Computer gehackt / FB übernommen / keine Schadsoftware zu finden

[tz1986]

Hi, es hat mich nun auch auf einem Mitarbeiter PC erwischt: Der PC wurde gehackt/übernommen, was sich dadurch geäußert hat, dass der FB Account (ohne Email Zugang) übernommen wurde.
Völlig unklar ist, wie das möglich war. Daher habe ich folgende Fragen:

1. FB hat mir Emails gesendet, dass die Email Adresse und später auch PW geändert wurde. Eine Email Bestätigung war nicht notwendig. Mit dem Link "Das war ich nicht" wurde auf dem Mitarbeiter PC angezeigt, dass die Änderung von diesem PC ausgeführt worden ist.
Frage: Warum konnte ohne Mail Zugriff alles geändert werden? Wie wurde der PC ferngesteuert? Da Zeitgleich ein Mitarbeiter am PC war, ist es noch verwunderlicher, dass die Fernsteuerung nicht bemerkt wurde, da "parallel gearbeitet" wurde.

2. Wenn Schadsoftware: Wie konnte diese auf einem aktuellen Win 10 PC mit Defender installiert werden? Zumal keine Admin Rechte vorhanden sind und vor Installationen Admin PW abgefragt wird?

3. Auch jetzt lässt sich keine Schadsoftware feststellen (Avira Free + Defender durchlaufen lassen).
Was kann ich tun?


Danke!

 

[whats4]

kübel plattmachen, neu&clean installieren.
weil nur das ist eine definierte basis. und avira free weglassen.

das mit FB halt mit FB klären, oder es als zeichen des schicksals sehen und f***book demissionieren.

 

[Grimba]

2 Fragen der Vollständigkeit halber:
1. Kannst du verifizieren, dass die E-Mail von FB authentisch war?
2. War der FB-Account schon gehackt, bevor du diese E-Mail erhalten hast, bzw. hast du das vor Nutzung des Links aus der E-Mail gegengecheckt?

 

[TorenAltair]

Allgemein: mit so dürftigen Informationen kann man nicht wirklich helfen außer: Alle Rechner neu aufsetzen.
Allerdings bezweifle ich ein Hacken allgemein und Schadsoftware auch. Vermutlich ein Layer 8-Fehler, den man "natürlich" auch nicht zugibt.
Zusätzlich: Scan auf Fremdsoftware macht man nur aus einem Offline-System heraus. In einem laufenden System lassen sich Prozesse völlig problemlos maskieren.

 

[kado]

Eventuell ein keylogger am hinteren USB? Dadurch hat man die Zugangsdaten,sobald die eingetippt wurden. Dann Zugriff am PC, wenn keiner da ist.

 

[tz1986]

2 Fragen der Vollständigkeit halber:
1. Kannst du verifizieren, dass die E-Mail von FB authentisch war?
2. War der FB-Account schon gehackt, bevor du diese E-Mail erhalten hast, bzw. hast du das vor Nutzung des Links aus der E-Mail gegengecheckt?

Ich habe tatsächlich die Mail selbst auch für Spam gehalten.
Absender: security@facebookmail.com
Link: https://www.facebook.com/hacked/dis...de_DE&ext=1692702326&hash=AS_3NaN44kEymmwPI4g

Da die Links aber alle zu facebook.com führten und der Account letztendlich auch weg ist und auch ein Foto geändert wurde in der selben Minute sehe ich diese als Legit an.

Jemanden mit persönlichem Zugang zum PC bzw. Hardware Keylogger schließe ich aus. Sieht mir nach Bothandlungen aus. Emails mehrfach geändert, dann sofort Facebook Bild geändert. Der Account hat auch keinen großen Wert, er hat lediglich Mod Rechte zu unserer FB Seite.

Nur wie hat das geklappt? Scheinbar muss es eine Fernsteuerung sein, sonst hätte man nur mit PW/Keylogger nicht in den Account einloggen können bzw. schon gar nicht alle Daten ohne Mailzugriff ändern können.

Zu Layer 8: Selbst wenn PW bekannt, hätte man nur von diesem PC ändern können, da sonst Mail Code gefordert wird.

 

[Smily]

Gibt es die 2FA für den Facebook Account? Ich weiß es nicht, aber wenn nicht, dann kann doch jeder von überall auf der Welt die Zugangsdaten eingeben und alles ändern. Da braucht er weder Zugriff aufs Mail-Konto und erst recht nicht auf den PC.

Benutzt ihr Office365 und habt auch eure Mail-Adressen dort? Dann kann ohne 2FA für den Account jeder auf outlook.com sich mit den geklauten Zugangsdaten anmelden.

 

[NameHere]

Dein "Mitarbeiter PC" stellt eine Gefahr für das gesamte Firmennetzwerk da. Firma umgehend informieren und es wäre sinnvoll es bei der Polizei anzuzeigen.

 

[tz1986]

Gibt es die 2FA für den Facebook Account? Ich weiß es nicht, aber wenn nicht, dann kann doch jeder von überall auf der Welt die Zugangsdaten eingeben und alles ändern. Da braucht er weder Zugriff aufs Mail-Konto und erst recht nicht auf den PC.

Benutzt ihr Office365 und habt auch eure Mail-Adressen dort? Dann kann ohne 2FA für den Account jeder auf outlook.com sich mit den geklauten Zugangsdaten anmelden.

Das stimmt so nicht. Bei unbekanntem Browser/System wird Email oder SMS bestätigung gefordert.

Edit: Grade getestet mit Inkognito Tab: Bei Login Versuch wird sofort SMS Code oder altnativ bestätigung von bekanntem Gerät gefordert.

Ich sehe nur die Möglichkeit, dass das "bekannte Gerät" Ferngesteuert wurde. Nur wenn das so ist, wie wurde die Software hierzu installiert und warum findet kein Scanner was? Ist das heutzutage noch möglich?

 

[Technico]

Ein Versuch schadet nicht, kostet nichts u ist gut.
https://de.malwarebytes.com/adwcleaner/

 

[TorenAltair]

Dein "Mitarbeiter PC" stellt eine Gefahr für das gesamte Firmennetzwerk da. Firma umgehend informieren und es wäre sinnvoll es bei der Polizei anzuzeigen.

Unterschreibe ich voll. Da es letztendlich unbekannt ist, ob und wo ein Einfallstor war, muss das gesamte Netzwerk als kompromittiert betrachtet werden und komplett neu aufgesetzt werden.

 

[Dr. McCoy]

Identische oder ähnliche PW für FB und Mail verwendet? 2FA für Mail und FB war aktiviert?

 

[tz1986]

Ich kopiere nochmal:

Alle PWS unique und sicher. Email Zugang (nicht auf diesem PC) nicht betroffen.

Edit: Grade getestet mit Inkognito Tab: Bei Login Versuch wird sofort SMS Code oder altnativ bestätigung von bekanntem Gerät gefordert.

Ich sehe nur die Möglichkeit, dass das "bekannte Gerät" Ferngesteuert wurde. Nur wenn das so ist, wie wurde die Software hierzu installiert und warum findet kein Scanner was? Ist das heutzutage noch möglich?

 

[TorenAltair]

und warum findet kein Scanner was?

Laut Deiner Beschreibung hast Du nur aus dem laufenden System heraus gescannt. Da kann ich locker alles maskieren. Daher aus einem Offline-System scannen.
Dazu kommt, dass Scanner nur Bekanntes oder bekannte Muster finden können.

 

[Dr. McCoy]

Email Zugang (nicht auf diesem PC) nicht betroffen.

Das ist ja unerheblich, ob dieser Mail-Account auf diesem PC verwaltet wird oder nicht.

War 2FA für Mail und FB aktiviert?

 

[Cat Toaster]

Ich sehe nur die Möglichkeit, dass das "bekannte Gerät" Ferngesteuert wurde. Nur wenn das so ist, wie wurde die Software hierzu installiert und warum findet kein Scanner was? Ist das heutzutage noch möglich?

Muss nicht sein, übernommenes Session-Cookie kann schon reichen.

 

[tz1986]

2FA für FB wahrscheinlich nicht aktiv oder ist die SMS/Mail bestätigung bei "Unbekanntem Gerät" schon 2FA? Mail checke ich jetzt gleich.

Ja gut, wie wäre denn jetzt die Lösung. Ich bin davon ausgegangen, alles schon möglichst sicher zu nutzen. Wir haben KEINE sensiblen Daten auf dem Rechner, alles kein Problem.

• Habe Admin Account, Nutzer Account kann daher nix installieren, da Admin PW nicht bekannt.
• Alles aktuell (Windows 10)
• Defender natürlich aktiv

Wo ist der Anwendungsfehler? Wie kann ich soetwas nach Neuinstallation möglichst ausschließen?

 

[TorenAltair]

Wir haben KEINE sensiblen Daten auf dem Rechner, alles kein Problem.

Da der Rechner im Netzwerk hängt, ist das ein Trugschluß. Falls der Rechner kompromittiert wurde, stellt er ein Risiko für alles im Netzwerk dar. Daher ist es sicherheitstechnisch an sich zwingend das gesamte Netzwerk und alle Geräte darin neu aufzusetzen.
Auch wenn jetzt aktuell nichts mehr auftritt, kann ein Zugang geschaffen worden sein und mit dem Facebook-Konto wurde ein Test gefahren. Wenn sich dann vermeintlich nach Wochen oder Monaten nichts mehr ereignet hat und man glaubt, das war nur dummer Zufall, greifen dann Angreifer auf die wirklich interessanten Daten im Netz zu.
Das ist ein mögliches Szenario, das aus Sicherheitssicht aber angenommen werden muss.

 

[tz1986]

Das bringt mich ja auf die Frage zurück. Wie lässt sich das denn verhindern? Wo war letztendlich der Fehler? Alle Geräte, inkl. Notebooks sollen nun resettet werden?

 

[kamanu]

Vor allem wenn's nen Firmenrechner ist direkt mal der entsprechenden Datenschutzbehörde als Vorfall melden. Da habt ihr 3 Tage für Zeit. Ihr müsst nix genaues Melden, nur DAS etwas vorgefallen ist. Hoffe das war geschäftlich genutztes Facebook auf dem Rechner, privat ist dezent uncool.
Davon ab ist das was @Cat Toaster sagt am wahrscheinlichsten. Dabei wird quasi dein Login-Cookie geklaut und anderswo wiederverwendet. Dadurch wird eben auch kein 2FA und Co getriggert.
Das was @TorenAltair ist auch dezent wichtig. ALLES was im Netzwerk erreichbar war, kann auch kompromittiert sein.