Ebay-Kleinanzeigen-Account gekapert/gehackt - was tun zum Sicherheitslücke zu finden (Win10&Android)?

Lupex

Lt. Commander
Registriert
Jan. 2008
Beiträge
1.557
Hallo!
Mein Kleinanzeigenaccount wurde völlig überraschend gehackt, sprich ich konnte mich nicht mehr einloggen etc. Nach einigen Tagen habe ich den Account von Ebay Kleinanzeigen zurückgegeben bekommen und er ist wieder, samt neuem Passwort in meinem Besitz.
Aber: Mir ist völlig unklar wie es dazu kommen konnte.
Ich möchte jetzt natürlich versuchen die Sicherheitslücke zu finden. Beteiligt ist meine PC (Win10 und mein Smartphone (Android).
Welche Scanner würdet ihr in diesem Fall empfehlen/nutzen?
Grüße
Ralf
 
Muss nicht daran liegen, wurden Passwort und Benutzername (E-Mail) an irgendeinem Dienst in gleicher Kombination verwendet? Häufiger sind Zugangsdaten beim Hack von Webseiten wertvolle Beute.
 
Erstmal https://haveibeenpwned.com/

Falls dort Alarm geschlagen wird, liegt es (wahrscheinlich) an einem Datenleck bei einem Anbieter.

Falls nein, schaue mal, ob du vllt. eine Phishing-Mail bekommen hast und dich dort angemeldet hast (also eine Mail, die genauso aussah wie von Ebay Kleinanzeigen, aber nicht tatsächlich von denen gesendet wurde)

Falls beides negativ ausfällt, würde ich mir Gedanken über einen mögl. Virus machen.

Lg
 
HI!
Fishingmail würde ich mit 99,9%-Sicherheit ausschliessen, ich antworte grundsätzlich nich auf Emails.

"Oh no — pwned!​

Pwned in 7 data breaches and found no pastes (subscribe to search sensitive breaches)"
 
  • Gefällt mir
Reaktionen: Yesman9277
Wobei man bedenken muss, dass man aus der Liste von "haveibeenpwned" nicht gestrichen wird, wenn man das Passwort (bereits geändert hat) ändert.

Ich stehe auch bei 10 Breaches drin, aber keines der damals verwendeten Passwörter wird noch genutzt.
 
  • Gefällt mir
Reaktionen: Benji18
DiePawned-Meldung kam über die Emailadresse, bei der Handynummer gab es keine solche Meldung.
Emails rufe ich per PC und per Smartphone ab
 
Wow, 7 Stück ist ehrlich gesagt nicht wenig!

Dann ganz schnell E-Mail und Passwörter, die damit übereinstimmen, ändern.
Für jede Webseite ein eigenes Passwort, niemals ein Passwort doppelt benutzen.

Stichwort: Passwortmanager
Keepass ist für den Anfang ganz gut
Falls es "einfacher" sein soll, dann benutz Bitwarden
 
  • Gefällt mir
Reaktionen: Der Lord und 3faltigkeit
Lupex schrieb:
Emails rufe ich per PC und per Smartphone ab
Das hat doch damit nichts zu tun.
Es wird bei "Haveibeenpwned" die Emailadresse als Benutzername gesucht, nicht, ob beim Email-Abrufe deine Benutzerdaten abgezogen wurden.

Bei Ebaykleinanzeigen meldest du dich ja auch mit deiner Emailadresse + irgendein Passwort an. Und dennoch ist das nicht dein Email-Account.

Email-Account ist halt bei 95% der Dienste/Shops/Webseiten = Anmeldename.
 
Das muss nicht zwangsläufig immer bei Dir liegen. Oft arbeiten auch die Dienste, die Du nutzt einfach nur schlampig. Wenn man den Übertragungsweg mal ausklammert, dann ist die Wahrscheinlichkeit dafür garnicht mal so gering. Liest man ja immer wieder mal
 
Was ist denn genau Pawned - und wie muss ich mir Breaches vorstellen?

Ediot:
Virenscanner (Botscanner?) würde ich auch gerne mal drüberlaufen lassen (Win10 & Android) - was würdet ihr denn da empfehlen?
 
z.B. ein Hacker oder eine Hackergruppe bricht in den Xbox-Dead Server ein, zieht dort alle Benutzernamen aller Benutzer ab. Dann wenn es doof läuft wird das Passwort vom Dienst als Klartext oder unsicherer Hash (z.b. MD5) gespeichert - oder als "sicherer" Hash. Macht aber nix, man kann die Hash bei einer Manipulation dennoch nutzen zum Einloggen. Der Aufwand wird nur größe, wenn das Ziel aber lohned ist, ist das egal.
Beides ist für Hacker wertvoll. Noch wertvoller sind evtl. in der Datenbank hinterlegte Kreditkartendaten.
Früher mehr als heute werden diese Daten in den Datenbanken von so Diensten unverschlüsselt gespeichert.

Der Mensch ist dumm und faul und benutzt bei vielen Diensten/Webseiten die gleichen Passwörter. Besonders dumm ist es, wenn der Email-Account das gleiche Passwort hat, wie das des Accounts, in dessen Server (hier im Beispiel Xbox-Dead) eingebrochen wurde (Einbruch = Breach). Dann hat man als Hacker nämlich alles nötige um alle Accounts zurückzusetzen (geht ja meist per Mail und selbst mittels zusätzlicher Abfrage wie "wie hieß dein erstes Haustier") und mit neuem Passwort zu versehen und erst mal beliebig zu missbrauchen.

Pawned heißt übrigens Pwned bzw Powned: https://www.dict.cc/?s=[pwned]
 
Okay, danke!
Ich habe grad mal die deutsch Übersetzung der Pawnded-Seite laufen gelaufen, das ist für mich einfacher zu verstehen.
Die 7 Lecks oder wie auch immer werden ja auch benannt. Die jü+ngste Geschichte ist von Mitte 2020, ansonsten alls viel älter
 
Das "älter" ist egal. Denn nur weil die Daten abgegriffen werden muss nicht sofort zum Angriff übergegangen werden. Das kann durch aus auch paar Monate dauern (illegale Handel der Daten auf dem Schwarzmarkt - Darknet). Daher regelmäßig Passwort ändern - bei allen Diensten und nirgends ein gleiches Passwort bei zwei verschiedenen Diensten nutzen. Und keine Passwörter, die in sogenannte Rainbow-Tables oder Wörterbüchern stehen benutzen.

Beispiel für Rainbow-Table PW: "admin123" wirst du in keinem Duden finden, ist aber absolut unsicher
Wobei genau genommen die Rainbow Table bekannte Passwörter in Hashform abbildet und nicht im Klartext.
Beispiel für Wörtbuchpasswort: "Archäologe"
 
am besten nutzt man die 2 Faktor Authentifizierung wo es möglich ist um sich zusätzlich noch abzusichern damit wären geklaute Daten nicht ohne größeren Aufwand nutzbar bzw. gar nicht mehr nutzbar.
 
Oh, die Möglichkeiten sind unglaublich vielfältig und bedingen/verstärken sich bei vielen Onlinekonten oft genug gegenseitig.

Du hast insofern in Deinem Verantwortungsbereich dafür Sorge zu tragen, für jedes einzelne Onlinekonto- egal wo- separate Passwörter zu verwenden, die zudem stark sein müssen. Dann muss man im E-Mailverkehr höchste Aufmerksamkeit an den Tag legen. Inzwischen versenden Kriminelle auch via WhatsApp oder SMS irgendwelche Phishing Links, die wahrscheinlich in der Mehrheit der Fälle aus reiner Dummheit wohl auch angetriggert werden. Soziale Medien sind ebenfalls Einfallstor für spätere Kompromittierungen.

Unterm Strich sind starke, unterschiedliche und im besten Fall häufig wechselnde Passwörter, Vorsicht im E-Mail und sonstiger Kommunikation (SMS, WhatsApp) und das generelle Fernhalten von den sog. sozialen Medien eine relativ gute Strategie. Wenn das alles stimmt und Du trotzdem in irgendeiner Form Opfer wirst, kann das auch immer am Backend des Anbieters liegen, denn die sind quasi täglich Angriffen auf die IT- Struktur von außen und innen ausgesetzt. Die Sicherheitslücke, wie Du sie nennst, kann also auch außerhalb Deines Verantwortungsbereiches liegen. Da kann Dir nur e-bay helfen, was sie vermutlich nicht tun werden, weil interne und selbst zu verantwortende Schwachstellen nur ungern nach außen kommuniziert werden.

Wenn Du sagen wir mal 30 Onlinekonten mit dem gleichen Zugangspasswort hast, ist eine Übernahme immer nur eine Frage der Zeit. Selbst ein starkes Passwort hilft da nur wenig.

Also, alle Passwörter ändern, Windows ggf. neu installieren, vom Android alle nicht erforderlichen Apps löschen ggf. sogar die, die man nur mit Passwortzugang nutzen kann, also e-bay, amazon etc. und niemals auf Links klicken, die innerhalb von WhatsApp und/oder SMS zugeschickt werden. De facto ist wegen der vielfach miteinander verwobenen Strukturen von Anbietern über verschiedene Betriebssystebenen hinweg eine Rekapitulation einer Schwäche kaum bzw. nur mit viel Aufwand möglich.

Oft genug sitzt der Fehler jedoch direkt vor dem Bildschirm
 
Danke
Social Media nutze ich nicht und auf Email- SMS oder sonstige NAchrichten antworte ich nie.
Von daher sieht es bei mir nicht allzu schlimm aus

Trotzdem: Noch ne Scanner-Empfehlung?
Im Alltgasbetrieb läuft bei mir der microsofteigene Defender
 
FranzvonAssisi schrieb:
Falls dort Alarm geschlagen wird, liegt es (wahrscheinlich) an einem Datenleck bei einem Anbieter.

Falls nein, schaue mal, ob du vllt. eine Phishing-Mail bekommen hast und dich dort angemeldet hast (also eine Mail, die genauso aussah wie von Ebay Kleinanzeigen, aber nicht tatsächlich von denen g
 
Übertreibt es mit den Passwörtern nicht. Wenn man zur Passwortwiederherstellung dann irgendwelche dämlichen Fragen beantworten muss, dann muss man die Antworten auch wieder extra aufschreiben. Aber viele tragen da halt was persönliches ein
 
@Lupex
Du postest auf social Media dass du kein social Media nutzt? :D
 
  • Gefällt mir
Reaktionen: idle curiosity
@Jongleut: Ich wollte damit sagen dass ich die Massenkanäle nicht nutze und dort keinen Account oder eine App dafür habe: Facebook, Instagramm, Twitter, was weiss ich.
 
Zurück
Oben