LH-M&M-Prämienmeilen gestohlen
- Starter*in JZea
- Datum Start
ANZEIGE
Gut für dich mit wenigstens Meilenerhalt, und ich nehme mein .........."Trolliger Beitrag" mit Entschuldigung zurück
... schließe mich dem an - sorry, für den falschen Verdacht auch von meiner Seite aus
Dann hast du jetzt ja alle Meilen zurück und zusätzlich noch den Worldshop-Gutschein, oder? Du Maximierer!
Danke, dass du das Thema hier eröffnet hast. Das wird denjenigen helfen, deren Konten auch noch abgeräumt werden.
Vladimir hat immerhin ne FTL Nr. hinterlegt
Oh, dann ist es ja nur eine Frage der Zeit, bis das Neumitglied "Vladddi_BCN" einen Thread startet: "Fristlose Kuendigung und Statusentzug!!! Warum???"
Also mir wurden am Sonntag 67000 Meilen für nen LX business class Flug von Hong Kong nach Zürich gestohlen. Habe das bemerkt, weil ich die Bestätigungsemail bekommen habe.
Als ich gemerkt habe, dass das nicht nur ein Versehen sondern Betrug war hatte ich sofort lokal (weil im Ausland) bei LH/M&M sowie Swiss angerufen - weil die nette Dame da gerade noch 2 Stunden von Zürich entfernt war. Aussage: wir können nichts machen, haben kein Recht mit dem Passagier zu sprechen (!!). Ich solle eine Email an den Customer Relationship Service schicken. Hm.
Gut, um 04:00 morgens bei M&M in Deutschland angerufen und - Überraschung - hatte da eine nette Dame am Apparat, die hat zwar auch zuerst gesagt, Sie kann nichts machen, hat dann aber die Sache doch weitergeleitet und ne Notiz gemacht. Parallel habe ich auch die Email an den Customer Relationship Service geschickt...
Um 04:45 bei der Kantonspolizei auf dem Züricher Flughafen angerufen. Auch da ist jemand ans Telefon gegangen und hat mir gesagt, dass man eigentlich nichts machen kann und man Leute nicht einfach "rausziehen" kann. Teilweise verständlich, aber trotzdem sehr unbefriedigend. Der Beamte war allerdings sehr nett und fit und hat angeboten den Fall direkt mit Swiss zu besprechen und mich ggf. zurückzurufen.
Das hat er auch tatsächlich ein paar Stunden später getan und mir einige weitere Infos zur Person gegeben. Er hat wohl auch eine Notiz an die Grenzposten gegeben, die Frau zur Befragung 'abzufangen', da sie allerdings nicht den Flughafen verlassen hat (wohl Weiterflug nach non-Schengen), war das nicht erfolgreich. Er war auch so nett und hat die Anzeige aufgenommen.
M&M hat inzwischen auch eine eher geqäult freundliche Email geschickt ("It is unfortunate that a third party used your miles to order an award flight.") und eine Kopie der Anzeige angefragt. Obwohl der schweizer Polizeibeamte sich die Arbeit gemacht hat und selbst bei M&M anzurufen um weitere Informationen zu bekommen, hat M&M "aus Datenschutzgründen" keine Informationen rausgerückt. Hm, ein Schelm, wer Böses dabei denkt...
Bottom line: also selbst wenn der Herr oder Dame noch im Flieger sitzen, lassen die sich nicht fangen. Wenn man sich also keine Arbeit machen möchte, Email an M&M, kurze zur Polizei, Anzeige zu M&M. Warten und hoffen.
Werden sehen, wie das jetzt weitergeht. Ein großes Dankeschön an die Polizei in Zürich, die haben sich der Sache wirklich angenommen und auch wenn die nicht viel tun konnten, war es sehr gut mit dem Beamten dort zu sprechen und wenigstens etwas Info und das Gefühl "es kümmert sich jemand" zu bekommen. It is unfortunate M&M does not care...
Die große Frage ist natürlich, wie sind die an die Zugangsdaten gekommen? Wenn sich die Fälle häufen (die M&M Kollegin am Telefon hat gesagt da gibt's ne ganze Abteilung dafür!), würde ich eher darauf tippen, dass die Daten bei M&M gestohlen wurden. Die scheinen es mit Sicherheit vielleicht nicht so genau genommen zu haben. Online kann man ja auch im Profil alles ändern ohne Emailhinweis oder ähnliches. Wenn die Typen schlau genug gewesen wären meine Email zu ändern, hätte ich das so schnell nicht gemerkt.
To be continued...
Als ich gemerkt habe, dass das nicht nur ein Versehen sondern Betrug war hatte ich sofort lokal (weil im Ausland) bei LH/M&M sowie Swiss angerufen - weil die nette Dame da gerade noch 2 Stunden von Zürich entfernt war. Aussage: wir können nichts machen, haben kein Recht mit dem Passagier zu sprechen (!!). Ich solle eine Email an den Customer Relationship Service schicken. Hm.
Gut, um 04:00 morgens bei M&M in Deutschland angerufen und - Überraschung - hatte da eine nette Dame am Apparat, die hat zwar auch zuerst gesagt, Sie kann nichts machen, hat dann aber die Sache doch weitergeleitet und ne Notiz gemacht. Parallel habe ich auch die Email an den Customer Relationship Service geschickt...
Um 04:45 bei der Kantonspolizei auf dem Züricher Flughafen angerufen. Auch da ist jemand ans Telefon gegangen und hat mir gesagt, dass man eigentlich nichts machen kann und man Leute nicht einfach "rausziehen" kann. Teilweise verständlich, aber trotzdem sehr unbefriedigend. Der Beamte war allerdings sehr nett und fit und hat angeboten den Fall direkt mit Swiss zu besprechen und mich ggf. zurückzurufen.
Das hat er auch tatsächlich ein paar Stunden später getan und mir einige weitere Infos zur Person gegeben. Er hat wohl auch eine Notiz an die Grenzposten gegeben, die Frau zur Befragung 'abzufangen', da sie allerdings nicht den Flughafen verlassen hat (wohl Weiterflug nach non-Schengen), war das nicht erfolgreich. Er war auch so nett und hat die Anzeige aufgenommen.
M&M hat inzwischen auch eine eher geqäult freundliche Email geschickt ("It is unfortunate that a third party used your miles to order an award flight.") und eine Kopie der Anzeige angefragt. Obwohl der schweizer Polizeibeamte sich die Arbeit gemacht hat und selbst bei M&M anzurufen um weitere Informationen zu bekommen, hat M&M "aus Datenschutzgründen" keine Informationen rausgerückt. Hm, ein Schelm, wer Böses dabei denkt...
Bottom line: also selbst wenn der Herr oder Dame noch im Flieger sitzen, lassen die sich nicht fangen. Wenn man sich also keine Arbeit machen möchte, Email an M&M, kurze zur Polizei, Anzeige zu M&M. Warten und hoffen.
Werden sehen, wie das jetzt weitergeht. Ein großes Dankeschön an die Polizei in Zürich, die haben sich der Sache wirklich angenommen und auch wenn die nicht viel tun konnten, war es sehr gut mit dem Beamten dort zu sprechen und wenigstens etwas Info und das Gefühl "es kümmert sich jemand" zu bekommen. It is unfortunate M&M does not care...
Die große Frage ist natürlich, wie sind die an die Zugangsdaten gekommen? Wenn sich die Fälle häufen (die M&M Kollegin am Telefon hat gesagt da gibt's ne ganze Abteilung dafür!), würde ich eher darauf tippen, dass die Daten bei M&M gestohlen wurden. Die scheinen es mit Sicherheit vielleicht nicht so genau genommen zu haben. Online kann man ja auch im Profil alles ändern ohne Emailhinweis oder ähnliches. Wenn die Typen schlau genug gewesen wären meine Email zu ändern, hätte ich das so schnell nicht gemerkt.
To be continued...
Eine 5-stellige PIN*, wie es sie bei M&M (und auch einigen Banken
) gibt, lässt mich als jemanden vom Fach jedes Mal schaudern.Das Konto bei der Bank habe ich gekündigt, und bei M&M fehlt das Verständnis dafür auch.
Anmerkung: 5 numerische Stellen sind 100000 maximal notwendige Versuche - im schlimmsten Fall dauert das ausprobieren keine Minute..
Eine 5-stellige PIN*, wie es sie bei M&M (und auch einigen Banken
Das Konto bei der Bank habe ich gekündigt, und bei M&M fehlt das Verständnis dafür auch.
Anmerkung: 5 numerische Stellen sind 100000 maximal notwendige Versuche - im schlimmsten Fall dauert das ausprobieren keine Minute..
Kann ich bei M&M auch eine Kombination aus Zahlen und Buchstaben als Pin hinterlegen ? Das geht IMHO nicht. Daher frage ich mich warum das nicht geändert wird wenn diese Meilendiebstähle sich nun anscheinend häufen..
A
Anonym-36803
Guest
Eine 5-stellige PIN*, wie es sie bei M&M (und auch einigen Banken
Das Konto bei der Bank habe ich gekündigt, und bei M&M fehlt das Verständnis dafür auch.
Anmerkung: 5 numerische Stellen sind 100000 maximal notwendige Versuche - im schlimmsten Fall dauert das ausprobieren keine Minute..
Und selbst wenn der Account nach der dritten falschen Eingabe (temporär) gesperrt wird, kann man doch einfach immer die gleiche PIN je einmal bei verschiedenen Kartennummern ausprobieren: Im Mittel funktioniert die PIN 24680 bei 10 von 1.000.000 Accounts. Die M&M-Kartennummern haben ja auch eine gewisse Struktur: 15 Ziffern, die ersten vier sind 9920 bei Blue, 9922 bei FTL und 2220 bei SEN.
Kann man so nicht verallgemeinern. Gerade in disem Punkt unterscheiden sich schweizerisches und z. B. deutsches Strafrecht.
Wer die Zeit und Möglichkeit hat, entsprechend einzuwirken, sollte das auch tun.
Das ist ziemlich simpel. Ein Script ist schnell geschrieben wenn man weiss wieviele Stellen die M&M Karte hat und nur nummerisch ist dazu noch weiss wieviel Stellen die PIN hat. Wie juser 9800 schon bemerkt, dauert das im worst case (wenn einer ein RAS PI benutzt) ne gute Minute.
Da hilft es auch nicht wenn man selbst einen jusername und code generiert da das Script ja auf die Auswahl beim login das Menü mit der Kombination Kartennummer+Pin abgreift. Es stehen ja 2 Möglichkeiten zum login zu Verfügung. Das eben genannte ist das einfachste.
LH hat für solche Fälle eine eigene task-force und man war bei meinem Meilenklau sehr erpicht darauf die Personen auf dem Weg von MOW ZRH BKK in ZRH die Reise zu beenden.....Sicherheit zum login etc, lächerlich bei M&M. Da ist jeder itunes Store geschützter
LH und M&M stellen dieses Jahr die Online Anmeldung um. Die pin kann dann nicht mehr online verwendet werden. Telefonisch bleibt sie jedoch erhalten.
Ich halte einen Angriff auf M&M für unwahrscheinlich. Denn wenn deren komplette Datenbank in fremden Händen wäre, dann würden sich hier die Berichte über abgeräumte Konten im Sekundentakt einfinden.
Zudem findet sich zumindest auf den einschlägigen deutschen Untergrundmarktplätzen im Moment auch kein großartiges Angebot an M&M-Zugangsdaten (wenn man mal von den M&M-Kreditkarten absieht, die gehen ja immer). Und dort würde der Kram sofort landen
Greifst Du nur per Kartennummer/PIN auf Dein Konto zu, oder ist auch ein Passwort eingerichtet? Sollte letzteres auf irgendeiner anderen Seite im Netz schon mal verwendet worden sein, dann könnten durch einen Hack dieser Seite und das Knacken des Passworts auch andere Accounts in Mitleidenschaft gezogen werden.
Eine 5-stellige PIN*, wie es sie bei M&M (und auch einigen Banken
Das Konto bei der Bank habe ich gekündigt, und bei M&M fehlt das Verständnis dafür auch.
Bei Banken finde ich das gar nicht mal so schlimm; da gibt es ja noch die TAN, d.h. dort ist es nicht ohne Weiteres möglich, Unfug mit meinem Geld anzustellen.
Ohne Details über die Sicherheitsmechanismen der M&M-Infrastruktur zu kennen: Man will hoffen, dass der Webserver solche Brute-Force-Versuche unterbindet, in dem er nach x fehlerhaften Loginversuchen die betreffende IP-Adresse sperrt.
Und ein Botnetz mit zig IPs wird sich hoffentlich niemand verbrennen für so einen Käse
Was mumpets ist. Wenn ich als hacker dann sehe was jemand so auf dem Konto drauf hat, bekommt man sicherlich "Gelüste" hin und wieder gegen entgeld dies weiterzuleiten an die nette Truppe mit Ihren Werkzeugen. Wobei wenn ich mich in die Lage eines organisierten hineinversetze dann heuere ich experten an die die Konten hacken und ziehe mir die "besser" verdienenden raus. Die sehr gut verdienenden haben sicherlich security, Schutz am Haus etc aber so ne Liste mit besserer Mittelstand auf einen Ort fixiert die man "abarbeitet" könnte lohnend sein. Schliesslich weiss ich mehr oder weniger im voraus was mich erwartet...
Traurig. Kann man nur hoffen dass nicht so viele von den Gesellen soweit denken können. Lt. Statistik sind in der Mehrzahl Gelegenheitstäter. Die erbeuten aber nicht wirklich viel.....
Ich habe von der Technik keine Ahnung von daher kann ich kein Script in wenigen Minuten erstellen. Und das dürfte für die Mehrheit der Bevölkerung gelten. Mit krimineller Ernergie kann man aber sicher schnell entsprechendes Wissen aneignen und nutzen.
Ich dachte immer das man zur Einlösung von Meilen zwingend die PIN braucht. Ist das nicht mehr so?
Weil dann nutzen Username und Passwort ja erst mal nichts.
De facto funktioniert das in aller Regel anders. Da macht sich keiner die Mühe, von Hand irgendwelche Konten abzuklappern.
Die Infos über Kontostände und Kreditkartenlimits stammen vom Trojaner, der den Rechner irgendwann mal infiziert hat. Die Dinger saugen alle möglichen Infos ab, darunter auch Logindaten beziehungsweise relevante Details zum Geld.
Diese Infos werden dann vertickt und der Käufer sieht zu, dass er irgendwie ans Geld kommt.
Die Abläufe sind oft automatisiert, so dass bis zum Abräumen der Konten kein menschlicher Eingriff nötig ist.
A
Anonym42486
Guest
Das ist jetzt aber nicht Dein Ernst
Vielleicht bin ich etwas zu naiv, aber dass solche Daten im Internet zu kaufen sind habe ich nicht gewußt. Da schaue ich jetzt öfter in meinen account....
Moderiert:
Das ist jetzt aber nicht Dein Ernst
Mein voller Ernst. Was meinst Du, warum Banken alle Nase lang neue Kreditkarten ausstellen (und die alten sperren) oder Online-Anbieter E-Mails an ihre Kunden schicken mit der Bitte, doch sein Passwort zu ändern?
Auslöser war jeweils ein Datenklau zuvor.
Und Läden wie der hier beschriebene würden kaum Kunden haben, wenn Online-Kriminelle das Zeug nicht verticken würden
Bei einer Bank ist die PIN zum einen auf Wunsch alphanumerisch und zweitens ist nach drei oder fünf Falscheingaben sowieso Feierabend; dann ist der Zugang gesperrt.
ANZEIGE
![300x250]()
Dito.....da ein Prämienflug ja mind. 1 (Werk-)Tag im voraus gebucht werden muss, kann man dann zumindest noch rechtzeitig stornieren lassen.