Jemand hat versucht in meinen Mt.Gox Account einzudringen. - page 4.

phantastisch

legendary

Activity: 2271

Merit: 1363

Quote from: OhShei8e on July 13, 2013, 07:37:36 AM

Quote from: phantastisch on July 13, 2013, 07:16:43 AM

Quote from: OhShei8e on July 13, 2013, 06:59:22 AM

Quote from: phantastisch on July 13, 2013, 06:43:31 AM

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

Na ja, eine Hotmail-Adresse ist so schwer zu hacken wie ein Keks. Kenne viele Leute mit gehackten Hotmail-Adressen. Der Angreifer war im Postfach, hat dort Mails von Gox entdeckt und dann einfach mal das Passwort zurück gesetzt. So meine Theorie. Ich würde für Mt. Gox niemals einen Freemailer nutzen.

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 08:03:09 AM

Danke für den Tip mit dem Ct. Bankix USB-Stick, ebenso für https://posteo.de/
Werde ich mir jetzt mal genauer anschauen und dann alles neu aufsetzen.

Nervt aber gewaltig, da ich mein WE anders geplant hatte.

Was ist ein API-Key?
Verwende keine Bots oder so.

Ja, den brauchst Du für Bots. Wenn Du das nicht nutzt ist dieser Punkt abgehakt.

Wenn Du Ct Bankix einsetzt hast Du erstmal nicht den Druck sofort alles neu machen zu müssen. Das Beste wäre, wenn Du Dir bei einem Freund, der eine sichere Umgebung hat, einen Ct Bankix USB-Stick erstellen lässt. Ansonsten mach doch einfach mal einen Ct Bankix Stick an Deinem jetzigen System. Selbst wenn Dein System kompromittiert ist, ist es eher unwahrscheinlich, dass der Angreifer darüber auch das Bankix kompromittiert (unmöglich ist es freilich nicht).

Ganz astrein ist die Lösung natürlich nicht. Nach meiner Erfahrung macht man aber Fehler, wenn man Systeme ungeplant neu aufsetzt. Man sollte sowas immer in Ruhe und vor allem auch mit etwas Freude machen. Konzentriere Dich also auf Ct Bankix und verbringe Dein WE ansonsten wie geplant. Ich nutze für Bankix übrigéns einen USB-Stick mit Schreibschutz:

http://www.amazon.de/Imation-manueller-Schreibschutz-natralock-Blister/dp/B005AAQH7U

Zephir

hero member

Activity: 533

Merit: 539

Werde auch den Usernamen von Gox auf eine beliebige Zahlen/Zeichen/Ziffern-Kombi ändern, falls das nachträglich möglich ist.

Zephir

hero member

Activity: 533

Merit: 539

Danke für den Tip mit dem Ct. Bankix USB-Stick, ebenso für https://posteo.de/
Werde ich mir jetzt mal genauer anschauen und dann alles neu aufsetzen.

Nervt aber gewaltig, da ich mein WE anders geplant hatte.

Was ist ein API-Key?
Verwende keine Bots oder so.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 07:34:31 AM

Einer der Betroffenen vom Wall Observer hat mir in einer PM geschrieben, er nutzt Linux und einen bezahlten Mailanbieter.
Im Grunde keinerlei Gemeisamkeiten, außer Google Authenticator als 2FA und die hat anscheinend auch bei ihm gehalten.

Verstehe. Besitzt Du bei Gox einen API-Key, der missbraucht worden sein könnte?

Eine Möglichkeit die mir noch einfällt wäre eine klassische Cross-Site-Scripting-Attacke. Dafür wäre nur der verwendete Browser und neben Gox noch weitere geöffnete Seiten ausschlaggebend.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 07:13:25 AM

Ich habe geschlafen(Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub), als jemand ein neues Passwort angefordert hat(09:39).
In der Mail ist ganz unten angezeigt:

The request was made from :

IP:67.165.253.176

Browser: Opera/9.80(WindowsNT6.1;WOW64) Presto/2.12.388 Version/12.15

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.
Habe um 10:18 sofort den Support kontaktiert und um 10:23 kam die erste Mail.
Der Support hat sofort die withdrawals gesperrt und da sie auf meine 3. Frage dann kein mail mehr schickten, öffnete ich den Support chat.
Nach 1 Minute meldete sich Linda vom Support und wir haben ungefähr 30 Minuten gechattet und sie hat mir gesagt, dass bisher keine withdrawals stattfanden und der Angreifer über den Link in der E-mail mein Passwort geändert hat, aber dann anscheinend am 2FA scheiterte.
Dadurch, das es pro Tag nur einmal möglich ist ein "password recovery" anzufordern muss ich jetzt bis morgen warten um ein neues Passwort zu machen, um in meinen Acc zu gelangen.
Verstehe es auch nicht wie derjenige in meinen E-Mailacc kam.

Okay, das erklärt einiges. Ich kenne viele Leute mit gehackten Hotmail-Accounts. Allerdings war in vielen Fällen auch ein Heimsystem kompromittiert, wo das Passwort für den Mail-Account wahrscheinlich über einen Keylogger mit geschnitten wurde. Wie wahrscheinlich das in Deinem Fall ist hängt davon ab wie sicher Hotmail inzwischen ist. Meine Informationen liegen Jahren zurück. Da war Hotmail offen wie ein Scheunentor. Falls Microsoft da nachgebessert hat, geraten eher Geräte bei Dir zu Hause in Verdacht.

Ich würde Dir empfehlen sämtliche Systeme neu aufzusetzen inklusive Deines Telefons und vorerst nur noch über einen Ct. Bankix USB-Stick auf Deinen Gox Account zuzugreifen. Generell ist das sowieso das beste. Dadurch laufen 99,9% aller möglichen Angriffe ins Leere und Du musst jetzt erstmal nicht einen riesen Aufwand treiben. Und besorg Dir in jedem Fall einen neuen Mailaccount.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 07:36:03 AM

Gibt es bei hotmail, bzw Outlook die Möglichkeit eine Login Historie einzusehen?

Wende Dich vertrauensvoll an Microsoft, siehe z.B.:

http://answers.microsoft.com/en-us/windowslive/forum/liveid-wlsecurity/hotmail-login-history-ip-address/b1735be5-c477-4567-8dca-92a19f483975

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: phantastisch on July 13, 2013, 07:16:43 AM

Quote from: OhShei8e on July 13, 2013, 06:59:22 AM

Quote from: phantastisch on July 13, 2013, 06:43:31 AM

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

Na ja, eine Hotmail-Adresse ist so schwer zu hacken wie ein Keks. Kenne viele Leute mit gehackten Hotmail-Adressen. Der Angreifer war im Postfach, hat dort Mails von Gox entdeckt und dann einfach mal das Passwort zurück gesetzt. So meine Theorie. Ich würde für Mt. Gox niemals einen Freemailer nutzen.

Zephir

hero member

Activity: 533

Merit: 539

Gibt es bei hotmail, bzw Outlook die Möglichkeit eine Login Historie einzusehen?

Zephir

hero member

Activity: 533

Merit: 539

Quote from: OhShei8e on July 13, 2013, 07:27:34 AM

Quote from: Zephir on July 13, 2013, 07:17:05 AM

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

Da ist es dann interessant wo die Gemeinsamkeiten liegen, um evtl. herauszufinden über welchen Weg der Angriff erfolgte. Vielleicht wurde nur Dein Hotmail-Account gehackt. Dann hättest Du noch Glück gehabt.

Einer der Betroffenen vom Wall Observer hat mir in einer PM geschrieben, er nutzt Linux und einen bezahlten Mailanbieter.
Im Grunde keinerlei Gemeisamkeiten, außer Google Authenticator als 2FA und die hat anscheinend auch bei ihm gehalten.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 07:17:05 AM

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

Da ist es dann interessant wo die Gemeinsamkeiten liegen, um evtl. herauszufinden über welchen Weg der Angriff erfolgte. Vielleicht wurde nur Dein Hotmail-Account gehackt. Dann hättest Du noch Glück gehabt.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 07:17:47 AM

Ist eine Hotmail Adresse.

Okay. Das war Dein erster Fehler. Verschaffe Dir erstmal einen vernünftigen Mailaccount. Das ist übrigens ohne technische Kenntnisse gar nicht so einfach. Hätte ich keine andere Möglichkeit, würde ich vermutlich sowas hier nutzen:

https://posteo.de/

Verschaffe Dir einfach insgesamt mehr Sicherheit über Dein Mailpostfach und Dein eingesetztes Betriebssystem.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: Zephir on July 13, 2013, 06:56:09 AM

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

Da Du Kaspersky IS2013 nutzt, gehe ich davon aus, dass Du von einem Windows-System aus trades, also von einem extrem leicht zu kompromittierendem System. Ich empfehle Dir die Verwendung eines schwerer zu kompromittierendes System wie Ct Bankix. Das kann man zwar sicherlich auch knacken, aber es dürfte zumindest nicht jeder 12-Jährige schaffen.

Zephir

hero member

Activity: 533

Merit: 539

Ist eine Hotmail Adresse.

Zephir

hero member

Activity: 533

Merit: 539

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

phantastisch

legendary

Activity: 2271

Merit: 1363

Quote from: OhShei8e on July 13, 2013, 06:59:22 AM

Quote from: phantastisch on July 13, 2013, 06:43:31 AM

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

Zephir

hero member

Activity: 533

Merit: 539

Ich verwende den Google Authenticator und verwende 24-stellige Passwörter aus Buchstaben,Zahlen,Zeichen, welche keinerlei Sinn ergeben.
Zu schwaches Passwort war es sicher nicht.

Zephir

hero member

Activity: 533

Merit: 539

Ich habe geschlafen(Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub), als jemand ein neues Passwort angefordert hat(09:39).
In der Mail ist ganz unten angezeigt:

The request was made from :

IP:67.165.253.176

Browser: Opera/9.80(WindowsNT6.1;WOW64) Presto/2.12.388 Version/12.15

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.
Habe um 10:18 sofort den Support kontaktiert und um 10:23 kam die erste Mail.
Der Support hat sofort die withdrawals gesperrt und da sie auf meine 3. Frage dann kein mail mehr schickten, öffnete ich den Support chat.
Nach 1 Minute meldete sich Linda vom Support und wir haben ungefähr 30 Minuten gechattet und sie hat mir gesagt, dass bisher keine withdrawals stattfanden und der Angreifer über den Link in der E-mail mein Passwort geändert hat, aber dann anscheinend am 2FA scheiterte.
Dadurch, das es pro Tag nur einmal möglich ist ein "password recovery" anzufordern muss ich jetzt bis morgen warten um ein neues Passwort zu machen, um in meinen Acc zu gelangen.
Verstehe es auch nicht wie derjenige in meinen E-Mailacc kam.

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: qwk on July 13, 2013, 06:58:40 AM

Quote from: Zephir on July 13, 2013, 06:56:09 AM

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

Quote from: Zephir on July 13, 2013, 06:51:00 AM

My username is a word with numbers at the end.

Leeres Netbook, 2FA, aber ein schwaches Passwort? Huh

Ich verstehe immer weniger. Tongue

OhShei8e

legendary

Activity: 1792

Merit: 1059

Quote from: phantastisch on July 13, 2013, 06:43:31 AM

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Topic: Jemand hat versucht in meinen Mt.Gox Account einzudringen. - page 4. (Read 4278 times)