Aloha werte Regenten,

da es mich heute erwischt hat und auch einige Nachrichten von meinem Account versendet wurde. Hier die Methode die derzeit mal wieder kursiert.

Einer aus eurer Freundesliste schreibt euch an und bitte darum das ihr für ein Team voted. (bei mir war es PUBG) folgt ihr der Bitte so kommt ihr auf eine manipulierte Team Tournament Seite welche zum Voting eure Steam Verknüpfung braucht. (um Multiple Votes zu verhindern)
Tut ihr das so hat dann der Verbrecher Zugriff auf euer Steam Konto und kann damit weitere Nachrichten versenden.
Gleichzeitig werden die angeschriebenen Freunde gelöscht und blockiert.

Falls es euch auch getroffen hat , so solltet ihr alle freigegebenen Geräte überprüfen und aus der Freigabeliste entfernen. Danach PW ändern.

Freunde kann man dann wieder entblocken, im Steam Programm auf euren Namen und dann unter Freunde.
Danach kann man sie wieder in die Freundesliste aufnehmen.

Reumütig euer
Sacharia

Aloha werte Regenten,

da es mich heute erwischt hat und auch einige Nachrichten von meinem Account versendet wurde. Hier die Methode die derzeit mal wieder kursiert.

Einer aus eurer Freundesliste schreibt euch an und bitte darum das ihr für ein Team voted. (bei mir war es PUBG) folgt ihr der Bitte so kommt ihr auf eine manipulierte Team Tournament Seite welche zum Voting eure Steam Verknüpfung braucht. (um Multiple Votes zu verhindern)
Tut ihr das so hat dann der Verbrecher Zugriff auf euer Steam Konto und kann damit weitere Nachrichten versenden.
Gleichzeitig werden die angeschriebenen Freunde gelöscht und blockiert.

Falls es euch auch getroffen hat , so solltet ihr alle freigegebenen Geräte überprüfen und aus der Freigabeliste entfernen. Danach PW ändern.

Freunde kann man dann wieder entblocken, im Steam Programm auf euren Namen und dann unter Freunde.
Danach kann man sie wieder in die Freundesliste aufnehmen.

Reumütig euer
Sacharia

Ich habe ganz schön geschwitzt... :D

Das perfide ist, man merkt es erst, wenn man den Bestätigungscode eingegeben hat, dieser aber nicht funktioniert, weil abgefischt. Die Seite sieht 1:1 authentisch aus und es fehlt lediglich das SSL zertifikat von Steam (worauf man natürlich in der Eile des Tagesgeschäfts nicht schaut.

Im Nachgang habe ich gesehen, dass der Anmeldeversuch aus Russland kommt, da war es aber schon zu spät. Da ich 2FA habe, musste ich die Änderung meines PWs per Handy bestätigen, sonst hätte der Account auch weg sein können. War mir vor 4 Jahren mal so ergangen, da hat jemand aber das PW mit Brute Force geknackt und ich hatte keine 2FA.

Vorsichtig sein, auch wenn und gerade weil die Nachrichten sehr vertrauensvoll geschrieben sind. :prost:

Verstehen Wir das richtig? Man ist in Steam angemeldet und erhält dort eine Steam interne Nachricht mit einem Link und wenn man den Link aufruft, gelangt man auf eine Seite wo man aufgefordert wird, sich wieder bei Steam anzumelden? Wenn dem so ist, sollte eigentlich sofort klar sein, das nur wichtige Dinge die abermalige Bestätigung per Passwort erfordern sollten womit dieses Kartenhaus sofort zusammen bricht. Aber dafür nutzen Wir Steam zu wenig um Uns damit auszukennen - wie gehabt - Wir halten Steam für überflüssig - ALLE Publisher sollen wie es Matrixgames macht einfach eine Exe und eine Seriennummer ausliefern und fertig.

Verstehen Wir das richtig? Man ist in Steam angemeldet und erhält dort eine Steam interne Nachricht mit einem Link und wenn man den Link aufruft, gelangt man auf eine Seite wo man aufgefordert wird, sich wieder bei Steam anzumelden? Wenn dem so ist, sollte eigentlich sofort klar sein, das nur wichtige Dinge die abermalige Bestätigung per Passwort erfordern sollten womit dieses Kartenhaus sofort zusammen bricht. Aber dafür nutzen Wir Steam zu wenig um Uns damit auszukennen - wie gehabt - Wir halten Steam für überflüssig - ALLE Publisher sollen wie es Matrixgames macht einfach eine Exe und eine Seriennummer ausliefern und fertig.

:D
Jaaaa, geht mir ähnlich, steam ist bei mir mittlerweile auch aus "Komfortgründen" seit Jahren unbenutzt.

Am wohlsten fühle ich mich immer noch, wenn ich ne DVD einschiebe und die Seriennummer eintippe.
Oldschool, langsam, ohne Internetzanbindung, eines alten weissen Mannes würdig.

Die von mir präferierte Plattform Epic hat auch so seine Marotten,
aber jede Woche kostenlose Spiele mit Vorankündigung, als dass die PoS anwachsen und gedeihen möge, finde ich erst mal gut.

Das man eine externe Verlinkung nochmal bestätigen muss ist nicht so ungewöhnlich bei Steam. Will man zum Beispiel seinen Twitch Account mit Steam verknüpfen muss man dies auch auf ähnliche Art bestätigen.

Wie geschrieben, ja ich hätte es merken müssen. Es war , im Nachhinein, offensichtlich. Aber da war es halt zu spät.
Daher ja auch der Beitrag hier, hätte auch nie gedacht das mir sowas mal passiert.

Verstehen Wir das richtig? Man ist in Steam angemeldet und erhält dort eine Steam interne Nachricht mit einem Link und wenn man den Link aufruft, gelangt man auf eine Seite wo man aufgefordert wird, sich wieder bei Steam anzumelden? Wenn dem so ist, sollte eigentlich sofort klar sein, das nur wichtige Dinge die abermalige Bestätigung per Passwort erfordern sollten womit dieses Kartenhaus sofort zusammen bricht.

Vorsicht im Elfenbeinturm! Bis vorgestern hätte ich vermutlich das gleiche gesagt. :ditsch:

Verstehen Wir das richtig? Man ist in Steam angemeldet und erhält dort eine Steam interne Nachricht mit einem Link und wenn man den Link aufruft, gelangt man auf eine Seite wo man aufgefordert wird, sich wieder bei Steam anzumelden? Wenn dem so ist, sollte eigentlich sofort klar sein, das nur wichtige Dinge die abermalige Bestätigung per Passwort erfordern sollten womit dieses Kartenhaus sofort zusammen bricht. Aber dafür nutzen Wir Steam zu wenig um Uns damit auszukennen - wie gehabt - Wir halten Steam für überflüssig - ALLE Publisher sollen wie es Matrixgames macht einfach eine Exe und eine Seriennummer ausliefern und fertig.Es gibt eine ganze Reihe von teils recht nützlichen Third-Party-Websites denen man mit dem "Sign in through Steam"-Feature Zugriff auf Accountinhalte gewähren kann. Dieses Anmeldeverfahren ist daher nicht ungewöhnlich und wird dementsprechend auch regelmäßig für unrechtmäßige Zwecke missbraucht.

Wie bei anderen Phishing-Verfahren kann man nur versuchen aufmerksam zu sein und darauf hoffen, dass man es rechtzeitig bemerkt, wenn man trotzdem mal darauf reinfällt.

Will man zum Beispiel seinen Twitch Account mit Steam verknüpfen muss


"Sign in through Steam"-Feature Zugriff auf Accountinhalte g


Ahhhh - jetzt verstehen Wir - da ist der Kardinalfehler - Sorry - dafür haben Wir kein Verständnis - es kotzt Uns auch an, dass Unser AG dies mit diversem Shibboleth Zeugs auch fördert. Aber auch da gilt - Links immer selbst eingeben, nicht auf Links in Mails und so was klicken - und da Wir Mails grundsätzlich immer im Nur-Text-Modus lesen springen Phising-Links sofort ins Auge...

Es ist also mal wieder wegen Bequemlichkeit passiert - häm na ja...

Nachtrag:

Wenn diese Third-Party-Dinge so wichtig sind, dann sollte so was per Third-Party-Passwort gemacht werden, was eben keinen vollständigen Konto-Zugriff ermöglicht. Aber dass müsste Steam natürlich bereit stellen...

Geht in diesem Thread ja auch nicht um Verständnis sondern darum andere zu informieren damit diese nicht den selben Fehler machen.

Geht in diesem Thread ja auch nicht um Verständnis sondern darum andere zu informieren damit diese nicht den selben Fehler machen.


Aber genau das ist Verständnis! Wenn man die Handlungsweisen die diesen Fehler überhaupt erst ermöglichen einfach unterlässt, kann der Fehler nicht passieren - dafür braucht es aber das Verständnis wie dieser "Fehler" funktioniert. :tongue:

Geht in diesem Thread ja auch nicht um Verständnis sondern darum andere zu informieren damit diese nicht den selben Fehler machen.Daher nochmal für alle Regenten, die es bis hierhin noch nicht verstanden haben: BESSER GAR NICHT ERST MIT LEUTEN WIE SACHARIA ODER SETSCHES BEFREUNDET SEIN!

Daher nochmal für alle Regenten, die es bis hierhin noch nicht verstanden haben: BESSER GAR NICHT ERST MIT LEUTEN WIE SACHARIA ODER SETSCHES BEFREUNDET SEIN!

Wollte schon sagen, keine Freunde haben ist der beste Schutz.

Nein wir sind nicht einsam.....

Wir waren Freunde ? Ich dachte das ist hier eine reine Zweckbeziehung. :gluck:

Wir waren Freunde ? Ich dachte das ist hier eine reine Zweckbeziehung. :gluck:War ja auch ein Ratschlag für die Allgemeinheit und auf Steam bezogen. Im echten Leben würde von Eurer Ärztin, Eurem Arzt oder in Eurer Apotheke davon abgeraten werden, freundschaftliche (oder auch jede andere Art von) Beziehungen zu mir zu unterhalten. :rolleyes:

Daher nochmal für alle Regenten, die es bis hierhin noch nicht verstanden haben: BESSER GAR NICHT ERST MIT LEUTEN WIE SACHARIA ODER SETSCHES BEFREUNDET SEIN!

Ist gut, dass nächste mal behalte ich es für mich. Dann soll es eure Steam Accounts eben allesamt dahinrafen. :mad::D

Was mich schwer begeistert, ist unsere Gemeinschaft, die da wirklich schnell reagiert hat. Danke an Euch und Eure Aufmerksamkeit.

Ich bin tatsächlich auch auf die Direktnachricht reingefallen. Hätte mir auffallen müssen. Sacharia hätte es bei PUBG nie so weit nach oben geschafft... :P

Ahhhh - jetzt verstehen Wir - da ist der Kardinalfehler - Sorry - dafür haben Wir kein Verständnis - es kotzt Uns auch an, dass Unser AG dies mit diversem Shibboleth Zeugs auch fördert. Aber auch da gilt - Links immer selbst eingeben, nicht auf Links in Mails und so was klicken - und da Wir Mails grundsätzlich immer im Nur-Text-Modus lesen springen Phising-Links sofort ins Auge...

Es ist also mal wieder wegen Bequemlichkeit passiert - häm na ja...


Aber genau das ist Verständnis! Wenn man die Handlungsweisen die diesen Fehler überhaupt erst ermöglichen einfach unterlässt, kann der Fehler nicht passieren - dafür braucht es aber das Verständnis wie dieser "Fehler" funktioniert. :tongue:Ohne den werten Bigfish persönlich angreifen zu wollen, nehme ich seine Aussagen mal zum Anlass für etwas allgemeines Gemecker.


Mir ist schon öfter aufgefallen, dass IT-Verantwortliche auf solche Vorfälle ähnlich mit Aussagen "das hätte man doch wissen müssen" oder "wenn man A, B, und C tut, kann so etwas gar nicht passieren" reagieren. Ich halte das aus zweierlei Gründen für fatal und letztlich auch für kontraproduktiv für die Interessen der IT.


Zum einen können solche vereinfachten Handlungsanweisungen eben auch zu einer fälschlichen Sicherheit bei den so Belehrten führen, obwohl sie gar nicht so unfehlbar sind. Beispielsweise bietet auch das Eintippen der Links dank Vertipperli-URLs auch keinen perfekten Schutz und gerade Phishing-Mails werden zunehmend authentischer formuliert, so dass es kaum noch verwunderlich ist, dass man im Eifer des Gefechts mal einen Fehler begeht.


Zum anderen erzeugen solche Aussagen, die häufig als vorwurfsvoll oder herablassend empfunden werden, bei den Belehrten oft ein Schamgefühl, das dazu führen kann, dass solche Fehler u.U. überhaupt nicht an die IT gemeldet werden und auch Kollegen nicht gewarnt werden. Mit so einer Haltung kann sich der IT-Support zwar viele alltägliche Kleinscheiß-Nachfragen "von den DAUs und PEBCAKs" ersparen, aber gleichzeitig erschwert es das frühzeitige Erkennen und Eindämmen von Problemen.

Fehler passieren halt und in der Regel weiß niemand, warum jemandem gerade ein Link durchgerutscht ist. Shaming und Besserwisserei ist da als Reaktion auf einen Beitrag wie den des werten Sacharia grundsätzlich ungeeignet, auch wenn ich den Impuls grundsätzlich nachvollziehen kann, wenn man im IT-Support täglich mit den immer gleichen Problemen und unvorsichtigen Verhaltensweisen konfrontiert wird. (Offenlegung: Ich habe als erste Reaktion auf diesen Thread heute früh übrigens auch eine Frotzelei geschrieben, selbige aber danach wieder gelöscht, weils -egal ob witzig oder nicht- letztlich auch Shaming war.)

Nochmal: das ist keine Kritik am werten Bigfish.

An den werten Sacharia: thanks for sharing!

Werter dooya,


Kritik kann auch positiv sein, so fassen Wir das dann hier auch auf ;) Und an anderer Stelle als hier hätten Wir es sicher auch anders geäußert.


Worin Ihr aber irrt - es ist keine Kritik am Anwender - oder nur indirekt - sondern an die IT-Branche als solche, die diese Probleme einfach provoziert. Eigentlich schon immer, spätestens aber nach den ersten Vorfällen - vor Jahrzehnten - hätte es in der IT Branche lauten müssen - NIEMALS deine Zugangsdaten an Dritte herausgeben - und in der Folge dessen hätte auch alles so gestrickt sein müssen, dass dies auch NIEMALS nötig ist.


Wir können verstehen, dass Dritthersteller tolle Dinge machen, die auch wirklich nützlich sind - aber auch diese Hersteller müssen wissen was dies bei wenig IT affinen Nutzern nicht nur bedeuten kann, sondern bedeuten wird. Diese Hersteller hätten also - zusammen mit dem Druck der Community - auf Valve einwirken müssen dafür eine saubere Schnittstelle zu schaffen. Das ist die Verantwortung der Branche und wenn diese Branche nicht langsam versteht, wird es nur noch schlimmer. Bei Computerspielen ist das noch egal, aber zusammen mit der PSD2 Richtlinie Zahlungsdienstleisten Zugriff/Einblick auf das eigene Bankkonto zu gewähren - Sorry das ist Krank - DAS hätte es niemals geben dürfen - das ist die Verantwortung der Branche und der Gesetzgeber macht es "unerfahren" wie er ist auch noch mit :mad:

Und hier kommt spätestens der Anwender doch wieder ins Spiel - eigentlich müsste jeder Anwender mindestens beim Bankkonto sagen: Was ihr wollt Einblick in mein Konto? F*ckt euch! (Um es mal drastisch auszudrücken!)

Werter Bigfish,

Kein System ist perfekt und trotz aller Vorsicht passieren solche Dinge.

Keine Sorge mich shamed ihr nicht. Hätte ich vor sowas Angst würde ich solche Fehltritte im Forum nicht öffentlich verbreiten.
Zumal die Kritik ja berechtigt ist. Hätte man alle Schritte eingehalten wäre es nicht passiert.

Eure Argumentation bezüglich Verständnis würde dann aber bedeuten das ihr ja genau nicht verstanden habt wie es zu dem Vorfall kommen konnte.
Da ihr ja Eingangs geschrieben habt das ihr für sowas kein Verständnis habt.

Ich hingegen habe für sowas immer Verständnis und das nicht erst seit diesem Fauxpas.

Werter Sacharia,


stimmt - kein System ist perfekt - wenn ein solches Problem aber ein mal erkannt worden ist - und Probleme dieser Art sind ja schon wirklich lange bekannt - dann hätte man auch schon längst für eine Lösung sorgen können.


Um beim Vergleich mit dem Konto zu bleiben: Eigentlich sollte es jeden Schütteln der so was hört - das müsste eigentlich jeden instinktiv anwidern wenn jemand Fremdes Zugriff aufs eigene Konto haben will. Haben gehört selbst Ehepartner geben sich häufig nicht den Zugriff aufs jeweils andere Konto - wieso also einem Fremden? Diese Transferleistung von der Offline in die Online Welt ist eigentlich nicht schwer und damit auch nicht die Transferleistung vom Bankkonto hin zu einem Amazon oder Sonstwas-Konto. Und wenn "normale" Nutzer diese Transferleistung nicht haben, muss man es gerade von den Herstellern einfordern. In der Offline-Welt gibt es unzählige Vorschriften wo für andere die Sicherheit mitgedacht wird - warum nicht in der Online Welt? Ne, das will Uns nicht in den Kopf wieso zwischen Offline und Online so ein Unterschied herrscht.


Und mit Verlaub - viele IT-Probleme springen den Anwender bereits beim ersten Kontakt an wie eine durchgedrehte ausgehungerte Raubkatze - will sagen die Hersteller hätten viele Probleme tatsächlich von vorne herein verhindern können, wenn sie denn nur gewollt hätten. Gesehen haben müssen sie diese Probleme wenn sie ihr eigenes Produkt auch nur einziges mal selbst benutzt haben. Und bitte keine Kosten als Ausrede, erhöhter Support Aufwand und schlechte Presse sind bestimmt mindestens so teuer wie mehr Entwicklungszeit.


Und das die IT-Sicherheit den Menschen mittlerweile auf die Füße fällt und Schäden im dreistelligen Milliardenbereich oder sogar Tote verursacht mögt vermutlich auch Ihr nicht leugnen. Volkswirtschaftlich ist das eine Katastrophe...



Edit: die Voyager Sonden funktionieren immer noch - selbst Notfall-Lösungen sind noch immer möglich. Wir glauben nicht, dass die aktuelle Menschheit das so noch hinbekommt. Das sollte also der Anspruch sein: Den Level den man erreicht hat muss man steigern, aber nicht verlassen löschen neu beginnen und es dabei schicker aber schlechter machen. Da blutet der Ingenieur in Uns...

Werter Bigfish,

erhöhte Kosten sind keine Ausrede sondern der Grund dafür. Es gibt halt die Rechnung was kostet uns der Schadenfall und was kostet es uns das System Narrensicher zu machen.
In meinem Fall kostet der Schadenfall Steam nix. Es war meine Schuld. Da hält sich der Anbieter raus hat ja oft genug darauf hingewiesen. Und aufgrund meines erschütternden Berichtes hier wir auch kein Kunde von Steam weggehen.

Wenn ich eine Raumsonde baue welche genau diesen Auftrag hat für einen Zeitraum X zu funktionieren so baue ich die Sonde auch für den Zeitraum X. Alles darüber hinaus ist keinen Cent wert und wird auch nicht vom Auftraggeber bezahlt. Vielleicht baue ich die Sonde aber auch nur für einen kürzeren Zeitraum da der Auftraggeber vergessen hat entsprechende Pönale zu definieren :-)
Du bekommst was du bestellt und bezahlt hast, hast du bei der Bestellung was nicht definiert, tja Pech gehabt das kostet dann extra.

Mich ärgert diese Entwicklung auch aber das System funktioniert scheinbar gut genug.

Die Voyagers sind vermutlich schlechte Beispiele, da sie eher das Gegenteil demonstrieren. Die eingebauten Komponenten wurden für bestimmte Zwecke entworfen und gebaut und seitdem werden einige davon laufend von NASA Ingenieuren gehackt, um Aufgaben zu erfüllen, für die sie eigentlich nicht vorgesehen waren. Die Voyager-Sonden, die damals losgeschickt wurden, sind längst kaputt; was da jetzt fliegt sind vermutlich ziemlich abgefahrene Mods, von denen die ursprünglichen Entwickler vermutlich noch nicht mal geträumt haben.

Bezüglich der heutigen Technik muss man vermutlich einfach akzeptieren, dass ein steter Wettlauf stattfindet zwischen Leuten die Neues erfinden und anderen, die diese Innovationen für kriminelle Aktivitäten missbrauchen.

Die Voyager-Sonden, die damals losgeschickt wurden, sind längst kaputt;


Ne sind sie nicht - oder zumindest nicht soweit das gar nix mehr geht - im Gegenteil die haben sogar noch so irre viel Reserven, dass genau das möglich ist, was Ihr gerade selbst gesagt habt. Das sehen Wir bei neueren Systemen nicht, weil - siehe Post von Sacharia - warum mehr machen als nötig? Nachhaltigkeit? Mal weiter schauen als bis zum Horizont? Für was...

Ne sind sie nicht - oder zumindest nicht soweit das gar nix mehr geht - im Gegenteil die haben sogar noch so irre viel Reserven, dass genau das möglich ist, was Ihr gerade selbst gesagt habt. Das sehen Wir bei neueren Systemen nicht, weil - siehe Post von Sacharia - warum mehr machen als nötig? Nachhaltigkeit? Mal weiter schauen als bis zum Horizont? Für was...Die Vanilla-Voyagers wären ohne diese Hacks nicht mehr funktionstüchtig. Auf diese Vanilla-Versionen bezog ich mich mit der Formulierung "Die Voyager-Sonden, die damals losgeschickt wurden".

@BigFish: Das ist nicht ganz richtig mit euer Einschätzung zu den Voyager-Sonden. Den damaligen Ingenieuren wurde gesagt, sie sollen dafür sorgen, dass die Sonden Jupiter und Saturn beobachten und die Daten transferieren können. Die Ingenieure damals haben das aber ignoriert und die Sonde so robust gemacht wie es damals überhaupt ging. Denen waren die Kosten egal, sie wollten die Sonden solange funktionell haben wie es nur ging. Den Arschlöchern im Management nicht.

@BigFish: Das ist nicht ganz richtig mit euer Einschätzung zu den Voyager-Sonden. Den damaligen Ingenieuren wurde gesagt, sie sollen dafür sorgen, dass die Sonden Jupiter und Saturn beobachten und die Daten transferieren können. Die Ingenieure damals haben das aber ignoriert und die Sonde so robust gemacht wie es damals überhaupt ging. Denen waren die Kosten egal, sie wollten die Sonden solange funktionell haben wie es nur ging. Den Arschlöchern im Management nicht.


Ja - es waren eben Ingenieure du wussten was Ingenieure zu tun haben - klappt gut wenn man nicht nur Ingenieurin der Ingenieur ist sondern sogar dazu in der Lage ist den Oberen ein X für ein U vorzumachen ;)