ich bin hauptsächlich Privatanwender. Trotzdem hat mich das nicht vor einem elaborierten Angriff auf meine Computer bewahrt.
Ich vermute es geht um Doxing und Psychoterror/ Belästigung. Strafanzeige habe ich bereits erstattet. Meine IT enthält vertrauliche Daten, die ich nicht gerne in den Händen von Fremden möchte.
Die Frage, ob es tatsächlich ein Angriff ist beantworte ich sicher mit „Ja“. Es geht darum das Vertrauen in die Sicherheit meiner Systeme (MacBook und Windows 11 Notebook) in Frage zu stellen. Deshalb ist mir bisher auch kein größerer finanzieller Schaden entstanden.
Hier 3 Beispiele am MacBook:
Safari Startseite wurde verändert
[gelöscht]
[gelöscht]
Bei den Punkten 1+2 bin ich mir absolut sicher, dass dafür eine Art Malware verantwortlich ist. Daher meine Fragen:
a) Welche Malware kommt dafür in Frage
b) Wie konnte die Malware auf das MacBook gelangen?
c) Wie kann ich die Aktivität der Malware prüfen?
d) Welche Möglichkeiten gibt es die Malware zu entfernen?
Ich möchte erwähnen, dass ich macOS bereits neu geladen und installiert habe, da ein von Apple empfohlener Reset mir als nicht sicher genug erschien.
Trotzdem bleibt der Zweifel in die Sicherheit meiner Computer und ich frage mich welche Maßnahmen ich noch treffen kann.
a) Ich würde schätzen entweder Spyware (um Anmeldeinformationen abzufangen oder dich zu erpressen), Keylogger, Kryptominer, Ransomware, also irgendetwas womit ein „einfacher“ Cyberkriminelle Geld machen kann. Vielleicht auch gezielte Spionage (nur falls du in einem wichtigen/bekannten Unternehmen arbeitest)
b), es gibt sehr viele Möglichkeiten, ich würde es jetzt mal auf Menschliches Versagen und/oder Exploits beschränken. Da kommt natürlich die klassische Frage, hast du in letzter Zeit verdächtige SMS/E-Mails/… (eine Nachricht die aussieht als wäre sie beim falschen Empfänger gelandet) bekommen oder hast du eine „dubiose“ Website besucht?
c) Eine erhöhte Systembelastung könnte auf Kryptominer oder Ransomware schließen.
Und zu d), wenn du weiterhin bei MacOS bleiben möchtest ist eine Neuinstallation soweit ich weiß die sicherste Möglichkeit die Malware zu entfernen.
Sind für mich jetzt alles keine eindeutigen Zeichen für Malware/Hacking. Auf welche Seite wurde die Startseite denn geändert?
Wie kannst du dir da sicher sein? Waren beide Betriebssysteme betroffen?
Das Beste hast du schon getan: Das Betriebssystem neuzuinstallieren. Wenn du einigermaßen moderne Apple-Hardware hast, die noch Updates bekommt, ist eine Kompromittierung der Firmware äußerst unwahrscheinlich. Also sollte nach einer Neuinstallation des OS alles sauber sein. Das Einzige was passieren kann, ist dass du dich beim Aufspielen deiner Programme und Daten reinifizierst, z.B. indem du auf den gleichen Fishing-Download hereinfällst.
Eine Ransomware die nicht verschlüsselt und ein Keylogger, der keinen finanziellen Schade hinterlässt. Soso
Ein Clean-Install ist bei einem Mac sehr sinnvoll.
Stellt sich nur die die Frage, wie „clean“ Du ihn gemacht hast. Eine Wiederherstellung via TimeMachine ist wenig zielführend, da man sich damit unkontrolliert den Müll wieder zurückholen kann. Also alle Programme und Einstellungen wieder händisch installieren!
Sich die bereits empfohlenen Lösungen von Patrick Wardle mal anzuschauen, ist eine gute Idee. Ansonsten würde ich noch die kostenlose Version von Malwarebytes hin und wieder drüber laufen lassen.
Genau das. Passiert meinem 85 jährigen Vater auch immer wieder auf seinem imac, und der ist eher kein high-priority target für hacker. Da wurde halt auf irgendein popup oder so geclickt, nicht schön aber auch kein drama.
Das alles sind keine Anhaltspunkte, dass es sich um Schadsoftware handelt.
Ich tippe eher auf unbeabsichtigte Änderungen durch den User oder durch kürzlich installierte Software.
Schadsoftware hat das Ziel, Profit zu erzielen, etwa durch Verschlüsselungstrojaner, Keylogger, … Das ändern der Safari Startpage oder das Erscheinen von Spotlight Textfeldern gehören nicht dazu.
Doch, mancher (Schad-)Software geht es nur um Klicks oder Aktivitätsfeststellung, schon der Aufruf einer Seite kann dazugehören, was mit der Einstellung als Startseite fast sichergestellt ist.
@anon
Ja, es geht darum persönliche Daten zu erbeuten und Nein, bisher wurde kein Geld gestohlen. Aber dass kann sich natürlich ändern wenn sich der Staub etwas gelegt hat und man nicht mehr damit rechnet.
Das Problem, dass ich aktuell habe, ist dass ich auf meinem MacBook nur für dienstliches verwende und keine dubiosen Websites in Safari geöffnet habe. Einziger Punkt könnte sein, dass ich ein paar E-Mails ungesehen über IMAP lokal gespeichert habe. Aber selbst dass halte ich für fraglich.
Einzige Idee könnte sein, dass jemand mein Smartphone kompromittiert hat und dadurch im Heimnetz mein MacBook irgendwie infiziert wurde. Aber ist das so einfach möglich? Was könnte sonst noch ein wahrscheinlicher Vektor sein?
@ofon
Ja, kenne ich. Leider konnte es mir nicht helfen. Ich kann mir nicht erklären welche Angriffsvektor verwendet wurde, da ich nicht unbedacht Websites öffne.
@Chief1945
Ich bin mir sicher, dass es ein „Angriff“ ist.
@luposgerus
Wie beschrieben habe ich den Mac nicht nur über die Systemeinstellungen geresetet, sondern die macOS Software aus der Cloud geladen und neu installiert. Trotzdem bleibt ein Beigeschmack und ein Misstrauen.
Was kann ich noch tun um sicher/ nachweislich keine Malware auf meinem System mehr zu haben?
@skalavagr
Gibt es eine Möglichkeit die Integrität des Computers und seiner Firmware zu prüfen?
@strauch_2
Es geht eher darum mich zu stressen, bisher keine Schäden außer an meinen Nerven und entsorgter HDDs.
Was kann ich als einigermaßen sensibilisierter Privatanwender noch tun um ohne professionelle Hilfe die Sicherheit meines Heimnetzes und der verbundenen Computer zu sichern?
Das ist ein sehr unwahrscheinlicher und schwerer Angriffsvektor. Smartphones sind deutlich schwerer mit Malware zu infizieren und vom Smartphone aus ein Macbook im Heimnetz anzugreifen ist noch einmal sehr schwer, wenn keine großen Nutzerfehler in der Konfiguration gemacht wurden.
Dass du selbst auf Malware hereingefallen bist und diese ausgeführt hast. So ist das in den allermeisten Fällen von Malwarebefall. Oder hast du begründeten Verdacht, dass du es mit staatlichen Akteuren zu tun hast?
Ein Browserexploit durch einen Stalker/Doxer/… ist sehr unwahrscheinlich. Dazu müsste er dich erst einmal auf eine von ihm kontrollierte Webseite bringen und eine volle zero-day Browserexploit-Chain haben, die ca. im 7-stelligen Bereich kostet.
Ebenfalls unwahrscheinlich, dass du darüber Malware bekommen hast.
Eine Garantie gibt es nicht.
Welche Hinweise hast du außer den bereits genannten?
Das Neuinstallieren von MacOS sollte schon reichen als Absicherung. Dann musst du noch beim Installieren der Programme aufpassen, dass die alle aus sicheren Quellen kommen. Mehr kannst du nicht tun. Wichtig ist, dass du das alte System nicht über einen Wiederherstellungsmechanismus herstellst, der blind die alten Programme und Einstellungen übernimmt, sondern nur deine Daten wiederherstellt, den Rest machst du händisch und prüfst jedes Programm das du installierst doppelt, ob es sicher ist und aus einer sicheren Quellen stammt.
Passiert immer wieder mal, manchmal auch nur aus Versehen.
Bei einem Angriff wäre meine erste Frage: Auf welche Seite wurde denn die Startseite geändert? Ist es eine Seite, die nie von dir besucht wurde? Ist es eine irgenwie verdächtige Seite? Lässt sich etwas verdächtiges über diese Seite heraus bekommen? Läßt sich nachvollziehen, weshalb gerad diese Seite?
Die Startseite wurde verändert mit meinem Spitznamen und einer Beleidigung. Die selbe Beleidigung wie bei Spotlight.
Deshalb bin ich mir sicher, dass es eine Art Malware ist und ein IT-Profi mit Rachegelüsten.
Welche Art Malware kann dies verursachen und wie kann ich die sicher los werden???
Gibt es für einen Nicht-Profi praktikable Diagnose-Tools?
Wie sieht es bei macOS mit Rootkits aus??
Ich stehe nun vor der Frage den Mac auszumustern, da ich nicht riskieren kann dass bestimmte Daten abfließen. Aber dann sollte ich eine Vorstellung davon haben wie der Angriffsvektor war, damit der Vorfall nicht ein weiteres Mal passiert.
Das wäre vielleicht eine Information die du uns etwas früher hättest mitteilen können.
(Disclaimer: Nicht Böse gemeint)
Besteht dieses Problem immernoch nachdem du das System zurückgesetzt/neu installiert hast?
Hast du vor kurzem ein Programm installiert?
Eine Möglichkeit wäre vielleicht noch, dass eine Datei die du geöffnet hast an der Konfigurationsdatei von Safari herumgespielt hat.
Sofern es sich um einen aktuellen Mac (also einen mit Apple Silicon) handelt, würde ich davon abraten. Wie gesagt MacOS auf einem aktuellen Mac sind so ziemlich die sichersten Geräte (neben Chromebooks mit ChromeOS) im Desktop Bereich.
Ob die Malware persistiert kann ich nicht sagen. Aktuell sehe ich keine Probleme, aber das heißt nicht das die Malware entfernt ist.
Anti-Viren-Programme schlugen nie an.
Bisher wurden die Vorfälle nicht durchgängig beobachtet sondern eher punktuell „aktiviert“.
Ich bitte darum, meine Einschätzung zu folgen, denn ich bin mir diesbezüglich sicher dass es eine Art von Malware ist. Vielleicht erfolgte die Infektion über ein unsicheres WLAN.
Was kann ich noch tun ohne den Computer auszumustern?
Die beschriebenen Maßnahmen habe ich bereits ergriffen. Das macOS habe ich erneut von Apple geladen und dann neu installiert. Gibt es noch macOS spezifische Maßnahmen?
Wie bereits erwähnt melden die Anti-Viren-Programme keine Schadsoftware. Gibt es sonst eine Möglichkeit Malware zu finden, etwa die Aktivität eines Keyloggers?
Ist dieser „Spitzname“ irgendwo auf Deinem Mac gespeichert gewesen (in E-Mails, Dateien, usw.?
Wenn beide Fragen mit „nein“ beantwortet sind, würde ich von einer Manipulation durch einen nahestehende Person ausgehen. Für mich klingen Beleidigung und Spitzname erst einmal nicht nach einem Malware-Befall, sondern nach einer Veränderung durch eine irgendwie mit Dir in Beziehung stehende Person.
Kann es sein, dass jemand aus Deinem direkten Umfeld (Freunde, Kollegen, Familie) Zugriff auf Dein MacBook im entsperrten Zustand gehabt hat und die Veränderungen vorgenommen hat?
Wird Dein Mac zentral von Deiner Firma verwaltet und wird Dein Spitzname in diesem Umfeld verwendet? Dann könnte auch eine Manipulation durch die Administratoren des Macs möglich sein.
Beides wäre auf jeden Fall viel einfacher und logischer als das eine Malware explizit auf Dich angesetzt worden wäre um Dich persönlich zu beleidigen. Insbesondere fehlt hier der „Return of Invest“ für den Angreifer.
@Chief1945
Ja, der Mac ist mit meinem iCloud Konto verknüpft. Allerdings habe ich keine Dokumente in der Cloud. Nur ein paar Musiktitel, Apps und ein paar Filme.
@Reklow
Wie gesagt, ich halte einen Malware Befall für wahrscheinlich. Angreifer wird eine Person sein, die mich kennt. Der Mac hing an einem nicht vertrauenswürdigen Netz. Keine Ahnung wie der Angriffsvektor sein kann. Ich habe allerdings immer das Admin Konto verwendet.
Physischer Zugriff durch andere Personen auf dem Mac bestand zu keiner Zeit.
Es geht soweit nicht darum Geld zu erbeuten. Eventuell um Doxing oder einfach darum dass ich nicht vernünftig am Computer arbeiten kann (siehe meinen 1. Post) und es mich einfach stresst.
Auch ist es stressig nicht Ernst genommen zu werden („Gaslighting“).
Spitzname ist allgemein im Umfeld bekannt, nicht im Internet!
Wie gesagt, ich habe macOS von Apple geladen und neu installiert.
welche Diagnosemöglichkeiten außer AV Software gibt es noch?
Ich denke es wurden alle allgemeinen Tipps gegeben / befolgt.
Mac aus vertrauenswürdiger Quelle neu installiert
Anwendungen aus vertrauenswürdiger Quelle neu installiert
Passwörter für Deine Accounts und den Mac wechseln
Allgemeine Aufmerksamkeit bei typischen Angriffsvektoren wie E-Mail-Anhänge, Internet surfen, usw. insbesondere wenn Sicherheitsabfragen bestätigt werden müssen.
Mac vor Nutzung durch Dritte schützen
Mehr wird ein normaler Benutzer typischerweise nicht tun können (z. B. forensische Untersuchung des manipulierten Systems um den Weg der Manipulation ausfindig zu machen).