Hi zusammen,

total abgefahrene Sachlage :rolleyes:

Meine Mom hat einen Facebook Account, nix wildes, damit sie auf FB bissl "stöbern" kann. :D
Sie hat keine eigenen Inhalte drin, kein Profilbild, 5 Freunde in der Liste, das wars.

FB läuft über ihren GMX Account (mit kryptischem Passwort gesichert), dort schaut sie ab und an mal rein, klickt nie was an was sie nicht kennt etc.
Sie ist das immer recht vorsichtig und fragt lieber mal nach bevor was kaputt gehen könnte.

Vor ein paar Tagen (letzte Woche) kam sie also an und sagt zu mir, dass ihr FB nicht mehr funktioniert.
Ok, kann mal sein, wegen Cookies etc....habe also erstmal bisschen aufgeräumt (was letztendlich kontraproduktiv war, da FB jetzt nicht mehr den Rechner erkannte, nehme ich zumindest an das es daran lag).

Auf jeden Fall ist es so, dass der Mail Account nicht mehr mit FB verknüpft ist.
Sehr verwunderlich......daraufhin habe ich ihren Maileingang geprüft und diverse Mails gefunden:


1) 08.12. 02:52 Uhr - von FB
Hast du Schwierigkeiten, dich bei deinem Konto anzumelden? Falls du Hilfe benötigst, klicke unten auf den Button und wir melden dich an.

2) 08.12. 16:29 Uhr - von FB / Meta for Business
Deinem Werbekonto wurden Werbeeinschränkungen auferlegt
Hallo xxx,

nach sorgfältiger Überprüfung deines Werbekontos ZZZ-10 wurden diesem Werbeeinschränkungen aufgrund von nicht authentischem Verhalten oder Verstößen gegen unsere Werberichtlinien bzw. Gemeinschaftsstandards auferlegt.

Dieses Konto und alle zugehörigen Werbeanzeigen, die darüber geschaltet wurden, sind jetzt deaktiviert.

3) 08.12. 16:52 Uhr - von FB / Meta for Business
Deine Werbeanzeige wurde genehmigt
Hallo xxx,

Deine Werbeanzeige wurde genehmigt und sollte schon bald Ergebnisse bringen. Klicke unten auf „Werbeanzeige ansehen“, um sie zu verwalten oder ihre Performance zu sehen.

4) 08.12. 17:51 Uhr - von FB / Meta for Business
Deine Werbeanzeige wurde abgelehnt
Hallo xxx,

Deine Werbeanzeige wurde abgelehnt, weil sie gegen unsere Richtlinie zu Umgehen von Systemen verstößt. Das bedeutet, dass deine Anzeige nicht aktiv ist und nicht an deine Zielgruppe ausgeliefert wird.

Wir wissen, dass sich dies auf deine aktuellen Geschäftsziele auswirken kann. Wenn du glaubst, deine Anzeige wurde fälschlicherweise abgelehnt, kannst du eine erneute Überprüfung beantragen.

Werbeanzeige verstößt gegen folgende Werberichtlinie:
Umgehen von Systemen

5) 09.12. 15:15 Uhr - von FB / Business Manager
Britta 1011 arbeitet nicht mehr am Werbekonto ZZZ-10 (801358017791450).*It will no longer show up in their business and they won't have access to it anymore.

6) 09.12. 15:15 Uhr - von FB / Business Manager
Britta 1011 arbeitet nicht mehr am Werbekonto ZZZ-10 (532537775335930).*It will no longer show up in their business and they won't have access to it anymore

7) 10.12. 10:11 Uhr - von FB / Meta for Business
Deine Werbeanzeige wurde abgelehnt
Hallo xxx,

Deine Werbeanzeige wurde abgelehnt, weil sie gegen unsere Richtlinie zu Werberichtlinien verstößt.
Das bedeutet, dass deine Anzeige nicht aktiv ist und nicht an deine Zielgruppe ausgeliefert wird.

Wir wissen, dass sich dies auf deine aktuellen Geschäftsziele auswirken kann.
Wenn du glaubst, deine Anzeige wurde fälschlicherweise abgelehnt, kannst du eine erneute Überprüfung beantragen.


Werbeanzeige verstößt gegen folgende Werberichtlinie:
Werberichtlinien



Und dann:

8) 10.12. 16:02 Uhr - von FB
*
Wir möchten dich darüber informieren, dass dein Passwort gerade zurückgesetzt wurde.
*
Mehr zu dieser Neuerung
*
Samstag, 10. Dezember 2022 um 16:02 (UTC+01)
In der Nähe von Hanoi, Vietnam
Chrome, Windows
*
*
*
*
Wenn du das warst, musst du nichts weiter tun.
*
Vielen Dank
Das Facebook Security-Team



Die große Preisfrage lautet nun - WIE zum Kuckuck ist das denn passiert.
Es kam keine vorherige Info Email, dass jmd einen Passwortreset initiiert hat oder ähnliches. Eigentlich müssten gleich ein paar Mails kommen, wenn sowas in Gang gesetzt wurde..

Ich habe keinen blassen Schimmer wie diese Person da vorgegangen ist.

Aber, am 06.12. ist aber was "komisches" passiert. Meine Mom hat mich angerufen und meinte, dass ihre Lesezeichen weg sind und überall Werbung erscheint.
Ich schaltete mich also auf den Rechner und sehe, dass die Menüleiste wieder ausgeblendet war und alle Erweiterungen (HTTPS Everywhere, ublock Origin, etc.) deaktiviert waren....keine Ahnung wie das passieren konnte?
Auch das Firefox Icon in der Menüleiste war nicht mehr vorhanden, es war so ein blankes Bild, also das Bild wenn kein Bild gefunden werden konnte, ein Platzhalter.

Das System, Windows 8.1, habe ich dann mit vielen Tools geprüft, aber nichts gefunden.
Versuche immer noch irgendwie den Hergang zu rekonstruieren, komme aber auf keinen Nenner.

Einfallstor FB, da dort ein schwaches PW benutzt wurde?
GMX aber hatte ein starkes PW, habe es auch gleich von meinem Rechner aus geändert und an ihrem PC nicht eingegeben (dachte da an Keylogger oder ähnliches)
(Sie benutzt übrigens Thunderbird für den Mailaccount, kein Webzugriff)


Vielleicht habt ihr noch irgendeine Idee?

Kann man sich irgendwie an FB wenden?
Deren Mechanismen zur Rettung des Accounts haben nicht gezogen...bräuchte eigentlich einen Ansprechpartner welcher sich das anschaut.


Der Account wurde übrigens umbenannt und die Person lädt irgendwelche privaten Fotos hoch, und die 5 Freunde wurden bisher auch nicht entfernt...kapier das einfach net.


Achja, frohe Weihnachten :) und danke fürs Lesen..

Das ein Betriebssystem aus 2013 dafür verantwortlich sein könnte, ist kein Thema? ^^
Ich meine, wenn du Veränderungen auf dem Rechner entdeckt hast, hat oder hatte jemand Zugriff auf den Rechner, da kann dir dann das FB und Mail Passwort egal sein, der Rechner direkt Zugriff gewähren kann auf beides.
Insofern würde ich die Kiste mal plätten und Sicherheitsmäßig auf Vordermann bringen.

fishing angeklickt, dann wurde die anmelde session geklaut. mit der anmelde session wohl dann auch der gmx account, damit wurde dann das FB pw geändert.

das passiert wohl automatisch. es juckt also nicht das nur 5 kontakte mit dem acc verbunden sind, man nimmt alle acc die man bekommen kann.

es gibt genug leute die darauf reinfallen, auch leute, die ahnung haben. ursache ist halt ein dämlicher klick. deswegen clicke ich nie auf emails. wenn ein dhl paket kommt, nehm ich nur die sendungsnummer raus.

keine klicks in mails.

Das mit dem OS war natürlich mein erster Gedanke ^^ Die Maschine werde ich selbstredend neu aufsetzen und bisschen härten.

Hm, ja klar, sehr gut möglich mit dem Phishing, wird wohl der Grund sein mMn...verstehe nur den ganzen Aufwand nicht. Einen eigenen Acc zu erstellen geht doch viel schneller.
Ist wohl so ein Machbarkeitsding, weils Spaß macht ^^

Würd den Account ja echt gern irgendwie sperren lassen ;D

Du kannst doch Windows 10 mit dem 8 key installieren und eine Zeit ging auch das Update.
Warum zum Kuckuck ist das überhaupt noch da drauf?

Meine eine Web.de Mail Adresse ist auch weg neuerdings
Kein rankommen mehr und ich verstehe die Energie dahinter auch nicht

Rechner neu aufsetzen und ggf auch neues Facebook Konto anlegen
Sollte aber funktionieren.

Hm, ja klar, sehr gut möglich mit dem Phishing, wird wohl der Grund sein mMn...verstehe nur den ganzen Aufwand nicht. Einen eigenen Acc zu erstellen geht doch viel schneller.
Ist wohl so ein Machbarkeitsding, weils Spaß macht ^^


nein. weil das automatisiert ist. die nehmen schlicht alle accounts, es wäre viel zu aufwendig, nur accounts mit reichweite zu hacken.

Ich hatte auch mal so Erfahrung mit meinem alten GMX Account gemacht.

Stand dann auch da "Überweise xyz an Bitcoin soundso". War aber nur ein Bot, der mithilfe von Facebook die Email-Adresse bei GMX durch Einmalcode gegrillt hatte. Beim zweiten Mal wurde es mir aber zu bunt. Habe den Facebook Account dicht gemacht, alle Freunde rausgeschmissen, so gut wie alles gelöscht und betrete Facebook nicht mehr. Seitdem habe ich Ruhe. Zusätzlich habe ich unter pw-Einstellungen eine 2-Faktor Authentifizierung eingerichtet, inklusive diversifizierte 2-Faktor-Authentifizierung auf meiner Haupt-Email, die nicht betroffen war.

@T86
Die onboard Netzwerkkarte ist vor Jahren kaputt gegangen und ich hatte noch so eine Killer NIC im Regal rumliegen, für diese Version gibt es aber keinen Win10 Treiber.
Ist der einzige Grund weshalb immer noch ein Win 8 drauf war ^^

Mittlerweile ist aber Win 10 drauf, muss nur noch bisschen Feintuning machen :)

Die 2FA werde ich auch scharf stellen - eine Mail, dass das PW zurückgesetzt wurde kam ja an, mit der Frage ob man das war...bringt halt nix wenn man es nicht liest/sieht. :freak:

Also ich will hier keine Panik schüren, aber irgendwie mache ich mir Sorgen, hatte in den letzten Monaten mehrmals mit Leuten zu tun, denen sehr ähnliches passiert ist. Mit all ihren Konten, deren Passwörter sie im Chrome gespeichert hatten. Jetzt das Komische, also, ich will hier nicht wie ein dummer Anfänger klingen, doch die hatten alle 2 Faktor-Authentifizierung aktiv und dennoch wurde ihre alte Telefonnummer teilweise aus ihrem Google-Konto gelöscht und eine neue eingetragen. Bei einer Person konnte ich es live, mit Sekundenvorsprung verhindern und den Angreifer rauswerfen, bevor er Sie rauswerfen konnte. Das war ein Google Konto mit 2 Faktor Authentifizierung... Wie zur Hölle konnte da jemand eine neue Nummer eintragen und eine alte rauswerfen ohne das Smartphone zu haben. Das hatte ich auch, da kam nichts!

Ich hab keine Ahnung, was da vor sich ging!
Doch das hat mich persönlich final dazu gebracht, all meine Passwörter nur noch in Keepass zu hinterlegen. Ist mir sehr suspekt, was ich da in den letzten Monaten gesehen habe, da fast immer und überall 2 Faktor aktiv war und dennoch Telefonnummern und Passwörter geändert waren.

Einen Zusammenhang habe ich immer wieder entdeckt. Und zwar, dass alle im Chrome mit Passwort hinterlegten Konten gehackt waren. Als hätte jemand eine einfache Möglichkeit irgendwie, irgendwo gefunden die abzugrasen.

Nur ein bissl Verschwörungsgeschwurbel von mir...

Das erinnert mich auch sehr daran!

ieIlQlvJx5M

DIE HABEN KEINEN LINK GEKLICKT, wage ich mal zu behaupten...

Meine Vermutung, die haben irgendwie die Google-Session geklaut und so dann irgendwie Zugriff auf alle hinterlegten Passwörter erlangt.

Ich speichere Passwörter jetzt nur noch in Keepass denn nur ,,In encryption, I trust".
Hab mich ja immer über die Leute lustig gemacht, bis ich dieses Jahr mehr als einmal live gesehen habe, wie das geschieht.

In letzter Zeit hör ich ständig von Leuten deren Insta oder Facebook Account übernommen wurde.

Am WE bei ner Freundin Facebook. Aktuell heute ein Arbeitskollege wieder. Instagram und es ist irgend ne Werbung geschalten. Auf Nachfrage wie man sich einloggt... meist per Handy, Passwörter gespeichert.
Ich denke das ist das Problem.

Am Besten überall ein anderes Passwort nutzen, nie doppelt vergeben und wichtig, immer frisch einloggen. Aber wenn SocialMedia zum Alltag geworden ist und man sich 100mal am Tag einloggt ist das halt ein Problem :-)

weil die leute in sms, emails, und sonstige nachrichten klicken. fishing. dann wird die aktuelle anmeldesession geklaut und damit die meisten konten.

deshalb bringt dir 2fa nichts.

im prinzip ist die bequemlichkeit der leute ihr untergang. den leuten wird gesagt, 2fa bringt deutlich mehr sicherheit.

alles pustekuchen, wenn die leute auf fishing reinfallen. da bringt dir 2fa garnichts.

ich nutze den only key(bis 50letter passwortlänge) und logge mich bei wichtigen sessions wieder aus.

das wichtigste ist eben immernoch ausloggen und auf keine links in nachrichten jeglicher art klicken, auch wenn sie vertraut aussehen.

Ja, das mag gut sein. Phishing is a thing, and the ocean is wide... and deep... as the darkest net :D

Naja, aber selbst wenn Du die Session von jemanden kriegst, erklärt das für mich noch lange nicht die beschriebenen Fälle. Davon abgesehen, dass das nicht so einfach funzen sollte, wenn es keine dem Angreifer bekannte Lücke gibt, sollte man wenigstens beim Ändern des Passworts, der hinterlegten Mail oder Telefonnummer ja nochmal nach dem zweiten Faktor gefragt werden, was nicht der Fall war.

Letztens bei einer Freundin, die war 3 Tage bei mir, hat da nirgends draufgeklickt und plötzlich auf dem Phone:,,Bim, bim" Du hast Deine mit Deinem Google Konto verknüpfte Nummer geändert, via Mail.
Habe ihr dann gesagt, sie soll sich sofort anmelden und wären ein paar Sekunden mehr vergangen, wäre sie rausgeworfen worden. Denn der Angreifer hatte gerade ihre alte Nummer rausgenommen. Wie??
Außerdem hatten die Angreifer offensichtlich ALLE Passwörter, die in ihrem Chrome gespeichert waren.
Das sah man daran, dass auch ihr Facebook, Instagram und Steam kompromittiert waren. Ihr Steam Account hatte plötzlich einen japanischen Namen, in Instagram folgte sie plötlich 10.000 Leuten und Facebook hatte eine andere Mailadresse.

War alles 2 Faktor gesichert, teils per Mail, teils per SMS. Hooow?
Ich weiß es bis heute nicht.

Ich weiß nur, dass es alles Accounts waren, deren PWs im Chrome gespeichert waren.

Hört sich danach an, als ob da jemand auch bei Facebook ein Hintertürchen kennt, wenn die 2FA umgangen werden kann ;)

Ich weiß nur, dass es alles Accounts waren, deren PWs im Chrome gespeichert waren.erweiterungen?


solange mir nicht die 2fa nicht genannt werden, ja die machen viele am selben gerät, bequemlichkeit halt, wird es immer ein rätsel sein.


möglich wäre halt auch einfach, das jemand bei google die 2fa ändert. zumindest steht das im raum.

dann wird die aktuelle anmeldesession geklaut und damit die meisten konten.

deshalb bringt dir 2fa nichts.

Klar - wenn man, wie es bei vernünftig geführten System/Unternehmen der Fall ist, ohne den 2. Faktor nichts Kritisches ändern könnte - wie z.B. Passwort, Recoverymail, 2. Faktor, und trusted Devices.

Es gibt einen Youtuber dem ist das passiert mit seinem Youtube Account. Auch 2FA aktiv - aber er hat versucht eine Exe zu installieren aus einer etwas fishigen Mail. ;)

BTW JP Performance wurde auch gestern gehackt oder so, wahrscheinlich die gleiche Vorgehensweise.

Bei YT laden die Angreifer dann irgendwelche krypto Streams hoch und dann sperrt YT den Account.

soNxMmDVha8

Wichtig, nicht einfach auf irgendwelche Links draufklicken. ;D :(

MFA oder 2FA ist halt NICHGT Bulletproof :freak:

https://ctemplar.com/how-can-hackers-bypass-googles-2fa-security/


How to Bypass 2FA Gmail Protection?
Can 2FA be bypassed?

Of course, and there are several methods this can be done. We'll talk about the five most common, but if you're interested, read this report by KnowBe4 which mentions 11 ways to bypass Google 2-Step verification.

1) Using the Password Reset Function
This is what the hackers did in the example above. They sent a fake Gmail alert, phished an SMS token and finally had their victims reset their passwords.

2) Using an OAuth Mechanism
Another 2FA Gmail bypassing method is to use a 3rd party login mechanism called OAuth. If you're not familiar with OAuth, this is when you use Google or Facebook to log in to another account.

Although this is a convenient way to log in to a website and Google or Facebook should be safe, it's also a way for the hacker to bypass 2FA. Instead, they can use OAuth integration to log in without needing the login credentials.

3) Using Race Conditions
A “race condition” is the repeated usage of a previously known value, such as the app's ability to use used or unused tokens later. For this, the hacker would first need to have access to those previous values, which they can get by intercepting a previous code.

4) Using Brute Force
Finally, if there is no rate limitation in the input fields, an attacker can attempt to brute force the 2FA code, especially if it's number-based. As the normal length of a code is 4-6 numbers, that's “only” 151,800 possibilities. You don't need a supercomputer to crack that.

Also read: 18 Types of Cyber Security Threats You Should be Aware of and How to Deal With Them.
5) Using Social Engineering
For this, the hacker needs to have the target's username and password already. With that, they can send out an email to their victim, with a Google verification code request that was sent to the target's number. Once the target sends the code, the attacker can easily bypass 2FA.

In another case scenario, the hacker can trick the user into clicking on a phishing link in an email, where the user will provide their credentials.

Then, the hacker can use these to log in to the real site. When the target also receives and enters the code, the hacker will see this on the fake site and can enter the code on the real site to bypass 2FA.


ich denke 4. klingt Interessant > wie oft kann etwas falsch eingegeben werden bis zum lockout? nach welcher zeit kann ich mich wieder versuchen ein zu loggen? wird dieser Zeitnahmen exponentiell größer? ....


Oauth klingt auch Interessant

werden Cookies generell zugelassen auf Browser Ebene?

was für eine 2FA Methode wird verwendet? Der google Authenticator hat IMHO keine zusätzliche "Abfrage" ( pin etc) und er war/ ist nicht gehärtet gegen ein onScreen "Foto" > malware auf dem mobile kann das ausnutzen und ein screen foto machen und versenden


am besten ist IMHO ein physischer Key der verbunden werden muss > aber auch das ist nicht Bullet proofe wenn ein Session Cookie einer validen Session abgegriffen werden kann.

Passwörter sind IMHO egal in welcher Form und Länge seid längerem nicht mehr Sicher


Alles hilft natürlich nichts wenn das System beim Anbieter nicht Sicher ist


Bei mir wurde einmal mein Amazon Konto "gesperrt" > zum Glück hat man bei Amazon eine Kunden Hotline und kann mit realen Menschen reden. Hier wurde trotz 2FA versucht etwas zu kaufen was ich nie gekauft hätte. Der MA konnte hier mir den Zugan wieder freischalten.

Versuch das mal bei Google, Facebook, oder Microsoft > viel Spass :cool:

Bei mir wurde einmal mein Amazon Konto "gesperrt" > zum Glück hat man bei Amazon eine Kunden Hotline und kann mit realen Menschen reden. Hier wurde trotz 2FA versucht etwas zu kaufen was ich nie gekauft hätte. Der MA konnte hier mir den Zugan wieder freischalten.

bringt doch nur etwas wenn der Angreifer auch die Lieferadresse ändert, oder?

bringt doch nur etwas wenn der Angreifer auch die Lieferadresse ändert, oder?.

du meinst 2FA bei Amazon? Jein, da es hier ja auch nicht gegriffen hatte XD

der "Kauf" ist rechtzeitig von Amazon bemerkt worden > storniert und Konto gesperrt.

Habe dann erstmal mein System neu aufgesetzt inkl. Phone resett da womöglich kompromittiert.

Die Steam Account Übernahme damals lief via eingeloggtem gmail Konto. Damals lieft steam guard noch noch via app sondern email. die 2FA mail hatte der Angreifer sofort gelöscht, somit war sie im mail Client nicht sichtbar und damit mein steam konto übernommen.

gmail hat aber den Vorteil das man sich die letzte 5? IP Adressen anzeigen lassen kann, womit sich eingeloggt wurde. damit ging es zur Polizei, Anzeige > leider haben die Jungs zu lange gebraucht und Provider seitig war wohl zu viel gelöscht worden.

Steam benötigte glaube ich 3 Tage für die wieder Herstellung. hilfreich war hier mindestens einmal was direkt bei Steam gekauft zu haben und die Kauf email NICHT zu löschen als Ownership Nachweis.




Edit: 2FA war bei gmail damals noch nicht aktiv. ebenso wurde das Gmail Konto nicht übernommen sondern "nur" lesend zugegriffen

danach wurde alles via KePass ver Passwortet und wo immer geht auf 2FA umgestellt

mittlerweile benutze ich seinen selbst gehosteten Bitwarden-Passwortmanager, 2FA habe ich bislang aber nur für die Passwort-Datenbank selber aktiv.

Bei ein paar Seiten sollte ich das Passwort auch mal ändern....

noch einer. er beschreibt hier was beim phishing angriff bei ihm passierte.
https://youtu.be/ry8oY1-aiq8?t=218

erweiterungen?


solange mir nicht die 2fa nicht genannt werden, ja die machen viele am selben gerät, bequemlichkeit halt, wird es immer ein rätsel sein.


möglich wäre halt auch einfach, das jemand bei google die 2fa ändert. zumindest steht das im raum.

Und die Frage ist ob die im Chrome nur lokal gespeichert waren oder online im Google Account.

Meine Cousine stand vorletztes WE an der Tür, ob ich ihr helfen könne, ihr Facebook Account wurde übernommen.

Nach etwas Recherche hat sie wohl vor einiger Zeit auf dieses Bild geklickt:

https://www.forum-3dcenter.org/vbulletin/attachment.php?attachmentid=83167&stc=1&d=1679336649

Bei "Passwort vergessen" braucht man ja kein 2fa.

microsoft profi wurde gehackt. FB, linkedin, youtube und kreditkarte mit über 30k fremdeinkauf.

5:30 session über wifi geklaut. wie sie das mit der kreditkarte gemacht haben, ist sie sich unsicher.

TU9tSY9SsZ4

5:30 session über wifi geklaut
Sie erklärt 0 wie das funktionieren soll.

Another way they can access your PC is over insecure Wi-Fi.
And this is the most likely route they took because we recently stayed in an Airbnb in France and used their Wi-Fi, as well as Wi-Fi in the British Airways business lounge in Geneva airport.
Session hijack attacks are usually carried out against busy networks with a high number of active communication sessions.
This provides the attacker with a large volume of sessions to exploit and gives them a measure of protection because the
number of active sessions on the server makes them less likely to be detected.
This was definitely the case in the British Airways lounge with every other person on a laptop.
They can then impersonate the user to launch a new web session, which means that the user does not have to be
logged in at the time.
This might explain YouTube, Facebook, and LinkedIn because these accounts were accessed via Wi-Fi, [...]

Was genau ist jetzt die Idee? Der PC selbst war unsicher und wurde übers Netzwerk "gehackt", und dabei Session Cookie / gespeichertes Passwort abgegriffen?

darf sie nicht sagen, microsoft arbeitet noch an einem fix:biggrin:

guter punkt, ist mir garnicht aufgefallen. aber ich war schon von der ahnungslosigkeit des kreditkartenklaus enttäuscht. alles profis.

Facebook Account Übernahme scheint doch ein relativ häufiges Thema zu sein. Mir sind aus dem erweiterten Bekanntenkreis auch ein paar Fälle bekannt. Wobei Schnittmenge all dieser mir bekannten User war, dass sie relativ wenig Ahnung von Technik haben und fast alles nur noch über das Smartphone machen. Und Smartphone war dann immer ein paar Jahre altes Android-Teil, welches längst keine Updates mehr bekommen hat. Ich vermute deshalb der Hack ist entweder über das unzureichend gepatchte Android geschehen. Oder aber über eine der zahlreich installierten Dritt-Apps mit weitreichenden Systemrechten, die immer munter bestätigt wurden

Grüße euch,

ich habe hier ewig keinen Beitrag mehr geleistet, doch jetzt ist es soweit.

Am 08.03 setzt ich mich morgens an den Schreibtisch und mir fiel auf, dass ich bei FB überall abgemeldet bin...

In meinen E-Mails waren von 02:30 und 03:01 Uhr zwei Mails mit dem Wiederherstellungscode für mein FB Konto...

Auf meinem Handy war noch irgendeine Benachrichtigung über "Zwei-Faktor Authentifizierung notwendig". (Habe ich aktiviert seit 2 Jahren)

Nun, mein Facebook-Konto war nicht mehr zugänglich.

Da dieser PW-Reset-Mechanismus wohl ausgenutzt worden ist, gab es nur Fehler als ich diesen Code dann wirklich eingeben wollte.

24 Stunden später konnte ich mein Passwort dann wirklich ändern!

Sofort kam die Meldung dass mein Konto nun schließlich gesperrt sei wegen merkwürdigen Aktivitäten. Man darf dann mit einem Ausweis-Dokument beweisen, dass man echt ist, um das Konto wieder zu entsperren.

Beim Hochladen meines Ausweises kommt dann

https://i.imgur.com/JTCleLa.png

Ich vermute wieder irgendeine Sperrzeit.

Vor einer halben Stunde habe ich schon wieder eine E-Mail bekommen mit einem Wiederherstellungscode für mein FB-Konto, den ich natürlich nicht selbst angefragt habe.

Was zur Hölle ist hier los, und weiß jemand wann ich wieder berechtigt sein werde meinen Ausweis hochzuladen?

Ich bin mir nicht bewusst darüber mal irgendwann auf irgendeinen merkwürdigen Link geklickt zu haben.

Es ist ja nicht mal möglich Facebook in irgendeiner Weise zu kontaktieren....

Danke und viele Grüße

perso ins internet hochladen - was soll schon schief gehen^^

ist für mich ein no go.

perso ins internet hochladen - was soll schon schief gehen^^

ist für mich ein no go.

Das mag ja sein, aber wer seinen FB-Account zurück haben möchte, geht diesen Weg.

Und Nein, ich befinde mich NICHT auf einer Phishing-Seite o.ä.

Ich bin gespannt wie lange sich das nun noch zieht...

Da würde ich mir eher einen neuen Account machen, würde ich das nutzen. Sieh es einfach als Chance von dem Mist wegzukommen ;)

puh, ich fand das schon heftig. zero click attack auf alte android phones mit version 10 oder älter. sehr viele haben noch android 10 oder älter in benutzung. ich zb. bis gestern^^ da ich wlan und blutooth unterwegs eigentlich immer aus hab, und mein handy bis auf fotos keine privaten dinge speichert, würd ich mal sagen das ich eigentlich save für 99,9% aller attacken bin. ich mache mir jetzt aber mal gedanken darüber.

IevVEUzXA30

Ich habe auch eine Zeit lang diese Mails bekommen: xxx ist dein Wiederherstellungscode für dein Facebook-Konto

Ich glaube, bei den meisten Fällen hat der Anwender keine Fehler gemacht. Vielmehr werden die Firmen gehackt. Denn man kann sich ja inzwischen mit seinem Account, sei es Fcaebook oder Google, überall einloggen. Ich glaube, nur in den seltensten Fällen werden solche Fälle publik.

Mir wurde auch schon mal mein Steam Account gehackt, wobei ich bis heute nicht weiß, wie das passieren konnte. Ich vermute auch hier irgendein Leck bei einem der vielen Dienstleister.

Es lohnt sich für die Hacker auch gar nicht, irgendeinen einzelnen Account zu hacken.

I...
Mir wurde auch schon mal mein Steam Account gehackt, wobei ich bis heute nicht weiß, wie das passieren konnte. Ich vermute auch hier irgendein Leck bei einem der vielen Dienstleister.

...
Wie soll dass gehen? Steam merkt sich deinen Rechner. Wenn ein neuer Rechner auf deinen Account zugreift, muss er sich mit einem per deiner E-Mail zugesandten Nummernschlüssel ausweisen.

Wie soll dass gehen? Steam merkt sich deinen Rechner. Wenn ein neuer Rechner auf deinen Account zugreift, muss er sich mit einem per deiner E-Mail zugesandten Nummernschlüssel ausweisen.


email ist der Schwachpunkt hier > man in the middle

Genauso so ist es gewesen. Jemand hatte die Zugangsdaten zu einem meiner Emailaccounts. Das Passwort dazu konnte man nicht erraten. Jemand hatte also die Zugangsdaten zu meinem Steamaccount und zu einem Emailaccount.
Die Frage ist nur, wie konnte derjenige zu diesen Daten gelangen.
Letztendlich hat er für mich den Rocket Legaue Account gepusht. Obwohl ich das Spiel nur angespielt hatte.
Ich konnte den Steam Account zwar wieder zurück erlangen, aber wie letztendlich irgendwelche Kids an die Daten kommen..... kann ich mir nur erklären, dass meine gehackten Daten irgendwo im Darknet herum schwirren.

Genauso so ist es gewesen. Jemand hatte die Zugangsdaten zu einem meiner Emailaccounts. Das Passwort dazu konnte man nicht erraten. Jemand hatte also die Zugangsdaten zu meinem Steamaccount und zu einem Emailaccount.
Die Frage ist nur, wie konnte derjenige zu diesen Daten gelangen.
Letztendlich hat er für mich den Rocket Legaue Account gepusht. Obwohl ich das Spiel nur angespielt hatte.
Ich konnte den Steam Account zwar wieder zurück erlangen, aber wie letztendlich irgendwelche Kids an die Daten kommen..... kann ich mir nur erklären, dass meine gehackten Daten irgendwo im Darknet herum schwirren.

Cookie Stealing zB

> Zugang via web mail
> man findet emails bzgl deines steam kontos
>> man hat deinen Steam Namen + die bei steam verwendete email
>> man setzt dein steam PW zurück
>> du verwendest leider nur 2FA via email
>>> und schon sind sie drin

die mails von steam werden gleich gelöscht > so bekommst du es idR nicht mit


A common example of cookie hijacking is when a cybercriminal steals a user's cookie containing their login credentials and uses them to gain unauthorized access to the user's account.

Beantwortet nicht die Frage, wie derjenige die Daten zu meinen Emailaccount erhalten hat.

Wie gesagt, ich glaube an ein Datenleck der involvierten Firmen.

Grüße euch,


Für die Nachwelt würde ich mein einstiges Problem noch gerne auflösen...

Nach ein paar Tagen war ich dann wirklich in der Lage meine Identität per Personalausweis nachzuweisen, sodass mein Account wieder zu erreichen war.

Unter meinem Profil wurde eine britische Unternehmensseite "Jetstream UK" angelegt, die ich bis heute nur deaktivieren kann, aber irgendwie nicht löschen kann.

Weitere schlimme Aktivitäten konnten nicht festgestellt werden.

Mir ist weiterhin unklar wie das trotz 2-Faktor-Auth passieren konnte, ich muss aber sagen dass die Recover-Methoden bei Facebook schon durchdacht zu sein scheinen und manche Dinge eben erstmal geblockt werden, wenn eine übermäßige Nutzung festgestellt wurde, wenn bspw. der Hacker vergeblich versucht den deaktivierten Account per Pseudo-Identitätsprüfung wieder zu reaktivieren.

Irgendwann darf dann der Echte Besitzer ran.

Beantwortet nicht die Frage, wie derjenige die Daten zu meinen Emailaccount erhalten hat.

Wie gesagt, ich glaube an ein Datenleck der involvierten Firmen.hast du 2fa auf der email? dann reichen die daten alleine nicht. dann wurde dir die session geklaut, auf welchem gerät auch immer. zb. wie in meinem letzten video über bluetooth am handy. zero click. hast halt bluetooth angehabt und kein aktuell gepatchtes os.

Wieso wird hier immer davon ausgegangen, als ob der User selbst schuld ist?

Und nein, die Mail war auf dem Handy nicht eingerichtet und das Handy war auf einem aktuellen Stand.

Ich sags gerne noch mal: Datenlecks bei den Firmen dürfte der häufigste Grund sein, warum Useraccounts gehackt werden.

du kannst gerne sachen so oft sagen wie du willst. wenn 2fa eingerichtet ist, helfen lecks nicht. wenn du meinen gmail account hast und das passwort, zb. durch einen leak, dann hilft dir das nicht. du kommst hier nicht rein. du brauchst zugang auf eine authentifizierte angemeldete session. die ist nur auf deinen geräten.

sobald ich mich von einem fremden rechner aus einloggen will, muss ich mich 2fa authentifizieren. auch steam. selbst wenn ich bei steam im headquarter wäre, könnte ich mich nicht einfach in einen account hacken.

die datenlecks alleine bringen garnichts. sie sind lediglich eine adresse von einem account, an dem man ansetzen kann dein gerät zu hacken, durch phishing oder andere mittel, aber letzten endes durch eine von deinen anmeldesessions.

Ich hatte zu dem Zeitpunkt kein 2FA mit der Email gehabt... und ich logge mich NIE bei einem fremden Rechner irgendwo rein.

Ich sags dir gerne noch mal: Steam hatte als 2FA meine Mail gehabt und der Hacker hatte also Zugang zu meinem Steam Account UND zu meinen Mailzugang. Damit war das 2FA von Steam auch hinfällig. Seitdem ich die PW geändert habe, ist nichts mehr in der Hinsicht vorgefallen. Es muss also irgendwo bei einem Dienstleister von Steam und Mail ein Datenleck gegeben haben.

Du kannst die Schuld gerne weiterhin beim User suchen, aber mit Anmeldesession hat das in den seltensten Fällen zu tun.

Im Darknet schwirren Milliarden von Zugängen rum und die Dunkelziffer der Firmen, die Datenleaks nicht melden, schätzt man bei 50% ein.

Regelmäßig PW ändern..... das wird angeraten, aber wer teilweise 50 oder mehr Zugänge hat, der macht es einfach nicht. Das ist auch wenig praktikabel.

Hör einfach auf, die Schuld immer beim User zu suchen. Du hast keine Ahnung, was beim User passiert ist, aber mit deinen Unterstellungen bist du sehr schnell zur Stelle. Mehr Zurückhaltung wäre an deiner Stelle angebracht.

äh, nee, bei mir ist bei dem thema FAFO angesagt. aber zurück zum thema. so wie du die sache beschreibst, ist dein emailanbieter gehackt worden und deine zugangsdaten für emails wurden geleakt. je nach emailanbieter kann das durchaus sein. das allerdings spricht nicht gerade für deinen emailanbieter. an der stelle würde ich das mal nicht bei dir behalten, sondern andere vor deinem hoffentlich ehemaligen emailanbieter warnen. gleichzeitig hast du gesagt, das dein 2fa, meist mfa, nicht aktiv war.

zumindest in dem fall ist das deine schuld. man muss halt die schuldigen benennen um zu einer lösung des problems zu kommen. einfach den schwarzen peter weiterzuschieben bringt nichts.

im prinzip kannst du andere nicht zwingen für deine sicherheit zu sorgen.

und wie gesagt, bringt ein passwort leak bei einer vernünftig eingerichtete emailsicherheit nichts mehr. du kann mein emailpasswort haben, kannst damit aber alleine nichts anfangen.

Ähm, nein. Der Schuldige ist nicht der User, nur weil er keine 2FA einsetzt.

Ich sehe das so: die 2FA dient in allererster Linie dazu, die Firmen abzusichern. Deren Netze sind leider ziemlich oft nicht ausreichend abgesichert. Es gibt so viele Einfallstore wie Exchange, Firewall etc.
Einzelne User sind für Hacker uninteressant, hier gehts nur um die großen Fische.

Die Argumentation lautet also: ich muss 2FA einsetzen, weil ich mir nie sicher sein kann, wie sicher meine Daten bei den Firmen hinterlegt sind.

sry, das ist so nicht richtig. 2fa/mfa hilft nur den nutzern. die anbieter bieten das oft nur ungern an, weil das kosten verursacht. deswegen gilt, je billiger die seite, desto unsicherer die sicherheitsvorkehrungen.

es kommt praktisch nicht vor, das man es schafft bei großen emailanbietern zugangsdaten von nutzern zu klauen. das liegt eben auch daran, weil 2fa/mfa verhindert, das man mit den passwörtern überhaupt was anfangen kann. wenn du zb. jetzt zb. gmail nimmst, dann kannst du zu 99,999% ausschließen das dein email zugang von gmail selbst aus kompromitiert wurde. da ist der user zu 99,999% selbst schuld, durch falsches nutzungsverhalten.

Blöde Frage: inwiefern verursacht das Kosten? Also für Unternehmen?
Ich habe 2FA für meine Nextcloud auch und sowohl die Mails mit dem zweiten Faktor, als auch die GAuth-Codes bekomme ich völlig kostenfrei.

vl keine relevanten kosten, aber irgendeiner muss es ja einbauen. ist jetzt aber auch nicht das worauf ich hinaus wollte.