Partypoker/Neteller Account leergeräumt

    • Dave06
      Dave06
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 619
      Tja jetzt schreibe ich also tatsächlich auch so einen Thread.
      Kurz vorm arbeiten gehen checke ich heute Mittag meine mails. Habe auf einmal 6-7 mails von Neteller mit der bestätigung über erfolgreiche Transaktionen von diversen Beträgen. Im ersten Moment dachte ich noch "Ah ja mal wieder ein fishing Versuch", bis ich sah das die mails tatsächlich über meinen Account liefen. Ich logge mich also bei Neteller ein und da klappt mir die Kinnlade runter: 330$ weg, die ersten 20$ an einen Account namens Casino...x irgendwas (kann mich grade nicht erinnern, da mein neteller Account jetzt gesperrt ist) und danach im 5 Minuten Takt an einen Account "FASTENGINE", bis das Konto leer war. Das ganze sah irgendwie automatisiert aus, da nach den ersten 20$ der nächste Transfer über 200$ ging (erfolgreich) , danach über 500$ (abgelehnt) und dann in 50$ bzw. 20$ Schritten bis das Konto leer war.
      Als nächstes loggte ich mich bei PP ein und sah auch dort - die letzten 85$ die noch drauf waren - weg!!!
      Mit Puls 180 musste ich dann aber erst zur Arbeit fahren und konnte mich nicht um weiteres kümmern. Beim Arbeiten natürlich keinen klaren Gedanken fassen können. Heute Abend komme ich heim und checke das ganze nochmal genauer.
      Das krasse ist - Das geld von meinem PP Account wurde an meinen Neteller transferiert - natürlich mit der Absicht das auch noch mit abzuräumen. Allerdings dauerte der Transfer wohl zu lange, so dass das Geld erst nach diesen Abbuchungsintervalen eintraf und mittlerweile auf meinem Konto zur Verfügung stand.
      Also habe ich als erstes mit Neteller telefoniert, die gleich meinen Account gesperrt und sagten mir das sie jett schon sehen können das die Überweisungen nicht von meiner gewöhnlichen IP ausgingen, sie das ganze innerhalb der nächsten 48 Stunden prüfen werden und mich kontaktieren....
      Naja mein Geld bin ich wohl los, Hab noch ein paar müde Kröten auf PS, immerhin wurde da nix geplündert.

      Tja wohl wenig auf die Sichherheit geachtet werden jetzt einige sagen.....doch das ist das komische an der Sache: Ich kenne mich ziemlich gut mit Security aus, bin seit Jahren in einem Security Forum aktiv und gerade deswegen sehr auf Online Sicherheit bedacht. Ich kann defnitiv die üblichen Unachtsamkeiten ausschliessen und das ist der Punkt der mir wirklich schleierhaft ist und mich richtig anpisst!!!!
      1. Ich habe für alle Accounts verschiedene und komplizierte (Sonderzeichen etc.) Passwörter!
      2. Ich habe Passwörter nicht im Browser oder sonstwo auf meinem Computer gespeichert (ausser die Merkfunktion bei der PartyPoker Software)
      3. Ich habe 2 Antivirenprogramme laufen (AVG+NOD32), eine SoftwareFirewall (Outpost) + die Hardware Router Firewall, diverse AntiSpyware etc und schaue so gut wie täglich über den Security Task Manager welche Dienste und Prozesse am laufen sind.
      4. Ich öffne keine Spam/Fishing mails geschweige denn gehe über externe Links auf meine Neteller bzw. Online Banking Adressen.
      5. Niemand kennt meine Passwörter, ich lebe alleine und niemand kann meinen Computer mitbenutzen.
      6. Ich habe kein Wlan
      7. Benutze keinen InetExplorer (ActiveX etc)
      8. Scanne ALLES was ich mir runterlade vor dem öffnen + habe ausser Partypoker,Pokerstars, PO, Stove etc. keine ungewöhnliche Zusatzsoftware am laufen.

      Wie ist das nun passiert? Das ist mir sowas von Schleierhaft!!! Logisch gesehen spricht alles für einen Keylogger, da ich einfach absolut ausschliessen kann das jemand meine Passwörter durch raten/Bruteforcing gecracked hat + die Tatsache das PP UND Neteller geknackt wurden. Ich habe aber einfach absolut keine verdächtigen Prozesse laufen, meine Firewall hat nicht über verdächtige ausgehende Verbindungen etc. gemeckert und zweimaliges Scannen des kompletten Computers hat nichts ergeben. Das einzige was die letzten tage bei mir Pokermässiges neues Installiert wurde war das PO Update vor ein paar Tagen..... wenn ich den Security Task Manager laufen lasse zeigt er mir als einzigen "verdächtigen" Prozess auch eine PO DLL namens "pshimp.dll" an - was aber immer schon so war, und evtl. der UpdateProzess von PO sein könnte... - vielleicht könnten das die PO Nutzer mal gegenchecken...!

      So long, warte jetzt ab was Neteller rausfindet, ich fühl mich auf jeden Fall echt beschissen damit, zumal ich einfach nicht drauf komme wie das passieren konnte.
      Wünsche allen nie in so eine Situation zu kommen!
  • 32 Antworten
    • Mephisto87
      Mephisto87
      Black
      Dabei seit: 19.02.2006 Beiträge: 4.176
      wie du schon sagtest spricht alles über einen keylogger. wo du den her hast kann ich dir auch nicht sagen...


      die frage is eher wie der keylogger die daten an seinen "herren" gesendet hat. Glaube nicht das er über die Router+ sw firewall nach draußen kam ohne das du es gemerkt hättest. von daher kann ich mir nur vorstellen das er ne mail nach draußen gejagd hat. wenn du aber da auch keine spuren findest wird es schwierig weiterhin von nem keylogger auszugehen....

      warte einfach mal ab vieleicht bekommt neteller ja dem ominösen empfänger herraus. wär nett wenn du mal den ausgang der geschichte posten könntest. wünsch dir viel glück das alles gut geht
    • himerios
      himerios
      Bronze
      Dabei seit: 25.04.2006 Beiträge: 823
      Original von Dave06
      die Überweisungen nicht von meiner gewöhnlichen IP ausgingen, sie das ganze innerhalb der nächsten 48 Stunden prüfen werden und mich kontaktieren....
      Als Privatuser bekommt man doch eigentlich bei jeder Einwahl (oder alle 24 h) eine neue IP. Neteller könnte so nur den Provider oder das Land überprüfen?
    • cyberbull
      cyberbull
      Bronze
      Dabei seit: 02.03.2006 Beiträge: 88
      BUNDESTROJANER!

      Ne echt, mein herzliches Beileid... :(
    • Guggi
      Guggi
      Bronze
      Dabei seit: 13.02.2006 Beiträge: 581
      Original von himeriosAls Privatuser bekommt man doch eigentlich bei jeder Einwahl (oder alle 24 h) eine neue IP. Neteller könnte so nur den Provider oder das Land überprüfen?
      Es kommt darauf an in welchem Land der Hacker ansässig ist, und wie die Gesetze dort die Vorratsdatenhaltung der Verbindungsdaten regeln. Hier in Deutschland ist es wohl eine Woche: http://www.heise.de/newsticker/meldung/85609.

      Wenn der Angreifer aber halbwegs bei Sinnen ist, dann hat er das nicht von zu Hause aus gesteuert, sondern andere infizierte Rechner benutzt.

      Dave: Wenn dir jemand ein Rootkit untergejubelt hat helfen dir auch die gängigen Antiviren-PRG/ SW-Firewalls nicht viel. Da du ja selbst viel zum Thema liest hast du den betreffenden Rechner sicher schon vom Netz genommen? Zwecks Beweissicherung nicht mehr verwenden, etc. pp.

      Um die Quelle des Übels zu finden fällt mir nur folgendes ein atm:

      - Router Konfiguration 100% dicht? (keine Fernwartung, kein Werks-Passwort, kein Port-Forwarding, alte anfällige Firmware evtl.)

      - netstat -an sagt was? Bei verdächtigen Ports ggf in geeignetem Forum nachfragen

      - wegen verdächtiger dll im Poker Office Forum fragen

      - welches Mailprogramm verwendest du? War das vielleicht das Einfallstor?

      - Stove wo und wann runtergeladen?

      - Nutzt dein Router außer dir vielleicht noch ein Nachbar (mit deinem Einverständnis)?


      Drücke die Daumen, dass du deine Kohle wiedersiehst.


      Nachtrag: Um den Schädling zu finden solltest du einen Rootkit-/ Virenscanner verwenden, der von DVD/ CD aus bootet, dein System ist als kompromittiert anzusehen. Dass du für die Erstellung derselben einen garantiert sauberen Rechner verwendest versteht sich von selbst. Ebenso verbietest du dem Scanner was zu löschen/ zu verschieben/ zu verändern wegen Beweissicherung.
    • kaydoc
      kaydoc
      Bronze
      Dabei seit: 08.11.2006 Beiträge: 128
      Kurz zu Absender-IPs, die kann man faken. Die sind so unsicher wie nur was.

      @Guggi: Dem was Du schreibst kann ich nur zustimmen. Zusätzlich sollte man die Protokolle des Routers sichern. Denn die Ziel IP muss ja mal existiert haben und kann per Tracing Programm geprüft werden. Damit wird man zwar den Angreifer kaum finden, doch kann man dies als weitere Beweise aufführen.
    • Korn
      Korn
      Bronze
      Dabei seit: 14.01.2005 Beiträge: 12.511
      Grundsätzlich:

      Man sollte seine Passwörter niemals im Poker-Client gespeichert lassen.
    • dhw86
      dhw86
      Bronze
      Dabei seit: 07.12.2006 Beiträge: 12.263
      2. Ich habe Passwörter nicht im Browser oder sonstwo auf meinem Computer gespeichert (ausser die Merkfunktion bei der PartyPoker Software)



      also doch pw auf dem pc gespeichert...
    • chiefChilla
      chiefChilla
      Bronze
      Dabei seit: 27.08.2006 Beiträge: 391
      Schon heftig das es in regelmässigen Abständen immer wieder zu ner Leerräumung des Accounts kommt.
      Hoffe du kriegst dein Geld zurück.

      Habs jetzt schon 2x in dem Forum geschrieben mit dem PC Wächter den ich nutze.Die Hardware ist recht unbekannt.Da ich früher auch regelmässig Viren hatte (Astalavista,IRC und Co) war dieser Fund echt ne Goldgrube.

      Hier mal den Link zur Hardware.
      Bei Ebay für max 30 Euro zu haben.
      Nu 2 Jahre virenfrei durch den Wächter.Hat zwar auch kleine Nachteile.Aber dafür ist man "recht safe".

      Maximale Sicherheit beim onlinepoker durch hardware?!
    • Kilania
      Kilania
      Bronze
      Dabei seit: 23.04.2007 Beiträge: 7.880
      Naja, inwiefern Netteller helfen kann ist wohl fraglich, vermutlich könnten sie helfen, wenn es "nur" auf einen Netteller Konto überwiesen wurde. Aber ist ja nicht der Fall.

      Ich denke, dass Netteller wohl nicht viel tun kann, außer die IP rausrücken mit der Empfehlung Anzeige zu erstatten(?)

      Das du soviel Wert auf Sicherheit legst ist natürlich vorbildlich, jedoch ja, Software Firewall bringt dir in den meisten Fällen nichts, mal ehrlich, ich habe sie nichtmal installiert, eine richtige harte Hardwarefirewall schon eher, aber keine AHnung ob dein Router sowas darstellt.

      Man darfs auch nie ausschließen, dass dies garnicht mit einem direkten Angriff, z.B. Keylogger passiert ist, diese werden in vielen Fällen doch gut erkannt. Man kann sich auch von "aussen nach innen arbeiten", sprich Zugriff auf Mails kriegen, Hotmail z.B. hat eine tolle "sicherheitsfrage", z.B. Geburtsname der Mutter, wer drauf die Antwort kennt, kriegt auch Zugang auf dein Hotmail Konto, keine Frage. Und über ein Hotmail Konto, kriegt man auch ein Paßwort von Partypoker, Netteller (...)
      Also nur so als Ansatz, dass es garnicht zwingend über einen Keylogger passiert sein muss.

      Jedenfalls mein Beileid, wünsche dir viel Glück, vielleicht kriegst du das Geld ja wieder.
    • pokerbua
      pokerbua
      Bronze
      Dabei seit: 02.11.2006 Beiträge: 118
      Original von Korn
      Grundsätzlich:

      Man sollte seine Passwörter niemals im Poker-Client gespeichert lassen.
      dann haben wenigstens keylogger keine chance :D
    • HeRoSRaiSeR
      HeRoSRaiSeR
      Bronze
      Dabei seit: 29.12.2006 Beiträge: 1.487
      assi , auf jedenfall , ich hab mir letztens au sehr gedanken über mein geld gemacht wo es denn sicherer sei

      weiss jmd was sicherer sein sollte , neteller oder die pokersoftware?
    • xanic
      xanic
      Bronze
      Dabei seit: 06.08.2006 Beiträge: 1.439
      wenn ich das richtig verstanden hab, ist für das geschehene der pp-client egal, da es vom nettelleraccount abgebucht wurde.

      also muss irgendwer an das passwort von neteller gekommen sein.
    • pokerbua
      pokerbua
      Bronze
      Dabei seit: 02.11.2006 Beiträge: 118
      ich denke neteller, zu denen hab ich mehr vertrauen ^^
      wie du siehst, kann aber natürlich überall was passieren!
    • iccee
      iccee
      Bronze
      Dabei seit: 02.04.2006 Beiträge: 599
      mein beileid auf jedenfall....

      das es einen jemanden erwischt, der auch noch security spezi ist erschreckt mich.... weil ich eigentlich der meinung bin, daß wenn man nur die grundlegendsten sachen was so in pc-sicherheit empfohlen werden eigentlich reichen müßten.

      obwohl der auch der meinung bin: (bin IT'ler, nur kein netzwerk security experte oder so) wenn kein ausführbarer code auf dem eigenem pc EXPLIZIT gestartet wird kann nicht viel passieren. selbst jscript, flash usw. auf inet seiten können nur exploits in verwendeter software ausnutzen - wenn man nicht regelmäßig updated - und nicht auf den übelsten seiten rumsurft (ps.de? :D )
      hast du irgendwelche gemodete p2p software, die opensource ist, verwendet? (zb. von emule gibts hunderte mods)

      vielleicht gibst noch ne gringe chance, daß du irgendwas zurückbekommst. ich hoffe mit dir.
    • HeRoSRaiSeR
      HeRoSRaiSeR
      Bronze
      Dabei seit: 29.12.2006 Beiträge: 1.487
      ich hab durc hden thread sogar angst wegen meinen dezenen sachen aufm pc ;)
      aber werde mir wohl auch so ne security hardware holen , da hat man ruhe und is auf der sicheren seiten

      hab langsam echt angst ums geld :(
    • Dave06
      Dave06
      Bronze
      Dabei seit: 30.07.2006 Beiträge: 619
      Also erstes Feedback seitens Partypoker war natürlich völlige Zeitverschwendung. "Wir haben die besten Firewalls, die besten Verschlüsselungen und ausserdem sei der Cashout Request von meiner "usual location" gekommen..." Da habe ich irgendwie nichts anderes erwartet.

      @dhw86: Ähm ja genau das sagte ich bereits genau in dem Zitat.... Was jedoch immer noch nicht erklärt wie "er" Zugang zu meinem Neteller Account bekam...

      @Kilania: Natürlich bringt dir eine Softwarefirewall etwas, wenn du sie gut konfiguriert hast. Jede FW ist natürlich nur so gut wie ihre Rules. Aber das ist auch nicht das Thema, ich habe HF +SF wie ich ja auch bereits sagte.
      Der Punkt mit Hotmail.....das stimmt sicherlich, aber sei dir da sicher so blöd bin ich dann auch nicht..;-)

      @iccee: Nein habe keine ungewöhnliche P2P software.

      Nochmal zur Verdeutlichung: Mir geht es nicht darum mich als Security Allwissend hinzustellen, weil irgendwie muss es ja passiert sein und das ist auch nicht das Thema was mich momentan interessiert.. Ich versuche einfach seit gestern mit allen Mitteln herauszubekommen WIE es passiert ist, da das auf keinen Fall mehr passieren soll/darf und deswegen möchte ich klarmachen das dies nicht durch einfache Fahrlässigkeit passiert ist.
      Warum wurde mein PS Konto z.B nicht angerührt obwohl ich die letzte Zeit fast ausschliesslich dort gespielt habe (was gegen den Keylogger spricht)?

      naja ich halte euch auf dem laufenden, mal sehen was von Neteller kommt, die waren immerhin sofort kooperationsbereit im Gegensatz zu PP...
    • kaydoc
      kaydoc
      Bronze
      Dabei seit: 08.11.2006 Beiträge: 128
      Original von Dave06
      @Kilania: Natürlich bringt dir eine Softwarefirewall etwas, wenn du sie gut konfiguriert hast. Jede FW ist natürlich nur so gut wie ihre Rules. Aber das ist auch nicht das Thema, ich habe HF +SF wie ich ja auch bereits sagte.
      Nur kurz: Wenn ein Rootkit vorliegt dann nutzt Dir die SF Firewall nix. Und die HW Firewall interessiert es auch nicht wenn vom inneren Netzerk nach außen eine Verbindung aufgemacht wird. Deswegen solltest Du die Protokolle Deiner HW Firewall sichern und sichten.
    • Guggi
      Guggi
      Bronze
      Dabei seit: 13.02.2006 Beiträge: 581
      Original von icceewenn kein ausführbarer code auf dem eigenem pc EXPLIZIT gestartet wird kann nicht viel passieren. selbst jscript, flash usw. auf inet seiten können nur exploits in verwendeter software ausnutzen - wenn man nicht regelmäßig updated - und nicht auf den übelsten seiten rumsurft
      Mit "explizit gestartet" wird meinst du sicher "vom Benutzer ausgeführt". Dem ist aber leider nicht so. Es gibt doch endlos viele Fälle, in denen Schwachstellen ausgenutzt wurden, ohne dass der Anwender "gedoppelklickt" hat - in Browsern, Betriebssystemkomponenten usw. usf.

      Und zum Thema Sicherheit im Allgemeinen: Das installieren entsprechender Software macht eure Systeme nicht sicher. Leider geschieht das viel zu häufig, Software XY wurde empfohlen, man installiert und hat das wohlige Gefühl der Sicherhheit.

      Dass z.B. das korrekte konfigurieren einer Firewall mit Sicherheit keine triviale Angelegenheit ist, wird von den Herstellern gerne verschwiegen. Auch wenn die Programme häufig werksseitig konfiguriert mehr Sicherhheit bieten als ein 0815 Windows-Installation, so ist eine Einarbeitung in die Materie unabdingbar. Also Ports, Protokolle, TCP/ IP etc. sollten zumindest in den Grundzügen verstanden werden.

      Ihr setzt euch doch auch nicht unvorbereitet an einen Tisch. Ihr habt euren Tracker an, arbeitet mit Statistiken und Charts, habt Odds und Outs verstanden und seit bereit den Fischen das Geld abzunehmen.

      Leider sind viele Anwender in Sachen Sicherheit die Fische, einfach weil das Thema sehr komplex ist und viel viel Zeit investiert werden muss.

      Hier mal eine kurze, unssortierte und unvollständige Liste zum Thema:

      http://www.heise.de/security/
      http://de.wikipedia.org/wiki/Wi-Fi_Protected_Access (WEP ist unsicher!)
      http://www.bsi-fuer-buerger.de/wlan/wlanfunktion.htm
      http://www.bsi-fuer-buerger.de/
      http://www.heise.de/security/dienste/browsercheck/
      http://www.heise.de/security/dienste/portscan/
      http://www.heise.de/security/dienste/emailcheck/
      http://de.wikipedia.org/wiki/Passwort#Wahl_von_sicheren_Kennw.C3.B6rtern
      http://www.securityfocus.com/
    • kaydoc
      kaydoc
      Bronze
      Dabei seit: 08.11.2006 Beiträge: 128
      Original von Guggi
      Dass z.B. das korrekte konfigurieren einer Firewall mit Sicherheit keine triviale Angelegenheit ist, wird von den Herstellern gerne verschwiegen.
      Deine Liste liese sich wirklich viel weiter führen ... Das mit der Firewall ist richtig und dazu kommt ist die gerne verschwiegene Tatsache das die verwendeten Internetprotokolle nicht in Hinblick auf Sicherheit definiert wurden. Das wird allzu häufig vergessen. Sie sind einfach, aber auf keinen Fall sicher. Mit HTTP TCP/IP lässt sich so ziemlich alles machen was einem so einfällt ;)
    • 1
    • 2