Nach eBay-Hack: Phishing-Mails mit euren echten Adressen
von caschy | 38 Kommentare
ebay hat ein riesiges Datenleck gehabt. Vor Monaten schon konnten Hacker Inhalte einer Datenbank abgreifen, die derzeit so um die 145 Millionen Kundendatensätze enthält. Einhundertfünfundvierzig Millionen, das muss man sich mal auf der Zunge zergehen lassen.
Inhalt der Datenbank: Daten und verschlüsselte Passwörter. ebay selber schreibt, dass die Datenbank Ende Februar/ Anfang März kopiert wurde und dass sie auch Daten nicht-finanzieller Art erhält. Also anscheinend alles, was ihr so angegeben habt – ausser die Kreditkartendaten etc.
Es ist schon recht komisch, wenn man weiss, dass seit März auch Phishing-Mails rumgehen, die ein interessantes Kriterium haben: eure vollständige Adresse. Seit dem Bekanntwerden des eBay-Hacks bekomme ich vermehrt Mails von Lesern, die Phishing-Mails bekommen. Schicke Mail, sieht echt aus – und hey – da ist eure Adresse und eurer Name drin. Da kann man schon einmal große Augen bekommen.
Nicht aber, wenn man sich den Spaß weiter anschaut, dann wird es wohl für viele, die etwas kritischer an die Mail rangehen, offensichtlich. Denn dann wird gebeten, ein Formular auszufüllen und abzuschicken. Ausfüllen muss man eben seine Bankdaten. Kreditkartennummer / Bank und all so etwas. Nun mag einer sagen: „Pff, da fällt keiner drauf rein“, aber Blödsinn. Warum schicken euch die Affen Mails? Weil es bei irgendeinem schon klappen wird. Und wenn es nur bei einem aus 10.000 ist. Manche wissen es einfach nicht besser oder sind auch aufgrund irgendwelcher wilden Typos in den Mails nicht abgeschreckt.
Deshalb: Augen auf und vielleicht nicht so versierte eBay-Nutzer gerade jetzt sensibilisieren – denn gerade im Rahmen des medialen Spektakels rund um die E-Mail-Geschichte kann manch einer glauben, dass diese Mail da tatsächlich echt ist.
Übrigens: Wer glaubt eigentlich an einen Zusammenhang ebay-Hack / BSI-Mitteilung und 18 Millionen Adressen? Ich sage es euch: ich.
Wird geladen ...
John, im übrig kann dein Passwort, sagen wir mal, auf 512 Zeichen bestehen, welche aus Klein-sowie Großbuchstaben und Zahlen und Sonderzeichen besteht.
Das bringt dir in diesen und vergangen und immer mehreren Fällen meist garnichts da die Passwörter nicht geknackt werden sondern einfach nur abgelesen.
Heute zu Tage macht sich keiner mehr die Mühe einzelne Passwörter herauszu finden. Warum auch wenn es bei den Firmen einfach eine Datenbank gibt die da so rum liegt und einfach mit genommen werden kann.
@Nik:
Meine neuen eBay-Passwörter sehen in etwa wie folgt aus:
)]4GH)?“a@oy?}k?MV|;
Als Browser verwende ich FireFox 29.0.1. Ging bei all meinen eBay-Accounts problemlos.
Gleicher Firefox – ich kann keine Passwörter reinkopieren!
@John gerade gelesen Danke!!! 🙂
Ja, irgendwie typisch eBay lol
Hm, dann kann ich es mir eigentlich nur so erklären, dass ich aus CH bin und mich über ebay.ch einlogge.
Diese Firmen gehören doch alle geteert und gefedert!
Ich durfte schon als Zeuge bei der KriPo antanzen weil mit „meiner“
seit Jahren nicht genutzten Packstation Versandbetrug passiert ist.
Da wird einem das aber relativ schnell klar zu was sowas führen kann.
Aber gut, so fühlt sich halt zurecht keiner mehr sicher
mit seinem Haustiernamen als das gleiche Passwort für 28 Webseiten.
Und eigentlich sollte man das ja eh alle paar Monate zumindest mal ersetzen.
Von daher haben diese ganzen Disaster vielleicht auch mal was positives,
wenn nun die Passwörter der Nutzer generell sicherer werden und diese
für den Umgang damit nun sensibilisiert sind.
Ich habe jedenfalls prommt erstmal das eBay und Paypal PW geändert.
Phishing Mails mit echter Anrede – Danke eBay!
@caschy:
Was meinst du mit
‚Wer glaubt eigentlich an einen Zusammenhang ebay-Hack / BSI-Mitteilung und 18 Millionen Adressen?‘ ?
Könnte eBay an seine Kunden nicht einen Code senden, der den Inhalt der email validiert?
Ganz schön dreist auch noch das monatliche Kreditkartenlimit abzufragen
Was ich echt kritisch finde.
Ich habe vor ca. 2 Jahren meinen ebay account gekündigt und die Löschung all meiner Daten beantragt.
Aus sicherheitsgründen falls noch irgendwas aussteht (oder so) behält ebay sich das Recht vor die Daten weitere 6 Monate zu behalten. Ok, dann sollten die Daten allerdings vor 1,5 Jahren spätestens gelöscht worden sein.
Nun bekam ich aber auch diese Pishingmail,die sicher darauf hinweist, dass ebay meine Daten immernoch in der Datenbank hat, oder aber die Daten wurden schon vor sehr langer Zeit abgegriffen…
kurios…
naja, dass man meine Daten nicht unbedingt löscht hab ich ja schon fast geahnt gehabt…
Geil ist dass eBay mich nun auf der Website bittet mein Passwort zurückzusetzen.
DAS HABE ICH DOCH ERST ALS DIE MELDUNG IM RADIO LIEF! m(
@Thomas:
Da kann ich noch einen draufsetzen:
Ich hab diese Mail auch von „eBay“ bekommen, auch mit richtiger Anrede, aber an eine E-Mail-Adresse, die ich schon vor ca. 2 Jahren bei eBay gegen eine andere ausgetauscht hatte und in der E-Mail war eine Adresse angegeben, unter der ich schon seit 2007 nicht mehr wohne. Es könnte zwar sein, dass diese alte Adresse neben meiner neuen noch bis vor 1-2 Jahren in meinen eBay-Adressen gespeichert war, aber ich habe keine solche Phishing-Mail bekommen, in der meine neuen Adressangaben angegeben waren.
Das stimmt schon nachdenklich, von wann diese Datensätze wirklich stammen. Die Kombination mit E-Mail-Adresse und Wohnadresse bei mir weist darauf hin, dass das zumindest bei meinen Daten mindestens zwei Jahre her sein muss.
Ob das Passwort des Mitarbeiters dessen Konto für den Diebstahl genutzt wurde auch geändert wurde? Ich meine; die kriegen es ja nichtmal hin, bestimmte Zeichenfolgen in einem Input zu filtern. Wer eine App für eBay zertifizieren möchte, wird aber dazu gezwungen (was ja auch Sinn macht). Vermutlich ist eBay so groß, dass man solche grundlegenden Techniken selbst nicht anwenden braucht – da gibts ja eh nichts zu holen! 😉