Guten Morgen Letzten Dienstag wurde mein Twitter Account gehackt. Jemand unbekanntes hatte einen Tweet (Werbung) mit einem Link versendet. 3 Stunden danach ist mir das Aufgefallen und ich habe meine Accountdaten als Archiv heruntergeladen, das Passwort geändert, mir die IP aus den Logs um diese Uhrzeit notiert und den Account geschlossen. Anschliessend habe ich alle meine Passwörter geändert. Ich habe nun 2 neue Twitteraccounts mit Two-Factor Authentication. Ich habe versucht die IP zurückzuverfolgen, aber als ich einen Portscan versucht habe habe ich festgestellt, dass es Anzeichen für die Verwendung von VPN gab, somit kann ich nicht sagen wer tatsächlich dahintersteckte. Eine Woche vorher hatte jemand mit den Passwortrücksetzoptionen meines E-Mail Accounts dweb@hotmail.ch herumgespielt (das war die E-Mail die ich bei meinem Twitteraccount verwendete), dort konnte ich die IP eindeutig einem VPN Service zuordnen. Ich frage mich nun wie ich herausfinden kann, wo die Sicherheitslücke war, und ob es eine Möglichkeit gibt herauszufinden woher eine VPN-Verbindung kommt. Kann ich villeicht die TTL von TCP-Packeten die durch einen VPN gehen benutzen, um eine art Traceroute durch den VPN hindurch durchzuführen, wenn eine derartige Verbindung erneut hergestellt wird, oder wäre der Versuch Zeitverschwendung? Gibt es sonstige möglichkeiten soetwas zukünftig zurückzuverfolgen oder zu verhindern? Sollte ich nun nochetwas beachten?
Bei VPN hast du fast keine Chance, recht oft endet das irgendwo in einem Tor-Netzwerk. Ich würde das ganze von anderer Seite angehen: Was war das denn für Werbung? Ein Hacker macht wohl kaum Werbung für eine ihm bedeutungslose Firma... Abgesehen davon kannst Du jetzt drauf warten dass deine anderen Accounts auch angegriffen werden. Die meisten #neuland-Profis haben ja z.T. E-Mail-Konto, twitter, Facebook, am_zon und eb_y miteinander verknüpft und verwenden dann auch idealerweise überall das selbe Passwort!
Vielleicht liegt die Lücke auch bei deinem Email Anbieter, der versuch des PW Rücksetzen spricht dafür.
Der Versuch des Passwort-Rücksetztens birgt oft Hinweise auf das Passwort oder schwache Fragen zur Erinnerung wie "Name der Freundin". Da kann ich gezielt alle Frauennamen durchgehen und werde recht schnell fündig.
Jeffrey L. schrieb: > Ich würde das ganze von anderer Seite angehen: Was war das denn für > Werbung? > Ein Hacker macht wohl kaum Werbung für eine ihm bedeutungslose Firma... Ich werde heute Abend nocheinmal nachsehen und den exakten Inhalt hier Posten, im moment bin ich gerade nicht Zuhause, wo ich die Kopie davon aufbewahre. Jeffrey L. schrieb: > Die meisten #neuland-Profis haben ja z.T. > E-Mail-Konto, twitter, Facebook, am_zon und eb_y miteinander verknüpft > und verwenden dann auch idealerweise überall das selbe Passwort! E-Mail und Twitter sind bei mir Verknüpft, die Restlichen aufgelisteten Dienste habe ich nicht. Allerdings hatte ich tatsächlich den Fehler gemacht z.B. bei GitHub das selbe Passwort zu nehmen, aber das habe ich gestern schon Behoben und nun verwende ich den Passwortmanager keepassx und ich habe überal wo es möglich war Two-Factor Authentication eingeschaltet. K. J. schrieb: > Vielleicht liegt die Lücke auch bei deinem Email Anbieter, der versuch > des PW Rücksetzen spricht dafür. Ja, Ich werde diesen Bereich noch genauer unter die Lupe nehmen. magic s. schrieb: > Der Versuch des Passwort-Rücksetztens birgt oft Hinweise auf das > Passwort Ich konnte dort bisher noch keine Passwort Hinweise finden, grundsätzlich versuche ich solche zu vermeiden.
Daniel A. schrieb: > E-Mail Accounts dweb@hotmail.ch Was soll man da noch sagen? Damit auch jeder gleich Bescheid weiß, musst du deine Mailadresse hier genau nennen? Ok ein Hotmail-Nutzer. Da weiß man dann sowieso schon Bescheid... Daniel A. schrieb: > Kann ich villeicht die TTL von TCP-Packeten die durch einen VPN gehen > benutzen, um eine art Traceroute durch den VPN hindurch durchzuführen, > wenn eine derartige Verbindung erneut hergestellt wird, oder wäre der > Versuch Zeitverschwendung? Absolute Zeitverschwendung. Schau dir doch mal an, wie das Internet aufgebaut ist. Paket A kann eine TTL von 50 haben, Paket B vielleicht 14. JEDES Paket kann eine komplett andere Route nehmen. Daniel A. schrieb: > Ich frage mich nun wie ich herausfinden kann, wo die Sicherheitslücke > war Die Lücke bist sehr wahrscheinlich du und dein schwaches Passwort oder eine zu hilfreiche Passworterinnerung. Und schmeiß den Hotmail-Schrott weg.
K. L. schrieb: > Daniel A. schrieb: >> E-Mail Accounts dweb@hotmail.ch > > Was soll man da noch sagen? Damit auch jeder gleich Bescheid weiß, musst > du deine Mailadresse hier genau nennen? > > Ok ein Hotmail-Nutzer. Da weiß man dann sowieso schon Bescheid... Das ist nunmal nicht meine primäre E-Mail Adresse. Es war eine meiner ersten E-Mail Adressen, und ich verwende Sie fast ausschließlich nur um Werbung von meinen anderen E-Mail Adressen abzufangen. Das ist echt nützlich, wenn man ein Programm herunterladen muss (z.B. Keil uVision), und diese dies nur mit angegebener E-Mail zulassen. Mittlerweile habe ich jedoch einen eigenen Mailserver und sehr viele E-Mail Adressen, und natürlich muss ich nocheine nennen: public@danielabrecht.ch K. L. schrieb: > JEDES Paket kann eine komplett andere Route nehmen Das mag sein, aber wie WAHRSCHEINLICH ist dass? -------------------------------------------------------------------- Jeffrey L. schrieb: > Ich würde das ganze von anderer Seite angehen: Was war das denn für > Werbung? Der Inhalt des Tweets der nicht von mir war lautete wiefolgt:
1 | Anyone interested in a quick and simple way to get some extra money? |
2 | tinyurl .com/j3lc85y |
Diese Adresse wird bei mir zu http://www.mirror.com-2015.site/. Ich hatte die Seite letztesmal sofort wieder geschlossen, und dachte es wäre nur Werbung um die Klickzahl einer Seite hochzutreiben. Aber es ist wohl eine Phishingseite. Alle Links darauf führen zur selben Seite und die Hauptseite ist von einer anderen Seite kopiert. Ich habe eine WHOIS abfrage auf beide Domains gemacht, die eine führt mich zu http://whoisprivacycorp.com/ (ACHTUNG: Nocheine Phishingseite) und die andere zu www.domainsbyproxy.com, welche echt zu sein scheint. Ich werde das ganze noch weiter untersuchen.
Wenn Du nichts besseres zu tun hast... Den böhsen Phisher in China oder Afrika hinter seinen 20 Proxies interessiert das deutsche Gesetz sowieso reichlich wenig.
Daniel A. schrieb: > Das ist echt > nützlich, wenn man ein Programm herunterladen muss (z.B. Keil uVision), > und diese dies nur mit angegebener E-Mail zulassen. Für so was nutzt man Dienste wie Spamgourmet. Die ermöglichen es dir, mit einem Zeitaufwand von etwa 5 Sekunden eine neue Mailadresse zu erstellen, nachdem du dich bei Spamgourmet angemeldet hast. Die Mails werden an deine E-Mail weitergeleitet. Der Witz dabei: Du kannst einstellen wieviele weitergeleitet werden (maximal 20). Das ist erheblich praktischer.
Thread beobachten
Seitenaufteilung abschaltenBitte melde dich an um einen Beitrag zu schreiben. Anmeldung ist kostenlos und dauert nur eine Minute.
Bestehender Account
Schon ein Account bei Google/GoogleMail? Keine Anmeldung erforderlich!
Mit Google-Account einloggen
Mit Google-Account einloggen
Noch kein Account? Hier anmelden.