Wie konnte mein Amazon Konto gehackt werden und was soll ich jetzt tun?

FohlenBoy

Commander
Registriert
Juni 2008
Beiträge
2.131
Hallo Zusammen,

soeben erhielt ich binnen drei Minuten drei E-Mails von Amazon, bei denen ich dachte, sie seien gefälscht und löschte sie.

Ich wollte dann aber lieber das Amazon Konto checken und sah, dass tatsächlich jemand die Kontodatengeändert hat (E-Mailadresse) und ich mich nun nicht mehr einloggen kann. Ich habe sofort die Amazon Hotline angerufen und um eine Kontensperrung + Wiederherstellung gebeten. Das dauert jetzt wohl 2-3 Tage.

Ich frage mich jetzt natürlich:

1) Wie das passieren konnte?
Ich würde niemals auf gefakte Mails reagieren, die erkenne ich wirklich und habe daher auch nirgendwo meine Daten preisgegeben

2) Ob der Ursprung des Übels jetzt das GMX Mailkonto ist?
Denn wie soll derjenige ansonsten das Amazon Passwort geändert haben. Er braucht dazu doch E-Mail Zugriff.

3) Was muss ich jetzt ggf. bei GMX machen?
Ich habe jetzt als Erstmaßnahme das Passwort geändert und den Windows Virenscanner laufen lassen, reicht das?

Vielen Dank für eure Hilfe
 
Das Thema wurde schon oft im Internet und hier behandelt. Die Ursache kann vielschichtig sein und oft nicht direkt ersichtlich. Neben der Email kann auch ein Trojaner auf dem Pc z.B. das Problem darstellen.
 
  • Gefällt mir
Reaktionen: DJServs
An deiner Stelle würde ich deine Zahlungsinformationen im Auge behalten, wenn da einer drauf war konnte er die sehen und kauft vll damit schick ein.
 
Email hier mal prüfen https://haveibeenpwned.com/

Ganz einfach geht sowas.
  • Webseite A hat ein Datenleck mit deiner E-Mail + Passwort
  • "Hacker" meldet sich mit E-Mail und Passwort bei Amazon.de an und GMX an . Problem ist, dass du auf Webseite A, Amazon und GMX das gleiche Password benutzt
 
1) Es gibt sehr viele Möglichkeiten, das zu tun. Ich würde für am wahrscheinlichsten halten, dass deine E-Mail Adresse mal bei einem größeren Datenleak dabei war. Das ist gerade dann häufig der Fall, wenn man seine E-Mail Adresse schon lange hat und für viele unterschiedliche Dienste genutzt hat. Wenn du dann noch ein Passwort verwendest, was leicht zu erraten ist, bzw. (schlimmer noch), dies bei einem Datenleak dabei war und du überall das gleiche verwendest, dann passiert sowas. Denn Amazon ist durch seine Verbreitung ein perfektes Ziel für geleakte Kontaktdaten, diese dort einmal auszuprobieren.

Bei mir war z.B. mein EPIC-Konto bereits erstellt, weil meine E-Mail Adresse wohl inzwischen in einigen Leaks war.

2) Auch das ist möglich, aber du müsstest ja auch dann entsprechende E-Mails bekommen haben, wenn du auch noch drauf Zugriff hast.

3) Schonmal gut, was aber auch wichtig ist: Schau, welche zweite E-Mail Adresse für den Fall des Falles eingetragen ist. Wenn hier eine Uralt Adresse steht, die ggf. jemand anders inzwischen gehört, ist hier ein weiteres Einfallstor. Und dann solltest du nicht nur dein GMX Passwort ändern, sondern die ggf. gänzlich andere Passwörter für alle deine Accounts ausdenken, wenn beim aktuellen die Gefahr besteht, dass es leicht knackbar ist.
 
Und wenn das Konto wieder in deiner Hand ist, die Zweifaktorauthentifizierung aktivieren.
 
Ich persönlich würde bei jedem Account der für dich wertvolle Daten enthält (Zahlungsinformationen, Gesundheitsdaten, etc. ) und die GMX-Adresse verwendet das Passwort ändern.
Außerdem ratsam: Überall wo möglich und nötig die 2-Faktor-Authentifizierung zu aktivieren.

Grundsätzlich folgende Dinge beherrzigen:
  1. Für jeden Service eigene, unique Credentials verwenden.
  2. Aktivieren der 2-Faktor-Authentifizierung
  3. Nur an vertrauensvollen Devices einloggen
  4. (optional) Verwenden eines Passwortmanagers
 
FohlenBoy schrieb:
soeben erhielt ich binnen drei Minuten drei E-Mails von Amazon, bei denen ich dachte, sie seien gefälscht und löschte sie.

also hast du schon einmal zugriff auf deinen email account.

FohlenBoy schrieb:
Ich wollte dann aber lieber das Amazon Konto checken und sah, dass tatsächlich jemand die Kontodatengeändert hat (E-Mailadresse) und ich mich nun nicht mehr einloggen kann.

woran siehst du die geänderte email, wenn du dich nicht einloggen kannst?

FohlenBoy schrieb:
Ich habe sofort die Amazon Hotline angerufen und um eine Kontensperrung + Wiederherstellung gebeten. Das dauert jetzt wohl 2-3 Tage.

natürlich, immerhin könntest du ja auch einfach nur mal deinen kumpel verarschen wollen.


zum hauptproblem....eine email änderung ist nur möglich, wenn jmd. mit der alten email adresse zustimmt.

wenn du regelmäßig zugriff auf dein email konto hast (nicht nur eine leiche) müsste dir diese änderung also aufgefallen sein.

das löschen von anfragen zur änderungen des email kontos sollte nicht zu einer änderung führung.

mfg
 
[wege]mini schrieb:
natürlich, immerhin könntest du ja auch einfach nur mal deinen kumpel verarschen wollen.

Aber Amazon kann ja sehen, dass die hinterlegte Email geändert wurde und es somit wohl kein Scherz ist...
 
Cokocool schrieb:
Email hier mal prüfen https://haveibeenpwned.com/

Ganz einfach geht sowas.
  • Webseite A hat ein Datenleck mit deiner E-Mail + Passwort
  • "Hacker" meldet sich mit E-Mail und Passwort bei Amazon.de an und GMX an . Problem ist, dass du auf Webseite A, Amazon und GMX das gleiche Password benutzt

Also,
  • nein, ich habe auf GMX ein anderes Passwort verwendet als auf Amazon
  • habe das GMX Passwort jetzt für beide Adressen geändert
  • Amazon hat bereits reagiert, dass Passwort gesperrt usw, ist also wohl geklärt
  • das wurde auf haveibeenpwned ausgepuckt:

No title29 Apr 2015, 17:4548
Fragen:


1) Kann GMX jetzt betroffen gewesen sein oder nicht?
Weil in #6 gemutmaßt wurde, auf Amazon und GMX dasselbe Passwort genutzt zu haben

2) Ist es jetzt besser, auch die Kreditkarte zu sperren?
Die war als eine Zahlungsmethode bei Amazon hinterlegt.

3) Bankverbindung; muss ich da etwas tun?
Bei der Postbank muss man sich seit ein paar Wochen mittels Handy verifizieren, wenn man eine Kauf tätigen will.

Danke
 
Cokocool schrieb:
Aber Amazon kann ja sehen, dass die hinterlegte Email geändert wurde und es somit wohl kein Scherz ist...

wie kommst du darauf, dass es stimmt, was der fred ersteller sagt?

mfg
 
  • Gefällt mir
Reaktionen: Hayda Ministral
1) GMX muss selbst keinen Datenleak gehabt haben, wenn deine GMX Adresse irgendwo schonmal aufgetaucht ist, und dein Passwort relativ leicht zu erraten ist oder schlimmstenfalls dabei war. Auch wenn es verschiedene waren, ggf. haben sie ja Gemeinsamkeiten, so dass sich vom einen auf's andere schließen lässt.

2) WENN jemand vollen Zugriff auf dein Amazon Konto hatte, hat er natürlich alle vorhandenen Daten gesehen, bis auf eine im Falle von der Kreditkarte: Die 3 Stellen Sicherheitszahl, die hinten auf der Karte steht. Für gewöhnlich werden in der Darstellung des Accounts auch die meisten Zahlen der Kreditkartennummer ausge-Xt. Du musst es also nicht zwingend tun, aber vielleicht, sofern das alles so stimmen sollte, mal ein Auge drauf haben.

3) Eben jene Neuregelung kommt dir ja jetzt zugute.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: [wege]mini
Grimba schrieb:
gänzlich andere Passwörter für alle deine Accounts ausdenken
Ausgedachte Passwörter werden früher oder später erratbar sein oder einem Schema folgen, der Mensch ist halt faul. Daher sollte man zufällig generierte Kennwörter verwenden.

Malaskir schrieb:
Grundsätzlich folgende Dinge beherrzigen:
  1. Für jeden Service eigene, unique Credentials verwenden.
  2. Aktivieren der 2-Faktor-Authentifizierung
  3. Nur an vertrauensvollen Devices einloggen
  4. (optional) Verwenden eines Passwortmanagers

Ich würde soweit gehen und die Verwendung eines Kennwortmanagers auf Platz 1 setzen denn nur damit lassen sich vernünftig unzählige zufällig generierte lange Kennwörter verwalten.

Zum Thema 2-Faktor: Ja, das ist eine gute Idee und ist natürlich immer sicherer als nur ein Kennwort aber gerade bei Neulingen, technisch ggf. weniger affinen Anwendern etc sollte man unbedingt auf den Hinkefuss hinweisen: Sichert doppelt und dreifach alle eure Backup-Codes oder nutzt MFA (Multi-Faktor Auth) anstatt 2FA.
Wer sein Handy überall als zweiten Faktor hinterlegt, z.B. per Authenticator App hat ein ziemliches Problem wenn dann das Handy den Geist aufgibt, einen Defekt hat, verloren geht, etc denn dann hat man sich wunderbarerweise aus allen Diensten ausgesperrt sofern man nicht seine Backup-Codes etc. hat oder z.B. einen dritten Faktor hinterlegt hat.
 
  • Gefällt mir
Reaktionen: DJServs und Volvo480
Wie schon mehrfach erwähnt, immer, aber auch wirklich immer eine 2-Faktor-Authentifizierung (2FA) einstellen.
Bei Amazon geht das sehr smart über den Google-Authenticator.
Dazu niemals Passwörter vom Browser o.ä. speichern lassen.
Ja, es ist nicht so komfortabel, wenn man immer alles eingeben muss, aber Sicherheit gibts nunmal nicht ohne Aufwand.
Ich habe alle Zugriffe per 2FA abgesichert. Egal ob SMS, Authenticator oder 2. Mailadresse.
Ohne den Code, kommt niemand in deinen Konten.

Edit: Alle heißt hier, überall wo es geht.
 
  • Gefällt mir
Reaktionen: John Sinclair
snaxilian schrieb:
...

Zum Thema 2-Faktor: Ja, das ist eine gute Idee und ist natürlich immer sicherer als nur ein Kennwort aber gerade bei Neulingen, technisch ggf. weniger affinen Anwendern etc sollte man unbedingt auf den Hinkefuss hinweisen: Sichert doppelt und dreifach alle eure Backup-Codes oder nutzt MFA (Multi-Faktor Auth) anstatt 2FA.
Wer sein Handy überall als zweiten Faktor hinterlegt, z.B. per Authenticator App hat ein ziemliches Problem wenn dann das Handy den Geist aufgibt, einen Defekt hat, verloren geht, etc denn dann hat man sich wunderbarerweise aus allen Diensten ausgesperrt sofern man nicht seine Backup-Codes etc. hat oder z.B. einen dritten Faktor hinterlegt hat.

Wichtiger Hinweis!
Hatte ich bei meiner Auflistung "als gegeben" angenommen.... Aber so ist das halt: nicht von sich auf andere schließen ;)
 
DJKno schrieb:
aber Sicherheit gibts nunmal nicht ohne Aufwand.


100% sicherheit gibt es nicht.

man kann mit aufwand die sicherheit erhöhen, nicht mehr nicht weniger. eine kurvendiskusion wäre hier lustig, man könnte mutmaßen, ob wir über aufwand² oder aufwand³ für die letzten paar prozent reden.

am ende darf jeder so faul sein wie er will und einen echten internet avatar kennen ja wohl die wenigsten heutzutage :D

bei mir z.B. landet man immer im nichts.

wenn dann noch die RL person ein offiziell "armer schlucker" ist und einen RL avatar darstellt (die gedanken sind frei), wird es für alle lustig. :smokin:

mfg
 
@[wege]mini
Ja natürlich gibt es keine 100% sicherheit.
Aber es gibt eben leider genug, die Paswort 123456 verwenden und/oder überall das gleiche Passwort haben.
Man kann nur immer wieder versuchen aufzuklären. Am Ende hat die Person dann selbst den Schaden.
 
  • Gefällt mir
Reaktionen: [wege]mini
DJKno schrieb:
Am Ende hat die Person dann selbst den Schaden.

daher, nicht falsch verstehen....

alles was ich bisher gelesen habe, ergibt für mich keinen sinn.

aktuell klingt es für mich nach der frage, was man tun muss, um mit den wenigsten informationen wie möglich, den accout einer 3ten person zu "foppen" oder zu übernehmen ohne die email zu haben.

am ende braucht man 3-5 daten, um von einer person die fast komplette digitale identität zu übernehmen. amazon ist immer ein schöner ansatz....wie man es wirklich macht sollte man aber bitte schön niemals öffentlich diskutieren.

das reden darüber ist schon mMn zu tiefst unmoralisch, selbst auf der dunklen seite der macht. nutze sie, lasse dich nicht benutzen. :evillol:

mfg
 
Selbst wenn es keine 100% Sicherheit gibt, sollte man trotzdem alle zur Verfügung gestellten Sicherheitsmaßnahmen nutzen. Nach meiner Erfahrung sind Versicherungen, und eben auch die Dienstleister der verschiedenen Plattformen, wesentlich kulanter, wenn man nachweisen kann, dass man sich um Sicherheit bemüht hat.
 
  • Gefällt mir
Reaktionen: [wege]mini
Zurück
Oben