Account gehackt: Was zur hölle?
Hi. Mein Steam Account wurde gehackt. Alles schön und gut - hab bereits dem Support geschrieben.
Aber meine Frage an euch: Warum zur Hölle hab ich keine Benachrichtigung bekommen, dass sich jemand bei mir eingehackt hat? Ich habe Steam Guard aktiviert, weshalb es eigentlich unmöglich sein sollte.. Naja. Hab alle meine Mails gecheckt und ich habe nicht einen Hinweis von Steam darauf bekommen.
Zu meiner Support Anfrage: Ich habe meine Email welche mit dem Account verbunden war geschickt, doch der Support meinte sie bräuchten die erste Email welche mit dem Account verbunden war (hab die mal gewechselt irgendwann). Hab ich denen nun geschickt. Meine Angst ist, dass ich den Account nicht wieder bekommen, weil da echt ganz gut Geld reingeflossen ist über die Zeit
3 Antworten
>> Ich habe Steam Guard aktiviert
Ohne direkten Zugriff auf das Gerät, und dein Account ist das Hacken kaum möglich wenn 2 Factor aktiv ist...
War vielleicht jemand an deinem Rechner, oder Handy?
Du weisst schon was two Factor (wie der Steam Guard) ist, ja?
Du brauchst Email + Passwort...
Und zusätzlich einen Numerischen Code, der alle 2 Minuten neu erschaffen wird.
Ohne den Code kannst du am Account nichts verändern.
Es gibt ein paar Methoden wie man die 2FA umgehen kann.
Zwei typische sind das Phishing des 2FA Codes und sofortiges übernehmen des Accounts.
Oder das stehlen der Steam Session. Da diese Bereits durch 2FA autorisiert ist braucht man dann auch den Code nicht mehr. Das wäre zB über Session Hijacking im Browser möglich.
Gibt es bei Steam zudem nicht auch eine Methode dich mit der Emailadresse zu verfizieren wenn man angibt, dass man sein Handy verloren hat?
"Man in the middle" attacke gibts auch noch.
Aber ändert nichts an der Tatsache das 2FA schon eine ziemlich sichere Methode ist seine Accounts zu schützen, und die sehr schwer zu knacken ist.
(Zumindest wenn der User des Accounts ein "bischen" Grips hat)
Ist es ja aber unknackbar ist die auch nicht selbst wenn man keinen Zugriff aufs Mobiltelefon hat.
Zudem bin ich mir wie gesagt nicht sicher wie es hier mit Social Engenieering aussieht. Man hat Zugriff auf die Mail, gibt an das Handy verloren zu haben und man sich daher nicht mehr über 2FA anmelden kann noch sonst eine Möglichkeit besteht mit dem "alten Handy" zu arbeiten.
Wie Steam in so einem Fall reagiert ist natürlich die andere Frage und es kann durchaus sein, dass die dann die 2FA selbst aushebeln.
Beim Social Engenieering verarscht man doch den Support des Anbieters, und gibt vor der Tatsächliche Besitzer des Accounts zu sein?
Das wäre dann kein Fehler des Steam Endbenutzers, sondern eher ein Fehler des Steam supports :)
Richtig genau das mein ich auch.
Kann durchaus eine Möglichkeit sein nur mit Mailzugriff den Account zu übernehmen.
Mein Rational basiert eher auf Ockhams Rasiermesser.
Die einfachste Wahrscheinlichkeit ist meistens die Wahrscheinlichkeit die am ehesten zutrifft.
Vermutung geht dahin gehend, das er Besuch hatte... und ein "Freund" die Daten direkt an seinem Gerät verändert hat.
Ist auch die Wahrscheinlichste These aber nicht die einzig mögliche.
Es kommt auch immer wieder vor das Steam Accounts von dritten gestohlen werden ohne dass diese direkten Hardwarezugriff hatten.
Also zunächst sollte man direkt in diese Richtung gehen wie du vorgeschlagen hast aber man darf auch nicht vergessen, dass es nicht auch andere Möglichkeiten gibt und das trotz 2FA.
Naja, woher soll Steam das wissen? Die denken, das läuft mit rechten Dingen zu.
Hast du dich rein zufällig die letzten Tage oder Wochen irgendwo via Steam angemeldet? Mal für jemanden zum Beispiel auf einer Website abgestimmt?
Ist momentan ne beliebte Masche, dass ein bereits betroffener Freund fragt, ob du für ihn auf einer Website voten kannst. Da darfst du dich schön mit Steam anmelden und den Steam Guard Code durchgeben. ;-)
Danke erstmal für die Antwort:) Habe tatsächlich nicht auf Links etc geklickt (bin auch generell nicht so oft bei steam unterwegs in letzter Zeit).
Ich kann mir nur vorstellen, dass ich mir mal Malware eingefangen hatte und so das Passwort gestohlen wurde. Weil am Account wurde rein gar nix verändert. Nicht mal der Benutzername/Herkunft.
Naja. Malware wurde entfernt (ist aber eigentlich schon länger her, deshalb hatte ich mich gewundert)
LG!
Wäre meine einzige Idee gewesen. Auch wenn sie die Daten haben, wäre es komisch, dass sie um deinen Steam Guard herumkamen. :-)
Ist momentan ne beliebte Masche, dass ein bereits betroffener Freund fragt, ob du für ihn auf einer Website voten kannst.
Solch eine Nachricht bekam ich auch vor kurzem. Ich glaube sogar über Discord? Jedenfalls habe ich mich da nicht angemeldet, aber auch nur da ich nicht voten wollte. :D
Ich kann mir gut vorstellen das einige darauf reinfallen.
Wichtig ist übrigens. Der Freund kann nichts dafür! Diese Nachricht wird über seinen gehackten Account verteilt!
Hatte ich über Steam bekommen. Denkt man sich nichts bei, ist ja ein Kumpel. Aber zwei mal gucken ist immer nicht schlecht. :o)
Bei Discord kommen mir die üblichen "Ich habe dich versehentlich gemeldet" Nachrichten. Ich gehe immer ein wenig mit Fake Daten drauf ein und melde dann die Person sowie den "Steam Mod", der auf Discord ist. xD
Die Scamer versuchen immer erst an dein Email Passwort zu kommen, ist das zu einfach, bist du verratzt...
Dann loggen die mit deiner Mail Adresse auf Steam ein und klicken auf " Passwort vergessen" - den weiteren Weg kannst du dir ausrechnen....
Das A und O ist also als allererstes, ein sicheres E-Mail Passwort, das man nicht in einem Wörterbuch findet...
Die Email ist der Schüssel - und wenn man für alles mögliche, das selbe Passwort nutzt ..