Mal wieder: Gehackte Accounts

Hier kann alles rund um Freewar diskutiert werden.
Nightmare86
Feuerwolf
Beiträge: 108
Registriert: 17. Sep 2004, 16:36
Kontaktdaten:

Beitrag von Nightmare86 » 13. Jul 2006, 12:37

Tiramon hat geschrieben:Also mir fällt rein technisch keine möglichkeit ein, wie man durch pures anklicken eines links an deine login daten kommen soll ...
Jo, mir eigentlich auch net. Aber der hatte ja tatsäslich meine mail geändert ich habe nix reingeschrieben im gästebuch zu 100% ich war nur auf dem link gegangen. naja fischgraete hat ja den link von dem typ.

Fool,ja mein pwt war gespeichert im Internet explorer,eigentlich wollte ich firefox holen, hab aber wie immer explorer genommen :P

Benutzeravatar
ShadowHunter
Zauberer der Bergwiesen
Beiträge: 684
Registriert: 8. Dez 2005, 01:06
Wohnort: Ahn´Quiraij
Kontaktdaten:

Beitrag von ShadowHunter » 13. Jul 2006, 12:41

*Zettel und Stift an Eifelmaus geb*
Sowas gibts auch noch ;)
Zur Not ne Steintafel und reinmeisseln (absolut Bruchfest und Diebstahlsicher :P)
Wir kämpfen, bis die Hölle zufriert. Und dann kämpfen wir auf dem Eis weiter.

VerlorenerUser1
Kopolaspinne
Beiträge: 956
Registriert: 21. Nov 2005, 18:55

Beitrag von VerlorenerUser1 » 13. Jul 2006, 12:51

Nightmare86 hat geschrieben: Jo, mir eigentlich auch net. Aber der hatte ja tatsäslich meine mail geändert ich habe nix reingeschrieben im gästebuch zu 100% ich war nur auf dem link gegangen. naja fischgraete hat ja den link von dem typ.

Fool,ja mein pwt war gespeichert im Internet explorer,eigentlich wollte ich firefox holen, hab aber wie immer explorer genommen :P
Würde zu meiner Theorie passen. Aber vielleicht weiss Fischgräte mehr, er scheint ja an der Sache dran zu sein?

eifelmaus
Kopolaspinne
Beiträge: 1021
Registriert: 3. Sep 2005, 17:00
Wohnort: im Nebel Dranars
Kontaktdaten:

Beitrag von eifelmaus » 13. Jul 2006, 12:59

ShadowHunter hat geschrieben:*Zettel und Stift an Eifelmaus geb*
Sowas gibts auch noch ;)
Zur Not ne Steintafel und reinmeisseln (absolut Bruchfest und Diebstahlsicher :P)
HAHA...

ich mein doch nur...
einfach nur im browser speichern bringts auch nich wirklich... mehr wollt ich nich sagen...

ICH kenn meine PW's
Ich bin immer noch nicht süß

Benutzeravatar
ShadowHunter
Zauberer der Bergwiesen
Beiträge: 684
Registriert: 8. Dez 2005, 01:06
Wohnort: Ahn´Quiraij
Kontaktdaten:

Beitrag von ShadowHunter » 13. Jul 2006, 13:05

Ich mein ja nur für alle Fälle ;)
Die andern können auch ihre PWs so "speichern" ^^
*10 Seiten im Notibuch voll hat mit PWs etc"

Irgendwann vergess ich die sonst :P
Wir kämpfen, bis die Hölle zufriert. Und dann kämpfen wir auf dem Eis weiter.

VerlorenerUser1
Kopolaspinne
Beiträge: 956
Registriert: 21. Nov 2005, 18:55

Beitrag von VerlorenerUser1 » 16. Jul 2006, 01:40

Mal nen Zitat von der alten Eiche, W4:
+++WARNUNG AN ALLE FREEWAR SPIELER+++ von Livin Death

Tja, die leute werden immer fuchsiger beim betrügen. So ist es mir passiert.
Mein eigentlicher Nick ist PsychoTeddybär,
einige von euch werden mich kennen.
The Killa fragt mich, ob ich nicht eine neue Benutzeroberfläche ausprobieren wolle. Da er weder nach meinem passwort fragte, noch irgendetwas anderes verdächtiges tat, dachte ich, er wäre vom Support oder so und willigte ein. Kaum hatte ich mich eingeloggt, fiel mir auf, dass ich alles geld von meinem Konto abgehoben hatte ohne etwas gemacht zu haben. Mir wurde klar dass er ein Hacker war. Ich konnte nur noch Schreie aussenden , weder laufen noch irgendetwas anderes, und warnte die anderen User und verabschiedete mich schon mal.
Ich versuchte ein letztes logout, doch da musste er sich schon gelöscht haben.

PsychoTeddybär"
VERDAMMT, wird jetzt bitte ENDLICH mal vor Fremdlinks auch offiziell gewarnt? Das war schon beim Blubby-Hack der Trick. Ist mir egal ob ihr nachvollziehen könnt wie es geht, es ist wohl langsam eindeutig DASS es geht. Leute die ihr pw rausgeben oder so mögen selber schuld sein, aber das hier ist eine völlig andere Kiste. Warum reden wir uns seit Monaten den Mund fusslig über das Thema und es kommt nie eine Reaktion?

Benutzeravatar
Tiramon
Administrator
Beiträge: 2972
Registriert: 11. Nov 2003, 15:23
Wohnort: auf ner Larafplantage
Kontaktdaten:

Beitrag von Tiramon » 16. Jul 2006, 13:18

Was sollen wir denn bitte noch machen ausser immer wieder zu sagen das niemand euer passwort will und ihr es nur im freewar login eingeben sollt und ihr es niemandem geben sollt und es auch nicht auf wunsch von leuten ändern sollt und auch nicht irgendwelche email adressen bei euch eintragen sollt ...

Es gibt sicher schon ein 2stellige anzahl an threads im forum wo wir immer und immer wieder das selbe sagen ... 5 min später kommt dann einer ... 'da wollt mir einer nen tolles profil machen und ich hab ihm mein pass gegeben, nun ist all mein gold weg' ... was soll man dann noch sagen

wir können nicht kontrolieren was ihr macht... für euere handlung seid ihr nach wie vor selbst verantwortlich

Und das es pro Welt nur eine Seite gibt wo ihr euer passwort eingeben sollt ist doch wohl auch nicht so sccchwer zu verstehn ...

Bzw. was können wir dafür wenn ihr alle unsere warnungen und ratschläge ignoriert um an extra gold zu kommen oder ähnliches und ihr dann alles verliert ...

Bzw was denkst du was dieser Thread ist ? denke das könnt man schon als offizielle warnung bezeichnen ...
There are 10 types of people, those that understand binary and those that don't
BildBild

Benutzeravatar
damh
großer Laubbär
Beiträge: 2591
Registriert: 15. Mär 2005, 01:10

Beitrag von damh » 16. Jul 2006, 13:37

Hi!
Die Leute werden übrigens immer dreister. Heute morgen hatten wir jemand in w4 der eine extakte Kopie der Startseite hatte, mit der Ausnahme der IP. Er warb dafür mit dem Grund angeblich würde es das spielen darüber schneller machen.
Gruss damh
Glück ist das Maß, in dem ich zulasse, dass meine Bedürfnisse erfüllt werden können.
=> Wer glücklich sein will, muss wissen, was er braucht.
=> Wer weiß, was er braucht, kann beobachten, wer oder was ihm im Weg steht. Man ist es fast immer selbst.

VerlorenerUser1
Kopolaspinne
Beiträge: 956
Registriert: 21. Nov 2005, 18:55

Beitrag von VerlorenerUser1 » 16. Jul 2006, 14:16

Tiramon hat geschrieben:Was sollen wir denn bitte noch machen ausser immer wieder zu sagen das niemand euer passwort will und ihr es nur im freewar login eingeben sollt und ihr es niemandem geben sollt und es auch nicht auf wunsch von leuten ändern sollt und auch nicht irgendwelche email adressen bei euch eintragen sollt ...
Man muss aber sein Passwort nicht hergeben. Es geht offensichtlich auch ohne, nur durch das Besuchen der Seite. Ohne dass man dort irgendwas tut und reinschreibt. Es sollte vor dem besuchen ALLER Seiten die einem ein Unbekannter gibt, dem reinen Besuchen, gewarnt werden.

Benutzeravatar
kane
Klauenbartrein
Beiträge: 1251
Registriert: 10. Apr 2005, 12:17

Beitrag von kane » 16. Jul 2006, 15:14

Fool hat geschrieben:
Tiramon hat geschrieben:Was sollen wir denn bitte noch machen ausser immer wieder zu sagen das niemand euer passwort will und ihr es nur im freewar login eingeben sollt und ihr es niemandem geben sollt und es auch nicht auf wunsch von leuten ändern sollt und auch nicht irgendwelche email adressen bei euch eintragen sollt ...
Man muss aber sein Passwort nicht hergeben. Es geht offensichtlich auch ohne, nur durch das Besuchen der Seite. Ohne dass man dort irgendwas tut und reinschreibt. Es sollte vor dem besuchen ALLER Seiten die einem ein Unbekannter gibt, dem reinen Besuchen, gewarnt werden.
ouch, wie geht denn sowas? ich mein, pw wird ja net in cookies abgespeichert, wenn man es auf seinem pc abspeichert, sondern im passwort-manager, der aber nur nach EXAKTER ip-adresse bzw. entsprechender namensauflösung geht...

naja, ich geh sowieso nie auf fremdlinks...


was man evtl noch tun kann, ist, z.b. 1 woche nach anmeldung eine automatische nachricht jedem user zukommen zu lassen so ne art "einführung in freewar teil 2", in welcher a) nochmal auf die regeln verwiesen wird und b) ein paar nützliche tips gegeben werden, wie z.b. ein verweis auf ein paar wichtigere forenthreads (dieser hier, am besten gleich noch den im ankündigungsthread "warum ist das noch nicht in wx? das ist echt unfair" etc.)
wär doch ne idee, oder? freewar anleitung verteilt auf mehrere tage von offizieller seite aus wäre sicher generell net schlecht. nach anmeldung die derzeitige, 3 tage später die zweite mit weiteren tips usf.

Benutzeravatar
Mars
Kopolaspinne
Beiträge: 914
Registriert: 19. Okt 2005, 22:55
Wohnort: Irgendwo in Nirgendwo

Beitrag von Mars » 16. Jul 2006, 19:02

ich würde es aber nicht tagen sondern Xp abhängig machen @kane
Nichts ist so wie es scheint :)

Benutzeravatar
kane
Klauenbartrein
Beiträge: 1251
Registriert: 10. Apr 2005, 12:17

Beitrag von kane » 16. Jul 2006, 19:04

auch i.o. ^^ xp wären besser, hast recht

Abaddon_X
Feuerwolf
Beiträge: 114
Registriert: 22. Feb 2005, 19:05
Wohnort: L.E., SA, Germany
Kontaktdaten:

Beitrag von Abaddon_X » 19. Jul 2006, 21:20

Ich würde das ehrlich gesagt besser nach Zeit machen, weils gibt Leute, die tippseln ewig mit 250 XP durch die Kante, weil sie da gut PKn können ;)

@Kane: Der Klau der PWs über das Aufrufen externer Seiten wäre theoretisch machbar. Im Endeffekt könnte man es so machen, dass durch das Aufrufen der Site eine Brute-Force gestartet wird, welche versucht, die Pw-Daten des Browser zu knacken. Die von dir angesprochene IP- bzw. Namensidentifikation dürfte mittel BF so schwer nicht sein, da sie ja (insbesondere die IP) eine relativ geringe Größe hat. Allerdings wäre das zeitlich recht schwierig, da die entsprechenden Fenster ja relativ schnell wieder geschlossen werden. Ob ein Programm dennoch weiterlaufen könnte, weiß ich nicht, da musst du mal wen fragen, der sich da mehr auskennt ;)


Um mal noch nen Vorschlag zu bringen, wies möglich wäre: Durch das Aufrufen der ext. Site wird der Account-Name an ein Programm geschickt, welches anschließend die PW-Datenbank des entsprechenden FW-Servers ausliest. Das diese DBs (eigentlich die Server allgemein) durch Firewalls und was-weiß-ich noch alles geschützt sind, nehm ich mal an (wäre schlimm, wenn dem nicht so wäre ;) ), aber sowas kann man knacken. Die PWs selbst werden wahrscheinlich nicht als *.txt gespeichert, sondern verschlüsselt. Nun gut, doch auch diese Verschlüsselung kann man mittels BF knacken (wie Pringeon ja bereits erläutert hat), und die Verschlüsselung wird wohl nicht alle drei Tage geändert, sodass nach einer einmaligen "Auflösung" der Verschlüsselung (vorerst) die BF auf die Codierung entfällt, was den Angriff auf eine Umgehung der Walls reduzieren wollte, welcher ja weiterlaufen kann, wenn die Site wieder geschlossen wird. Das gefundene und entschlüsselte Passwort landet dann als hübsch praktische .txt zusammen mit Accountname und evtl. noch dem Besitztümern des Accounts (damit man weiß, ob sich das Hacken lohnt) direkt beim Hacker auf dem Monitor.

Ob das technisch möglich ist, weiß ich nicht, dazu kenn ich mich in dem Bereich nicht aus, aber es wäre (noob-)theoretisch ne Variante.
Die Forsche sind einzig ein orthographischer Lapsus seitens des Weltenlenkers.

Benutzeravatar
kane
Klauenbartrein
Beiträge: 1251
Registriert: 10. Apr 2005, 12:17

Beitrag von kane » 19. Jul 2006, 22:58

Abaddon_X hat geschrieben:Ich würde das ehrlich gesagt besser nach Zeit machen, weils gibt Leute, die tippseln ewig mit 250 XP durch die Kante, weil sie da gut PKn können ;)

@Kane: Der Klau der PWs über das Aufrufen externer Seiten wäre theoretisch machbar. Im Endeffekt könnte man es so machen, dass durch das Aufrufen der Site eine Brute-Force gestartet wird, welche versucht, die Pw-Daten des Browser zu knacken. Die von dir angesprochene IP- bzw. Namensidentifikation dürfte mittel BF so schwer nicht sein, da sie ja (insbesondere die IP) eine relativ geringe Größe hat. Allerdings wäre das zeitlich recht schwierig, da die entsprechenden Fenster ja relativ schnell wieder geschlossen werden. Ob ein Programm dennoch weiterlaufen könnte, weiß ich nicht, da musst du mal wen fragen, der sich da mehr auskennt ;)


Um mal noch nen Vorschlag zu bringen, wies möglich wäre: Durch das Aufrufen der ext. Site wird der Account-Name an ein Programm geschickt, welches anschließend die PW-Datenbank des entsprechenden FW-Servers ausliest. Das diese DBs (eigentlich die Server allgemein) durch Firewalls und was-weiß-ich noch alles geschützt sind, nehm ich mal an (wäre schlimm, wenn dem nicht so wäre ;) ), aber sowas kann man knacken. Die PWs selbst werden wahrscheinlich nicht als *.txt gespeichert, sondern verschlüsselt. Nun gut, doch auch diese Verschlüsselung kann man mittels BF knacken (wie Pringeon ja bereits erläutert hat), und die Verschlüsselung wird wohl nicht alle drei Tage geändert, sodass nach einer einmaligen "Auflösung" der Verschlüsselung (vorerst) die BF auf die Codierung entfällt, was den Angriff auf eine Umgehung der Walls reduzieren wollte, welcher ja weiterlaufen kann, wenn die Site wieder geschlossen wird. Das gefundene und entschlüsselte Passwort landet dann als hübsch praktische .txt zusammen mit Accountname und evtl. noch dem Besitztümern des Accounts (damit man weiß, ob sich das Hacken lohnt) direkt beim Hacker auf dem Monitor.

Ob das technisch möglich ist, weiß ich nicht, dazu kenn ich mich in dem Bereich nicht aus, aber es wäre (noob-)theoretisch ne Variante.
was ich mit pw-manager gemeint habe, ist, dass der passwort manager die ip bzw.namensauflösung des fragenden servers überprüft und da es im internet einen server mit der fw-ip nur ein einziges mal gibt, kann man durch brute-frce da nichts machen. es sei denn, man kann dem browser vorgaukeln, eine andere ip zu haben als man wirklich hat, was möglicherweise möglich ist. oder eben durch eine schwachstelle des browsers an die pws kommen.

was aber die pws der db angeht: die sind verschlüsselt. aber nicht mit einer dechiffrierbaren funktion, sondern per hash - zumindest hoffe ich das schwer. d.h. passwörter können von niemandem, nicht mal dem server selbst entschlüsselt werden: es wird nur bei eingabe eines passwortes überprüft, ob, wenn man dieses pw durch den hash jagt, das gleiche herauskommt. das ist der standard, passwörter werden niemals in irgendwelchen systemen als entschlüsselbare daten abgespeichert.

brute force ist natürlich immer noch möglich, da gibt es auch einige sehr effektive varianten, welche sich vom server kaum als versuchter pw-klau feststellen lassen und bei schlechtgeschützten pws sehr leicht einbrechen können.

darum: wählt ein kompliziertes und langes pw, damit bf-attacken (egal wie sie durchgeführt werden) an euch abprallen. speichert ihr pws im browser ab - dann benutzt am besten nen sicheren browser (womit ich gleich mal den ie und den ff ausschließen will) oder verfolgt nie fremdlinks. verfolgt ihr doch welche - dann solltet ihr eine göttlich konfigurierte firewall haben. was aber ottonormalmensch nicht hat. naja, ich glaube, es reicht auch, einfach kein pech zu haben, so leicht ist pw-klau ja auch wieder nicht ^^

Benutzeravatar
Theseus
Klauenbartrein
Beiträge: 1344
Registriert: 22. Okt 2005, 12:28

Beitrag von Theseus » 19. Jul 2006, 23:54

Mein Vorschlag zur Verbesserung:

Hacks mal aus dem Sprachgebrauch entfernen. Denn es sind keine. Es sind Betrüger, die sich Accounts ergaunern. Und da hört das Ingame-betrügen auf. In solchen Fällen mit begründetem Verdacht sollte man so schnell es geht nachgehen, dies Aufklären und die Spieler bannen und gebannt lassen. Es kann nicht sein, daß jemand es zugibt, einen anderen gehackt zu haben und derjenige existiert immer noch (so geschehen in w4).

Dummerweise ist das ein Haufen Arbeit im Support. Logfiles durchsuchen, etc. Aber zur Zeit scheint es echt in Mode gekommen zu sein, Phishing Seiten zu verbreiten. Siehe Fools Beitrag. The Killa hat sich übrigens kurz danach gelöscht, allerdings wohl nicht, ohne das Geld irgendwohin zu transferieren. Die Items wurden von einem wieder zurückgegeben, der dies auch sofotz den Mods gemeldet hatte.

Gruß Thes

Gesperrt

Wer ist online?

Mitglieder in diesem Forum: Bing [Bot] und 26 Gäste