Eine Verwandte wurde "gehackt". Sie hat eine E-Mail in ihr T-Online-Postfach bekommen, das vom gleichen Konto abgeschickt wurde. Sie soll 600€ in Bitcoin bezahlen, blabla sonst werden perverse Bilder von ihr an sämtliche Kontakte geschickt. Angeblich wurde über eine Sicherheitslücke im Router (Fritz Box 7530 mit aktuellen Updates) ein Trojaner auf ihrem Laptop installiert (Windows 10 mit aktuellen Patches), Passwörter ändern sei sinnlos, er sei ja noch auf dem System. In der E-Mail stand auch das korrekte Passwort des E-Mail-Zugangs.

Von T-Online gabs dann auch noch eine "Angriffswarnung", es gab einen gescheiterten Login im Amazonkonto, seitdem ist bisher Ruhe jetzt den dritten Tag (und nach Ablauf der Frist).

Ich vermute das ganze Drumherum ist Budenzauber und da wurde einfach das extrem einfache Wörterbuchpasswort des E-Mail-Kontos geknackt und dann eine generische E-Mail verschickt, um zum Zahlen zu bewegen. Dass der Laptop infiziert ist halte ich für unwahrscheinlich. Aber wirklich sicher könnte man wahrscheinlich nur mit kompletter Neuinstallation und ggf. noch Router neu flashen sein?
Wie würdet ihr hier vorgehen?

Und natürlich muss ein Passwortmanager her, aber das will ja immer keiner hören, bis es dann zu spät ist...

Wahrscheinlich wurde sie gar nicht gehackt. Die Masche mit den perversen Bildern, die man angeblich über die Webcam aufgenommen hat, ist alt. Und deine Verwandte soll mal schauen ob ihre E-Mail-Adresse hier aufgelistet ist:
https://haveibeenpwned.com/

Wenn ja, dann hat sie das Passwort wohl mehrfach verwendet. Oder der Mailanbieter wurde mal gehackt und sie hat das Passwort seitdem nicht geändert.

Ach so, du meinst das Passwort stammt einfach aus einer Datenbank? Taucht zwei Mal auf, 2018 und 2019. Wurde natürlich nie geändert.

Hab die Email jetzt vorliegen, kam von irgendeinem chinesischen SMTP-Server. Also sicher nicht von t-online.de. Gut, damit dürfte die Sache klar sein...

Ja. Kann sein, dass sie das Passwort irgendwo mal verwendet hat und die Website wurde dann mal gehackt. Und deshalb taucht das Passwort jetzt in diesen Datenbanken auf.

Aber wie gesagt, die Masche mit den "perversen Bildern" ist bekannt und harmlos.

Ok, war nur kurz irritiert, den Fall dass das echte Passwort genannt wird, hatte ich in all den Jahren noch nicht :ugly:

Kennwörter ändern. Pro Dienst ein Kennwort.

Falls das Kennwort auch für Router & Notebook verwendet wurde: (Wenn jemand mit "Ahnung" sich um den Fall kümmern kann: Notebook mit z.B. desinfec't checken... ansonsten: ) Daten sichern, neu installieren.

Der Laptop hat gar kein Passwort. Emsisoft habe ich mal drüber gejagt, das hat nichts gefunden.

Wenn kein Kennwort genutzt wurde, sind die Daten auch nicht schützenswert.
Sorry wenn ich hier nicht mehr ernst bleiben kann. Komfort und Sicherheit sind nicht vereinbar.

Das ist in der Regel Fake und so alt wie das Internet. Man braucht keinen Zugriff auf Emailpostfächer um diese als Sender auszugeben.

Zb.:

https://answers.microsoft.com/de-de/outlook_com/forum/all/fremde-mail-von-vermeintlich-eigener-email-adresse/2412faed-dbcd-4e78-a9cd-528b47d6e0a7

Hab auch ne Fritz!Box 7530. Aktuelle Firmware. Muss ich mir nun trotzdem Sorgen machen? :uponder:

Das ist in der Regel Fake und so alt wie das Internet. Man braucht keinen Zugriff auf Emailpostfächer um diese als Sender auszugeben.

Zb.:

https://answers.microsoft.com/de-de/outlook_com/forum/all/fremde-mail-von-vermeintlich-eigener-email-adresse/2412faed-dbcd-4e78-a9cd-528b47d6e0a7

T-Online wird ja wohl DMARC aktiv haben als E-Mail Provider.
SPF und DKIM sicherlich auch.

Hab auch ne Fritz!Box 7530. Aktuelle Firmware. Muss ich mir nun trotzdem Sorgen machen? :uponder:

Hast du mit angeschlossener webcam am Rechner onaniert?


@Lurtz
Deine Bekannte braucht überall 2FA. Normale Leute können mit PWs nicht umgehen.

https://www.verbraucherzentrale.de/wissen/digitale-welt/phishingradar/erpressung-per-email-angeblich-porno-geguckt-und-kamera-gehackt-29927

Das ist fake und ein altes Passwort aus irgendeinem Leak wird genannt. Die haben ansonsten nichts vorliegen. Passwörter ändern und Mail löschen fertig.

Ich denke auch, da wurde "gar nix" gehackt. Die Frage ist vllt auch eher, was ist (noch) so an Schadprogrammen auf dem Laptop...

Wenn kein Kennwort genutzt wurde, sind die Daten auch nicht schützenswert.
Sorry wenn ich hier nicht mehr ernst bleiben kann. Komfort und Sicherheit sind nicht vereinbar.
Die Frau ist über 60 und hat mit IT-Sicherheit so viel am Hut wie mit der Aktienrente. Traurig, aber die Realität.
T-Online wird ja wohl DMARC aktiv haben als E-Mail Provider.
SPF und DKIM sicherlich auch.

Klingt nicht danach:
https://telekomhilft.telekom.de/t5/E-Mail/Wann-wird-es-DKIM-und-DMARC-geben/td-p/6720714

Also die E-Mail an sie selbst kam definitiv von einer chinesischen Adresse, nicht von T-online. Dennoch wurde das Konto von T-Online als Absender von Betrugs-Emails geflaggt und erst jetzt nach Änderung sämtlicher Passwörter wieder freigeschaltet.

Kein DMARC? Also ohne shice, ich bin gerade echt schockiert.
Sowas ist grob fahrlässig.

Freemail...

Hast du mit angeschlossener webcam am Rechner onaniert?

Nee, ich hab keine Webcam, ich kann also völlig ungestört strüffeln. ;)

404

Eine Verwandte wurde "gehackt". Sie hat eine E-Mail in ihr T-Online-Postfach bekommen, das vom gleichen Konto abgeschickt wurde. Sie soll 600€ in Bitcoin bezahlen, blabla sonst werden perverse Bilder von ihr an sämtliche Kontakte geschickt. Angeblich wurde über eine Sicherheitslücke im Router (Fritz Box 7530 mit aktuellen Updates) ein Trojaner auf ihrem Laptop installiert (Windows 10 mit aktuellen Patches), Passwörter ändern sei sinnlos, er sei ja noch auf dem System. In der E-Mail stand auch das korrekte Passwort des E-Mail-Zugangs.

Von T-Online gabs dann auch noch eine "Angriffswarnung", es gab einen gescheiterten Login im Amazonkonto, seitdem ist bisher Ruhe jetzt den dritten Tag (und nach Ablauf der Frist).

Ich vermute das ganze Drumherum ist Budenzauber und da wurde einfach das extrem einfache Wörterbuchpasswort des E-Mail-Kontos geknackt und dann eine generische E-Mail verschickt, um zum Zahlen zu bewegen. Dass der Laptop infiziert ist halte ich für unwahrscheinlich. Aber wirklich sicher könnte man wahrscheinlich nur mit kompletter Neuinstallation und ggf. noch Router neu flashen sein?
Wie würdet ihr hier vorgehen?

Und natürlich muss ein Passwortmanager her, aber das will ja immer keiner hören, bis es dann zu spät ist...


Würde Laptop NEU UND CLEAN INSTALL machen.

Danach alle PW ändern

So eine email hab ich auch mal bekommen, IIRC sogar die gleiche email mehr als einmal. War auch sonst wenig überzeugend, so ohne webcam und einem zwar echten aber veralteten Passwort... hab das trotzdem mal recherchiert, also einfach nach dem Email-Text gesucht, und da kamen mehrere Treffer.

Passwörter ändern und sonstige Sicherheitsmaßnahmen sind trotzdem anzuraten.

Die Meldung ist Fake aber das Passwort ist echt, weil es aus einer gehackten Datenbank stammt.

Das gute deutsch der email lässt auch darauf schließen das die Absender wissen was sie tun.
Fotos gibts allerdings nicht, das haben auch andere erhalten deren Webcam gar nicht aktiv war oder zur Wand steht.

Wenn der Virenscanner nichts findet, wird das System noch sicher sein.
Könnte auch ein Fritzbox Leck gewesen sein, ausschließen würde ich das jetzt nicht.

Mittlerweile melden ja nicht mal mehr große Unternehmen rechtzeitig das sie beklaut worden sind. Microsoft? Google? Amazon? Man weiß es nicht...
Amazon oder Paypalshops haben aber ziemlich sicher ein Leck, denn manchmal erhält man 1 Tag nachdem man was dort gekauft hat, so eine Spammail. Woher weiß er denn das wir dort gekauft haben?

Mittlerweile melden ja nicht mal mehr große Unternehmen rechtzeitig das sie beklaut worden sind. Microsoft? Google? Amazon? Man weiß es nicht...
Amazon oder Paypalshops haben aber ziemlich sicher ein Leck, denn manchmal erhält man 1 Tag nachdem man was dort gekauft hat, so eine Spammail. Woher weiß er denn das wir dort gekauft haben?
hä? ich hab noch nie so eine mail bekommen. das da nicht jeder betroffen ist, zeigt das es die shops ganz sicher nicht sind.



ich glaube eher, das datensparsamkeit hier hilft. wenn jemand meint, überall seine daten zu verbreiten(man hat ja nichts zu verstecken), dann wird man einfach schneller zum ziel.

Freemail...

Dann kann man ihr nur raten z.B. zu Gmail zu wechseln.
Dort erhält man erst gar nicht eine E-Mail ohne bestandenen DMARC / SPF Check.

“Unable to send email to Gmail: This message does not pass authentication checks (SPF and DKIM both 550-5.7.26 do not pass).”
If you are sending out emails to Gmail subscribers and receiving this error message, then it means Gmail has rejected the entry of your messages as they failed DMARC authentication checks. In short, Gmail has now mandated the deployment of SPF, DKIM, and DMARC to combat phishing, spamming, and spoofing.

hä? ich hab noch nie so eine mail bekommen. das da nicht jeder betroffen ist, zeigt das es die shops ganz sicher nicht sind.

Legst du deine Hand ins Feuer für einen asia Shop der bei Amazon handelt?

Gerade die Chinesenshops, denen kann es egal sein was unsere Gesetzgebung sagt. Die kopieren einfach wie es ihnen beliebt.

Woher weiß der Schreiber der Mail denn das man was bestellt hat? Das kann ja niemand wissen außer Amazon+X

500 Tage kommt keine email und dann 1 Tag nach der Bestellung eine passende mit "Deine Bestellung" oder "deine Paypal Zahlung"... das is kein Zufall.
Könnte auch ein Mitarbeiter sein der damit gutes Geld "nebenbei" verdient.

ich kann leider nicht nachvollziehen was genau in den emails steht. aus euren emails hab ich nur erfahren, das sie euch beim wichsen erwischt haben. das hat nichts mit shops zu tun. das sind wie schon erwähnt einfach emails mit alten pw aus alten leaks, die mit glück hoffen, ein paar dumme zu erwischen.

Dann kann man ihr nur raten z.B. zu Gmail zu wechseln.
Dort erhält man erst gar nicht eine E-Mail ohne bestandenen DMARC / SPF Check.

“Unable to send email to Gmail: This message does not pass authentication checks (SPF and DKIM both 550-5.7.26 do not pass).”
If you are sending out emails to Gmail subscribers and receiving this error message, then it means Gmail has rejected the entry of your messages as they failed DMARC authentication checks. In short, Gmail has now mandated the deployment of SPF, DKIM, and DMARC to combat phishing, spamming, and spoofing.
Selbst die anderen deutschen Freemailer wie die von United Internet haben das aktiv (seit Ende 2021) :ugly: