Install Steam
login
|
language
简体中文 (Simplified Chinese)
繁體中文 (Traditional Chinese)
日本語 (Japanese)
한국어 (Korean)
ไทย (Thai)
Български (Bulgarian)
Čeština (Czech)
Dansk (Danish)
Deutsch (German)
Español - España (Spanish - Spain)
Español - Latinoamérica (Spanish - Latin America)
Ελληνικά (Greek)
Français (French)
Italiano (Italian)
Bahasa Indonesia (Indonesian)
Magyar (Hungarian)
Nederlands (Dutch)
Norsk (Norwegian)
Polski (Polish)
Português (Portuguese - Portugal)
Português - Brasil (Portuguese - Brazil)
Română (Romanian)
Русский (Russian)
Suomi (Finnish)
Svenska (Swedish)
Türkçe (Turkish)
Tiếng Việt (Vietnamese)
Українська (Ukrainian)
Report a translation problem
Discussions Rules and Guidelines
Report this post
Du solltest Lotto spielen. Wenn Dein Account der einzige ist der gehackt wurde, ist dies unbeschreibliches Glück.
If you still have access to the account:
If you don't have access to the account:
Irgandwann und irgendwo hast du einfach deine Accountdaten weitergegeben . . .
Quatsch kein Blech.
Die Leute nutzen heute jede Schwachstelle!
Und JEDES Guthaben-System hat eine Schwachstelle:
Nintendos altes Guthaben-System wurde schon gehackt (früher zu Wii-Zeiten). Das Guthaben-System von Xbox & Playstation wurde gehackt bzw. es wurden Schwachstellen gefunden die es ermöglichen, das Guthaben-System für eigene Zwecke auszunutzen. Und ja, auch das Steam-Guthaben-System wurde schon vor langer Zeit gehackt. Nur SERVER-basierte Systeme können nicht gehackt werden (etwa das aktuelle Nintendo-Guthabensystem). Weil das kein Java benuzt.
Wie funktioniert nun die Schwachstelle?
Ich durfte diese Schwachstelle schon mal selbst bei einer AMAZON-Guthaben-Karte kennenlernen!
Da hatte ich auch anfangs gedacht, dass ich gehackt wurde! Weil das ganze schon sehr merkwürdig war (ich habe nämlich ein Amazon-Konto geändert und mein Passwort nach vielen Jahren mit einem ganz neuen, und längeren versehen).
Aber nein. Das war nicht der Fall. Ich wurde nicht gehackt. Sondern es wurde einfach nur das Amazon-Guthabensystem angegriffen. Und ein wirklicher "Angriff" ist das nicht.
Sondern es wird einfach nur eine Schwachstelle im Amazon-Guthabenkarten System ausgenutzt. Und dann wird man eben ein Opfer, wenn man zuviel Guthaben im Internet gespeichert hatte (das ist das Prinzip des Angriffs, es wird aktiv nach Java-Code gesucht, der besonders viel gespeichert hat = viel Guthaben auf dem Konto).
Fertig.
Wie funktioniert es jetzt genau? Was ist die Schwachstelle? Wieso kanne s nicht erkannt werden?
Es wird JAVA fürs Guthaben-System von Amazon benutzt (übrigens weltweit). Egal für welches Guthaben-System. Fast alle verwenden Java dafür. Alle alten Guthaben-Systeme eben wie Xbox/Playstation, Steam oder auch das ALTE Nintendo-Account-System.
Für Java gibts viele Schwachstellen aber nur sehr wenige können wirklich aktiv genutzt werden.
Eine Schwachstelle jedenfalls wurde NIE gepatcht (ist nämlich unpatchbar), ist in ALLEN Java-Versionen enthalten und ermöglicht es, solange mein sein Guthaben nicht eingetauscht hat (das Guthaben muss per Code eingelöst und auf dem Konto gutgeschrieben worden sein), also noch nicht gegen eine Ware eingetauscht worden sein, dass man aus diesem Guthaben mit einem Java-Angriffs-Programm (Ein Spider-Programm um genau zu sein), aktiv nach aktuell genutzten Java-Guthaben-Konten sucht und diese können manipuliert werden.
So wird aus einer EINZAHLUNG von z.b. 50 Euro, eine AUSzahlung von 50 Euro.
Das bedeutet, statt 50 Euro aufs Konto eingezahlt zu haben (was man ja schon gemacht hatte, siehe Erklärung, der Guthaben-Code muss bereits eingelöst worden sein und in Form von einem digitalen Code auf dem Konto gutgeschrieben worden sein), werden nun 50 Euro ausgezahlt. Und zwar an jede beliebige Person, die mit einem Java-Angriffsprogram das Internet durchforstet.
Das heißt im Klartext, aus einem 50 Euro-GUTHABEN-Code (Einzahlung =0), wird ein 50-Euro-X-beliebiger Guthaben-Code ausgezahlt (=1) in Form eines digitalen Codes. Das System erkennt dann nämlich keinen Unterschied! Und genau das ist das Problem der Schwachstelle! nämlich dass bei EIN- und AUSZAHLUNG kein Unterschied existiert!
Der Betrag und die Stückzahl muss allerdings absolut identisch sein, z.b. 2 Stück 25 Euro-Xbox-Guthabenkarten bei z.b. 2x Amazon-Guthabencodes-EInzahlungen á exakt 25 Euro. Warum muss der Wert identisch sein? Ganz einfach: Ist er nicht identisch, erkennt das Anti-Betrugs-System den versuchten Betrug und stoppt das Ganze, weil die Checksum (CRC) nicht identisch ist!
Die Bits müssen also identisch bleiben. Und warum muss es ein Guthaben-Code sein und man kann sich nicht beliebige Waren für das Opfer aussuchen? Ganz einfach: Weil das Anti-Betrugssystem das auch erkennen kann, wenn man eine WARE (=0) oder einen CODE (=1) kauft. Weil dann ja die Checksum (=CRC) wieder nicht identisch wäre. Es wird also so manipuliert, dass die Bits absolut identisch sind, die auf dem Server gespeichert waren.
Was passiert nun also?
Solange man sein Guthaben auf dem KONTO hat (in Form von Java-Code auf irgendeinem Server gespeichert), wird das Spider-Java-Angriffsprogramm genau im Internet täglich nach solchem Code suchen und ihn für sich manipulieren. So können dann x-beliebige Guthaben-Karten ausgezahlt werden.
Und ja: So kann man beliebige Amazon-Guthaben-Karten eben z.b. "hacken" und so z.b. illegal an Xbox-Karten oder andere Guthabencodes kommen. Und genauso machen das die Betrüger auch. So läuft das offenbar auch schon seit Jahren! Denn mein Vorfall auf Amazon war schon vor 1,5 Jahren! Und als ich das dann kapiert habe, habe ich sofort die Nutzung jeglicher Guthaben-Karten eingestellt!
Der Schaden entsteht dann beim Kunden, weil es keine Möglichkeit der Erkennung seitens der Server gibt, denn wenn die CRC identisch sit, denkt das Sysem eben "Alles ist erste Sahne" und erlaubt den Betrug. Es ist halt das Berühmte "Man-in-the-Middle"-Angriffsszenario, für das es heute generell nur wenig Schutz gibt: Ein Java-Server greift an und lauscht im Internet gezielt nach Leuten, die gerade mit einem Java-Server kommunzieren um ihr Guthaben aufzuladen.
Tja und genau in dem Moment wird vom Java-Angriffsprogram erkannt, was denn so gemacht wird mit dem Code. Stellt der fest, dass der Code nur geparkt wird (=0), also nicht ausgegeben wird nach einer einstellbaren Zeit von x Stunden oder Minuten, dann greift er an und manipuliert den Code nach seinem Gusto. So wird das Programm also aus dem Guthaben, das auf dem System gerade eingezahlt wurde, dem System vorgaukeln, dass es gar keine Einzahlung, sondern eine Auszahlung war. Und zwar in Form eines Xbox-Guthabencodes, eines Google Play-Codes oder anderer Guhabencodes.
Im Übrigen: Im Prinzip funktioniert das ganze auch längst mit Geldautomaten. Nur gibts da halt mehr Schutzmechanismen und teilweise wird da auch schon gar kein Java mehr verwendet, weshalb es viele gar nicht erst versuchen, da die Wahrscheinlichkeit, "erkannt" zu werden, doch deutlich höher ist. Ergo versuchen es viele lieber über das "Manipuliere-das-Java-Guthaben"-System.
Tja und so ist das halt, wenn man kein SERVER (also Token-) basiertes Guthabensystem hat.
Ein Token-Basiertes Guthaben-System verwendet kein Java. Es funktioniert ganz anders und kommuniziert praktisch gar nicht ständig mit dem Client. Sondern es gibt nur einmal ein Token und dann wird der Code mit dem Token übertragen und das wars. Und es wird danach nur noch mit der Maschine kommuniziert, wenn diese das entsprechende Token hat (=Key).
Java-Systeme hingegen kommunizieren hingegen häufig mit ihrem Client ohne Verschlüsselung und ohne Token-basierte Sicherheit. Die einzige Sicherheit ist eben das CRC-Checksum-Erkennungs-System.
Das ist eben der Preis für die Bequemlichkeit.
Ich gehe jede Wette ein:
Genauso lief das auch hier ab.
Nur falls nicht klar: Nein, in so einem Fall kann man NICHTS nachweisen da der Code nunmal absolut IDENTISCH bleibt auf dem Server auf dem das Guthaben gespeichert ist. In solchen Betrugsfällen können KEINE Passwörter gestohlen werden. Es werden auch keine Daten geklaut. Der Angreifer erfährt nichts über sein Opfer.
Und dennoch kann sehr viel Schaden entstehen. In meinem Fall hat mir damals Amazon die vollen 50 Euro erstattet! Aber ärgerlich und lehrreich war es trotzdem!
Also: Der EINZIGE Schutz vor dieser Form von Betrug ist es, sämtliche Guthaben-Codes SOFORT gegen eine Gegenleistung einzutauschen!
Denn bedenkt: Dieses System funktioniert mit x-beliebigen Beträgen!
Hat also jemand gerade 500 Euro in Form von Guthabencode auf sein Konto eingezahlt und hat dafür mit einem JAVA-Server kommuniziert, dann kann der Betrüger hier auch 500 Euro für sich kassieren, wenn er daraus entsprechend einen 500 Euro-Google-Play-Guthabencode macht.