ComputerBase Menü
Aktuelles

Computer gehackt / FB übernommen / keine Schadsoftware zu finden

tz1986 schrieb:
Wie lässt sich das denn verhindern?
Zum Vergrößern anklicken....
Ohne Sicherheitsforensik zur Feststellung der Ursache (was per Internet nicht funktioniert), ist das nicht wirklich zu sagen.
tz1986 schrieb:
Alle Geräte, inkl. Notebooks sollen nun resettet werden?
Zum Vergrößern anklicken....
Alle Geräte (auch Netzwerkdevices wie Drucker, Router, Manageable Switch etc) "müssen" aus Sicherheitssicht neu aufgesetzt werden. Ja, scheiß Arbeit, teuer, zeitaufwendig, aber aus Auditsicht der Standardvorgang.
 
  • Gefällt mir
Reaktionen: Millkaa
Ohne Fremdverschulden durch einen User wird das nicht passiert sein.
Alle Menschen, die an Eure Rechner können schulen und sensibilisieren. Das war zu 99,9% ein menschlicher Fehler, sowas passiert.
Du solltest das gesamte Netzwerk prüfen und neu aufsetzen. Ebenso alle PCs.
 
Ich gehe davon aus, dass eine infizierte Datei geladen wurde und eben geöffnet wurde. Wenn man es nicht mit IT Spezialisten zu tun hat, wird das wohl auch nicht 100% vermeidbar sein.

D.h. es gibt heutzutage keine sicheren Virenscanner oä, die soetwas verhindern können?

Ich nutze das Internet sicher seit 20 Jahren und habe soetwas noch nie erlebt. Selbst wenn man fragwürdige Datein öffnet, warnt der Defender normalerweise, sodass es nicht zu einer Infizierung kommt.
Um Dateien trotz Warnung zu öffnen, wird sicher widerrum das Admin PW nötig sein.

War das einfach ein riesiger Zufall? Oder warum hat hier alles versagt?

Wir sind sicher kein Ziel für Kriminelle, bei uns ist nix zu holen. Unser Geschäft läuft Offline.
 
tz1986 schrieb:
Selbst wenn man fragwürdige Datein öffnet, warnt der Defender normalerweise, sodass es nicht zu einer Infizierung kommt.
Zum Vergrößern anklicken....
Für solche Angriffe muss nicht zwangsläufig Malware im Spiel sein.
Außerdem ist der Defender kein Allheilmittel.

Du kannst das System trotzdem mal mit Malwarebytes und Emsisoft Emergency Kit überprüfen.
 
tz1986 schrieb:
D.h. es gibt heutzutage keine sicheren Virenscanner oä, die soetwas verhindern können?
Zum Vergrößern anklicken....
Sowas gab es noch nie, die Virenscanner sind eigentlich alle nur „Schlangenöl“.
 
  • Gefällt mir
Reaktionen: sh.
Okay. Also kann man zusammenfassend sagen, es gibt keine 100% Sicherheit, insbesondere wenn eine Person davor unvorsichtig agiert.
Wie gesagt in 20 Jahren max. mal eine Warnung vom Scanner erhalten nicht zu öffnen. Nie irgendwelche Probleme gehabt.

Die genannten Programme MWB und Emergency Kit werde ich mal laufen lassen.

Gibt es irgendetwas die Sicherheit zu erhöhen? Es wird ja von "teuren" Scannen mit Verhaltenserkennung in den Links gesprochen oder bringt alles außer Defender letztendlich auch nix?
Da es hier auch Azubis gibt mit 16-18 Jahre kann man nie 100% Downloads oä ausschließen.

"Für solche Angriffe muss nicht zwangsläufig Malware im Spiel sein."
Wie geht es denn sonst ohne Schadsoftware?
 
Domänenadmin Passwort vielleicht diskreditiert? Bzw. Golden Ticket erzeugt worden?
Damit kann man alles machen, auch die Browswr-Session eines MA über nehmen.

Ich würde das Domänen-Admin Passwort 2x ändern. Dadurch werden golden Tickets ungültig. Aber nur, wenn keine Schadsoftware oder Fehlkonfigation mehr zutrifft.
 
tz1986 schrieb:
Okay. Also kann man zusammenfassend sagen, es gibt keine 100% Sicherheit, insbesondere wenn eine Person davor unvorsichtig agiert.
Zum Vergrößern anklicken....
Darum sind die meisten Hacks an Unternehmen inzwischen durch Social Engineering, und weniger weil jemand aktiv Schwachstellen sucht.
Warum sich die Mühe machen, wenn einfach eine Person mit nicht ausreichender Schulung reicht um auf jeden Link zu klicken.

tz1986 schrieb:
Wie gesagt in 20 Jahren max. mal eine Warnung vom Scanner erhalten nicht zu öffnen. Nie irgendwelche Probleme gehabt.
Zum Vergrößern anklicken....
Scanner erkennen nur bekannte Viren.

tz1986 schrieb:
Gibt es irgendetwas die Sicherheit zu erhöhen?
Zum Vergrößern anklicken....
Vergiss die Technik und investier in Schulungen. Einfach den Mitarbeitern nochmal klar machen, dass jeder Link und jede Datei ein potenzieller Virus sein kann - selbst eine pdf, eine png oder ein jpg.

tz1986 schrieb:
Da es hier auch Azubis gibt mit 16-18 Jahre kann man nie 100% Downloads oä ausschließen.
Zum Vergrößern anklicken....
Man kann aber den Zugriff auf die Funktionen einschränken. Ja, auch in Intune über Edge hinaus. Firefox und Chrome werden unterstützt, weitere Browser kann man blockieren.

tz1986 schrieb:
"Für solche Angriffe muss nicht zwangsläufig Malware im Spiel sein."
Wie geht es denn sonst ohne Schadsoftware?
Zum Vergrößern anklicken....
Social Engineering. Passwörter auf Klebezettel schreiben und ungeschreddert wegwerfen. Gibt genug.
Zugang zu Facebook klauen geht übrigens auch ohne Keylogger. Wenn 2FA nicht getriggert wurde, ist wohl die Session geklaut worden. Geht auch über malicious pdfs.
 
  • Gefällt mir
Reaktionen: Alexander2 und TorenAltair
tz1986 schrieb:
Wie geht es denn sonst ohne Schadsoftware?
Zum Vergrößern anklicken....
Durch Phishing. Also Menschen dazu zu bewegen sensible Informationen preiszugeben.
Dazu reicht es schon einen unbekannten Link anzuklicken.
 
tomgit schrieb:
Darum sind die meisten Hacks an Unternehmen inzwischen durch Social Engineering, und weniger weil jemand aktiv Schwachstellen sucht.
Warum sich die Mühe machen, wenn einfach eine Person mit nicht ausreichender Schulung reicht um auf jeden Link zu klicken.


Scanner erkennen nur bekannte Viren.


Vergiss die Technik und investier in Schulungen. Einfach den Mitarbeitern nochmal klar machen, dass jeder Link und jede Datei ein potenzieller Virus sein kann - selbst eine pdf, eine png oder ein jpg.


Man kann aber den Zugriff auf die Funktionen einschränken. Ja, auch in Intune über Edge hinaus. Firefox und Chrome werden unterstützt, weitere Browser kann man blockieren.


Social Engineering. Passwörter auf Klebezettel schreiben und ungeschreddert wegwerfen. Gibt genug.
Zugang zu Facebook klauen geht übrigens auch ohne Keylogger. Wenn 2FA nicht getriggert wurde, ist wohl die Session geklaut worden. Geht auch über malicious pdfs.
Zum Vergrößern anklicken....

Danke für deine ausführliche Erklärung.

Ich denke, dass hier definitiv die Session geklaut wurde und damit ohne Mail Zugang alles geändert werden konnte.
Wie ich gelernt habe, ist dies also durch Browserleaks, wie auch durch Malware möglich.

Normalerweise werden verseuchte Dateien ja trotzdem direkt vom Defender erkannt, aber scheinbar gibts doch sehr viel neues, was nicht erkannt wird.
Wahrscheinlich wurde eben etwas geladen oder eine Seite angesteuert, die das bewirkt hat.

Vielleicht kannst du nochmal näher erklären, wie so ein PC durch Sperren sicherer gemacht werden kann. Letztendlich soll nur Chrome und paar PDF/Word/Excel verwendet werden. Alles andere ist schon nicht gewollte Nutzung.
 
Alle Geräte, inkl. Notebooks sollen nun resettet werden?
Zum Vergrößern anklicken....
Nicht resetten, sondern neu aufsetzen, bei Smartphones halt auf Werkseinstellungen setzen wenn da auch welche in Frage kommen. Ausserdem: alle Passwörter ändern und wo es geht die 2 Faktor Autentifizierung aktivieren wo es noch nicht gemacht wurde und ich würde euch noch empfehlen: nehmt für jeden Browser unter Windows uBlock Origin: https://www.google.com/search?client=firefox-b-d&q=uBlock+Origin
 
  • Gefällt mir
Reaktionen: TorenAltair
tz1986 schrieb:
Ich denke, dass hier definitiv die Session geklaut wurde und damit ohne Mail Zugang alles geändert werden konnte.
Wie ich gelernt habe, ist dies also durch Browserleaks, wie auch durch Malware möglich.
Zum Vergrößern anklicken....

Dann finde heraus auf welchem PC das passierte.
Wenn es Dein Firmennetz war, weisst Du was Du zu tun hast.
War es der PC des Mitarbeiters zu Haus, weiss er theoretisch was er zu tun hat.
 
  • Gefällt mir
Reaktionen: sh. und redjack1000
Und mal andersrum?
Nur mal ne Idee, das war ne pishing mail die behauptet, da hätte sich jemand eingeloggt, du klickst drauf um es zu überprüfen und es war in wirklichkeit der link zum pw resetten. Und voila ab dem moment hat jemand zugriff...
 
  • Gefällt mir
Reaktionen: BFF
tz1986 schrieb:
Ich gehe davon aus, dass eine infizierte Datei geladen wurde und eben geöffnet wurde.
Zum Vergrößern anklicken....
Worauf stützt sich diese Vermutung? Befragung vom Benutzer schon durchgeführt?

tz1986 schrieb:
Okay. Also kann man zusammenfassend sagen, es gibt keine 100% Sicherheit, insbesondere wenn eine Person davor unvorsichtig agiert.
Zum Vergrößern anklicken....
Richtig.

tz1986 schrieb:
Da es hier auch Azubis gibt mit 16-18 Jahre kann man nie 100% Downloads oä ausschließen.
Zum Vergrößern anklicken....
Da stelle ich mir die Frage, warum dürfen die das? Einen Download zu machen, ok, diesen Download auf dem System auszuführen oder zu starten, das kann man sehr gut verhindern.


tz1986 schrieb:
Vielleicht kannst du nochmal näher erklären, wie so ein PC durch Sperren sicherer gemacht werden kann.
Zum Vergrößern anklicken....
Mach dir mal Gedanken über Zero-Trust.

Cu
redjack
 
tz1986 schrieb:
Vielleicht kannst du nochmal näher erklären, wie so ein PC durch Sperren sicherer gemacht werden kann. Letztendlich soll nur Chrome und paar PDF/Word/Excel verwendet werden. Alles andere ist schon nicht gewollte Nutzung.
Zum Vergrößern anklicken....
Meinst du durch Einstellungen oder der Grundgedanke dahinter?
Bei den Einstellungen hängt es stark davon ab, wie ihr eure Umgebung verwaltet - gibt aber für alles im Netz genügend. Grundsätzlich solltet ihr aber mit jeder Verwaltungssoftware einstellen können, dass der Nutzer nichts installieren darf. Und ebenso der Download von Dateien, wobei letzteres schwierig sein könnte, wenn ihr mit Klienten mit größeren Dateien arbeitet.

Ansonsten ist der Grundgedanke recht simpel: Nutzer können weniger anrichten, weil sie weniger anrichten dürfen. Natürlich gibt es auch Malware, die solche Sperren ggf. umgehen können - eben drum der Hinweis auf Schulung von Mitarbeitern. 100% IT Sicherheit hättet ihr nur, wenn ihr die IT abschafft :D Gibt ja auch schon länger Air-gap Malware, also bringt auch das vom Netz trennen wenig ;)

Ansonsten befasst euch mal, wie @redjack1000 schrieb, mit den Zero Trust Prinzipien. Sie sind nervig, es kann bei der Umstellung teurer werden, aber sie machen es zumindest sicherer
 
scooter010 schrieb:
Ich würde das Domänen-Admin Passwort 2x ändern. Dadurch werden golden Tickets ungültig. Aber nur, wenn keine Schadsoftware oder Fehlkonfigation mehr zutrifft.
Zum Vergrößern anklicken....
Das PW vom KRBTGT-Konto muß 2x zurückgesetzt werden ;)
 
Ich verstehe ja noch nicht, wie ist der Tathergang ? Was hat dein Mitarbeiter und was du gemacht ?
Und es geht um ein FB - Werbekonto der Firma? Weil ein privates FB könnte dir ja ganz egal sein. Ich glaube noch nicht an eine Fernsteuerung oder einen Trojaner...Ich glaube an stumpfes Pishing
 
Piak schrieb:
Ich verstehe ja noch nicht, wie ist der Tathergang ? Was hat dein Mitarbeiter und was du gemacht ?
Und es geht um ein FB - Werbekonto der Firma? Weil ein privates FB könnte dir ja ganz egal sein. Ich glaube noch nicht an eine Fernsteuerung oder einen Trojaner...Ich glaube an stumpfes Pishing
Zum Vergrößern anklicken....
Der Hergang ist simpel: Der PC wurde durch Fehlnutzung irgendwann in der Vergangenheit infiziert und gestern wurde zugeschlagen. Außer FB gab es allerdings keine relevanten Logins auf dem PC, die gestohlen werden konnten.
Ich habe MWB installiert, welche 2-3 Schädlinge gefunden hat. Werde natürlich trotzdem alles nochmal neu installieren.
Es ging letztendlich um einen Platzhalter Account ohne Wert, welcher Zugriffsrechte auf unsere FB Seiten hatte. Diese habe ich mittlerweile entfernt und somit ist der Account wertlos. Allerdings ging es dem Angreifer gar nicht um unsere Seiten (wurde nix verändert oder gesichert), sondern lediglich um den Account an sich. Hier wurde Foto geändert und soll wahrscheinlich Spam ausgeführt werden. Das der Account auch Zugriffe auf Seiten und vllt sogar Werbekonten hatte, wurde von denen völlig ignoriert.

Dr. McCoy schrieb:
2FA sollte mindestens über eine dafür geeignete OTP-App realisiert werden.
https://m.facebook.com/help/358336074294704?locale2=de_DE


Und, was hat dort der Check zu 2FA ergeben?
Zum Vergrößern anklicken....
FB 2FA war aktiv und wurde durch Session Hijacking überwunden. Mail (Ionos) bietet kein 2FA an. Gab hier auch keine Angriffsversuche.
Extrem blöd ist von FB, dass die Änderung! von Email oder Tel bei SH keinerlei Authentifizierung benötigt.
Scheint ein Bot zu sein, welcher automatisiert FB Accounts mit SH klaut und für Spam oder Verkauf verwendet.

Programme können ja alleine schon durch die Windows Nutzersteuerung normal nicht installiert werden. Gibt es einfache Tools, welche noch mehr sinnvoll einschränken können um auch bei Fehlnutzung eine Infizierung unwahrscheinlicher zu machen?
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Rappi789
Uneingeschränkter Zugriff auf Serverfreigaben – Schadsoftware oder Systemfehler?
Antworten
17
Aufrufe
2.335
snaxilian
S
S
Könnte ich eine Schadsoftware haben?
Antworten
15
Aufrufe
4.329
BFF
BFF
Phelan
GMX Account gesperrt - hab ich Schadsoftware auf meinem Rechner?
Antworten
14
Aufrufe
14.478
Daaron
D
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz