Mein eBay Kleinanzeigen wurde übernommen. Wie habe ich es bemerkt und was kann ich tun damit das in Zukunft nicht mehr passiert?
HONEYBEE 02.09.2021 21:42 LESEZEIT: 7 MIN.
Heute Vormittag musste ich feststellen, dass ein alter eBay Kleinanzeigen-Account von mir gehackt wurde. Daher folgt eine umfangreiche Beschreibung des Vorfalls und mögliche Lösungsansätze, um so etwas in Zukunft zu verhindern.
eBay Kleinanzeigen: E-Mailbestätigung zur Veröffentlichung einer Anzeige
Da ich unterwegs war, die Kinder in die Kita zu bringen, machte ich mir zunächst keine weiteren Gedanken, da es Wichtigeres zu tun gab. Erst später machte mich eine weitere Mail aufmerksam. Scheinbar wollte ein Betrüger den Hacker meines Accounts übers Ohr hauen.
eBay Kleinanzeigen: Warnung per Mail über einen Nutzer
Mir war damit klar, der Account wurde übernommen. Daher habe ich die Anzeige umgehend gelöscht und mein Kennwort zu diesem Account geändert. Was mich aber wunderte war, warum ich denn keine E-Mail-Benachrichtigung über die neue Nachricht des anderen Nutzers erhalten hatte. Nach kurzer Recherche stellte sich heraus, dass eBay Kleinanzeigen die Möglichkeit bietet, die Benachrichtigung, warum auch immer, abzustellen. Genau das hatte der Angreifer getan.
Anschließend hatte ich die Sorge, dass noch mehr Nutzer auf die Anzeige hereingefallen sein könnten. Leider gibt es keine Möglichkeit nachzuvollziehen, mit wem der Angreifer Kontakt hatte. Daher meldete ich den Fremdzugriff auf meinen Account (Auch Account-Takeover genannt) über ein Kontaktformular. Befremdlich war die Nachricht, dass die Bearbeitung 3-4 Tage dauern sollte. Nach immerhin „nur“ 4 Stunden erhielt ich eine Antwort. Mit dem Hinweis, dass mein Account nun blockiert sei und alle Nutzer darüber einen Warnhinweis erhalten hätten. Auch habe ich eine Mail erhalten, dass mein Kennwort nun geändert worden sei (inklusive neuem Kennwort).
Persönlich sehe ich dabei folgende Probleme:
Mit dem Online-Tool ‚;–have i been pwned? kann man sehr leicht überprüfen, ob die eigene Mailadresse in der Vergangenheit schon einmal in einer öffentlich verfügbaren Liste aufgetaucht ist. Dies sah bei mir wie folgt aus:
Wichtig ist es immer, nach so einem Vorfall sein Kennwort beim betroffenen Dienst und auch bei allen anderen Diensten, die dasselbe Kennwort verwenden, zu ändern. Auch, wenn der Account vielleicht nicht mehr in Gebrauch ist. Andere könnten die Reputation des Accounts nämlich dann sehr leicht missbrauchen und anderen Nutzern schaden.
Sollte man sich sicher sein, dass man ein eindeutiges Kennwort verwendet hat, muss man davon ausgehen, dass sich jemand entweder ohne das Kennwort Zugang verschafft hat (zum Beispiel durch eine Sicherheitslücke) oder einer der verwendeten Computer mit Schadsoftware infiziert war. Gegebenenfalls ist es ratsam, den betroffenen Rechner auf Schadsoftware zu untersuchen und neu zu installieren.
Um sich die Kennwörter nicht merken zu müssen, kann man einen Passwortmanager wie KeePass oder Bitwarden verwenden.
Um sicherzustellen, dass auch mit Kennwort niemand einfach auf einen Account zugreifen kann, sollte daher die sogenannte Zwei-Faktor-Authentifizierung verwendet werden, wenn diese vom Dienst angeboten wird. In der Regel wird dabei ein zweites Kennwort abgefragt, was dynamisch generiert wird. Früher war das schon beim Online-Banking üblich, nur dass der Nutzer eine Liste mit festen TANs erhalten hat. Heutzutage ist der Ansatz etwas moderner und sicherer. Dabei wird dann zum Beispiel per SMS ein zusätzliches Kennwort an den Nutzer verschickt. Alternativ muss der Nutzer ein dynamisches, zeitabhängig generiertes Kennwort (TOTP) eingeben. In der Regel verfügt ein Angreifer nicht über diese weitere notwendige Information.
Bei Google Mail hast du die Möglichkeit, deine E-Mail-Adresse um weitere Zeichen zu erweitern. Dazu musst du nur ein + vor das @ setzen und du kannst dort beliebige Buchstaben und Zahlen einfügen. Die E-Mails kommen trotzdem an. Beispielweise wird aus honeybee@gmail.comeinfach honeybee+02-09-21-ebkl@gmail.com.
Nachwort
Ich hoffe, euch hat der etwas andere Artikel gefallen. Die Idee einen Artikel zu schreiben ist ganz spontan aus dem oben genannten Vorfall entstanden. Vielleicht habt ihr schon etwas Ähnliches erlebt? Vielleicht mit nicht ganz so glücklichem Ende? Teilt es doch in einem Kommentar!
So, das war’s für heute. Immer Augen auf im Internet! Der nächste Fraudster wartet schon!
Tarnkappe.info
HONEYBEE 02.09.2021 21:42 LESEZEIT: 7 MIN.
Du musst angemeldet sein, um Bilder zu sehen.
Heute Vormittag musste ich feststellen, dass ein alter eBay Kleinanzeigen-Account von mir gehackt wurde. Daher folgt eine umfangreiche Beschreibung des Vorfalls und mögliche Lösungsansätze, um so etwas in Zukunft zu verhindern.
E-Mail von eBay Kleinanzeigen: Anzeige „Dyson Airwrap Haarstyler“ veröffentlicht
Im morgendlichen Stress erhielt ich eine E-Mail von eBay Kleinanzeigen, dass ich eine neue Anzeige veröffentlicht hätte. Diese Mail hatte ich zunächst als Phishingversuch abgetan, da in meinem primären Kleinanzeigen-Account keine solche Anzeige vorhanden war.
Du musst angemeldet sein, um Bilder zu sehen.
eBay Kleinanzeigen: E-Mailbestätigung zur Veröffentlichung einer Anzeige
Da ich unterwegs war, die Kinder in die Kita zu bringen, machte ich mir zunächst keine weiteren Gedanken, da es Wichtigeres zu tun gab. Erst später machte mich eine weitere Mail aufmerksam. Scheinbar wollte ein Betrüger den Hacker meines Accounts übers Ohr hauen.
Du musst angemeldet sein, um Bilder zu sehen.
eBay Kleinanzeigen: Warnung per Mail über einen Nutzer
Erster Verdacht – eBay Kleinanzeigen-Account gehackt?
Da ich wieder daheim war, schaute ich mir die Mail genauer an und stellte fest, dass sie nicht von meinem primären Account kam, sondern von einem alten, den ich eigentlich nicht mehr benutzte. Als ich mich dort einloggte, wunderte ich mich über die oben angesprochene Anzeige zum Dyson Airwrap. In diesem Moment poppte auch gleich eine Anfrage eines Nutzers für diesen Artikel auf, inklusive Antwort von meinem Account (Und das in einwandfreiem Deutsch!). Als ich den vermeintlichen Interessenten warnen wollte, waren die Nachrichten auch gleich schon gelöscht. Daher konnte ich diesen leider nicht mehr warnen.Mir war damit klar, der Account wurde übernommen. Daher habe ich die Anzeige umgehend gelöscht und mein Kennwort zu diesem Account geändert. Was mich aber wunderte war, warum ich denn keine E-Mail-Benachrichtigung über die neue Nachricht des anderen Nutzers erhalten hatte. Nach kurzer Recherche stellte sich heraus, dass eBay Kleinanzeigen die Möglichkeit bietet, die Benachrichtigung, warum auch immer, abzustellen. Genau das hatte der Angreifer getan.
Du musst angemeldet sein, um Bilder zu sehen.
eBay Kleinanzeigen: BenachrichtigungsoptionAnschließend hatte ich die Sorge, dass noch mehr Nutzer auf die Anzeige hereingefallen sein könnten. Leider gibt es keine Möglichkeit nachzuvollziehen, mit wem der Angreifer Kontakt hatte. Daher meldete ich den Fremdzugriff auf meinen Account (Auch Account-Takeover genannt) über ein Kontaktformular. Befremdlich war die Nachricht, dass die Bearbeitung 3-4 Tage dauern sollte. Nach immerhin „nur“ 4 Stunden erhielt ich eine Antwort. Mit dem Hinweis, dass mein Account nun blockiert sei und alle Nutzer darüber einen Warnhinweis erhalten hätten. Auch habe ich eine Mail erhalten, dass mein Kennwort nun geändert worden sei (inklusive neuem Kennwort).
Du musst angemeldet sein, um Bilder zu sehen.
eBay Kleinanzeigen: Account-Takeover MaileBay Kleinanzeigen: Schlechter Schutz und schlechte Nachvollziehbarkeit
Nach dieser Erfahrung wundert es mich kaum, wieso der Betrug auf dieser Plattform so beliebt ist. Es gibt zwar ein Bewertungssystem, welches aber wegen der schlecht geschützten Accounts kaum zu gebrauchen ist.
Du musst angemeldet sein, um Bilder zu sehen.
eBay Kleinanzeigen: BewerungssystemPersönlich sehe ich dabei folgende Probleme:
- Keine Zwei-Faktor-Authentifizierung
- Kein temporärer Papierkorb
- Löschen von Nachrichten ohne E-Mail Benachrichtigung möglich
- Abschaltbare Mailbenachrichtigung (ohne E-Mail Benachrichtigung)
- Keine Warnmail über einen neuen unbekannten Login
Nachsorge und Vorsorge
Ursache war eine wiederverwendete E-Mail- und Passwortkombination von einer in der Vergangenheit gehackten Webseite, von der Hacker ein schwach gesichertes Passwort von mir erbeuten konnten. Diese Kombination wurde jetzt dazu missbraucht, um sich unrechtmäßig Zugriff auf meinen eBay Kleinanzeigen-Account zu verschaffen.Mit dem Online-Tool ‚;–have i been pwned? kann man sehr leicht überprüfen, ob die eigene Mailadresse in der Vergangenheit schon einmal in einer öffentlich verfügbaren Liste aufgetaucht ist. Dies sah bei mir wie folgt aus:
Du musst angemeldet sein, um Bilder zu sehen.
‚;–have i been pwned? Oh no — pwned!Wichtig ist es immer, nach so einem Vorfall sein Kennwort beim betroffenen Dienst und auch bei allen anderen Diensten, die dasselbe Kennwort verwenden, zu ändern. Auch, wenn der Account vielleicht nicht mehr in Gebrauch ist. Andere könnten die Reputation des Accounts nämlich dann sehr leicht missbrauchen und anderen Nutzern schaden.
Sollte man sich sicher sein, dass man ein eindeutiges Kennwort verwendet hat, muss man davon ausgehen, dass sich jemand entweder ohne das Kennwort Zugang verschafft hat (zum Beispiel durch eine Sicherheitslücke) oder einer der verwendeten Computer mit Schadsoftware infiziert war. Gegebenenfalls ist es ratsam, den betroffenen Rechner auf Schadsoftware zu untersuchen und neu zu installieren.
Goldene Regeln für Accounts und Kennwörter
Verwende niemals das gleiche Kennwort auf mehreren Webseiten
Erbeutet ein Angreifer dieses Kennwort, landet es auf Dauer in einer Passwortliste. Wird dabei noch der gleiche Benutzername beziehungsweise dieselbe E-Mail verwendet, kann anschließend die Kombination an anderer Stelle ausprobiert werden. Daher verwende für jeden Dienst ein eigenes Kennwort!Um sich die Kennwörter nicht merken zu müssen, kann man einen Passwortmanager wie KeePass oder Bitwarden verwenden.
Verwende eine Zwei-Faktor-Authentifizierung (soweit möglich)
Konnte ein Angreifer dein Kennwort erbeuten, hat er in der Regel leichtes Spiel. Manchmal erschweren automatische Sicherheitsmechanismen den Missbrauch, da sie ungewöhnliches Verhalten von Nutzern automatisch erkennen oder der Nutzer von einem unüblichen Gerät zugreift.Um sicherzustellen, dass auch mit Kennwort niemand einfach auf einen Account zugreifen kann, sollte daher die sogenannte Zwei-Faktor-Authentifizierung verwendet werden, wenn diese vom Dienst angeboten wird. In der Regel wird dabei ein zweites Kennwort abgefragt, was dynamisch generiert wird. Früher war das schon beim Online-Banking üblich, nur dass der Nutzer eine Liste mit festen TANs erhalten hat. Heutzutage ist der Ansatz etwas moderner und sicherer. Dabei wird dann zum Beispiel per SMS ein zusätzliches Kennwort an den Nutzer verschickt. Alternativ muss der Nutzer ein dynamisches, zeitabhängig generiertes Kennwort (TOTP) eingeben. In der Regel verfügt ein Angreifer nicht über diese weitere notwendige Information.
Verwende für jeden Account eine eigene E-Mail / einen eigenen Benutzernamen
Wenn du die Möglichkeit hast, für jeden Account einen eigenes E-Mail Postfach anzulegen, ist das auch empfehlenswert. Dies bietet dir zwei Vorteile: Ein geleaktes Kennwort ist ohne den Benutzernamen bzw. E-Mail-Adresse nichts wert. Würde bei dir Spam über dieses Postfach eintrudeln, wäre ein Leak bei genau diesem einen Anbieter wahrscheinlich.Bei Google Mail hast du die Möglichkeit, deine E-Mail-Adresse um weitere Zeichen zu erweitern. Dazu musst du nur ein + vor das @ setzen und du kannst dort beliebige Buchstaben und Zahlen einfügen. Die E-Mails kommen trotzdem an. Beispielweise wird aus honeybee@gmail.comeinfach honeybee+02-09-21-ebkl@gmail.com.
Nachwort
Ich hoffe, euch hat der etwas andere Artikel gefallen. Die Idee einen Artikel zu schreiben ist ganz spontan aus dem oben genannten Vorfall entstanden. Vielleicht habt ihr schon etwas Ähnliches erlebt? Vielleicht mit nicht ganz so glücklichem Ende? Teilt es doch in einem Kommentar!
So, das war’s für heute. Immer Augen auf im Internet! Der nächste Fraudster wartet schon!
Tarnkappe.info
Werde das gleich mal ändern...! 
