Jetzt ist es mir nach fast 20 Jahren Internetnutzung wohl das erste Mal passiert, dass jemand scheinbar mein Hotmail Password gehackt hat. Ich hatte ein bisschen Glück, weil ich selber in meiner Kontakteliste stand und somit als einer der ersten folgende seltsame E-Mail bemerkt habe:
>>>
Bitte lesen Sie das Dokument hochgeladen i für Sie mit Google Docs.
Click Here melden Sie sich einfach mit Ihrer E-Mail, um das Dokument ist es sehr wichtig zu sehen.
Danke.
Volker Leitzgen
>>>
Die Untersuchung des Headers ergab, dass diese E-Mail tatsächlich über meinen Hotmail Account versendet wurde womit klar war, dass jemand mein Passwort kennen musste.
Received-SPF: Pass (: domain of hotmail.com designates 157.55.2.108 as permitted sender) receiver=; client-ip=157.55.2.108;helo=dub0-omc4-s33.dub0.hotmail.com;
Als allererstes habe ich erst einmal mit Word eine Serienemail an alle Vornamen und Emailadressen aus meinen Hotmailkontakten verschickt, dass mein Account gehackt wurde und sie die andere E-Mail bitte löschen sollten mit einer kleinen Entschuldigung. Das hat tatsächlich geholfen, weil sonst bestimmt mehrere auf den Link in der Spam Mail gedrückt hätten. Einem Freund der sofort drauf klickte, weil die Mail von mir kam, musste ich sofort noch helfen sein Google Passwort schnell wieder zu ändern, weil er seinen Account und Password auf der Phishing Seite angegeben hatte. Dies ist wohl das eigentliche Ziel der Angreifer gewesen Google Passwörter zu ergattern, zumindest führte der Link auf eine bekannte Phishing Seite nämlich diese tinyurl.com/o9fyyoz . Das beruhigte mich ein klein wenig, weil ich jetzt vermute das vielleicht eine Art Automatismus nur meine Emailadressen missbraucht hat und nicht mein ganzes Onedrive kopiert wurde. Das werde ich aber vermutlich nie erfahren, sodass ich nochmal mein Onedrive durchforsten werden, ob dort noch super confidential Inhalte drauf waren und wo ich dadurch vielleicht noch eine Action habe.
Da also niemand außer mir mein Passwort kennt musste ein Keylogger auf irgendeinem meiner Systeme gelaufen sein, auf denen ich mich mit meinem Microsoft Account eingelogged habe. Da alle meine Systeme ausreichend geschützt sind, blieb eigentlich nur noch mein Windows Server 2012 zu Hause übrig, den ich in letzter Zeit wenig benutzt hatte, aber kürzlich das Onedrive zum Laufen brachte, um ein Backup meiner Daten in der Cloud und auf dem lokalen Server zu haben. D.h. dort musste ich dann noch einmal mein aktuelles Microsoft Account Passwort eingeben.
Auf Grund einer Recherche von mir zu WSEE gestern fiel mir wieder ein, dass ich damals als Server 2012 raus kam keinerlei Antivirensoftware darauf installiert hatte, weil noch keine kostenfreie, gute Antivirensoftware darauf freigegeben war . Blöder Fehler da erst nach einem Jahr drauf zu kommen. Folgender Trick hat dann zur Lösung geführt: http://www.hardwareluxx.de/community/f281/windows-server-2012-microsoft-security-essentials-953380.html
Lange Rede – heute also gleich alle Scanner dieser Welt auf meinen Server drauf geschossen und bisher nichts nennenswertes gefunden. Seltsam, seltsam. Einige Scans laufen aber noch – berichte ich dann später ob ich dort etwas finde.
Das Drama natürlich ist nun, dass jemand der mein Passwort hatte damit nicht nur alle meine Emails und Kontakte sondern auch das komplette Onedrive kopieren konnte, wenn er das wollte. Ich bin gerade dabei das Desaster abzuschätzen und stoße dabei auf echt coole Sicherheitsfeatures, welche ich bei meinem Hotmail Account noch gar nicht angeschaltet hatte die da sind:
- Unter https://account.live.com einfach Two Step Verification anschalten
- Dazu kann man noch die Authenticator App aufs Windows Phone herunterladen
- Recovery Code an einem wirklicheren Ort speichern z.B. in der SecureWord App für Windows Phone
- Natürlich die üblichen Sicherheits Infos setzen, die man nicht erraten kann
Damit ist mein Microsoft Account Konto nun wirklich optimal nach heutigem Stand geschützt, sodass auch Trojan Keylogger usw. keine Chance haben. Danach musste ich meine Apps mit dem neuen App Password initialisieren wie z.B. die Windows Phone Mail App. Auch Skype hat danach beim Anmelden dann nicht nur nach dem Passwort sondern auch nach dem Authenticator Code gefragt, den die Windows Phone app alle paar Sekunden ändert. Jetzt fühle ich mich dort auf jeden Fall wieder sicher.
Interessant war dann das weitere Nachforschen woher die Hacker wohl stammen, die meinen Microsoft Account nutzten. Dies war möglich indem ich mir folgende Einträge unter Aktivitäten meines Microsoft Accounts angesehen habe. Zuerst habe ich die Einträge aus dem Ausland untersucht und dann jeden einzelnen aus Deutschland in letzter Zeit zu seltsamen Nachtzeiten z.B. Dabei fand ich mehrere Hinweise darauf, dass aus Regionen zugegriffen wurde, in welchen ich sicher nicht zu der Zeit war wie Berlin, Nürnberg, Frankfurt. Dabei musste ich natürlich auch sicher gehen, dass nicht irgendwelche Proxy Server o.ä. Gateways meiner normalen Internetverbindungen dort raus gingen wie z.B. unser interner Proxy der nahe London ins öffentlich Internet geht.
Die IP Adresse kann man dann noch mit tracert verfolgen und landet dann irgendwo im nirgendwo oder in diesem Falle bei
www.daphi.de . Keine Ahnung was diese Firma macht, aber definitiv hat sich jemand von dort in meinem Account angemeldet. Jedenfalls werde ich dieses Untersuchungsergebnis Microsoft intern melden und mal sehen was dann passiert. Im gesamten Internet habe ich nur einen kurzen Eintrag zu solchen Spam Mails gefunden, aber ich erinnere mich daran, dass ich selber erst kürzlich von einer anderen Hotmail Nutzerin solch eine seltsamen Mail bekommen hatte.
Aktuell habe ich also noch nirgends auf meinen Systemen einen Keylogger oder Torjaner o.ä. gefunden, sodass ich noch vor einem Rätsel stehe. Sobald ich rausgefunden habe, woran es gelegen hat, dass alle meine Hotmailkontakte Emailadressen missbraucht wurden, werde ich hier nochmal kommentieren. Ansonsten habe ich inzwischen alle meine Passwörter vor allem sofort Paypal, Amazon und Bank Account geändert und dann erst alle anderen Social Accounts. Nirgends scheint jemand die anderen Accounts geknackt zu haben was schon mal beruhigend war – dort hatte ich ja auch jeweils andere komplexe Passwörter wie es sich gehört.
Im Moment jedenfalls bin ich erst einmal etwas beruhigter und mache jetzt auch Feierabend während diverse Antimalware Scans auf einigen System weiterlaufen.
Volker said
Also bis zum heutigen Tage, habe ich nicht wirklich rausgefunden wie mein Account gehacked wurde. Vermutlich war ich bei diesen mehreren Millionen Username/Password Listen dabei welche letztes Jahr im Web kursierten, welche sicher für so einen Zweck missbraucht wurden. Auf jeden Fall fühle ich mich mit der Multifactor-Authentifizierung auf der sicheren Seite und werde nach wie vor alles in der Cloud speichern. Mit Windows 10 werden ab Spätherbst Geräte auf den Markt kommen, die als weiteren Faktor mit integrierter Specialkamera die Iris des Auges erkennen. Damit leiten wir das Ende von Username/Password endgültig ein und die IT-Welt wird wieder etwas sicherer.