• Facebook
  • RSS
Multichannel Rockstars
  • BLOG
    • Beitrag einreichen
  • Events
  • Dienstleisterverzeichnis
  • Händlerverzeichnis
  • Bildergalerie
  • Videos
  • Team
  • Shop
  • Facebook Gruppe
  • Newsletter
Seite wählen
Wie man sein Amazon-Konto schützt und ein gehacktes wieder freischalten lässt

Wie man sein Amazon-Konto schützt und ein gehacktes wieder freischalten lässt

von Joachim Kersten | 6. Nov 2018 | amazon, Business, Tipps

In letzter Zeit hört man öfter von gehackten Konten. Oft wurden diese Händler dann belächelt, sie hätten dann nicht genügend Sicherheitsvorkehrungen wie 2FA (Two Factor Authentication) benutzt. Aus eigener Erfahrung kann ich sagen, dass 2FA keine endgültige Sicherheit bietet. Mein Konto wurde zwei Mal gehackt, im August 2018 und dann zwei Wochen später noch einmal und das trotz 2FA. Amazon hat dann ein Lockdown durchgeführt, also alle Angebote deaktiviert. Beim ersten Mal waren die Angebote “nur” ein paar Stunden offline, beim zweiten Mal einen halben Tag, also mehr oder weniger 50% Umsatzverlust.

Warum und wie wird ein Konto gehackt?

Zunächst einmal muss erklärt werden, welche Angriffsszenarien es gibt. Zum Einen möchten die Hijacker das Konto selbst benutzen, um das Guthaben des Kontos, sei es durch Verkäufe von Waren, die bereits im Lagerbestand sind oder durch Verkäufe von neu hinzugefügten (hochpreisigen) Artikeln, auf das eigene Konto umzuleiten. Zum Anderen soll einem Händlerkonto gezielt geschadet werden. Dieses Szenario ist aber eher selten, denn um gezielt ein Konto anzugreifen, braucht man mehr als ein paar Phishing-Mails.

Üblicherweise liegt das Bankkonto des Hijackers im Ausland. Amazon hat mehrere Sicherheitsvorkehrungen getroffen, auf die ich im Detail nicht eingehen werden, um Angreifern nicht noch wertvolle Informationen zu liefern. Jedenfalls ist es nicht mehr so einfach ein weiteres Bankkonto zu hinterlegen, es sei denn man hat vollständigen Zugriff auf den PC des Opfers, denn dann kann man 2FA umgehen. Auch hier werde ich keine Details nennen. Es sollte nur klar sein, dass ein Rechner, der von einem Trojanischem Pferd (Anm: Das Trojanische Pferd diente dazu, in Troja einzudringen, also die Trojaner anzugreifen bzw. zu infiltrieren. Der Ausdruck Trojaner als Angreifer ist also schlichtweg falsch.) befallen ist, sofort vom Netz zu nehmen ist.

Es kommt leider noch schlimmer: moderne Trojanische Pferde können sich sehr einfach über Netzwerke verbreiten. Wer also denkt, er habe den Schädling bekämpft, indem er einen Virenscanner benutzt hat oder sogar diesen einen Rechner neu installiert hat, der irrt. Sobald dieser Rechner an einem verseuchten Netzwerk hängt, ist er in kürzester Zeit neu befallen. Wen es interessiert, der kann sich bei YouTube sehr viele Beispielvideos dazu anschauen.

Wie kann man sich vor einem Hack schützen?

Zunächst einmal sollte man sich bewusst machen, dass Virenscanner nicht funktionieren. Egal von welcher Firma. Diese funktionieren immer nur dann, wenn ein Virus bekannt geworden ist, man diesen also in eine Datenbank einpflegt. Bis das passiert ist, gibt es längst viele tausend Opfer. Ich möchte nicht davon abraten, überhaupt einen Scanner zu benutzen. Das wäre Quatsch, denn vor vielen Bedrohungen schützt solch ein Virenscanner schon aber eben nicht vor allen und schon gar nicht vor den spezieller Schadsoftware, die Seller-Accounts angreifen soll.

Jeder der Teamviewer schonmal benutzt hat, kann sich vorstellen, wie moderne Schadsoftware funktioniert. Der Angreifer kann tun und lassen, was er will, mit dem Unterschied, dass das Opfer davon nichts mitbekommt.

Es ist daher ratsam den Zugang zum Selleraccount auf einem Rechner anzulegen, der nur dafür benutzt werden darf, sich dort einzuloggen. Auf diesem Rechner dürfen keine Mails abgerufen werden und surfen ist strikt verboten. Das kann man ja aber auch von anderen Rechnern tun. Um noch eine extra Portion Sicherheit ins Spiel zu bringen, hängt dieser Rechner nicht am Netzwerk, also nicht am Router bzw. Switch der normalen Internetleitung. Hierfür eignet sich ein eigener LTE-Anschluss, ein Pocket Modem, ein Surfstick oder Ähnliches.

Zusätzlich sollte man die Mail zum Einloggen nicht für Kontaktanfragen für Kunden benutzen (Beispiel: info@deinedomain.de) sondern eine kryptische, schwer zu erratende Folge von Buchstaben und/oder Zahlen sein.

Mit diesem Account legt man nun Nutzer mit verschiedenen Rechten an. Soll ein Mitarbeiter Artikel einstellen? Dann reicht für ihn ein Konto mit eingeschränkten Rechten. Soll Werbung geschaltet werden? Auch dann reicht ein solches Konto. Kritisch wird es, wenn Mitarbeiter über Geld verfügen können, also z.B. Abbuchungen oder Erstattungen vornehmen. Auch hier sollte man auf die obig genannte Variante eines abgeschotteten PCs nutzen.

Es sollte klar sein, dass 2FA ein absolutes MUSS ist. Wenn Du es noch nicht eingeschaltet hast, dann hole es bald nach. Hier ist der Link dazu: https://www.amazon.de/a/settings/approval.

Klicke niemals beim Einloggen das Kästchen an “In diesem Browser zukünftig keine Codes verlangen”. Verbiete diese Option auch Deinen Mitarbeitern per schriftlicher Arbeitsanweisung, die Dir unterschrieben vorliegen muss. Ein Mitarbeiter kann Dir hier gezielt Schaden, wenn Du dies nicht tust.

Es wirkt auf den ersten Blick sehr anstrengend und aufwändig und wie Studien zeigen, ist beim Menschen die Angst vor Veränderung größer als die Angst vor dem Tod. Man sollte sich jedoch klar machen, dass es hier um das hart erarbeitete Geld geht. Rechne Dir aus, was ein, zwei oder drei Tage offline für Dich bedeuten. Ich gehe davon aus, dass es Dir nicht egal ist. Von daher sollte der Tag Arbeit mit dem Sichern des eigenen Betriebs ein absolutes MUSS sein. Du sicherst ja auch Deine Warenbestände mit Schloss und Riegel, wieso solltest Du virtuellen Angreifern, die Dir echten Schaden zufügen, einfach so zur Tür hereinbitten?

Nutze Flat Files für Deine Angebote. Wenn Du die Artikel über die Sellercentral einstellst, hast Du kein Backup. Was geändert oder gelöscht wurde, ist weg. Nutze daher am besten immer die Lagerbestandsdateien, die Amazon anbietet. Wenn Du bereits viele Angebote hast und dafür gerne Flat Files hättest, kannst Du beim Verkäuferservice sog. “Reverse Flat Files” beantragen. Nach ein, zwei Tagen werden diese für den bestehenden Lagerbestand angeboten. Eine Anleitung folgt per Mail von Amazon. Lade diese Datei sofort herunter, denn nach einer Woche wird diese Funktion wieder deaktiviert. Diese Dateien sind zwar TXT-Dateien, beinhalten aber fast alle Daten, die in eine Flat File gehören. Natürlich sind dort keine Bilderlinks hinterlegt. Diese musst Du händisch nachtragen.

Benutzt Du bis jetzt keine Flat Files, dann hole dies so schnell wie möglich nach. 

Die Lagerbestandsdateien (Flat Files) findest Du hier:

https://sellercentral.amazon.de/gp/help/help.html/?itemID=G1641&ref_=xx_G1641_a_r0_cont_sgsearch

Was kann man tun, wenn man gehackt worden ist?

Oft ist der Schreck groß. Man kommt nicht in die Sellercentral, die Umsätze sind bei 0 Euro oder man findet bei Amazon plötzlich völlig andere Artikel unter seinem Verkäuferaccount. Als erstes sollte man Ruhe bewahren, denn nur dann kann man richtige Entscheidungen treffen.

Zunächst lässt man sich das Passwort zurücksetzen und zwar am besten per hinterlegtem Handy. Das geht hier:

https://www.amazon.de/gp/help/customer/display.html?nodeId=201945330

Man kann davon ausgehen, dass der Rechner, an dem man sich täglich einloggt, nicht mehr sicher ist. Sobald Du also ein neues Passwort auf diesem Rechner wählst, wird dieses vermutlich per Keylogger bereits an den Angreifer übertragen. Wähle also am besten einen völlig anderen, neuen Rechner aus (z.B. Laptop des Ehepartners, iPad des Freundes o.ä.) aus und lasse ein neues Passwort zuschicken. Mit diesem Passwort kommst Du wieder in die Sellercentral. Gehe dort als erstes in die Sicherheitseinstellungen auf https://www.amazon.de/a/settings/approval und entferne dort ALLE Handynummern oder Apps. Als wir gehackt wurden, waren statt drei Apps plötzlich neun hinterlegt. Der Angreifer hatte also gezielt eigene Apps hinterlegt, mit denen er sich problemlos einloggen konnte.

Füge nun eine App hinzu, am besten nur von Deinem Handy. Auch hier rate ich zur Vorsicht. Ist Dein Handy infiltriert, kann es wieder passieren, dass diese Schutzfunktion versagt. Am besten nimmst Du ein völlig neues Smartphone (z.B. das Deines Partners, des Freundes o.ä.) und installierst dort 2FA.

Lösche die Bankverbindungen, wenn nicht bereits durch Amazon getan. Entferne alle hinterlegten Kreditkarten. Tue dies auch in Deinem Käuferaccount unter amazon.de. Logge Dich dort einfach mit den Zugangsdaten des Verkäuferaccounts ein. Zu jedem Verkäuferaccount gehört auch ein Käuferaccount. Stelle also sicher, dass dort auch alle Kreditkarten und Bankkonten entfernt sind. Es kann nämlich vorkommen, dass dort andere Karten angezeigt werden als im Verkäuferaccount. Das habe ich selbst bereits mehrfach festgestellt.

Wenn Du Glück hast, sind Deine Angebote nur deaktiviert über die globalen Einstellungen. Siehe also nach dem Rechten, ob alle Angebote noch vorhanden sind. Lösche Angebote, die nicht Dir gehören. Aktualisiere die Preise usw. bis der ordentliche Zustand wieder hergestellt ist. Hast Du den obigen Ratschlag befolgt und hast Flat Files, dann geht es meistens sehr viel schneller.

Aktiviere Deine Angebote hier: https://sellercentral.amazon.de/hz/account-info/vacation-settings?ref_=macs_gvacatn_cont_acinfohm

Sind Deine Angebote durch Amazon gesperrt und nicht nur deaktiviert, musst Du eventuell einen Maßnahmeplan erstellen. Dieser sollte ganz klare, einfach strukturierte Sätze enthalten, wie z.B.

  • Warum dieser Maßnahmeplan erstellt werden muss: Das Konto wurde infiltriert durch eine fremde Person
  • Was für Gegenmaßnahmen man ergriffen hat: Die obigen Tipps beschreiben
  • Was man getan hat, damit dies in Zukunft vermieden wird: Auch hier die obigen Tipps beschreiben

Lies Dir in jedem Fall die Anweisungen des Maßnahmeplans durch und beantworte JEDE Frage klar und deutlich. Den Mitarbeitern ist es egal, wie schlimm das Ganze ist und was jetzt alles passiert. Es geht um ganz konkrete Anweisungen. Wer diese befolgt, ist sehr viel schneller wieder im Besitz seines Kontos. Der Mitarbeiter ist angewiesen, nicht auf Emotionen zu reagieren, sondern auf Fakten. Es nützt nichts, wenn Du beschreibst, dass Du jetzt insolvent gehen wirst, wenn nicht bald schnell der Account wieder frei ist. Es hilft, wenn Du Dich in die Lage von Amazon versetzt. Amazon möchte keine gehackten Konten haben. Diese schaden Kunden. Kunden sind das Wichtigste für Amazon. Hast Du also dafür gesorgt, dass alles wieder sicher ist, erhältst Du auch das Konto zurück.

Was denkst Du wird Amazon mit einem Händlerkonto tun, dass regelmäßig gehackt wird, weil der Besitzer einfach keine oder schlechte Sicherheitsvorkehrungen trifft? Wenn Du die Antwort weißt, wirst Du die richtige Entscheidung treffen.

Spezialtipp von Grötzi: Lege einen weiteren Benutzer mit vollem Zugriff an. Du solltest hier logischerweise eine Vertrauensperson wählen. Sollte Dir etwas zustoßen oder Du anderweitig verhindert sein, kann die zweite Person das Ruder übernehmen. Nicht umsonst fliegen Prince Harry und Prince William immer getrennt.

Ich hoffe, dass Dir dieser Guide dem ein oder anderen Rockstar geholfen hat. In diesem Sinne: happy selling!

PS: Ihr wisst, wie es geht. Bitte hinterlasst mir eine Bewertung und/oder Kommentar 😀

Bildnachweise:

  • Code Editor von Pexels – Pixabay
  • Hacker Cyber Kriminalität von TheDigitalArtist – Pixabay
  • Hacken Cyber schwarzweiss von iAmMrRob – Pixabay
  • Anonym Hacktivisten Hacker INternet von TheDigitalArtist – Pixabay
  • Vorhängeschloss gesperrt alte von jarmoluk – Pixabay
  • Amazon-Logo © von Amazon Inc.

Edit: Rechtschreibfehler entfernt und Bilder hinzugefügt

Du möchtest immer auf dem neusten Stand sein? Dann abonniere den Newsletter.

Nächste Einträge »

Kategorien

  • alle Beiträge
  • amazon
  • Business
  • Community
  • ebay
  • Jobs
  • Marketing
  • Marktplätze
  • News
  • Onlinehandel
  • Onlineshop
  • Social Media
  • Tipps
  • Veranstaltungen
  • Videos

Neue Beiträge

  • Promitreff und alle machen mit (siehe Video) – Charity Auktion für skate-aid
  • Interview zu den eBay Open Deutschland am 16. & 17.09.2019 in Berlin – Oliver Klinck & Michael Atug
  • Michael Atug auf Tuchfühlung mit den zwei Köpfen von Ankerkraut
  • Michael Atug zu Gast bei ROSE Bikes: Erfolgreiches Multichannel-Retail-Konzept
  • E-Commerce Marke verkaufen – 10 Dinge die man wissen sollte

Neue Kommentare

  • Daniel bei Von 0 auf 1000 – Dann Ende – Und jetzt?
  • Tobias Stephan bei Net&Work 2019 Recap
  • Danuta bei Net&Work 2019 Recap
  • Michael Gahn bei Net&Work 2019 Recap
  • Tobias Stephan bei Amazon Gefahrgutprüfung FBA

Archive

  • November 2019
  • August 2019
  • Juli 2019
  • Mai 2019
  • April 2019
  • März 2019
  • Februar 2019
  • Januar 2019
  • Dezember 2018
  • November 2018
  • Oktober 2018
  • August 2018
  • Datenschutzerklärung
  • Impressum
  • Newsletter
  • Facebook
  • RSS
powered by: Michael Atug | supported by: Michael Gahn Design