Facebook unbekannter Login

[Jörg111]

Ich hatte in Facebook einen unbekannten Login.

ich habe jetzt die 2FA bei Facebook zugefügt!

Diese Sicherheitswarnungsmail erscheint nicht im Konto aber unter Benachrichtigungen:
Wurde ein neues Gerät erkannt weil ich vorher Cookies gelöscht habe?

Klicke ich auf die Benachrichtigung dann steht dort, dass ich Passwort geändert habe was auch stimmt aber komisch, wenn ich in der Mail auf "Das war ich nicht" klicke dann steht da nicht, dass das Passwort geändert wurde. Auch komisch dass hier das alte Passwort nicht eingegeben werden muss:

Hierüber (Letzte Logins) kam keine Sicherheitswarnung per Mail aber es steht im Konto: Ich war weder in Görlitz noch in München zu der Zeit. Aber ich war in Görlitz letzten August. Komischer Zufall. Auch wenn ja bekannt ist, dass die Ortsangabe nicht immer korrekt ist.

Also warum kommt bei der einen Sicherheitswarnung eine Mail aber es steht nicht im Konto und bei der anderen Warnung keine Mail aber im Konto?

Technisch würde mich das mal interessieren.

 

[isiprimax]

https://www.computerbild.de/artikel/cb-Tipps-Internet-security-facebookmail.com-30919331.html

Ist Phishing.

 

[Jörg111]

Also ich bin mir da nicht so sicher ob das Phishing ist, was macht dich so sicher? Weil ich es nicht im Konto finde? Komisch dass der Eintrag vom Smartphone (Seevetal) derselbe Zeitpunkt ist wie in der Mail wo steht Chrome auf Windows.
Jedenfalls landete ich direkt auf Facebook als ich in der Mail auf Das war ich nicht klickte.
Jedenfalls habe ich ein neues Passwort erstellt und 2FA eingerichtet.

 

[SonyXP]

Wollte ich auch gerade schreiben - der Absender "@facebookmail.com" ist keine offizielle Domain seitens META/Facebook.

Standortdaten werden auch immer anhand von IP-Adressbereichen eingeordnet. Entweder Zufallstreffer bei Dir oder Infos aus Datenleck.

Damit kann man zumindest die Mail beiseite legen - dass der Account nun außerhalb Deiner Reichweite ist, steht ja außer Frage. Bist Du mal einer dieser Mails über manipulierte Links gefolgt?

:Edit: Muss mich selbst korrigieren - Facebookmail gehört mittlerweile wirklich zu Facebook. Da es aber für Angreifer leicht ist, den Anzeigenamen bzw. Mailadressen zu "spoofen" - irgendwas muss hier ja im Busch sein.

 

[Arboster]

Also ich bin mir da nicht so sicher ob das Phishing ist,

Er hat Dir doch extra noch den Link gepostet.

 

[BasementDweller]

Jedenfalls habe ich ein neues Passwort erstellt und 2FA eingerichtet.

Hoffentlich nicht über Links in der Mail, sonst kannst du es gleich nochmal machen

Wenn ich so recht darüber nachdenke. Machs gleich nochmal. Zur Sicherheit. Du hast offensichtlich so oft zwischen der Mail und der FB Seite hin und her gewechselt, dass das nicht auszuschließen ist.

 

[Jörg111]

Die Absenderadresse gibt es bei Facebook nicht.

Doch Bild sagt gehört offiziell zu Facebook

 

[Arboster]

Habs schon korrigiert.
Trotzdem würde ich diese E-Mail nicht beachten und auf keinen Link in der E-Mail klicken.

 

[Jörg111]

dass der Account nun außerhalb Deiner Reichweite ist, steht ja außer Frage

Warum? Ich komme in Facebook rein. Ich habe direkt über Facebook mein Passwort geändert.
Und wenn ich 2FA aktiviert habe dann kann eigentlich nix passieren dachte ich immer weil jemand mein Smartphone dazu haben muss

 

[BasementDweller]

Wollte ich auch gerade schreiben - der Absender "@facebookmail.com" ist keine offizielle Domain seitens META/Facebook.

Doch, die gehört zu Facebook*. Auf Absenderadressen im Header würde ich trotzdem nichts geben, die lassen sich spoofen.

* https://www.facebook.com/help/1634546593478660

 

[Arboster]

@Jörg111 Solange du das alles im richtigen Facebook gemacht hast ist alles ok, aber wenn Du über einen Link in der E-Mail gegangen bist, KÖNNTE es eine Phishing Seite sein.

Poste doch mal die Links die in der E-Mail drinnen sind, solltest Du sehen wenn du den Mauszeiger darüber bewegst.

 

[Jörg111]

Poste doch mal die Links die in der E-Mail drinnen sind, solltest Du sehen wenn du den Mauszeiger darüber bewegst.

Wenn Mail Phishing sein sollte:
Wenn man direkt von der Mail auf die Facebookseite geht aber dann dort 2FA aktiviert... dann kann doch aber auch nichts passieren wenn die nicht mein Smartphone haben oder wie?

Ergänzung (6. Februar 2025)

Entweder Zufallstreffer bei Dir oder Infos aus Datenleck.

Das mit den Standorten können Infos aus Datenleck sein? Das verstehe ich jetzt nicht denn ich wohne in Hamburg aber das mit Görlitz und München kann nicht sein aber das hängt ja nicht vom tatsächlichen Standpunkt ab sondern von der IP. Also wo sollte ein Datenleck sein, dass ich in Görlitz oder München wohne?

 

[SonyXP]

Da habe ich mich "unglücklich" ausgedrückt.

Zweck einer Phishing-Kampagne ist ja, den Empfänger mit verschiedenen Mitteln unter Druck zu setzen (und bspw. zu "bewegen", einem kompromittierten Link zu folgen, Zugangsdaten abzugreifen). Ich habe das eher allgemeiner betrachtet. Informationen einer Phishing Mail werden ja entweder allgemein gehalten (wenn keine persönlicheren Information vorliegen), oder tatsächlich Infos aus Datensammlungen entwendet. Begonnen beim Namen, bis hin zu möglichen öffentlichen IPs und daraus resultierenden "Standortangaben". Auch, wenn die Angaben jetzt aus Deiner Sicht nicht passen.

Du kannst Deine Mailadresse ja mal auf Portalen, wie haveibeenpwned, gegenprüfen und schauen, ob zur Adresse mögliche (wenn bekannt) Leaks vorliegen. Generell ist die Aktivierung von 2FA und Änderung sämtlicher Kennwörter mit guter Komplexität schon mal der richtige Weg.

 

[Jörg111]

Und sieht jemand was ungewöhnliches in der URL?

Ich habe das eher allgemeiner betrachtet.

Also du warst dir auch nicht sicher, dass es Phishing ist?


Man kann im Konto die Mails sehen die rausgingen an mich und die sonstigen Mails gehen nur 2 Tage zurück, warum nur so kurz? Aber die Sicherheitsmails gehen 14 Tage zurück und vom 1.2. ist keine dabei. Also doch Phishing?
Aber die Links scheinen ja wirklich auf die richtige Facebook Seite zu gehen.
Oder dank KI sehen die jetzt so echt aus. Allerdings letztes Jahr sahen diese Mails anders aus aber ich dachte, Facebook hat das verändert.

Aber komisch ist auch, dass die Benachrichtigung vom unbekannten Gerät ja auch in meinem Konto steht.
Wobei ich sowohl von der Benachrichtigung als auch von der Mail auf die Passwortänderung komme, nur von der Benachrichtigung aus steht dort korrekt, dass ich das Passwort bereits geändert hatte (direkt von Facebook aus) und das alte Passwort wird abgefragt. Aber von der Mail aus steht das nicht dabei und das alte Passwort wird auch nicht abgefragt.
Die URL beider Passwortabfragefenster sehen gleich aus, alles merkwürdig.


Letztes Jahr sah es noch so aus: (Wie siehts bei euch aus?)

 

[Jörg111]

Ich hab die Mail jetzt an Facebook geschickt zur Überprüfung ob Phishing.
Antworten die eigentlich?

 

[Jörg111]

Habs schon korrigiert.

Komisch dass Bild sagt die Mail gehört zu Facebook aber ich seh gerade auf der Facebook Seite steht welche Mails dazu gehören und diese Mail steht nicht dabei.

 

[Jörg111]

Kennt jemand eine Seite bzw. einen Dienst, der den Header überprüft ob es Spam / Phishing ist?
Verbraucherzentrale NRW hat zwar auch solch Dienst aber da steht, dass die nicht antworten, was natürlich auch verständlich ist bei der Vielzahl von Spams. Aber es muss doch jemand sagen können ob die Mail von Facebook stammt oder nicht. Vielleicht kennt jemand so eine Seite.

 

[Jörg111]

Hier hab ich eine super Seite gefunden die den Mail header analysiert und danach ist die tatsächlich von Facebook:

https://www.gaijin.at/de/tools/e-mail-header-analyzer

Dann ist nur komisch, dass im Facebookkonto diese Mail nicht zu finden ist.
Und dass die Mail im Design anders ist als die vom letzten Jahr. Und wenn man auf die Links der alten Mail klickt landet man auf einer Seite wo auch die IP dabei steht und das ist bei der jetzigen Mail nicht so. Ausserdem sieht das alles ganz anders aus.

Wenn ich in folgender Mail von April 2024 auf Anmeldung überprüfen klicke...

dann kommt dieses hier:

Aber klicke ich in der jetzigen Mail vom 1.2.25 auf Das war ich nicht dann kommt nur das Passwortabfragefeld. Allerdings komme ich auch vom Facebookkonto direkt bei Klick auf Benachrichtigungen auf eine Passwortabfrageseite die fast identisch ist wie die von der Mail aus.

Komisch auch, dass in der Mail steht Biblis und auf der Website steht dann in der Nähe von Hamburg.

Muss man das verstehen? Es sind nämlich beide Mails von Facebook, beide IP sind von Facebook.

 

[AB´solut SiD]

Ich würd da langsam mir keinen Kopf mehr drum machen, du klickst auf einen längst abgelaufenen Token in der mail vom april ´24. was da dann abläuft ist facebook.
Der Standort hängt auch bisschen vom Routing beim provider ab und ist nicht zwingend genau.
Wurde dein Konto in den 10 Monaten kompromittiert? Check welche Geräte und Apps angemeldet sind und lösche die Veralteten, oder alle und meld dich erneut mit Rückfrage an.

 

[Jörg111]

was da dann abläuft ist facebook.

Was meinst du damit?
Abgelaufen ja aber da wird immer noch dasselbe angezeigt wie letztes Jahr.

und meld dich erneut mit Rückfrage an.

Was heisst mit Rückfrage?

Jedenfalls hab ich mich aber abgemeldet und neu angemeldet.

Aber Links die zu Passwortabfragefeldern führen sind immer verdächtig aber das auch die Benachrichtigungen direkt in Facebook zu diesen Feldern führen ist komisch.
Kann man auch eine Benachrichtigung fälschen?

Komisch dass ich diese Probleme mit Sicherheitswarnungen nur bei Facebook und Google habe.

Ich muss mich wohl dran gewöhnen, dass man nicht alles genau aufklären kann. Wir sind hier ja nicht bei der Kripo :-)
Und alles verstehen muss man auch nicht.

Ich hab jetzt 2FA und mal sehen ob es immer noch passiert.


Wenn die IP von Facebook ist, dann muss sie echt sein?

Aber das Mailheader Analyse Tool ist gut oder? Bestimmt auch für andere nützlich.