Account von meinem Sohn gehackt, wann kann man mit Hilfe rechnen?

Ich versuche es kurz zu machen und trotzdem verständlich:

Vor rund 10 Jahren erstellte ich für meinen Sohn einen eigenen Account, welcher auch 10 Jahre lang bis auf kurze Unterbrechungen auch regelmäßig gespielt wurde. Logischerweise wurde auch in diesen 10 Jahren dafür einiges an Geld investiert.
Ab letztes Jahr dann, als mein Sohn seine Ausbildung anfing und sein eigenes Geld verdiente, wurde die Spielzeit von seinem eigenen Konto abgebucht.
Nun passierte am Mittwoch (15.05.2024) folgendes:
Als mein Sohn sich einloggen wollte, kam die Meldung, dass diese Email-Adresse nicht bekannt sei.
In die Email-Adresse selbst kamen wir erst mal auch nicht mehr rein, erst über den Kundendienst von der Telekom.
Alle eingehenden Nachrichten nach 2022 waren in den Emails gelöscht (Hätten ja mindestens Nachrichten von Blizzard im Laufe der Zeit drin sein müssen.)
Jedoch war am 15.05.2024 eine Email dabei betr. eines Bestätigungscodes für Facebook (mit der Emailadresse ist nämlich auch ein Facebook-Konto existent, in welches wir auch nicht mehr reinkommen).
Dort wurde eine IP angezeigt, die in einem Ort in der Türkei liegt (haben wir später dann gecheckt) und in der Mail stand i-was Nähe Istanbul.
Wie auch immer… der WoW-Accout meines Sohnes läuft ebenfalls unter dieser Email, wurde von dem Hacker aber offensichtlich geändert.
Dann Ticket geschrieben, Fall genau geschildert und auch Screenshots im Formular hochgeladen.
Antwort von Blizzard-Support sinngemäß:
Um dich und deinen Account verfizieren zu können, sende uns so viel wie möglich, an das du dich erinnerst und was bestätigt, dass der Account dir gehört.
Haben wir alles gemacht, wieder etliche Screenshots geschickt usw.
Sogar die Abbuchung vom Abo mit Mandatsreferenz, Battletag… eben alles, was zeigt, dass der Account der Account meines Sohnes ist.
Nun teilen die anderen Spieler aus seiner Gilde mit, dass der Hacker immer noch lustig in Inis rumgammelt, offensichtlich um zu botten.

Was mich jetzt wundert, warum Blizzard den Account nicht nach dem Lesen des 1. Tickets schon zumindest mal solange still legt, bis das geklärt ist.
Und warum reicht nicht der Battletag, um ihn dem Account zuzuordnen?
Merkt Blizzard nicht, dass der Account jetzt von einer völlig anderen IP aus gespielt wird, wenn es sogar Facebook merkt und sicherheitshalber eine Email schickt?

Mein Sohn natürlich voll angepi**t, weil er nicht zocken kann und der Hacker immer noch in seinem Account rumgammelt.

Jemand ne Ahnung oder Erfahrung, wie lange solche Tickets dauern, bis da jemand aktiv wird?
Und ist es ratsam, dass ich von meinem Account aus noch mal ein Ticket eröffne und unter Angabe der Ticket-ID von meinem Sohn mal nachfrage, wie der Stand der Dinge ist?
Spielzeit bezahlt… und dann für einen Betrüger.
Tolle Wurst.

Weil dann jeder x beliebige herkommen könnte und Anfragen verschicken könnte und damit jeglichen Account einfach stilllegen könnte, bis das weiter bearbeitet wird.
Zudem hat man auch auf jegliche Btags auf seiner Freundesliste Zugriff. Das ist doch kein Kriterium für einen Accountinhaber.

Nope, die Infos gehen nur an den Accountinhaber.
Nachfragen ist nur ein weiteres unnötiges Ticket in der Warteschlange und führt zu Verzögerungen.
Wenn das Ticket über die richtige Kategorie erstellt wurde, wird es bearbeitet sobald es an der Reihe ist.

Authenticator einrichten wenn er den Account wieder hat und da es ja mehrere Accounts betrifft unbedingt den Schritten folgen. Irgendwie muss der Hacker ja an die Infos gekommen sein:

Einen Authenticator hatte er eingerichtet.
Auch der wurde geknackt.

Ein Hacker braucht keine „Infos“… ein Hacker benutzt dafür ein Programm.
Als das Ticket extern erstellt wurde (Innerhalb des Accounts geht ja nicht) kam die Antwort gleich am nächsten Tag (aber offensichtlich generiert, weil sonst hätte man ja gleich mal die IP’s gecheckt).
Die Korrespondenz erfolgt ausschließlich nur über Email.
Deswegen ja auch meine Frage, ob jemand vll. Erfahrung hat, wie lange sowas dauern kann, vor allem auch, bis die Email mal ein richtiger Mensch liest und keine Maschine.

Die Geschichte riecht damit nun recht streng, aber gut.

Der Support ist seit einer Weile recht hinterher, Accountprobleme werden aber priorisiert behandelt.
Mehr als ein paar Tage sollte es nicht dauern.

Was meinst du mit streng?
Aber hoffen wir mal, dass bald eine Rückmeldung kommt.
Echt bitter.

Ja, das ist schon richtig.
Nur habe ich den Account als Mutter derzeit selbst erstellt, spiele ebenfalls und sein Vater auch. Ebenfalls auch seine 2 Brüder. Kann Blizzard alles in der Datenbank nachgucken.
Die Screens der Launcher mit den Freundeslisten samt Battletags wurde ebenfalls gesendet sowie auch die spezifischen Accountdaten, Adressen und Bankdaten der betreffenden Personen.
Wie die plötzlich zu einer Verbindung in die Türkei passen sollen, ist schon mehr wie schleierhaft.
Außerdem muss Blizzard doch sehen, dass die Email-Adresse just an diesem Tag geändert wurde, als sich auch die IP veränderte.

Früher gab es mal den Sicherheitsmechanismus, dass, wenn man sich über eine nicht bekannte IP eingeloggt hat, der Account kurzweilig gesperrt wurde, bis man sich neu verifizierte.
Gibts diesen Mechanismus nicht mehr?

Jedenfalls haben wir genau das Ticket genommen, wovon du den Link geschickt hast.
Nur bearbeitet solch ein Ticket wohl niemand, sondern es kommt nur eine generierte Antwort. Wofür sendet man dann eigentlich Dateianhänge, wenn sie sich keiner anschaut?
10 Jahre wird der Account in Deutschland gespielt und nun plötzlich von der Türkei aus. Und der Horst bleibt sogar in der Gilde, dass alle Freunde meines Sohnes ihn sehen können, wenn er online ist.
Schon ätzend.

Naja bei einem gehackten Authi, also nicht nur Fremdzugriff auf PC sondern auch aufs Handy, würde ich persönlich mir wohl erstmal andere Sorgen machen, als nicht WoW zocken zu können.
Die können da ziemlich viel Unfug treiben und ich hoffe ihr habt das alles entsprechend gesichert.

Also der physische Authenticator lässt sich nicht hacken… daher bleibt aus der Aussage nur abzulesen, dass hier, zusätzlich zu abgegriffenen Anmeldedaten, auch unbefugter Zugriff auf ein Smartphone besteht.
Ich würde daher dringend nahelegen, die Wartezeit auf Beantwortung des Tickets, zu nutzen diese unbefugten Zugriffe auf PC und Smartphone anzugehen. Was genau dort im Detail nun zu unternehmen ist, lässt sich aus der Ferne nun natürlich sehr schwer sagen.

Das ist vermutlich alles nicht relevant für den Kundendienst. Wichtig für die Feststellung „Wem gehört Account xy“ ist, wer in besagtem Account als Inhaber eingetragen ist, und diese Informationen werden dann mit den eingesendeten Daten abgeglichen. Es gibt dann noch die Möglichkeit über bspw. auf dem Account aktivierte Seriennummern (für bspw. gekaufte Erweiterungen) den Inhaber zu verifizieren. Am sichersten sind allerdings die persönlichen Daten.
Hier kommt nun der Punkt ins Spiel, der mir in diesem Thread etwas Bauchschmerzen bereitet:

Und wer ist im Account als Inhaber eingetragen? Du oder dein Sohn? Solltest du dort als Accountinhaber(in) eingetragen sein, müsstest du nämlich den Kontakt zum Kundendienst aufnehmen und den Zugriff für dich wiederherstellen lassen.

Ich habe keine Ahnung, wie das passieren konnte und mein Sohn auch nicht.
Jedenfalls hat er den Authenticator gehabt, ursprünglich aber wegen der Taschenplätze.^^
Ich selber hatte den bis jetzt noch nie und hatte auch noch nie Probleme, was natürlich nicht heißt, dass man seinen Account so gut wie möglich schützen sollte.
Allerdings frage ich mich schon, wie sicher der Authenticator wirklich ist, wenn man ihn offensichtlich wohl doch knacken kann. Irgendwie muss es ja nun passiert sein.
Und mich würde mal interessieren, inwieweit da ein Zugriff auf das Handy erfolgen muss oder, wie das überhaupt funktioniert, um sich ausreichend zu schützen.
In den Link hier habe ich mal die Email gepackt, wo man sieht, wo das ganze herkommt. Die IP führt jedenfalls in die Türkei.
[Email, IP führt in die Türkei]

Reden wir hier denn von dem physischen Blizzard-Authenticator oder von der App auf dem Smartphone? Das macht für die „hackbarkeit“ schon einen beträchtlichen Unterschied.

Du solltest dich beim Begriff „hacking“ übrigens von der Vorstellung verabschieden, dass da jemand wirklich „aktiv“ über irgendwelche Sicherheitslücken in Systeme eingedrungen ist. So einen Aufwand betreibt niemand nur um mit einem WoW Account ein bisschen herum botten zu können.
Das wahrscheinlichste Szenario ist in solchen Fällen hier eher, dass sich Unbefugte Zugriff auf Anmeldedaten verschafft haben (E-Mail Adresse und Passwort), diese zur Anmeldung genutzt haben und dann geändert haben.
Die Anmeldedaten könnten zum Beispiel durch Phishing abgegriffen worden sein. Oder dein Sohn hat sich irgendwo eine Schadsoftware wie einen Keylogger eingefangen, welcher die über die Tastatur gemachten Eingaben aufzeichnet und weitergibt.
Bei beiden Szenarien, würde der Authenticator dann aber als zusätzliche Hürde dem Angreifer im Weg stehen, weshalb es eben naheliegend ist anzunehmen, dass auch das Gerät, auf dem die Authenticator-App installiert ist, infiziert ist.

Ein kleines Beispiel, ganz simple, das mal bei mir zu nem Hack geführt hat: als ich TBC spielte hab ich mir einen Account auf der Website meiner Gilde erstellt… irgendson Anbieter der kostenlose Websiten für sowas zur Verfügung stellt… nicht drauf geachtet, dass es eine http ohne „s“ war, meine Mailadresse eingegeben und cleverer Weise das gleiche Passwort wie in meinem E Mail Postfach verwendet… Ende…damit startet die Kette …

Meistens ist es ganz simple weil man doof ist. Es ist wahrscheinlicher, dass deinem Sohn irgend so etwas in der Art passiert ist.

Vielleicht ist der Hacker aufm Handy und dort war das Mailpostfach permanent offen ohne extra Passworteingabe. Authenticator kann man dann grad mitbenutzen

Das lässt sich auch nicht sagen, wenn man vor dem Handy oder PC sitzt. Weil man gar nicht die Schwachstelle kennt, bzw. die Vorgehensweise des Hackers.

Haben wir alles geschickt… Transaktionsnummern, eingetragene Adressen usw.
Blizzard hat alles bekommen, was für eine Verifizierung hilfreich ist.
Auch letzte Käufe, letzte gespielt Charakter usw.

Also wenn ich in meinem Launcher oben in der Freundesliste auf meinen Sohn uns seinen Battletag gehe, steht in Klammern mein Name.
Also sollte ich jetzt am besten selbst das Ticket schreiben?
In seinem Account sind wohl nur seine Bankdaten und die aktuelle Rechnungsadresse hinterlegt. Der Accountbesitzer bin aber dann wohl trotzdem noch ich, oder?

Von der App auf dem Smartphone.

Könnte das damit etwas zu tun haben?
Als ich bei der Telekom anrief, um wieder in die Email zu kommen, sagte mir die freundliche Dame dann, dass die Email wegen „ungewöhnlichen Aktivitäten“ gesperrt wurde. Konnte ja nicht mal mehr ein Passwort eingeben… kam gleich die Meldung, die Email wiederherstellen zu müssen.
Jedenfalls sagte die Dame, dass von dieser Mail aus Phishing-Mails versendet worden seien.

Mögen diesem Ar*** die Finger abfaulen!

PS: Habe jetzt ein Ticket von meinem Account aus erstellt.
Vielleicht macht das das alles nachvollziehbarer und einfacher für den Support.

In dem Fall ist stark davon auszugehen, dass ein Zugriff auf das Smartphone besteht - in welcher Form auch immer - über den Aktivitäten auf dem Gerät überwacht oder sogar ausgeführt werden können.
Meiner Einschätzung nach (Kristallkugel glüht) könnte der Zugriff auch weiterhin bestehen; also würde ich davon absehen, bspw. das neue Kennwort des Mail-Accounts auf dem Smartphone einzugeben - oder überhaupt irgendwas mit dem Gerät zu machen.

Die einzige andere Möglichkeit, wie der Authenticator ausgehebelt hätte werden können, wäre ein Eingreifen des US-Supports von Blizzard. Dagegen spricht, allerdings, dass auch Zugriff (inkl. Aktivität) auf dem Mail-Account stattfand. Das wäre für die Methode „US-Support missbrauchen“ nicht unbedingt nötig.

Oder es führt zu noch mehr Verwirrung. Der Support ist keine Detektei, und hat nicht den Auftrag, Verwandtschaftsverhältnisse aus zwei Tickets miteinander zu verknüpfen, daraus resultierende Annahmen zu prüfen etc. Es geht schlicht darum, den Inhaber des Accounts zu verifizieren und den Zugriff wieder herzustellen.
Dafür relevant ist eben, wer als Inhaber eingetragen ist. Diese Person muss das Ticket erstellen und die zur Verifizierung geeigneten Dokumente bereitstellen - idealerweise direkt als Anhang im ersten Ticket.
Laut Liste sind Reisepass und Personalausweis nicht akzeptiert, bisherigen Forenberichten folgend stimmt das allerdings nicht so ganz.

Nein, die Email benutzen wir eigentlich gar nicht mehr, nur noch in Verbindung mit WoW, da Login-Email.
Ist auf seinem Handy nicht mal drauf, machen wir immer nur über meinen PC, falls man mal dran muss.
Komisch ist ja auch, dass bis zum Hack die letzten 2 kompletten Jahre des Posteingangs in der Email fehlen. Müssten doch eigentlich wenigstens Werbe-Mails von Blizzard da gewesen sein?

Ja, das verstehe ich ja und habe auch keinen Bock darauf, den Support unnötig zu belasten. Wir wollen ja einfach nur den Account wieder haben.
Da wir aber nicht genau wissen nach all den Jahren, ob der Account auf ihn oder auf mich läuft, ist das nicht so einfach.
Haben uns um diese Details nie gekümmert, weil es ja im Prinzip nicht interessierte, bis auf die Zahlung bezüglich des Abos und den Daten, die man dafür dann eingeben muss, wie die Rechnungsadresse.
Aber eigentlich muss der Account wohl schon noch auf mich laufen, sonst würde ja in meiner Freundesliste und seinem Battletag nicht mein eigener Name in Klammern stehen.
Sollte das alles noch zu einem Abschluss kommen, werden wir das natürlich entsprechend ändern, damit künftig jeder weiß, was Masse ist. Ascheaufunserhaupt

Muss so gar nicht passiert sein, Möglich ist auch, das man ne Anfrage auf den Authy bekommen und diese versehendlich bestätigt hat. Danach ändert der jenige sämtliche Daten, Email Adresse etc. und durch ist die Nummer.

Dann brauch Blizzard in dem Fall die Persönlichen Daten, Personalausweis etc. vom Accountbesitzer.

Ist ja alles kein Problem. Es stellt sich nur die Frage, von wem.
Meine persönlichen Daten haben sie ja, da ich selber auch spiele.

Mama mia… was für ein Kuddelmuddel wegen solchen Pennern, die zu doof und zu faul sind, sich selber was zu erarbeiten und einfach nur stessen wollen, damit die Kasse klingelt.
Haben auch schon über ne Anzeige, bzw. Strafverfolgung nachgedacht… die IP des Nutzers haben wir ja.
Aber da die Türkei nicht in der EU ist, wird das wohl wenig bringen.

Das man Authenticator hecken kann ist kein Hexenwerk,
wenn er überall die Gleichen PW genutzt oder
über dem US Support das wäre nicht das erste mal das Hacker über dem US Support dem Authenticator haben, das habe ich viel in dem Foren gelesen. es muss nicht zwingen das Handy gehackt wurden.

Hast du die Gleichen Passwörter in dein E-Mail und wow Acc?
war man mit diesen acc in Internetcafé?

wer hat gesagt das die IP in der Türkei ist er kann ja VPM genutzt haben um nicht erkannt zu werden wo seine IP tatsächlich ist

Beides nein.

In der Email von Facebook wird das so angegeben und wenn man die IP im Netz eingibt, kommt man damit dann in der Türkei raus.
Inwieweit man das verfälschen kann… davon habe ich null Plan.
Hier ein Screen von der Email:
https://www.directupload.eu/file/d/8560/jemp2des_jpg.htm

Halt mich mal auf dem laufenden bitte wenn du eine echte Person aus dem Kundensupport erhälst.
Ich hab das ungute gefühl da ich auch sch on länger als zwei Monate warte das der EU Support heimlich und klanglos eingestampft wurde.

Salve,

ich lese ja still mit bei einigen Themen, und bei, soweit ich mich richtig erinnere zwei, gab es eine Antwort nach wenigen Tagen wenn ihr das Ticket bei „Account Kompromittiert“ erstellt bzw das ausgewählt habt. Nicht einfach nur ein „Ticket“ erstellt habt. Das ist bei euch der Fall?

Sorry wenn ich so doof frage. Vllt beschleunigt es das etwas.

Best regards und alles gute,

Dayne

Edit: ich weiß nicht wie ich einen Artikel verlinken kann. Hier in dieser Sparte des Forums ist der Thread, heißt “Accountsperre“ , schon ein paar Tage alt. Vorletzte Antwort.

Du meinst diesen hier?

Du kannst es selber einfügen in dem Du den Link zu dem Beitrag kopierst, in Deinen Post einfügst und dann über „Vorformatierter Text“ [oder STRG+E] entsprechend markierst.
Den Link zum entsprechenden Beitrag kannst Du über das Datum/Zeit des Posts mittels rechte Maustaste dann direkt in die Zwischenablage kopieren.