[Ungelöst] (Steam)Nachfolgen als ehem. Phishing-Opfer

Dennis50300

Dennis50300

Banned
Thread Starter
Mitglied seit
11.03.2012
Beiträge
3.701
Ort
Braunschweig
Hat jemand vielleicht eine Idee dazu ?
Ich hatte da mal wortwörtlich gepennt gehabt, bin auf Phishing reingefallen, der Trick war, eine gut nachgeahmte Seite die natürlich nicht die Steamseite war. (URL, einfach nicht aufgepasst aufgrund eines Links...)
Man hatte also für einen Login, meinen Authenthifizierungscode sogar gefischt und der Account war einige Tage weg, natürlich hatte ich ausreichend belastende Beweise das es mein Account ist, beispielsweise das neue "Prey", von extern aktivierter Code, ich habe die DVD-Hülle natürlich hier, Screenshots auf die Schnelle etc. sowie natürlich Freunde die es entsprechende gemeldet haben. (ja klar, ich bin umgezogen spreche plötzlich russisch und wohne dort... :d )

Nun bekomme ich jeweils 2 Mails das man wohl versucht hat "Steam Account Recovery" doch tatsächlich nochmal versucht hat, insgesamt 2 mal hintereinander den wieder "zurückzukapern"
Logisch einmal aus Rumänien und dann plötzlich wenige Minuten darauf aus Griechenland, was so garkeinen Sinn macht, logischerweise.
Die Mails mit Codes kamen halt rein wie üblich wenn man sich denn mal auf einem neu installiertem Windows/anderen Rechner wieder einloggt quasi, einmal um 02:04 und dann kam eine um 02:18 rein :d
Weil man ja auch innerhalb weniger als 15 Minuten von Rumänien das realistischerweise dann schon aus Griechenland nochmal versuchen kann... :ROFLMAO:

Nun, bemerkt auf dem Smartphone hab ich die Mails gerade vor einigen Minuten auch erst, Account ist noch meiner natürlich, alles kein Ding
Zitat
"If you are not trying to recover your Steam login credentials from a computer located in Prahova, Romania, please ignore this email. It is possible that another user entered their login information incorrectly."
Beispielsweise

Also irgendwie muss man diesen Betrügern doch das Handwerk legen können, Anzeige erstatten ?!???
Bringt es sowas ?

Ich muss mich echt fragen, warum die von Steam es anscheinend nicht verstehen oder verstehen wollen, ich logge mich seit zig Jahren für die erkennbar und ich kann es sogar nachgucken über "Support" über die GUI vom Steam Clienten,
das ich mich seit Ewigkeiten aus Niedersachsen, Braunschweig einlogge.

Wieso zur Hölle, sagt man hier nicht einfach, ok, dieser Account kann man sich so oder so maximal nurnoch aus Deutschland einloggen und fertig, diese Support-Anfrage hab ich direkt wieder "abgeknickt" denn das führt so ja zu nichts.

So eine simple kacke ja, da krieg ich die Pimpanellen...
Man kann einfach keine entsprechende Support-Anfrage ansetzen die der Situation entspricht

Es ist ja an sich schon fatal, das man zu einer Mailaddy-Änderung nicht direkt noch einen nächsten Code bekommt offenbar, überhaupt deswegen war man ja überhaupt erst in der Lage durch das Phishing meinen Account zu kapern...,
n Riesen Ding, viele Menschen geben da n Haufen Geld aus, aber die Sicherheitsmaßnahmen sind wohl noch auf dem Stand von Windows 95... das is echt mega :unsure:


Gruss Dennis
Beitrag automatisch zusammengeführt:

Ahja zuguterletzt konnte ich meinem Account abgesehen von Mailadresse auch meine Smartphonenummer noch hinzufügen
 

Anhänge

  • hacktry1 geschwärzt.jpg
    hacktry1 geschwärzt.jpg
    39,1 KB · Aufrufe: 100
  • hacktry2 geschwärzt.jpg
    hacktry2 geschwärzt.jpg
    46,1 KB · Aufrufe: 104
  • supportmeldung schräg.jpg
    supportmeldung schräg.jpg
    59,2 KB · Aufrufe: 100
Zuletzt bearbeitet:
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Das ist wie mit Emailadressen die einmal in einem Spamverteiler waren.
Die Steam Userdaten bekommt man sofern abgeflossen nie wieder ganz sauber.
Da hilft nur drüber stehen und nicht ärgern.

Der Accountname wurde mit vielen anderen wahrscheinlich irgendwo für nen paar Dollar verramscht und jetzt gehen die Leute drauf los, in der Hoffnung nen Skin abzugreifen oder einen Account zu erwischen der nen funktionierendes Spiel "X" hat um die Cheatengine daran zu testen, bis man gebannt wird.

Mach dir nichts draus.
Es soll wohl die Möglichkeit geben die Authentifizierung zusätzlich noch über die SteamAPP auf dem Handy zu realisieren.
Eventuell wäre das etwas um ein mehr an Sicherheit zu haben.
 
Wer Accountname, verknüpfte Mail des Accounts und die Ticketnummer eines laufenden Tickets öffentlich per Screenshot in einem Forum teilt, der sollte vielleicht mal über das große Sicherheitsrisiko Layer 8 nachdenken.:ROFLMAO:

Die Sicherheitsmaßnahmen von Steam taugen genauso viel wie alle anderen 2FA-Authentifizierungen, wenn man sie denn nutzt und nicht auf billige Phisingversuche reinfällt und leichtsinnig überall seine Daten teilt. Wer da "auf dem Stand von Windows 95" hängengeblieben ist, ist hier wohl eindeutig nicht Steam.
 
Zuletzt bearbeitet:
@Zyxx:
Ich hab da alle Möglichkeiten aktiviert die nur möglich sind, auf die SteamAPP, wobei diese in der Tat ne Weil aus gewesen war, ausgerechnet als man mich gefischt hatte :d

@Selas
Schön daneben, wenn ich schon 2FA-Authentifizierung anbiete, dann zum Ändern der Mailaddy halt n extra Code, ganz einfach, aktuell gibt es nunmal offensichtlich mehr Phishing als tatsächliche Viren und genau da ist die Sicherheitslücke eben bei Steam

Das man mal pennt mit der URL, das kann jede/r mal passieren.
Da bist du mal ziemlich auf dem Holzweg, mit einem weiteren Code zum Mailaddy ändern, wäre das mit dem Kapern nämlich schlichtweg garnicht möglich gewesen, so sieht es nämlich nunmal einfach aus

Gruss Dennis
Beitrag automatisch zusammengeführt:

@Zyxx
joa, man kann es ja auch mal von der anderen positiven Seite sehen nun, einfach denken "joa verschwendet mal weiter eure Zeit" :d
In der Zeit können Sie niemanden anderes tatsächlich Fischen und bei mir kommt eh nix mehr durch


Gruss Dennis
 
Dennis50300 schrieb:
@Selas
Schön daneben, wenn ich schon 2FA-Authentifizierung anbiete, dann zum Ändern der Mailaddy halt n extra Code, ganz einfach, aktuell gibt es nunmal offensichtlich mehr Phishing als tatsächliche Viren und genau da ist die Sicherheitslücke eben bei Steam
Zum Vergrößern anklicken....
Wenn du die von Steam angebotenen Sicherheitsmaßnahmen nutzen würdest, wüsstest du, dass man dafür ebenfalls einen Code benötigt. Die große Sicherheitslücke bleibt der Nutzer vor dem Bildschirm und das hast du mit dem Teilen deiner sensiblen Daten bereits bewiesen. Da nützt auch ein nachträgliches Schwärzen nichts mehr. ;)
Dennis50300 schrieb:
Das man mal pennt mit der URL, das kann jede/r mal passieren.
Da bist du mal ziemlich auf dem Holzweg, mit einem weiteren Code zum Mailaddy ändern, wäre das mit dem Kapern nämlich schlichtweg garnicht möglich gewesen, so sieht es nämlich nunmal einfach aus
Zum Vergrößern anklicken....
Aha und wo liegt der Fehler bei Steam, wenn du offensichtlich Links aus fremden Quellen anklickst, keine 2FA/Steam Authenticator nutzt und bereitwillig deine Logindaten teilst? Der einzige der hier permanent auf dem Holzweg wandelt, bist allein du.

Wieder einmal Layer 8 und ein großes: selbst schuld.
 
Zuletzt bearbeitet:
Selas schrieb:
Wenn du die von Steam angebotenen Sicherheitsmaßnahmen nutzen würdest, wüsstest du, dass man dafür ebenfalls einen Code benötigt. Die große Sicherheitslücke bleibt der Nutzer vor dem Bildschirm und das hast du mit dem Teilen deiner sensiblen Daten bereits bewiesen. Da nützt auch ein nachträgliches Schwärzen nichts mehr. ;)

Aha und wo liegt der Fehler bei Steam, wenn du offensichtlich Links aus fremden Quellen anklickst und bereitwillig deine Logindaten teilst? Der einzige der hier permanent auf dem Holzweg wandelt, bist allein du.

Wieder einmal Layer 8 und ein großes: selbst schuld.
Zum Vergrößern anklicken....
Was willst denn machen, mir ne Freundschaftsanfrage schicken ? :d
Ansonsten sinnlos Telefon, Radio PSR... "da issn Knop, da steht ÖNN drüff...." :ROFLMAO:

Wenn man sich mit dem entsprechendem Code einloggt, ok, aber wenn man die Addy änder will, sollte schlichtweg auf der "noch" alten mail ein neuer Code kommen, die natürlich ich bekomme und nicht der "Fischer" und Bumm, aus der Traum vom Accountklau, ganz einfach

Habe auch nichts anderes behauptet, ich habe mit der URL gepennt, aber bei Steam ist nunmal der nächste Schritt mit der Mailaddy ändern das nächste Einfallstor, das ging ja offenbar ohne weiteren Code zum Mailaddy ändern.
....

Gruss Dennis
Beitrag automatisch zusammengeführt:

... denn mein gmail ist 2FA gesichert, meine YouTube-Accounts und Mailaccount zugleich sowie google-drive das ist save ;-)
 
Wenn du deinen Steam-Account mit 2FA schützen würdest, was ausnahmslos dringend anzuraten ist, weil man da Spiele für hunderte, oder tausende Euro anhäuft, wäre das alles kein Problem. Eine Mailänderung setzt nicht überall eine Bestätigungsmail voraus. Warum auch? Stell dir vor, man hätte keinen Zugriff mehr auf das Mailkonto oder das Konto wäre futsch.
Mit 2FA wäre das alles nicht passiert.

Wer keine 2FA für Steam nutzt, der ist selber schuld und soll nicht meckern. Vor allem nicht, wenn derjenige blauäugig seine Daten öffentlich teilt. Außerdem bietet der Screenshot der Supportanfrage für den Thread keinen Mehrwert. Da hast du dich nur unnötig selbst geleimt.
 
@Selas
ohne 2FA bei steam selbst bleibt nur die Mail, wenn eben jene aber 2FA geschützt ist, sollte das wohl wiederum vollkommen ausreichend sein.

Das mit dem Screenshot auf dem Steamsupport ist einfach mal völlig banane, genauso wie "öffentlich", klar kannst du auf mein Profil gehen, kannst mir ne Anfrage schicken,
erreichte Errungenschaften vergleichen etc., dafür ist der Send da.
Steam an sich ist ja quasi auch schon ein Spiel, die Errungenschaften die man so hat, haben halt was quasi mit "prestige" zu tun :d

Einzige die ich nicht verfolge sind beispielsweise der rote Hut oder was des bei HF2 gewesen ist, den man bis ins letzte Level schleppen muss, oder beim BusSimulator 16 1000km zurücklegen, ich hab die komplette Story durchgefahren und nichtmal 500km insgesamt gefahren, das sind solche Errungenschaften, die sind einfach immen übertrieben, also selbst wenn man Zeit hat bis zum Abwinken, hat darauf doch keiner wirklich Lust :d
Vielleicht spielt man das 16er tatsächlich nochmal, dann käme man wohl tatsächlich an knapp 1000km, wenn es noch entsprechend mitgezählt würde jedenfalls, dann würd ich die letzten 30 bis 60km vielleicht auch nochmal machen, aber nicht direkt nachdem ich es nun einmal durchgespielt habe und noch über 500km fehlen.

"Perfekte Spiele" ist auch son Ding, oder auch mal interessant die durchschnittlichen Prozent der erreichen Errungenschaften aller Games die man hat, ärgerlich ist wenn man jede Menge Spiele bislang maximal angespielt hat oder noch garnicht angefasst hat, denn zieht dir das die Statistik leider runter, da könnten die eigentlich echt mal verhältnismässig die Mathematik anpassen, aber nuja... :d

Anyway, das mit einem weiteren Code die Mailaddy zu ändern, ist definitiv eine Lücke, wenn du wirklich richtige Probleme hast, dafür gibt es noch ganz andere Wege wo du auch erstmal in der Beweislast stehst, eigene Beweise wie ein Game mit Key, foto davon, als Beweis eben, das es dein Account sein muss, Freunde die es melden etc.

Immer auch bedenken, verkaufen/verschenken des Accounts ist nicht erlaubt, dem muss man sich nunmal bewusst sein.

Schweinerrei ist es wenn dir ein DLC nicht gefällt, da ist dann dummerweise nichts mit 14 tage Rückgaberecht wenn unter 1 Stunde oder sowas insgesamt genutzt, wollte den mistigen Storagebenchmark gerne zurückgeben, aber da wird vom DLC zum 3DMark einfach keine entsprechende Zeit für das DLC erfasst, abgelehnt... :unsure:
Also DLC gekauft ist und bleibt gekauft, ob man dann will oder nicht, sollte man vorher halt auch besser wissen, gut war eh nicht teuer, 2 Euro oder so :ROFLMAO:

Gruss Dennis
 
Selas schrieb:
Wenn du deinen Steam-Account mit 2FA schützen würdest, was ausnahmslos dringend anzuraten ist, weil man da Spiele für hunderte, oder tausende Euro anhäuft, wäre das alles kein Problem. Eine Mailänderung setzt nicht überall eine Bestätigungsmail voraus. Warum auch? Stell dir vor, man hätte keinen Zugriff mehr auf das Mailkonto oder das Konto wäre futsch.
Mit 2FA wäre das alles nicht passiert.

Wer keine 2FA für Steam nutzt, der ist selber schuld und soll nicht meckern. Vor allem nicht, wenn derjenige blauäugig seine Daten öffentlich teilt. Außerdem bietet der Screenshot der Supportanfrage für den Thread keinen Mehrwert. Da hast du dich nur unnötig selbst geleimt.
Zum Vergrößern anklicken....

hat zwar jetzt nichts direkt mit dem Thema zu tun: Das gilt nicht nur für Steam. Überall dort wo man 2FA aktivieren kann, bspw. Amazon und Paypal, sollte man es auch tun. Man sieht es leider soo häufig, dass die Leute es nicht tun - entweder weil sie nicht wissen wie es geht/was es ist oder weil es "zu lästig" ist. Dann wird aber rumgejammert, wenn ihnen die Accounts um die Ohren fliegen.

Und bevor jetzt ein Schlaumeier kommt: Ja, 2FA ist kein Allheilmittel und bietet keinen absoluten Schutz - aber sie erhöht die Sicherheit massiv. Das größte Problem ist und bleibt der Benutzer und das wird man auch nie ändern können.
 
Dennis50300 schrieb:
@Selas
ohne 2FA bei steam selbst bleibt nur die Mail, wenn eben jene aber 2FA geschützt ist, sollte das wohl wiederum vollkommen ausreichend sein.
Zum Vergrößern anklicken....
Nein, nicht ausreichend und absolut fahrlässig.
Dennis50300 schrieb:
Das mit dem Screenshot auf dem Steamsupport ist einfach mal völlig banane, genauso wie "öffentlich", klar kannst du auf mein Profil gehen, kannst mir ne Anfrage schicken,
erreichte Errungenschaften vergleichen etc., dafür ist der Send da.
Zum Vergrößern anklicken....
Du hast deinen Accountnamen, deine zugehörige Mailadresse und ein aktuelles Supportticket inklusive Nummer öffentlich geteilt: das ist nicht Banane, das ist ebenso fahrlässig.
Dennis50300 schrieb:
Anyway, das mit einem weiteren Code die Mailaddy zu ändern, ist definitiv eine Lücke
Zum Vergrößern anklicken....
Die einzige Lücke ist dein fehlender 2FA-Schutz von Steam, zu dem dir jeder rät, inklusive Steam selbst.

Ich wiederhole mich: selbst schuld und eigene Nach- und Fahrlässigkeit.
 
Zuletzt bearbeitet:
@Ice T
ja wenn man kann, sollte man das aktivieren
Aaber
@Selas
Überall wo man mal die Mailaddy ändert ist das Gang und Gäbe, das so eine Bestätigung zuvor auf der alten Mailadresse stattfindet, vor 2FA waren das immer Mails die legit waren mit entsprechendem Link.

Du verteidigst hier grobe Fahrlässigkeit seitens Steam, jeder Krempel wo irgendwo waws jemand auf sich hält auf Entwicklerseite da wäre das nunmal schlichtweg nicht passiert.
2FA ist nunmal kein Allheilmittel wie Ice T schon schreibt und genau das isses nunmal.

Gruss Dennis
 
Dennis50300 schrieb:
2FA ist nunmal kein Allheilmittel wie Ice T schon schreibt und genau das isses nunmal.
Zum Vergrößern anklicken....
Deine Lesekompetenz ist wirklich gering. Kein Allheilmittel, da kein System absolut sicher ist. Es ist nur absolut dumm es nicht zu nutzen, da es die Sicherheit massiv erhöht. Absolute Sicherheit gibt es nie.
 
Selas schrieb:
Absolute Sicherheit gibt es nie.
Zum Vergrößern anklicken....
Das erste sinnvolle was man von dir hier liest.
Argumentation das es schlichtweg ein Fehlverhalten seitens Steam ist, zum Ändern der Mailadresse und das die ausschlaggebende Sicherheitslücke gewesen ist, hast du dagegen aber dummerweise nunmal nicht.

Gruss Dennis
 
Wie kann man nur so beschränkt sein?
Die einzige Sicherheitslücke ist allein dein Verhalten, wie du mit deinen Daten umgehst und sie durch fehlende 2FA bei Steam nicht schützt!
Es geht wohl nicht in deinen Schädel, dass du da großen Mist verzapft hast.
 
Dennis50300 schrieb:
Du verteidigst hier grobe Fahrlässigkeit seitens Steam,
Zum Vergrößern anklicken....
Ja ne... Wenn man das System richtig nutzt, dann ist es sicher. Was kann Steam (oder jede andere Plattform) dafür, wenn du deine Daten irgendwo eingibst oder als Werbung auf ein Plakat tapezieren lässt? Genau, nix. An der Stelle ist es einfach der Fehler des Users, ganz einfach. Also seh bitte ein, das der Fehler hier klar bei dir liegt und sei so reflektiert, das es dir nicht wieder passiert. (Wieder) ganz einfach. ;)

Davon abgesehen weiß ich nicht so recht was die eigentliche Eingangsfrage in diesem Thread ist und wie man darauf antworten soll...
 
@Tzk
Ich habe eingangs immernoch nichts anderes behauptet, die Phishingseite war eben verdammt gut gemacht, ja ich hab gepennt was die URL angeht.

Dennoch hätte das eben nicht sein gemusst, wenn Steam da genauso wie so ziemlich alles mögliche andere das Prozedere einfach hätte genauso umgesetzt.
Es ist nunmal üblich das zum ändern der Emailadresse für einen Account da einfach nochmal auch was über eine entsprechende eMail mit der "noch" alten Mailadresse passiert.

Nicht mehr und auch nicht weniger.

EA(origin) handhabt das so, Foren eigentlich genauso, könnte hier tausende Beispiele dafür aufzählen....


Gruss Dennis
 
Anmelden, um zu antworten.

Ähnliche Themen

elbastron
[User-Review] Lesertest: AData XPG LANCER BLADE RGB DDR5-6000 CL30 Kit
Antworten
6
Aufrufe
1K
Equilibrium
Equilibrium
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh