zu verfallen, sich verbarrikadieren, sich den Spaß nehmen zu lassen, ist definitiv kontraproduktiv.
Daraus lernen, ist total okay.

Und meine Adresse steht übrigens auch in sämtlichen Call-Books. Früher sogar im Telefonbuch.. vielleicht sogar heute noch... keine Ahnung.
Neu ist nur, das die jetzt irgendwo in Verbindung mit einer E-Mail Adresse gespeichert ist.
Aber wir sind doch nicht total beschränkt. Und wir sind auch keine Blutigen Anfänger.
Und das regelmässige Checken des Kontos, sollte sowieso jeder machen, der NICHT sein Konto für Einzüge gesperrt hat.

Anstatt Paypal, kann man sich auch ein 2. Konto besorgen, die es u.U. sogar Kostenlos mit Mastercard gibt.

Mein Fazit : Es ist in der Virtuellen wie in der Realen Welt : Das Stichwort heist : Risikominimierung.
Das bestehen auf die Illusion von "Absolute Sicherheit" verdirbt einem und anderen nur unnötig den Tag.

Also bitte Leute.. kommt mal wieder runter..

[Sir_Death]

Also hiermit auch ein ganz herzliches "Dankeschön" an Euch, liebe Nichts-zu-Verbergen-Haber, dafür, daß meine Kontodaten jetzt, und noch jede Menge anderer Daten in Zukunft, gestohlen und mißbraucht wurden!

*grins* Meine Kontodaten haben die nicht..

Übrigens, letztens sollte ich beim Liquid-Kauf genötigt werden, irgend ein Altersverifikationsystem zu nutzen, das mit der Schufa zusammenarbeitet.
Natürlich hat das mit dem falschem Geburtsdatum wieder nicht funktioniert.
Also Shop gewechselt... das ein anderes AVS hatte, und schwups hatte ich am nächsten Tag mein Liquid. Ganz einfach.

Meine Empfehlung : Beruhigungstee, und sich den Vorgang aus der Vogelperspektive mal anschauen.
Zieht Eure Lehren daraus.
Das Internet ist genau so (un)sicher, wie Reale Welt.

Man läuft ja auch nicht durch irgendwelche zwielichtigen Viertel mit seinen gesammten Ersparnissen.
Aber Gottseidank gibts ja Prepaid Kreditkarten, Paypal und ähnliches.

Und ja.. ich wurde auch mal um ca 200Eur erleichtert.
Wie ? Ganz einfach.. ich habe einen Monitor gesucht, bin auf einen sehr günstigen Shop gestossen, der mit folgender Masche gearbeitet hat.
Die erste 10-20 Bestellungen hat er geliefert, bis er gut bewertungen bekommen hat, und man ihm die Bude eingerannt hat.
Dann hat er nur noch kassiert, vertröstet, und sich dann aus dem Staub gemacht.
Selbst seine Mutter wusste nicht mehr, wo er aufzutreiben war, und war auch stink sauer !
(Hatte ich am Telefon. )
Callcenter nicht bezahlt etc..

Ich wurde aber auch schon mal im Real Life ausgenommen.

Trotzdem.. in Panik zu verfallen, sich verbarrikadieren, sich den Spaß nehmen zu lassen, ist definitiv kontraproduktiv.
Daraus lernen, ist total okay.

Und meine Adresse steht übrigens auch in sämtlichen Call-Books. Früher sogar im Telefonbuch.. vielleicht sogar heute noch... keine Ahnung.
Neu ist nur, das die jetzt irgendwo in Verbindung mit einer E-Mail Adresse gespeichert ist.
Aber wir sind doch nicht total beschränkt. Und wir sind auch keine Blutigen Anfänger.
Und das regelmässige Checken des Kontos, sollte sowieso jeder machen, der NICHT sein Konto für Einzüge gesperrt hat.

Anstatt Paypal, kann man sich auch ein 2. Konto besorgen, die es u.U. sogar Kostenlos mit Mastercard gibt.

Mein Fazit : Es ist in der Virtuellen wie in der Realen Welt : Das Stichwort heist : Risikominimierung.
Das bestehen auf die Illusion von "Absolute Sicherheit" verdirbt einem und anderen nur unnötig den Tag.

Also bitte Leute.. kommt mal wieder runter..

Danke.
Danke für die intelligenten Worte in einer paranoiden Welt.

[zauberkopf]

Danke.
Danke für die intelligenten Worte in einer paranoiden Welt.

Bitte...
Intelligent ? Wenn das intelligent ist.. hmm..
äähmm...
MOMENT ! Jetzt werde ich langsam paranoid.. überall paranoide.. paranoide übernehmen die Weltherrschaft.. WUHAAAAAAA......
Schönen Dank auch !
Muss.. muss.. LÖTEN !

Ich bekam gerade wieder mal ne Mail.. diesmal angeblich von einem Inkasso das im Auftrage von Ebay unterwegs ist..
Mit ner ausführbaren Datei drin.
Können die sich nicht mal was neues Ausdenken ?!
Ich meine... erst Paypal, und jetzt Ebay.. Das ist echt phantasielos.

[Fritzler]

Haste etwas noch nicht sowas von "Amazon" bekommen?
Musst eben was nehmen was jeder nutzt, nen Reichelt oder Conrad Phishing zieht eben nicht.

[zauberkopf]

Ne.. auch das ist suboptimal.
Social Hacking funktioniert nach anderen Prinzipien.
Aber gut das die Cracker die nicht beherrschen.

[duese]

Ich glaube, das können die schon oder würden es schnell lernen. Aber solange Phishing-Mails in großer Menge raushauen genug Erfolge erzielt, warum dann mehr Aufwand. Die denken auch ökonomisch. Sind im Endeffekt auch nix anderes als Geschäftsleute. Nur gehen sie mit Gesetzen (und ggfs. Moral) "kreativer" um.