Thema:
Re:Was ich trotzdem nicht verstehe flat
Autor: membran
Datum:13.05.21 22:32
Antwort auf:Re:Was ich trotzdem nicht verstehe von Fred LaBosch

>Das sind genau die Fragen, die ich auch habe. Ich glaub, wir kennen nicht die ganze Geschichte.
>Account gehackt, bloß wie?


Ich würde spontan auf eine Social Engineering Attacke auf den Paypal Kundenservice tippen. Da gabs vor ein paar Jahren schon mal entsprechende Berichte auf Wired & co ([https://www.wired.com/2014/01/my-epic-hack-revisited/]), aber Paypal hatte angeblich diese Lücken geschlossen. Das Problem ist, dass wenn der Angreifer dich speziell auf dem Kieker hat und ein paar deiner sich selten verändernden persönlichen Daten kennt (diese können aus einem der zahlreichen Data-Dumps kommen, man teste mal nur selber [http://haveibeenpwned.com], wie oft man mit seiner E-Mail-Adresse schon in solchen auftauchte), wie Telefonnummer, Kontonummer, Geburtsdatum, Wohnort oder gar nur die letzten vier Stellen einer benutzten Kreditkarte (das muss alles nicht aus einem Paypal-Hack kommen, die Daten können von einem alten Hack auf eine hinterletzte Piss-Seite stammen, von der man gar nicht mehr weiß, dass man sich dort mal vor fünf Jahren angemeldet hatte; gut, mit KK-Daten wird man vorsichtiger umgehen). Mit diesen Infos bewaffnet kann dann ein Angriff auf die Mitarbeiter in der Support-Hotline gefahren werden. "Ich komme nicht mehr in mein Konto rein, können Sie das Passwort zurücksetzen? Können Sie eine weitere E-Mail-Adresse zufügen, oder eine zusätzliche Telefonnummer? Hier sind meine Daten, blablabla, kthxbye".

Davor habe ich auch am meisten Sorge, dass irgendein Hansel in einem Call-Center meinen Account kompromittiert. Das sollte schlicht überhaupt nicht gehen und wenn, nur mit einem halben Dutzend Hürden wie Post-Ident, Ausweis, Schriftverkehr, Sicherheitsmeldungen an alle bekannten Kommunikationswege mit dem Kunden (E-Mail, Post, SMS, Push-Nachricht), zweiwöchige Sperrfrist und was weiß ich was.


< antworten >