Account Hack, das 4. (5.?) Mal in diesem Jahr... und täglich grüßt // Edit: zum 6. Mal

Demetozwoa-antonidas · 30. November 2020 um 09:20

Ja, diese Bedingung ist jetzt auch beim Account so vermerkt - Account Anfragen/Änderungen nur mehr mit Führerschein im Gesicht

Die Theorie, dass der Hacker im privaten Bekanntenkreis stammt, kann ich ich glaube ich ausschließen. Auch habe ich niemals meinen Account geteilt bzw. hängt mein Rechner über CAT5 und nicht über WLAN im Internet (und das WPS pwd ist innerhalb der Familie geblieben).

Ich hoffe, dass das Blizz-Team noch die 3 gelöschten Chars wiederherstellen kann - dann wäre wieder alles grob so wie vorher…

Milbona-forscherliga · 30. November 2020 um 12:22

Als ich die Geschichte gelesen habe, war ich doch mehr als verblüfft/erstaunt.
Ich drücke Dir die Daumen, dass dies alles jetzt ein gutes Ende nimmt - auch bzgl. der noch „Vermissten“.

Zerinoxa-blackhand · 30. November 2020 um 13:58

Vielleicht kannst du hier noch ansetzen und die vergangenen Adressen und Tags löschen lassen?

Mahiri-thrall · 30. November 2020 um 22:17

Es geht auch nicht darum, ob dein Rechner über WLan abgeschlossen ist, sondern ob du alle WLan-Geräte im Netz eindeutig zuordnen kannst. Gerade wenn jemand „mal eben“ im Vorbeigehen die WPS-Taste gedrückt hat ist er schneller im WLAN als dir lieb ist. Außer du hast es natürlich ausgeschaltet oder der Router hat sowas nicht.

Nelley-madmortem · 1. Dezember 2020 um 06:28

Ich kann dir nur raten den Rechner komplett platt zu machen und Windows neu aufzuspielen.

Das ist der absolut sicherste Weg.

Sollte es dann wieder passieren könntest du dir auch was im Bios / Uefi eingefangen haben. Sollte dies der Fall sein hilft meist nur ein neuer Rechner.

Demetozwoa-antonidas · 1. Dezember 2020 um 08:13

Den WLAN-Zugang per WPS kann man sich ja nicht einfach so holen. Es muss ja vorher beim WLAN-Router manuell per Knopfdruck das WPS Signal aktiviert werden und während dieser Dauer kann dann mit dem anderem WLAN Gerät (welches auch WPS fähig ist) der WLAN Zugang aktiviert werden.
Dass der Angreifer (Theorie: aus dem privatem Umfeld) hier in mein Wohnzimmer spaziert ist und die WPS Taste gedrückt hat… kann ich mir beim besten Willen nicht vorstellen.

@Nelley
Ich glaube nicht, dass mein Rechner verseucht ist. Weil wenn hier user/pwd über Spyware ausgespäht worden wäre, dann hätte ja der Hacker sofort auf meinem Account Zugriff und müsste ja kein Blizz-Ticket mehr auslösen (was er ja gemacht hat - siehe Blockzitat im ersten Beitrag).
Im Endeffekt könnte hier nur der Blizz-Support Auskunft geben - was eben die erste Aktion bei diesem Angriff war (bzw. durch wem) und mit welchen Information der Hacker (Fake-Ausweis, Sicherheitsfrage?,… ) er den Blizz-Support überzeugen konnte, dass er der rechtmäßige Account-Inhaber ist.

Zu Schluss noch eine erfreuliche Sache: auch die letzten 3 gelöschten Chars sind wieder da (mit all ihrem Hab und Gut). Somit konnte fast alles wiederhergestellt werden (ich bilde mir zumindest ein, dass manche Chars vorher noch Post im Briefkasten hatten, welches jetzt nicht mehr da ist… aber das ist ok).

Jedenfalls nochmals Danke @Blizz-Support !

Mahiri-thrall · 1. Dezember 2020 um 10:28

Naja, wenn du es dir nicht vorstellen willst, dann halt nicht. Router öffnen und eben alle Geräte checken ist halt keine stundenlange Aufgabe.
Aber um dich zu beruhigen, niemand würde so etwas natürlich machen, eben schnell eine Taste drücken. Schon gar nicht jemand, der dir potentiell etwas Böses will.

Aber schön, das der Support so gute Arbeit leistet, sie geben immer ihr bestes.

Shariél-area-52 · 2. Dezember 2020 um 22:13

Glauben ist nicht wissen…
Ist Jahre her als ich ein Trojaner auf den Rechner hatte. Die Antiviren Software erkannte ihn und behob das Problem… 4 Wochen später Account weg…
Blizz Support war super

Dann noch mal alle Logs durchgesehen… Er wurde nach wie vor im HG mit gescannt, aber es erschien keine Meldung mehr… Er war nicht weg…
Win neu aufsetzen löste das Problem…
Neuen Virenscanner/Inetschutz angeschafft… 5 Monate später wieder was gefunden, wieder dem Programm vertraut… Montag vor Weihnachten wars Konto 400€ im Minus durch Ebay Käufe. Paypal Acc+Mail Acc von mir und von jemand anderen den Ebay Acc genommen. Alles wieder erhalten, trotzdem wars eine Rennerei, da ich erst eine Anzeige machen musste für die Erstattung.
Wieder PC neu aufgesetzt und seit dem toi toi toi Ruhe…

Also was das angeht bin ich nun gebranntmarkt…

Achja er brauchte natürlich trotz PW + Accnamen Blizzard Ticket um den Authentificator zu deaktivieren^^ „Habs Handy neu und vergessen aus zu stellen“ nur so als Beispiel… Hust ich bin auch da Meisterin des vergessens und des Perso sendens

Demetozwoa-antonidas · 7. Dezember 2020 um 07:53

Unfassbar, aber mein Account wird gerade schon wieder gehackt!
Ich habe das alte Ticket (über diesen Account hier) wieder geöffnet.

BITTE Account wieder sperren und mit mir Kontakt aufnehmen!
Gern auch über Telefon!

Edit:
@Blizz-Team:
Ich habe meinen Rechner nun mit folgenden Programme durchsucht:

Avast
Panda Dome
Spybot - S&D
Malwarebytes
HijackThis
SecurityTaskManager
Eset Internet Security

Bei allen Scans wurde nichts gefunden (kein Virus, Trojaner, Keylogger, … ).
Meine email-Accounts sind sicher.
Der Authenticator (welchen ich nach dem letzten Mal wieder verlinkt habe - mit Option bei jedem Login) hat hier wieder nicht helfen können.

Frage - wie ist dieser Angriff ausgelöst worden?

Wurde hier ein Ticket von einem anderen Account ausgelöst und mein Account beansprucht? Wenn ja, durch einen Blizz-Mitarbeiter zugesprochen obwohl hier die Notiz vermerkt ist, dass nur Anfragen mit aktuellen Foto von mir bei welchem ich den Lichtbild-Ausweis neben meinem Gesicht halte?
Da nach der letzten Wiederherstellung auch die verlinkte email-Adresse (neue) als auch der Battle-Tag geändert wurde:
hat der Hacker hier anhand alter email-Adressen / Battle-Tag den Anspruch geltend gemacht?
(weil sollte der Hacker die neue email Adresse bzw. Battle-Tag in seinem Account-Anspruch verwendet haben, dann würde das vielleicht doch auf ein Leck auf meinem PC hindeuten?)
Ich will ja nicht den Teufel an die Wand malen (und das soll auch keine persönliche Anschuldigung sein), aber könnte hier bei den letzten Male immer der gleiche Bizz-Mitarbeiter bei dem unrechtmäßigen Account-Zuspruch beteiligt gewesen sein? Das ist jetzt nur laut gedacht - sollte dieser niedergeschriebene Gedanke hier nicht angebracht sein, dann lösche ich diesen Kommentar…
kann mein Account (mit all seinem Items, Erfolgen,… usw) irgendwie auf einen neuen Account geschoben werden und somit alle historischen Einträge (email-Adressen, Battle-Tags, Telefonnummer, … ) gelöscht sind? Das eben nicht aufgrund alter (dem Hacker bekannten) email-Adressen, Battle-Tags,… der Account dem Hacker zugesprochen werden kann?

Wir müssen hier die Ursache herausfinden - wie kann der Hacker (immer der Gleiche? kA?) meinen Account holen?

Sollte ein GM hier das lesen, bitte Account sperren und mich kontaktieren!

Suriame-shattrath · 7. Dezember 2020 um 10:58

Ticket hast Du ja schon offen und ich glaube Dir sofort, dass die Nerven absolut blank liegen.
Hast du Windows mal neu aufgesetzt wie es schon geraten wurde?
Manchmal ist das sicherer als nur der Scan.

Sonst fiele mir nur noch ein Offline Scan ein. Bin da jetzt aber nicht gänzlich im Bilde welche Software dazu in Frage kommt.
Ist Ewigkeiten her seit es mich mal erwischt hat und ich habe mich damals auch für Windows plätten entschieden am Ende, da die Scans nichts fanden und mir das zu heikel war.

Mahiri-thrall · 7. Dezember 2020 um 14:55

Erstens hilft wenn dann nur ein Offline-Scan, und wenn es jetzt schon wieder passiert ist, dann riecht es doch wirklich zu sher nach „Innentäter“. Aber da du ja immer noch dein WLAN für „sicher“ hälst…

Belphegôr-blackhand · 7. Dezember 2020 um 17:44

Das ist nun aber schon wirklich merkwürdig. Mein Rat: auf Nummer sicher gehen und den Rechner absolut platt machen. Ich persönlich würde eine neue Festplatte kaufen und die alte verschrotten. Und dann als aller erstes, wie andere schon empfohlen haben, einen Offlinescan auf Schadsoftware machen. Hierbei einen Scanner verwenden, der auch das Bios prüft.
Aber merkwürdig ist auch, dass nicht nach dem im Account vermerkten Foto verlangt wurde. Selbst wenn jemand mit Zugang zum PC sich da dran zu schaffen machen würde, so müsste der Kundendiensmitarbeiter doch da hellhörig werden, wenn in dem Account entsprechende Vermerke sind.
Sehr sehr seltsam das Ganze.

Demetozwoa-antonidas · 7. Dezember 2020 um 20:14

@Mahiri
Ich hab jetzt auch noch einen Offline-Scan durchlaufen lassen:
„Scan completed successfully, attempting to clean any active malware. Number of threats from scan: 0“
Wegen unsicherem WLAN: Ich wohne am Land in einem Einfamilien-Haus, die Anzahl der Nachbarn ist hier sehr überschaubar - ist sicher nicht unmöglich aber sehr sehr unwahrscheinlich. Trotzdem danke, dass du dir da auch Gedanken machst !

@Belphegor
Wie oben der GM geschrieben hat:

Der Hacker muss deine E-Mail nicht kennen um eine Anfrage zu dem Account stellen zu können. Es reicht zu wissen welche e-Mail mal auf dem Account war, oder welcher Battle.Tag.

Wenn der (wahrscheinlich gleiche) Hacker beim Angriff einfach eben wieder ein Ticket abgesetzt hat und

Soweit ich das sehen kann wurde hier in der Tat ein gut gefälschter Lichtbildausweis vorgelegt.

hat, dann hat er ja die alte email Adresse noch immer bei der Hand.

LIEBER BLIZZ-SUPPORT:
Bitte meldet euch bei mir (habe von diesem Account hier Tickets abgesetzt).
Wie ich bei meinem Gildenprofil sehen kann, sind alle meine Character weg - auch beim Profiler existieren sie nicht mehr.
Gerne möchte ich mit euch auch mal „live“ reden (Telefon, Discord, Skype, MS Teams, … was auch immer).

Zaytoru · 7. Dezember 2020 um 20:26

Hallo Demetozwoa,

ein Live-Ticket wäre hier von beiden Seiten her sehr praktisch. Die Live-Chat-Funktion ist morgen wieder von 14-17 Uhr möglich. Erstelle innerhalb dieser Zeit bitte nochmal hierüber eine Ticketanfrage.

Ich selbst habe leider momentan keine Einsicht in deinen Account und kann daher nicht mit spezifischen Informationen dienlich sein, aber ich hoffe mit dir, dass dir im Live-Chat weitergeholfen werden kann.

Nelley-madmortem · 8. Dezember 2020 um 13:35

Na gut das dein Rechner nicht verseucht ist laut eigenen Angaben.

Manchmal frage ich mich echt warum Leute in einem Forum Hilfe suchen und diese dann nicht annehmen.

Trouble-defias-brotherhood · 8. Dezember 2020 um 13:45

Ich glaube ganz ehrlich nicht, dass das auf dem Rechner des Nutzers hier liegt. Wenn jemandem auf Anfrage ein Konto übertragen wird, von dem Blizzard eindeutig gesagt hat „keine anderssprachigen Tickets mehr annehmen, nur mit eindeutigem Bildbeweis - Foto von Ausweis neben Gesicht - sind Daten zu ändern“, dann sehe ich das Problem hier in der Behandlung durch den Gamemaster.

Wenn wir hier nicht ein absolutes Freak-Phänomen vorliegen haben mit einem eineiigen Zwilling oder jemandem, der unfassbare kriminelle Energie zum Fälschen eines Fotos mit Ausweis neben Gesicht (!) hat, sehe ich das Problem im Innenverhältnis von Blizzard, dass da die Hinweise am Account nicht gelesen wurden.

Es soll ja auch ein Foto von einem Ausweis auf einer aktuellen Tageszeitung mitgeliefert werden, damit das vorherige Foto nicht mehr verwendet werden kann. Ich halte es für super komplex, alle diese Faktoren durch den Zugriff auf einen Rechner des Kunden zu erreichen, insbesondere wenn er einen Authenticator benutzt.

Wir reden ja hier nicht davon, dass dem Kunden Email und Passwort abgezogen werden - sowas würde ja direkt am Authentificator scheitern, der eine spezifische Seed-ID hat, und ich muss einfach mal voraussetzen, dass bei einem so häufig kompromittierten Account ein Authenticator gesetzt ist - sondern dass jemand Blizzard kontaktiert, um die Inhaberdaten des Accounts ändern zu lassen und den Account dann leer räumt. Genau das soll aber ohne die Beigabe von hohen Sicherheitsanforderungen - Ausweis neben Gesicht etc - nicht mehr gemacht werden.

Ich meine man kann nicht ausschließen, dass der TE der Übeltäter ist, den Account irgendwann mal von jemandem gekauft hat und sich jetzt der eigentlich legitime Besitzer den Account zurückholen will, aber da der TE sich wohl 4 bis 5 Mal bei Blizzard legitimiert hat, ist diese Wahrscheinlichkeit verschwindend gering.

Demetozwoa-antonidas · 8. Dezember 2020 um 15:52

Zur Info: Ich hatte gerade vorhin ein längeres „Gespräch“ mit einem (sehr netten und kompetenten) GM über das Live-Chat-Feature:

der Hacker hat ein Ticket erstellt und hat dem Blizz-Support anhand der angehängten Daten glaubhaft machen können, als wenn sie von mir wären
Zitat GM: „Die einzige Lösung liegt auf unserer Seite aktuell, zu erkennen das der Hacker ein Ticket geschrieben hat … /snip … aber es ist der einzige Weg“

Meiner Meinung nach liegt die Ursache für den permanenten Account-Diebstahl aufgrund der Tatsache, dass alte Account-Informationen (wie alte verlinkte email-Adressen, Battle-Net IDs, Wohnort-Adresse, … ) aus der Datenbank lt. Aussage von GM nicht gelöscht werden können - diese sind aber dem Hacker bekannt.

Ansonsten wäre die Lösung jene, eine neue email-Adresse verlinken, neue BattleNet-ID generieren und dann alle alten (zuvor verlinkten) email-Adressen und BattleNet-IDs zu löschen. Somit hätte der Hacker dann keine Möglichkeit mehr, da eine ihm bekannte alte email-Adresse (oder alte BattleNet-ID) in der Datenbank nicht mehr auffindbar ist und somit kein Querlink zu diesem Account mehr existieren würde.

Aufgrund der Tatsache, dass bei meinem Account ein Authenticator verlinkt ist/war, brauchte der Hacker die Hilfe vom Blizz-Support um diesen entfernen zu lassen. Somit macht der Authenticator auch sicher Sinn. Außerdem hatte der Hacker kein Wissen von meiner neuen verlinkten email-Adresse, neue Battle-Net ID und Passwort (wenn diese Informationen hätte, dann müsste ein Keylogger oä beim mir aktuell aktiv sein).

Da bei meinem Account die Notiz verknüpft ist, dass nur Anfragen mit einem Bild von mir wie ich meinem Ausweis neben mein Gesicht halte angenommen werden darf… ist gut. Ich habe solche Fotos auch nun mehrfach hochgeladen - jedoch müssen die (lt. Aussage von GM) aus Datenschutz-rechtlichen Gründen wieder gelöscht werden… Frage: wie kann dann ein Foto-Vergleich gemacht werden, wenn das Foto von mir (als verifizierter Account-Inhaber) wieder gelöscht wird?

Einen komplett neuen Account zu erstellen und alle Items usw. dorthin zu transferieren wäre keine Lösung für mich, da die kompletten Sammlungen (Mounts, Pets, Toys, Mogs,… usw) lt. GM nicht übertragen werden können.

Soweit ich informiert bin, wird mein Account gerade wiederhergestellt - wofür ich auch dankbar bin. Aber ich wage es zu prophezeien, dass dies nicht das letzte Mal war… hoffentlich belehrt mich die Realität ein besseres…

Jimmydiehand-amanthul · 8. Dezember 2020 um 16:16

Falls der Hacker dich nicht privat angreifen will sondern tatsächlich nur auf Beutegold aus ist, könnte man versuchen ihm die Beute zu vermiesen.

Pets, Mounts oder andere „schicke Sachen“ sind ja oft seelengebunden. Also ist das Beste für einen Dieb, Bargold als Beute.

Wenn Du jemanden kennst dem Du vertraust und Du sicher bist, dass dieser dir gegenüber rechtschaffen handeln wird, könntest Du ihm so 95% deines Goldes schicken. Immer wenn Du etwas brauchst, schreibst/rufst Du ihn an.
Du Micha schick mir mal 100k, ich will mir was im ah kaufen.

Das wäre jetzt nur eine Notmaßnahme, falls die GMs in den Staaten nicht in der Lage sind, gute Accountsicherheit zu praktizieren.

Cerka-kargath · 8. Dezember 2020 um 16:48

Hi,

Was ja auch seinen Sinn hat. Wenn jemand einen Acc „geklaut“ hat, hält man ihn ja für den echten Nutzer. Würde man jetzt die alten Daten löschen, könnte der wirklich echte Nutzer mit diesen nicht seinen Account zurückholen. Er kennt ja die neuen Daten nicht.

Soweit so knuffig.

In diesem Fall allerdings ist das eben genau die Hintertür, die genutzt werden kann und die sich blöderweise nicht schließen läßt

Müßte die Häufigkeit der Kompromittierung nicht hellhörig machen? Ich meine, Montag gibt der Support den Acc dem echten Besitzer zurück und Donnerstag meint der „echte“ Besitzer schon wieder, er wäre weg? Ohne, daß in dem Acc zuvor verdächtige Aktivitäten gewesen wären? WoW regulär zocken mit Ini gehen, Blümchen pflücken usw. ist ja irgendwie was anderes als Chars naggisch zu machen, massenhaft Löschungen oder Transfers vorzunehmen oder Geld an Fremd-Accounts zu verschicken usw.

Aber vielleicht sieht man das - oder die GMs - nicht so einfach

Gute Frage …

Gelten die Bestimmungen auch für Portaitmaler und private Smartphone-Fotos vom Bildschirmfoto? Darf man einem GM bzw. dem Cheffe, der dann auch nur die Berechtigung hätte den Acc freizugeben, nen lustiges Fanfoto schicken, was er sich dekorativ auf dem Schreibtisch stellen kann, um den Abgleich zu machen?

Es ist echt zum Mausläuse melken

Womöglich hätte der „Hacker“ das dann auch schon längst veranlaßt.

Ja, es ist ein Kreuz, und ich will nicht in deiner Haut stecken. Ich glaube, ich hätte irgendwann den Schlußstrich gezogen und den Account mit allem endgültig und irreparabel löschen lassen. denn hätte ich ihn zwar auch nicht mehr, der „Hacker“ aber auch nicht.

seufz

Ich drücke auch mal alle Däumchen, daß es diesmal hält!

trollische Grüße,
Cerka

Naldo-lothar · 8. Dezember 2020 um 16:58

Falls Du nochmal mit einem GM sprichst, kannst Du ja mal folgende Idee ansprechen:

Da Blizzard die alten, kompromitierten Daten nicht löschen kann, sollten sie einen neuen (leeren) Account (mit Deinen aktuellen Daten, Anschrift, eMail, Telefon, Authentikator) erstellen, und alle Chars dorthin transferieren.

Der alte Account ist dann leer, und kann dauerhaft gesperrt bleiben. Wird der Account wieder aktiviert, dann ist der Account noch immer leer.

Aber Vorsicht: Wenn der Bösling diese Idee eher an den Support „per Ticket“ meldet, bist Du buchstäblich raus…