PayPal konto gehackt Einstellungen

[Gast_ahora2010_*]

Hallo

hatte heute morgen 2 mails von paypal im e-mail fach.

Guten Tag, !

Aus Sicherheitsgründen achten wir stets auf verdächtige Aktivitäten. Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt.

Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Da die Sicherheit Ihres Kontos unser Hauptanliegen ist, haben wir den Zugriff auf wichtige PayPal-Kontofunktionen eingeschränkt. Wir wissen, dass dies für Sie möglicherweise eine Unannehmlichkeit darstellt. Bitte beachten Sie jedoch, dass es sich um eine vorübergehende Beschränkung zu Ihrem Schutz handelt.

Bearbeitungsnummer: PP-883-865-335

Wir haben den Zugriff auf Ihr Konto kurzzeitig eingeschränkt. Die Einschränkung wird überprüft, wenn wir die angeforderten Informationen von Ihnen erhalten.

Um auf die Einschränkung zu reagieren und sie zu beheben, verwenden Sie die Seite "Konfliktlösungen". Falls Sie Informationen über die Einschränkung erhalten möchten, kontaktieren Sie uns unter "Hilfe-Center" und "Kontakt".

Herzliche Grüße
und diese:

Guten Tag,
Sie haben eine Zahlung über 49,99 EUR autorisiert an NCsoft Europe Limited (no-reply@plaync.com)
Das Geld wird erst dann von Ihrem PayPal-Konto abgebucht, wenn die Zahlung im System des Händlers verbucht wurde. Ihr PayPal-Guthaben wird hierfür immer vorrangig vor anderen Zahlungsquellen wie Bankkonto oder Kreditkarte verwendet.

Danke, dass Sie PayPal nutzen! Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoübersicht.

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
________________________________________
Händler
NCsoft Europe Limited
no-reply@plaync.com
Mitteilung an Händler
Sie haben keine Mitteilung eingegeben.


zudem ging eine einzahlung von ner email aus frankreich über 60 € ein. erstens ich habe nix verkauft, zweitens keine ahnung wer das ist.


passwort und so weiter habe ich geändert, wie kann sowas passieren ?

[aido]

Es ist ja nicht mal nötig das Passwort zu knacken. Es reicht schon aus auf so eine Phishing zu gelangen, den Rest erledigen die Scripts die deine Eingaben "mitschneiden". Die brauchen nur noch danach auf ihre Datenbank nachschauen und haben das Passwort in Klarschrift - so einfach ist das.

[Peter 123]

Es ist ja nicht mal nötig das Passwort zu knacken. Es reicht schon aus auf so eine Phishing zu gelangen, den Rest erledigen die Scripts die deine Eingaben "mitschneiden".

Das wäre der andere Weg, sein Passwort "zu verlieren". Klar. In diesem Fall hilft auch ein noch so gutes Passwort nichts, weil man es ja selbst eingibt.

Aber noch einmal zu Habakucks Überlegungen:

Ja, das ist so einfach zu knacken!

Gib mal muschi031186 hier ein: https://passwortcheck.datenschutz.ch/check.php
Da gibt er dir nichtmal eine Zeitangabe wie lange es brauchen würde das Ding zu knacken. Wahrscheinlich dauert das nur einige Minuten oder Stunden (je nach Rechenpower).

Also um es vorweg klarzustellen: Ich bin natürlich weder gegen möglichst sichere Passwörter noch zweifle ich an der Kompetenz der von dir verlinkten Seite.

Aber: Dass der Test dieses Passwort als "schwach" qualifiziert, ist für mich noch kein Beleg dafür, dass es leicht zu knacken wäre.

Hier mal das Resultat, das der Test liefert, wenn man "muschi031186" als Passwort eingibt:



---> Da gibt es anhand verschiedener allgemeiner Kriterien (wie Passwortlänge, Gebrauch von Sonderzeichen, Verwendung von Groß- und Kleinbuchstaben usw.) Punkteabzüge, wenn nicht alle davon erfüllt sind. Da wird also ein Passwort an bestimmten abstrakten Kriterien gemessen. Interessant wäre ein Test, der tatsächlich nachweisen kann, dass er ein bestimmtes Passwort knacken kann.

Denn das, was du über die Wordlists sagst, leuchtet mir zwar auch ein:

Das Ding ist halt, dass es mitlerweile unglaubliche große Wordlists im Netz gibt die von der verlinkten Seite nichtmal angezapft werden. Die nutzen wahrscheinlich so standard Wordlists.
Wenn man sich mal anguckt was für mächtige Wordlists im Internet gehandelt werden dann überlegt man es sich dreimal bevor man einen Namen, Subjekt, Verb, Fussballverein, Mondstand oder was auch immer in das Passwort mit einbaut.

Aber das bezieht sich eben auf Wörter und nicht auf Zahlen. Ich kann mir nicht vorstellen, dass es möglich ist die (unendlich große) Anzahl an denkbaren Zahlenkombinationen in gleicher Weise "durchzuspielen" wie die im Verglich dazu geringe Menge an existierenden Wörtern.

Also selbst wenn jemand den Passwortteil "muschi" z.B. anhand einer Wordlist herausfinden sollte - wie soll er die Zahlenkombination 031186 knacken? (Natürlich immer vorausgesetzt, er kenne nicht den Geburtstag des Haustiers.)

Ich glaube daher auch (bitte um Korrektur, wenn ich das falsch sehe):
Gegen das (von dir erwähnte) "mit-Einbauen" eines (realen) Wortes ist auch nichts einzuwenden, wenn eben überdies andere Bestandteile im Passwort dabei sind, die das Auslesen anhand einer Wordlist unmöglich machen (wie eben Zahlenkombinationen, Sonderzeichen usw.).

Oder noch eine andere Überlegung:
Nehmen wir an, jemand wählt ein Passwort, das aus 10 willkürlich ausgewählten Zahlen bestünde, z.B.: "6538814936".
Wäre das wirklich leichter zu knacken als ein Passwort, das allen Kriterien auf der verlinkten Datenschutzseite entspricht?

PS:
Den Kriterien, die dort genannt werden, kann man übrigens auf manchen Webseiten teilweise gar nicht entsprechen. Es gibt z.B. eine Bankenseite (!), auf der man zum Einloggen ins Internet-Banking nur bis zu 6 Zeichen als Passwort eingeben kann und überdies die Auswahlmöglichkeit der Zeichen beschränkt ist. Wenn ich das richtig in Erinnerung habe, sind überhaupt nur Zahlen erlaubt. (Was ich allerdings tatsächlich für merkwürdig halte!)

Der Beitrag wurde von Peter 123 bearbeitet: 23.01.2010, 18:00

[Habakuck]

Interessant wäre ein Test, der tatsächlich nachweisen kann, dass er ein bestimmtes Passwort knacken kann.

Das online Tool wird vom Datenschutzbeauftragen des Kanton Züchrich bereitgestellt. Der/die wissen wovon sie reden.
Ich habe mich selber mal länger mit dem Thema Passwort, Bruteforce und Wordlisten beschäftigt.
(Heike würde sagen: Jeder hat seine Leichen im Keller liegen.. ^^)
Hinter dem Tool ist ein Algorithmus hinterlegt der einen Knackversuch der eingegbenen Wörter simuliert.
Gib mal ein starkes Passwort ein, dann sagt er dir wie lange es dauern würde das Passwort zu knacken bei einer bestimmten Anzahl von Versuchen pro Sekunden.
Im Ernstfall wird diese hohe Anzahl an Versuchen übrigens dadurch erreicht, dass ein Botnetz die Loginversuche unternimmt. Oder es werden Hochschulrechner angezapft. (Das würde allerdings kaum gemacht werden um ein PayPal Konto zu hacken...) Sowas machen dann Geheimdienste oder andere Institutiionen mit massig Geld oder Macht wie z.B. die russische Internetmafia.

Dass der Test dieses Passwort als "schwach" qualifiziert, ist für mich noch kein Beleg dafür, dass es leicht zu knacken wäre.

Warum nicht? Einfach weil du es dir nicht vorstellen kannst?
Wenn du Lust hast dann studier mal den Diffie-Hellman Algorithmus. Du wirst staunen was alles möglich ist!

Vor ein paar Jahren galt WEP als sicher. Mitlerweile wurde es genackt. WPA gilt nach wie vor als sicher. Man geht aber davon aus, dass es knackbar ist. WPA2 gilt als sehr sicher, man bezweifelt aber das es unknackbar ist.

md5 Summen wurden durch Kollisionen gefakte.

Alles ist möglich!

Und dort wo es um Geld geht erst recht. Vorallem sind diese Algorithmen (die Bruteforce mit Wordlisten und social Engineering koppeln) im dunklen Netz vorhanden und werden ständig ausgebaut.
Es reicht schon wenn die Angreifer wissen welcher Nationalität der Besitzer ist. Dann werden nur bestimmte Wordlists genutzt und die Anordnung der Tasten auf der Tastatur mit berücksichtigt. Es gibt nämlich selbst bei den cryptischen Passwörtern signifikante Häufungen von Kombinationen. Einfach weil die "gut in den Fingern" liegen. Daher sollte ein wirklich gutes Passwort Einfingrig geschrieben werden. Nicht mit zehn Fingern.

http://www.wintotal.de/softwarearchiv/?id=798

Das wirst du so einfach nicht im Netz finden. Wenn es dich wirklich interessiert dann solltest du dich ein bischen in einschlägiden Foren umsehen und dort Tools finden mit denen du mal einen klitze kleinen Eindruck von dem bekommen kannst was schon mit 4GB RAM möglich ist...

Wenn ich Botnetzbesitzer wäre und ein Passwort haben wollen würde dann würde ich als erstes so viel wie möglich über das Opfer herausfinden. Es ist schon sehr viel wenn man weiss:
Wo der Betreffende lebt
Wie alt er ungefähr ist
Evtl. Hobbies (Foren Mitgliedschaften, Ebay. Amazon usw.)

Dann würde ich gucken ob ich nicht evtl. andere Acc von ihm hacken die schwächere Passwörter haben. Alles um möglichst über ihn herauszufinden.

Nebenbei lasse ich mir eine BruteForce Liste erstellen. Das mache ich selber am Home PC. Dabei schreibt der PC Tag und Nacht einfach nur alle möglichen Kombinationen (Parameter gebe ich vor) in eine .txt Datei.

Nachdem ich genügend infos zusammenhabe schreibe ich mir einen Algorithmus den ich auf den Betreffenden zuschneider, packe meine BruteForce Liste und meine ausgewählten Wordlists aus und lege los. Dafür nutze ich die Power verschiedener Rechner und umgehe wenn möglich die Abwehrmechanismen des Providers (z.B. PayPal.) denn die schlafen ja zum Glück auch nicht.

Also selbst wenn jemand den Passwortteil "muschi" z.B. anhand einer Wordlist herausfinden sollte - wie soll er die Zahlenkombination 031186 knacken?

Da gibt es bestimmte Algorithmen für die erst "Muschi" anhand einer Wordlist knacken und das Datum dann per BruteForce Liste. Dauert nicht lange..

Gegen das (von dir erwähnte) "mit-Einbauen" eines (realen) Wortes ist auch nichts einzuwenden, wenn eben überdies andere Bestandteile im Passwort dabei sind, die das Auslesen anhand einer Wordlist unmöglich machen (wie eben Zahlenkombinationen, Sonderzeichen usw.).

Da liegst du leider falsch.

Nehmen wir an, jemand wählt ein Passwort, das aus 10 willkürlich ausgewählten Zahlen bestünde, z.B.: "6538814936".
Wäre das wirklich leichter zu knacken als ein Passwort, das allen Kriterien auf der verlinkten Datenschutzseite entspricht?

Ja.

Da ich leider lernen muss, mir die Zeit allerdings nur allzugerne hier am Rechner verbringe ^^ wirst du dir den Rest selber beantworten bzw. bei google raussuchen müssen...

Den Kriterien, die dort genannt werden, kann man übrigens auf manchen Webseiten teilweise gar nicht entsprechen. Es gibt z.B. eine Bankenseite (!), auf der man zum Einloggen ins Internet-Banking nur bis zu 6 Zeichen als Passwort eingeben kann und überdies die Auswahlmöglichkeit der Zeichen beschränkt ist. Wenn ich das richtig in Erinnerung habe, sind überhaupt nur Zahlen erlaubt. (Was ich allerdings tatsächlich für merkwürdig halte!)

Das habe ich schon bei mehrern Banken bemängelt und auch die Kundenbetreung drauf angesprochen. Banken sind selten dämlich was das angeht.
Was den Kunden nicht stören muss da er im Falle des Falls sein Geld zurückbekommt.

Banken "wehren" sich übrigens meistens anders gegen solche Attacken. Da kommen dann Netzwerkanalysen zum Tragen die Angriffe aus Botnetzen verhindern sollen (sowas ähnliches macht PayPal ja auch daher kam die "Warnungs Mail" und die Sperrung des Accounts.) Aber auch sowas kann wieder umgangen werden.

Es läuft wie immer auf Katze und Maus hinaus wobei man wenigstens versuchen sollte die Maus so gut wie möglich zu dopen.

Und eine Maus ist nur dann richtig fit wenn das Tool des Kanton Zürüch sagt: Ist sicher.

PS: Mein alter PC Prof hat teilweise ganze Regale voll mit Latops (alle vollausgebaut mit RAM) nächtelang laufen lassen um ein bestimmtest Modell berechnen zu lassen und war stocksauer wenn er wieder an die UNI kam und die Meldung vorfand: "Out of Memory..." ^^
Laptops übrigens desshalb weil die weni Platz und Strom brauchen....

Der Beitrag wurde von Habakuck bearbeitet: 23.01.2010, 18:45

[Peter 123]

Da ich leider lernen muss, mir die Zeit allerdings nur allzugerne hier am Rechner verbringe ^^ wirst du dir den Rest selber beantworten bzw. bei google raussuchen müssen...

So genau muss ich es nicht wissen. Danke für deine Antworten. Das war ja ohnedies schon sehr ausführlich, und ich nehme das mal zur Kenntnis.

Das Problem mit den "wirklich" sicheren Passwörtern, etwa:

"KePm(73MhMe=,w" Das knackt so schnell niemand.

Wie soll man sich das merken??? (Noch dazu, wenn es für jede Webseite - vernünftigerweise (!) - ein anderes sein soll.)
Das ist der Grund, warum ich gegen allzu komplizierte Passwörter eine Abneigung habe.