RCZ-Glaskugel: Wartezimmer, Spekulationen, Austausch

Remux · 3. Juli 2023

un..inc schrieb:
Eigentlich wollte ich den Thread damit nicht belasten, aber ne Frage hätte ich doch zu dem Thema:
Ich habe bei RCZ noch nie mit Kreditkarte gezahlt, damit sollte ich ja zumindest theoretisch von der Seite sicher sein, oder?

Wie sollen die deine KK Daten bekommen wenn du Sie nie eingegeben hast? :troll:

Anzeige

Schau mal hier:
rcz mtb news .

silent2608 · 3. Juli 2023

Remux schrieb:
Wie sollen Sie deine KK Daten bekommen wenn du Sie nie eingegeben hast?

Illuminati

MTB-News.de

un..inc · 3. Juli 2023

silent2608 schrieb:
Illuminati

Freimaurer, 9/11... Keine Ahnung... Deshalb wollte ich die Frage ja auch nicht stellen.

der-gute · 3. Juli 2023

un..inc schrieb:
Freimaurer, 9/11... Keine Ahnung... Deshalb wollte ich die Frage ja auch nicht stellen.

Danke Merkel!1Elf

zulu65 · 3. Juli 2023

Fox Float X Performance Elite

Hat jemand schon was von den Dämpfern gehört?
Bestellung ist am 26.04. raus und mittlerweile "In Stock"

.floe. · 3. Juli 2023

Formula 35 27,5“ ist angekommen, diesmal mit DPD verschickt. Bestellt am 20.6.

Gabel kam in Folie inklusive Halter für Bremsleitung. Kein Karton, keine Anleitung etc.

Edit: Kurzer Nachtrag. Bei der Gabel ist nur der Schlüssel für die ILS Achse dabei, nicht der Hebel!

md82 · 3. Juli 2023

Raggygandalf schrieb:
So mich hat es auch erwischt. 420€ wurden irgendwo in London abgebucht.
Bekommt man das einfach zurück wenn man direkt die Karte sperrt und morgen bei der Bank anruft?

Ich Reihe mich dann auch mal hier ein: 485,02€ für bolt.eu Buchungen aus London.

Habe gerade schon mit der ING telefoniert - sitze jetzt gerade bei der Polizei und habe Anzeige erstattet (da sonst die Beträge nicht beanstandet werden können).

RCZ wurde per Malware Kit gehijacked - per Java wird eine SaferPay-Seite vorgegaukelt - man gibt seine Daten ein und klickt auf absenden, anschließend kommt die Seite zum eingeben der Daten ja wieder. Es liegt nicht an SaferPay sondern RCZ altes Magento was nicht gepatched ist.

Versucht mal was per KK zu bestellen - auf der ersten Seite von SaferPay könnt ihr eingeben was ihr wollt, dann folgt ein „Reload“ der SaferPay-Seite und dort kann man nicht eingeben was man will.

Tja, dachte nie daran, dass mir das mal passiert, gerade bei den ganzen Schulungen die man auf der Arbeit hat - wie dem auch sei:

Anzeige ist raus!

teatimetom · 3. Juli 2023

md82 schrieb:
Ich Reihe mich dann auch mal hier ein: 485,02€ für bolt.eu Buchungen aus London.

Habe gerade schon mit der ING telefoniert - sitze jetzt gerade bei der Polizei und habe Anzeige erstattet (da sonst die Beträge nicht beanstandet werden können).

RCZ wurde per Malware Kit gehijacked - per Java wird eine SaferPay-Seite vorgegaukelt - man gibt seine Daten ein und klickt auf absenden, anschließend kommt die Seite zum eingeben der Daten ja wieder. Es liegt nicht an SaferPay sondern RCZ altes Magento was nicht gepatched ist.

Versucht mal was per KK zu bestellen - auf der ersten Seite von SaferPay könnt ihr eingeben was ihr wollt, dann folgt ein „Reload“ der SaferPay-Seite und dort kann man nicht eingeben was man will.

weiter oben oder in einem anderen Thread hat ja schon jemand, der Beriflich mit IT Security zu tun hat seine Meinung eingeschätzt. Vermutlich passt wo was nicht, genauer kann man das so nicht sagen ohne tiefe Analyse.

Wenn ich es richtig im Kopf habe dann hat er sogar im HTML Code der Seite die entsprechende Codestelle mit Weiterleitung aufgezeigt.
Magento Webshop, keine Sicherheitspatches? Wenn ja --> die sollten alle die (Internet) Zulassung verlieren. Ich mein beim Auto kann man seinen TÜV-Termin auch nicht 5 Jahre aussitzen.

Wichtig nur:
Es passiert erschreckend lange - hier sollte jeder seine Fühler wirklich dopellt fein anspitzen.
Dann anzeigen, theoretisch sollten solche Seiten vom Netz genommen werden bis der Defekt behoben ist.

gosing · 3. Juli 2023

Alles was ich von aussen per statischer Analyse (lesen des Codes ohne ihn auszuführen) mit vertretbarem Aufwand rausgefunden habe wurde an RCZ übermittelt, mal schaun was die dazu sagen. Ohne Zugriff auf die Systeme traue ich mir jedoch keine Aussagen über den Ursprung (0815 magento lücke? Vergraulter webmaster? Erratene Admin Credentials? Usw usf) oder die Tiefe ("nur" client-side code eingefügt oder auch server-side? Lateral movement von/zu anderen Systemen? Nur ein Angriff oder mehrfach übernommen? Usw usf) zu tätigen.
Ich sehe Indikatoren, und sobald diese für mich belastbar genug sind traue ich mich auch diese zu teilen. Jetzt ist einiges an Freizeit in das Thema geflossen, zum jetzigen Zeitpunkt braucht es "Mitarbeit" von Innen wenn man Ursache, Tiefe oder gar Akteure mit vertretbarem Aufwand identifizieren will. RCZ ist mit heute informiert und hat Möglichkeit zu Rückfragen oder Hilfeleistungen, somit sehe ich meine Pflicht getan.
Edit: Hinweis, ich habe bewusst von statischer Analyse geschrieben. Dynamische Analyse, Eingabe offenbar falscher Daten, Zugriffe direkt auf den Angreifer Server, usw usf sind potentiell "noisy" und alarmieren Angreifer, daher habe ich diese unterlassen. Klar, tut dieser Thread auch, aber ich sage mal dieses Forum ist wohl unterhalb der Wahrnehmungsschwelle der meisten Akteure

UserX1 · 3. Juli 2023

gosing schrieb:
Alles was ich von aussen per statischer Analyse (lesen des Codes ohne ihn auszuführen) mit vertretbarem Aufwand rausgefunden habe wurde an RCZ übermittelt, mal schaun was die dazu sagen. Ohne Zugriff auf die Systeme traue ich mir jedoch keine Aussagen über den Ursprung (0815 magento lücke? Vergraulter webmaster? Erratene Admin Credentials? Usw usf) oder die Tiefe ("nur" client-side code eingefügt oder auch server-side? Lateral movement von/zu anderen Systemen? Nur ein Angriff oder mehrfach übernommen? Usw usf) zu tätigen.
Ich sehe Indikatoren, und sobald diese für mich belastbar genug sind traue ich mich auch diese zu teilen. Jetzt ist einiges an Freizeit in das Thema geflossen, zum jetzigen Zeitpunkt braucht es "Mitarbeit" von Innen wenn man Ursache, Tiefe oder gar Akteure mit vertretbarem Aufwand identifizieren will. RCZ ist mit heute informiert und hat Möglichkeit zu Rückfragen der Hilfeleistungen, somit sehe ich meine Pflicht getan.
Edit: Hinweis, ich habe bewusst von statischer Analyse geschrieben. Dynamische Analyse, Eingabe offenbar falscher Daten, Zugriffe direkt auf den Angreifer Server, usw usf sind potentiell "noisy" und alarmieren Angreifer, daher habe ich diese unterlassen. Klar, tut dieser Thread auch, aber ich sage mal dieses Forum ist wohl unterhalb der Wahrnehmungsschwelle der meisten Akteure

Auch wenn ich nicht betroffen bin, möchte ich an dieser Stelle eine fettes Danke für deine Mühe aussprechen!

isartrails · 3. Juli 2023

gosing schrieb:
... mal schaun was die dazu sagen. ...

Ich hab so ne Ahnung, was die sagen:
"Dear customer,
Thank you for your mail and your waiting."

MTB-News.de

Raggygandalf · 3. Juli 2023

md82 schrieb:
Ich Reihe mich dann auch mal hier ein: 485,02€ für bolt.eu Buchungen aus London.

Habe gerade schon mit der ING telefoniert - sitze jetzt gerade bei der Polizei und habe Anzeige erstattet (da sonst die Beträge nicht beanstandet werden können).

RCZ wurde per Malware Kit gehijacked - per Java wird eine SaferPay-Seite vorgegaukelt - man gibt seine Daten ein und klickt auf absenden, anschließend kommt die Seite zum eingeben der Daten ja wieder. Es liegt nicht an SaferPay sondern RCZ altes Magento was nicht gepatched ist.

Versucht mal was per KK zu bestellen - auf der ersten Seite von SaferPay könnt ihr eingeben was ihr wollt, dann folgt ein „Reload“ der SaferPay-Seite und dort kann man nicht eingeben was man will.

Tja, dachte nie daran, dass mir das mal passiert, gerade bei den ganzen Schulungen die man auf der Arbeit hat - wie dem auch sei:

Anzeige ist raus!

Hast du was bestimmtes in der Anzeige angegeben? Ich hab nur angegeben dass es evtl. von RCZ kommt.

md82 · 3. Juli 2023

Raggygandalf schrieb:
Hast du was bestimmtes in der Anzeige angegeben? Ich hab nur angegeben dass es evtl. von RCZ kommt.

Ja, das habe ich mit angegeben.

Raggygandalf · 3. Juli 2023

Mal sehen wie das funktioniert und wir unser Geld zurück bekommen

Empf4enger · 4. Juli 2023

Habe mir gestern noch die FOX Transfer bestellt.

Gut, dass ich hier nochmal reingeschaut habe, musste auch zweimal Kreditkarte angeben.

Gleich mal präventiv gesperrt und geschreddert.

.floe. · 4. Juli 2023

Hat bei euch denn das 3D Secure nicht funktioniert? Ich denke, dadurch ist man relativ safe was solche Betrugsversuche angeht?

k0p3 · 4. Juli 2023

.floe. schrieb:
Hat bei euch denn das 3D Secure nicht funktioniert? Ich denke, dadurch ist man relativ safe was solche Betrugsversuche angeht?

Bei mir hat damals die 2FA gegriffen.

MTB-News.de

PORTEX77 · 4. Juli 2023

Ich verstehe immer noch nicht welche Vorteile eine Kreditkartenzahlung gegenüber einer Überweisung hat?

Ich bezahle generell nur mit KK wenn gar nix anderes mehr geht?(Flug buchen o.ä)

(Und selbst dann überleg ich mir ob ich das Objekt der Begierde nicht woanders kaufen kann

)

big_scoop · 4. Juli 2023

md82 schrieb:
Tja, dachte nie daran, dass mir das mal passiert, gerade bei den ganzen Schulungen die man auf der Arbeit hat - wie dem auch sei:

Anzeige ist raus!

Das geht mir auch so. Wahnsinn wie gut der scam inzwischen geworden ist.

Flo7 · 4. Juli 2023

PORTEX77 schrieb:
Ich verstehe immer noch nicht welche Vorteile eine Kreditkartenzahlung gegenüber einer Überweisung hat?

Ich bezahle generell nur mit KK wenn gar nix anderes mehr geht?(Flug buchen o.ä)

(Und selbst dann überleg ich mir ob ich das Objekt der Begierde nicht woanders kaufen kann )

Gibt halt Kreditkarten die je nach Umsatz, Prämien/ Geschenke anbieten.
Des Weiteren gibts Kreditkarten die einen Reiseschutz/ Storniversicherung haben, daher zahl ich zb Reisen nur mit der Kreditkarte.

Dr.Dos · 4. Juli 2023

Die Frage ist doch, was die Frage Überweisung/KK mit dem aktuellen Thema zu tun hat? So als ob der User/Kunde irgendeine (Mit-)Schuld hätte.

fone · 4. Juli 2023

Naja, manche Verhaltensweisen sind eben in höherem Maße risikobehaftet als andere, das muss man schon akzeptieren.

Dr.Dos · 4. Juli 2023

Die wirklich risikobehaftete Verhaltensweise war in diesem Fall die falschen Berechtigungen auf /var. Ich hatte im zweiten Versuch eine valide admin-session...

thisshouldwork · 4. Juli 2023

Dr.Dos schrieb:
Die wirklich risikobehaftete Verhaltensweise war in diesem Fall die falschen Berechtigungen auf /var. Ich hatte im zweiten Versuch eine valide admin-session...

Kannst die lücke dann gleich schließen?

Dr.Dos · 4. Juli 2023

Das war im April, siehe posting viel weiter oben. Irgendwann in der Zwischenzeit hat RCZ reagiert und /var ist dicht. Abgesehen davon ist jedwede Manipulation strafbar und dass man Zugriff auf Back- oder Frontend hat, bedeutet nicht, dass man sofort an DB oder filesystem heran kommt.

RCZ-Glaskugel: Wartezimmer, Spekulationen, Austausch

Remux

Anzeige

silent2608

MTB-News.de

un..inc

Noooob

der-gute

zulu65

.floe.

md82

teatimetom

gosing

UserX1

isartrails

Kommentator

MTB-News.de

Raggygandalf

md82

Raggygandalf

Empf4enger

.floe.

k0p3

MTB-News.de

PORTEX77

big_scoop

Flo7

Dr.Dos

fone

jaja

Dr.Dos

thisshouldwork

Dr.Dos