Hallo zusammen,

ich bin etwas ratlos.

Ich habe einen Skype-Account, den ich schon seit Jahren nicht mehr aktiv nutze.
Gestern erhielt ich ohne mein Zutun eine E-Mail von Skype, in der stand, dass mein Passwort erfolgreich geändert wurde.
Weiterhin stand geschrieben, dass ich die Mail ignorieren könne, wenn ich es tatsächlich selbst war, der das Passwort gehändert hat.
Und wenn ich es nicht selber war, soll ich doch bitte mein Passwort schneunigst nochmal ändern.
Das tat ich natürlich auch sofort, indem ich mich über die Skype-Webseite versuchte einzuloggen (was nicht ging) und dann von dort aus mein Passwort resetet habe.
(Interessant ist, dass die erste E-Mail von Skype tatsächlich echt zu sein scheint, da die zweite Mail (mein tatsächlicher Passwort-Reset) exakt gleich aussah inkl. der verlinkten Seiten usw..)

Ich dachte, das Problem sei nun gelöst.
Doch gerade eben schreibt mir meine Freundin im Whatsapp, dass ich bei Skype angeblich online wäre und ihr einen Link zu LinkedIn gesendet hätte.
Also habe ich kurz Skype auf meinem Smartphone installiert und mich mit meinem neuen Passwort angemeldet.
Und siehe da: an alle meine Skype-Kontakte wurde tatsächlich ein Link versendet!

Was mache ich jetzt am besten?
Wie konnte das überhaupt passieren?

Ich würde alle Leute anschreiben und auf den Hack hinweisen. Wenn weitere Nachrichten bei denen ankommen, sollen sie sich bei dir per Mail melden. Der eine Link kann geschickt worden sein, nachdem jemand dein altes Passwort geknackt hat.

Es stellt sich natürlich die Frage, wie hat der Angreifer dein Passwort herausgefunden?

Ich habe einen Skype-Account, den ich schon seit Jahren nicht mehr aktiv nutze.
Gestern erhielt ich ohne mein Zutun eine E-Mail von Skype, in der stand, dass mein Passwort erfolgreich geändert wurde.
Weiterhin stand geschrieben, dass ich die Mail ignorieren könne, wenn ich es tatsächlich selbst war, der das Passwort gehändert hat.
Und wenn ich es nicht selber war, soll ich doch bitte mein Passwort schneunigst nochmal ändern.
Das tat ich natürlich auch sofort, indem ich mich über die Skype-Webseite versuchte einzuloggen (was nicht ging) und dann von dort aus mein Passwort resetet habe.

Was mache ich jetzt am besten?
Wie konnte das überhaupt passieren?Ich geh davon aus, dass du auch einen PC hast. Bei diesem kannst du mal einen Vollscan mit einem Virenscanner machen.

Was ich zur Zeit nicht weiß, ob man mehrere Mailadressen in Skype hinterlegen kann. Dann hätten sich die Leute dort auch eingetragen und gleich nach deiner Änderung das Kennwort wieder geändert oder sie haben das neue Kennwort mitgeschnitten. Das würde aber nur gehen, wenn sie dein Smartphone ebenfalls infiziert hätten.

- Virenscan werde ich mal machen. Aber wie gesagt: es ist Jahre her, dass ich Skype überhaupt installiert hatte, geschweige denn benutzt hatte.
- Soweit ich es sehen kann, kann man nur eine E-Mail-Adresse hinterlegen und das ist auch meine. Und ich konnte mich ja heute mit meinem neuen Passwort anmelden.
- Ich habe alle Leute angeschrieben, dass der Link nicht von mir kommt. Ich kann nur gerade leider nicht sehen, wann der Link versendet wurde ... also ob vor oder nach der Änderung des Passwortes durch mich ...

Bist du absolut sicher, dass die erste Mail wirklich von Skype stammte und du nicht etwa durch Klick auf den dortigen Link/den Einlog-Versuch auf der Webseite erst deine Login-Daten an Dritte verraten hast?

Ob die erste E-Mail tatsächlich von Skype stammt, kann ich natürlich nicht 100%-ig sagen.

Was ich aber 100%-ig sagen kann ist, dass ich mich aufgrund der ersten E-Mail manuell über die Skype-Webseite versucht habe anzumelden, das hat nicht geklappt und deshalb habe ich auf der Skype-Webseite die Funktion "Passwort-Reset" genutzt.

Die E-Mail, die ich daraufhin erhielt, sah genauso aus wie die erste E-Mail. Daher gehe ich davon aus, dass auch die erste E-Mail korrekt war und jemand ohne mein Wissen mein originales Passwort geändert hatte. Dafür spricht ja leider auch, dass allen meinen Kontakten ein Link zugesendet wurde.

Okay. Wie komplex war denn das alte Passwort? So sehr, dass es einer Brute-Force-Attacke theoretisch gewachsen gewesen wäre? Und wo hast du dieses Passwort aufbewahrt? In einer Textdatei, einem Passwort-Safe, irgendwo extern? Und nutzt du dieses alte Passwort auch für andere Dienste?

Hintergrund der Fragen: Da du Skype ja selbst seit Jahren nicht verwendet hast, kommen ja quasi nur Brute-Force-Angriffe, lokale Kompromittierung deines PCs oder eine Skype-seitige Sicherheitslücke in Betracht. Oder eben, dass ein anderer Dienst gehackt wurde und die Angreifer deine E-Mail-Adresse-Passwort-Kombination eben auch bei Skype und Co. ausprobierten.

Davon ab: Dass eine Phising-Mail heutzutage den echten extrem ähnelt, ist nichts Ungewöhnliches. Am besten ist ein Betrugsversuch finde ich immer noch an den darin enthaltenen URLs erkennbar.

Ob die erste E-Mail tatsächlich von Skype stammt, kann ich natürlich nicht 100%-ig sagen.

Du kannst im Mail-Header nachschauen.

Im E-Mail-Header habe ich nicht nachgeschaut, aber die URL hinter dem Link führte - soweit ich das sehen konnte - tatsächlich zu Skype.

Mein altes Passwort war mittelmäßig komplex; ob es einer Brute-Force-Attacke theoretisch gewachsen gewesen wäre, kann ich schlecht einschätzen. Wobei ich aber heutzutage davon ausgehe, dass man darüber informiert wird, wenn jemand versucht, sich x-mal mit einem falschen Passwort einzuloggen.

Eine lokale Kompromittierung halte ich auch für relativ unwahrscheinlich, da ich normalerweise recht vorsichtig bin, einen aktuellen Virenschutz verwende usw.. Aber ich werde das heute nochmal versuchen zu überprüfen. Ab und zu nutzt auch meine Freundin den PC, und wer weiß schon, auf was für Schmuddelseiten die sich herumtreibt... ;)

Und das irgendein anderer Dienst von mir gehackt wurde, kann natürlich theoretsich auch sein, aber die bei Skype hinterlegte E-Mail-Adresse nutze ich nur bei sehr wenigen Diensten und die haben alle verschiedene, sehr unterschiedliche Passwörter.

Kurzes Update:

1. Ich habe meinen PC jetzt 3x mal auf Viren gesprüft ... Kaspersky Anti-Virus (mein Standard-Virenschutz) sowie McAfee Labs Stinger haben nichts gefunden ... und das Emsisoft Emergency Kit hat ein nur paar No-Risk-Registry-Einträge gefunden ...
Alles in allem deutet also nichts auf eine Kompromitierung meines PCs hin.

2. Leider weiß ich nicht, wie ich mir in Skype anzeigen lasse, wann genau (Datum & Uhrzeit) jemand eine Nachricht empfangen hat. Sobald mehr als ein Tag vergangen ist, steht nur noch der Wochentag neben der Nachricht. Es ist aber davon auszugehen, dass die falschen Nachrichten versendet wurden bevor ich mein Passwort erneuert habe.

Bleibt nun nur zu hoffen, dass so ein Mist (oder schlimmeres) nicht nochmal passiert!

Bei mir war es vor ein paar Wochen ähnlich. Plötzlich habe ich an alle meine Skypekontakte einen Link für eine Abnehm Website geschickt. Bei mir ist aber keine Email gekommen, dass jmd. das Passwort ändern will. Es war auch bei mir kein Virus zu finden. Da ich bei Skype ein Standardpasswort verwendet habe, ging ich davon aus, dass das einfach irgendwo anders abgegriffen wurde. Dieses Passwort habe ich früher bei allen Accounts verwendet, mittlerweile habe ich aber für jeden Account eigene Logins und Passwörter.

Grundsätzlich sollte man jedes nicht-zufallsgenerierte Passwort unter 12 Zeichen und ohne gemischte Groß- und Kleinschreibung, Zahlen und Sonderzeichen als unsicher ansehen. Wenn man selbst schon sagt, dass es mittelmäßig komplex ist, dann ist es garantiert zu schwach.

Theoretisch sollten natürlich solche Dienste wie Skype irgendeine Form von Rate-Limiting machen, aber so etwas kann natürlich auch in die Hose gehen. Letztendlich muss man davon ausgehen, dass mindestens der Hash des Passworts irgendwann einmal Kriminellen in die Finger gerät. Wenn man dann ein schwaches Passwort hat und die Hashfunktion auch nicht langsam genug ist, dann hat man heutzutage einfach sehr schlechte Karten und muss damit rechnen, dass der Account irgendwann „gehackt“ wird.