Fr0zenGod May 14, 2024 @ 1:49pm
Ich wurde trotz Steam guard gehackt
Hallo ich wurde vor 2 Tagen gehackt und es wurde ein 0.06€ Dota 2 item mit meinem Geld für 120euro gekauft was ich selbstverständlich nicht war kann ich da irgendwas machen ich hab mich nicht auf irgendwelchen 3. Anbieter Seiten angemeldet und keine Viren auf meinen Geräten zumindest laut mehreren Viren Scannern ich habe unteranderem auch keinerlei Nachricht über den fremd Login bekommen weder von Steam guard noch per Mail
Was jetzt der Support macht nichts sagt ich bin schuld aber ich hab ja alles gemacht was ich konnte schweres Passwort 2Fa und mich auf keinen externen Seiten angemeldet kann man da Valve zu Rechenschaft für ziehen

Something went wrong while displaying this content. Refresh

Error Reference: Community_9708323_
Loading CSS chunk 7561 failed.
(error: https://community.fastly.steamstatic.com/public/css/applications/community/communityawardsapp.css?contenthash=789dd1fbdb6c6b5c773d)
Showing 1-9 of 9 comments
Originally posted by Fr0zenGod:
Hallo ich wurde vor 2 Tagen gehackt und es wurde ein 0.06€ Dota 2 item mit meinem Geld für 120euro gekauft was ich selbstverständlich nicht war kann ich da irgendwas machen ich hab mich nicht auf irgendwelchen 3. Anbieter Seiten angemeldet und keine Viren auf meinen Geräten zumindest laut mehreren Viren Scannern ich habe unteranderem auch keinerlei Nachricht über den fremd Login bekommen weder von Steam guard noch per Mail
Was jetzt der Support macht nichts sagt ich bin schuld aber ich hab ja alles gemacht was ich konnte schweres Passwort 2Fa und mich auf keinen externen Seiten angemeldet kann man da Valve zu Rechenschaft für ziehen

Du solltest Lotto spielen. Wenn Dein Account der einzige ist der gehackt wurde, ist dies unbeschreibliches Glück.

:gilga:
Crazy Tiger May 14, 2024 @ 1:51pm 
Just because you're not aware of where and when you, most likely accidentally, leaked your login credentials, doesn't mean it didn't happen.

If you still have access to the account:
Originally posted by Crazy Tiger:
Phishing is the most likely cause, OP. When people get phished, they give out the account name, password and then active guard code. A bot quickly enters it and hijackers have access then. Ultimately 2FA is "just another code" that can be given away when getting phished. It's not a magical defense layer.

Have you secured your account? If not:
- Scan for malware. https://www.malwarebytes.com/
- Deauthorize all devices https://store.steampowered.com/twofactor/manage
- Change your password on a secure device.
- Generate new back up codes. https://store.steampowered.com/twofactor/manage
- Revoke the api key https://steamcommunity.com/dev/apikey

Find out how you leaked your credentials. Phishing and malware are the two ways it happens, phishing is the most likely one. Either way, find out how you leaked your credentials.

Items are gone, they do not get returned nor will you get money back for them. The item restoration policy: https://support.steampowered.com/kb_article.php?ref=9958-MJDG-3003

Not all items require confirmation. https://steamcommunity.com/groups/community_market/announcements/detail/1705067494681435160

If you don't have access to the account:
Originally posted by Crazy Tiger:
Recover the account, use the guide:

Start here and don't be logged in on any Steam account: https://help.steampowered.com/en/wizard/HelpWithLogin
If Step 1 is not possible, proceed from Step 2. Along the way you can mention you don't have access to the email, phone, etc. Might need to enter a bogus one a few times to get that option.
At the end of the guide you'll make your ticket to Support. They'll tell you what proofs they want, often they ask first things (first email, first key activated on account, first payment method used, etc).

Do read up on phishing, as that's the most likely way to get an account hijacked. Malware is a second.
Veneri May 14, 2024 @ 3:16pm 
Wenn du nie auf externen Seiten warst, warum hattest du dann dubiose Webseiten als Benutzernamen?
Fr0zenGod May 14, 2024 @ 3:41pm 
Gute das du es sagst hab den Account mitlerweile 7 Jahre war doch auf 3. Anbieter Seiten aber halt vor mindestens 5 Jahren das letzte mal da hätte doch früher was passieren müssen
Veneri May 14, 2024 @ 3:49pm 
Sie warten teilweise sehr sehr lange bis sie zuschlagen.
N3tRunn3r May 14, 2024 @ 6:55pm 
Das passiert mit hunderten und tausenden von Steam Accounts "JEDEN TAG" . . .

Irgandwann und irgendwo hast du einfach deine Accountdaten weitergegeben . . .
Smart May 14, 2024 @ 11:43pm 
Originally posted by N3tRunn3r:
Das passiert mit hunderten und tausenden von Steam Accounts "JEDEN TAG" . . .

Irgandwann und irgendwo hast du einfach deine Accountdaten weitergegeben . . .


Quatsch kein Blech.

Die Leute nutzen heute jede Schwachstelle!

Und JEDES Guthaben-System hat eine Schwachstelle:

Nintendos altes Guthaben-System wurde schon gehackt (früher zu Wii-Zeiten). Das Guthaben-System von Xbox & Playstation wurde gehackt bzw. es wurden Schwachstellen gefunden die es ermöglichen, das Guthaben-System für eigene Zwecke auszunutzen. Und ja, auch das Steam-Guthaben-System wurde schon vor langer Zeit gehackt. Nur SERVER-basierte Systeme können nicht gehackt werden (etwa das aktuelle Nintendo-Guthabensystem). Weil das kein Java benuzt.

Wie funktioniert nun die Schwachstelle?

Ich durfte diese Schwachstelle schon mal selbst bei einer AMAZON-Guthaben-Karte kennenlernen!

Da hatte ich auch anfangs gedacht, dass ich gehackt wurde! Weil das ganze schon sehr merkwürdig war (ich habe nämlich ein Amazon-Konto geändert und mein Passwort nach vielen Jahren mit einem ganz neuen, und längeren versehen).

Aber nein. Das war nicht der Fall. Ich wurde nicht gehackt. Sondern es wurde einfach nur das Amazon-Guthabensystem angegriffen. Und ein wirklicher "Angriff" ist das nicht.
Sondern es wird einfach nur eine Schwachstelle im Amazon-Guthabenkarten System ausgenutzt. Und dann wird man eben ein Opfer, wenn man zuviel Guthaben im Internet gespeichert hatte (das ist das Prinzip des Angriffs, es wird aktiv nach Java-Code gesucht, der besonders viel gespeichert hat = viel Guthaben auf dem Konto).

Fertig.

Wie funktioniert es jetzt genau? Was ist die Schwachstelle? Wieso kanne s nicht erkannt werden?

Es wird JAVA fürs Guthaben-System von Amazon benutzt (übrigens weltweit). Egal für welches Guthaben-System. Fast alle verwenden Java dafür. Alle alten Guthaben-Systeme eben wie Xbox/Playstation, Steam oder auch das ALTE Nintendo-Account-System.

Für Java gibts viele Schwachstellen aber nur sehr wenige können wirklich aktiv genutzt werden.

Eine Schwachstelle jedenfalls wurde NIE gepatcht (ist nämlich unpatchbar), ist in ALLEN Java-Versionen enthalten und ermöglicht es, solange mein sein Guthaben nicht eingetauscht hat (das Guthaben muss per Code eingelöst und auf dem Konto gutgeschrieben worden sein), also noch nicht gegen eine Ware eingetauscht worden sein, dass man aus diesem Guthaben mit einem Java-Angriffs-Programm (Ein Spider-Programm um genau zu sein), aktiv nach aktuell genutzten Java-Guthaben-Konten sucht und diese können manipuliert werden.

So wird aus einer EINZAHLUNG von z.b. 50 Euro, eine AUSzahlung von 50 Euro.

Das bedeutet, statt 50 Euro aufs Konto eingezahlt zu haben (was man ja schon gemacht hatte, siehe Erklärung, der Guthaben-Code muss bereits eingelöst worden sein und in Form von einem digitalen Code auf dem Konto gutgeschrieben worden sein), werden nun 50 Euro ausgezahlt. Und zwar an jede beliebige Person, die mit einem Java-Angriffsprogram das Internet durchforstet.

Das heißt im Klartext, aus einem 50 Euro-GUTHABEN-Code (Einzahlung =0), wird ein 50-Euro-X-beliebiger Guthaben-Code ausgezahlt (=1) in Form eines digitalen Codes. Das System erkennt dann nämlich keinen Unterschied! Und genau das ist das Problem der Schwachstelle! nämlich dass bei EIN- und AUSZAHLUNG kein Unterschied existiert!

Der Betrag und die Stückzahl muss allerdings absolut identisch sein, z.b. 2 Stück 25 Euro-Xbox-Guthabenkarten bei z.b. 2x Amazon-Guthabencodes-EInzahlungen á exakt 25 Euro. Warum muss der Wert identisch sein? Ganz einfach: Ist er nicht identisch, erkennt das Anti-Betrugs-System den versuchten Betrug und stoppt das Ganze, weil die Checksum (CRC) nicht identisch ist!

Die Bits müssen also identisch bleiben. Und warum muss es ein Guthaben-Code sein und man kann sich nicht beliebige Waren für das Opfer aussuchen? Ganz einfach: Weil das Anti-Betrugssystem das auch erkennen kann, wenn man eine WARE (=0) oder einen CODE (=1) kauft. Weil dann ja die Checksum (=CRC) wieder nicht identisch wäre. Es wird also so manipuliert, dass die Bits absolut identisch sind, die auf dem Server gespeichert waren.

Was passiert nun also?


Solange man sein Guthaben auf dem KONTO hat (in Form von Java-Code auf irgendeinem Server gespeichert), wird das Spider-Java-Angriffsprogramm genau im Internet täglich nach solchem Code suchen und ihn für sich manipulieren. So können dann x-beliebige Guthaben-Karten ausgezahlt werden.

Und ja: So kann man beliebige Amazon-Guthaben-Karten eben z.b. "hacken" und so z.b. illegal an Xbox-Karten oder andere Guthabencodes kommen. Und genauso machen das die Betrüger auch. So läuft das offenbar auch schon seit Jahren! Denn mein Vorfall auf Amazon war schon vor 1,5 Jahren! Und als ich das dann kapiert habe, habe ich sofort die Nutzung jeglicher Guthaben-Karten eingestellt!


Der Schaden entsteht dann beim Kunden, weil es keine Möglichkeit der Erkennung seitens der Server gibt, denn wenn die CRC identisch sit, denkt das Sysem eben "Alles ist erste Sahne" und erlaubt den Betrug. Es ist halt das Berühmte "Man-in-the-Middle"-Angriffsszenario, für das es heute generell nur wenig Schutz gibt: Ein Java-Server greift an und lauscht im Internet gezielt nach Leuten, die gerade mit einem Java-Server kommunzieren um ihr Guthaben aufzuladen.

Tja und genau in dem Moment wird vom Java-Angriffsprogram erkannt, was denn so gemacht wird mit dem Code. Stellt der fest, dass der Code nur geparkt wird (=0), also nicht ausgegeben wird nach einer einstellbaren Zeit von x Stunden oder Minuten, dann greift er an und manipuliert den Code nach seinem Gusto. So wird das Programm also aus dem Guthaben, das auf dem System gerade eingezahlt wurde, dem System vorgaukeln, dass es gar keine Einzahlung, sondern eine Auszahlung war. Und zwar in Form eines Xbox-Guthabencodes, eines Google Play-Codes oder anderer Guhabencodes.


Im Übrigen: Im Prinzip funktioniert das ganze auch längst mit Geldautomaten. Nur gibts da halt mehr Schutzmechanismen und teilweise wird da auch schon gar kein Java mehr verwendet, weshalb es viele gar nicht erst versuchen, da die Wahrscheinlichkeit, "erkannt" zu werden, doch deutlich höher ist. Ergo versuchen es viele lieber über das "Manipuliere-das-Java-Guthaben"-System.

Tja und so ist das halt, wenn man kein SERVER (also Token-) basiertes Guthabensystem hat.

Ein Token-Basiertes Guthaben-System verwendet kein Java. Es funktioniert ganz anders und kommuniziert praktisch gar nicht ständig mit dem Client. Sondern es gibt nur einmal ein Token und dann wird der Code mit dem Token übertragen und das wars. Und es wird danach nur noch mit der Maschine kommuniziert, wenn diese das entsprechende Token hat (=Key).

Java-Systeme hingegen kommunizieren hingegen häufig mit ihrem Client ohne Verschlüsselung und ohne Token-basierte Sicherheit. Die einzige Sicherheit ist eben das CRC-Checksum-Erkennungs-System.

Das ist eben der Preis für die Bequemlichkeit.

Ich gehe jede Wette ein:

Genauso lief das auch hier ab.

Nur falls nicht klar: Nein, in so einem Fall kann man NICHTS nachweisen da der Code nunmal absolut IDENTISCH bleibt auf dem Server auf dem das Guthaben gespeichert ist. In solchen Betrugsfällen können KEINE Passwörter gestohlen werden. Es werden auch keine Daten geklaut. Der Angreifer erfährt nichts über sein Opfer.

Und dennoch kann sehr viel Schaden entstehen. In meinem Fall hat mir damals Amazon die vollen 50 Euro erstattet! Aber ärgerlich und lehrreich war es trotzdem!

Also: Der EINZIGE Schutz vor dieser Form von Betrug ist es, sämtliche Guthaben-Codes SOFORT gegen eine Gegenleistung einzutauschen!

Denn bedenkt: Dieses System funktioniert mit x-beliebigen Beträgen!

Hat also jemand gerade 500 Euro in Form von Guthabencode auf sein Konto eingezahlt und hat dafür mit einem JAVA-Server kommuniziert, dann kann der Betrüger hier auch 500 Euro für sich kassieren, wenn er daraus entsprechend einen 500 Euro-Google-Play-Guthabencode macht.
KurnazTunahan☪ May 21, 2024 @ 12:33pm 
HALLO GENAU BEI MIR MEIN ACCOUNT WURDE AUCH GEHACKT SIE HABEN VIELE SACHEN VERKAUFT
Crazy Tiger May 21, 2024 @ 2:56pm 
Originally posted by KurnazTunahan☪:
HALLO GENAU BEI MIR MEIN ACCOUNT WURDE AUCH GEHACKT SIE HABEN VIELE SACHEN VERKAUFT
Do the steps in post #2.
Showing 1-9 of 9 comments
Per page: 1530 50

Date Posted: May 14, 2024 @ 1:49pm
Posts: 9