Miles & More Hackingangriff

[rcs]

ANZEIGE

Nach 3 oder 4 Fehleingaben der PIN ist Schluß. Und wenn Du mehrere Konten durchprobierst, wird dann irgendwann auch recht zeitnah Deine IP-Adresse geblockt. Von daher ist es nicht ganz so einfach.

Zumal ja auch bei kompromittierten Kreditkartendaten die Servicekartennummer auch immer mit ausgetauscht wird...

 

[Porti]

Man muss berücksichtigen, dass alle Servicekartennummern funktionieren, also auch alte und vor einem Status, oder dazwischen. Das können ganz alte Datenbanken sein, die vor Jahren gestohlen, jetzt erst genutzt werden. Vor langem habe ich mal gelesen, dass man aus den Codes der Gepäckabfertigung viele Informationen rekonstruieren kann und man diese deshalb nicht achtlos am Flughafen wegwerfen sollte. Ob das immer noch so ist, weiß ich nicht. Vllt kennt sich jemand hier richtig gut damit aus?

 

[wizzard]

Das stimmt. Ich habe sie jetzt nicht gezählt, müsste aber um die 20 Servicekarten-Nummern besitzen, die ja alle noch aktiv sind und funktionieren. Und wenn ich jetzt sage, ich probiere es mal mit 9920 1294 6382 7125 825, dann ist die Chance, dass es diese Nummer gibt, nicht so gering. Allerdings mache ich mir wenig Sorgen, dass genau diese Nummer mir gehört und dann bleibt immer noch die PIN mit 1:100.000 und maximal 4 Eingabeversuchen.

Solange mir keiner plausibel erklärt, wie das ohne Datenkenntnis funktionieren soll, gehe ich davon aus, dass diese Vorkommnisse nur möglich sind, weil jemand die Zugangsdaten auf Anwenderseite abgegriffen hat.

 

[Hauptmann Fuchs]

Das stimmt. Ich habe sie jetzt nicht gezählt, müsste aber um die 20 Servicekarten-Nummern besitzen, die ja alle noch aktiv sind und funktionieren. Und wenn ich jetzt sage, ich probiere es mal mit 9920 1294 6382 7125 825, dann ist die Chance, dass es diese Nummer gibt, nicht so gering. Allerdings mache ich mir wenig Sorgen, dass genau diese Nummer mir gehört und dann bleibt immer noch die PIN mit 1:100.000 und maximal 4 Eingabeversuchen.

Allerdings versucht nicht einer das Konto zu knacken, vielleicht aber 100 oder 1000 Leutchen parallel, vielleicht (automatisiert) ein Vielfalt davon. Was ist jetzt die Warscheinlichkeit, dass die richtige Kombination dabei ist?

(und wie hoch ist die Chance dass auf dem Konto tatsächlich interessante Meilenmengen liegen? )

 

[wizzard]

Das ist schon klar, dass das automatisiert läuft, aber wenn nach 4 Fehlversuchen zu gemacht wird, musst du es 25.000 Mal versuchen, um einen Treffer zu landen. Das aber auch nur unter der Voraussetzung, dass du nach 4 Versuchen immer wieder die Servicekarten-Nummer wechselst und immer eine verwendest, die tatsächlich existiert. Dann bist du irgend wann in irgend einem Account drin und wenn da nur 10.000 Meilen drauf sind, haste die Arschkarte gezogen.

PS: Dass da 100 oder 1000 Leute sitzen, ist ausgeschlossen, denn diese Leute müssen ja bezahlt werden und dafür ist die Ausbeute zu gering.

PPS: Wenn es Angriffe dieser Art gäbe, müssten jeden Tag zehntausende Meilenkonten wegen mehrmaliger Falscheingabe der PIN gesperrt sein. Davon hätten wir gehört. Deshalb bleibe ich dabei: Die Daten werden auf Anwenderseite abgegriffen. Alles andere ist unlogisch.

 

[Porti]

Du hast schon Recht. Es wird doch auch nicht jedes Konto gehackt, aber manchmal scheint es doch zu funktionieren. Eine statistische Wahrscheinlichkeit dafür gibt es sicher.

 

[sbr]

PINs (bzw. Passwörter) austesten führt sicherlich nicht zum Ziel, sofern die Schnittstellen entsprechend abgesichert sind (Limit, Blocking,...), Hauptproblem sind Phishing und "Datenverlust" auf Applikationsseite ggf. auch bei 3rd Party Diensten / Partnern. Und hier haben dann durchaus Passwortkomplexität und "Verschlüsselungsart" darauf Einfluss, wie leicht man dann an die Passwörter rankommt. Bei den PINs wäre ich mir nicht sicher, ob diese der Einfachheit halber nicht sogar im Klartext gespeichert sind ("Nennen Sie mir bitte die 2. und 5. Stelle der PIN" z.B. bei Buchung - Passwörter werden normalerweise gehasht gespeichert und können nicht wieder "entschlüsselt" werden, es werden lediglich die Hashes abgeglichen). Ich weiss, das kann man technisch auch "sicher" ohne Klartext gestalten, aber...

 

[wizzard]

Ich bestreite nicht, dass Konten gehackt werden, nur glaube ich, dass die Angreifer nicht per Zufall vorgehen, sondern sie sich die Zugangsdaten vorher besorgt haben. Und da kommt für mich nur der Anwender selbst als Quelle in Frage.

 

[Hauptmann Fuchs]

PS: Dass da 100 oder 1000 Leute sitzen, ist ausgeschlossen, denn diese Leute müssen ja bezahlt werden und dafür ist die Ausbeute zu gering.

Diese Leute arbeiten natürlich nicht alle für den gleichen Boss. Da sitzt einer in Lagos, einer bei uns in der Bijlmer, einer in Kischinau, einer in China usw. Viele versuchen es in parallel, das erhöht natürlich die Warscheinlichkeit ob man mal einen Treffer hat, sei per brute force oder sei es um über irgendenen Weg an den Zugangsdaten zu kommen.

 

[wizzard]

Und die Beute von einer Hotelübernachtung im Wert von 100 EUR wird dann zwischen 100 Leuten á 1€ aufgeteilt, oder wie muss man sich deren Entlohnung für einen Tag Arbeit vorstellen? Diese Leute gibt es, ja, aber die knacken keine Miles & More Konten, sondern arbeiten in höheren Sphären.

Das läuft über Pishing und nicht anders und da verschicken diese Leute mit einem Knopfdruck Millionen von Mails pro Stunde und brauchen sich dann nur um diejenigen zu kümmern, die angebissen haben. Nur so ergibt das Sinn.

 

[rcs]

Man muss berücksichtigen, dass alle Servicekartennummern funktionieren, also auch alte und vor einem Status, oder dazwischen. Das können ganz alte Datenbanken sein, die vor Jahren gestohlen, jetzt erst genutzt werden.

Das ist so nicht richtig.

Wenn Du den Status verlierst, funktionieren die alten Servicekartennummern für das Login auf der M&M Website in aller Regel NICHT mehr. Dort bekommst Du entweder eine kryptische Fehlermeldung, oder die Aufforderung Dich mit der aktuellen Servicekartennummer anzumelden.

 

[hannes08]

... Gehe ich recht in der Annahme, dass ein Angreifer meine M&M-Nr. erraten muss und dann noch gleichzeitig meine PIN, was bei 5 Stellen...

Ev. musste hier für Name (+ allerlei Daten) + MM Nummer niemand raten. Man wird ja oft zur Bekanntgabe der VF-Nummer aufgefordert (Flugbuchungen über div. OTA, Mietwagen-Reservierungen, usw.). Könnte ja auch hier irgendwo ein Leck geben.
Oder über ein offenes WLAN bei MM angemeldet, usw. Dann hast du gleich die gesamten Login Daten angegeben.

Thema 2FA: Kam bei mir noch nie, auch nicht bei (kurfristigen) F Buchungen, durchgeführt von irgend einer IP aus, irgendwo weit weg von Europa.

Wenn Hr. Gaydukov tats. eincheckt, dann freut er sich sicher auf die relativ günstige Hotelnacht, die ihm irgendjemand aus einem Forum "besorgt" hat

Hoffe, dass du deine Meilen zurück bekommst.

 

[Porti]

Das ist so nicht richtig.

Wenn Du den Status verlierst, funktionieren die alten Servicekartennummern für das Login auf der M&M Website in aller Regel NICHT mehr. Dort bekommst Du entweder eine kryptische Fehlermeldung, oder die Aufforderung Dich mit der aktuellen Servicekartennummer anzumelden.

Da weiß ich von mir, dass es nicht so ist.

 

[rcs]

Da weiß ich von mir, dass es nicht so ist.

Dann bist Du eine große Ausnahme. Für die Mehrheit ist es definitiv so, dass die alten Servicekartennummern für den Login nicht mehr funktionieren, sei es nach Kreditkartentausch oder nach Statuswechsel.

 

[Porti]

Dann bist Du eine große Ausnahme. Für die Mehrheit ist es definitiv so, dass die alten Servicekartennummern für den Login nicht mehr funktionieren, sei es nach Kreditkartentausch oder nach Statuswechsel.

Da muss ich mich mal um eine Lösung kümmern. So, wie es ist, gefällt es mir nicht. Dachte, dass ist bei allen so.

 

[TimoKoni]

Vllt. stehe ich gerade aufm Schlauch, aber was hat der Hacker bitte davon außer jmd. abzufucken?

Und schon „einige“ KK-Missbräuche (VISA oder MasterCard, nie Amex). Ging vom F-Ticket bis hin zu einem Gitarren-Erwerb in einem Musikladen in São Paulo…

Das F-Ticket sowie eine Hotelbuchung können doch nicht ernsthaft für eine Nutzung sein, oder?

Lieben Gruß

 

[thbe]

Die Daten werden beispielsweise über Malware auf dem Endgerät oder Router abgefangen. Das geht z.B. über Keylogger, die alles mitprotokolieren, was über die Tastatur eingegeben wird. Da kommen viele Daten bei rum, doch z.B. nach 9920/2220/3330 zu suchen, ist per Rechner nicht schwer. Auch Emails werden i.d.R. unverschlüsselt versendet und sind einsehbar.

Flüge und Hotelbuchungen können zu Geld gemacht werden, indem man sie gegen Geld für andere bucht, also gleich wieder verkauft. Die Kriminellen sind keinesfalls immer Profis, sondern häufig Amateure, denen es auch um den Kick geht.

Und nur weil man als User nach ein paar Falscheingaben gesperrt wird, muss das nicht für einen Hacker gelten. Schnöde Brute-Force-Angriffe stehen ganz oben auf der Liste. Anders als häufig dargestellt, liegt die Kreativität beim Hacken beim Finden der Einfallstore, nicht bei deren Umgehen. Ist wie beim Wohnungseinbruch. Das Werkzeug erfindet nicht der Einbrecher, sondern der Einbrecher findet passende Objekte und nutzt dann, was man im Baumarkt kaufen kann. Notfalls im „Baumarkt für Kriminelle“.

Man sollte eine Schutz-Software auf seinen Geräten haben und für den normalen Gebrauch kein Admin-Account nutzen. Das garantiert zwar keine Sicherheit, dünnt aber die Gesamtmenge potenzieller Angreifer aus.

 

[mf_2]

[...]

Man sollte eine Schutz-Software auf seinen Geräten haben und für den normalen Gebrauch kein Admin-Account nutzen. Das garantiert zwar keine Sicherheit, dünnt aber die Gesamtmenge potenzieller Angreifer aus.

Des Weiteren sollte man verschiedene Passwörter nutzen. So kann man zumindest ausschließen, dass der Hacker nicht auch noch in das (bei M&M hinterlegte) Mailkonto einsteigen kann - oder schlimmer noch - in den VFT-Account ;-) . Ich habe lange Zeit für vieles dasselbe Passwort verwendet. Mittlerweile nutze ich KeePass (als Passwort-Safe), wo ich dann für jeden Dienst ein eigenes Passwort generiere.

 

[i_miss_flying]

Das ist schon klar, dass das automatisiert läuft, aber wenn nach 4 Fehlversuchen zu gemacht wird, musst du es 25.000 Mal versuchen, um einen Treffer zu landen. Das aber auch nur unter der Voraussetzung, dass du nach 4 Versuchen immer wieder die Servicekarten-Nummer wechselst und immer eine verwendest, die tatsächlich existiert. Dann bist du irgend wann in irgend einem Account drin und wenn da nur 10.000 Meilen drauf sind, haste die Arschkarte gezogen.

PS: Dass da 100 oder 1000 Leute sitzen, ist ausgeschlossen, denn diese Leute müssen ja bezahlt werden und dafür ist die Ausbeute zu gering.

PPS: Wenn es Angriffe dieser Art gäbe, müssten jeden Tag zehntausende Meilenkonten wegen mehrmaliger Falscheingabe der PIN gesperrt sein. Davon hätten wir gehört. Deshalb bleibe ich dabei: Die Daten werden auf Anwenderseite abgegriffen. Alles andere ist unlogisch.

Ich bin mir da nicht mal so sicher.
Was ist, wenn der Angreifer anders herum vorgeht?
Wenn ich Account nach 3 Falscheingaben gesperrt wird, dann versucht der Angreifer eben nur 2 Pins, damit es nicht auffällt.
Dann wechselt der Angreifer bei 2 Versuchen seine IP etc.
Und was, wenn der Angreifer die MM Nummer nicht kennt? Dann geht er eben anders vor. Er braucht doch die MM Nummer nicht. Man generiert sich eben einfach eine Liste mit allen möglichen MM Nummern. Ein SEN oder HON hat wohl die meisten Meilen. Also sucht man nach 15 stelligen Nummern, die mit (ihr wisst die 4 Ziffern) beginnen. Die letzte Ziffer ist eine Prüfziffer, die kann sich auch jeder selbst ausrechnen. Bleiben von 15 Ziffern also nur noch 10 Ziffern übrig. Wer sich seine ganzen Nummern anschaut, kann noch weitere Muster erkennen und die Nummernkreise weiter einschränken.
Dann probiert man eben mit brute force alle Nummern durch und testet bei allen Nummer die gleiche PIN. Schon hat man einen ersten Ansatz.
Bei diesem Prinzip wird der Angegriffene also komplett zufällig gefunden.
Und das ist nur das, was ich mir als Laie ausgedacht habe. Wenn man das ernsthaft betreibt, findet man sicher noch 100 weitere Optimierungen, oder auch Abgriffsstellen, wo real existierende MM Nummern "abfallen".Denkt nur mal an die 1000 Promos, wo man überall bei jedem Dorfladen inzwischen MM Meilen sammeln kann. Da muss ja nur mal eine Datenbank kompromitiert werden, da werden sich ja viele Meilensammler angemeldet haben. Von Kreuzfahrtnewsletter über Payback bis hin zu Hotel-Checkins.

Ganz ehrlich: wenn es eine 2FA gibt, und die aber nicht immer "anschlägt", nicht einmal bei einer Einlösung, dann ist das schon echt schwach... Und dann macht das so einen Angriff eben auch sehr zur Zielscheibe.

 

[reisehaile]

Zuerst mal sehr ärgerlich was dem TO passiert ist und ich hoffe das sich die Sache klärt.

Möchte aber bitte zu denken geben das mit den vielen Tipps und aufzeigen der Sicherheitslücken in dem Thread dies eine "kleine" Hilfe ist wenn jemand genauso
etwas versucht aber nicht alle Details bzw. Abläufe kennt

 

[wizzard]

 

[huby]

Zuerst mal sehr ärgerlich was dem TO passiert ist und ich hoffe das sich die Sache klärt.

Möchte aber bitte zu denken geben das mit den vielen Tipps und aufzeigen der Sicherheitslücken in dem Thread dies eine "kleine" Hilfe ist wenn jemand genauso
etwas versucht aber nicht alle Details bzw. Abläufe kennt

„Security through obscurity“ war schon immer ein hilfreicher Ansatz

 

[schmittg]

Was dieses Thema für mich klar gemacht hat, ist, daß die 2 Faktor Authorisierung des M&M Meilenkontos wohl nicht so sicher ist, wie ich glaubte. Nach Erfahrungsberichten einiger User (siehe oberhalb) sprach selbst bei hohen Meilensummen die 2FA nicht an. Wenn ich heute im Internet etwas mit der M&M KK einen Kauf tätige, kommt bei höheren Beträgen gefühlt mit sehr hoher Wahrscheinlichkeit die SMS mit der Freigabenummer und gleichzeitig die Sicherheitspasswortabfrage.

 

[doc7austin2]

Wenn ich das mir so durchlese, dann ist es wohl das wahrscheinlichste Szenarium, dass die Betrüger eine Schwäche in der Schnittstelle zwischen M&M und points.com ausgenutzt haben.

 

[Flo86]

ANZEIGE

Bei mir ist heute folgendes Szenario aufgetaucht: in meiner Lufthansa App war für morgen ein Flug nach Algier von einem Mohammad Z. als Wartelisten Buchung in X.
Sofort ist mir dieser Thread eingefallen und ich bin davon ausgegangen, dass mein Account gehackt wurde. Sofort bei der deutschen Hotline angerufen, die Dame hat dann 20min mit ihrem Supervisor Rücksprache gehalten. Hab in der Zwischenzeit mein MM Konto gecheckt und den PIN geändert, Meilen würden nicht abgebucht. Dann kam die Nachricht von der Dame, es handelt sich um einen technischen Fehler, sie wisse nicht warum ich diese Buchung sehe. Es sei aber alles in Ordnung...
Solange keine Meilen abgebucht wurden ist es für mich in Ordnung, aber irgendwas dürfte da gröber nicht stimmen bei Lufthansa derzeit!
Theoretisch könnte ich jetzt den Check-in von dem Herren rückgängig machen z.B.