Anzeichen für Microsoft Hack?

[DerDa81]

Hallo zusammen,
heute wurde ich über verdächtige Aktivitäten bei meinem Microsoft Konto von Microsoft informiert (Login Versuch vom Ausland (Brasilien, Indien, Russland & USA).
Ich habe in der History gesehen, dass dies bereits seit mehreren Wochen der Fall ist.

Grundsätzlich ist das MS Konto mit mehreren Faktoren geschützt (weitere Mailadresse, Authenticator App, Handynr).

Da ich Entweder Seitenspezifische oder (meistens) generierte Kennwörter verwende, kann dieses Passwort nicht aus einem der Leaks der Vergangenheit stammen, da das Kennwort nur einmal verwendet wurde und in dem Fall auch einen Bezug zu Microsoft hat (insgesamt aber 25 Zeichen hat mit Sonderzeichen, Groß-/Kleinschreibung & Zahlen). Also über Bruteforce kann es kaum geknackt worden sein.

Hier die History:

Was mich nun verwundert: Manchmal steht dran, "Falsches Kennwort eingegeben" und manchmal "ungewöhnliche Aktivitäten erkannt / Ausfgelöste ungewöhnliche Aktivitäten". Siehe hier:

Bei falsches Kennwort ist klar, was passiert ist. Aber was bedeutet das mit diesen ungewöhnlichen Aktivitäten? Hatte da der "Angreifer" das richtige Kennwort? Microsoft hatte nämlich auch zum Ändern des Passworts geraten, was ich getan habe.

Allerdings bekomme ich im Microsoft Authenticator eine Anfrage, wenn ich mich anmelde, die ich mit einer Zahl bestätigen muss, damit ich mich endgültig einloggen kann. In den letzten Wochen wäre mir eine ungewollte Anfrage nicht aufgefallen, was ja dagegen spricht, dass das Passwort geleaked ist?!

Wie schätzt ihr das ganze ein?

Grüße

 

[xerex.exe]

Emailadresse bei haveibeenpwned.com eingegeben und schauen ob du irgendwo auftauchst.

Wenn ja passwort und 2fa einschalten als minimum, besser aber komplett die Email wechseln.

 

[jtr00]

Ist eine übliche Begebenheit, grade wenn z.B. die verwendete E-Mailadresse schon mal von einem Leak betroffen war. Gibt es eine Vielzahl Berichte hier und darüber hinaus.

Mit einem ausreichend langen, komplexen und regelmässig wechselnden Passwort sowie 2FA fühle ich mich persönlich sicher genug um mir darüber keine Gedanken zu machen.

Wenn du noch mehr Seelenfrieden brauchst, würde ich die Mailadresse wechseln.

 

[Eletron]

Die Änderung deines Passwortes war gut.

Ich könnte mir vorstellen, dass deine mit dem MS Konto verbundene E-Mail-Adresse irgendwo aufgetaucht ist und nun versucht wurde, das PW zu knacken z. B. mit einer Wörterbuchattacke

Ich würde die Mail-Adresse bei haveibeenpwned.com prüfen und diese ggf. auch tauschen.

 

[K3ks]

Login Versuch

That's it, ignorier es.

 

[kartoffelpü]

Zumindest die automatische Synchronisierung aus Brasilien kommt mir spanisch portugiesisch vor. Da ruhig mal in die Details schauen, was das sein soll.

 

[sikarr]

gibt es die Möglichkeit bei M$ die Anmeldeorte einzuschränken? Wir hatten in Firma einen ähnlichen Fall und blockieren unrealistische Anmeldeorte einfach. Also aus Brasilien wird sich bei uns keiner Anmelden daher zu.

 

[DerDa81]

Emailadresse bei haveibeenpwned.com eingegeben und schauen ob du irgendwo auftauchst.

Die Adresse scheint laut der Seite nicht geleaked worden zu sein.

Wenn ja passwort und 2fa einschalten als minimum, besser aber komplett die Email wechseln.

Wie bereits erwähnt, sind bei mir 3 bzw. 4 Faktoren bereits aktiv, von daher sollte ich wohl save sein.

Zumindest die automatische Synchronisierung aus Brasilien kommt mir spanisch portugiesisch vor. Da ruhig mal in die Details schauen, was das sein soll.

Siehste, da hab ich gar nicht drauf geschaut bzw. habe ich übersehen. Das ist kurios. Ich konnte jetzt allerdings in onedrive nichts seltsames feststellen. In den Details steht auch "nicht erfolgreiche Synchronisierung". Wirft allerdings die Frage auf, warum hier von Synchronisierung gesprochen wird? Wurde versucht die Adresse in Onedrive am PC einzugeben?!

Alles in Allem scheint nach eurer Ausführung aber kein richtiger Zugriff auf das Konto stattgefunden zu haben, sondern lediglich der Versuch. Beruhigend.

 

[Tornhoof]

Ggf. hat einer versucht deinen User in sein eigenes Active Directory hinzuzufügen, in der Hoffnung dass es dann bestimmte Sicherheitsmechanismen umgeht.

 

[Conqi]

Wie auch von vielen anderen schon gesagt: so lange es nur Versuche sind, ist das kein großes Problem. Sieht bei mir zum Beispiel noch viel schlimmer aus.

Grundsätzlich ist das MS Konto mit mehreren Faktoren geschützt (weitere Mailadresse, Authenticator App, Handynr).

Mehr Optionen sind aber nicht besser, weil man damit nur mehr Einfallstore hat. Ich würde zum Beispiel die Handynummer rauswerfen.

gibt es die Möglichkeit bei M$ die Anmeldeorte einzuschränken?

Nein, die Option ist Firmen vorbehalten. Für Privatpersonen macht das auch nur sehr begrenzt Sinn. Es ist ziemlich leicht, sich damit permanent auszusperren, wenn man nicht genau weiß, was man tut.

 

[lordlaschi]

Auf dem zweiten Screenshot ist (d)ein Email-Alias zu sehen - solltest du vermutlich rausnehmen.

 

[BFF]

Wie schätzt ihr das ganze ein?

Das sind Bots.

Diese Versuche gibt es schon seit gefühlten Ewigkeiten. Und solange es der Versuch bleibt mit falschem Passwort ist alles fein.

In den letzten Wochen wäre mir eine ungewollte Anfrage nicht aufgefallen, was ja dagegen spricht, dass das Passwort geleaked ist?!

Passwort nicht. Emailadresse eher.

Allerdings muss die nicht unbedingt aus einem Leak abgegriffen sein, dass kann auch von plappernden Apps oder abgegriffenen Kontakten Deiner Umgebung stammen.

Da diese Versuche letztes Jahr wohl verstärkt los gingen denke ich persönlich das die Adressen bei MS abgeholt wurden damals bei dem Einbruch bei denen.

 

[DerDa81]

Ok, also dann schein ich mir jetzt keine Sorgen machen zu müssen. Die eMailadresse verwende ich sowieso nirgends (außer für die Windows Anmeldung & MS 365), ist also nur ein Kollateralschaden des Microsoft-Kontos.

Mehr Optionen sind aber nicht besser, weil man damit nur mehr Einfallstore hat. Ich würde zum Beispiel die Handynummer rauswerfen.

Ein altes (längst vergessenes Konto) von mir wurde vor ein paar Monaten gehackt. War ne krasse Sache. Das war mit einer GMX Mailadresse verbunden, die ich Jahrelang nicht verwendet hatte. Diese GMX Adresse wurde dann seitens GMX gelöscht und es hat sich diese Adresse jemand anderes (scheinbar ein Hacker) geholt. Dadurch konnte er zugriff auf mein (altes) Microsoft Konto erlangen. Blöderweise war auch noch Paypal als Zahlungsmethode hinterlegt, weshalb er über das übernommene Konto Käufe tätigen konnte.
Ziemlich perfide das ganze irgendwie. Auf jeden Fall hat mir damals Microsoft mitgeteilt, dass, solange ich kein zugriff auf mein GMX Konto habe, ich keinerlei Möglichkeit habe, das Microsoft Konto zurück zu bekommen. Der Rat damals war, ich solle für mein Haupt Microsoft Konto mind. 2 weitere Faktoren hinterlegen. Daher verfügt es über die Faktoren Handynr., 2 Mailadressen + Authenticator App.

 

[M@rsupil@mi]

Die ganze Account-Sicherheit ist schon ein sehr komplexes Thema, womit man sich leider auch gut beschäftigen muss. Ansonsten hat man früher oder später ein Problem.

Nicht nur wird da immer mehr miteinander verknüpft, sondern ein Verlust kann schmerzhaft werden, wenn mehr und mehr Dienste darüber laufen. Der MS Account für Windows & Office deckt ja auch so einiges ab. Lizenzen, Daten in OneDrive und ggf. dein Bitlocker-Recovery-Key (oftmals automatisch und heimlich im Hintergrund aktiviert).

Da mehr als einen Weg (für einen selbst in den Account) zu haben ist schon gut, aber man muss dann auch selbst daran denken alle Wege 'aktuell' zu halten. Gab da schon so einige Leute, wo die alternative Mails oder Telefonnummer viele Jahre lang nicht mehr verwendet wird.

Im Fall der MS Authenticator App gilt es auch zu beachten, dass man die 2FA-App-Daten nur in die MS-Cloud sichern kann. Da kann man sich auch flott selbst aussperren, daher würde ich zu einer App raten, wo lokale Backups möglich sind, die man dann mit in das vorhandene Backupkonzept einpflegen kann.

Wenn einen die Zugriffsversuchsmeldungen stören, dann kann man sich im MS Konto auch einen Mail-Alias anlegen, der dann nur / ausschließlich für die Anmeldung verwendet wird.

Auf jeden Fall hat mir damals Microsoft mitgeteilt, dass, solange ich kein zugriff auf mein GMX Konto habe, ich keinerlei Möglichkeit habe, das Microsoft Konto zurück zu bekommen.

Es geht auch über das Account-Rcovey-Form ( -> https://support.microsoft.com/de-de...t-kontos-b19c02d1-a782-dee6-93c3-dc8113b20c42 ). Allerdings muss man dort extrem viele Infos angeben, um erfolgreich zu sein. U.a. wird dort nach Betreffs von Mails gefragt, die über das Konto verschickt wurden oder IP Adressen über die auf das Konto zugegriffen wurde. Kann man genug Fragen richtig beantworten, dann bekommt man wieder Zugriff auf das Konto. Ist allerdings ein automatischer Prozess und nichts, wo man irgendwie mit einem Menschen sprechen und diesen nur richtig bequatschen muss.

 

[Conqi]

Der Rat damals war, ich solle für mein Haupt Microsoft Konto mind. 2 weitere Faktoren hinterlegen.

Meine Empfehlung gilt natürlich nur dann, wenn die vorhandenen Faktoren wie alternative E-Mail auch funktionieren. Aber an deinem Beispiel sieht man ja sehr gut: mehr Alternativen (wie nicht genutzte GMX-Adressen) bedeuten mehr Optionen für Hacker, um rein zu kommen.

Teilweise macht es Microsoft einem aber auch nicht leicht. Ich würde am liebsten Handynummer UND E-Mail rauswerfen, aber eins muss man drin haben. Dabei habe ich beispielsweise auch zwei Yubikeys als Hardware-Login drin, aber das ist Microsoft wohl nicht geheuer.

 

[DerDa81]

Der MS Account für Windows & Office deckt ja auch so einiges ab. Lizenzen, Daten in OneDrive und ggf. dein Bitlocker-Recovery-Key (oftmals automatisch und heimlich im Hintergrund aktiviert).

Ja, da hängt bei mir schon auch sehr viel dran. Ich meinte nur, dass die eMailadresse selbst von MS von mir nirgends als Zugangsdaten hinterlegt sind.
Aber Grundsätzlich, wie du schon schreibst, hängt da wahnsinnig viel dran und irgendwie schon beängstigend. Vor allem, wenn man sieht, wie schnell ein Account weg sein kann (mein alter) und du da völlig Machtlos bist.

aber man muss dann auch selbst daran denken alle Wege 'aktuell' zu halten.

Ich glaube, neben sicheren Passwörtern ist das ein sehr großes Problem.

dass man die 2FA-App-Daten nur in die MS-Cloud sichern kann. Da kann man sich auch flott selbst aussperren,

Siehst du, daran habe ich noch gar nicht gedacht. Das wäre natürlich fatal. Wobei der Hacker dann erstmal an der Authtenticator App vorbei kommen musst.
Mit den anderen Faktoren hat man zwar evtl. Einfallstore, allerdings auch eine bessere Möglichkeit, den Account widerherzustellen.

Es geht auch über das Account-Rcovey-Form

Ich weiß nicht mehr genau, was das Problem war, aber auch das ging damals nicht. Ich hab wirklich alles versucht und gefühlt 100x angerufen und jedesmal wurde mir das gleiche gesagt, der Account ist unwiderruflich weg (gehört jetzt dem, der mich "gehackt" hat.
Eigentlich ein Unding, dass eMailadresse (in meinem Fall die von GMX) einfach so gelöscht werden können... Gerade in Bezug auf andere Accounts ist eine eMailadresse weit mehr als nur ein Kommunikationsmittel.

mehr Alternativen (wie nicht genutzte GMX-Adressen) bedeuten mehr Optionen für Hacker, um rein zu kommen.

Ja, das ist wohl wahr. Im Gegenzug aber auch weitere Möglichkeiten, den Account wieder zu bekommen. Der alte Microsoft Account von mir (den hatte ihc Jahre nicht benutzt und wohl 2008 angelegt) hatte neben der GMX Mailadresse keine weiteren Faktoren hinterlegt (war damals ja auch keine so krasse Zeit wie heute).
Der Hauptaccount hat keine alten oder ungültigen Faktoren. Das halte ich auch seit der Sache immer aktuell. Das war mir eine Lehre. Die eMailadresse muss extrem gut gehütet bzw. beschützt werden.

 

[BFF]

Im Fall der MS Authenticator App gilt es auch zu beachten, dass man die 2FA-App-Daten nur in die MS-Cloud sichern kann

Die muss man aber nicht nehmen um für ein MS Konto 2FA zu verwenden.