Hilfe - ich wurde gehacked!

Fragrant · 27. April 2024 um 17:39

Hallo zusammen,

ich verfolge dieses Forum schon seit einiger Zeit mit Interesse und habe mir dank euch auch schon einige Schutzmaßnahmen zu eigen gemacht. Jetzt ist mir (in chronologischer Reihenfolge) folgendes passiert:

Ich erhielt eines nachts mehrere Benachrichtigungen über erfolglose Anmeldungen an meinem Microsoft-Konto, das ich hauptsächlich nur für meine Authenticator-App nutze (wohl dank VPN aus allen Teilen der Welt). Eine Anmeldung (ebenfalls nicht durch mich durchgeführt) war offenbar erfolgreich.
Kurz danach erhielt ich eine E-Mail (augenscheinlich von mir selbst versendet) mit dem Betreff „Alarm! Ich habe dich gehackt und deine Informationen und Fotos gestohlen“ mit einem allgemein bekannten Inhalt (Zahlung an Bitcoin-Adresse, sonst würden intime Informationen veröffentlicht). Bis vor einigen Jahren vor dem Wechsel meiner E-Mail-Adresse hatte ich schon einmal eine solche Spam-Mail erhalten. Der Unterschied diesmal ist, dass meine E-Mail-Adresse und auch das zutreffende(!) Passwort darin genannt werden.
Im Folgenden erhalte ich bisher unzählige Nachrichten über gescheiterte Anmeldeversuche mit meiner E-Mail-Adresse von Diensten, bei denen ich gar nicht registriert bin (Tinder, Supercell usw.).
Ein von mir abonnierter Dienst hat mich soeben darüber informiert, dass die Kombination aus E-Mail und Passwort im Darknet aufgetaucht ist.

Noch zwei Anmerkungen: Meine E-Mail-Adresse habe ich bei einem kleinen Anbieter (nicht etwa GMAIL, GMX und Co.). Mein dort verwendetes Passwort ist einmalig, habe ich also ausschließlich für den E-Mail-Anbieter verwendet. Für das Microsoft-Konto habe ich ein abgewandeltes Kennwort genutzt. Beide Kennwörter habe ich natürlich unverzüglich geändert.

Nun meine Fragen: Die Spam-Mail kann angesichts der ganzen, quasi gleichzeitigen Aktivitäten doch kein Zufall gewesen sein, oder? Sind da erfahrungsgemäß Bots oder bereits echte Menschen am Werk? Wie kann so etwas passieren? Beim gleichzeitigen Zugriff auf Authenticator (Zwei-Faktor) und E-Mail-Postfach durch eine dritte Person habe ich ja ein erhebliches Problem. Die Kombination aus E-Mail und Passwort war ausschließlich in der Mail-App auf meinem iPhone gespeichert. Können das Dritte auslesen?

Vielen Dank im Voraus und einen schönen Abend
Ein Fragrant

Krone · 27. April 2024 um 19:37

Es wäre zumindest ein sehr seltsamer Zufall da ja anscheinend dein korrektes Passwort in der mail genannt wurde.

Normalerweise werden Leute nicht einfach so gehackt, ich würde mir also Gedanken machen was da genau passiert sein könnte. Schwaches Passwort? Evtl. Schadsoftware auf dem System?

audofriemler · 27. April 2024 um 19:48

Ist irgend wann einmal ein Login von irgend einem fremden Rechner erfolgt?

Welche Apps sind auf Deinem I-Phone installiert?

Logst Du Dich nur auf dem I-Pone ein oder hast Du auch ein zweites Gerät?

Fragrant · 27. April 2024 um 20:03

Daher rührt mein Beitrag.

Auf dem PC kann ich es sehr sicher ausschließen. Hinsichtlich des iPhones habe ich bisher die Annahme vertreten, dass so etwas - wenn man up-to-date ist - nicht passieren kann.

Es war vielleicht nicht das stärkste. Quasi zeitgleich wurde ja aber auch das abgewandelte Microsoft-Passwort geknackt.

Die gehörten alle mir und niemals wurden Zugangsdaten im Browser gespeichert.

In die Authenticator-App (mit Windows-Passwort) nur auf dem iPhone. In das E-Mail-Postfach (mit abgewandeltem Passwort) von mehreren Geräten aus.

Ich kann die E-Mail gerne einmal zitieren:

Liebe(r) [meine E-Mail-Adresse],
Es tut mir leid, Ihnen mitteilen zu mussen, dass es zu einem Sicherheitsversto? bezuglich der Gerate gekommen ist, die Sie zum Surfen im Internet verwenden.
Vor einigen Monaten wurde auf diese Gerate unbefugt zugegriffen, was es mir ermoglichte, Ihre Internetaktivitaten zu uberwachen. Kurzlich ist es mir gelungen, Ihre E-Mail-Konten zu hacken, einschlie?lich Ihres Passworts: [mein korrektes Passwort].
Zudem wurde auf allen Geraten, die Sie zum Zugriff auf Ihre E-Mails verwenden, ein Trojaner installiert. Dies war moglich, weil Sie auf Links in E-Mails in Ihrem Posteingang geklickt haben, was meinen Einbruch in Ihre Systeme erleichtert hat. Uber diese schadliche Software habe ich Zugriff auf verschiedene Funktionen Ihrer Gerate erlangt, wie Mikrofon, Videokamera und Tastatur. Daruber hinaus habe ich Ihre personlichen Informationen, Daten, Fotos und Browserverlauf auf meinen Servern extrahiert und gespeichert. Au?erdem hatte ich Zugriff auf Ihre Nachrichten, sozialen Netzwerke, E-Mails, Chatverlauf und Kontaktliste.
Um unentdeckt zu bleiben, aktualisiert mein Virus standig seine Signaturen, was ihn fur Antivirensoftware unsichtbar macht.
Wahrend meiner Untersuchung habe ich festgestellt, dass Sie regelma?ig Websites fur Erwachsene besuchen und explizite Inhalte ansehen. Es ist mir gelungen, Ihre intimen Momente aufzuzeichnen und eine Montage zu erstellen, die sie zeigt. Wenn Sie an der Authentizitat meiner Aussagen zweifeln, kann ich diese Videos problemlos mit Ihren Freunden, Kollegen und Familienmitgliedern teilen oder sogar offentlich zuganglich machen.
Ich bin uberzeugt, dass es in Ihrem Interesse liegt, die Offenlegung dieser Informationen zu verhindern, angesichts der moglichen Konsequenzen. Daher schlage ich folgende Losung vor: Uberweisung von $500 USD auf meine Bitcoin-Brieftasche (Details unten), basierend auf dem Wechselkurs zum Zeitpunkt der Transaktion. Nach Abschluss der Uberweisung werden alle kompromittierenden Informationen sofort geloscht. Danach werde ich die schadliche Software von Ihren Geraten deaktivieren und entfernen.
Sie konnen darauf vertrauen, dass ich meinen Teil der Vereinbarung einhalten werde.
Bitcoin-Brieftasche: [Bitcoin-Adresse]
Du hast 48 Stunden Zeit. Sobald du diese E-Mail offnest, erhalte ich eine Benachrichtigung, und von diesem Moment an beginnt der Countdown.
Wenn du noch nie mit Kryptowahrungen zu tun hattest, ist es ganz einfach. Gib einfach „cryptocurrency exchange“ in eine Suchmaschine ein, und schon kann es losgehen.
Bitte unterlassen Sie die folgenden Ma?nahmen:
Antworten Sie nicht auf diese E-Mail, da sie in Ihrem Posteingang erstellt wurde und die Absenderadresse enthalt.
Kontaktieren Sie nicht die Polizei oder andere Sicherheitsdienste. Die Diskussion dieser Situation mit Freunden konnte zur sofortigen Veroffentlichung der Videos fuhren.
Versuchen Sie nicht, mich zu identifizieren. Alle Kryptowahrungstransaktionen sind anonym.
Installieren Sie nicht das Betriebssystem neu oder entsorgen Sie die Gerate, da die Videos bereits auf entfernten Servern gespeichert sind.
Machen Sie sich keine Sorgen uber Folgendes:
Den Erhalt Ihrer Gelduberweisung. Mein bosartiges Programm uberwacht standig Ihre Aktionen.
Die Verbreitung Ihrer Videos nach Abschluss der Gelduberweisung. Ich habe nicht vor, Ihr Leben weiter zu komplizieren.
Zu guter Letzt empfehle ich Ihnen dringend, ahnliche Situationen in Zukunft zu vermeiden. Andern Sie regelma?ig alle Ihre Passworter, um die Online-Sicherheit zu verbessern.

Figorino · 27. April 2024 um 20:28

Diese Email habe ich genau so schon öfters gelesen bei bekannten oder anderen Personen. Das ist einfach nur scam und soll die Menschen verunsichern und Angst erzeugen. Ohne viel Background wissen von dir zu haben, gehe ich aus, dass deine Email irgendwo geleakt worden ist und beim Datenbroker oder darknet gelandet ist und Kriminelle diese Datensätze nutzen, um automatisierte Emails zu senden in der Hoffnung, dass jemand drauf rein fällt. Einfach ignorieren und überlegen ob du nicht einen neuen Email account erstellen willst, bei einem seriösen Anbieter wie mailbox.org, tutamail oder proton als Beispiel.

Fragrant · 27. April 2024 um 21:49

Einfach ignorieren und überlegen ob du nicht einen neuen Email account erstellen willst, bei einem seriösen Anbieter wie mailbox.org, tutamail oder proton als Beispiel.

Mein Anbieter ist eigentlich relativ exklusiv und teuer. Außerdem wurde ja auf ein weiteres Konto (Microsoft) mit anderem Passwort zugegriffen. Wie ich oben schrieb, weiß ich ja, dass es eine typische Scam-Mail ist. Allerdings ist der zeitliche Zusammenhang doch bemerkenswert.

samsy · 27. April 2024 um 22:10

Ich weiß das gehört eigentlich als erstes überprüft, aber da es noch nicht erwähnt wurde…

https://haveibeenpwned.com/

tobi872 · 28. April 2024 um 05:18

Darf man fragen um welchen Mail Anbieter es sich handelt.

Elijahu · 28. April 2024 um 07:20

Derartige Spams kenne ich bislang nur aus Bluff-Erpressungen aus meinem Spameingang, teilweise auch über reine Honigtopfadressen, also als Schrotmunition versendet, weil es bei dem einen oder anderen schon passen wird. Etliche Formulierungen in der Mail sind genau aus solchen Spams übernommen. Ich habe darin auch einmal erlebt, dass mir eines meiner Passwörter genannt wurde, um mich einzuschüchtern. Dieses Passwort stammte in meinem Fall aus einem gehackten Webforum.

Nicht, dass ich beruhigen will, aber ein Blick auf anderer derartige Erpressungen kann hoffentlich schon einmal ein bisschen Druck herausnehmen. Es ist unwahrscheinlich, dass ein echter Erpresser, der wirklich etwas in der Hand hat, ausgerechnet Texte verwendet, die sich mit einer naheliegenden Websuche finden lassen und dort durchgehend als ein Fake aus der Spam bezeichnet werden.

Mein Tipp: Das iPhone könnte gepwnt worden sein und ein paar Passwörter rausgegeben haben. Oder der E-Mail-Provider ist ein weiteres deprimierendes Beispiel für das geworden, was ich öfter mal zynisch als »Industriestandard des Datenschutzes« bezeichne.

anon60135037 · 28. April 2024 um 08:26

Ob die mail Adresse gehackt wurde kann man leicht hier überprüfen: https://sec.hpi.de/ilc/

porcupine0815 · 28. April 2024 um 09:29

Deine Punkte 3 und 4 deuten für mich stark auf (vermutlich erfolgreiches) Credential Stuffing hin. Kann es sein, daß du die gleiche Benutzername/Passwort Kombo für verschiedene Dienste nutzt?

Chief1945 · 28. April 2024 um 21:13

Dem würde ich an deiner Stelle nicht weiter nachgehen, wenn dein iPhone up-to-date war. iPhones werden nicht mal einfach so gehackt. Die sind heutzutage sehr sicher. Das ginge schon Richtung State-Level-Angriffe. Und warum sollen die dir dann eine Nachricht mit Zugangsdaten schicken? Macht absolut keinen Sinn.

Warum bist du dir da so sicher?

Keinen Passwortmanager verwendet? Wie sicher waren denn die Passwörter? Sonst noch irgendwo verwendet?

teil · 29. April 2024 um 00:08

Um die E-Mail besser einschätzen zu können, wäre der E-Mail-Header interessant. Klingt auf den ersten Blick wie bereits gesagt nach Scam.

Beabel · 29. April 2024 um 04:36

Egal, wo man seine E-Mail-Adresse hat, das hat keinen Einfluss auf ein mögliches Ausspähen von Accountdaten. Es reicht, dass es bei einem unsicheren Übertragungsweg einmal abgegriffen wurde.
Bei dem Microsoft-Konto kenne ich mich nicht aus, frage ich aber, wieso Du hinsichtlich Authenticator-App von „zweitem Faktor“ sprichst. Bei einer 2FA sollte eine erfolgreiche Anmeldung nicht so einfach möglich sein (?).

Im Übrigen ist auch ein IPhone nicht sicher vor Sicherheitslücken, z.B. siehe hier:
https://www.heise.de/news/Sicherheitsfixes-Apple-aktualisiert-aeltere-Systeme-und-raeumt-Zero-Days-ein-9605294.html

Crey · 29. April 2024 um 06:00

Die E-Mail ist schon sehr allgemein gehalten.
Man habe auf mehrere Links geklickt.
Dadurch sei es leichter gewesen zu hacken ect.

Ich würde mir einen Passwortmanager besorgen alle Passwörter ändern, so gibt es nur lange Passwörter und vor allen keine abgewandelten.

Dann ist es nicht so tragisch wenn mal eins geleakt wird.

Ruhe bewahren, abwarten und Tee trinken.

Chief1945 · 29. April 2024 um 11:46

Was ist das denn für ein Argument? Jede Software hat Sicherheitslücken. Die Frage ist, wie aufwendig es ist Bugs auszunutzen (Exploit-Mitigations), ob der Schaden isoliert ist (Sandboxing), ob wichtige Geheimnisse extra geschützt werden (Secure Element), wie schwer es ist überhaupt ins System zu gelangen (Store-, Supply-Chain-, App-, Browser-Sicherheit, Social Engineering, …) und wie schwer es ist persistent zu sein (Verified Boot). Für einen iPhone Full-System-Compromise müssen in der Regel 4+ passende Zero-Days zusammengefügt werden. Hier kannst du ein Gefühl für die Komplexität bekommen und aktuelle Preise. Und das soll jemand verwenden, nur um dir Zugangsdaten zu einem Account per E-Mail zu schicken und dabei riskieren eine Millionen-teure Attack-Chain auffliegen zu lassen?

Farid · 1. Mai 2024 um 12:16

Hallo,

Ich habe die gleiche E-Mail wie Sie erhalten und bin besorgt. Was ist nach den 48 Stunden passiert?

Mit freundlichen Grüßen,

Fragrant · 1. Mai 2024 um 13:49

From [meine E-Mail-Adresse]
Subject Alarm! Ich habe dich gehackt und deine Informationen und Fotos gestohlen.
Date Sat, 30 Apr 2033 14:13:23 +0000
To [meine E-Mail-Adresse]
Received from domain.com (unknown [1.1.1.1]) by imf08.b.hostedemail.com (Postfix) with ESMTP for <[meine E-Mail-Adresse]>; Sat, 30 Apr 2033 14:13:23 +0000 (UTC)
Content-type multipart/related; boundary=„zkm3rbuewtnm9r78z96buask427x66vh“
X-priority 1 (Highest)
X-msmail-priority High
Importance High
X-request-priority High
X-message-flag Flag for follow up
X-follow-up-flag true
Mime-version 1.0

Soweit ich weiß nichts.

NordWest · 1. Mai 2024 um 21:20

Diese Mails gehen täglich zu hundertausenden raus. In der Regel banaler Spam. Wenn Passwörter genannt werden, stammen die in der Regel aus älteren, bereits veröffentlichten Datensätzen aus früheren Hacks irgendwelcher Dienste.

Die genannten Fristen laufen alle ergebnislos ab, da passiert in 99,999999 % nichts weiter.