Hallo! Ich habe gestern Abend diese Mail bekommen. Zitat Anfang: "Falls Ihnen das oben genannte Passwort bekannt vorkommen sollte - bitte weiterlesen ! Hierbei handelt es sich NICHT um Spam! Bitte nehmen Sie sich Zeit für die folgende Email, sie ist sehr wichtig für Sie ! Also, Sie werden sich natürlich erstmal fragen von wo ich überhaupt Ihr Passwort habe? Ganz einfach erklärt, ich habe es auf einem Schwarzmarkt in den 'dunklen Ecken' des Internets gekauft. Dort werden täglich hunderte Kreditkartendaten, Onlinebankingdaten, Paypalkonten, usw. zum Verkauf angeboten. Und das absolut ohne jegliche Skrupel! Aber - werden Sie sich nun denken - warum habe ich Ihre Daten dort in diesem Schwarzmarkt überhaupt erstanden? Will ich Ihnen etwas Schlechtes ? Nein, auf garkeinen Fall! Sogar im Gegenteil! Sie müssen mich eher als 'Undercover-Engel' unter diesen ganzen Betrügern und Hackern sehen - ich bin dort unterwegs um Menschen wie Sie vor Datenmissbrauch zu schützen ! Alle Datensätze werden nur 1x zum Verkauf angeboten und danach von den Betrügern gelöscht - bedeutet also für Sie, Ihre Daten werden nun nicht weiter in Umlauf gebracht. Da ich selber vor mehreren Jahren Identitätsdiebstahl zum Opfer gefallen bin und dadurch enormen finanziellen Schaden erlitten habe, fühle ich mich nun gezwungen weitere Opfer davor zu beschützen das selbe Dilemma zu durchlaufen. Darum - habe ich Ihre Daten gekauft. Ich möchte Sie vor dem möglichen finanziellen Schaden als auch von den ganzen Unannehmlichkeiten die man bekommt, wenn man z.B. merkt das man aufeinmal keinen Zugriff mehr auf beispielsweiße seinen eigenen Ebayaccount oder seine persönlichen Mails hat, beschützen. Das einzige was die Betrüger im Idealfall brauchen ist der Zugang zu Ihrem Postfach - hier werden einfach alle Passwörter zurückgesetzt / geändert und letztendlich auch das Passwort von Ihrem Postfach - damit sie absolut keinen Zugriff mehr auf irgendetwas haben , und der Betrug mit Ihren Daten seinen Lauf nehmen kann.. Es reicht aber auch schon wenn die Hacker ein bestimmtes Passwort von Ihnen besitzen - z.B. von Ihrem Paypalkonto - daraus können meistens schon alle relevanten Daten gezogen werden. Passwörter stammen alle aus einem Onlineshop names High-Heels-Perfect ! Es werden beispielsweiße teure Waren welche garnicht existieren unter Ihren Namen zum Verkauf angeboten, wie z.B. iPhones, Notebooks, Spiegelreflexkameras, Designerhandtaschen. Es wird ein Paypal Account mithilfe Ihrer Daten erstellt (falls nicht schon vorhanden) um für den Betrüger teure Waren zu kaufen ! Es werden tausende von Phishing-Mails von Ihrem Konto versendet ! Und noch dutzende weitere MetHo*** wie die Betrüger an Geld kommen - und meistens bleibt das Opfer dann auf dem entstandenen Schaden sitzen. Stellen Sie sich also vor Ihre Daten hätte nicht ICH gekauft, sondern ein anderer, skrupelloser Betrüger - wir können sich beide vorstellen wie das wohl geendet hätte. Diese Mail habe ich Ihnen nun geschrieben um Sie einfach zu informieren, dass Ihre privaten Daten in den Händen (besser gesagt Computer) von einem skrupellosen Betrüger gelandet sind. Die Passwörter stammen meist aus Datenbanken größerer Internetshops welche gehackt wurden - also keine Angst , sie haben war***einlich keinen Trojaner auf dem PC und müssen Windows auch nicht neu installieren! Ich bitte Sie also, ändern Sie wenn möglich heute noch ihre kompletten Passwörter solange Sie noch die Möglichkeit dazu haben. Solange Sie schnell genug reagieren werden Sie ohne jeglichen Schaden davonkommen. Das ändern aller Ihrer Passwörter sollte hierfür reichen. Bitte sichere Passwörter verwenden ! Leider kann nichts gegen diese Betrüger unternommen werden - sie sitzen hinter IP-Adresse welche nicht zurückverfolgt werden können. Also ist eine Strafanzeige gegen diese zu stellen leider auch sinnlos und führt ins Nichts.. Ändern Ihre Passwörter und Sie sind wieder auf der sicheren Seite ! Wo auch immer Sie diese Nachricht nun lesen, ob Sie gerade in der Arbeit sind oder Zuhause, ich würde mich sehr über ein kleines Dankeschön Ihrerseits für meine 'gute Tat' freuen. Dahinter steckt absolut kein Zwang! Mir reicht auch schon ein kurzes 'Dankeschön!' in meinem Postfach ! Aber nochmal zur Erinnerung - der Erwerb Ihrer Daten war auch für mich mit Kosten verbunden. Falls Sie mir also eine kleine Gegenleistung zukommen lassen möchten, gibt es diese sogenannte PAYSAFECARD - das ist sozusagen ein Zettelchen (Bon) auf welcher sich ein 16-stelliger Code befindet. Bitte auch den Bon als Scan / Foto in der Email mitsenden falls möglich, das wäre echt sehr nett. Hier finden Sie alle Verkaufsstellen in Ihrer Nähe: Diese Karten gibt es mit Guthaben im Wert von 10, 15, 20, 25, 30, 50 und 100EUR. Entscheiden Sie selbst was Ihnen meine kleine Warnung wert ist bzw. war. Also falls Sie das nächste mal in Ihren Ort oder Ihre Stadt fahren sollten denken Sie bitte an mich und halten Sie kurz bei der nächsten Tankstelle an.. :) Bitte NICHT auf diese Mail antworten ! Meine Mail-Adresse ist Addresse ist mir bekannt und wurde aus Datenschutzgründen entfernt Dort können Sie mich jederzeit kontaktieren. Ich bedanke mich schonmal herzlichst für jedes noch so kleine Dankeschön ! Ich wünsche Ihnen noch einen angenehmen Tag / Abend ! 'Guter Wille und gute Tat sind die Eltern des Glücks.' " Zitat Ende Ich habe/hatte tatsächlich bei dem Onlinehändler ein Kundenkonto mit dem Passwort, dass dem Absender bekannt ist. In meinen Augen ist das Vertrauensbruch und Betrug. Dort werde ich nichts mehr kaufen und habe um die Löschung meines Kundenkontos gebeten. LG Verena

Das Zugangsdaten hin und wieder fremde Wege gehen ist nichts neues.. stutzig machen würde mich nur: - wieso "kauft" jemand Deine Zugangsdaten nur um Dich dann zu "warnen" ? - bist Du sicher, das es wirklich Deine Zugangsdaten sind ? Was nutzen jemand die Zugangsdaten für einen Onlineshop ? Fast alle Shops verschicken nur gegen PP oder KK oder Vorkasse. Selbst bei Rechnungskauf oder Bankeinzug erst mal keine Panik, denn normalerweise hat der Shopbetreiber eine Sicherung drin das bei abweichender Lieferanschrift eben wieder Vorkasse zum tragen kommt. PP nutzt man gefälligst mit SMS Schlüssel, da reicht noch nicht mal das PW zu fishen. Neuen ACC erstellen... bitte. Nutzt nicht viel ohne Kontobestätigung. "Undercover Engel" Hat sich vielleicht die Daten vom Shop selbst beschafft und weil er nix mit anfangen kann gehts jetzt auf die Spendenmasche.

Hallo! Den Hinweis auf keine neuen Paswörter habe ich nicht gelesen, im Gegenteil. Ich glaube aber auch nicht so recht an Selbstlosigkeit. LG Verena

Hi, interessant; bin ich doch auch direkt Kunde in deren Online Shop seit letzter Woche. Die eMail habe ich aber nicht bekommen. Interessant wäre aber, ob es sich bei dem benannten Passwort tatsächlich um das Passwort des Shops handelt. Bzw. ob es Dein "Standard Passwort" ist. Der genannte Shop betreibt auf der Standard Plattform XT Commerce, welche bereits recht betagt ist und nicht mehr aktualisiert wird. Die Nachfolgerprodukte von XT Commerce haben sich aber nicht so recht durchgesetzt bisher. Wohl weil diese teils gut Geld Kosten, XT Commerce umsonst ist und damit quasi den Standard des "einfachen" Handels darstellen. Soweit mir bekannt, werden die Passwörter in der Datenbank nicht in Klartext gespeichert, sondern als Hash Wert. Welcher nicht zurückrechenbar ist. Allenfalls Rainbow-Tables lassen sich dagegensetzen. Und das ist ein nicht unerheblicher Aufwand. Die eMail Adressen hingegen werden in Klartext gespeichert - so dass diese nach z.B. einem Hack und Abzug der DB sofort zur Verfügung stehen und natürlich für z.B. eine Aktion wie diese hier verwendet werden können. Daher interessant: passt das Passwort welches Dir mitgeteilt wurde? Grüße Stephan

Hallo! Ich hatte das oben schon geschrieben, ich habe/hatte bei High Heels Perfect ein Kundenkonto und das Passwort war das Betreffende. LG Verena

Das finde ich in diesem Kontext aber schon interessant, wenn das Passwort in der Tat das korrekte ist. Ich habe in meiner alten - inaktiven - Shop Installation auf dem Server eben nachgesehen: es ist wie ich gesagt habe, das Passwort wird als Hashwert gespeichert und schaut z.B. so aus: 97c2bd1615963162bd4e0caca037ba9e. Das bedeutet also, Hacker haben nicht nur durch einen Exploit o.ä. sich Zugang zum Server / zur Datenbank verschafft, sondern danach auch noch alle Passwort Hashes mittels Rainbow Tables ermittelt. Demjenigen muss dafür schon eine kleine Serverfarm zur Verfügung stehen, will er massenhaft die Hashes in Klar***rift ermitteln. Eine Alternative wäre hier die Einschleusung eines Keyloggers in die Seite des Shops - also ein Script welches alle Tastatureingaben mitschneidet und an den Hacker übermittelt. Obwohl ich das wohl ausschließen würde, denn im Login Bereich setzt https ein, ist also eine verschlüsselte Datenübertragung. Allerdings sehe ich gerade, dass die SSL Verschlüsselung recht neu ist: 25-Sep-2014. Würde mich wundern, wenn Kunden welche nach dem 25.9.14 ein Kundenkonto eröffnet haben, ebenfalls betroffen sind. Ich habe bisher keine solche eMail erhalten. :)

Du bist nicht die einzige:

sowas nennt man einen bluff...er,der mail schreiber, hat nix von dir ...garnix...

Mädels, jetzt macht mal einen Punkt. ich kenne ja nicht die Betreffzeile der eMail, in der das - persönliche - Passwort gestanden haben soll. Laut dem Heise Artikel lautet es "meinpasswort". Wir reden aber nciht wirklich über "mainpasswort". Auch nicht über "geheim" oder einfach nur "passwort123". Oder Doch? Demjenigen, welcher solche Passwörter benutzt, sollte mit sofortiger Wirkung die Tastatur und der Internetanschluss abgeklemmt werden. Und demjenigen welcher daraufhin einen armen Shopbetreiber böde anschreibt ebenfalls. Bitte, sagt mir dass Euer Passwort total indivuell ist und sich nicht in die o.g. Kategorie einreiht...

vergiss das. mach einfach nix. da wird die liste gängiger fauler passwörter genommen, in den kontext der seiten gesetzt, wo die email adressen gegrabbt wurden und gut. die mails mit dem Betreff "Thomas ..." aus Afrika treffen auch zu n% zuz. einfach weil es der häfigste Männername Deutschlands ist. Viel hilft viel... Ich jedenfalls ändere jetzt alle meine passwörter auf "qwertz". scheint mir doch ein wenig sicherer zu sein als "meinpasswort"

Machst Du auch jede eMail auf von einem unbekannten Rechtsanwalt, welcher Dir eine Mahnung schickt, im Anhang als zip Datei? Nur weil da steht, dass Deine eBay Rechnung, alternativ Amazon & Co., nicht bezahlt wurde? Das ist ungefähr das gleiche wie die Mail um die es hier geht. Setze eMail Adressen in einen Kontext und schreibe etwas, was tatsächlich möglich wäre. Und schon handeln x% der User in Panik. Denken, dann handeln. Dann hätten solche Spam-Attacken weniger Erfolg. PS: Ein Rechtsanwalt versendet niemals Mahungen per eMail. Schon gar nicht einer den Du gar nicht kennst. Nur falls Du es nicht verstanden hast

schae mal unter manelmrp dae hat der üassworet hier laufen

Natürlich kann ein Scan nicht falsch sein. Welcher aber unnötig ist, wenn man üblicherweise einen vernünftigen Virenschutz dauerhaft laufen hat. Der Scannt regelmäßig alleine und die meissten mittlerweile auch live - während Du surfst kontrollieren Sie den eingehenden und ausgehenden Datenverkehr. Daher sollte ein Scan unnötig sein. Wer keinen AKTUELLEN Virenschutz laufen hat, hat heute eh verloren. Es sei denn er nutzt einen Mac o.ä. Bei nur rd. 8% Marktanteil macht sich ein Coder keine Mühe dafür einen Virus zu coden. Gibt genügend offene Windoof Systeme (die ich selbst 20 Jahre lang benutzt habe...). Eine Nachfrage in einem Forum wird nur eines bringen: Untersuche Dein System, scanne hiermit, scanne damit ... Bei ner Mahnung von einem RA mit Zip Anhang fragte da doch auch nicht nach :) Dennoch, viel Erfolg. Und nicht mein neues Passwort "qwertz" verwenden. Das gehört mir

Manchmal ist der Späher im eigenem Haus. Die Freundin klaut dir deine Liste und verantwortet es damit, dass sie ja auf dich aufpassen muss. Wie krank ist das denn ?