• Der Fragesteller hat diesen Beitrag als gelöst markiert.
  • Geschlossen

Mail Account gehackt

PowerMac
Super User
21 von 34

@hed: POP wäre ja nicht mal so sehr das Problem, solange man es mit Verschlüsselung eingerichtet hat. Andersrum kann man auch IMAP unverschlüsselt eingerichtet haben und hat dann das gleiche Problem.

@Anonym: Danke für die Infos bezüglich Sicherheit. Auf das Webmail mag das zutreffen. Was mich jetzt allerdings einmal mehr schockiert hat ist, dass heute im Dezember 2018 immer noch unverschlüsselte POP3 und IMAP-Verbindungen auf die bluewin.ch-Server möglich sind. Solange man dieses klaffende Sicherheitsloch nicht endlich mal stopft, finde ich die pauschale Aussage "unsere Plattform ist sicher" doch recht gewagt...

have you tried turning it off and on again?
have you tried turning it off and on again?
Anonym
22 von 34

Hi

Das ist ein Problem. Wir haben die Kunden nun mehrfach aufgefordert, die Verschlüsselung zu aktivieren. Das ist aber eine sehr träge Sache. Wenn wir es abschalten würden derzeit, hätten wir die Hölle an der Hotline UND wieder diverse Beschimpfungen und bestimmt auch ein paar negative Presseartikel. Daher sind wir erstmal daran, die Kunden dazu zu bringen, die notwendigen Änderungen an ihren Clients umzusetzen. Dann kommt der nächste Schritt.

Guido

andiroid
Level 6
23 von 34

Aufgrund von Guidos Bestätigung hab ich meine fehlerhaften Postings gelöscht. Sorry. @schumi99: Ich hoffe du weisst jetzt was dringender weise zu tun ist.

cslu
Level 6
24 von 34

@schumi99  schrieb:

 

Erster Fall. Mein Mail Account war plötzlich gesperrt. Gemäss Hotline wurde versucht mit falschen Passwörtern auf mein Mail zuzugreifen, worauf der Account gesperrt wurde. Das ist richtig so. Man nannte mir sogar die angreifende IP, eine IP aus dem Bereich Telefonica User. Ich befand mich damals in Spanien. Diese IP habe ich bei Telefonica abuse angezeigt. Natürlich kam da keine Rückmeldung. Ich konnte sogar den Standort dieser IP ermitteln, getraute mich aber nicht dort in die Häuser einzudringen und nach PC oder Laptop nachzufragen. Ich bin ja nicht James Bond.

 

Diese "Story" wirkt für mich aus diversen Gründen nicht ganz stimmig. Du warst ja selber in Spanien und der mutmassliche Angriff kam ebenfalls aus Spanien. Nehmen wir also an, jemand hätte irgendwie dein Passwort in einem öffentlichen WiFi gesnifft oder so: Wieso hat er sich dann mit einem falschem Passwort einzuloggen versucht... dann hätte er ja das richtige gehabt...

(Es sei denn er hat irgend ein anderes Passwort gesnifft... aber dann besteht ja eh keine Gefahr.)

 

Ist es nicht sogar denkbar, dass die fehlgeschlagenen Login-Versuche von einem Mail-Client auf irgend einem deiner Geräte in Spanien stammte?

 

Du schreibst ja an anderer Stelle, dass Thunderbird dich regelmässig auf unerklärliche Weise zur Neueingabe das Passworts aufgefordert hat. Es könnte z.B. sein, dass der Passwort-Speicher von Thunderbird irgendwie korrumpiert wurde und es daher zu den "Falscheingaben" kam.

Solche Fälle hatte ich in der Praxis mit Thunderbird tatsächlich schon einige wenige Male.

 

Vielleicht lag also von Anfang an gar kein Hack bzw. Hackversuch vor.

 

(Wie du den genauen Standort der IP ermittelt haben willst, würde mich im Übrigen noch interessieren. In den meisten Fällen dürfte dies ein eher schwieriges Unterfangen sein...)

 

 

Weitere Fälle. Nach einigen Wochen Ruhe geschah folgendes. Beim Zugriff auf mein Mail erhielt ich eine Meldung wonach der SMTP Server mich nicht authentifizieren könne, ich müsse nun ein neues Passwort eingeben oder noch einmal versuchen. Sicher ist eins, weder ich noch der Thunderbird Client haben irgend etwas an Passwort oder Netzwerk Config geändert. Und dass Swisscom etwas an meinem Account geändert hätte schliesse ich aus. Ich änderte also alle meine Passwörter. Und trotzdem kommt die Meldung sporadisch immer wieder.

Auch das kann durchaus für eine Fehlfunktion von Thunderbird sprechen.

(Wie gesagt, hatte schon derartige Fälle mit auf völlig seltsame Weise vermurksten Thunderbird-Configs... ist dann noch recht mühsam, das zu beheben.)

 

 

Für mich gibt es nur eine Erklärung - jemand versucht es wieder, aber so dass der Account nicht gesperrt wird. Ich glaube 3 mal darf man, oder?

 

Wie gesagt, für mich nicht die einzige Erklärung. Nichtmal unbedingt die Wahrscheinlichste, wenn du mich fragst. (Ich denke übrigens man "darf" öfter als drei Mal.)

 

 

Und zu guter Letzt kam dann das Erpresser Mail. Offenbar hatte der eines meiner (wenig wichtigen) Passwörter geknackt.

 

Hat vermutlich mit dem Rest rein gar nichts zu tun. Wie diese Mails zu Stande kommen, habe ich in meinem vorherigen Beitrag ja schon genannt. Habe in den letzten Monaten unzählige solcher Mails gesehen. Das ist "Massenware" und kein individueller Angriff.

 

 

Stimmt teilweise. Ich bin den Weg gegangen, und landete nach viel Administration und Zeitverzug bei der Abteilung Forensik der Kantonspolizei. Die  Leute dort sind wirklich kompetent, wenn jemand etwas herausfinden kann, dann die, sie können Swisscom zur Mitarbeit zwingen.  Allerdings ist der "Erfolg" dann oft  der, dass man einen Server, z.B. in Indien identifiziert und dort Anzeige erstattet. 

 

Eben. Viel Aufwand von sowieso völlig überlasteten Stellen mit 0 Erfolgschancen. Kann und sollte man sich sparen! Die haben wirklich wichtigeres zu tun.

 

Eigentlich genau das was Swisscom will und soll. Hinweisen nach Missbrauch nachgehen.

 

Soweit ich dich verstanden habe, wurde der Zugang doch gesperrt, als es ungewöhnlich viele fehlgeschlagene LogIn-Versuche gab. Du hast die Passwörter seither geändert. Die Wahrscheinlichkeit eines fortgesetzten und "erfolgversprechenden" Missbrauchs (falls es überhaupt je einen gegeben hat) ist also nicht sonderlich hoch, es sei denn, dein PC ist trojanisiert. Aber wenn dem so wäre, dann wären die LogIn-Versuche ja erfolgreich 😉

 

Im Übrigen: Versuch mal bei GMail irgend eine brauchbare Auskunft zu irgend etwas zu bekommen. Viel Spass. Anrufen kannst du nirgends, Support-Mails werden zu 100% ignoriert und in den dortigen Community-Foren ist ebenfalls tote Hose.

 

 

 

 

Im Übrigen hat GuidoT sicher recht damit, dass es ein riesen Geschrei gäbe, wenn man nur noch verschlüsselten Zugang auf die Maildienste erlauben würde.

Man hat das ja an anderer Stelle erlebt...

Ich gehe mal davon aus, bei der Swisscom hat man internt Statistiken, wie gross der Anteil ist, die noch unverschlüsselt verbinden und kann daher in etwa abschätzen, wie viele Zehn- bzw. wahrscheinlich eher Hunderttausend wütende Anrufe man dann auf der Hotline hätte.

Nichtsdestotrotz: Andere Anbieter haben den Schritt gemacht.

 

(Erschwerden kommt hinzu, dass leider auch noch recht viele Drucker-MFPs herumgurken, die ihre Scans per Mail verschicken, aber nicht in der Lage sind, eine verschlüsselte Verbindung aufzubauen. Das wäre dann nochmal zusätzliches Geschrei.)

PowerMac
Super User
25 von 34

@Anonym: Ich verstehe deinen Standpunkt. Aber hast du dabei auch bedacht, dass es auch erboste Kunden und negative Presseartikel hageln könnte, wenn diese seit Jahren bekannte und auch hier in der Community immer wieder erwähnte Schwachstelle einmal grossflächig aktiv ausgenützt würde? Solche negative Publicity wäre dann ungleich gerechtfertigter als der Shitstorm einer Gruppe Ignoranten, die sämtlichen Aufforderungen zum Trotz immer noch unverschlüsselte Zugänge benutzen.

have you tried turning it off and on again?
have you tried turning it off and on again?
schumi99
Level 2
26 von 34

ein jeder kann hingehen, und bei x einer Mailadresse versuchen das Passwort zu erraten. Das ist aussichtslos, es sei denn man hat Hinweise auf bereits verwendete Passwörter irgendeines Forums wo noch nicht mit https zugegriffen wird. Ja, das gibts halt immer noch. Die Swisscom Plattforn reagiert da genau so wie es sein muss, bei Fehlzugrffen sperrt sie den Account.  Das Problem liegt nicht bei der Plattform, sondern beim Support. Wenn man denn schon feststellt, dass ein Mail Account systematisch Passwortfehler anzeigt, muss man dann den Kunden mit faulen Ausreden abweisen? Dann klärt man doch mit dem Kunden ab ob er irgend etwas an Passwort, Mail Account oder an seiner Konfiguration geändert hat. Unter Support verstehe ich nicht generelle Beschuldigung des Kunden oder des Mail Client, sondern konkrete Kontrolle der Zugriffs Parameter. Dass da kundenseitig Fehler vorkommen können ist sattsam bekannt. Was aber wenn das mal nicht der Fall ist? Und da habe ich den Swisscom Support als schwach erlebt. Es liegt nicht an der Plattform GuidoT, es liegt am Wissen und Können der Support Mitarbeiter. In einem früheren Fall hatte ich die gleichen Probleme, fand heraus, dass einer der von Hotspot Shield verwendeten Server blacklisted war, und dann vom Bluewin IMAP Server offensichtlich abgewiesen wurde. Das fand nicht der Swisscom Support heraus, nicht mal den Grund warum die Verbindung abgewiesen wurde. Das ist schwach..... Hotspot Shield weist neuerdings leider keine Serverlisten mehr aus, somit kann man das nicht mehr kontrollieren. Aber der IMAP Server muss bei einer Verbindungsabweisung einen Status anzeigen, und den könnte man doch ganz einfach feststellen und kommunizieren statt den Kunden und den Mail Client zu verdächtigen und mit dem Portemonnaie zu winken, oder ? Hier in der Schweiz kann das nicht mehr der Fall sein, da gehe ich direkt zu den Bluewin Servern via Internetbox 2.  Und trotzdem geschieht es hin und wieder, und es sieht mir ganz nach einem Angriffs Schema aus. Klar kann man mich und Thunderbird verdächtigen, vielleicht findet man sonst noch jemanden den man verdächtigen könnte, und das ist dann wohl  der beste Weg wie man das Vertrauen eines Kunden verlieren kann. 

 

Bei Google ist das anders, da werden die Zugriffe auf mein Mail - und Google Services überwacht. Fremdzugriffe oder suspekte Zugriffe werden angezeigt und notfalls auch blockiert. Meine wenigen Erfahrungen mit Google Support sind übrigens nicht schlechter als bei Swisscom. 

 

Im übrigen, die vielen Hinweise auf den Umgang mit Passwörtern, die sind absolut berechtigt. Werde ich noch mehr beherzigen und bin daran einen Passwort Manager zu verwenden.

 

. Fremdzugriffe - haben Freunde von mit schon konkret erlebt, sie wurden ihnen angezeigt, die Fremdzugriffe kamen dann nie mehr vor, offensichtlich wurde da etwas unternommen. Man kann schon versuchen den Google Supoort schlecht zu reden. Zwei mal habe ich den in Anspruch genommen und kompetente Antworten bekommen.  

 

Das Problem ist und bleibt, ich erwarte von Swisscom dass sie 

schumi99
Level 2
27 von 34

ff

schumi99
Level 2
28 von 34

bitte löschen 

schumi99
Level 2
29 von 34

ich danke für die viele Antworten und postings und fasse hier meine Erkenntnisse zusammen.

 

Umgang mit Passwörtern,

 

war bei mir eine Schwachstelle, besonders im offenen WLAN in Spanien. Meine "schwachen" Passwörter gelten nur für Zugriffe auf Foren oder dgl.  Kritische Zugriffe und Daten sind alle verschlüsselt. Dort in Spanien gehe ich grundsätzlich nur via Hotspot Shield ins Internet, hatte aber ein oder zweimal ausgeschaltet weil irgend ein Zugriff wegen "fremder IP" abgewiesen wurde, wo das war weiss ich nicht mehr (Zattoo?).  Das im Erpressermail genannte Passwort ist nur ein Teil eines unwichtigen, unkritischen Passworts, was aber offenbar Grund genug für einen Angriffsversuch gab.  Trotzdem, wie kommt ein Typ an der Calle Diana in Denia dazu, solange zu versuchen auf mein Mailkonto zuzugreifen bis es knallt? Und ja, es gibt dort in der Nähe einen Internet Shop.  Aber ist das alles ein Grund Angriffe und Missbrauchsversuche heilig zu sprechen, ganz in der Schweizer Tradition - Opfer ist selber schuld?

 

Swisscom Infrastruktur

 

Als Kunde verpflichte ich mich keinen Missbrauch mit der Swisscom Infrastruktur  zu betreiben, ich erspare mir hier die genaue juristische Umschreibung. Wenn ich Missbrauch feststelle oder einen Verdacht hege zeige ich den bei Swisscom an. Dass Sanktionen die Folge sein können weiss und befürworte ich, da ich nicht im geringsten die Absicht habe Böses zu tun. Im Gegenzug erwarte ich Gleichbehandlung von Swisscom wenn ich Opfer eines Missbrauchs werde oder sein könnte. Und bitte lasst die faulen Ausreden und Hinweise auf Leute die Passwörter wie z.B. 1234 verwenden, oder die Vermutung ein jeder der die Hotline anrufe sei ein DAU.  Dann erwarte ich von Swisscom, dass abgeklärt wird  ob ein Missbrauch vorliegt und wie genau der zustande kam, inkl. Sanktionierung des Missbrauchers. Das ist nichts anderes als Erfüllung eines Vertrags, bei dem im übrigen auch ein Entgelt  vereinbart wurde.  Sollte ich durch missachten von Regeln den Missbrauch leichtfertig gefördert haben, lasse ich mich verwarnen oder allenfalls sanktionieren, erwarte aber den klaren Nachweis. 

 

Und hier hapert es.

 

Hacker verwenden die gleiche Infrastruktur der Provider wie wir Kunden, resp. missbrauchen sie. Für Hacker gibt es bevorzugte Provider. Z.b. in Indien, Bangla Desh, Mali, Zentralafrikanische Republik , Slowakei, Moldawien.  Dort mieten sie sich auf Servern ein, legen Accounts an, oft nur kurzzeitig.  Ich möchte dass Swisscom nicht zu den bevorzugten Providern  für Hacker zählt. Ich habe auf der Kantonspolizei erlebt wie viele Anzeigen wegen Internet Missbrauch da eingehen, meist von Leuten die wenig technisches Know how haben. Die Polizei kann nicht selber aktiv werden sie muss die Anzeigen weiterleiten. In der Regel an Swisscom.  Und da irritiert mich die Swisscom. Angesichts der Häufigkeit und Systematik solcher Angriffe und  Missbräuche müsste doch die Swisscom (jeder seriöse Provider) ein Abwehr-Konzept und -Dispositiv haben, das systematisch, möglichst automatisiert agiert und einleuchtend kommunizierbar ist.  Es gibt eine ganze Menge Organisationen, Datenbanken, Spamerlisten, mit Hinweisen auf Internet Gauner, wie z.B. Spamcop, die benutzt werden können um Angriffe zu blockieren.  Wie kann es sein, dass ein IMAP Server von Bluewin einen Zugriffsversuch eines blackgelisteten Servers abweist, und kein Mensch im Swisscom Support weiss warum? Müssten wir nicht eine provider unabhängige schlagkräftige Cyber Polizei auf die Beine stellen wenn wir denn schon von Digitalisierung unseres Landes reden? Oder wollen wir den Täterschutz nun auch noch auf Internet Gangster ausdehen? So im Sinne Opfer ist selber schuld, wie auch hier teilweise angedeutet wurde?

 

 

 

 

 

 

 

 

 

cslu
Level 6
30 von 34

@schumi99

 

Du schreibst in deinem letzten Beitrag ja eigentlich selber, dass das von dir entworfene Szenario eher unplausibel ist:

 

"Das im Erpressermail genannte Passwort ist nur ein Teil eines unwichtigen, unkritischen Passworts, was aber offenbar Grund genug für einen Angriffsversuch gab.  Trotzdem, wie kommt ein Typ an der Calle Diana in Denia dazu, solange zu versuchen auf mein Mailkonto zuzugreifen bis es knallt?"

 

Trotzdem hältst du daran fest, anstatt in Betracht zu ziehen, dass auch das von mir beschriebene - weniger unplausible - Szenario zutreffen könnte.

 

Insofern weiss ich nicht, wie man dir noch zielführend antworten könnte.

 

 

(Davon abgesehen wäre es natürlich durchaus schön, wenn beim Swisscom-Support ausschliesslich Leute arbeiten würden, die entsprechende Anfragen verstehen könnten und denen die entsprechenden Informationen zur Verfügung stehen würden, diese umfassend zu beantworten. Nur ist es wahrscheinlich ein aussichtsloses Unterfangen, solche Leute in gegügender Zahl rekrutieren zu wollen.)

Tux0ne
Level 9
31 von 34

Ja das muss jeder für sich selber entscheiden...

 

https://community.swisscom.ch/t5/Router-Hardware/Einbruch-ins-Heimnetzwerk/m-p/524909/highlight/true...

 

https://community.swisscom.ch/t5/Router-Hardware/Fremde-Geräte-im-inhouse-Netzwerk/m-p/520255/highli...

 

Also eine gewisse Medienkompetenz ist da schon vorhanden. Jetzt noch die richtigen Schlüsse daraus ziehen und alles wird gut 😉

 

Jeder ist beim Provider den er verdient
Jeder ist beim Provider den er verdient
schumi99
Level 2
32 von 34

wenn du da den Mail Client ansprichst? Natürlich kann eine Software wie Thunderbird Fehler haben. Was macht man in einem solchen Fall?  Man googelt, oder findet ein Supportforum für diese Software. Und schaut was da so an Problemen vorhanden ist. Ich habe da zwar etwas von Problemen mit Verbindungen zu Servern gesehen, aber für meinen Fall habe ich nichts derartiges entdeckt. Habe ich seinerzeit auch in Denia gemacht.  Es ist für mich selbstverständlich, dass ich jeweils die meinerseits betroffenen Komponenten durchchecke. Handkehrum hatte ich den Fall mit geblacklisteten Servern von HotspotShield.  Das war kein Fehler von Thunderbird.  Aber etwas das auf dem Transportweg durch Netz stattfand, und das wir als Nutzer nicht einsehen können. Swisscom müsste dies aber können, nur sie hat Zugriff auf die entsprechenden Netzstrukturen. So viel zum weniger unplausiblen Szenario. Es ist nicht so, dass ich dem nicht nachgehen würde, resp. nachgegangen bin.  Bei mir hat sich halt die Plausibilität etwas verschoben, sorry. 

 

Ich danke Dir dass Du Dich engagierst und mir etwas zielführendes antworten möchtest.  Das hast Du bereits. Danke. Und dass Du für Swisscom als Drehscheibe und Plattform nicht einstehen kannst ist klar. Es sei denn Du hättest bei Swisscom eine führende Stellung. 

 

 

 

 

  

schumi99
Level 2
33 von 34

Hallo Tux0ne,

 

kicher kicher, Du bringst die Sünden der Vergangenheit ans Tageslicht! :grin_smile: 

 

Seither sind mir auf dem Kriegspfad weitere Angreifer begegnet. Nicht bei mir selber aber bei Freunden. Daher die Erwähnung von Providern aus Mali und Zentralafrika. Der Krieg geht weiter, dank der tapferen Krieger hier im Forum, die damals schon geholfen haben fühlt man sich nicht so allein!

 

Im übrigen, den Synology Router mit IDS habe ich noch nicht angeschafft. Noch nicht. Bin manchmal etwas faul, und den kann ich nicht nach Denia mitnehmen.

 

Hab Dank für Deine warmen Worte

 

 

Werner
Super User
34 von 34

@Tux0ne

 

Danke für die sehr relevanten Links zu den historischen Beiträgen...

Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Selbstdeklaration: Emanzipierter Kunde und Hobby-Nerd ohne wirtschaftliche Abhängigkeiten zur Swisscom
Nach oben