FTPFreezer
Ensign
- Registriert
- Sep. 2014
- Beiträge
- 218
Hi Leute,
heute mal eine Story von mir, die vorgestern passiert ist. Gegen Freitag, 14:30 hat eine unbekannte Person angefangen, über den Telegram-Account meiner Freundin Nachrichten an die gesamte Kontaktliste zu verschicken. Die Nachrichten waren allesamt auf persisch (meine Freundin ist Iranerin) und baten um eine dringende finanzielle Unterstützung von (exakt!) 500 EUR. Hat jemand angebissen, wurde sogleich ein Foto einer Sparkassen-Karte vorgelegt mit IBAN sowie dem Namen (Iranisch bzw. Afghanisch). Das Geld sollte natürlich via Sofortüberweisung gesendet werden und, für den Fall, dass jemand aus dem Iran angebissen hat, wurde bequemerweise auch eine Tether (USDT) genannt.
Meine Freundin hat schon nach kurzer Zeit direkt einen Anruf von einer Freundin bekommen, der dasselbe auch passiert ist und sie gewarnt hat und jetzt wird es krass. Meine Freundin loggt sich also ein und sieht natürlich die ganzen Nachrichten. Sie richtet erstmal ein 2FA-Passwort ein (hat sie vorher nicht gehabt) und wollte dann die bestehenden Sessions beenden. Davon gab es nur die auf ihrem iPhone und Windows-PC (Telegram-App) sowie die des Betrügers auf einem Android-Smartphobne via "Plus Messenger".
Sie kam aber nicht soweit, die bestehenden Sessions zu beenden, da sie direkt selbst rausgekickt worden ist. Der Betrüger hat Sie und den Windows-PC also rausgeschmissen und war nun alleine in ihrem Account unterwegs.
Nun denkt man sich: ist ja kein Problem, ich logge mich wieder ein, denn schließlich habe ich ja die Telefonnummer zu Hand, über die ich den Log-In bestätigen kann.
Nein. Sobald man sich einloggen will, wird ein Code an die bestehende Session (also die des Betrügers) geschickt und nicht per SMS. Nach einigen Versuchen (die vermutlich der Betrüger selbst initiiert hat) wird dann erstmal jeglicher Loginversuch für 24h gesperrt, aber die Session bleibt natürlich offen.
Es gibt ein Webinterface, über das man seinen Telegram-Account löschen kann. Aber auch hier wird der Bestätigungscode an die bestehende Session geschickt. Innerhalb der 24h-Sperre gibt es keine Möglichkeit, seinen Account zu blockieren. Der Telegram-Service hat weder auf unsere E-Mail reagiert noch auf meine Nachricht an den @NoToScam-Account, den Telegram angeblich selbst betreibt.
Ich konnte auf meinem Account sehen, wie der Betrüger permanent online war und habe auch selbst mit ihm Nachrichten geschrieben und protokolliert. Zusammen mit den Daten, die wir von ihren Freunden erhalten haben, haben wir der Polizei dann zwei Bankkarten-Daten vorlegen können, wobei es sich bei den Leuten natürlich nicht um die Betrüger handelt, sondern um Geldwäscher, die das Geld sofort weiterleiten, bis es dann nach einigen Zwischenstationen ausgecasht wird. In diesem Fall werden meist Asylanten angesprochen, die "unwissentlich" bei der Aktion mitmachen mit der Aussicht, ein paar EUR zusätzlich zu bekommen.
Zwar konnte meine Freundin durch die schnelle Warnung das gröbste Verhindern, aber nach aktuellem Stand sind mind. 1.200 EUR via USDT geflossen. Überwiesen hat nach aktuellem Stand niemand etwas, die Bankkonten sollten mittlerweile auch eingefroren sein, wobei der Beamte meinte, dass die Geldwäscher normalerweise angewiesen sind, das Konto quasi permanent zu bewachen und bei Geldeingang (Merke: Sofortüberweisung) das Geld auch sofort an die nächste Station weiterleiten sollen. Der Datenschutz tut dann seinen Rest, dass man als Polizei nur schwer was machen kann...
Den Account konnte wir dann gestern in einer "koordinierten" Aktion wieder zurückholen und löschen. Nachdem die Sperre aufgehoben war, haben wir die Website zur Accountlöschung vorausgefüllt. Dann hat sie sich am Smartphone eingeloggt, der Code kam dieses mal per Mail (da sie 2FA aktiviert hatte). Kurz vor dem Klick auf Login haben wir dann die Accountlöschung beantragt (hier wird der Code im Telegram-Chat verschickt). Dann schnell eingeloggt, Screenshot vom Code gemacht, bevor wir vom Betrüger aus der Session gekickt werden, und die Accountlöschung erfolgreich durchgeführt.
Jetzt bleibt natürlich die Frage: Wie zum Henker konnte das überhaupt passieren?
SIM-Card-spoofing erscheint mir unrealistisch, zumal man damit noch ganz andere Dinge hätte anstellen können, als nur den TG-Account zu hacken.
Es gibt noch einen "Screenshot" Trick, von dem ich auch nur gelesen habe, als ich nach dem Thema recherchiert habe. Darin wird der Account einer Person imitiert (Profilbild + etwas Social Engineering), um dann an Freunde dieser Person zu schreiben, dass sie doch bitte einen Screenshot von der Chatübersicht schicken sollen. Kurz vorher erfolgt ein Loginversuch des Accounts der angeschriebenen Person, wodurch im Chat (und somit auf dem Screenshot) der Login-Code zu sehen ist. Ich persönlich frage mich ja immer, wie jemand ernsthaft mit sowas erfolg haben kann, aber offenbar passiert das öfter, als man denkt. Meine Freundin hat jedenfalls keinen Screenshot herumgeschickt.
Für mich wäre demnach am naheliegendsten, dass der Windows-Rechner kompromittiert wurde und jemand Zugriff auf entweder den Rechner oder zumindest die dort laufende Telegram-Session hatte, um davon den Login-Code abzufangen. Aber auch hier würde ich mich wieder fragen, weshalb er nicht viel mehr Schindluder mit den Daten auf dem PC getrieben hat, sondern sich auf Telegram konzentriert. Der Laptop wird auch nur für die Uni genutzt und hat keine dubiose Software installiert. Virenscanner von Avira war ständig aktiv und hat nichts angedeutet, auch ein Scan von MS-Defender ergab nichts.
Ich habe von so einem Fall noch nirgendwo gelesen, wenn, dann war der Screenshot-Trick involviert, aber wie zum Henker kam der Typ an den Login-Code?
Noch eine Zusatzfrage, weil ich da keine Ahnung habe. Ich habe versucht die Transaktionen der USDT in blockchair nachzuverfolgen, bin da aber gescheitert. Ich habe euch mal die zwei Screenshots der Transaktionen angefügt, die Walletadresse des Empfängers lautet: TBwHJX39zgAhszvhMMEESVjKVmG14Fgor6 (ein hoch auf PowerToys-Text Extractor an dieser Stelle :-D)
Hat jemand eine Ahnung, wie ich die Transaktion finden kann? Die Info würde ich dann zumindest noch an die Polizei weitergeben.
heute mal eine Story von mir, die vorgestern passiert ist. Gegen Freitag, 14:30 hat eine unbekannte Person angefangen, über den Telegram-Account meiner Freundin Nachrichten an die gesamte Kontaktliste zu verschicken. Die Nachrichten waren allesamt auf persisch (meine Freundin ist Iranerin) und baten um eine dringende finanzielle Unterstützung von (exakt!) 500 EUR. Hat jemand angebissen, wurde sogleich ein Foto einer Sparkassen-Karte vorgelegt mit IBAN sowie dem Namen (Iranisch bzw. Afghanisch). Das Geld sollte natürlich via Sofortüberweisung gesendet werden und, für den Fall, dass jemand aus dem Iran angebissen hat, wurde bequemerweise auch eine Tether (USDT) genannt.
Meine Freundin hat schon nach kurzer Zeit direkt einen Anruf von einer Freundin bekommen, der dasselbe auch passiert ist und sie gewarnt hat und jetzt wird es krass. Meine Freundin loggt sich also ein und sieht natürlich die ganzen Nachrichten. Sie richtet erstmal ein 2FA-Passwort ein (hat sie vorher nicht gehabt) und wollte dann die bestehenden Sessions beenden. Davon gab es nur die auf ihrem iPhone und Windows-PC (Telegram-App) sowie die des Betrügers auf einem Android-Smartphobne via "Plus Messenger".
Sie kam aber nicht soweit, die bestehenden Sessions zu beenden, da sie direkt selbst rausgekickt worden ist. Der Betrüger hat Sie und den Windows-PC also rausgeschmissen und war nun alleine in ihrem Account unterwegs.
Nun denkt man sich: ist ja kein Problem, ich logge mich wieder ein, denn schließlich habe ich ja die Telefonnummer zu Hand, über die ich den Log-In bestätigen kann.
Nein. Sobald man sich einloggen will, wird ein Code an die bestehende Session (also die des Betrügers) geschickt und nicht per SMS. Nach einigen Versuchen (die vermutlich der Betrüger selbst initiiert hat) wird dann erstmal jeglicher Loginversuch für 24h gesperrt, aber die Session bleibt natürlich offen.
Es gibt ein Webinterface, über das man seinen Telegram-Account löschen kann. Aber auch hier wird der Bestätigungscode an die bestehende Session geschickt. Innerhalb der 24h-Sperre gibt es keine Möglichkeit, seinen Account zu blockieren. Der Telegram-Service hat weder auf unsere E-Mail reagiert noch auf meine Nachricht an den @NoToScam-Account, den Telegram angeblich selbst betreibt.
Ich konnte auf meinem Account sehen, wie der Betrüger permanent online war und habe auch selbst mit ihm Nachrichten geschrieben und protokolliert. Zusammen mit den Daten, die wir von ihren Freunden erhalten haben, haben wir der Polizei dann zwei Bankkarten-Daten vorlegen können, wobei es sich bei den Leuten natürlich nicht um die Betrüger handelt, sondern um Geldwäscher, die das Geld sofort weiterleiten, bis es dann nach einigen Zwischenstationen ausgecasht wird. In diesem Fall werden meist Asylanten angesprochen, die "unwissentlich" bei der Aktion mitmachen mit der Aussicht, ein paar EUR zusätzlich zu bekommen.
Zwar konnte meine Freundin durch die schnelle Warnung das gröbste Verhindern, aber nach aktuellem Stand sind mind. 1.200 EUR via USDT geflossen. Überwiesen hat nach aktuellem Stand niemand etwas, die Bankkonten sollten mittlerweile auch eingefroren sein, wobei der Beamte meinte, dass die Geldwäscher normalerweise angewiesen sind, das Konto quasi permanent zu bewachen und bei Geldeingang (Merke: Sofortüberweisung) das Geld auch sofort an die nächste Station weiterleiten sollen. Der Datenschutz tut dann seinen Rest, dass man als Polizei nur schwer was machen kann...
Den Account konnte wir dann gestern in einer "koordinierten" Aktion wieder zurückholen und löschen. Nachdem die Sperre aufgehoben war, haben wir die Website zur Accountlöschung vorausgefüllt. Dann hat sie sich am Smartphone eingeloggt, der Code kam dieses mal per Mail (da sie 2FA aktiviert hatte). Kurz vor dem Klick auf Login haben wir dann die Accountlöschung beantragt (hier wird der Code im Telegram-Chat verschickt). Dann schnell eingeloggt, Screenshot vom Code gemacht, bevor wir vom Betrüger aus der Session gekickt werden, und die Accountlöschung erfolgreich durchgeführt.
Jetzt bleibt natürlich die Frage: Wie zum Henker konnte das überhaupt passieren?
SIM-Card-spoofing erscheint mir unrealistisch, zumal man damit noch ganz andere Dinge hätte anstellen können, als nur den TG-Account zu hacken.
Es gibt noch einen "Screenshot" Trick, von dem ich auch nur gelesen habe, als ich nach dem Thema recherchiert habe. Darin wird der Account einer Person imitiert (Profilbild + etwas Social Engineering), um dann an Freunde dieser Person zu schreiben, dass sie doch bitte einen Screenshot von der Chatübersicht schicken sollen. Kurz vorher erfolgt ein Loginversuch des Accounts der angeschriebenen Person, wodurch im Chat (und somit auf dem Screenshot) der Login-Code zu sehen ist. Ich persönlich frage mich ja immer, wie jemand ernsthaft mit sowas erfolg haben kann, aber offenbar passiert das öfter, als man denkt. Meine Freundin hat jedenfalls keinen Screenshot herumgeschickt.
Für mich wäre demnach am naheliegendsten, dass der Windows-Rechner kompromittiert wurde und jemand Zugriff auf entweder den Rechner oder zumindest die dort laufende Telegram-Session hatte, um davon den Login-Code abzufangen. Aber auch hier würde ich mich wieder fragen, weshalb er nicht viel mehr Schindluder mit den Daten auf dem PC getrieben hat, sondern sich auf Telegram konzentriert. Der Laptop wird auch nur für die Uni genutzt und hat keine dubiose Software installiert. Virenscanner von Avira war ständig aktiv und hat nichts angedeutet, auch ein Scan von MS-Defender ergab nichts.
Ich habe von so einem Fall noch nirgendwo gelesen, wenn, dann war der Screenshot-Trick involviert, aber wie zum Henker kam der Typ an den Login-Code?
Noch eine Zusatzfrage, weil ich da keine Ahnung habe. Ich habe versucht die Transaktionen der USDT in blockchair nachzuverfolgen, bin da aber gescheitert. Ich habe euch mal die zwei Screenshots der Transaktionen angefügt, die Walletadresse des Empfängers lautet: TBwHJX39zgAhszvhMMEESVjKVmG14Fgor6 (ein hoch auf PowerToys-Text Extractor an dieser Stelle :-D)
Hat jemand eine Ahnung, wie ich die Transaktion finden kann? Die Info würde ich dann zumindest noch an die Polizei weitergeben.
