Passwörter missbraucht

[halo44]

In den letzten Tagen hat jemand in zwei Fällen meine E-Mail-Adresse missbraucht. Ich kann jedoch nicht nachvollziehen was die beiden verbindet.

Im ersten Fall erhielt ich vorgestern vom Telekom Sicherheitsteam eine E-Mail folgenden Inhalts:

Über Ihre E-Mail-Adresse xxxxxxxx@t-online.de wurden Spam-Mails versendet. Hierfür wurde das Passwort für E-Mail-Programme verwendet.

Zu Ihrem Schutz haben wir den Versand von E-Mails über E-Mail-Programme, z.B. Microsoft Outlook oder Mozilla Thunderbird, gesperrt.

Ich solle ein neues Passwort für meinen Telekom Login und mein E-Mail-Passwort vergeben. Das habe ich sofort gemacht.

Im zweiten Fall erhielt ich beim Online-Banking eine Lastschriftankündigung für einen Bezahldienst, den ich allerdings schon vor einem halben Jahr gekündigt hatte.

Bei der Kontaktaufnahme zum Bezahldienst erfuhr ich, dass im November mein Konto reaktiviert wurde, dass aber als Kontaktadresse eine andere E-Mail-Adresse eingesetzt wurde. Die Adresse könne man mir aus Datenschutzgründen nicht mitteilen, allerdings sehe diese "sehr merkwürdig" aus.

Unter Anleitung der Mitarbeiterin des Bezahldienstes wurden eine alternative E-Mail-Adresse für mich eingesetzt, das Passwort zurückgesetzt und die Kündigung wieder gebucht. Den abgebuchten Betrag wird man mir erstatten.

Das zeitliche Zusammentreffen der beiden Ereignisse kann meiner Meinung nach kein Zufall sein. Ich kann mir allerdings nicht erklären, wie jemand an mein Passwort für den Thunderbird und an das (andere) Passwort für den Account beim Bezahldienst kommen kann.

Ich habe bisher noch nie Probleme ähnlichen sicherheitsrelevanten Zusammenhangs erfahren.

Vielleicht kennt ihr euch hier besser aus als ich. Oder könnt mir raten, was ich noch weiter unternehmen sollte.

Vielen Dank.

Gruß H.

[uname]

Bei der Kontaktaufnahme zum Bezahldienst erfuhr ich, dass im November mein Konto reaktiviert wurde

Ich würde mal gerne wissen was das für ein Bezahldienst ist. Normalerweise sollte sowas nicht ohne einen zweiten Faktor funktionieren.

[thunder11]

Im ersten Fall erhielt ich vorgestern vom Telekom Sicherheitsteam eine E-Mail folgenden Inhalts:

Über Ihre E-Mail-Adresse xxxxxxxx@t-online.de wurden Spam-Mails versendet. Hierfür wurde das Passwort für E-Mail-Programme verwendet.

Zu Ihrem Schutz haben wir den Versand von E-Mails über E-Mail-Programme, z.B. Microsoft Outlook oder Mozilla Thunderbird, gesperrt.

Ich solle ein neues Passwort für meinen Telekom Login und mein E-Mail-Passwort vergeben. Das habe ich sofort gemacht.

Von meinem Gefühl her würde ich sagen, dass du auf einen ziemlich weit verbreiteten Trick reingefallen bist.
War da vielleicht noch ein Link bei, wo du dein Passwort ändern solltest ?
Ich hätte erstmal getestet, ob ein Versand möglich ist, falls nicht hätte ich versucht die Telekom telefonisch zu kontaktieren,
falls das überhaupt noch möglich ist (eventuell Chat über Telekom -Seite), aber auf keinen Fall aus dem Mail-Programm heraus.

In der Steinzeit ( so um die 15 Jahre her) hatte ich auch so ein Problem. Damals konnte man das noch Telefonisch lösen.

[cosinus]

So als Außenstehender im Forum kann das auch niemand mit Sicherheit genau sagen, man kann nur mutmaßen.

1.) Welche Betriebssysteme verwendest du? Außer Debian auch noch Windows?
2.) Wie vergibst du deine Passwörter?
3.) Hast du für jeden Zugang ein eigenes (starkes) Passwort?
4.) Welche andere E-Mail-Adresse war das, kannst du aus der irgendwas ableiten?

[kalle123]

Ich hänge da noch was dran.

LAN/WLAN?
Zugriffe mittels Smartphone?

[halo44]

... Ich würde mal gerne wissen was das für ein Bezahldienst ist. Normalerweise sollte sowas nicht ohne einen zweiten Faktor funktionieren.

Es handelt sich um Netflix. Bei einer Kündigung entfernen sie offensichtlich die Zugangsdaten nicht, um dir die Reaktivierung "leichter" zu machen.

Gruß H.

[halo44]

... War da vielleicht noch ein Link bei, wo du dein Passwort ändern solltest ?
Ich hätte erstmal getestet, ob ein Versand möglich ist, falls nicht hätte ich versucht die Telekom telefonisch zu kontaktieren ...

Nein, es war kein Link dabei. Im Text der Mail wurde die Adresse für mein-magenta-kundencenter erwähnt. Dort fand ich die Anleitung zur Entsperrung meines Telekom-Zugangs, Änderung des Telekom-Login-Passworts und Änderung des Passworts für E-Mail-Programme.

Danach konnte ich E-Mails versenden. Vorher habe ich das nicht versucht.

Gruß H.

[halo44]

So als Außenstehender im Forum kann das auch niemand mit Sicherheit genau sagen, man kann nur mutmaßen.

1.) Welche Betriebssysteme verwendest du? Außer Debian auch noch Windows?
2.) Wie vergibst du deine Passwörter?
3.) Hast du für jeden Zugang ein eigenes (starkes) Passwort?
4.) Welche andere E-Mail-Adresse war das, kannst du aus der irgendwas ableiten?

1.) Nur Debian
2.) Inzwischen nur noch über KeepassXC. Mein Passwort für Thunderbird existierte allerdings schon vor Einsatz von KeepassXC, hat nur 8 Stellen, aber Groß- und KLein-Buchstaben sowie Ziffern, keine Sonderzeichen.
3.) Wie gesagt, fast für jeden.
4.) Wenn ich Deine Frage richtig verstehe, meinst Du die E-Mail-Adresse als Benutzerzugang für den Bezahldienst. Das war die gleiche Adresse von der aus der Spam versendet wurde.

Gruß H.

[halo44]

Ich hänge da noch was dran.

LAN/WLAN?
Zugriffe mittels Smartphone?

Ich nutze von meinem Desktoprechner nur LAN. Vom Notebook auch WLAN, aber dort nutze ich Thunderbird nicht. Auf meine E-Mails greife ich nicht vom Smartphone zu und versende auch keine.

Gruß H.

[thunder11]

Im Text der Mail wurde die Adresse für mein-magenta-kundencenter erwähnt. Dort fand ich die Anleitung zur Entsperrung meines Telekom-Zugangs, Änderung des Telekom-Login-Passworts und Änderung des Passworts für E-Mail-Programme.

Der Link war in der Mail angegeben?
Oder hast du das das im Browser z.B. über ein Lesezeichen aufgerufen ?
Wenn der Link in der Mail war, würden bei mir sämtlich Warnlampen blinken
und die Sirenen losgehen

[halo44]

Im Text der Mail wurde die Adresse für mein-magenta-kundencenter erwähnt. Dort fand ich die Anleitung zur Entsperrung meines Telekom-Zugangs, Änderung des Telekom-Login-Passworts und Änderung des Passworts für E-Mail-Programme.

Der Link war in der Mail angegeben?
Oder hast du das das im Browser z.B. über ein Lesezeichen aufgerufen ?
Wenn der Link in der Mail war, würden bei mir sämtlich Warnlampen blinken
und die Sirenen losgehen

Habe ich doch geschrieben: es war kein Link, die Adresse war im Mailtext angegeben und war die richtige für den Kundenservice. Da gab's nichts anzuklicken. Bei Klick auf den Text passierte nichts. Jetzt klar?

Gruß H.

[cosinus]

2.) Inzwischen nur noch über KeepassXC. Mein Passwort für Thunderbird existierte allerdings schon vor Einsatz von KeepassXC, hat nur 8 Stellen, aber Groß- und KLein-Buchstaben sowie Ziffern, keine Sonderzeichen.

Und dieses Passwort wird ganz sicher nur da benutzt? Für andere Logins hast du ganz sicher andere Passwörter vergeben?
Wenn ja und ja, dann sehe ich erstmal so keine offensichtliche Ursache, wie das Passwort abgegriffen werden konnte. Vllt durch Phishing und du weißt es nicht mehr? Kann hier niemand mehr rekonstruieren.

[thunder11]

Hast du von der Telekom im Nachhinein eine Bestätigungs- Mail bekommen ?
Dann hätte sich mein Verdacht nicht bestätigt.
siehe: https://www.telekom.de/hilfe/internet-t ... ecked=true
Mir ist nicht ganz klar, was ein Passwort- Manager mit deinem Mail-Account zu tun hat.
Die Zugangsdaten werden doch im Mail-Client gespeichert ?
Der Klau deiner Zugangsdaten wird wahrscheinlich über einen Hack in irgendeine Kunden-Datenbank
passiert sein. Benachrichtigt wird man darüber meist eh nicht, weil peinlich.
Oder eben - wie cosinus sagte - durch Phishing .

Wind davon hab ich in meinem Internet- Leben nur drei mal bekommen:
UBS Hack in Amerika (bekam dann auf Anforderung einen kompletten Satz neues Plastik-Geld gratis)
Einmal wurde der Firmen- Account eines entfernten Bekannten gehackt.
Woraufhin ich mit seinem Spam und Vertragstexten "beglückt" wurde.
Und dann wie erwähnt die Sperrung meines Accounts wg. Spam. Damals war das aber alles noch sehr
persönlich (Telefon )

[halo44]

... Und dieses Passwort wird ganz sicher nur da benutzt? Für andere Logins hast du ganz sicher andere Passwörter vergeben?
Wenn ja und ja, dann sehe ich erstmal so keine offensichtliche Ursache, wie das Passwort abgegriffen werden konnte. Vllt durch Phishing und du weißt es nicht mehr? Kann hier niemand mehr rekonstruieren.

Dieses Passwort wurde nur bei allen Diensten der Telekom (Fax-Versand über PC, MagentaTV, MagentaCloud, Homepagedesigner) verwendet. Nutzt man einen Telekom-Dienst wird dies automatisch durch die Telekom versorgt.

Allerdings ist dieses Passwort identisch mit dem E-Mail-Passwort für den Thunderbird gewesen, was ich jetzt bei der Änderung der Passwörter nicht mehr so handhabe.

Phishing schließe ich aus.

Gruß H.

[halo44]

Hast du von der Telekom im Nachhinein eine Bestätigungs- Mail bekommen ?
Dann hätte sich mein Verdacht nicht bestätigt ...

Ja, diese Mail habe ich bekommen:

Telekom Login Passwort geändert
für Benutzername: xxxxxx@t-online.de

Passwort für E-Mail-Programme geändert
für Benutzername: xxxxxx@t-online.de

Bitte hinterlegen Sie nun das neue Passwort auch in Ihrem E-Mail-Programm (z. B. Outlook, Thunderbird oder ähnliche) auf Ihrem Computer oder Smartphone, damit Sie Ihre E-Mails wieder wie gewohnt abrufen können.

Gruß H.

[cosinus]

Allerdings ist dieses Passwort identisch mit dem E-Mail-Passwort für den Thunderbird gewesen, was ich jetzt bei der Änderung der Passwörter nicht mehr so handhabe.

Phishing schließe ich aus.

Naja, es hätte ja sein können, dass ein Cracker irgendwo in eine DB eingebrochen ist um dort (ungesalzene) Passwörter abzugreifen. Und weil viele Menschen faul sind, nehmen sie gerne ein und dasselbe Passwort für alles. Da ist es dann für die Cracker dann leichtes Spiel weil sie ja nur einmal das Passwort eines Users abgreifen müssen.

Vllt hattest du auch einfach Pech und das Passwort wurde erraten. Ist meinem Vater auch schonmal passiert, ist aber schon ein paar Jahre her und das war auch vom T-Online-Mailkonto. Der SMTP-Versand wurde dann gesperrt und wir mussten das freischalten lassen. War aber ein sehr einfaches Passwort, acht Zeichen insgesamt, sieben Kleinbuchstaben und eine Zahl irgendwo in der Mitte.

[halo44]

Update: die Info über den Missbrau war tatsächlich von der Telekom. Sie haben mir die gleiche Info heute zusätzlich per Postbrief zugestellt.

Gruß H.

[MSfree]

Update: die Info über den Missbrau war tatsächlich von der Telekom. Sie haben mir die gleiche Info heute zusätzlich per Postbrief zugestellt.

Gleicher Fall hier bei meiner Bekannten. Sie konnte keine Emails mehr verschicken und es war eine Email von der Telekom in ihrem Postfach, das den Sachverhalt beschrieben hat.

Man muß sich im Kundenzentrum der Webseite anmelden und wird hier auch sofort aufgefordert, die beiden Passwörter neu einzurichten. Die Benutzerfürung durch das Prozedere ist allerdings ziemlich verwirrend.

Ich habe eher das Gefühl, daß die Telekom gehackt wurde und Kundendaten abgezogen wurden. Passwörter lagen wohl mal wieder wie üblich unverschlüsselt in Datenbanken rum. Ich vermute, daß die Telekom hier prophylaktisch alle betroffenen Konten gesperrt hat und alle jetzt aufgefordert werden, ihr Passwort neu zu setzen. Das hinterläßt allerdings beim Kunden immer ein mulmiges Gefühl, weil der nicht weiß, ob er selbst oder "nur" die Telekom gehackt wurden.

[halo44]

... Ich habe eher das Gefühl, daß die Telekom gehackt wurde und Kundendaten abgezogen wurden ...

Möglich, dass Du Recht hast. Immerhin ist der festgelegte Benutzername beim unberechtigt reaktivierten Netflix-Konto identisch mit meiner Telekom E-Mail-Adresse. Zwar ist das Passwort ein anderes - ist aber mit nur 8 Stellen, Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen nicht gerade sehr stark.

Gruß H.