-->>Hallo Tassie,
>gemeint ist das Passwort bei LGE, angewendet auf E-Gold Kontonummer.
>Das Login-Fenster von E-Gold ist SSL, das Fenster von LGE ist es nicht.
>Was ich bei E-Gold eingebe, sieht er also nicht.
>Das im LGE-Browser auf der Festplatte gespeicherte Passwort versucht er auf mein E-Gold Konto anzuwenden, klar. Aber wie stellt er die Verbindung her?
>Manchmal ist das Passwort im LGE-Browser gespeichert, manchmal nicht. Die Meldung vom PC, dass das neue Passwort für LGE sei zu lang für den Speicher sei, erscheint auch nicht mehr.
>Kann es jetzt sein, dass der Hacker ( wahrscheinlich intern bei E-Gold) einfach nur sieht, dass zu einem bestimmten Zeitpunkt sich gerade überhaupt jemand bei ihnen einloggen will, oder es laut Liste getan hat, wenn der Hacker Archive verwaltet? Er sieht zwar nicht in mein Login-Fenster in meinem PC, schaut aber einfach bei sich im Rechner in eine Liste, zu der er Zugang hat, mit wem man gerade in Kontakt ist, oder war. So kommt er an die Kontonummer, meine E-Mail-Adresse sieht wohl auch. Das Passwort kennt er noch nicht.
>Dann konsultiert er seine Trojaner, wo immer er sie loziert hat, auch in meinem PC und prüft, ob dort ein abgelegtes Passwort ist, mit dem er etwas anfangen könnte, welches sich aber auf LGE bezieht und versucht die Anwendung auf E-Gold. Und siehe da, es klappt, weil die Passwörter identisch sind....

Nee, also wenn er einen Trojaner auf deiner Maschine hat braucht er gar nix mehr, er loggt einfach deine Keyboardeingaben mit und hat das Passwort im Klartext und wo du so rumsurfst, sieht er ebenso. Wenn du in deinen Eigenen Dateien Briefwechsel mit deiner Bank oder PDFs oder eine Exelliste mit deinen Depotdaten o.ä. hast, braucht er die nur in Ruhe durchzulesen.

Etwas schwieriger ist es, wenn du keinen Trojaner drauf hast. Dann muss er Zugang zu einem Internetrouter haben, über den deine IP-Pakete laufen, bzw. zu einem Rechner, der physikalisch im Netz hängt so dass er mit einem Sniffer DEINEN Traffic mitlesen kann. Wenn diese Voraussetzung gegeben ist, sieht er, dass du über https bei e-gold und über http bei LGE reingegangen bist (vermutlich innerhalb recht kurzer Zeit), denn die Startseiten dürften unverschlüsselt aufgebaut werden. Ab dann sollte es aber nur gehen, wenn a) Benutzername und Passwort unverschlüsselt übertragen werden (bei LGE) die stehen dann im Klartext in den IP-Datenpaketen UND b) du hättest bei e-gold auch BENUTZERNAME und PASSWORT identisch zu LGE haben müssen! Ist das so? Wenn NICHT war es auch nicht dieser Weg! Denn er müsste noch deinen Benutzernamen für e-Gold herausbekommen und da die Loginseite bereits https sein dürfte steht der nämlich auch schon nicht mehr im Klartext da.

Bin immer noch der Auffassung, dass du im Internetcafé verloren hattest. Hat irgendein Scanner denn einen Trojaner gefunden?

MfG
igelei

>Nebenbei bemerkt wurden im Browser von LGE (http und kein https) immer nur Passwörter gespeichert, aber keine Benutzernamen. Das Passwort erschien stets nach dem Tippen des Benutzernamens.
>Ich habe übrigens auch gerade bei E-Gold angefragt, wie oft ich seit dem 20.9.2003 im Konto meiner Schwiegermutter war und wann genau.
>Ich denke mal, die Liste der Logins ist vom Kontoauszug getrennt. Jemand kann vielleicht in den Excel-Dateien der Auszüge herumschreiben, ohne die Listen der Logins darauf abzustimmen, oder es sogar vergisst. Vielleicht ergibt sich hier schon ein Widerspruch?
>Was meinst Du?
>Schönes Wochenende,
>Theo

-->>Hallo Tassie,

Hi Theo,

>gemeint ist das Passwort bei LGE, angewendet auf E-Gold Kontonummer.
>Das Login-Fenster von E-Gold ist SSL, das Fenster von LGE ist es nicht.
>Was ich bei E-Gold eingebe, sieht er also nicht.

Davon gehe ich aus, weil Dein aktueller NAV keine Viren irgendeiner Art findet.
Wenn Du Deine Eingaben ueber das Browserwindow machst, das mit e-Gold verbunden ist, dann ist das normaler Weise nicht fuer das andere mit LGE verbundene Browserwindow sichtbar, es sei denn, dass in dieser Ecke eine MS WIN IE Security Exposure bei Dir noch offen waere, wogegen MS schon lange einen bugfix/patch anbietet, dann waere das"Mitlesen" allerdings nicht auszuschliessen.

Ich gehe aber davon aus, dass keine IE Security Exposure vorliegt.

>Das im LGE-Browser auf der Festplatte gespeicherte Passwort versucht er auf mein E-Gold Konto anzuwenden, klar. Aber wie stellt er die Verbindung her?
>Manchmal ist das Passwort im LGE-Browser gespeichert, manchmal nicht. Die Meldung vom PC, dass das neue Passwort für LGE sei zu lang für den Speicher sei, erscheint auch nicht mehr.

Theo, wenn der Hacker irgendwo ab Ausgang Deines PC auf der LGE-Seite sitzt, was ich im Moment fuer ziemlich unwahrscheinlich halte, dann braucht er fuer den Einbruch auf Dein eGold-Konto nicht nur Dein Passwort, sondern auch Deine account number und ggf. auch diese turing number.

>Kann es jetzt sein, dass der Hacker ( wahrscheinlich intern bei E-Gold) einfach nur sieht, dass zu einem bestimmten Zeitpunkt sich gerade überhaupt jemand bei ihnen einloggen will, oder es laut Liste getan hat, wenn der Hacker Archive verwaltet?

Haaalt, ein Hacker oder Cracker oder Pirat oder irgendeiner von dieser Truppe
muss immer voellig ausserhalb des angegriffenen Objekts angesiedelt sein, weil es sich rechtlich um einen Einbruch in ein System einer Organisation handelt, ein Hacker"intern" bei e-gold gibt es nicht, das ist dann ein"normaler" Betrueger oder Veruntreuer.

>Er sieht zwar nicht in mein Login-Fenster in meinem PC, schaut aber einfach bei sich im Rechner in eine Liste, zu der er Zugang hat, mit wem man gerade in Kontakt ist, oder war. So kommt er an die Kontonummer, meine E-Mail-Adresse sieht wohl auch. Das Passwort kennt er noch nicht.
>Dann konsultiert er seine Trojaner, wo immer er sie loziert hat, auch in meinem PC und prüft, ob dort ein abgelegtes Passwort ist, mit dem er etwas anfangen könnte, welches sich aber auf LGE bezieht und versucht die Anwendung auf E-Gold. Und siehe da, es klappt, weil die Passwörter identisch sind.
>Nebenbei bemerkt wurden im Browser von LGE (http und kein https) immer nur Passwörter gespeichert, aber keine Benutzernamen. Das Passwort erschien stets nach dem Tippen des Benutzernamens.

Theo, wenn, so wie ich immer noch lt. meines letzten Beitrages an Dich vermute,
der Manipulierer innerhalb e-gold sitzt und zuschlaegt, dann braucht er u.U. Dein Passwort ueberhaupt nicht, ihm langt Deine account number, und die steht sowieso in jedem Buchungssatz.

Es gibt sooooo viele Moeglichkeiten, wo bei e-gold intern Scheunentore offen stehen koennten, damit das nicht so ist, davon leben nicht nur System- und Security-Administratoren, davon lebt auch die gesamte Revisions- und Auditing-Industrie. Das alles kostet nicht zu wenig Geld, und die Versuchung dort Geld einzusparen ist manchmal einfach uebermaechtig.

>Ich habe übrigens auch gerade bei E-Gold angefragt, wie oft ich seit dem 20.9.2003 im Konto meiner Schwiegermutter war und wann genau.

Ja, das ist gut, bitte sie doch auch bzgl. Deiner Konten um das Login/Logout-Protokoll seit dem 20.9. inclusive.

>Ich denke mal, die Liste der Logins ist vom Kontoauszug getrennt. Jemand kann vielleicht in den Excel-Dateien der Auszüge herumschreiben, ohne die Listen der Logins darauf abzustimmen, oder es sogar vergisst. Vielleicht ergibt sich hier schon ein Widerspruch?
>Was meinst Du?

Theo, es kann sooooo viele Security Exposures und Leaks innerhalb von e-Gold geben, s.o.

Der Beitrag von igelei zu Deinen Darstellungen und Fragen oben ist plausibel und stichhaltig, lediglich vertrete ich im Gegensatz zu ihm inzwischen und weiterhin die Ansicht, so spektakulaer es auch erscheinen mag, dass innerhalb
der Organisation e-gold bei den Themen IT und CT anscheinend manches nicht zum besten steht.

Mit dieser Meinung werfe ich auch meine mehr als 35 Jahre Erfahrung auf vielen Feldern der IT und CT mit in die Waage, gewonnen in mehreren Branchen/Industrien, darunter gerade auch die Bankenindustrie.

Ich begruende meine obige Meinung zu e-gold lediglich mit 2 Argumenten, es gaebe weitere, wie folgt:

1. Die Absicherung des Zugriffes ueber ein weltweites Verbundnetz namens Internet auf das Kundenkonto mit den vom Kunden einzugebenden Daten Kontonummer (account number) und Passwort (passphrase) ist fuer eine Enterprise im Bankenumfeld voellig ungenuegend, und zwar selbst fuer den Fall, dass der Zugreifende nur eine limitierte Anzahl von Login-Versuchen mit der richtigen Dateneingabe hat, ansonsten der Zugang temporaer oder permanent gesperrt wird.

2. Du, lieber Theo, als Ingenieur, siehst die Welt mit anderen Augen wie Deine z.Zt. schwangere Ehefrau, aber wenn ihr beide gemeinsam und zusammen am 27.9. ueber den Monitor Deines PCs das e-gold-Konto Deiner Schwiegermutter kontrolliert habt, und zwar unmittelbar danach, nachdem Du oder ihr beide zusammen entsetzt den Einbruchsdiebstahl auf zweien Eurer Konten festgestellt hast/habt, und der Kontostand der Frau Schwiegermama war zu diesem Zeitpunkt noch korrekt, jedoch wenige Tage spaeter stellt sich anhand eines aktuellen Kontoauszuges heraus, dass ihr beide am 27.9. bzgl. dem Kontostand der Schwiegermama getraeumt haben muesst, weil dieses Konto ausweisslich des Auszuges bereits am 20.9., also 7 Tage zuvor, abgeraeumt wurde, dann ist bei e-Gold intern etwas oberfaul.

Gerade was letzteres Argument betrifft, ich kenne und beherrsche auch dieses business aus dem eff-eff, ich weiss aus vielen eigenen Erfahrungen, wann ich anderen oder ggf. mir selbst nicht ueber den Weg trauen kann, und wann doch!

>Schönes Wochenende,

Danke, ebenfalls.

>Theo

Gruss
TD