Steam Account gehijacked

Das schlimme daran ist, das 2FA eine falsche Sicherheit vermittelt.
Leider habe ich den Link nicht zur Hand, weil heute damit ein Kollege ankam und mir das Video nur zeigte.
Da ging es um den Fall einer Youtuberin, die auch im IT-Sektor macht und deshalb genau bescheid wissen sollte, wenn von Sicherheit die Rede ist.
Die Geschichte kurz zusammengefasst: Der wurde der Youtube-Account geklaut. Jaja... hätte sie doch mal 2FA gemacht. Nun der Funfact: Hatte sie.
Die hatte alle Sicherheitsmaßnahmen aktiv, die Google für so einen Account anbietet - ALLE.

Nachdem sie dass dann anhand von Logs versucht hat nachzuvollziehen, ist sie dahintergekommen wie es funktionierte.
Ihr wurde die Web-Session während eines Urlaubs geklaut, weil sie da mal kurz in einem öffentlichen WLAN war. Zumindest war es nach ihrer Aussage der einzige nachvollziehbare Einfallsvektor.

Nachdem die Session geklaut war, konnte sie nichts mehr machen. Die Angreifer haben ganz systematisch den Account umkonfiguriert, so dass sie absolut keine Chance mehr hatte da einzugreifen.
Hat sie letztlich über den Google-Support geregelt bekommen, dem sie gleich noch den Seitenhieb mitgab, dass der nur extrem aufwendig überhaupt zu erreichen ist, wenn eben der elektronische Weg über den Account nicht mehr geht...
Was mir aber mehr durch den Kopf ging war, warum Google in seinem System überhaupt so einen für Account-Klau typischen Ablauf von Aktivitäten zulässt ohne Bremsen dort eingebaut zu haben.

Du kannst 20 unabhängige Legitimierungsstellen haben, wenn das Gesamtsystem an sich, andere Einfallstüren hat, die an all dem vorbei operieren.

Das is so ähnlich wie der Effekt bei Einbruchsopfern. Da war mal wer in der Wohnung und das erste was die Leute dann machen, ist sich das Türschloss Typ "Fort Nox" einbauen zu lassen, ignorieren aber, dass meist ein Schraubendreher reicht, um ein Fenster aufzuhebeln - ja sogar ein simpler Pflasterstein. Aber sie schlafen eben wieder ruhig. Glaube ist eben alles.

Wenn man teils grundlegende Sicherheitsaspekte missachtet, und vielen sind diese mangels Wissen nun einmal nicht klar/bekannt, nutzt einem weder 2FA etwas, noch ein 300-Stelliges Zahlenschloss an der Tastatur.
Deswegen nie dem Glauben verfallen "nu kann mir ja nichts mehr passieren". Das ist einfach falsch!

Ja, da habe ich vor einigen Wochen ein Video drüber gesehen..Schon krass, wie das abgelaufen ist. Google scheint auch sehr zurückhaltend darauf bislang reagiert haben.
Ich vermute mal, das dieses Google ganzes "Sicherheitskonzept" über den Haufen werfen würde.
Wenn das breite "Schule" macht, dann werden noch sehr unruhige Sicherheitszeiten auf uns zu kommen.

Wenn das mit dem Session-Klau stimmt, was zumindest aus technischen Gesichtspunkten logisch und nachvollziehbar wäre, ist das keine neue Methode.
Das gehört so mit zu den ältesten Tricks im Web und funktioniert bei deiner Bank genau so wie auf jeder sonstigen Webseite.
Man hat da zwar ein paar technische Hebel, allerdings eben keine 100%-Lösung.

Aber schön wenn Du es auch gesehen hast. Falls Du den Link noch findest, kannst ihn ja mal ergänzen. Ich weiß leider nicht einmal mehr wie das Video hieß...

Du meinst reines session-hijacking?
Das gibt es ja schon gefühlt ewig. Aber da ich weiss wer da schreibt, kommt da sicher mehr als mitm

Ja, so wurde es da beschrieben.

Grr ich finde auch nix. Wäre geil wenn ihr fündig werdet. Alls was ich finde ist von 22 oder früher

GuyFawkes667 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ohne jetzt alle vorangegangenen Posts gelesen zu haben, du musst dich auf jeden Fall an den Steam Support wenden. Diese werden dann die PayPal-Abrechnungen vorangegangener Käufe einfordern um dich als Besitzer zu identifizieren.
Sollte nicht zu schwer sein.

Ich meine, es war dieses Video:

Und dieses:

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Wird nicht immer damit geworben, das VPN alles sicherer macht im öffentlichen WLAN? Bringt VPN in so einem Fall überhaupt was? Damals wo ich nur 500 MB pro Monat hatte, habe ich mich nie getraut im öffentlichen WLAN mal in mein Onlinebanking oder ähnlichem zu schauen Aber gut, die Zeiten sind ja Gott sei dank mit über 10 GB pro Monat und VPN vorbei ^^ Aber in dem Fall würde mich das trotzdem Interessieren, da NordVPN mit sowas wirbt

CrazyDogg schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ganz klar ja!
Sofern der komplette Traffic über den VPN läuft. Allein wenn nur DNS Anfragen nicht über den laufen, kann man darüber wieder jemandem aufs Kreuz legen.

In der Regel braucht man aber keinen VPN Anbieter anmieten. Viele Heim-Router haben eine VPN-Funktion. Dann wählt man sich eben in seinen heimischen Router ein. Nicht so schnell, sicher, aber im Regelfall völlig zweckmäßig.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ganz klar Jein.
NordVPN würde ich z.B nicht weiter vertrauen, als ich Schweine werfen könnte.
Und ich bin nicht sehr kräftig.
NVPN hatte ja bereits einen Breach und ist auch dadurch bekannt geworden, das Daten der User auf Nachfrage der US-Behörden plötzlich doch anhand von Protokollen belegt herausgegeben wurden.
Traue keinem VPN, der Werbung über Streamer oder "worst case" im TV schaltet.

Es ging ja nicht um die Frage ob man per VPN-Anbieter den großen Drogenhandel starten kann, sondern ob es wirksam den Session-Klau unterbindet, wenn man in einem öffentlichen WLAN ist.
Letzteres ist eben ganz klar der Fall. Da reicht irgendein VPN, auch der über den eigenen Router daheim, völlig aus.

Ansonsten stimme ich zu, dass die Werbeclaims der VPN-Anbieter haarstreubend sind. Aber das war eben halt nicht die Frage.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ich glaube, die wenigsten unter uns denken, dass - trotz zusätzlicher Absicherung - nix passieren kann.
Alleine die vielen Meldungen, auf welche Arten dies und jenes Sicherheitskonzept ausgehebelt wurde, hinterlassen genügend fanden Beigeschmack.

Im Falle des von dir genannten Beispiels der YouTuberin...
Okay, VPN im Urlaub vergessen. Daran lag es in dem Fall.
Hätte sie 'n VPN-Abo gehabt, würde man sagen, das wäre ganz offensichtlich der falsche Anbieter gewesen, weil Leak und bla bli blub.
Dauert nochmal ne Weile, bis dann rauskommt, dass es evtl. doch an ner Sicherheitslücke in der neuen YouTube-Studio-App lag.
Hätte sie das über ihren Router geregelt, würde man vlt. draufkommen, das die FW Schuld dran war.
...das nur mal eben als fiktives Beispiel in den Raum geworfen.

Man begibt sich halt allgemein immer mehr in eine Abhängigkeit. Und ich meine jetze ned nur Social-Media.

Nur mal eben ein "paar Jahre" zurückgedacht. Damals hattest du deine Games und Filme noch physisch in der Hand.
Hätte dir das Zeug jemand klauen wollen, hätte derjenige direkt bei dir einbrechen müssen.
Das Handy war zum Telefonieren da und bei Verlust oder Diebstahl war der Schaden verhältnismäßig gering.
Schützenswert waren damals Mail-Accounts.

Leider sind wir inzwischen an einem Punkt angelangt, wo das grundsätzlich anders is.
Die Frage, ob es deswegen früher besser war, stelle ich nicht.
Aber einfach war's allemal.

Reisebüro? Was is das?
Kartenvorverkauf fürs Volkstheater? Nope, nur noch online.
Gerade ältere Leute fallen halt ganz schnell durch's Raster.
Die haben also ganz anderew Probleme, als "Online-Sicherheit".
Nette Kurse in VHS oder Pfarrheim, wie man mit der Maus umgeht oder nen Brief schreibt, können nicht die Lösung sein.

Aber was verlange ich hier von Entscheidungsträgern, die es nicht mal schaffen, hierzulande GF salonfähig zu machen.

GabeLogan41 schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

Ja, das ist ein guter Punkt, dem ich absolut zustimmer. In mehrerlei Hinsicht.
Aber insbesondere führt diese großflächige Verteilung zu einer erheblichen Erhöhung der Angriffsvektoren.
Früher, wie du schriebst, war die Sicherheit meiner eigenen vier Wände ein maßgeblicher Faktor.
Heute hingegen ist die Sicherheit außerhalb meiner vier Wände, so muss man das sagen, wichtiger geworden.
Allerdings habe ich absolut keinen Einfluss darauf, wie dort Sicherheit gehandhabt wird.
Hinter meine Haustür kann ich im Zweifel eine Sprengfalle packen. Aber wie mache ich das bei meinem Stream-Account?
Ich kann nur darauf vertrauen, dass der Anbieter schon weiß was er tut. Wie wir aber nun auch wissen, wissen die es nachweislich in vielen dokumentierten Fällen nicht.
Das geht mit Dingen los wie Passwörte die im Klartext gespeichert wurden, bis hin zu kniffeligen Konfigurations-Lücken, weil sie ihr eigenkonsruiertes System nicht mehr hinreichend verstanden haben.
Und letzteres ist genau das Problem: Je komplexer der Gesamtzusammenhang wird, desto höher steigt die Gefahr auf Fehler darin.

Und genau dann kommt das Rätzelraten, exakt so wie du es beschrieben hast: VPN benutzt? Ja! VPN Anbieter komprimittiert? Hm... könnte sein!?
Deswegen funktionieren ja diese Betrügermails mit dem bekannten Inhalt: Hey, ich habe gesehen was du gestern an deinem PC gemacht hast! Ich hab mich in deiner Webcam gehackt....
Wo ein sehr großer Teil der nutzer die Frage, ob das wirklich passiert ist, doch mit "könnte sein!?" beantworten muss. Weil sie die komplexität der Systeme, die sie da benutzen, zwar bedienen können, aber eben nicht beherrschen.

xNecromindx schrieb:

Bitte, Anmelden oder Registrieren um den Inhalt zu sehen!

Zum Vergrößern anklicken....

hatte ich auch mal bekommen. hab selten so gelacht, da der rechner mehrere tage aus war und der auch keine webcam hat
also zuhause wird cyberghost am pc genutzt und das gibt mir auch eine gewisses gefühl von sichherheit. aber auch nur, weil ich vorher auch überlege, was ich im netz so treibe und nicht wie wild auf alles und jeden link etc klicke und vorallem dort auch nix von mir preis gebe.
aber dank an dem, der mein steamacc gehackt hatte. nun bin ich noch ein tuck vorsichtiger und weitsichtiger unterwegs, zumindest glaube ich das...
finde es klasse, dass ihr hier so mit erfahrungen und meinungen schreibt und andere leute gewarnt werden etc.

Ja, natürlich kann man über diese Mails nur lachen. Sie sind ja faktisch eine Spam-Mail.
In aller Regel, oder zumindest eine Zeit lang, enthielten diese Mails (die mein Mailserver im Übrigen mittlerweile automatisch ausfiltert und verwirft) eine Bitcoin-Adresse, auf der man das "Lösegeld" überweisen sollte.
Das tolle an Bitcoin ist ja, dass es wegen der Blockchain nachvollziehbar ist.
Bei ein paar dieser Bitcoinadressen habe ich dann eben mal geschaut was dorthin überwiesen wurde. Nunja, da lässt sich offenbar schon ne Mark mit machen... Oder anders gesagt: Leute fallen darauf rein, weil sie eben nichts davon sicher ausschließen können.

Aber so plump wie hier ist ja längst nicht jede Spam-Mail.
Ich meine es war eine angebliche Mail von Paypal, wenn ich mich recht erinnere. Das war auch eine Fakemail. Allerdings war die derart gut gemacht, dass es dem gewöhnlichen Nutzer sicher nicht auffallen würde, dass die Fake ist.
Das geht ja meist los, indem in der Anrede dann einfach "Hallo Herr/Frau..." steht. Kein Name, nichts. Einfach neutral. In der Mail stand mein voller Name. Dann schaut man sich ja die Mail an, ob da Inhaltlich was nicht stimmt, der Footer mit Unternehmensangaben, wie das so üblich ist. Wenn da Links drin sind, ob die wirklich zu dem Unternehmen führen usw. Das war alles korrekt.
Komisch war eben nur, was die von einem wollten. Da weiß ich nicht mehr ganz genau was es war. Auf jeden Fall führte dass dann letztlich in einer fragwürdige Ecke.

Ist ja auch nicht nur einem Unternehmen passiert, dass die Buchhaltung vom angeblichen Chef eine dringende Mail bekommt, wo sie nen paar Tausender irgendwo überweisen sollen, weil das jetzt grad ganz wichtig ist...
Das hat schon so oft geklappt. Und die Methode ist ja vergleichsweise plump.
Bei richtigen Social Engeneering Angriffen gehen solche sachen teils über Tage/Wochen/Monate, wo erst einmal eine Vertrauensbasis aufgebaut wird und ein Gewöhnungseffekt hervorgerufen wird, bis man zum eigentlichen Angriff übergeht. Die allermeisten Leute würden da sicher drauf reinfallen. Da kannst du selbst Schniedelwutz-Scanner überall haben, weil einfach der berechtigte selbst zum Handlanger wird.