Miles & More Konto gehackt

[hasyth]

ANZEIGE

Vor ein paar Tagen ist das M&M meines Sohnes gehackt worden und ein Unbekannter hat damit drei Online Gutscheine erworben.
Ich habe das gemerkt, weil auf einmal Email auf Hollaendisch in meiner email box waren. Ich habe daruf hin M&M angerufen und dies zur Anzeige gebracht.
Am naechsten Tag hab ich den Gutscheinvermittler ( Third party) angeschrieben, um die Gutscheine sperren/stornieren zu lassen.
Kurz darauf kamen wieder emails vom Vermittler. ( wieder auf Hollaendisch) und ich hab leider auf einen lInk in einer dieer Emails geklickt.

Und jetzt sind so viel Fragen aufgekommen, dass ich glaube, sie koennten auch hier Interesse finden.

1. Mein Sohn ist minderjaehrig. Kaeufe dieser Art konnen jederzeit vom Erziehungsberechtigten widerrufen werden.
Warum laesst M&M es ueberhaupt zu, das von einem solchen Konto Transaktionen getaetigt werden. 2FA sollte doch hier das Mindeste sein.
2. Wie ist jemand and die M&M Nummer plus PIN gekommen? Gibt es irgendwo ein Datenleck?
3. Der Vermittler weigert sich, den angeklickten Gut schein zu erstattten bwz zu stornieren, weil es angeblich nicht gehen wuerde. Es stellt sich heraus das in deren AGB's der Abruf des Gutschein als Abschluss des Kaufs gilt und ein Widerrufsrecht damit erlischt. So was halte ich fuer eine Frechheit. Denn ich hab sdn Kauf ja gar nicht angestossen. Damit hab ich auch deren AGB's nicht anerkannt.
4. Selbst wenn der Gutschein nach Abruf nicht mehr zurueck genommen wird, er ist ja noch nicht eingelost worden und ich hab auch nicht vor das zu tun. Es sollte also kein Problem diesem Gutschein bei Ausgeber( Microsoft) sperren zu lassen um Schaden zu vermeiden.
5. Mir ist nicht ganz klar, warum hier das EU Rueckgaberecht nicht greift. Normalerweise hab ich 14 Tage nach Erhalt des Gutschein Zeit, ihn zurueckzugeben. Hier ist es ja noch komplizierter, da es um Betrug geht.

Vielleich kann der eine oder anderen ein bisschen Licht ins Dunkle hier bringen.

Gruss

Thomas

 

[denkigroove]

Vielleicht stehen auch einige Tipps in den schon bestehenden Threads zu diesem Thema:

Miles & More Hackingangriff

Hey liebe Vielflieger, mir gehen langsam sämtliche Ideen aus, da dachte ich mir, dass mir vielleicht ein paar kreative Köpfe hier mit Ideen aushelfen können. Erstmal zu mir. Ich bin noch Recht jung (18) und sammel seid über 4 Jahren Meilen bei jeder nur denkbaren Möglichkeit, um mir mein...

www.vielfliegertreff.de

Miles&More Konto gehackt...

Hallo zusammen, ich bin bin neu hier und habe sofort eine Frage an euch... Als ich heute mal wieder meinen Meilenstand gescheckt habe, erschien mir dieser etwas gering. Unter den letzten Transaktionen fand ich 2 Prämienflüge à 40.000 Meilen, die aber nicht von mir abgerufen wurden. Zudem wurde...

www.vielfliegertreff.de

LH-M&M-Prämienmeilen gestohlen

Hallo zusammen, ich bin neu hier und habe eine Frage an euch Profis und hoffe, dass ihr mir diesbzgl. weiter helfen könnt. Folgender Sachverhalt: Heute früh habe ich vom LH-Worldshop per Post eine Bestellbestätigung für einen 50€-Gutschein, welcher 15000 Meilen gekostet hat, erhalten. Diesen...

www.vielfliegertreff.de

 

[Goliath]

1. Mein Sohn ist minderjaehrig. Kaeufe dieser Art konnen jederzeit vom Erziehungsberechtigten widerrufen werden.
Warum laesst M&M es ueberhaupt zu, das von einem solchen Konto Transaktionen getaetigt werden. 2FA sollte doch hier das Mindeste sein.

2FA gibt es doch bei M&M, wird ja bei jedem Login angeboten, wenn nicht aktiviert...

Zum Rest:

Ich wünsche viel Glück!

 

[Münsterländer]

5. Mir ist nicht ganz klar, warum hier das EU Rueckgaberecht nicht greift. Normalerweise hab ich 14 Tage nach Erhalt des Gutschein Zeit, ihn zurueckzugeben. Hier ist es ja noch komplizierter, da es um Betrug geht.

Das ist pauschal nicht korrekt. In bestimmten Fällen, gibt es entweder kein Rückgaberecht oder das Rückgaberecht kann gekürzt werden auf Wunsch des Kunden. Durch den Klick auf den Link hast du das wahrscheinlich ungewollt getan.

 

[Biohazard]

2FA gibt es doch bei M&M, wird ja bei jedem Login angeboten, wenn nicht aktiviert...

2FA wird afaik aber nur bei Änderung der Stammdaten abgefragt, Meilenkäufe laufen ohne 2FA-Überprüfung ab.

 

[Goliath]

Strange. Wenn das so ist, dann hat aber jemand bei der Umsetzung nicht sehr weit gedacht.

 

[hasyth]

Das ist pauschal nicht korrekt. In bestimmten Fällen, gibt es entweder kein Rückgaberecht oder das Rückgaberecht kann gekürzt werden auf Wunsch des Kunden. Durch den Klick auf den Link hast du das wahrscheinlich ungewollt getan.

Da ich aber nicht die Bestellung selbst aufgegeben habe, habe ich auch deren AGB's nicht zugestimmt. Damit sollte ich Ruecktrittsrecht haben.

 

[wafix]

Da ich aber nicht die Bestellung selbst aufgegeben habe, habe ich auch deren AGB's nicht zugestimmt. Damit sollte ich Ruecktrittsrecht haben.

Die Argumentation halte ich für schwierig, da der Onlineshop davon ausgehen darf, dass du die Bestellung durchgeführt hast, weil du dich ja mit deinem Account angemeldet hast. (Auch wenn das ein Fremder getan hat.)

 

[rower2000]

2. Wie ist jemand and die M&M Nummer plus PIN gekommen? Gibt es irgendwo ein Datenleck?

Meiner Meinung nach ist das M&M- Loginsystem mit Nummer und Pin von der Cybersecurity her eine Katastrophe. Da kommst du schon mit brute force in so einige Konten rein. Nimm ne willkürliche PIN und schreib nen Bot der automatisch M&M-Nummern durchprobiert mit dieser Pin. Irgendwann hat der Bot von Mr Black Hat Hacker Glück und der Betrüger verscherbelt dann Gutscheine auf eBay. Wäre höchste Zeit dass die 2FA bei Käufen abgefragt wird.

 

[tripleseven777]

Als ich gestern Abend in DUS gelandet bin, habe ich meine E-Mails gecheckt und mit Verwunderung festgestellt, dass ein MR WEI WEI eine Prämienbuchung über mein Miles & More-Konto durchgeführt hat.
Für JFK-HND-TAO in ein paar Tagen hat er 71.000 Prämienmeilen verbraten.
Ich habe dann heute Morgen mit M&M telefoniert und die Buchung direkt stornieren lassen. Der Mitarbeiter war sehr nett, hat die Buchung sofort storniert und die Meilen zurückgebucht. Bereits gestern Abend habe ich gegenüber M&M schriftlich erklärt, dass ich mit der Buchung nichts zutun habe.
Laut M&M-Mitarbeiter wurden ein paar Daten vom Betrüger hinterlassen.
Ich werde eine Online-Anzeige bei der Polizei aufgeben. Vielleicht bringt es ja etwas. Ich vermute aber, er kommt ohne Strafe davon.
Passwörter, E-Mailadresse sollen natürlich am besten geändert werden und im Anschluss soll ich mich nochmal mit M&M in Verbindung setzen.

 

[Meilenbro]

2FA wird afaik aber nur bei Änderung der Stammdaten abgefragt, Meilenkäufe laufen ohne 2FA-Überprüfung ab.

Ist bei mir auch so. 2FA aktiv, aber kann mich an neuen Geräten einloggen, ohne dass 2FA-Prüfung erfolgt. Eigentlich sinnlos dadurch

 

[tripleseven777]

Als ich gestern Abend in DUS gelandet bin, habe ich meine E-Mails gecheckt und mit Verwunderung festgestellt, dass ein MR WEI WEI eine Prämienbuchung über mein Miles & More-Konto durchgeführt hat.
Für JFK-HND-TAO in ein paar Tagen hat er 71.000 Prämienmeilen verbraten.
Ich habe dann heute Morgen mit M&M telefoniert und die Buchung direkt stornieren lassen. Der Mitarbeiter war sehr nett, hat die Buchung sofort storniert und die Meilen zurückgebucht. Bereits gestern Abend habe ich gegenüber M&M schriftlich erklärt, dass ich mit der Buchung nichts zutun habe.
Laut M&M-Mitarbeiter wurden ein paar Daten vom Betrüger hinterlassen.
Ich werde eine Online-Anzeige bei der Polizei aufgeben. Vielleicht bringt es ja etwas. Ich vermute aber, er kommt ohne Strafe davon.
Passwörter, E-Mailadresse sollen natürlich am besten geändert werden und im Anschluss soll ich mich nochmal mit M&M in Verbindung setzen.

Heute kam die Rückmeldung von der Staatsanwaltschaft Dortmund (Tatzeit: 08.01.2024 - Online-Anzeige erstattet am 09.01.2024):
"...das Verfahren ist eingestellt worden, da ein Täter nicht ermittelt werden konnte. Weitere Nachforschungen versprechen zur Zeit keinen Erfolg. Sollten sich jedoch nachträglich Anhaltspunkte für die Klärung der Straftat ergeben, werden die Ermittlungen wieder aufgenommen. Den untenstehenden Abschnitt können Sie ggf. zur Information Ihrer Versicherung verwenden."

 

[hasyth]

Als ich gestern Abend in DUS gelandet bin, habe ich meine E-Mails gecheckt und mit Verwunderung festgestellt, dass ein MR WEI WEI eine Prämienbuchung über mein Miles & More-Konto durchgeführt hat.
Für JFK-HND-TAO in ein paar Tagen hat er 71.000 Prämienmeilen verbraten.
Ich habe dann heute Morgen mit M&M telefoniert und die Buchung direkt stornieren lassen. Der Mitarbeiter war sehr nett, hat die Buchung sofort storniert und die Meilen zurückgebucht. Bereits gestern Abend habe ich gegenüber M&M schriftlich erklärt, dass ich mit der Buchung nichts zutun habe.
Laut M&M-Mitarbeiter wurden ein paar Daten vom Betrüger hinterlassen.
Ich werde eine Online-Anzeige bei der Polizei aufgeben. Vielleicht bringt es ja etwas. Ich vermute aber, er kommt ohne Strafe davon.
Passwörter, E-Mailadresse sollen natürlich am besten geändert werden und im Anschluss soll ich mich nochmal mit M&M in Verbindung setzen.

Ich warte jetzt seit 5 Monaten auf Antwort von M&M. Konto gesperrt, keine Rueckmeldung auf meine schriftliche Beschwerde. Der Support am telefon ist ein Witz.

 

[DanielSB]

Als ich gestern Abend in DUS gelandet bin, habe ich meine E-Mails gecheckt und mit Verwunderung festgestellt, dass ein MR WEI WEI eine Prämienbuchung über mein Miles & More-Konto durchgeführt hat.
Für JFK-HND-TAO in ein paar Tagen hat er 71.000 Prämienmeilen verbraten.
Ich habe dann heute Morgen mit M&M telefoniert und die Buchung direkt stornieren lassen. Der Mitarbeiter war sehr nett, hat die Buchung sofort storniert und die Meilen zurückgebucht. Bereits gestern Abend habe ich gegenüber M&M schriftlich erklärt, dass ich mit der Buchung nichts zutun habe.
Laut M&M-Mitarbeiter wurden ein paar Daten vom Betrüger hinterlassen.
Ich werde eine Online-Anzeige bei der Polizei aufgeben. Vielleicht bringt es ja etwas. Ich vermute aber, er kommt ohne Strafe davon.
Passwörter, E-Mailadresse sollen natürlich am besten geändert werden und im Anschluss soll ich mich nochmal mit M&M in Verbindung setzen.

Jetzt hat es mich auch erwischt; seit Vorgestern bekam ich auf meine Standard-Mailadresse extrem viele Spam-Mails, habe mir jedoch nichts dabei gedacht.

Heute morgen musste ich dann feststellen dass zwei Flüge von SEA nach HND von meinem Konto gebucht wurden. Ein kurzer Anruf bei der MM Hotline konnte das Ganze klären und der Flug wurde storniert und die Meilen sind wieder auf meinem Konto. Sie geben das Ganze jetzt intern an die Betrugsabteilung.

 

[bytegetter]

Sie geben das Ganze jetzt intern an die Betrugsabteilung.

Anzeige hinterher schieben. Beschleunigt das ganze und du bekommst bei der Akteneinsicht Einblick in die dahinterliegenden Strukturen.

Eine Anzeige hat sich bei mir auch gelohnt, als bei DHL im Paketzentrum Börnicke ein Paket von "Ali" gestohlen wurde. Das Paket wurde von mir in die Packstation eingelegt, danach vom "normalen" Mitarbeiter abgeholt und nach Börnicke gebracht. Dort nahm es Ali und hat es mit seinem Shop und Kumpanen an einen "Endkunden" in Hamburg verkauft. Dort wurde das MacBook dann von der Polizei eingesammelt (Ortung über Seriennummer). Sowas würde ich mir hier auch wünschen.

 

[tripleseven777]

Ja, eine Online-Anzeige kann man durchaus aufgeben. Ist besser als nichts zu tun.
Die Staatsanwaltschaft stellt die Angelegenheit (wie in Beitrag #12 mitgeteilt) zu 99% ein, aber M&M hat’s sicher auch lieber, wenn man die Sache nicht einfach so zur Seite schiebt.

 

[meilenfreund]

M&M kann die Anzeigen auch selbst erstatten, wenn denen das so wichtig ist. Warum sollte ein Kunde Zeit damit verplempern, eine Anzeige zu erstatten, nur um M&M einen Gefallen zu tun?

 

[bytegetter]

M&M kann die Anzeigen auch selbst erstatten, wenn denen das so wichtig ist. Warum sollte ein Kunde Zeit damit verplempern, eine Anzeige zu erstatten, nur um M&M einen Gefallen zu tun?

Dazu brauchst du wieder Personal. Meisstens gibt es noch nicht mal einen Workflow dazu. Auch sehe ich es als hilfreicher an, je mehr Anzeigen zum gleichen Thema vorliegen. Das erhöht den Druck an die Ursachen heranzugehen.

Ich benutzte für jeden Dienst eine eigene eMail-Adresse, aber seit über 20 Jahren das gleiche Passwort, dass ich mittlerweile Googlen kann. Ich nehme einen Passwort-Manager und eine eMail-Adresse in dem Format <Dienstname><2stellige Jahreszahl der Anmeldung>@<verschiedene Domains>.de. Bisher funktioniert das ganz gut.

In den letzten Jahren hatte ich ein gehackten Facebook-Wegwerf-Account (allerdings 30 Jahres altes 6 Buchstaben-Passwort bestehend aus 2x meine Initialen, der könnte auch direkt geleakt worden sein) und sowas wie Priceless. Dann vielleicht noch, wo das Passwort aus der Datenbank ausgelesen werden konnte (1-2 Foren). Kritische Dienste (also überall wo Geld hinter ist wie Banken, Payment, Amazon (selbst da ist das 30 Jahre alte 6 Buchstabenpasswort enthalten), zahlreiche andere Bestellseiten waren bisher nie betroffen. Und ich bestell wirklich allen Scheiß überall Online.

Allerdings muss ich auch sagen, dass meine eMails nicht einfach abrufbar sind. Ich nutze dafür IMAP auf einen ca. 10 Jahre alten LXC-Container, der im Internet über einen dedizierten nicht-Standart-Port erreichbar ist. Kontrukt: Dedizierter Server mit fester IP. Auf bratwurst.de:12345 (fiktives Beispiel) lauscht ein ncat, dass die Anfrage auf diesem Port an Port 143 des Mailservers weiterleitet. Der Mailserver befindet sich hinter einer virtualisierten PFsense als DHCP-Host. Es wäre zwar auch ein Portforward direkt über die PFsense möglich, das Kontrukt ist historisch so gewachsen, weil der Mailserver "Früher" (vor 10 Jahren) auf einem BananaPI mit SATA-Festplatte an einem meiner dezentralen Standorte lief. Da ich mittlerweile das Thema remote-Vollverschlüsselung behersche war das nicht mehr nötig. "Intern" greife ich auf den Mailserver über tinc-VPN-IPs zu. Das Portforwarding per ncat ist nur für die mobilen Endgeräte (schmatphones) notwendig.

Der größte Faktor bei scheint bei mir die Kombi eMail-Adresse (verschiedene Domains mit Catchall) und kaum öffentlich erreichbarer (fast unsichtbar) Mailserver zu sein. Google bietet auch unterschiedliche Mailadressen an (die kann man verlängern). Vielleicht wäre das für den ein oder anderen eine Option.

 

[sinochess]

Ich wurde auch gehackt und sofort stoniert.

Bei zwei anderen ist k Fraudabteilung (da Buchung am 16.05.2024, und bei eine noch Flug am selben Tag).

Heute wieder 2 accounts von Bekannten, für die gleiche Person Flug noch heute. Business-Flug ist später verschwunden, wurde wohl automatisch gelöscht wegen Doppelbuchung. Bei einer anderen noch bei Stornierungsprozess.

Aktuell zeigt Webseite mit Fehler an, wohl vielleicht Problem grösserer Umfang.

 

[Meilenbro]

Also 2FA ist wirkungslos / nicht nötig bei Buchungen?

Beitrag automatisch zusammengeführt: 19.05.2024

Dazu brauchst du wieder Personal. Meisstens gibt es noch nicht mal einen Workflow dazu. Auch sehe ich es als hilfreicher an, je mehr Anzeigen zum gleichen Thema vorliegen. Das erhöht den Druck an die Ursachen heranzugehen.

Ich benutzte für jeden Dienst eine eigene eMail-Adresse, aber seit über 20 Jahren das gleiche Passwort, dass ich mittlerweile Googlen kann. Ich nehme einen Passwort-Manager und eine eMail-Adresse in dem Format <Dienstname><2stellige Jahreszahl der Anmeldung>@<verschiedene Domains>.de. Bisher funktioniert das ganz gut.

In den letzten Jahren hatte ich ein gehackten Facebook-Wegwerf-Account (allerdings 30 Jahres altes 6 Buchstaben-Passwort bestehend aus 2x meine Initialen, der könnte auch direkt geleakt worden sein) und sowas wie Priceless. Dann vielleicht noch, wo das Passwort aus der Datenbank ausgelesen werden konnte (1-2 Foren). Kritische Dienste (also überall wo Geld hinter ist wie Banken, Payment, Amazon (selbst da ist das 30 Jahre alte 6 Buchstabenpasswort enthalten), zahlreiche andere Bestellseiten waren bisher nie betroffen. Und ich bestell wirklich allen Scheiß überall Online.

Allerdings muss ich auch sagen, dass meine eMails nicht einfach abrufbar sind. Ich nutze dafür IMAP auf einen ca. 10 Jahre alten LXC-Container, der im Internet über einen dedizierten nicht-Standart-Port erreichbar ist. Kontrukt: Dedizierter Server mit fester IP. Auf bratwurst.de:12345 (fiktives Beispiel) lauscht ein ncat, dass die Anfrage auf diesem Port an Port 143 des Mailservers weiterleitet. Der Mailserver befindet sich hinter einer virtualisierten PFsense als DHCP-Host. Es wäre zwar auch ein Portforward direkt über die PFsense möglich, das Kontrukt ist historisch so gewachsen, weil der Mailserver "Früher" (vor 10 Jahren) auf einem BananaPI mit SATA-Festplatte an einem meiner dezentralen Standorte lief. Da ich mittlerweile das Thema remote-Vollverschlüsselung behersche war das nicht mehr nötig. "Intern" greife ich auf den Mailserver über tinc-VPN-IPs zu. Das Portforwarding per ncat ist nur für die mobilen Endgeräte (schmatphones) notwendig.

Der größte Faktor bei scheint bei mir die Kombi eMail-Adresse (verschiedene Domains mit Catchall) und kaum öffentlich erreichbarer (fast unsichtbar) Mailserver zu sein. Google bietet auch unterschiedliche Mailadressen an (die kann man verlängern). Vielleicht wäre das für den ein oder anderen eine Option.

wie wäre es mit einem seriösen Emailanbieter mit 2FA sowie sicherem Passwort?

 

[red_travels]

ANZEIGE

Also 2FA ist wirkungslos / nicht nötig bei Buchungen?

2FA ist bei M&M für'n Hintern und schlägt nur an, wenn du persönliche Daten ändern willst...