Web.de Konto gehackt, trotz Passwortänderung schon wieder!

[DerBarbar]

Hallo Leute,

ich wende mich an euch, da ich absolut nicht mehr weiter weiß.
Ich versuche den ganzen Sachverhalt so kurz wie möglich zu beschreiben:

Das ganze Spektakel begann im Januar: Es wurden erstmals automatisch Mails an ehemalige Chatpartner von ebay-Kleinanzeigen geschickt. Die Chats hatte ich aber längst gelöscht direkt bei ebay. Zuerst dachte ich, es wäre ein Problem von ebay. Es werden ab und zu Nachrichten mit einem Link "Profile" gesendet. Mittlerweile mehrmals täglich.
Als mich diese Chatpartner öfters anschrieben und fragten was ich Ihnen da schicken würde, wurde ich zunehmend stutzig. Zudem forderte mich Web.de auf, mein Passwort zu ändern, was ich damals nicht tat.

Nach Kontakt mit dem Support sollte ich mein ebay-Passwort ändern. Leider ohne Erfolg. Weiterhin täglich diese Nachrichten.
Jetzt bin ich zur Erkenntnis gekommen, dass diese Nachrichten von meinem Web.de-Konto an ebay-Nutzer geschickt wurden. Das funktioniert, indem man auf Benachrichtigungsmails im Mailkonto antwortet - die Nachrichten landen dann direkt im Postfach der alten Chatpartner bei ebay. Ich räume mein Postfach nämlich selten auf und die Benachrichtigungsmails von damals sind noch da.

Habe nun das Mailkonto-Passwort per Tablet geändert und Smartphone - Tablet - PC mit mehreren Virenscannern durchlaufen lassen.
Am PC gab es einige Meldungen: Kaspersky gab eine harmlose Meldung aus. Mailwarebytes schlug bei diversen kleineren Dingen mit geringer Priorität an (z.B. Chinad). Habe alle Funde gegoogelt und keine Hinweise auf ernsthafte Schadsoftware finden können. Ging alles in Richtung Werbung. Keine Anzeichen für Keylogger o.ä., Avira schlug überhaupt nicht an.

In meinem Mailkonto befinden sich keine Nachrichten im Gesendet-Ordner. Sonst alles absolut unauffällig. Allerdings befinden sich im Spam-Ordner einige Meldung über fehlerhafte Zustellung, weshalb ich überhaupt erst auf das Mailkonto als Ursache gestoßen bin.

Trotz erstmaliger Kennwortänderung des Mailkontos vor 3 Stunden gehen diese Nachrichten an ebay schonwieder los. Das kann doch nicht sein! Habe mich mittlerweile allerdings wieder von allen Geräten aus bei Web.de eingeloggt, weil ich dachte der Spuck wäre vorbei.

Komischerweise ist nur dieses eine Mailkonto betroffen. Kein Paypal, Facebook, Onlinebanking, keine anderen Mailkonten.

Werde das Passwort jetzt vom Smartphone meines Vaters nochmal ändern aber ich weiß absolut nicht weiter. Gibt es eine andere Möglichkeit für Hacker über mein Mailkonto zu kommunizieren evtl. direkt über web.de? Was kann ich als nächstes unternehmen? Dachte bisher meine Geräte wären alle "sauber" .

Bitte um eure Hilfe und euren Rat.

Euer Barbar

 

[owned_you]

Dachte bisher meine Geräte wären alle "sauber" .

Das denken sie alle


PW ändern von nem absolut sicheren Gerät aus !!! Kein Gerät das irgendwie in deinem Netzwerk zuhause hängt !!! ist nach einer Infektion noch sicher! Live Linux von CD etc. nehmen ... Weiterleitungen bei Web.de nicht vergessen ... nütz dir alles nix wenn du schön die PW änderst und ne automatische Weiterleitung bei deinem Konto eingerichtet wurde.

Und dann ein Gerät nach dem anderen plätten und erst danach wieder ans Netz bringen. Selbst nen Malware Spezialist kann dir nicht zu 100% sicher sagen ob das System nach ner Bereinigung durch Tools safe ist!
Also plätten neu aufsetzen.

 

[blackshuck]

Rechner platt machen! Nur dann kannst du sicher sein, dass dein Rechner sauber ist! Dann änder nochmal all deine Passwörter

 

[D0m1n4t0r]

Klingt für mich danach als wäre dein Rechner oder eines der anderen Geräte mit denen du web.de nutzt mit irgendwas keyloggerartigem infiziert. Eventuell auch der Router.

Die einzige Lösung ist, alle Geräte plattzumachen und sauber neu zu installieren.

Dass du keine Malware findest kann z.b. damit zu tun haben dass die sich so tief eingenistet hat dass sie nichtmehr auffindbar ist, Stichwort Rootkit. Oder die Malware macht die Virenscanner bei deren installation direkt unschädlich (ja das kann moderne malware).

 

[DerBarbar]

Danke für die schnellen Antworten - oh man das hört sich garnicht gut an.
Am Netzwerk hängen insgesamt bestimmt 15 Smartphones, Tablets, Notebooks und PCs.

Kann sich auf Tablets & Smartphone auch Malware einwurzeln? Dachte das wäre dort recht gut auffindbar für die Scanner wegen anderem OS.

 

[obz245]

Gerade Tablets und Smartphone mit Android weisen Löcher auf. Handelt es sich um solche Geräte?

 

[Nero FX]

Es ist auch gut möglich das die eMails die da an eBay gehen gar nicht von deinem Konto kommen sondern einfach die email Adresse (individuell für diese Kommunikation) geklaut wurde. Dann noch die Absenderadresse gefälscht und schon braucht man gar keinen Zugang mehr zu deinem Web.de Konto.

Ich würde von einem sicheren Gerät sicherheitshalber trotzdem das Kennwort nochmals ändern. Dann warten ob es weiter geht, wenn ja -> ist das Gerät infiziert oder der Fall wie oben beschrieben ist eingetretten.

Achja ändere bei Web.de auch die Sicherheitsfrage und falls hinterlegt andere Wiederherstellungsinformationen.

 

[DerBarbar]

Ja. Habe jetzt alle Kennwerte von meinem Tablet aus geändert. Ist fast neu das Gerät und war kaum im Netz. Hoffe jetzt ist Schluss ansonsten brauch ich eine Woche Urlaub.

 

[Sterntaste]

ich würde das Postfach bei Web.de kurzerhand schließen neben einer Intensivbeackerung der im Netz hängenden Geräte.

 

[NoiseShadow]

Schau mal bitte bei Web.de in den Einstellungen ob dir ne
E-Mail Weiterleitung eingerichtet wurde!?
Alles schon gehabt!

 

[Minimax83]

Zumindest wenn man sich direkt anmeldet, wird die Uhrzeit/Datum vom letzten Login angezeigt.
Notiere dir immer, wenn du dich das letzte Mal eingeloggt hast und vergleiche das dann mit den angezeigten Daten.

 

[DerBarbar]

So, schreibe gerade von einem frisch installierten PC .
Habe heute mit einem Mitarbeiter von Web.de telefoniert und mich auch anderweitig ein bisschen schlau gemacht.

Meine Theorie sieht nun so aus:
Das Postfach wurde gehackt. Als erste Ursache kommt ein Keylogger auf einem PC in Betracht. Ich tippe auf einen befallenen PC in der Uni oder mein Heim-PC. Letztere Möglichkeit schließe ich eher aus, da von sonst kein anderer Account irgendeiner Art Anzeichen für Passwortdiebstahl zeigte und auch kein einziger Virenscanner anschlug. Habe ihn trotzdem neu aufgesetzt. Wurde eh mal wieder Zeit .
Als zweite Ursache könnte das Passwort durch "Ausprobieren" geknackt worden sein. Ist wohl garnicht so unwahrscheinlich, wie man im Netz lesen kann.

Auf jeden Fall hat der Hacker meine Kontakte aus den Postfächer abgegraben und verschickt jetzt an diese Adressen unter meinem Absender die Mails (Spoofing). Von meinem Account ist seit Passwortänderung gestern Abend laut Mitarbeiter Web.de keine Mail mehr rausgegangen bzw. es fand kein Login statt. Trotzdem bekam ein Mitglied bei ebay gestern Nacht schonwieder eine Mail.

Habe den Account wie von euch vorgeschlagen auf Weiterleitungen geprüft - waren keine eingerichtet. Zudem habe ich den Zugang über POP3/IMAP gesperrt, dh um jetzt Mails zu verschicken, muss sich mein neuer Freund direkt über den Browser ins Postfach einloggen. Dort kann ich über die letzte Login-Zeit kontrollieren und so die ganze Situation im Auge behalten.

Vielen Dank für eure Unterstützung - ich hoffe jetzt ist erstmal Ruh mit dem Kram.

Grüßle
DerBarbar

 

[paxtn]

Ist zwar schon ein paar Tage alt, aber es wäre vielleicht auch nicht verkehrt, dass du, falls du diese E-Mail-Adresse für irgendwelche Webseiten (z.B. Amazon, ebay, etc.) verwendest, dass du bei den Anbietern eine neue E-Mail-Adresse (vll. ein Alias deiner web-Adresse) hinterlegst, damit er nicht auch noch versucht, die dortigen Konten zu kapern. :-)

Zu den Ursachen:
zur 1. Ursache: Ich kann dir nur davon abraten, mit fremden Computern auf deine Accounts zuzugreifen.
zur 2. Ursache: Ein gutes Passwort mit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen lässt sich nicht mal eben durch "Ausprobieren" ermitteln. Ich empfehle dir grundsätzlich Passwörter mit mind. 10 Zeichen (bestehend aus Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen) und pro Account ein anderes Passwort zu nutzen.

 

[DDD]

Ist zwar schon ein paar Tage alt, aber habe das gleiche Problem gerade bei einem Bekannten.

Zusätzlich ist es sicherlich noch gut die wichtigen Konten die mit der gleichen EMail lauten zu prüfen ob dort ggfs. sogar das gleiche Kennwort, veraltete einfache Fragen, alte Rufnummern, kein 2Faktor Authentifizierung aktiv ist, IMAP deaktivieren wenn nicht benutzt usw.

Beim Bekannten wurde die web.de Adresse irgendwie gehackt und eine Weiterleitung wurde eingerichtet an die neue Email vom Hacker; natürlich bei Google gemeldet (Gmail Adresse),
aber ob's was bringt?!

Blöd ist bei web.de natürlich dass man dort nicht sieht wann sich welche IP angemeldet hat, was sie gemacht hat, dass man keinen Support ausser teure Telefonnummer anbietet und dass man keine 2F Authentifizierung anbietet. Eine EMail dass eine Weiterleitung geändert wurde kommt auch nur an die HauptMail die man gerade gehackt hat und nicht an die 2. EMail die in dem Profil drin ist.