Paypal fremder Login ohne Sicherheitscode?

[BenB229]

Hi, gestern wurde mein Paypal Konto "übernommen" Passwort zum Glück nicht geändert und auch keine Transaktionen durchgeführt. Aber schon mal vorbereitet - Auf Geschäftskonto umgestellt und eine Telefonnummer hinzugefügt.
Passwort und und Telnr. habe ich gleich verändert. Also warscheinlich nochmal Glück gehabt.

Wie sie ans Passwort gekommen sind weiß ich. War einfach zu sorglos im Umgang mit den Passwörtern. 😌
Aber wie sind die ins Paypal Konto gekommen? Man muss doch bei jedem Login einen Sicherheitscode eingeben, den ich per SMS aufs Handy bekomme.

 

[wern001]

was hindert dich daran bei Paypal anzurufen?

 

[h00bi]

Entweder kann man den Sicherheitscode irgendwie umgehen oder dir wurde ein Session Cookie geklaut oder die SMS wurde abgefangen.

Wie hast du mitbekommen, dass da umgestellt wurde?

Ich würde den Code per SMS ändern auf ein TOTP System, welches bei JEDEM Login einen Code anfragt, nicht nur auf neuen Systemen. Bitwarden als Passwortmanager verwaltet PayPal TOTPs sicher und simpel.

 

[thealex]

der die SMS wurde abgefangen.

Finde ich noch am wahrscheinlichsten, vor allem wenn die Handynummer irgendwie bekannt war. Gibt schon einen Grund, wieso seit Jahren (!) von SMS als zweiten Faktor abgeraten wird, wenn es Alternativen gibt. Und ja, die gibt es auch bei PayPal seit Ewigkeiten.

@TE: Richte dir bitte als zweiten Faktor unbedingt eine Authenticator-App deiner Wahl ein, und verwende diese als zweiten Faktor. Keine SMS mehr.

 

[|SoulReaver|]

Und was machst du hier was erwartest du dir hier? PayPal kontaktieren sofort Konto zu machen und auch dein Bankkonto schließen! Alle deine Zahlungen werden nach wie vor getätigt, jedoch kann keiner sonst was am Konto machen. Brauchst du Geld kannst du das vor Ort bei der Bank machen auch wenn es geschlossen ist. Übertrieben? Hm.... sicher auf jeden Fall. Schnellstens bei PayPal klären zahlst ja auch dafür die sollen was machen für die Kohle. Angasen!

 

[Dr. McCoy]

Wie sie ans Passwort gekommen sind weiß ich.

Wie denn? Möglicherweise ist diese Struktur auch eine Erklärung für den Gesamtzugriff auf's Konto.

Beispielsweise könnte durch eine strukturell unsichere Passwortverwaltung auch Zugriff durch Dritte auf dein E-Mail-Konto oder die Online-Verwaltung deines Mobilfunkvertrags genommen worden sein.

 

[h00bi]

SMS abfangen ist halt weder simpel noch auf breiter Ebene machbar.
Das würde schon fast einen gezielten Angriff voraussetzen.
Außer natürlich der TE hatte beim Handyprovider ebenfalls das gleiche Passwort zur Identifizierung.

 

[|SoulReaver|]

Ist in der tat recht speziell. Auf jeden Fall würde mir so etwas passieren, mache ich den Laden gleich zu bis klar ist was da los ist.

 

[GrumpyCat]

dir wurde ein Session Cookie geklaut

Das.

Wenn der Angreifer schon offensichtlich an das Passwort gekommen ist, also Kontrolle über den Browser hatte (ob Mobil oder Desktop!), dann kann er das Session Cookie auch gleich mitnehmen.

Soll heißen, Desktop/Handy neu sauber aufsetzen, Passwörter ändern, in Zukunft vorsichtiger mit dem Krams umgehen.

 

[Dr. McCoy]

Also warscheinlich nochmal Glück gehabt.

So würde ich das Ganze nicht als Fazit stehen lassen wollen. Überprüf bitte einmal, welche der folgend verlinkten Dinge Du (nicht) bedacht hast:

https://www.computerbase.de/forum/threads/gmx-account-weg.2086144/page-4#post-28444304

Dies gilt prinzipiell nicht nur für E-Mail-Accounts, sondern auch für Accounts wie PayPal.

 

[BenB229]

Wie hast du mitbekommen, dass da umgestellt wurde?

Ich hatte mehrere Emails von Paypal bekommen für die Änderungen.
Paypal habe ich schon angerufen.

Wenn der Angreifer schon offensichtlich an das Passwort gekommen ist, also Kontrolle über den Browser hatte (ob Mobil oder Desktop!), dann kann er das Session Cookie auch gleich mitnehmen.

Passwort stammt warscheinlich aus einem Datenleak. 🫣 PC war zum Zeitpunkt der Übernahme lange aus. Handy Iphone.

2FA muss ich noch aktivieren. Dachte eigentlich, dass der Sicherheitscode schon eine 2FA ist.

 

[micha`]

Bis vor einiger Zeit konnte man 2FA bei PayPal absurderweise easy umgehen, indem man die "Probleme beim einloggen" Schaltfläche genutzt hat. Dann wurden Alternativen aufgezeigt, mit denen man sich dennoch einloggen konnte (Mail, Sicherheitsfragen etc.). Keine Ahnung ob sie das gefixt haben - aber es ging. Konnte durch einen Anbieterwechsel ein paar Tage nicht auf meine SMS zugreifen und war irritiert, dass ich mich auf diesem Wege dennoch einloggen konnte. Wenn der Angreifer also Zugriff auf weitere Daten aus dem Leak hatte, muss er u.U. nicht aufwendig SMS abfangen.

 

[TP555]

Hi

https://tarnkappe.info/artikel/cybe...lle-richtet-sich-an-paypal-kunden-279192.html

Ich hatte mehrere Emails von Paypal bekommen für die Änderungen.

Damit ist wohl alles gesagt !

Mfg.

 

[Sanco]

Mal die Email checken ob die von irgendwelchen Security breaches betroffen war.

https://haveibeenpwned.com/

 

[h00bi]

https://tarnkappe.info/artikel/cybe...lle-richtet-sich-an-paypal-kunden-279192.html

In Wahrheit versuchen die Cyberkriminellen den Überraschungsmoment zu nutzen, damit man sich vor lauter Aufregung in ihrer nachgemachten PayPal-Seite einloggt.

Modernes Phishing mit einer Vorschaltseite, die im Hintergrund die Eingaben an Paypal weiter reicht und schon ist das Session Cookie entwendet.

 

[BenB229]

Die Emails von Paypal waren schon echt. Ich bin dann auch über die Paypal App reingegangen. Ich habe keine Phising Mails bekommen und auch keinen Link angeklickt.

Mal noch eine Frage zum Verständnis. Das Session Cookie ist wie lange aktiv? Ich habe die Mails kurz vor Arbeitsende bekommen. Der PC zu Hause war also mind. 9h nicht an. Handy ist ein Iphone. Sind da Sicherheitslücken bekannt?

 

[Blood011]

Mail, Sicherheitsfragen etc

War das so?

Also ich bin der Meinung das es sicheitsfrage gab die man ja erstmal rausbekommen muss und davon gleich 3stk,oder mit so ohshit PW was man auch erstmal haben muss.

Aber nur email war da nix,wäre auch zu easy dann und würde garkein sinn ergeben wenn die Leute die Email geklaut haben samt PW..

Ergänzung (16. August 2023)

Emails von Paypal waren schon echt.

Da würde ich nicht drauf wetten,sowas lösche ich instant ausser ich weis das ich grad mit PP zu tuen hatte..
Sollte doch was komisch sein schaue ich von nem anderen Gerät in die App.
Und wenn da nix ist alles richtig gemacht und den mist gleich verbannd.

Schon allein so fake mist zu öffnen kann schon das aus sein.

PW und 2FA umgeht man nicht so einfach.

 

[tz1986]

Ich habe grade das selbe Problem mit FB. Wird sicher auch das Session Cookie sein. Meist sind ja dann gar keine Login Daten notwendig.

Lösung wäre einfach, dass man das Cookie auch an das Gerät koppelt oder zumindest bei Änderung der relevanten Daten eine erneute Abfrage von 2FA durchführt. Keine Ahnung warum das nicht der Fall ist.