Probleme mit Sicherheit, Passwörtern und PayPal-Konto

1

Ich habe einen seltsamen Fall mit meinem PayPal-Konto und wollte von der Community erfahren, was getan werden kann und wie die Sicherheitslücke aufgedeckt werden kann.

Ich habe ein privates PayPal, das in letzter Zeit ständig angegriffen wurde.
Wenn ich angegriffen sage, ist damit gemeint, dass jemand versucht hat, darauf zuzugreifen.

Was ich nicht verstehen kann, ist wie.

Die Fakten

  • Ich habe eine 2-Faktor-Authentifizierung (Zugangsschlüssel) in meinem PayPal-Konto über mein Telefon.
    Wenn ich mich anmelden möchte, muss ich sowohl mein Passwort als auch den Code eingeben, den ich auf meinem Telefon erhalte.

  • Ich habe ein sehr hartes Passwort, das nur für das PayPal-Konto gilt.

  • Ich habe meine Sicherheitsfragen mit einer sehr langen Zeichenfolge beantwortet (nicht die Antwort auf die Frage, nur ein anderes Passwort, das hart wie eine Zeichenfolge ist).
  • Das Passwort und die Zeichenfolgen werden gespeichert und nirgendwo geschrieben.
  • Aus den Gesprächen mit dem PayPal-Sicherheitsteam geht hervor, dass die Person, die über das Kennwort auf mein Konto zugegriffen hat (ob sie die SMS verwendet hat oder nicht, ist nicht bekannt oder ich werde zumindest nicht gebührenpflichtig).
  • Ich habe auf Windows 10 kein verdächtiges Verhalten gesehen was so ist.
  • Keine verdächtigen Aktivitäten auf meinen E-Mails oder anderen Websites, auf denen ich mich anmelde.

Das erste, woran ich denke, ist, dass jemand meinen Computer mit Schlüsseln protokolliert.
Oder irgendeine Art von MaleWare.

Aktionen ausgeführt

  • Ich habe Maleware und Anti-Virus ausprobiert. Einschließlich Sicherheitsdisketten und Rootkits Killers. Ich habe Kaspersky, Avira, MalewareBytes, ClamWin, Microsoft Defender und BitDefender ausprobiert.
  • Ich habe Passwörter und Sicherheitsfragen geändert.

Trotzdem konnte er gestern wieder auf mein PayPal-Konto zugreifen.

Ich muss sagen, dass PayPal im Allgemeinen großartig war und alles wiederhergestellt wurde.
Dennoch möchte ich damit aufhören, wie es in den letzten Wochen einmal pro Woche passiert.

Welche anderen Optionen gibt es, um die Sicherheitslücke zu finden, die ich habe?

Ich habe keine Probleme, meinen Computer zu formatieren. Ich muss nur verstehen, was garantieren kann, dass er nicht zurückkommt.

Irgendwelche speziellen Tricks, um wirklich zu verstehen, was los ist?

Dankeschön.

security  passwords  anti-virus  privacy  anti-malware 
Royi
quelle
Wenn Sie 2FA aktiviert haben, wie können sie ohne Ihr Telefon auf Ihr Konto zugreifen? Das ist die Frage, die ich PayPal stellen würde. Genau das soll 2FA verhindern.
Julian Knight
Es ist bekannt, dass PayPal auf Anrufe reagiert, um das Passwort zurückzusetzen, indem es sie einfach anruft und Informationen beantwortet, die von halbprivaten Websites über Sie abgerufen werden können. Das IRS hat dies auch getan, als es darauf bestand, eine PIN zu verwenden, die nur an Sie gesendet wurde. Leider könnte jeder das IRS anrufen, einige vermutlich "geheime" Fragen beantworten und Ihre PIN zurücksetzen. Stellen Sie sicher, dass Paypal Ihr PW nicht von einer anderen Person zurückgesetzt hat, indem Sie den Support anrufen (was vermutlich bereits heute bei Ihnen der Fall ist). Woher wissen sie und stellen sicher, dass Sie es sind?
DaaBoss
@ JulianKnight, das ist eine gute Frage, die ich, wie oben geschrieben, gestellt habe und nicht beantworte. Dankeschön.
Royi
@ DaaBoss, ich glaube nicht, dass sie einen Hinweis darauf gesehen haben, dass ein Passwort-Reset über ein Telefon durchgeführt wurde. Hast du noch andere Gedanken dazu? Irgendeine Idee, wie man die Sicherheitslücke hier findet? Dankeschön.
Royi
1
@ Royi, dem Sicherheitsforscher Krebs ist es nicht in den Sinn gekommen, dass es Paypal selbst war, der sein PW mithilfe von Social Engineering und den schlechten Sicherheitspraktiken von Paypal zurückgesetzt hatte. Der Artikel appellierte daraufhin an mehrere Unternehmen, darunter IRS und PayPal, die Praxis zu verbieten und zu unterbinden, die Verwendung recht einfach zu ermittelnder Informationen für die mündliche Authentifizierung am Telefon zuzulassen, und es Supportmitarbeitern zu ermöglichen, jede einzelne Sicherheitsmaßnahme manuell außer Kraft zu setzen erwähnt. Wann und von wem wurde Ihr PW zurückgesetzt oder wurde es nicht zurückgesetzt? Ich habe zumindest angenommen, dass Sie es zurückgesetzt haben.
DaaBoss

Antworten:

1

Ich bin der festen Überzeugung, dass es sich bei Ihrem gehackten Konto ausschließlich um Social Engineering handelte und es sich überhaupt nicht um einen technischen Fehler handelte. Sie sind bereits bestrebt, äußerst gute Sicherheitsverfahren und -praktiken anzuwenden. Das spezifische Versagen liegt in unseren Institutionen, die normalerweise 10 bis 20 Jahre hinter den Bösen zurückbleiben. Sie können einfach nicht verstehen, wie sie uns schützen können, indem sie schnell neue Verfahren für neue Risiken anwenden. Zur Lösung Ihres Problems müssen wir uns möglicherweise bei PayPal und anderen Institutionen für Änderungen einsetzen.

Im Fall von PayPal gibt Krebs genau an, wie sein PayPal-Konto wiederholt gehackt wurde, obwohl er ein Experte für Sicherheit ist und bereits die 2-Faktor-Authentifizierung verwendet. Seine Geschichte sollte uns alle auf die erheblichen Gefahren aufmerksam machen, die derzeit bestehen, damit wir beginnen können, einige der Risiken zu mindern.

2016 Reality: Lazy Authentication Immer noch die Norm, von Brian Krebs

Ihr Hack war wahrscheinlich das Ergebnis von Paypals Praxis, statische Informationen zu verwenden, die angeblich schwer zu bekommen sind. Auf diese Weise wurde Krebs definitiv wiederholt gehackt. Nachdem PAYPAL diese Fragen mündlich beantwortet hatte, obwohl er ein "gesperrtes Konto" hatte, gab er den BADGUYS WIEDERHOLT ZUGRIFF auf KREBS KONTO. Krebs benutzte bereits 2FA und es half ihm nichts. Beachten Sie auch, dass Krebs als Sicherheitsexperte die Zusammenarbeit mit dem PayPal-Management viel einfacher hatte, STILL aber nicht genug half.

Fast ebenso beunruhigend ist, dass die Fotos von "offiziellen Dokumenten" im Rahmen der Due Diligence vieler Organisationen für KYC-Verfahren verwendet werden. Sie sind leicht und kostengünstig zu schmieden. Es gibt Dienste, die gegen eine geringe Gebühr betrügerische Dokumente für Sie erstellen. Sie können jederzeit nachweisen, dass Sie jemand sind, der Sie nicht sind.

Lesen Sie diesen ganzen Artikel durch, und ich denke, Sie werden sehen, dass wir alle damit beginnen müssen, unsere Institutionen auszubilden und zu zwingen, unsere Sicherheitsverfahren und -praktiken vollständig zu überarbeiten und dann Technologien anzuwenden, die heute tatsächlich funktionieren.

Aber was heute funktioniert, funktioniert möglicherweise nicht im nächsten Monat, und diese Verfahren und Technologien müssen häufig und schnell geändert werden, um sich an neue Bedrohungen anzupassen.

Das Problem ist, dass unsere Institutionen selbst so konzipiert sind, dass sie sich niemals schnell an Veränderungen anpassen können. Dieser Aspekt muss sich ändern, bevor wir erwarten können, dass sie sich schnell anpassen. Je größer die Institution, desto schwieriger ist es, ein Verfahren zu ändern, egal wie dumm es wird.

Ein Beispiel für die Versuche mehrerer Institute, ein Sicherheitsproblem zu lösen, sind Sozialversicherungsnummern. Es ist seit Jahrzehnten ein bekanntes Problem, den Bösewichten den einfachen Zugriff auf diese SS-Nummern zu ermöglichen und dann Systeme zu warten, die auf der Technologie der 1950er Jahre beruhen, um Ihr Konto zu schützen. 2006 war es gesetzlich vorgeschrieben, alle SS-Nummern von Medicaid-Karten zu entfernen, und ich glaube, Medicare-Karten auch. Die Agenturen müssen noch nicht nur die Nummern entfernen, der aktuelle Plan soll bis 2027 abgeschlossen sein. Nein, das war kein Tippfehler - ZWANZIG JAHRE, um eine sichtbare SS-Nummer von diesen Karten zu entfernen! Natürlich wird der Punkt dann wahrscheinlich umstritten sein. Ohne eine Überarbeitung dieser Organisationen kann uns kein technologischer Aufwand schützen.

Selbst für Experten wird es immer schwieriger, genügend Sicherheit zu verstehen, um sicher zu bleiben. Es erfordert unsere ständige Anpassung, das Lernen und die Übernahme unserer eigenen Verfahren, die in Bezug auf Zeitaufwand, Frustration und Geldaufwand kostengünstig sind.

Ich glaube, diese soziale Lösung ist die einzige Lösung für sein Problem, auch wenn es keine technische ist. Dies ist im Allgemeinen nicht der Ort für eine Lösung, die keine etablierte faktenbasierte Technologielösung ist. Es gibt jedoch einige Aspekte unserer Technologie, die mit Richtlinien und Verfahren verschmelzen, die sich ebenfalls ändern müssen, oder wir werden viele der neuen Sicherheitsprobleme niemals lösen. Sicherheit erfordert angewandte Technologie mit Richtlinien und Verfahren. Ohne alle drei gibt es keine Sicherheit.

DaaBoss
quelle
Ich habe den Artikel gelesen. Gute Lektüre. Ich kann die Schwächen von PayPal erkennen, aber wie kann ich sicherstellen, dass ich nichts verrate? Was kann ich auf meiner Seite tun? Dankeschön!
Royi
Beginnen Sie einfach mit PayPal und erfahren Sie zunächst, wie Sie sich verhalten oder angegriffen werden könnten. Prüfen Sie dann, ob es eine Möglichkeit gibt, sie zum Ändern zu bewegen, damit Sie nicht angegriffen werden, und versuchen Sie dann, sie so zu beeinflussen, dass sie sich für alle ändern. Zum Schluss berichten Sie hier und bei Krebs, welche Änderungen sie vorgenommen haben und wie wir uns alle mit mindestens PayPal schützen können.
DaaBoss
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.