TEILEN

Als ich heute Morgen auf mein Handy schaut, traute ich meinen Augen nicht: Ca. zehn Nachrichten mit Passwort-Abfragen, usw. Irgendjemand hat versucht, meinen Paypal-Account zu hacken. Offensichtlich ist er irgendwie an mein durchaus schweres Passwort gekommen (es war ein aufwendiger Ziffern-/Buchstabencode). Glücklicherweise hatte ich bei Paypal eine Zweitsicherung eingebaut, dass nach meinem Passwort auch noch ein Zahlencode auf mein Handy geschickt wird. Dies hat mir am Ende wohl den Arsch gerettet.

Anschließend versuchte der Hacker auf Teufel komm raus, an der zusätzlichen Sicherung vorbeizukommen. Auf meinem Handy waren etliche verschickte Codes und direkte Anrufe bei Apple geloggt. Ich bin sehr erleichtert, dass er an dieser Hürde am Ende nicht vorbeikam. Ich habe natürlich sofort das Passwort geändert.

Ich frage mich trotzdem ernsthaft, wie es der Hacker geschafft hat, an mein kompliziertes Passwort zu kommen? Ich hatte eigentlich nie Probleme mit dem Thema Passwort-Sicherheit. Ja, vor einigen Monaten wurde mein Steam-Account gehackt, was allerdings meine eigene Schuld war, da der Account nicht wirklich abgesichert war, und ich ein wirklich einfaches Passwort verwendete. Das war bei meinem Paypal-Account komplett anders.

Ich habe auf meinem Rechner die Avast Internet Security (Firewall und Virenscanner) laufen, mit der ich sehr zufrieden bin. Darüber hinaus habe ich mir die Malwarebytes-Premiumversion gegönnt, um nochmal zusätzlich gegen Malware abgesichert zu sein. Und trotzdem ist der Hacker irgendwie an mein Passwort gekommen.

Stutzig hat mich gemacht, dass ich meiner Freundin gestern auf ihrem Handy über Paypal etwas gekauft habe. Kann es vielleicht sein, dass sie sich auf ihrem Handy was eingefangen hat? Kann ich das irgendwie überprüfen? Gibt es gute Apps, die das eigene Smartphone nach Malware scannen?

Habt Ihr sonst noch eine Idee, wie der Hacker an meine Daten gekommen sein kann? Oder irgendwelche anderen Tipps in dieser Sache?

39 KOMMENTARE

  1. Freut mixh, dass der Hacker bei dir keinen Erfolg hatte und besten Dank für den Tipp mit der 2 Faktor-Authetifizierung.

    Warum “versteckt” PayPal diese Funktion eigentlich ????

  2. Moin Steve,

    ich nutze seit rund 1,5 Jahren eine Passwort Vault App namens 1password. Lizenz kostet ca. 30€ im Jahr. Dieser Vault ist super gut geschützt (4 Verschiedene Anmeldeinformationen), man muss lediglich bei der ersten Anmeldung alle Daten eingeben, ist das Programm bzw. die App erstmal installiert, tut’s dann ein Masterpasswort bzw. Fingerprint. Dort habe ich alle meine Passwörter zentral abgelegt und gesichert (mittlerweile alle mindestens 64 Zeichen, komplett kryptisch). Muss ich mich also irgendwo einloggen öffne ich kurz das Programm, kopiere das Passwort und füge es ein -> fertig. Im Browser gibt es ein Extra Add-In der App, die neu angelegte Konten automatisch erkennt und in 1password speichert, ebenso wie Kennwortänderungen.

    Kann ich nur empfehlen, seitdem nie wieder Stress gemacht und es ist super einfach!

  3. An der Stelle einfach danke für die Info. Wusste nicht, dass es die Funktion fürs Handy und dem Sicherheitscode gibt. Wann gibt’s eigentlich nen Blogeintrag zu der Situation mit Bremen? Ihr scheint uns ja bis jetzt dicht an den Fersen zu sein, was die Tabelle betrifft 😉

  4. Da hier soviel Bockmist zu Android geschrieben wird: Android ist nicht weniger oder mehr sicher als die Apple Geräte, WENN man es aktuell hält.
    Wer sich ein 200 Euro Teil kauft und meint das mit einem 1000 Euro iPhone vergleichen zu müssen hat wohl sein Leben nicht im Griff..
    Aber vergleicht man Gleichwertiges, z.b. die Google Pixel Devices die sehr lange und schnell Updates bekommen, nimmt das das im Punkto Sicherheit nichts.

    • Schwachsinn. Android ist wesentlich unsicherer weil es ein offenes System ist. Alleine die Tatsache das ich Apps aus allen möglichen Quellen installieren kann, macht es unsicherer.

      Im Apple Store landen nur geprüfte und (zu 99%) sichere Apps.

      Bei einem iPhone kann man sich viel schwieriger was einfangen.

      • Und wer installiert “ausversehen” Apps aus anderen Quellen bzw. wer schaltet die Funktion in der Einstellungen erst frei? Ja genau, der Benutzer. Also es passiert in der Hinsicht nichts unfreiwillig. Und Leute die sich Apps von unbekannten Quellen besorgen, wissen meistens Bescheid, was sie installieren und was nicht.
        Sonst ist der Google Play Store genauso sicher wie der App Store.

      • “Alleine die Tatsache das ich Apps aus allen möglichen Quellen installieren kann, macht es unsicherer.”
        Das ganze muss man aber auch erst zulassen bei Android. Standardmäßig ist das deaktiviert und so kann man auch nur Apps installieren die es im Play Store gibt.

  5. Auf Handys würde ich NIE was kaufen, besosnders, wenn es unter Android läuft.
    Derzeit besitze ich Apple und fühle mich sicher ABER:
    Bis vor einem Jahr hatte ich ein Samsung S7, was nicht nur nach 5 Seiten Internetsurfens mich mit angeblichen Gewinnen bombadiert hat… Auch jedes Mal, wenn ich mich über die WoW App angemeldet habe, um den Chat zu lesen etc. wurde ich am gleichen Tag in WoW gehackt.
    Das passierte einige Male, bis ich realisiert habe, dass das wohl am Handy lag.
    Und ich hatte die Premium Version von Kaspersky drauf…. Bei Apple läuft alles wie geschmiert aber mit Android werde ich keine wichtigen Geschäfte mehr machen.
    Es sei denn, deine Freundin hat ein Apple Gerät, dann war mein Text Sinnlos aber bin mir ziemlich sicher, es war ein Android.

    • Muss schwer für einen Apple jünger sein zu sehen, dass man mit Apple Geräten genau so gut aufs Maul fliegen kann.

      Es kommt halt immer auf den Benutzer an und was er mit dem Handy so anstellt bzw. wo er sich rum treibt.

      Ich nutze seit dem iPhone 3 mittlerweile Androide und mir ist noch nie etwas vergleichbares passiert. Vielleicht hast du einfach irgendeinen groben Unfug angestellt. Mag das vielleicht sein?

    • wenn du keine Apps installiert hast, die nicht ausm Shop waren, kann das Handy nicht der Grund gewesen sein…
      Und die Virenscanner auf Android haben keinerlei nutzen,da diese nicht das Dateisystem scannen können, wie bei Windoof…

  6. Hab die Tage erst was gehört, dass es gefakte Apps von diversen bankingapps gibt, möglicherweise auch von paypal. Würde die app auf dem Handy deiner Freundin überprüfen.oder hast du über eine Webseite bei paypal im Browser bezahlt. So unsicher, wie hier einige Android hinstellen, ist es bei weitem nicht…APPS können nicht auf andere zugreifen, du musst schon eine verseuchte Version installieren, reicht ja schon ein ähnlicher Name…

  7. Es lohnt sich da echt sich mal die mühe zu machen auf einen Passwort Manager umzusteigen. Da auch Gründlich reinarbeiten, und an einem Abend mal alles umzugestalten. Wenn all deine Accounts einen 16 stelligen Zufalls generierten string als Passwort haben, passiert sowas nicht mehr.
    Ich persönlich nutze LastPass, wegen der Bequemlichkeit birgt aber auch gewisse (theoretische) Risiken die ganze Passwortliste in einer Cloud gespeichert ist, gibt aber auch genügend offline Alternativen.

    • Kann man nur empfehlen, da man damit auch den Schaden dann auf nur einer Andwendung reduzieren kann. Da dann jede Anwendung ein eigenes Passwort hat, ist man da schon auf der sicheren Seite.
      Im Normalfall kennt man selbst ja nicht einmal das Passwort.

      Nutze das auch schon seit Jahren, ist aus meiner Sicht auch angenehmer, weil man sich nur das Master-PW merken muss.

    • Ich lese das immer wieder, aber entweder ich begreife das Prinzip nicht oder ich bin einfach zu altmodisch.
      Wenn ich jetzt so einen Dienst nutzte, liegen doch die Passwörter entweder in einer cloud, wo ich nicht weiss wer da ran kommt, oder auf meinem Rechner, wo ich nicht sicher sein kann das genau dieser Dienst bzw App mal gehackt wird oder?
      Wenn da mal was schief läuft sind dann die PW zu allem weg?
      Ich sehe irgendwie nicht wie das sicherer sein soll.

      • Jein, wenn Das Passwort korrekt gespeichert wird (hashed salted) dann kann selbst wenn ein Fremdzugriff auf die Datenbank stattfindet, der Angreifer nichts damit anfangen. In den größteren “leaks” kahmen die Angreifer nur an die Passwörter, weil die Administration versagt hatten und sensible Daten, auf ihren Servern nur unzureichend sicherten. (Gab soger fälle, bei denen Tatsächlich einfach nur alles als Blanker Text, in der Datenbank hinterlegt wurde.)
        Ich sag mal so ich geh das (rest)Risiko ein, das ich im Gegenzug, für die Bequemlichkeiten bekomme. Alle Hoch sensiblen Accounts bieten mittlerweile 2FA, selbst im schlimmsten fall, kommen da keiner rein, wenn der nicht auch noch mein Smartphone hat. Und Die Meisten Passwort Diebstähle passieren einfach, weil man oft die Selben Passwörter, oder Variationen davon (-Stichwort Dictionary Attack), auf verschiedenen Seiten benutzt. Wenn auch eine Davon nur schlecht gesichert ist, haben angreifen Email und das Passwort, und im einen “Entry point”, um zu versuchen an deine Accounts zu kommen.

  8. Es kann gut sein, dass sie sich was eingefangen hat. Ich rate aber grundsätzlich davon ab auf dem Handy einkäufe zu tätigen, da gerade Android Geräte quasischweizer Käse. Gerne die älteren Smartphones, die nicht mit Updates versorgt werden, sind beliebte Opfer bei Hackern.

    Zum Thema PW: Sonderzeichen und Zahlen in Passwörtern sind erst mal egal. Es geht viel mehr um die Länge. Am besten sind Passwörter aus sogenannter Dice Ware. Da werden dir ein Password 5-7 einzelne Wörter aus einer Bibliothek erwürfelt, das meistens leichter zu merken ist, da man sich dazu eine “Geschichte” ausdenken kann.
    Dafür sind die Passwörter unheimlich aufwändiger zu knacken. Leider darf man aber heutzutage nicht überall lange Passwörter eingeben.
    Ansonsten halt ein Password mit 14 Zeichen zufällig generieren lassen mit alle Zeichen. Das passt auch, ist aber unheiklich schwer zu merken.

  9. Du kannst deine E-Mail-Adresse mal bei https://haveibeenpwned.com
    checken. Diese Website prüft, ob deine Adresse von einem Datenleck betroffen war/Ist. Zum Beispiel gab es mal den Fall dass die Userdaten von Gamigo geleaked wurden und meine Adresse mit entsprechendem Passwort waren offen sichtbar.
    Des Weiteren ist es je nach Länge des Passwortes gar nicht so schwer das Passwort per Bruteforce zu finden – auch wenn es vermeintlich kompliziert (Buchstaben/Ziffern-Kombi). Du kannst das mal ausprobieren unter checkdeinpasswort.de

    Abschließend kannst du mal prüfen, ob du vielleicht auf eine Phishing Mail reingefallen bist. Soll heißen: Du hast auf eine, vermeintlich von PayPal stammende, Email geantwortet und dort deine Credentials eingegeben bzw. wurdest du auf eine Fake-Website geführt. Man merkt das zunächst nicht, da du von der Fake-Website an die richtige weitergeleitet wirst.

  10. “Ich habe auf meinem Rechner die Avast Internet Security (Firewall und Virenscanner) laufen”, “Darüber hinaus habe ich mir die Malwarebytes-Premiumversion gegönnt”.
    In der IT Welt würdest du für so eine Aussage bestenfalls belächelt werden, solcherlei Programme schützen höchstens vor dem Standard Malware Abschaum der sich so im Netz bewegt und verbreitet. Aus meiner Erfahrung richten solche Antiviren Programme oft mehr Schaden und Probleme an, als sie lösen.

    Evtl. ist dein Passwort durch irgend einen Leak oder Hack auf einer Rainbow Table gelandet, wer weiß … Auf jeden Fall war es sehr gut, dass du eine zwei Faktor Authentifizierung an hattest, das ist meist die am schwierigsten zu überwindende Hürde für solche Cracker.

  11. Mich wundert es, dass sowas doch relativ selten vorkommt. Heute hat man ja 100 verschiedene Accounts, die Betreiber davon haben immer mal wieder welche Leaks, Passwörter, E-Mail Adressen und vieles mehr schwirren durchs Netz. Dann wird dem einen Account erlaubt, den anderen zu nutzen, um Geld vom Konto abzuheben, die Accounts werden untereinander verknüpft, usw.. da kann eigentlich so schnell was passieren

    War gerade echt überrascht, dass PayPal gar keine 2-Factor-Authentication anbietet ???

      • Ja, aus dem Grund hatte ich bei PayPal auch nach der 2-Factor-Authentication gesucht. Aber eben zunächst nicht gefunden. Das ganze nennt sich dort übrigens “Security Key”

  12. Da sieht man gut, wie wichtig heute die 2 factor authentication ist. Auch wenn es umständlicher ist lohnt es sich dann am Ende oft doch, wenn sowas verhindert werden kann. Sollte überall aktiviert werden, wo es angeboten wird!

  13. Danke Steve, ich wusste z.b. gar nich das man bei Paypal jetzt ne zwei Stufen Sicherung einbauen kann, früher ging das noch nicht, werde ich auch gleich mal durchführen.

  14. Ich gebe dir als Tipp: Wenn du mit Paypal bezahlst, gebe bei der Passworteingabe deine richtige Mail, aber ein falsches Passwort ein. Wenn du trotzdem eingeloggt bist, war es 100% scam. Wenn du nicht eingeloggt wirst, geb deine normalen Zugangsdaten ein. Und nein, dass grüne Schlosssymbol ist nicht zu 100% eine Sicherheit, dass du wirklich auf paypal bist!

  15. Unterirdische Kommentare wie “wenn es Android ist, fängt man sich gerne mal was ein”..
    Vermutlich wurde eine App installiert, die man nie benutzt, und wo man nicht nachdenkend alle Berechtigungen vergeben hat.

    Hier heißt es: Apps die man nicht nutzt und braucht auf Aktivitäten checken und deinstallieren.
    Bzw. mindestens zweifelhafte Berechtigungen entziehen.
    Nicht sicherheitsaffine Menschen installieren leider blauäugig jeden Mist und vergeben alle Berechtigungen. Es hat mitnichten mit Android selbst zu tun.
    Und glaubt mir ruhig. Habe im Uni Kontext an der Android (Plattform) Sicherheit geforscht.

  16. Ich kann dir nicht sagen wie Hacker an dein Passwort kommen könnte.
    Ich empfehle dir aber einen Passwortmanager (z. B. Keepass2). Damit ist es problemlos möglich 20stellige Passwörter erstellen und diese lokal abzuspeichern und auch automatisch ausfüllen zu lassen.

    • Kann ich nur bestätigen – das ist sehr sinnvoll! Seitdem hat bei mir jeder Account ein sehr sehr langes komplexes Passwort mit etlichen Sonderzeichen. Nutze KeePass auch vom Handy aus.

      Ansonsten habe ich fast alle Accounts wo es möglich war auf Zwei-Faktor-Authentifizierung umgestellt.

    • Ein Passwortmanager ist heute der way to go.
      Während Keepass2 natürlich eine sehr gute Open-Source Lösung ist kann ich dir als Apple User wärmstens 1Password empfehlen. Super iOS Integration und es gibt eine Software für MacOS und Windows.

  17. Das klingt echt heftig oO Wenn du bei deiner Freundin was über ihr Handy geholt hast dann ladet da mal Virenscranner/Malewarescanner runter um sicher zu sein das da nichts aufn Handy ist

HINTERLASSEN SIE EINE ANTWORT

Please enter your comment!
Please enter your name here