ANZEIGE
Die PINs/Passwörter werden nicht durch ausprobieren ermittelt. Sondern mitgeschnitten bei der Eingabe (Keystrokelogger).
LH-M&M-Prämienmeilen gestohlen
- Starter*in JZea
- Datum Start
ANZEIGE
Die PINs/Passwörter werden nicht durch ausprobieren ermittelt. Sondern mitgeschnitten bei der Eingabe (Keystrokelogger).
Und er würde auch gleich eine rechtliche Beratung bekommen, welche Formfehler M&M im Zuge der Kündigung gemacht hat - und wie man die Kündigung anfechten kann.
Diese Meldung war doch bei LH.com und bei M&M vor einigen Monaten auch, dass man sein Passwort ändern soll, da irgendwelche Daten abgegriffen worden sein könnten.
Wenn Du den LH-Hinweis vom November 2015 meinst, dann stammten die Logindaten seinerzeit nicht von LH/M&M, sondern aus einer anderen Quelle. Die wurden dann nur standardmäßig bei diversen anderen Webdiensten durchprobiert. So hats LH dann auch gemerkt: massenhaft fehlerhafte Login-Versuche.
So löchrig das Sicherheitskonzept bei M&M (fünfstellige PIN, Änderung der Kontaktdaten ohne Hinweis) auch sein mag: Wer sein Passwort recycelt, ist selbst schuld
So löchrig das Sicherheitskonzept bei M&M (fünfstellige PIN, Änderung der Kontaktdaten ohne Hinweis) auch sein mag: Wer sein Passwort recycelt, ist selbst schuld
Da Du Dich ja offensichtlich auskennst: Wie „sicher“ ist es eigentlich, beim Surfen in öffentlichen WLANs auf passwortgeschützte Websites zu gehen, mit Kreditkarte zu zahlen o.ä.? Ich vermeide das (ich muss meine Online-Einkäufe oder Flugbuchungen nicht in der Lounge machen…) bzw. nutze wenn VPN, nur wenn ich mich so umschaue, scheinen viele da keinerlei Bedenken zu haben.
Wenn die Seiten sauber SSL verwenden und kein Zwangsproxy zwischen ist sicher.
Vorweg: Auch wenn diese Sammlung von Tipps für Reisende schon mehr als sechs Jahre auf dem Forenbuckel hat, ist sie weitgehend nach wie vor gültig/aktuell.
Zur konkreten Frage: Ich persönlich mache in öffentlichen Netzen (zu denen ich auch WLANs und verdrahtete (!) Zugänge in Hotels zähle) nix ohne VPN.
SSL/TLS sind per se nicht unsicher. Aber wenn dann doch mal was auftaucht, dauert es im besten Fall Wochen, im mittelguten Fall Monate und im Normalfall Jahre, bis die Serverbetreiber (und nur die können eingreifen) ihre SSL/TLS-Bibliotheken per Update vor Angriffen schützen. Mir ist es einfach zu blöd, alle paar Tage die einschlägigen Newsgroups, Foren und Twitter-Timelines zu durchforsten, ob wieder in irgendeiner SSL/TLS-Implementierung ein dicker Bug gefunden wurde.
Dazu kommt, dass SSL/TLS in verschiedenen Versionen existieren, deren Sicherheit variiert. Will ich jetzt bei jedem Seitenaufruf prüfen oder per Browser-Plugin anzeigen lassen, womit ich es zu tun habe? NEIN!
Daher schicke ich den kompletten Datenverkehr in den VPN-Tunnel.
Zwar ist auch VPN je nach verwendetem Verfahren nicht unknackbar. Meinem Gefühl nach ist es aber sicher genug, zumal der im Tunnel übertragene Datenverkehr inzwischen ja zumeist per SSL/TLS zusätzlich verschlüsselt ist. Für mich jedenfalls "good enough".
Zuletzt bearbeitet:
Wenn das mumpets ist, dann hätte ich aber jetzt schon gerne mal gewusst, welche ominösen Werkzeuge das sein sollen, um ohne TAN an mein Geld zu kommen. Wenn sie die Bank hacken, okay, mag sein, meinetwegen, sollen sie gerne tun; das interessiert mich aber nicht groß, weil ja nicht ich es bin, der dabei geschädigt wird.
Natürlich braucht man eine TAN für die Überweisung. Die aber insbesondere im Fall von SMS-TAN für Kriminelle leicht abzufangen ist, wenn das Opfer ein Android-Telefon verwendet.
Die Mobil-Varianten von ZeuS (Banking-Trojaner) und seiner Nachfolger sind seit Jahren gängige Mittel.
Angesichts der immer noch großen Zahl von Bankkunden, die diese Kombination (SMS-TAN/Android) verwenden, muss man sich nicht die Mühe machen und bei der Bank direkt einbrechen.
Übrigens: Den Schaden trägt im Fall von ZeuS der Kunde, wenn er nicht lückenlos nachweisen kann, dass er die Endgeräte bestmöglich geschützt hat.
Na ja, das haben wir hier alles schon mal in einem anderen Thread diskutiert. Wenn der User nicht doof ist und Fehler macht, kann nichts passieren. Also bin ich jetzt beruhigt, dass es doch nichts Neues diesbezüglich gibt und ich mit meinem mTAN-Handy weiter gut schlafen kann.
Mir wurden vor einigen Monaten auch fast 300k Meilen für eine Hotelbuchung (miese Ratio) entwendet. Nach polizeilicher Anzeige wurden mir die Meilen am nächsten Tag refundiert. Der Beamte konnte am Anfang mit Meilendiebstahl wenig anfangen, ich mußte ihm das in Biz-Tickets umrechnen, dann war es plötzlich schwerer Betrug.
CA-Pinning ist aber primär unabhängig von Thema Hotspot!
Und ein VPN schützt eben auch nur bis zum VPN-Endpunkt.
A
Anonym42486
Guest
Mein voller Ernst. Was meinst Du, warum Banken alle Nase lang neue Kreditkarten ausstellen (und die alten sperren) oder Online-Anbieter E-Mails an ihre Kunden schicken mit der Bitte, doch sein Passwort zu ändern?
Auslöser war jeweils ein Datenklau zuvor.
Und Läden wie der hier beschriebene würden kaum Kunden haben, wenn Online-Kriminelle das Zeug nicht verticken würden
Schon. Das wußte ich. Aber eben nicht bei solchen Lapalien-Seiten wie M-M.
A
Anonym42486
Guest
Nicht nur Du
A
Anonym42486
Guest
Na prima, kann man da gar nichts machen? Warum kann man solche Leute nicht aufhalten bzw. das Ticket mit einer Art "Ban" belegen dass es nicht mehr funktioniert wenn es einige Zeit vorher "gemeldet" wurde dass es nicht selbst bezahlt wurde? Verstehe ich nicht dass da die LH so wenig tun kann.
Schon. Das wußte ich. Aber eben nicht bei solchen Lapalien-Seiten wie M-M.
Meilenkonten sind doch keine Lappalien. Alles, was sich zu Bargeld machen lässt, ist spannend für Kriminelle. Es werden nach wie vor einzelne (!) E-Mail-Adressen an Spam-Versender verkauft (für Bruchteile eines Cents pro Adresse). Da nimmt man doch ein paar hunderttausend verkäufliche Meilen auch gerne mit
Zum einen hat der OP das Ganze erst bemerkt, als das Ticket schon abgeflogen war. Selbst wenn er es sofort nach dem Abbuchen gemerkt hätte, benötigt M&M sicherlich einige Zeit, um den Vorgang ordentlich zu prüfen.
Die können ja nicht nur nach dem Anruf eines (vermeintlichen) Kunden beliebige Tickets stornieren bzw Leute am Flughafen festsetzen lassen...
Wie wäre es, wenn Du mal den kompletten Thread duchliest. Dann stellst Du ggf. auch fest, dass der Geschädigte das Fehlen der Meilen erst bemerkte, nachdem der Flug bereits abgeflogen war. Und jetzt erkläre uns mal, wie man einen bereits durchgeführten Flug stornieren soll!
Meilenkonten sind doch keine Lappalien. Alles, was sich zu Bargeld machen lässt, ist spannend für Kriminelle. Es werden nach wie vor einzelne (!) E-Mail-Adressen an Spam-Versender verkauft (für Bruchteile eines Cents pro Adresse). Da nimmt man doch ein paar hunderttausend verkäufliche Meilen auch gerne mit
Ich weiß, bin auch ein Opfer so einer Masche geworden (UST-ID-Nr.
) und muss nun mit Anwalt arbeiten um davon wieder los zu kommen.Lapalie vielleicht falsch verwendet, gemeint war im Vergleich zu Bankdaten.
Ich habe den Thread sehr wohl gelesen. Aber ich dachte dass man es schon früher sieht und nicht erst wenn abgeflogen wurde.
Du siehst es im Moment der Buchung bzw am Tag danach (was auch unzweifelhaft aus dem Thread hervorgeht; doch nicht so genau gelesen bzw Bilder geguckt?).
Im Fall des OP lagen drei beziehungsweise vier Tage zwischen Buchung und Reise. Wer nicht sehr, sehr oft sein Meilenkonto aufruft, bemerkt davon also nix.
Ich weiß, bin auch ein Opfer so einer Masche geworden (UST-ID-Nr.
Lapalie vielleicht falsch verwendet, gemeint war im Vergleich zu Bankdaten.
Es ist deutlich einfacher, mit gekaperten Konten von Airline-/Hotelprogrammen illegal Geld zu verdienen, als mit Zugangsdaten von Bankkonten.
Von daher dürfte dieser Weg in der Gunst der Kriminellen weiter oben rangieren, zumal auch die Risiken geringer sind.
