PayPal konto gehackt Einstellungen

[Gast_ahora2010_*]

Hallo

hatte heute morgen 2 mails von paypal im e-mail fach.

Guten Tag, !

Aus Sicherheitsgründen achten wir stets auf verdächtige Aktivitäten. Kürzlich haben wir eine Unregelmäßigkeit bei Ihrem Konto festgestellt.

Wir haben den Grund zur Annahme, dass ein Dritter auf Ihr Konto zugegriffen hat. Da die Sicherheit Ihres Kontos unser Hauptanliegen ist, haben wir den Zugriff auf wichtige PayPal-Kontofunktionen eingeschränkt. Wir wissen, dass dies für Sie möglicherweise eine Unannehmlichkeit darstellt. Bitte beachten Sie jedoch, dass es sich um eine vorübergehende Beschränkung zu Ihrem Schutz handelt.

Bearbeitungsnummer: PP-883-865-335

Wir haben den Zugriff auf Ihr Konto kurzzeitig eingeschränkt. Die Einschränkung wird überprüft, wenn wir die angeforderten Informationen von Ihnen erhalten.

Um auf die Einschränkung zu reagieren und sie zu beheben, verwenden Sie die Seite "Konfliktlösungen". Falls Sie Informationen über die Einschränkung erhalten möchten, kontaktieren Sie uns unter "Hilfe-Center" und "Kontakt".

Herzliche Grüße
und diese:

Guten Tag,
Sie haben eine Zahlung über 49,99 EUR autorisiert an NCsoft Europe Limited (no-reply@plaync.com)
Das Geld wird erst dann von Ihrem PayPal-Konto abgebucht, wenn die Zahlung im System des Händlers verbucht wurde. Ihr PayPal-Guthaben wird hierfür immer vorrangig vor anderen Zahlungsquellen wie Bankkonto oder Kreditkarte verwendet.

Danke, dass Sie PayPal nutzen! Alle Details zu dieser Zahlung finden Sie in Ihrer PayPal-Kontoübersicht.

Es kann einige Minuten dauern, bis die Transaktion in Ihrem Konto angezeigt wird.
________________________________________
Händler
NCsoft Europe Limited
no-reply@plaync.com
Mitteilung an Händler
Sie haben keine Mitteilung eingegeben.


zudem ging eine einzahlung von ner email aus frankreich über 60 € ein. erstens ich habe nix verkauft, zweitens keine ahnung wer das ist.


passwort und so weiter habe ich geändert, wie kann sowas passieren ?

[Peter 123]

Im ersten Moment hätte ich auf Phishing-Mails getippt, die gar nicht wirklich von Paypal stammen und dich nur veranlassen sollen, deine Paypal-Daten (einschließlich Passwort) an irgendwelche Betrüger zu senden. Aber da du am Ende deines Postings schreibst, es sei eine Zahlung über 60 Euro eingegangen, für die du keine Erklärung hast, gehe ich davon aus, dass du dein Paypal-Konto schon überprüft und dort tatsächlich rätselhafte Kontobewegungen festgestellt hast.

Ich denke, bei der Aufklärung kann dir am besten Paypal selbst helfen, denn sie haben die Unregelmäßigkeiten ja entdeckt und schreiben auch:

Um auf die Einschränkung zu reagieren und sie zu beheben, verwenden Sie die Seite "Konfliktlösungen". Falls Sie Informationen über die Einschränkung erhalten möchten, kontaktieren Sie uns unter "Hilfe-Center" und "Kontakt".

Aber kontrolliere jedenfalls vorher noch mal, ob diese Mail auch tatsächlich von Paypal stammt!!

Wie so etwas passieren kann? Am ehesten fällt mir die Variante ein, dass jemand an dein Paypal-Passwort herangekommen ist.

[Gast_ahora2010_*]

ich tippe, das gdata bei ner phishing seite blind war. . denn malware habe ich keine drauf. als zusatz ist ja noch prevx und das sagte auch nix. habe jetzt mal norton 2010 drauf, und bislang auch alles clean.

[Peter 123]

ich tippe, das gdata bei ner phishing seite blind war. .

Das heißt, es waren tatsächlich nur Phishing-mails??

Das wäre ja gut für dich (falls du denen keine Daten von dir übermittelt hast).

Aber wie erklärt sich dann das:

zudem ging eine einzahlung von ner email aus frankreich über 60 € ein. erstens ich habe nix verkauft, zweitens keine ahnung wer das ist.

Das klingt so, als ob es nicht bloß in einer Mail gestanden wäre, sondern tatsächlich 60 € auf dein Paypal-Konto eingegangen wären, ohne dass du eine Erklärung dafür hast.

[Habakuck]

Was für ein Passwort war denn da drauf?

https://passwortcheck.datenschutz.ch/check.php?lang=de

Wenn das kein starkes war braucht es nichtmal eine Phising Mail.

[Gast_ahora2010_*]

Das klingt so, als ob es nicht bloß in einer Mail gestanden wäre, sondern tatsächlich 60 € auf dein Paypal-Konto eingegangen wären, ohne dass du eine Erklärung dafür hast.

ja sicher. . habe mich wohl falsch ausgedrückt. war nämlich vor wochen auf ner seite, wollte per paypal zahlen, habe dann aber abgebrochen und nicht beendet. denke es war ne phishing site

[Peter 123]

ja sicher. . habe mich wohl falsch ausgedrückt. war nämlich vor wochen auf ner seite, wollte per paypal zahlen, habe dann aber abgebrochen und nicht beendet. denke es war ne phishing site

Das heißt: Du wolltest auf einer Webseite etwas bestellen, diese Seite bot als Zahlungmöglichkeit Paypal an. Und du vermutest, dass du von dieser Webseite zu einer falschen Paypal-Seite weitergeleitet wurdest (auf der du dich offenbar eingeloggt und erst dann die Transaktion abgebrochen hast)?

[Gast_ahora2010_*]

Das heißt: Du wolltest auf einer Webseite etwas bestellen, diese Seite bot als Zahlungmöglichkeit Paypal an. Und du vermutest, dass du von dieser Webseite zu einer falschen Paypal-Seite weitergeleitet wurdest (auf der du dich offenbar eingeloggt und erst dann die Transaktion abgebrochen hast)?

ja ich hatte mich schon eingeloggt, aber dann abgebrochen vor senden einer zahlung

[Peter 123]

Das heißt, du vermutest, dass die Webseite, von der du zunächst bestellen wolltest, (bewusst) einen Link zu einer falschen Paypal-Seite gelegt hat?

(Ich frage deshalb so genau, um zu lernen, wie man so etwas möglichst gut verhindern kann. )

[Gast_ahora2010_*]

Das heißt, du vermutest, dass die Webseite, von der du zunächst bestellen wolltest, (bewusst) einen Link zu einer falschen Paypal-Seite gelegt hat?

(Ich frage deshalb so genau, um zu lernen, wie man so etwas möglichst gut verhindern kann. )

so denke ich , ja

[Gast_ahora2010_*]

kann aber auch von denen selber kommen. in nem anderen forum meinte einer das paypal, click n buy, ebay sehr anfällig sein können für mache malware schreiber, das das praktisch automatisch geknackt wurde...

[Habakuck]

kann aber auch von denen selber kommen. in nem anderen forum meinte einer das paypal, click n buy, ebay sehr anfällig sein können für mache malware schreiber, das das praktisch automatisch geknackt wurde...

Daher meine Frage nach dem Passwort. Wenn das ungefähr so aussah:
DerNamedeinesTieres und sein Geburtsdatum "Muschi110386" dann ist das easy zu knacken.

Passwörter müssen wirklich sicher sein!
Für meine e-Mail Konten (PayPal, KreditKarte usw nutze ich eh nicht im Netz) habe ich Passwörter a la : "KePm(73MhMe=,w" Das knackt so schnell niemand.

[Gast_ahora2010_*]

Daher meine Frage nach dem Passwort. Wenn das ungefähr so aussah:
DerNamedeinesTieres und sein Geburtsdatum "Muschi110386" dann ist das easy zu knacken.

Passwörter müssen wirklich sicher sein!
Für meine e-Mail Konten (PayPal, KreditKarte usw nutze ich eh nicht im Netz) habe ich Passwörter a la : "KePm(73MhMe=,w" Das knackt so schnell niemand.

stimmt, so "toll2 war mein passwort nicht

[Habakuck]

stimmt, so "toll2 war mein passwort nicht

Ich hoffe das neue ist besser? =)

[Peter 123]

Daher meine Frage nach dem Passwort. Wenn das ungefähr so aussah:
DerName deinesTieres und sein Geburtsdatum "Muschi110386" dann ist das easy zu knacken.

Mir ist schon klar, dass man Geburtstage usw. nicht als Passwort verwenden soll. Aber mal prinzipiell gefragt:
Wäre so ein Passwort wirklich so einfach zu knacken?
Das müsste doch jemand sein, der den Geburtstag dieser Person* kennt (+ den Namen des Haustieres).

*) [besser gesagt: jenen des Tiers (du schreibst ja: "deines Tieres und sein Geburtsdatum) ]

Der Beitrag wurde von Peter 123 bearbeitet: 23.01.2010, 16:47

[Habakuck]

Mir ist schon klar, dass man Geburtstage usw. nicht als Passwort verwenden soll. Aber mal prinzipiell gefragt:
Wäre so ein Passwort wirklich so einfach zu knacken?
Das müsste doch jemand sein, der den Geburtstag dieser Person kennt (+ den Namen des Haustieres).

Ja, das ist so einfach zu knacken!

Gib mal muschi031186 hier ein: https://passwortcheck.datenschutz.ch/check.php
Da gibt er dir nichtmal eine Zeitangabe wie lange es brauchen würde das Ding zu knacken. Wahrscheinlich dauert das nur einige Minuten oder Stunden (je nach Rechenpower).


Auch bei Muschi031186 ist der Schwellenwert nicht erfüllt.

Auch MuSchi03118 ist schwach. Usw und so fort.

Man sollte sich die Seite wirklich mal angucken. Pw,(<de13m wäre zum Beispiel schon ein recht starkes Passwort. (Ungefähre Zeit zum Knacken: 26'035'310 Jahr(e) (bei 1'000'000 Tests/Sekunde) )

Das Ding ist halt, dass es mitlerweile unglaubliche große Wordlists im Netz gibt die von der verlinkten Seite nichtmal angezapft werden. Die nutzen wahrscheinlich so standard Wordlists.
Wenn man sich mal anguckt was für mächtige Wordlists im Internet gehandelt werden dann überlegt man es sich dreimal bevor man einen Namen, Subjekt, Verb, Fussballverein, Mondstand oder was auch immer in das Passwort mit einbaut.

Nur cryptische Passwörter mit 10 Zeichen, groß wie klein, Sonderzeichen und Zahlen sind sicher.

Der Beitrag wurde von Habakuck bearbeitet: 23.01.2010, 16:53

[aido]

Es ist ja nicht mal nötig das Passwort zu knacken. Es reicht schon aus auf so eine Phishing zu gelangen, den Rest erledigen die Scripts die deine Eingaben "mitschneiden". Die brauchen nur noch danach auf ihre Datenbank nachschauen und haben das Passwort in Klarschrift - so einfach ist das.

[Peter 123]

Es ist ja nicht mal nötig das Passwort zu knacken. Es reicht schon aus auf so eine Phishing zu gelangen, den Rest erledigen die Scripts die deine Eingaben "mitschneiden".

Das wäre der andere Weg, sein Passwort "zu verlieren". Klar. In diesem Fall hilft auch ein noch so gutes Passwort nichts, weil man es ja selbst eingibt.

Aber noch einmal zu Habakucks Überlegungen:

Ja, das ist so einfach zu knacken!

Gib mal muschi031186 hier ein: https://passwortcheck.datenschutz.ch/check.php
Da gibt er dir nichtmal eine Zeitangabe wie lange es brauchen würde das Ding zu knacken. Wahrscheinlich dauert das nur einige Minuten oder Stunden (je nach Rechenpower).

Also um es vorweg klarzustellen: Ich bin natürlich weder gegen möglichst sichere Passwörter noch zweifle ich an der Kompetenz der von dir verlinkten Seite.

Aber: Dass der Test dieses Passwort als "schwach" qualifiziert, ist für mich noch kein Beleg dafür, dass es leicht zu knacken wäre.

Hier mal das Resultat, das der Test liefert, wenn man "muschi031186" als Passwort eingibt:



---> Da gibt es anhand verschiedener allgemeiner Kriterien (wie Passwortlänge, Gebrauch von Sonderzeichen, Verwendung von Groß- und Kleinbuchstaben usw.) Punkteabzüge, wenn nicht alle davon erfüllt sind. Da wird also ein Passwort an bestimmten abstrakten Kriterien gemessen. Interessant wäre ein Test, der tatsächlich nachweisen kann, dass er ein bestimmtes Passwort knacken kann.

Denn das, was du über die Wordlists sagst, leuchtet mir zwar auch ein:

Das Ding ist halt, dass es mitlerweile unglaubliche große Wordlists im Netz gibt die von der verlinkten Seite nichtmal angezapft werden. Die nutzen wahrscheinlich so standard Wordlists.
Wenn man sich mal anguckt was für mächtige Wordlists im Internet gehandelt werden dann überlegt man es sich dreimal bevor man einen Namen, Subjekt, Verb, Fussballverein, Mondstand oder was auch immer in das Passwort mit einbaut.

Aber das bezieht sich eben auf Wörter und nicht auf Zahlen. Ich kann mir nicht vorstellen, dass es möglich ist die (unendlich große) Anzahl an denkbaren Zahlenkombinationen in gleicher Weise "durchzuspielen" wie die im Verglich dazu geringe Menge an existierenden Wörtern.

Also selbst wenn jemand den Passwortteil "muschi" z.B. anhand einer Wordlist herausfinden sollte - wie soll er die Zahlenkombination 031186 knacken? (Natürlich immer vorausgesetzt, er kenne nicht den Geburtstag des Haustiers.)

Ich glaube daher auch (bitte um Korrektur, wenn ich das falsch sehe):
Gegen das (von dir erwähnte) "mit-Einbauen" eines (realen) Wortes ist auch nichts einzuwenden, wenn eben überdies andere Bestandteile im Passwort dabei sind, die das Auslesen anhand einer Wordlist unmöglich machen (wie eben Zahlenkombinationen, Sonderzeichen usw.).

Oder noch eine andere Überlegung:
Nehmen wir an, jemand wählt ein Passwort, das aus 10 willkürlich ausgewählten Zahlen bestünde, z.B.: "6538814936".
Wäre das wirklich leichter zu knacken als ein Passwort, das allen Kriterien auf der verlinkten Datenschutzseite entspricht?

PS:
Den Kriterien, die dort genannt werden, kann man übrigens auf manchen Webseiten teilweise gar nicht entsprechen. Es gibt z.B. eine Bankenseite (!), auf der man zum Einloggen ins Internet-Banking nur bis zu 6 Zeichen als Passwort eingeben kann und überdies die Auswahlmöglichkeit der Zeichen beschränkt ist. Wenn ich das richtig in Erinnerung habe, sind überhaupt nur Zahlen erlaubt. (Was ich allerdings tatsächlich für merkwürdig halte!)

Der Beitrag wurde von Peter 123 bearbeitet: 23.01.2010, 18:00

[Habakuck]

Interessant wäre ein Test, der tatsächlich nachweisen kann, dass er ein bestimmtes Passwort knacken kann.

Das online Tool wird vom Datenschutzbeauftragen des Kanton Züchrich bereitgestellt. Der/die wissen wovon sie reden.
Ich habe mich selber mal länger mit dem Thema Passwort, Bruteforce und Wordlisten beschäftigt.
(Heike würde sagen: Jeder hat seine Leichen im Keller liegen.. ^^)
Hinter dem Tool ist ein Algorithmus hinterlegt der einen Knackversuch der eingegbenen Wörter simuliert.
Gib mal ein starkes Passwort ein, dann sagt er dir wie lange es dauern würde das Passwort zu knacken bei einer bestimmten Anzahl von Versuchen pro Sekunden.
Im Ernstfall wird diese hohe Anzahl an Versuchen übrigens dadurch erreicht, dass ein Botnetz die Loginversuche unternimmt. Oder es werden Hochschulrechner angezapft. (Das würde allerdings kaum gemacht werden um ein PayPal Konto zu hacken...) Sowas machen dann Geheimdienste oder andere Institutiionen mit massig Geld oder Macht wie z.B. die russische Internetmafia.

Dass der Test dieses Passwort als "schwach" qualifiziert, ist für mich noch kein Beleg dafür, dass es leicht zu knacken wäre.

Warum nicht? Einfach weil du es dir nicht vorstellen kannst?
Wenn du Lust hast dann studier mal den Diffie-Hellman Algorithmus. Du wirst staunen was alles möglich ist!

Vor ein paar Jahren galt WEP als sicher. Mitlerweile wurde es genackt. WPA gilt nach wie vor als sicher. Man geht aber davon aus, dass es knackbar ist. WPA2 gilt als sehr sicher, man bezweifelt aber das es unknackbar ist.

md5 Summen wurden durch Kollisionen gefakte.

Alles ist möglich!

Und dort wo es um Geld geht erst recht. Vorallem sind diese Algorithmen (die Bruteforce mit Wordlisten und social Engineering koppeln) im dunklen Netz vorhanden und werden ständig ausgebaut.
Es reicht schon wenn die Angreifer wissen welcher Nationalität der Besitzer ist. Dann werden nur bestimmte Wordlists genutzt und die Anordnung der Tasten auf der Tastatur mit berücksichtigt. Es gibt nämlich selbst bei den cryptischen Passwörtern signifikante Häufungen von Kombinationen. Einfach weil die "gut in den Fingern" liegen. Daher sollte ein wirklich gutes Passwort Einfingrig geschrieben werden. Nicht mit zehn Fingern.

http://www.wintotal.de/softwarearchiv/?id=798

Das wirst du so einfach nicht im Netz finden. Wenn es dich wirklich interessiert dann solltest du dich ein bischen in einschlägiden Foren umsehen und dort Tools finden mit denen du mal einen klitze kleinen Eindruck von dem bekommen kannst was schon mit 4GB RAM möglich ist...

Wenn ich Botnetzbesitzer wäre und ein Passwort haben wollen würde dann würde ich als erstes so viel wie möglich über das Opfer herausfinden. Es ist schon sehr viel wenn man weiss:
Wo der Betreffende lebt
Wie alt er ungefähr ist
Evtl. Hobbies (Foren Mitgliedschaften, Ebay. Amazon usw.)

Dann würde ich gucken ob ich nicht evtl. andere Acc von ihm hacken die schwächere Passwörter haben. Alles um möglichst über ihn herauszufinden.

Nebenbei lasse ich mir eine BruteForce Liste erstellen. Das mache ich selber am Home PC. Dabei schreibt der PC Tag und Nacht einfach nur alle möglichen Kombinationen (Parameter gebe ich vor) in eine .txt Datei.

Nachdem ich genügend infos zusammenhabe schreibe ich mir einen Algorithmus den ich auf den Betreffenden zuschneider, packe meine BruteForce Liste und meine ausgewählten Wordlists aus und lege los. Dafür nutze ich die Power verschiedener Rechner und umgehe wenn möglich die Abwehrmechanismen des Providers (z.B. PayPal.) denn die schlafen ja zum Glück auch nicht.

Also selbst wenn jemand den Passwortteil "muschi" z.B. anhand einer Wordlist herausfinden sollte - wie soll er die Zahlenkombination 031186 knacken?

Da gibt es bestimmte Algorithmen für die erst "Muschi" anhand einer Wordlist knacken und das Datum dann per BruteForce Liste. Dauert nicht lange..

Gegen das (von dir erwähnte) "mit-Einbauen" eines (realen) Wortes ist auch nichts einzuwenden, wenn eben überdies andere Bestandteile im Passwort dabei sind, die das Auslesen anhand einer Wordlist unmöglich machen (wie eben Zahlenkombinationen, Sonderzeichen usw.).

Da liegst du leider falsch.

Nehmen wir an, jemand wählt ein Passwort, das aus 10 willkürlich ausgewählten Zahlen bestünde, z.B.: "6538814936".
Wäre das wirklich leichter zu knacken als ein Passwort, das allen Kriterien auf der verlinkten Datenschutzseite entspricht?

Ja.

Da ich leider lernen muss, mir die Zeit allerdings nur allzugerne hier am Rechner verbringe ^^ wirst du dir den Rest selber beantworten bzw. bei google raussuchen müssen...

Den Kriterien, die dort genannt werden, kann man übrigens auf manchen Webseiten teilweise gar nicht entsprechen. Es gibt z.B. eine Bankenseite (!), auf der man zum Einloggen ins Internet-Banking nur bis zu 6 Zeichen als Passwort eingeben kann und überdies die Auswahlmöglichkeit der Zeichen beschränkt ist. Wenn ich das richtig in Erinnerung habe, sind überhaupt nur Zahlen erlaubt. (Was ich allerdings tatsächlich für merkwürdig halte!)

Das habe ich schon bei mehrern Banken bemängelt und auch die Kundenbetreung drauf angesprochen. Banken sind selten dämlich was das angeht.
Was den Kunden nicht stören muss da er im Falle des Falls sein Geld zurückbekommt.

Banken "wehren" sich übrigens meistens anders gegen solche Attacken. Da kommen dann Netzwerkanalysen zum Tragen die Angriffe aus Botnetzen verhindern sollen (sowas ähnliches macht PayPal ja auch daher kam die "Warnungs Mail" und die Sperrung des Accounts.) Aber auch sowas kann wieder umgangen werden.

Es läuft wie immer auf Katze und Maus hinaus wobei man wenigstens versuchen sollte die Maus so gut wie möglich zu dopen.

Und eine Maus ist nur dann richtig fit wenn das Tool des Kanton Zürüch sagt: Ist sicher.

PS: Mein alter PC Prof hat teilweise ganze Regale voll mit Latops (alle vollausgebaut mit RAM) nächtelang laufen lassen um ein bestimmtest Modell berechnen zu lassen und war stocksauer wenn er wieder an die UNI kam und die Meldung vorfand: "Out of Memory..." ^^
Laptops übrigens desshalb weil die weni Platz und Strom brauchen....

Der Beitrag wurde von Habakuck bearbeitet: 23.01.2010, 18:45

[Peter 123]

Da ich leider lernen muss, mir die Zeit allerdings nur allzugerne hier am Rechner verbringe ^^ wirst du dir den Rest selber beantworten bzw. bei google raussuchen müssen...

So genau muss ich es nicht wissen. Danke für deine Antworten. Das war ja ohnedies schon sehr ausführlich, und ich nehme das mal zur Kenntnis.

Das Problem mit den "wirklich" sicheren Passwörtern, etwa:

"KePm(73MhMe=,w" Das knackt so schnell niemand.

Wie soll man sich das merken??? (Noch dazu, wenn es für jede Webseite - vernünftigerweise (!) - ein anderes sein soll.)
Das ist der Grund, warum ich gegen allzu komplizierte Passwörter eine Abneigung habe.