Miles & More Hackingangriff

[PradeYT]

ANZEIGE

Hey liebe Vielflieger,

mir gehen langsam sämtliche Ideen aus, da dachte ich mir, dass mir vielleicht ein paar kreative Köpfe hier mit Ideen aushelfen können.

Erstmal zu mir. Ich bin noch Recht jung (18) und sammel seid über 4 Jahren Meilen bei jeder nur denkbaren Möglichkeit, um mir mein großes Ziel finanzieren zu können: Lufthansa First C.

Ich habe es nun endlich fast geschafft und habe schon 80.000 M&M Meilen angesammelt. Vor in etwa 2 Stunden (0:30) bekam ich eine E-Mail, mit einer Buchungsbestätigung von Points (M&M Partner für Hotels und ähnliches). Ich habe wohl angeblich für 77.000 Meilen eine Nacht in einem Luxushotel in Moskau reserviert. Wie ihr euch schon sicher denken könnt, habe ich nie eine solche Buchung getätigt. Die 77.000 Meilen wurden mir auch von meinem M&M Konto abgebucht. Dazu kommt, dass meine Gmail seid Stunden im Sekundentakt mit Spam zugemüllt wird (vermutlich damit ich die Buchungsbestätigung übersehe).

Ich habe jetzt ersteinmal M&M eine Email geschickt, genauso wie dem Hotel in Moskau. Morgen früh möchte ich bei M&M anrufen. Was meint ihr, sollte ich zur Polizei gehen?

Ich rechne das ganze so: Mein FC Flug hätte ich für 91.000 Meilen bekommen, dieser ist in etwa 6.000€ wert. Demnach müssten die geklauten Meilen ja ca. 4500€ Wert sein. Direkt gekauft natürlich deutlich weniger.

Ich hoffe es kann mit jemand zu so später Stunde noch helfen.
Liebe Grüße

 

[slutz]

Hey liebe Vielflieger,

mir gehen langsam sämtliche Ideen aus, da dachte ich mir, dass mir vielleicht ein paar kreative Köpfe hier mit Ideen aushelfen können.

Erstmal zu mir. Ich bin noch Recht jung (18) und sammel seid über 4 Jahren Meilen bei jeder nur denkbaren Möglichkeit, um mir mein großes Ziel finanzieren zu können: Lufthansa First C.

Ich habe es nun endlich fast geschafft und habe schon 80.000 M&M Meilen angesammelt. Vor in etwa 2 Stunden (0:30) bekam ich eine E-Mail, mit einer Buchungsbestätigung von Points (M&M Partner für Hotels und ähnliches). Ich habe wohl angeblich für 77.000 Meilen eine Nacht in einem Luxushotel in Moskau reserviert. Wie ihr euch schon sicher denken könnt, habe ich nie eine solche Buchung getätigt. Die 77.000 Meilen wurden mir auch von meinem M&M Konto abgebucht. Dazu kommt, dass meine Gmail seid Stunden im Sekundentakt mit Spam zugemüllt wird (vermutlich damit ich die Buchungsbestätigung übersehe).

Ich habe jetzt ersteinmal M&M eine Email geschickt, genauso wie dem Hotel in Moskau. Morgen früh möchte ich bei M&M anrufen. Was meint ihr, sollte ich zur Polizei gehen?

Ich rechne das ganze so: Mein FC Flug hätte ich für 91.000 Meilen bekommen, dieser ist in etwa 6.000€ wert. Demnach müssten die geklauten Meilen ja ca. 4500€ Wert sein. Direkt gekauft natürlich deutlich weniger.

Ich hoffe es kann mit jemand zu so später Stunde noch helfen.
Liebe Grüße

ist der Name ersichtlich für wen die Buchung ist?

Würde das Hotel direkt versuchen anzurufen... einfach etwas Geld auf skype aufladen und damit sollten auch "Ortsgespräche" nach Russland gehen..
Zusätzlich würde ich ebenfalls eine Anzeige bei der Polizei aufgeben... meine in Erinnerung gehabt zu haben, dass M&M diese erhalten möchte, bevor sie die Meilen erstatten.

Viel Erfolg!

 

[PradeYT]

ist der Name ersichtlich für wen die Buchung ist?

Würde das Hotel direkt versuchen anzurufen... einfach etwas Geld auf skype aufladen und damit sollten auch "Ortsgespräche" nach Russland gehen..
Zusätzlich würde ich ebenfalls eine Anzeige bei der Polizei aufgeben... meine in Erinnerung gehabt zu haben, dass M&M diese erhalten möchte, bevor sie die Meilen erstatten.

Viel Erfolg!

Guten Morgen,
vielen Dank für deine rasche Antwort. "Andrey Gaydukov" ist der Name auf der Buchung. Ich habe einen russisch sprechenden Amigo, der mir gottseidank bei der Konversation mit dem Hotel Aushilfe verschafft.

Ansonsten danke für deinen Tipp, dann fahre ich so schnell ich kann zur Polizei. Leider wird das kaum Erfolg bringen, da Moskau ja nicht in unserem Einflussgebiet liegt.

LG

 

[schmittg]

Ich habe schon lange keine Prämie mehr gebucht bei M&M, aber wurde 2021 nicht die 2 Faktor Autorisierung eingeführt ?

https://www.miles-and-more.com/de/de/general-information/help-and-contact/help/faqs-2fa-activation.html

Und ist es trotzdem denkbar, daß jemand dies mit einfachen Mitteln umgehen kann ? Aber vielleicht bin ich einfach naiv

 

[PradeYT]

Ich habe schon lange keine Prämie mehr gebucht bei M&M, aber wurde 2021 nicht die 2 Faktor Autorisierung eingeführt ?

https://www.miles-and-more.com/de/de/general-information/help-and-contact/help/faqs-2fa-activation.html

Und ist es trotzdem denkbar, daß jemand dies mit einfachen Mitteln umgehen kann ? Aber vielleicht bin ich einfach naiv

Auch dir einen guten Morgen,
ja da hast du absolut Recht! Die 2 Faktor Authentifizierung hatte ich auch aktiv. Im Normalfall bekomme ich immer wenn ich mich auf einem fremden Gerät anmelde eine SMS um dies zu bestätigen, selbiges natürlich bei Buchungen. Dennoch kam natürlich nichts.

Ich habe gerade bei M&M angerufen. Die haben mir im Grunde das selbe gesagt. Zur Polizei gehen und dann mit den Unterlagen der Polizei wieder bei Lufthansa melden.

Ich werde jetzt also erstmal zur Polizei und dann schauen wie es weiter geht.

Liebe Grüße

 

[m!ler]

Hotel schon angerufen und denen Bescheid gesagt?
Eventuell wird beim Storno des Zimmers ja auch der Meilenbetrag wieder gutgeschrieben?

 

[schmittg]

Guten Morgen,
dann wünsche ich Dir viel Erfolg und Glück und berichte mal, wie es weitergegegangen ist, ist denke ich interessant.

 

[globetrotter11]

Wieso ein "Miles & More Hackerangriff"?

Das war wohl eher ein Hackerangriff auf Deinen Gmail Mailaccount....

 

[red_travels]

Wieso ein "Miles & More Hackerangriff"?

Das war wohl eher ein Hackerangriff auf Deinen Gmail Mailaccount....

oder auf dieses "Points"? vielleicht sollte meine eine dortige Verknüpfung direkt entfernen, die ja scheinbar kein 2FA braucht...

 

[doc7austin2]

vielen Dank für deine rasche Antwort. "Andrey Gaydukov" ist der Name auf der Buchung. Ich habe einen russisch sprechenden Amigo, der mir gottseidank bei der Konversation mit dem Hotel Aushilfe verschafft.

Meine Befürchtung ist, dass der Angriff sogar mehr ausgeklügelt ist, als wir uns das vorstellen können.
Möglicherweise existiert dieser Mensch "Andrey Gaydukov" gar nicht, sondern da checkt eine andere Person unter anderem Namen ein. D.h. selbst wenn das Hotel über den Betrug benachrichtigt wurde, kann es nichts machen, da es nicht weiss, welcher Gast hier betrogen hat.

 

[PradeYT]

Wieso ein "Miles & More Hackerangriff"?

Das war wohl eher ein Hackerangriff auf Deinen Gmail Mailaccount....

Wieso ein "Miles & More Hackerangriff"?

Das war wohl eher ein Hackerangriff auf Deinen Gmail Mailaccount....

Eher nicht. Um Spam E-Mails an meine Adresse schicken zu lassen, braucht es nicht zwangsläufig Zugriff auf mein Konto. Ich bin kein Experte, aber ich schätze Mal sich in ein M&M Konto zu hacken sollte doch deutlich einfacher sein als in Gmail. Zumal ich auf Google noch ganz andere Sicherheitstüren eingebaut habe (bzgl. Meines YT Kanals).

Aber du hast in der Hinsicht Recht, dass ich nicht sicher sagen kann ob M&M gehackt wurde. Genauso gut kann es natürlich auch Points & cars gewesen sein.

LG

 

[Simineon]

Meine Befürchtung ist, dass der Angriff sogar mehr ausgeklügelt ist, als wir uns das vorstellen können.
Möglicherweise existiert dieser Mensch "Andrey Gaydukov" gar nicht, sondern da checkt eine andere Person unter anderem Namen ein. D.h. selbst wenn das Hotel über den Betrug benachrichtigt wurde, kann es nichts machen, da es nicht weiss, welcher Gast hier betrogen hat.

In der Bestätigungsmail des Hotels sollte doch ne Buchungsnummer drin sein, diese Buchung sollte dann auch stornierbar sein und je nach Rate auch erstattbar

 

[doc7austin2]

In der Bestätigungsmail des Hotels sollte doch ne Buchungsnummer drin sein, diese Buchung sollte dann auch stornierbar sein und je nach Rate auch erstattbar

Wenn ich die PN richtig verstehe: Die Rate wäre wohl bis Gestern Mittag noch stornierbar gewesen. Jetzt (bzw. Gestern Nacht) nicht mehr. Der Betrüger wird das wohl gewusst haben.

 

[Vahid]

Ich habe schon lange keine Prämie mehr gebucht bei M&M, aber wurde 2021 nicht die 2 Faktor Autorisierung eingeführt ?

Ja, scheint aber nicht zu funktionieren. Ich habe letzte Woche eine Flugprämie für knapp 400k Meilen getätigt und es passierte gar nichts. Die Buchung ging durch wie immer.

Danach habe ich in meinem Account nachgeschaut und die 2FA steht als aktiviert mit meiner Handy,-Nr. drin.

 

[Hauptmann Fuchs]

Ja, scheint aber nicht zu funktionieren. Ich habe letzte Woche eine Flugprämie für knapp 400k Meilen getätigt und es passierte gar nichts. Die Buchung ging durch wie immer.

Wenn der Zugriff aber nicht als risikovoll eingestuft wird (gleichen Rechner, unauffällige IP-Adresse), muss wohl nicht zwingend die 2FA-Authorisierung angesprochen werden, wie oben schon erwähnt.

(bzgl. Meines YT Kanals)

Zwar hört man mir mein Akzent auf Deutsch auch sofort raus, aber ich rate dir mal mit Justin Bieber zu singen:

(8:35 auf dem Flug nach TFS z.B.)

 

[Funtracer]

Ansonsten danke für deinen Tipp, dann fahre ich so schnell ich kann zur Polizei. Leider wird das kaum Erfolg bringen, da Moskau ja nicht in unserem Einflussgebiet liegt.

Darum geht's nicht. M&M will schwarz auf weiß haben, dass hier offiziell Anzeige erstattet wurde. Dass da jetzt kein deutsches Sonderkommando nach Moskau reist und sich schwer bewaffnet hinter dem Tresen versteckt, bis der ahnungslose Betrüger auftaucht und einchecken will, versteht sich von selbst.

 

[MFox]

Freue mich insbesondere schon auf den Titel des nächsten Videos

"Mein M&M Account wurde GEHACKT!!!" gespickt und gephotoshopped mit der offenen Kinnlade des Videografs in Glitzerschrift und dramatischen Intro.

Klingt auch viel cooler, als die Tatsache das hier irgendetwas anderes passiert ist (Malware auf dem Rechner? Würde an deiner Stelle meine Passwörter ändern), mit hoher Wahrscheinlichkeit ziemlich sicher aber nicht der Account gehackt wurde. Oder M&M hat mal wieder Accounts vertauscht. Soll schon mal vorkommen, hab ich gehört.

Jedenfalls viel Erfolg beim zurückholen der Meilen.

 

[DanielSB]

Ja, scheint aber nicht zu funktionieren. Ich habe letzte Woche eine Flugprämie für knapp 400k Meilen getätigt und es passierte gar nichts. Die Buchung ging durch wie immer.

Danach habe ich in meinem Account nachgeschaut und die 2FA steht als aktiviert mit meiner Handy,-Nr. drin.

Das kann ich so bestätigen.
Ich hab letzte Woche ebenfalls 2 Flugbuchungen via MM getätigt und es wurde keine 2FA verlangt....

 

[pavouch]

Hey liebe Vielflieger,

mir gehen langsam sämtliche Ideen aus, da dachte ich mir, dass mir vielleicht ein paar kreative Köpfe hier mit Ideen aushelfen können.

Erstmal zu mir. Ich bin noch Recht jung (18) und sammel seid über 4 Jahren Meilen bei jeder nur denkbaren Möglichkeit, um mir mein großes Ziel finanzieren zu können: Lufthansa First C.

Ich habe es nun endlich fast geschafft und habe schon 80.000 M&M Meilen angesammelt. Vor in etwa 2 Stunden (0:30) bekam ich eine E-Mail, mit einer Buchungsbestätigung von Points (M&M Partner für Hotels und ähnliches). Ich habe wohl angeblich für 77.000 Meilen eine Nacht in einem Luxushotel in Moskau reserviert. Wie ihr euch schon sicher denken könnt, habe ich nie eine solche Buchung getätigt. Die 77.000 Meilen wurden mir auch von meinem M&M Konto abgebucht. Dazu kommt, dass meine Gmail seid Stunden im Sekundentakt mit Spam zugemüllt wird (vermutlich damit ich die Buchungsbestätigung übersehe).

Ich habe jetzt ersteinmal M&M eine Email geschickt, genauso wie dem Hotel in Moskau. Morgen früh möchte ich bei M&M anrufen. Was meint ihr, sollte ich zur Polizei gehen?

Ich rechne das ganze so: Mein FC Flug hätte ich für 91.000 Meilen bekommen, dieser ist in etwa 6.000€ wert. Demnach müssten die geklauten Meilen ja ca. 4500€ Wert sein. Direkt gekauft natürlich deutlich weniger.

Ich hoffe es kann mit jemand zu so später Stunde noch helfen.
Liebe Grüße

Falls jemand aus der Schweiz ist und / oder Superpunkte hat... mir wurden letzte Woche auf die genau gleiche Weise das Maximal an umtauschbaren Superpunkte pro Jahr in Prämienmeilen Miles and More umgetauscht. 500000. Trotz 2FA. Keine SMS bekommen im Handy. Auch gegen 02.00 Uhr in der Nacht mit 743 Mails... bombardiert.-Auch nur durch Zufall entdeckt. Supercard konnte die Bestellung stoppen und stornieren. Punkte wurden gutgeschrieben aber erneut wruden sie geklaut wie ich eben erfahren habe. Passwörter etc alles geändert und trotzdem ists es wieder passiert.

 

[slutz]

soweit ich das verstehe wird die 2 FA nur gemacht, wenn man die persönlichen Daten „ändern“ will… sprich E-Mail, Handy etc.

bucht man einfach eine Flugprämie oder ein Hotel für jmd anderen -> schlägt FA nicht an

 

[wizzard]

Es gibt so ein paar sensible Konten, bei denen ich relativ komplexe Passwörter habe, M&M gehört dazu. Können die Experten hier einem unbedarften Anwender wie mir einmal erklären, wie jemand OHNE Kenntnis meines Benutzernamens und Passworts in meinen Account rein kommen kann? Das ist doch ein Ding der Unmöglichkeit, oder irre ich mich da?

Das geht doch nur, wenn die irgendwo meine Daten abgreifen, aber wo bitte? Bei M&M direkt? Na, das würde dann ja gleich Tausende betreffen und nicht einige wenige. Bei mir? Das geht ja auch nur, wenn ich etwas falsch mache. Sehe ich das richtig, dass wenn ich gegen jede Art von Pishing immun bin, mir das nicht passieren kann?

 

[sbr]

So lange Login weiterhin (auch) mit M&M Nummer und 5-stelliger PIN möglich ist und Transaktionen nicht mit 2fa abgesichert sind, muss man eigentlich nicht diskutieren...

 

[huby]

So lange Login weiterhin (auch) mit M&M Nummer und 5-stelliger PIN möglich ist und Transaktionen nicht mit 2fa abgesichert sind, muss man eigentlich nicht diskutieren...

Insbesondere, da die M&M Nummer zusätzlich noch eine "begrentze" Komplexität hat, da nicht alle 15 Stellen zufällig vergeben werden.

 

[rcs]

Ja, aber dort gibt es dann auch Sicherheitsmechanismen, die den Online-Zugriff sperren, wenn ein paar Mal die falsche PIN ausprobiert wurde. Das Risiko ist verhältnismäßig überschaubar.

Das größte Problem bleibt das Thema Phishing...

 

[wizzard]

ANZEIGE

Ich will eigentlich nicht diskutieren, sondern möchte gerne meinen Horizont erweitern, weil ich davon wenig Ahnung habe. Sonst hätte ich ja nicht gefragt.

Okay, also nicht Benutzername und PW, sondern M&M-Nr. und PIN. Gehe ich recht in der Annahme, dass ein Angreifer meine M&M-Nr. erraten muss und dann noch gleichzeitig meine PIN, was bei 5 Stellen einer Wahrscheinlichkeit von grob 1:100.000 entspricht. Wie oft darf ein Angreifer versuchen, bis M&M zu macht?

Bei der Servicekarten-Nr. sind die ersten 4 Stellen klar (vorläufige = 9999, reguläre = 9920, FTL = 9922, SEN = 2220), aber danach kommen noch 11 ziemlich wahrlose Ziffern. Jetzt frage ich mich, wie hoch ist die Wahrscheinlichkeit, dass ein Angreifer eine meiner Servicekarten-Nummern eingibt plus die richtige PIN?

Ist wie ein 6er mit SZ im Lotto würde ich schätzen. Beim Lotto trifft es jede Woche einen (mich natürlich nicht, deswegen spiele ich kein Lotto), aber das auch nur, weil im Schnitt mindestens 140 Millionen Kästchen gespielt werden. Wenn die Wahrscheinlichkeit hier ähnlich liegt, würde von 140 Millionen Angriffen einer erfolgreich sein. Das ist kein business case für Kriminelle, scheidet also aus.

Deshalb wiederhole ich noch einmal meine Frage: Sehe ich das richtig, dass, wenn ich gegen jede Art von Pishing immun bin, mir das nicht passieren kann?