Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Erst vor wenigen Tagen hatte ich aufgrund einer Google Warnung über ein mögliches Datenleck mein Steam Passwort sowie viele weitere Passwörter geändert.
2. Ich habe nie aktiv bei Steam irgendetwas angeklickt damit PayPal ohne 2FA funktioniert. Das Problem hatte ich bei MS auf der XBOX gehabt wodurch ich mein PayPal von dem Account genommen habe und auf Guthabenkarten umgestiegen bin.
Das passiert nicht von alleine, das hast du schon ganz ohne fremde Hilfe selbst irgendwo aktiviert.
Zudem ist es eine Sache von ein paar Mausklicks, sich einfach mal bei PayPal einzuloggen und selbst zu checken, wo PayPal überall hinterlegt ist. Wenn du das noch irgendwo hinterlegt hast: RAUSNEHMEN!
Floppy5885 schrieb:
Naja ist mir auch egal. Ich finde einfach nicht dass ich fahrlässig gehandelt habe wenn es jemand schafft 2FA auszuhebeln.
Diese Einstellung halte ich für bedenklich. Deine 2FA wurde nicht ausgehebelt, du hast sie schlichtweg nicht korrekt eingerichtet. Ich kann PayPal auch so hinterlegen bei Steam, Twitch und co., dass ich KEINE 2FA brauche.
Ja ganz sicher dass es kein Phishing war. Und ich habe bereits alles Passwörter geändert in Buchstaben und Zahlenkombination mit Groß und Kleinschreibung ebenso habe ich bei allen Stores bei denen ich angemeldet bin wie inkl Play Store und Apple App Store meine PayPal und Kreditkarten Daten entfernt.
Mir ist bewusst, dass man im Nachhinein immer darüber sprechen kann, welche Sicherheitsmaßnahmen man noch hätte ergreifen können. In Nachhinein ist man immer schlauer, Dennoch würde ich mir wünschen, dass der Fokus nicht ausschließlich darauf liegt, was ich angeblich falsch gemacht habe. Fakt ist, dass hier jemand unbefugt auf meinen Account zugegriffen und ohne meine Zustimmung 200 € ausgegeben hat. Das eigentliche Problem ist der Täter und nicht das Opfer. Natürlich nehme ich jeden Sicherheitshinweis ernst und habe bereits sämtliche Passwörter geändert sowie meine Konten zusätzlich abgesichert, durch Entfernung aller Zahlungsdaten.
Im Moment hoffe ich aber vor allem auf Hinweise, wie der Zugriff trotz der vorhandenen Sicherheitsmaßnahmen möglich gewesen sein könnte und welche weiteren Schritte ich jetzt noch unternehmen kann.
Es geht sich darum zu verstehen, was bei dir überhaupt passiert ist. Weil bisher versteh ich noch nicht, wie es passieren konnte. Wenn man es dann verstanden hat, kann man Vorkehrungen treffen, dass es nicht mehr passiert. Einfach so wird niemand dein Konto missbrauchen können. Wenn das so wäre, dann hätte Steam aber ganz andere Probleme... Andere Leute können dann von solchen Threads lernen, es bei sich zu verhindern.
Was ich verstanden hab ist, du hast 2FA für PayPal genutzt. Aber für Steam haste kein 2FA genutzt (keine SteamApp). Wenn jemand mit deinem Steam-Konto einkaufen kann, dann hat die Person die Zugangsdaten von deinem PayPal und Steam? Plus, die Person kann dein 2FA überwinden?
Hatte mal so etwas ähnliches weil über einen Bekannten in meiner Freundesliste ein Link geteilt wurde. Da gabs aber keinen "echten" Zugriff, es wurden lediglich Spamnachrichten über die Steamfreundesliste verschickt.
Ich habe den Eindruck, dass sich die Diskussion inzwischen fast ausschließlich darum dreht, welchen Fehler ich gemacht haben soll. Dabei gerät der eigentliche Vorfall ein unbefugter Zugriff und ein Schaden von 200€ zunehmend in den Hintergrund.
Mir ist schon bewusst, dass Sicherheitsmaßnahmen wichtig sind und ich nehme jeden konstruktiven Hinweis ernst.
Aber es bringt auch nichts solche Behauptungen
xxMuahdibxx schrieb:
Gab ja noch nicht mal einen Virusscan oder Malwarebyte scan
Aufzustellen.
Oder Aussagen wie "das hast du selbst aktiviert" oder "du hast deine 2FA nicht genutzt" zum jetzigen Zeitpunkt Spekulationen sind.
Weder ich noch irgendjemand hier kennt bisher den tatsächlichen Angriffsweg.
Genau deshalb habe ich den Thread eröffnet, um zu verstehen, wie das passieren konnte. Also Asche über mein Haupt...
Wenn hier jemand konkrete technische Erklärungen oder Erfahrungen mit vergleichbaren Fällen hat, bin ich dafür dankbar. Reine Schuldzuweisungen helfen dagegen weder mir noch anderen Betroffenen hier weiter. An manchen Stellen sollte etwas Sachlicher geantwortet werden.
Ich denke, man sollte nicht vergessen, dass am Ende nicht ich 200€ von jemand anderem gestohlen habe, sondern jemand unbefugt meinen Account missbraucht hat.
Das sollte bei aller Ursachenforschung im Blick bleiben und nicht in den Hintergrund geraten, alla Täter Opfer umkehr.
Ergänzung ()
Janoe schrieb:
Aus "Interesse" kannst du mal gucken woher deine letzten Logins erfolgten unter
Kümmer Dich erstmal um Deine ganzen Systeme. Eine Kompromittieung ist der einfachste Angriffsweg und nein, ein Virenscan führt oftmals ins Leere. Also ALLES neu aufsetzen, dann Passwörter ändern.
Das ist jetzt schon hartes victim blaming. Die Seiten bieten es an und es wird dann einfach genutzt. Wenn du jemandem den Vorwurf machen möchtest, dann den Betreibern der Webseiten
Floppy5885 schrieb:
Erfahrungen mit vergleichbaren Fällen hat, bin ich dafür dankbar
Nein ich habe noch keine Anzeige erstattet ich habe aber eben mit der Polizei gesprochen. Meine Dienststelle ist in meinem Dorf morgen erst wieder besetzt. Ich solle morgen früh direkt bei Öffnung vorstellig werden.
Kannst du mir bitte im Übrigen erklären wie das geht wenn mein Computer ausgeschaltet ist.
Mit ALLES Platmachen sind damit alle meine Festplatten gemeint? Ich hatte meinen PC im Mai noch zurück gesetzt bzw Platt gemacht. Aber nur Laufwerk C (2TB 850X) meine anderen Platten mit Bildern, Spiele , Savegames hatte ich so gelassen.
Vielen Dank an @Floppy5885, dass du uns von dem Vorfall berichtest. Hier scheint Konsens zu bestehen, Zahlungsdaten gehören nicht hinterlegt. Es ist eine Komfortfunktion der Shops wie auch in Steam selbst. Dies wird jedoch unterschiedlich von den Shopbetreibern implementiert. Wenn bei den einen z.B. bei einer Kreditkartenzahlung die 3DS abfrage über die App kommt, bleibt sie bei anderen aus und zumindest wird vom Zahlungsdienstleister informiert, das die Abbuchung stattgefunden hat. So auch bei Steam.
Warum also per se diese Funktion, die aus meiner Sicht die Hürde des Kaufen senken soll, verteufeln und alle die sie nutzen zugleich mit? Das Risiko ist da, und die Shops billigen es, obwohl es zu verhindern wäre.
Ich habe mein Paypal jetzt sicherheitshalber auch entfernt. So hoch ist der Mehraufand am PC dann nicht, anders sieht auf der XBOX aus.
Ich versuche grad zusammenzubekommen wie die Mail von Google und der Hack zusammenhängen können. Ich wage mal eine Theorie aufzustellen. Der Rechner von @Floppy5885 ist durch Malware in Form von Keylogger/Clipboard-Sniffing infiziert. Die Mail von Google kann getriggert werden, indem von ihr neue simple Passwörter hinterlegt werden. Sobald die Passwörter geändert werden, werden sie abgegriffen.
Was kannst du also machen?
Alle wichtigen Passwörter von einem sauberen Gerät aus ändern.
Zwei-Faktor-Authentifizierung oder besser Passkeys aktivieren, da wo es geht. (Passkeys mit Smartphone, oder z.B. yubikey)
Kannst du mir bitte im Übrigen erklären wie das geht wenn mein Computer ausgeschaltet ist.
Mit ALLES Platmachen sind damit alle meine Festplatten gemeint? Ich hatte meinen PC im Mai noch zurück gesetzt bzw Platt gemacht. Aber nur Laufwerk C (2TB 850X) meine anderen Platten mit Bildern, Spiele , Savegames hatte ich so gelassen.
Ich würde erstmal malewarebytes drüberlaufen lassen. Der findet zwar nicht alles, aber könnte eventuell schonmal gesicherten Aufschluss geben, ob etwas vorhanden ist.
Abseits davon wäre es nun gut, wenn du einen 2. PC zur Verfügung hättest, um einen Linux Stick und im Anschluss einen Windows Stick anzufertigen oder beides mit Ventoy auf einen.
Also Fragen, die sich ergeben:
Hast du einen 2. PC zur Verfügung?
Hast du leere USB Sticks?
Hast du ein Medium, um Daten zu sichern (Nas, SD-Karten, Festplatten)? *
Hast du ein Backup
*ja, man soll keine Dateien von einem kompromittieren System sichern, aber wenn kein Backup vorhanden ist, immer noch besser als der Totalverlust. Vorsicht muss man natürlich trotzdem walten lassen
Ich habe leider keine Möglichkeit 8TB meiner Daten zu sichern. Aber ich habe einen zweiten PC also ein Notebook und leere USB Sticks sind ebenso vorhanden
Ergänzung ()
Ich fahre aber zuerst zur Polizei. Ich habe eben mit einem netten Mann gesprochen der mir sagte dass ich weiter wegfahren kann um heute noch die Anzeige aufzunehmen.
Schau dir mal das Datum an. Der Angriff ist wohl über Tage vorher vorbereitet worden. 10.07. vs 12.07.
Schau mal in die Logfiles von Google wegen Logins.
EDIT: achso ja: Steam -> Account -> Sicherheit und Geräte -> Das schauen welche Geräte drin sind und alles abmelden.
Kontrollire deine System mit den bekannten Scannern usw. (malwareBytes, adwcleaner, ... Hast du ein Antiviren Programme drauf? Welches?)
Salzstreuer raushol: 2fa mit der Steam APP / Paypall APP / Auth APP machen. ;-)
Die Zahlungsdatenhinterlegendiskussíon im Thread: Wenn 2FA an, warum nicht? Man kommt ohne das 2FA Gerät keinen Millimeter weiter. Weder bei Steam, Paypal, etc.