LH-M&M-Prämienmeilen gestohlen

ANZEIGE
I

internaut

Erfahrenes Mitglied
05.04.2010
2.434
753
ANZEIGE
Eine richtige 2-Faktor Authentifizierung dann bitte auch: Zwang zur Anschaffung eines Lesegerätes (kein Chiptan sondern Magnetstreifen swiper or ritsch-ratsch gerät zur physischen Überprüfung der vorhandenen M/M Card (für nur 100000 Meilen im World Shop erwerbbar)
 
S

slutz

Erfahrenes Mitglied
06.10.2016
2.315
1.965
War es nicht aber so, dass pro Tag maximal für 36.000 Meilen Gutscheine gekauft werden können?
um 180.000 abzuräumen, müsstest du ja über 5 (!) Tage nichts mitbekommen haben...
 
Desperado177

Desperado177

Erfahrenes Mitglied
26.10.2012
778
63
man bekommt doch echt die krätze wenn man es immer wieder mitbekommt, dass sich leute auf anderer kosten bereichern. je älter ich werde, desto mehr regt mich das auf. kriegen in ihrem leben nix geschissen und bestehlen andere.

ich kann mich auch überhaupt nicht in sowas reindenken, dass man mit lug und betrug zufrieden leben kann.

so, das war jetzt das wort zum freitag :)
 
  • Like
Reaktionen: mayday, Nightwish80 und AlexKoe
F

fhanfi

Erfahrenes Mitglied
20.03.2013
1.914
494
Zur Sicherheit benötigen wir die 1. 3. und 5. nr. Ihrer bin in unserem Seriösen Callcenter....vs. niemand wird sie nach Ihrer persönlichen PIN fragen...omg
 
  • Like
Reaktionen: unseen_shores
M

Mulder_110

Erfahrenes Mitglied
04.05.2012
2.194
512
Anonym-36803 meinte:
Und dann klappt irgendetwas nicht und der Agent muss von vorne anfangen, diesmal aber mit der 2., 4. und 5. Stelle. Ist mir alles schon passiert.
Zum Vergrößern anklicken....
Jep, genau das ist mir auch schon mehrfach passiert. Ich habe dann freundlich aber bestimmt gesagt dass das so nicht geht, und ich leider HUACA machen muss. Das ist doch echt unfassbar. Da fragt im Jahr 2019 ein DAX-Konzern seine Kunden am Telefon nach der vollständigen (!) PIN. Das ist sowas von entgegen jeder Security-Logik ... :(
 
A

Anonym-36803

Guest
Goliath meinte:
Schaust Du etwa jeden Tag auf Deinen M&M-Kontostand?
Zum Vergrößern anklicken....
Wenn man auf lh.com eingeloggt ist, sieht man den (Prämien-)Meilenstand doch recht präsent dort.

Mulder_110 meinte:
Jep, genau das ist mir auch schon mehrfach passiert. Ich habe dann freundlich aber bestimmt gesagt dass das so nicht geht, und ich leider HUACA machen muss. Das ist doch echt unfassbar. Da fragt im Jahr 2019 ein DAX-Konzern seine Kunden am Telefon nach der vollständigen (!) PIN. Das ist sowas von entgegen jeder Security-Logik ... :(
Zum Vergrößern anklicken....
Das Problem bei mir war, dass ich endlich an eine kompetente Dame geraten war. Hätte ich aufgelegt, hätte ich wahrscheinlich wieder jemanden erreicht, der von Tuten und Blasen keine Ahnung hat.
 
A

AlexKoe

Neues Mitglied
07.07.2012
9
0
slutz meinte:
War es nicht aber so, dass pro Tag maximal für 36.000 Meilen Gutscheine gekauft werden können?
um 180.000 abzuräumen, müsstest du ja über 5 (!) Tage nichts mitbekommen haben...
Zum Vergrößern anklicken....

Offenbar scheint es keine Grenze mehr zu geben oder sie ist so hoch, dass es nicht aufgefallen ist.

Am ersten Tag waren es 3x 30k Meilen
Einen Tag später waren es 1x 30k Meilen
Zwei weitere Tage später 2x 30k Meilen
Die letzte Aktion war nochmal 3 Tage später 1x 9k Meilen

Ich checke meinen Meilenstand typischerweise häufiger in Phasen in denen in ich fliege um zu checken dass die Meilen korrekt gutgeschrieben wurden. Der Diebstahl fiel offenbar zufällig in eine Phase mit wenig Flugaktivitäten. Typisch Murphy. :(
Basierend auf der aktuellen Situation werde ich versuchen wenigstens täglich einmal meinen Account zu checken.

Ich weiß auch nicht, ob cadooz Gift Card Transaktionen wirklich zeitsynchron im M&M Auszug gelistet werden oder ggf. 1-x Tage verzögert (?). Das könnte möglicherweise auch erklären warum es mir nicht früher aufgefallen ist, bzw. warum der Zeitraum so angenommen lang ist.
 
Zuletzt bearbeitet:
A

AlexKoe

Neues Mitglied
07.07.2012
9
0
internaut meinte:
Eine richtige 2-Faktor Authentifizierung dann bitte auch: Zwang zur Anschaffung eines Lesegerätes (kein Chiptan sondern Magnetstreifen swiper or ritsch-ratsch gerät zur physischen Überprüfung der vorhandenen M/M Card (für nur 100000 Meilen im World Shop erwerbbar)
Zum Vergrößern anklicken....

Als Minimum wäre wenigstens ein Software Token nicht schlecht, auch wenn es nicht die gleiche Sicherheit wie eine HW Lösung bietet. Damit kombinieren könnte man eine jeweils erstmalige Authentifiziering eines Endgerätes / Browsers beim ersten Zugrif auf die Webseite/App.

LH ist aber offenbar in 'guter' (eher schlechter) Gesellschaft wenn man sich mal die 'Transport' Kategorie hier https://twofactorauth.org ansieht.
 
A

AlexKoe

Neues Mitglied
07.07.2012
9
0
Vahid meinte:
Haben die nicht komplett abgeräumt?



Ich erinnere mich noch daran, dass die PIN nach Anforderung wegen "PIN vergessen" vollständig und im Klartext per E-Mail kam.

Ich drücke dir die Daumen, dass du von den Meilen was wiedersiehst.
Zum Vergrößern anklicken....

Nach dem letzten Abräumvorgang liefen wieder ein paar Meilen in den Account und die wenigen Meilen will ich natürlich jetzt wenigstens behalten. ;)
Es scheint auch ein Standardprozeß von M&M zu sein den Account vorübergehend zu sperren, um mögliche weitere Schäden zu vermeiden.
Ich kann natürlich weiterhin Meilen sammeln. Demnächst wird mein Account wieder voll verfügbar sein.
 
L

libertad

Erfahrenes Mitglied
03.08.2016
1.045
322
AlexKoe meinte:
Ich würde auch begrüßen, dass man bei der LH nur noch ein Authentifizierungsverfahren anbietet und dieses dann mit einer 2-Faktor Authentifizierung absichert. Selbst meine DHL App ist inzwischen über eine 2-Faktor Authentifizierung abgesichert.

In einer ersten Aussage seitens LH wurden mir auch keine großen Hoffnungen gemacht, dass ich die Meilen zurückbekomme. Mal sehen wie das noch weitergeht.
Zum Vergrößern anklicken....

Das ist ja das wirklich ärgerliche an der ganzen Sache: man kann IMHO schon derartig unsichere Systeme verwenden (auch wenn es kein gutes Bild macht), aber dann muss man dem Kunden halt auch entsprechend den Schaden ersetzen, wenn was schiefgeht - so wie (früher) bei ungerechtfertigten KK-Abbuchungen. Noch dazu, wo doch die Meilen für M&M einen - im Vergleich zum Kunden - lächerlichen Wert haben.
 
  • Like
Reaktionen: unseen_shores
fred8a

fred8a

Erfahrenes Mitglied
30.03.2010
1.156
11
STR
slutz meinte:
War es nicht aber so, dass pro Tag maximal für 36.000 Meilen Gutscheine gekauft werden können?
um 180.000 abzuräumen, müsstest du ja über 5 (!) Tage nichts mitbekommen haben...
Zum Vergrößern anklicken....

Aus eigener Erfahrung - das bekommst Du nicht mit. Bei mir wurde vermutet, dass die Täter aus Osteuropa kommen. Der Einbruch war die ersten mal immer in der Nacht zwischen 2 und 4 Uhr morgens. Reingekommen sind sie über einen Große deutschen E-Mailanbierter. Dort melden sie sich direkt auf Deinem E-Mail Konto an, fordern ein neues PW bei M&M an und los geht es. Die Mail mit den Gutscheinen wird direkt auf dem Mailserver gelöscht. Somit siehst du diese niemals.

Wenn Du nun nicht jeden Tag/Woche/Monat auf dem Meilenkonto nachsiehst, bekommst Du nichts mit. Die Gutscheine werden unmittelbar zu Cahs gemacht. Bei mir war es um meinen Geburtstag und irgendwann kam an einem Nachmittag zwei Gutscheine im Outlook an. Ich dachte, wie nett von M&M zum Geburtstag. Wäre als SEN ja nicht ganz ausgeschlossen. Die Gutscheine waren Minuten später bereits eingelöst. Und erst dann habe ich mich auf meinem Account angemeldet und den Mist gesehen.

Es ist übrigens nicht leicht bei M&M überhaupt jemanden zu finden, der sich der Sache annimmt. Die Polizei hat nach 6 Monaten das Verfahren eingestellt. Es gab keinerlei Unterstützung durch M&M! Jedoch weiß ich nun, dass es im hohen Norden durchaus eine Abteilung gibt, (gab?) die sich mit diesem Thema auskennt. Ich hatte Glück und bekam alle Meilen zurück.
 
  • Like
Reaktionen: AlexKoe, peter42, Bayer59 und eine andere Person
fred8a

fred8a

Erfahrenes Mitglied
30.03.2010
1.156
11
STR
Individualurlauber meinte:
Und wie kamen die in Deinen Mail-Account? Phishing, schwaches Passwort?
Zum Vergrößern anklicken....

Eine genaue Antwort habe ich hierzu nicht. Meine Schuld ist aber sicherlich, dass ich mein Passwort über lange Zeit nicht geändert habe und dieses auch an
unterschiedlichen Stellen verwendet habe. Jedoch ist vermutlich aber auch iene große Schwäche, das idR offene WLAN in Hotels. Stichwort automatischer
E-Mail Abruf beim Iphone oder Ipad. Auch hier ist es offensichtlich möglich, Passwörter auszulesen.

Bei meinem Haupt-E-Mail-Anbieter wechsel ich seither alle 6 Monate das PW. Und es ist nun eines das ich mir nicht merken kann.

Ich denke aber auch, dass es nicht mehr zeitgemäß ist bei M&M keine 2 Faktor Authentifizierung zu verwenden.
 
  • Like
Reaktionen: Individualurlauber
L

libertad

Erfahrenes Mitglied
03.08.2016
1.045
322
Airsicknessbag meinte:
Hmm. Und dann finden sie mit viel Glueck nicht nur einfach ein M&M-Konto, sondern eines mit richtig viel Beute? Ich weiss nicht...
Zum Vergrößern anklicken....

Gut möglich, dass das ein Bot erledigt, der bei entsprechend gut gefüllten Konten „Alarm“ schreit.

Ist ja schon bezeichnend, das man die M&M-Nummer bei bestehenden Buchungen nicht mehr ändern kann (siehe „Eure Fragen an...“).
 
M

MisterG

Stein-Papier-Schere Profi
02.01.2012
10.555
6
Wien
Ich hatte einmal auf meinem Laptop, den nur ich verwende, beim Einloggen zu MM auf ein anderes Konto Zugriff. Sprich ich habe die MM Website aufgerufen und war in einem Account einer fremden Person eingeloggt. Ich habe mich ausgeloggt, an MM geschrieben - man meinte nur "danke, man meldet sich". Hat man aber trotz mehrmaligen Nachfragen meinerseits nie gemacht.

Die Person hatte sicher gut eine Million Meilen am Konto.

Ist sicher schon drei, vier Jahre her.
Ist halt IT.
 
  • Like
Reaktionen: tyrolean
fred8a

fred8a

Erfahrenes Mitglied
30.03.2010
1.156
11
STR
Airsicknessbag meinte:
Wie stellen die Taeter die Verbindung zwischen eMail- und M&M-Konto her?
Zum Vergrößern anklicken....

Ganz ehrlich, kein Ahnung. Aber, wenn die schon mal Zugang zu einem E-Mail Account haben, werden vielleicht Mails mitgelesen.
Keine Ahnung die sind Clever in dem was sie Tun. Die leben nicht von Try and Error! Da gibt es Listen im Darknet oder wo auch immer die verkauft werden. Die Verbindung wurde ggf. schon langenZeit zur hergestellt.

Was meint ihr wie vermutlich leicht es bei Payback wäre. Schau doch nur auf den Tankbon der in den Müll wandert. In Kombination mit Social Ing. hast Du gleich weitere Infos die in vielen Fällen reichen dürfte.

Fakt ist, es gibt diese Listen und Millionen von Zugängen und bestimmt mit so vielen Querverweisen, das wir uns um die paar Meilen keine Sorgen mehr machen würden, wenn wir wüssten. Siehe auch Kreditkartendaten. Wie war es doch gleich, um das Ticket ausstellen zu können benötigen wir ein Kopie vom Ausweis plus KK. Und das alles via Mail unverschlüsselt wo ggf. xyz mitliest.

Nur mal so nebenbei....
 
Travelling_Geek

Travelling_Geek

Erfahrene Reiseschreibmaschine
17.05.2009
1.846
3
HKG
Airsicknessbag meinte:
Wie stellen die Taeter die Verbindung zwischen eMail- und M&M-Konto her?
Zum Vergrößern anklicken....

Die bekommen Zugriff auf ein E-Mail-Konto und scannen den Inhalt des Postfachs. Dort findet sich im Fall eines M&M-Mitglieds wahrscheinlich ein Kontoauszug. Nachdem aufgrund der niedrigen "Gestehungskosten" des Angriffs lohnt sich schon der Missbrauch eines Kontos mit ein paar zehntausend Prämienmeilen.
 
Travelling_Geek

Travelling_Geek

Erfahrene Reiseschreibmaschine
17.05.2009
1.846
3
HKG
fred8a meinte:
[...] Meine Schuld ist aber sicherlich, dass ich mein Passwort über lange Zeit nicht geändert habe und dieses auch an unterschiedlichen Stellen verwendet habe.
Zum Vergrößern anklicken....
Zwei der drei gröbsten Fehler beim Umgang mit Kennwörtern. Ich unterstelle, dass Du Dir dieses Passwort auch selbst ausgedacht hast und es nicht von einem PW-Manager erzeugt wurde? Damit wären dann alle drei Todsünden begangen.
Ich würde soweit gehen und sagen, dass M&M überhaupt keine Schuld trifft (2FA hin oder her). Die Verantwortung liegt gänzlich bei Dir.

fred8a meinte:
Jedoch ist vermutlich aber auch iene große Schwäche, das idR offene WLAN in Hotels. Stichwort automatischer
E-Mail Abruf beim Iphone oder Ipad. Auch hier ist es offensichtlich möglich, Passwörter auszulesen.
Zum Vergrößern anklicken....
Das war bis vor etlichen Jahren in der Tat ein Problem. Inzwischen dürfte es keinen (kommerziellen) E-Mail-Anbieter mehr geben, der unverschlüsselte POP3- oder IMAP4-Logins zulässt. Meint: Es lassen sich keine Logindaten mehr im Klartext mitschneiden.
 
  • Like
Reaktionen: jotxl
S

schattenwirt

Aktives Mitglied
09.09.2015
195
3
ANZEIGE
300x250
fred8a meinte:
Ganz ehrlich, kein Ahnung. Aber, wenn die schon mal Zugang zu einem E-Mail Account haben, werden vielleicht Mails mitgelesen.
Keine Ahnung die sind Clever in dem was sie Tun. Die leben nicht von Try and Error! Da gibt es Listen im Darknet oder wo auch immer die verkauft werden. Die Verbindung wurde ggf. schon langenZeit zur hergestellt.

Was meint ihr wie vermutlich leicht es bei Payback wäre. Schau doch nur auf den Tankbon der in den Müll wandert. In Kombination mit Social Ing. hast Du gleich weitere Infos die in vielen Fällen reichen dürfte.

Fakt ist, es gibt diese Listen und Millionen von Zugängen und bestimmt mit so vielen Querverweisen, das wir uns um die paar Meilen keine Sorgen mehr machen würden, wenn wir wüssten. Siehe auch Kreditkartendaten. Wie war es doch gleich, um das Ticket ausstellen zu können benötigen wir ein Kopie vom Ausweis plus KK. Und das alles via Mail unverschlüsselt wo ggf. xyz mitliest.

Nur mal so nebenbei....
Zum Vergrößern anklicken....

Das ehrt Dich; Du hast keine kriminelle Energie, aber einen Hang zu Verfolgungswahn und Verschwörungstheorien.... [emoji23]
Die Typen müssen davon leben! Die müssen für die Email/Passwort Listen zahlen! Email Kontos „mitlesen“? Tagelang? Dann 100€ Gutschein für 30000 Meilen?
Da wird man kaum über Harz IV rauskommen... [emoji23]
 
Um antworten zu können musst
du eingeloggt sein.
Oben Unten