ANZEIGE
Im Lufthansa-Thread wurde heute auch von so einem Fall berichtet. Angeblich bereits gefixt.
Miles & More Hackingangriff
- Starter*in PradeYT
- Datum Start
ANZEIGE
Bei mir funktioniert auch meine uralte Servicekartennummer inkl. der damaligen PIN
UPDATE!!!
Vielen Dank für all die hilfreichen Tipps. Letztendlich war ich bei der Polizei und habe Anzeige erstattet.
Lufthansa hat nach dem zusenden der Anzeige sämtliche Meilen zurückerstattet. Also noch einmal Glück im Unglück gehabt.
Ansonsten Liebe Grüße
Vielen Dank für all die hilfreichen Tipps. Letztendlich war ich bei der Polizei und habe Anzeige erstattet.
Lufthansa hat nach dem zusenden der Anzeige sämtliche Meilen zurückerstattet. Also noch einmal Glück im Unglück gehabt.
Ansonsten Liebe Grüße
ANZEIGE
![300x250]()
Auch wenn Miles und More tatsächlich 2015, 2019 und 2020 gehackt worden ist und Kundendaten entwendet wurden, war es bei mir eine Phishing Attacke.
Es kamen erst einige, dann viele Phishing Emails.
Jedes Mal sah es aus, als ob jemand das M&M Konto geknackt hatte.
Dabei kamen die Emails von verschiedenen Email Servern, um nicht sofort im Spam zu landen.
Ich habe im Nachgang versucht, die Email Server anzusprechen aber diese existierten bereits nicht mehr.
Die Idee hinter den Phishing Emails ist, dass der Nutzer sich in Panik auf dem vermeintlichen M&M Konto mit 2FA einloggt und Angreifer währenddessen bequem Zugangsdaten abgreifen. Da OTP im schlechtesten Fall 30 Sekunden gültig ist, reicht die Zeit aus, damit sich Angreifer am M&M Konto anmelden und Meilen transferieren können.
Zu den obigen Gedanken, dass am anderen Ende der Leitung Leute sitzen und sich manuell in Konten einzuhacken versuchen, sei gesagt, dass Angriffe voll automatisch durchgeführt werden. Tausende Konten werden parallel durchprobiert und wenn eine ID geblockt wird, dann wird die nächste ID durchprobiert, usw.
Nach den vorgegebenen Wartezeiten geht es dann systematisch weiter.
Angreifer starten z. B. vollautomatisch Virtuelle Maschinen bei AWS, führen für 59 Sekunden Angriffe durch und löschen die Maschine dann.
59 Sekunden deshalb, weil VMs für diese Zeit kostenlos sind. Da AWS über IP Blöcke mit Millionen IPs verfügt und niemand AWS blockieren kann, hilft auch kein IP Blocking.
Generell ist meiner Meinung nach das Problem, dass alle BAFIN registrierten Dienstleister (also auch DKB und Miles and More) die Kundenlogins nach wie vor nur mit einer 5-stelligen aus Ziffern bestehenden PIN absichern müssen und 2FA dabei nur alle 90 Tage abgefragt werden muss.
Dass dabei auch Kreditkarten mit Bonusprogrammen verknüpft sind, ist für Angreifer umso attraktiver, spiegelt sich aber nicht in einem erhöhten Sicherheitsniveau wider.
Als Kunde steht man aber nicht völlig leer da, denn Miles and More ist ein Finanzdienstleister und dieser ist auch für Bonuspunkte schadensersatzpflichtig. Ein Urteil dazu ist mir nicht bekannt aber im Internet wird über diverse Fälle berichtet, wo Kunden erfolgreich Schadensersatz über Anwälte ausgehandelt haben.
www.anwalt.de
www.cllb.de
Ich habe jedenfalls meine Kreditkarte bei Miles and More gekündigt.
Es kamen erst einige, dann viele Phishing Emails.
Jedes Mal sah es aus, als ob jemand das M&M Konto geknackt hatte.
Dabei kamen die Emails von verschiedenen Email Servern, um nicht sofort im Spam zu landen.
Ich habe im Nachgang versucht, die Email Server anzusprechen aber diese existierten bereits nicht mehr.
Die Idee hinter den Phishing Emails ist, dass der Nutzer sich in Panik auf dem vermeintlichen M&M Konto mit 2FA einloggt und Angreifer währenddessen bequem Zugangsdaten abgreifen. Da OTP im schlechtesten Fall 30 Sekunden gültig ist, reicht die Zeit aus, damit sich Angreifer am M&M Konto anmelden und Meilen transferieren können.
Zu den obigen Gedanken, dass am anderen Ende der Leitung Leute sitzen und sich manuell in Konten einzuhacken versuchen, sei gesagt, dass Angriffe voll automatisch durchgeführt werden. Tausende Konten werden parallel durchprobiert und wenn eine ID geblockt wird, dann wird die nächste ID durchprobiert, usw.
Nach den vorgegebenen Wartezeiten geht es dann systematisch weiter.
Angreifer starten z. B. vollautomatisch Virtuelle Maschinen bei AWS, führen für 59 Sekunden Angriffe durch und löschen die Maschine dann.
59 Sekunden deshalb, weil VMs für diese Zeit kostenlos sind. Da AWS über IP Blöcke mit Millionen IPs verfügt und niemand AWS blockieren kann, hilft auch kein IP Blocking.
Generell ist meiner Meinung nach das Problem, dass alle BAFIN registrierten Dienstleister (also auch DKB und Miles and More) die Kundenlogins nach wie vor nur mit einer 5-stelligen aus Ziffern bestehenden PIN absichern müssen und 2FA dabei nur alle 90 Tage abgefragt werden muss.
Dass dabei auch Kreditkarten mit Bonusprogrammen verknüpft sind, ist für Angreifer umso attraktiver, spiegelt sich aber nicht in einem erhöhten Sicherheitsniveau wider.
Als Kunde steht man aber nicht völlig leer da, denn Miles and More ist ein Finanzdienstleister und dieser ist auch für Bonuspunkte schadensersatzpflichtig. Ein Urteil dazu ist mir nicht bekannt aber im Internet wird über diverse Fälle berichtet, wo Kunden erfolgreich Schadensersatz über Anwälte ausgehandelt haben.
Miles & More-Konten gehackt und Flugmeilen abgebucht
www.anwalt.de
CLLB Rechtsanwälte für Anleger & Verbraucher: München & Berlin
Ihre Kanzlei für Anleger- und Verbraucherrechte ✓ langjährige Erfahrung ✓ Jetzt unverbindlich beraten lassen ➤ ☎ 089 55299950
www.cllb.de
Ich habe jedenfalls meine Kreditkarte bei Miles and More gekündigt.