Probleme mit Sicherheit, Passwörtern und PayPal-Konto

615
Royi

Ich habe einen seltsamen Fall mit meinem PayPal-Konto, und ich wollte, dass die Community dabei hilft, was getan werden kann und wie die Sicherheitslücke entdeckt werden kann.

Ich habe ein privates PayPal, das in letzter Zeit ständig angegriffen wurde.
Wenn ich angegriffen sage, meine ich, dass jemand versucht hat und Zugang dazu hat.

Nun, was ich nicht verstehen kann, ist wie.

Die Fakten

  • Ich habe eine 2-Faktor-Authentifizierung (Zugangsschlüssel) in meinem PayPal-Konto über mein Telefon.
    Wenn ich mich also anmelden möchte, muss ich sowohl mein Passwort als auch den Code eingeben, den ich auf meinem Handy bekomme.

  • Ich habe ein sehr hartes Passwort, das für das PayPal-Konto eindeutig ist.

  • Ich habe meine Sicherheitsfragen mit einer sehr langen Zeichenfolge beantwortet (nicht die Antwort auf die Frage, nur ein anderes Kennwort wie eine Zeichenfolge).
  • Das Passwort und die Zeichenketten werden gespeichert und nirgendwo geschrieben.
  • Aus den Gesprächen mit dem Sicherheitsteam von PayPal verstehe ich die Person, die mit dem Kennwort auf mein Konto zugegriffen wurde (ob er die SMS verwendet hat oder nicht, ist nicht bekannt oder zumindest wird mir nicht gebührenpflichtig).
  • Ich habe unter Windows 10 kein verdächtiges Verhalten gesehen, was überhaupt so ist.
  • Keine verdächtigen Aktivitäten auf meiner E-Mail-Adresse oder auf einer anderen Website, bei der ich mich anmelde.

Das erste, worüber ich nachdenke, ist, dass jemand meinen Computer protokolliert.
Oder irgendeine Art von MaleWare.

Aktionen erledigt

  • Ich habe da draußen Maleware und Anti-Virus ausprobiert. Inklusive Sicherheits-Disks und Rootkits-Killern (Sie können mir jedoch mehr Optionen zum Ausprobieren geben). Ich habe Kaspersky, Avira, MalewareBytes, ClamWin, Microsoft Defender und BitDefender ausprobiert.
  • Ich habe Passwörter und Sicherheitsfragen geändert.

Trotzdem ist es ihm gestern wieder gelungen, auf mein PayPal-Konto zuzugreifen.

Ich muss sagen, dass PayPal im Allgemeinen großartig war und alles wiederhergestellt ist.
Ich möchte es jedoch aufgeben, da es in den letzten Wochen einmal pro Woche geschieht.

Was sind die anderen Optionen, um herauszufinden, welche Sicherheitslücke ich habe?

Ich habe keine Probleme, meinen Computer zu formatieren, ich muss nur verstehen, was garantiert ist, dass er nicht zurückkommt (deshalb denke ich, dass ich herausfinden muss, wie er davor gemacht wird)?

Gibt es spezielle Tricks, um wirklich zu verstehen, was los ist?

Danke dir.

1
Wenn Sie 2FA aktiviert haben, wie können sie ohne Ihr Telefon auf Ihr Konto zugreifen? Das ist die Frage, die ich PayPal stellen würde. Genau das soll 2FA verhindern. Julian Knight vor 7 Jahren 0
Es ist bekannt, dass PayPal auf Anrufe reagiert, um das Kennwort zurückzusetzen, indem es einfach angerufen wird und Informationen beantwortet werden, die von halbprivaten Websites über Sie abgerufen werden können. Die IRS hat dies auch getan, als sie darauf bestanden, eine PIN zu verwenden, die nur an Sie gesendet wurde. Leider konnte jeder den IRS anrufen, einige vermutlich "geheime" Fragen beantworten und Ihre PIN zurücksetzen. Stellen Sie sicher, dass Paypal Ihr PW nicht von jemand anderem zurückgesetzt hat, indem Sie einfach den Support anrufen (was ich vermute, dass sie heute bereits mit Ihnen zusammenarbeiten). Woher wissen sie und sorgen dafür, dass Sie es sind? DaaBoss vor 7 Jahren 0
@JulianKnight, Das ist eine gute Frage, die ich, wie oben geschrieben, gefragt habe und nicht beantworten werde. Danke dir. Royi vor 7 Jahren 0
@DaaBoss, ich glaube nicht, dass es Hinweise darauf gab, dass das Zurücksetzen des Passworts über ein Telefon erfolgt ist. Hast du noch etwas darüber nachgedacht? Irgendeine Idee, wie man die Sicherheitslücke hier findet? Danke dir. Royi vor 7 Jahren 0
2FA schützt nicht nur das Zurücksetzen von Kennwörtern, es schützt auch Zahlungen. Wenn Sie es aktiviert haben, sollte niemand außer der Person mit dem Telefon in der Lage sein, nützliche Informationen für das Konto zu erbringen. Stellen Sie sicher, dass Ihr Telefon derzeit das einzige für das Konto zulässige Token ist. Julian Knight vor 7 Jahren 0
@JulianKnight, Wenn Sie das Kennwort zurücksetzen können, greifen Sie auf das Konto zu. Sie können die Telefonnummer für 2FA problemlos ändern (oder deaktivieren). Wenn also das Zurücksetzen des Passworts nicht gut geschützt ist, ist nichts geschützt. Royi vor 7 Jahren 0
@Royi, ich kann den Artikel finden, denke ich von Krebs Security, der sagte, dass 2FA nichts zum Schutz des Benutzers getan habe (ich glaube, es war Krebs selbst), weil die bösen Jungs bei Paypal über das Festnetz angerufen haben und vorgab, er zu sein und das PayPal-Unternehmen hat seinen PW manuell zurückgesetzt. "Er hat es geschafft, reinzukommen", sagte nicht, ob der PW von den Badguys verändert wurde oder nicht. Ich erzählte jedoch von einem Benutzer, der seine PW mehrfach zurückgesetzt hatte. Er würde anrufen und sie würden ihm sagen, dass er gerade angerufen hatte, um es an diesem Tag zu ändern! : (( DaaBoss vor 7 Jahren 0
@Royi, dieser Sicherheitsforscher Krebs ist nicht auf die Idee gekommen, dass es selbst Paypal war, der sein PW mithilfe von Social Engineering und den schlechten Sicherheitspraktiken von Paypal zurückgesetzt hatte. Der Artikel appellierte daraufhin an mehrere Unternehmen, darunter den IRS und PayPal, die Verwendung von recht einfachen Informationen für die mündliche Authentifizierung am Telefon zu verbieten und zu unterbinden. Außerdem sollte es einem Supportmitarbeiter möglich sein, jede einzelne Sicherheitsmaßnahme manuell zu überschreiben erwähnt. Wann und wer hat Ihr PW zurückgesetzt, oder wurde es nicht zurückgesetzt? Ich habe zumindest angenommen, dass Sie es zurückgesetzt haben. DaaBoss vor 7 Jahren 1
Guter Fang. Ich hatte in der Vergangenheit Probleme mit der PayPal-Sicherheit, jedoch nicht in letzter Zeit. @Royi, das Passwort zurücksetzen sollte geschützt werden, ich sagte, dass es nicht der einzige Schutz gedacht war. Julian Knight vor 7 Jahren 0
@DaaBoss, ich habe immer noch kein klares Bild, wie der andere Kerl Zugang bekommen hat. Ob es sich um ein Passwort-Reset handelte (selbst ein Passwort-Reset würde ich davon ausgehen, dass der 2FA nicht ausgeschaltet wird, aber ich bin mir nicht sicher). In meinem Fall änderte er jedoch alles, was er konnte, Passwort, Sicherheitsfragen, E-Mails usw. Royi vor 7 Jahren 0
Wie auch immer, die Frage, wie kann ich feststellen, dass ich keine Schwachstellen auf meiner Seite habe? Royi vor 7 Jahren 0
@ Royi - Du solltest das nicht behaupten. Sehr kluge Leute im Sicherheitsbereich wurden gehackt. Wenn sie einen Fehler machen könnten, der Informationen preisgibt, könnten Sie auch einen Fehler gemacht haben. Um einen Social-Engineering-Angriff zu stoppen, ändern Sie am besten die E-Mail-Adresse, die dem Konto zugeordnet ist. Sie sollten natürlich die alte E-Mail-Adresse aus den Aliasnamen der Liste entfernen. Die Idee bei diesem Schritt ist, zu verhindern, dass ein sozialer Angriff Informationen liefert, die er bereits kennt, Ihren Benutzernamen. Ramhound vor 7 Jahren 0
@ Ramhound, Der Typ hatte bereits 3 meiner E-Mails mit dem PayPal-Konto gesehen. Schlagen Sie vor, alle zu entfernen? Ich habe nicht einmal einen Facebook-Account :-). Royi vor 7 Jahren 0
Wie kannst du das Wissen? Ramhound vor 7 Jahren 0
Weil sie in das PayPal-Konto geschrieben wurden und er vollen Zugriff auf das Konto hatte. Royi vor 7 Jahren 0

1 Antwort auf die Frage

1
DaaBoss

Ich bin der festen Überzeugung, dass Ihr gehacktes Konto streng Social Engineering war und kein technisches Versagen war. Sie setzen sich bereits für äußerst gute Sicherheitsverfahren und -praktiken ein. Der spezifische Misserfolg liegt in unseren Institutionen, die in der Regel 10 bis 20 Jahre hinter den Bösen liegen. Sie können einfach nicht verstehen, wie sie uns schützen können, indem sie neue Verfahren rasch an neue Risiken anpassen. Die Lösung Ihres Problems erfordert möglicherweise, dass wir alle auf Änderungen bei PayPal und anderen Institutionen drängen.

Im Fall von PayPal beschreibt Krebs genau, wie sein PayPal-Konto wiederholt gehackt wurde, obwohl er ein Sicherheitsfachmann ist und bereits die 2-Faktor-Authentifizierung verwendet. Seine Geschichte sollte uns alle auf die erheblichen Gefahren aufmerksam machen, die derzeit vorhanden sind, um einige Risiken zu mindern.

2016 Reality: Faule Authentifizierung Immer noch die Norm, von Brian Krebs

Ihr Hack war wahrscheinlich ein Ergebnis der Praxis von Paypal, STATISCHE Informationen zu verwenden, die angeblich schwer zu bekommen sind. So wurde Krebs wiederholt gehackt. Nachdem sie diese Fragen verbal beantwortet hatten, gaben PAYPAL trotz eines "gesperrten Kontos" den BADGUYS-ZUGANG zu KREBS ACCOUNT REPEATEDLY. Krebs benutzte bereits 2FA und es tat ihm nicht gut. Beachten Sie auch, dass Krebs als Sicherheitsexperte die Zusammenarbeit mit dem PayPal-Management viel einfacher erreichen konnte, dass STILL jedoch nicht genug geholfen hat.

Fast beunruhigend ist, dass die Fotos von "offiziellen Dokumenten" für KYC-Verfahren verwendet werden, als Teil der Sorgfaltspflicht vieler Organisationen. Sie sind leicht und kostengünstig geschmiedet. Es gibt Dienste, die gegen eine geringe Gebühr betrügerische Dokumente für Sie produzieren, wann immer Sie "beweisen" möchten, dass Sie jemand sind, der Sie nicht sind.

Lesen Sie sich diesen ganzen Artikel durch, und ich denke, Sie werden sehen, dass wir alle unsere Institutionen dazu bringen müssen, unsere Sicherheitsverfahren und -praktiken vollständig zu überarbeiten und dann eine Technologie einzusetzen, die heute funktioniert.

Was heute jedoch funktioniert, kann im nächsten Monat nicht funktionieren. Diese Verfahren und Technologien müssen häufig und schnell geändert werden, um sich an neue Bedrohungen anzupassen.

Das Problem ist, dass unsere Institutionen selbst so konzipiert sind, dass sie sich niemals schnell an Änderungen anpassen können. Dieser Aspekt muss sich ändern, bevor wir eine schnelle Anpassung erwarten können. Je größer die Institution ist, desto schwieriger ist es, ein Verfahren zu ändern, egal wie dumm es wird.

Ein Beispiel für die Versuche mehrerer Institutionen, ein Sicherheitsproblem zu lösen, sind die Sozialversicherungsnummern. Es ist seit Jahrzehnten ein bekanntes Problem, den bösen Jungs einfachen Zugriff auf diese SS # zu gewähren und anschließend Systeme zu pflegen, die zum Schutz Ihres Kontos auf diese Technologie der 50er Jahre angewiesen sind. Im Jahr 2006 wurde es gesetzlich geregelt, alle SS-Nummern von Medicaid-Karten zu entfernen, und ich glaube auch, dass Medicare-Karten dabei sind. Die Agenturen müssen die Zahlen nicht nur noch entfernen, der aktuelle Plan soll bis 2027 fertiggestellt sein. Nein, das war kein Tippfehler - ZWEI JAHRE, um eine sichtbare SS-Nummer von diesen Karten zu entfernen! Natürlich wird der Punkt bis dahin wahrscheinlich irrelevant sein. Ohne eine Überarbeitung dieser Organisationen wird uns keine Technologie helfen, uns zu schützen.

Es ist immer schwieriger, genügend Sicherheit zu erlernen, um sicher zu bleiben, auch für Experten. Es erfordert unser ständiges Anpassen, Lernen und Anwenden unserer eigenen Verfahren, die kostengünstig in Zeit, Frustration und Geldaufwand sind.

Ich glaube, dass diese soziale Lösung die einzige Lösung für sein Problem ist, auch wenn es keine technische ist. Dies ist im Allgemeinen nicht der Ort für eine Lösung, die keine etablierte, faktenbasierte Technologielösung ist. Es gibt jedoch einige Aspekte unserer Technologie, die mit Richtlinien und Verfahren verschmelzen, die sich ebenfalls ändern müssen, oder wir werden niemals viele der neuen Sicherheitsprobleme lösen. Sicherheit erfordert angewandte Technologie mit Richtlinien und Verfahren. Ohne alle drei gibt es keine Sicherheit.

Ich habe den Artikel gelesen. Große Lektüre. Ich kann die Schwächen von PayPal erkennen, aber wie kann ich sicherstellen, dass nichts verloren geht? Was kann ich auf meiner Seite tun? Danke dir! Royi vor 7 Jahren 0
Fangen Sie einfach an, mit PayPal zu arbeiten, und erfahren Sie zunächst, wie es Ihnen geht oder ob Sie angegriffen werden könnten. Dann schauen Sie nach, ob es eine Möglichkeit gibt, sie dazu zu bringen, sich zu ändern, damit Sie nicht angegriffen werden, und versuchen Sie dann, sie für alle zu beeinflussen. Berichten Sie hier und über Krebs, welche Änderungen sie vorgenommen haben und wie wir uns alle mit PayPal schützen können. DaaBoss vor 7 Jahren 0

Verwandte Probleme