eBay Kleinanzeigen: Account-Diebstähle nehmen drastisch zu

Thread Starter
Mitglied seit
06.03.2017
Beiträge
113.964
ebay.jpg
Das ehemalige Kleinanzeigenportal von eBay ist mal wieder das Ziel von Betrügern geworden. Allerdings sind es diesmal keine Bots, die persönliche Daten oder ein Bild des Personalausweises erbeuten möchten. Laut Angaben von eBay Kleinanzeigen versuchen derzeit verstärkt Kriminelle Accounts von Nutzern zu übernehmen. Hier gab es bei den Anfragen von betroffenen Usern einen Anstieg von 250 %. Laut einem Sicherheitsexperten des Portals melden sich die eigentlichen Kontoinhaber erst bei den Betreibern, wenn sie feststellen, dass über das eigene Nutzerkonto plötzlich Dinge angeboten werden, die sie selbst nicht eingestellt haben.
... weiterlesen
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
eine einfache sperre mit auszeit nach 4 mal falsches passwort würde sicher massiv weiterhelfen. jedoch hat der artikelerschreiber recht. 1234abcd ist eben dumm
 
Irgendwas/irgend ne Abschaumgruppe ist zur Zeit von der Leine gelassen worden.
Eins meiner email Konten wird auch alle paar Tage mit versuchten Logins bombardiert. Ein mal warens gleich 12 Versuche.
Beitrag automatisch zusammengeführt:

eine einfache sperre mit auszeit nach 4 mal falsches passwort würde sicher massiv weiterhelfen.
Dadurch macht sich die Webseite gegenüber einer Form von DDOS Angriffen verwundbar. Ein Botnetz könnte alle 10 Minuten eine gesamte Emaildatenbank 4 mal abklappern und damit all die Nutzer aussperren...

Wirklich helfen tut eher nur 2-Faktor Authentifizierung.
Oder wenn man wenigstens beim Einstellen von Artikeln nachdem z.B. eine Woche nichts eingestellt hat, einfach per Mail den Artikel nochmal bestätigen müsste.
 
Zuletzt bearbeitet:
das habe ich nicht bedacht.

dann eben ein paar beistriche ins passwort um mit den CSV daten zu pfuschen.
 
Ein Botnetz könnte alle 10 Minuten eine gesamte Emaildatenbank 4 mal abklappern und damit all die Nutzer aussperren...
das kann man leicht verhindern indem man nach der ersten Falscheingabe die Maske ändert und noch etwas was ich hier nicht schreibe, der Bot ließt ja mit.
 
das kann man leicht verhindern indem man nach der ersten Falscheingabe die Maske ändert und noch etwas was ich hier nicht schreibe, der Bot ließt ja mit.
Ja es ist ein ewiger Aufrüstkampf von Maßnahmen und Gegenmaßnahmen..
Drum sage ich einnmal mehr, die Staaten dieser Welt müssten mehr tun um ihre Unternehmen zu schützen.. Vom Bürger wird ja auch nicht erwartet dass er besonders sichere Schlösser in seiner Wohnung verbaut.
 
Die machen doch seit einiger Zeit diese komischen Bilderchen, wo man Ampeln, Busse, Gullideckel, etc. suchen muss.
Das ist doch schon einiges an Sicherheit.

Zudem kann/sollte der Nutzer ab und zu sein Passwort ändern. Nicht monatlich, aber regelmäßig.
Ebay Kleinanzeigen könnte zudem vorschreiben, wie lange das Passwort mindestens sein muss und auch überprüfen ob es eine Kombination aus Zahlen und Buchstaben ist.
Beim Linux Login ist diese Vorgehensweise schon seid vielen Jahren üblich. Es kommt dann eine Meldung "ihr Passwort ist nicht sicher", so in der Art.

Wenn man diese Schritte verfolgt, ist ein Account schon sehr sicher.
Ich mache es so und hatte noch nirgendwo Probleme damit, das mein Account gehackt oder missbraucht wurde.

Man beachte: "Das leichteste Einfallstor ist der Nutzer selbst. Faulheit und Bequemlichkeit öffnen so manche Türe."
 
Ebay Kleinanzeigen könnte zudem vorschreiben, wie lange das Passwort mindestens sein muss und auch überprüfen ob es eine Kombination aus Zahlen und Buchstaben ist.
tun sie schon es muss mindesten eine Zahl u. ein Sonderzeichen enthalten,
 
So ist es.
Letzte Woche hatte auch irgendjemand meinen Account bei Ebay Kleinanzeigen übernommen.
Und mein Passwort bestand aus Buchstaben, Zahlen, Sonderzeichen, Groß/Kleinschreibung (nach ähnlichem Muster wie z.B.: &vGXC+9b4r) und ich hatte es nirgendwo anders verwendet.
Die Übernahme habe ich beim Checken meiner Emails gemerkt, denn wenn man die Daten ändert, bekommt man eine Email.
Aber ein kurze Mail an Ebay KA hat genügt, habe wieder Zugriff.
Natürlich habe ich das Passwort auch geändert gegen eines, das keine Ähnlichkeit mit dem alten Passwort hat.
 
Deswegen sollte man seine Passwörter regelmäßig ändern und pro Account ein separates und 2FA nutzen. Aber wer macht das schon?
 
und ich hatte es nirgendwo anders verwendet.
Ach krass. Das kann ja nur durch einen verseuchten PC passiert sein oder man hat das PW durch Bruteforce ermittelt. Letzteres kann ich mir aber irgendwie nicht vorstellen?! Ist die EKA API nicht limitiert?

@Luxxiator
Naja, Nutzer eines iPhones haben es mit dem Apple Schlüsselbund relativ leicht und für alle andere gäbe es Lösungen wie Keepass, wenn man das will. Aber du hast recht, bei vielen siegt die Faulheit. Ich selbst nutze für jeden Dienst eine eigene Email und ein separates PW.
 
Das kann nicht nur per Bruteforce oder einen verseuchten PC passiert sein, sondern auch durch Leaks von Passwortdatenbanken.
Ich habe auch nur separate Passwörter und mehrere Emailadressen.
Bei einer meiner Emailadressen bekomme ich regelmäßig Nachrichten über Einlogversuche, die aber dank 2FA scheitern.
 
Naja, das Problem sind die komplizierten kurzen Kennwörter...

Man hat den Leuten einfach lang genug beigebracht, das sowas sicher ist - dabei wäre die Länge halt doch mal entscheidend! - kann man ja trotzdem noch Sonderzeichen einfügen.
Ich verwende einen lokalen Passwortsafe - muss ich mir auch längere Kombinationen nicht merken - is halt ggf. doof für unterwegs...
 
@konfetti
So siehts aus. Solange das PW nicht "123456", "Passwort" oder "LieschenMüller" bei gleichzeitig genutzter Email "LieschenMüller@web.de" lautet passiert da nichts. Aber ob man nun "!"§$"&§%$§!"aelfnja" oder "Extremlangepasswörtermagichgerne" nimmt ist nahezu Hupe. Letzteres wird niemand auf gut Glück raten und es ist zum Verhindern von Bruteforce locker lang genug.
Der Knackpunkt ist eigentlich das die Leute bei allen Diensten die gleiche Email und das gleiche PW verwenden, teilweise sogar für die Email Adresse selbst. Da hilft dann auch kein 2FA mehr, wenns bei einem der Dienst ein Datenleck gab.

Ich nutze für jeden Dienst eine separate Email mit einmaligem PW. Dazu einen PWsafe (Keepass) und das MasterPW nutze ich natürlich nirgendwo sonst ;)
 
Selber Schuld wenn man den Leuten Rufnummernzwang aufzwingen will
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh