IP Pool dreckig: Paypal login geht nicht, Endlos captchas etc. erst nach neuverbinden

Hallo ​@GeF ,

auch wenn es sicherlich schwerfällt, versuche erst einmal die Ruhe zu bewahren. 

Als Erstes:

Bevor Du irgendetwas änderst, mache gar nichts. Es könnte sein, dass Du ein DNS-Highjacking Opfer bist. 

Besuche bitte mal diese Seite:

https://whoismydns.com/

Bei mir als Ergebnis kommt das raus:

Ein Hinweis ist rechts, also RIPE, dass alles in Ordnung ist.

Sollte sich mein Verdacht bestätigen, dann lösche sämtliche DNS-Caches. Bei Routern und Spiele-Konsolen einfach im eingeschalteten Zustand den Stecker ziehen und eine Minute stromlos lassen, bis sich sämtliche (Elektrolyt)Kondensatoren endgültig entladen haben.

Solltest Du ein Handy als Hotspot nutzen, dann schaue bitte nach, wie man beim Handy den DNS-Cache leert.

Wenn Du Windows nutzt, dann öffne ein sog. DOS-Fenster (Terminal) und gebe dort folgendes ein:

ipconfig /flushdns

Danach Router oder was auch immer neu starten.

Ist aber nur ins Blaue geraten. Nur bitte keine Daten weitergeben/updaten, bzw. sich nicht kirre machen lassen.

Wird VPN genutzt?

​@GeF 

Natürlich bin ich verärgert, 40€ im monat und dann bekommt man sowas geliefert. 

Ich habe das problem ja nicht jeden tag, meine Ip ändert sich alle 24std gegen halb 5 morgends.

Der letzte vorfall war heute und vor 3 tagen. Das kam aber in letzter zeit immer häufiger vor.

Dein vorschlag verschleiert aber das problem:

“

…..Danach Router oder was auch immer neu starten.

”

Das behebt das problem aber auch direkt, da dann eine neue IP angefordert wird….

Ob den DNS cache leeren was brachte, sieht man danach nicht mehr…

Und selbst wenn es DNS highjacking wäre, dann wäre der fehler auf den PC beschränkt, nicht auf alle geräte die teilweise unterschiedliche DNS nutzen.

An meinem PC hab ich die 8.8.8.8 Cloudflare DNS eingetragen (wegen der selbstjustiz der CUII welche nach eigenem ermessen adressen einfach sperren kann.),

am laptop ist noch der google DNS eingetragen, 1.1.1.1

Am handy wenn ich per WLAN drinn bin, ist der standart dns drinn den mir o2 zuweißt, RIPE laut whoismydns.

Als quick-fix:

Ich habe mir jetzt ein programm per KI schreiben lassen welches beim Start vom PC abfrägt welche IP ich habe, diese dann auf scamalytics.com auf den “Fraud Score” prüft, wenn dieser über 25 liegt bekomm ich eine warnmeldung dass ich die ip ändern soll.

Welchen score ich vorhin hatte als das problem auftrat wusste ich nicht.

Aktuell nach dem wechsel habe ich ein score von 13, was anscheinend im grünen bereich ist.

Das eigentliche problem ist damit aber nicht behoben, und zwar dass ich von o2 IP adressen aus dem pool bekomme mit denen unfug getrieben wurde und auf etlichen blacklisten auftauchen. 

und nein, ich nutze kein VPN

​@GeF 

Ich bitte mehrmals um Entschuldigung. Wie erwähnt, es war mein erster Verdacht.

Ich hoffe, es findet sich eine Lösung für Dein Problem.

Keine Panik! Manches klärt sich ganz einfach!

Paypal hatte auch bei mir in letzer Zeit sehr merkwürdige Effekte. Das hängt mit deren übermäßig übergriffigen Methoden zusammen. Wenn man seinen PC “sauber” hält, dann greift deren Fingerprinting nicht und man wird als Gauner angesehen. 

Dieses Fingerprinting (Ausspähen!!!) funktioniert an jedem Smartphone einfacher und man bekommt mehr Daten bis hin zur Mobilnr. erfasst. Würde man sich dann mit rumänischem Handy auf ein deutsches Paypal-Konto anmelden wollen, dann wäre dieses bestimmt erstmal gesperrt. 

Saubere IPs gibt es nicht, da oft ganze Bereiche als unsicher angesehen werden. Und nicht der Netzwerkprovider ist Schuld, sondern wenn jemand Betrugsmanöver aus einem Segment versucht, dann ist das ganze Segment kompromitiert. Das kann kein Provider überwachen!

Hmm mag sein dass es hier unsaubere Pools gibt, wie schon von anderen gesagt auch weil der Provider nicht “einfach” alle seine Kunden überwachen kann (und es auch nicht sollte...)

Bestimmte Sachen können trotzdem ja angeschaut werden:

• Der ISP könnte “sicheres BGP” umsetzen, das verhindert zumindest das Routen-Hijacking.
• Du könntest z.B. deine DNS Konfiguration im Router zentralisieren und z.B. DNS over TLS aktivieren. Mein Favorit ist hier DNS0, andere unterstützen das auch (nur deine Beispiele sind in dem Fall US-Amerikanische Dienste).
• Du könntest sicherstellen dass Dual Stack bzw. IPv6 funktional ist, Dienste die über IPv6 verfügbar sind werden dann über IPv6 auch aufgerufen. IPv6 Präfixe sind afaik “sauberer” bisher.

Mehr fällt mir jetzt sonst nicht ein, was hier noch nicht geschrieben wurde. Wohlgemerkt, nur letzteres hat allerdings direkt mit deinem Problem zu tun, der rest ist eher entweder “nice to have” wenn man sich verkünsteln möchte, oder etwas was der Internet Service Provider (ISP) selbst umsetzen muss.

Hallo ​@GeF, willkommen hier in unserer o2 Community:-)

Spannende Sache, ist mir bisher noch nicht untergekommen, so eine Paypal-Meldung.

Sofern du sicher bist, dass es auf jeden Fall die Paypal-Seite ist, hast du dein Passwort denn schon geändert? Eventuell gab es mal wieder was größeres, wo Adressen und Passwörter… äh… “kreativ vom Nutzer beschafft” wurden. Schau mal nach, ob da zum Beispiel der Identity Leak Checker vom Hasso Plattner Institut oder HaveIBeenPwned da etwas ausspuckt, vielleicht nutzt ja auch Paypal auch eine ähnliche Abfrage, hat deine Mail-Adresse gefunden und empfiehlt deshalb ein neues Passwort? Und ist eventuell daher etwas… uh… “picky”, was die IP-Adressen angeht?

Ansonsten ist es bei dynamischen IP-Adressen wie bei einer Pralinenschachtel, um mal einen abgedroschenen Vergleich herbei zu zerren, man weiß nie, was man bekommt. Eventuell wurde von dieser IP-Adresse etwas betrieben, was als dubios interpretiert wird, vielleicht sogar ohne Wissen des Nutzers.

Eine Beeinflussung des genutzten IP Pools ist von unserer Seite aus jedoch leider nicht möglich :-/

Gruß,
Lars

Die verwendete email ist auf keiner der seiten als kompromitiert gekennzeichnet.

Und ja, es war definitiv die echte paypal seite.  Sonst würde es ja auch nicht in der android app auftreten. 

Zumal bei einem loginversuch ein 2FA kommen würde.

Ich probiere meine lösung mit dem programm noch ein paar tage aus und gebe bescheid ob es da eine korrelation gibt zwischen scamalytics fraud score und dem login/captcha problem.

Moin,

übrigens:

• 8.8.8.8 = Google
• 1.1.1.1 = Cloudflare

Das habe ich eigentlich nur wenn ich mal im Porno Modus Paypal geöffnet habe. 

Da die IP Adressblöcke für IPv4 quasi ausverkauft sind, wird O2 auch kaum mal eben neue dazu kaufen….

​@schluej 

Stimmt auffällig. Sollte hier tatsächlich eine Verwechslung vorherrschen, wäre das Notebook sicher, der PC aber eventuell nicht…

;)

Der DNS Server spielt eigentlich keine Rolle, wenn er die richtige IP liefert.

Ich nutze meinen eigenen DNS Server, Primär kenne ich das Problem nur vom Firmen Netzwerk wenn man die Pizza bestellen will. Da kann ich die IP aber nicht ändern. Da hilft mir das löschen der Kekse.

Hallo Zusammen, ​@GeF, danke für dein Engagement und deine gründliche Rückmeldung😌. 

Wenn du weiter testest, halte uns gern auf dem Laufenden.

LG, Senay