Jemand hat versucht in meinen Mt.Gox Account einzudringen.

[Zephir]

Was für ein netter Samstagmorgen.
Heute morgen hat jemand versucht in meinen Mt.Gox Acc. einzudringen. 
Der Angreifer hat das Passwort zurückgesetzt, scheiterte aber lt Support an der 2FA (was ich nicht verstehen kann, da mein Mailaccount auch mit 2FA geschützt ist und derjenige nur über den Link in der Mail von Gox, das Passwort zurücksetzen konnte).
Habe 40 Minuten nach dem Angriff den Mt.Gox Support kontaktiert, welche sofort alle withdrawals gesperrt haben.
Laut Aussage des Supports fanden bisher keine withdrawals statt.
Bin jetzt von meinem Acc für die nächsten 24h ausgesperrt und bekomme hoffentlich, bis dahin, keinen Herzinfarkt.

Die IP des Angreifers lautete: IP:67.165.253.176
Das schräge an dieser IP ist, das sie von einer Behörde in Denver stammt!?!
Ist es bisher schon jemandem ähnlich ergangen? wenn ja, klärt mich auf, wie so etwas möglich ist, bzw wie es ausgegangen ist.
Danke im Voraus.

[phantastisch]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

[qwk]

Die IP des Angreifers lautete: IP:67.165.253.176
Das schräge an dieser IP ist, das sie von einer Behörde in Denver stammt!?!

Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.

Das grenzt die Suche nach dem Übeltäter ein. Er arbeitet bei der NSA. 

[OhShei8e]

Was für ein netter Samstagmorgen.
Heute morgen hat jemand versucht in meinen Mt.Gox Acc. einzudringen. 

Wieso glaubst Du das? Hast Du irgendwelche Belege dafür. Vielleicht hast Du einfach nur Dein Passwort vergessen?

Der Angreifer hat das Passwort zurückgesetzt, scheiterte aber lt Support an der 2FA (was ich nicht verstehen kann, da mein Mailaccount auch mit 2FA geschützt ist und derjenige nur über den Link in der Mail von Gox, das Passwort zurücksetzen konnte).

Wiso geht der Support davon aus? Ein paar mehr Informationen wären nett.

Habe 40 Minuten nach dem Angriff den Mt.Gox Support kontaktiert, welche sofort alle withdrawals gesperrt haben.
Laut Aussage des Supports fanden bisher keine withdrawals statt.
Bin jetzt von meinem Acc für die nächsten 24h ausgesperrt und bekomme hoffentlich, bis dahin, keinen Herzinfarkt.

Ich verstehe das Ganze überhaupt nicht. Wie konnte denn jemand Dein Passwort ändern, wenn Du 2FA benutzt? Was verwendest Du? Den Yubikey von Gox oder Google?

Besitzt Du vielleicht einen API-Key der kompromittiert wurde?

Also so wie Du es bisher darstellst kann ich nicht nachvollziehen, was überhaupt passiert ist. Wie war denn die chronologische Abfolge der Ereignisse?

Die IP des Angreifers lautete: IP:67.165.253.176

Woher willst Du das wissen? Woher hast Du die IP?

Das schräge an dieser IP ist, das sie von einer Behörde in Denver stammt!?!

Das ist eine Comcast-Adresse wie es einem schon eine DNS Anfrage zeigt: c-67-165-253-176.hsd1.co.comcast.net

Wie kommst Du darauf, dass dies die Adresse einer Behörde ist?

Ist es bisher schon jemandem ähnlich ergangen? wenn ja, klärt mich auf, wie so etwas möglich ist, bzw wie es ausgegangen ist.
Danke im Voraus.

Wir wissen ja überhaupt nicht, was passiert ist. Hast Du die Passwortrücksetzung selbst initiiert und vermutest jetzt, dass jemand die Mail mit dem Link zur Passwortrücksetzung abgefangen hat?

Sorry, ich kann aufgrund Deiner Informationen nur raten.

[Zephir]

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

[qwk]

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

My username is a word with numbers at the end.

Leeres Netbook, 2FA, aber ein schwaches Passwort? 

[OhShei8e]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

[OhShei8e]

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

My username is a word with numbers at the end.

Leeres Netbook, 2FA, aber ein schwaches Passwort? 

Ich verstehe immer weniger. 

[Zephir]

Ich habe geschlafen(Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub), als jemand ein neues Passwort angefordert hat(09:39).
In der Mail ist ganz unten angezeigt:

The request was made from :

IP:67.165.253.176

Browser: Opera/9.80(WindowsNT6.1;WOW64) Presto/2.12.388 Version/12.15

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.
Habe um 10:18 sofort den Support kontaktiert und um 10:23 kam die erste Mail.
Der Support hat sofort die withdrawals gesperrt und da sie auf meine 3. Frage dann kein mail mehr schickten, öffnete ich den Support chat.
Nach 1 Minute meldete sich Linda vom Support und wir haben ungefähr 30 Minuten gechattet und sie hat mir gesagt, dass bisher keine withdrawals stattfanden und der Angreifer über den Link in der E-mail mein Passwort geändert hat, aber dann anscheinend am 2FA scheiterte.
Dadurch, das es pro Tag nur einmal möglich ist ein "password recovery" anzufordern muss ich jetzt bis morgen warten um ein neues Passwort zu machen, um in meinen Acc zu gelangen.
Verstehe es auch nicht wie derjenige in meinen E-Mailacc kam.

[Zephir]

Ich verwende den Google Authenticator und verwende 24-stellige Passwörter aus Buchstaben,Zahlen,Zeichen, welche keinerlei Sinn ergeben.
Zu schwaches Passwort war es sicher nicht.

[phantastisch]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

[Zephir]

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

[Zephir]

Ist eine Hotmail Adresse.

[OhShei8e]

Ja habe die E-mail Passwörter geändert und alle Passwörter von den anderen Exchanges.
Was ich nicht verstehe ist, wie es möglich ist, die 2FA des E-mail accounts zu umgehen.
Trade auf einem komplett leeren Netbook (mit original Kaspersky IS2013), dass ich nur zum Traden verwende.

Da Du Kaspersky IS2013 nutzt, gehe ich davon aus, dass Du von einem Windows-System aus trades, also von einem extrem leicht zu kompromittierendem System. Ich empfehle Dir die Verwendung eines schwerer zu kompromittierendes System wie Ct Bankix. Das kann man zwar sicherlich auch knacken, aber es dürfte zumindest nicht jeder 12-Jährige schaffen.

[OhShei8e]

Ist eine Hotmail Adresse.

Okay. Das war Dein erster Fehler. Verschaffe Dir erstmal einen vernünftigen Mailaccount. Das ist übrigens ohne technische Kenntnisse gar nicht so einfach. Hätte ich keine andere Möglichkeit, würde ich vermutlich sowas hier nutzen:

https://posteo.de/

Verschaffe Dir einfach insgesamt mehr Sicherheit über Dein Mailpostfach und Dein eingesetztes Betriebssystem.

[OhShei8e]

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

Da ist es dann interessant wo die Gemeinsamkeiten liegen, um evtl. herauszufinden über welchen Weg der Angriff erfolgte. Vielleicht wurde nur Dein Hotmail-Account gehackt. Dann hättest Du noch Glück gehabt.

[Zephir]

Übrigens erging es heute anscheinend nicht nur mir so, im Wall Observer hat vor einer halben Stunde, einer das selbe geschildert.

Edit:Sind anscheinend mehrere bis jetzt, bin da wirklich nicht der einzige.

Da ist es dann interessant wo die Gemeinsamkeiten liegen, um evtl. herauszufinden über welchen Weg der Angriff erfolgte. Vielleicht wurde nur Dein Hotmail-Account gehackt. Dann hättest Du noch Glück gehabt.

Einer der Betroffenen vom Wall Observer hat mir in einer PM geschrieben, er nutzt Linux und einen bezahlten Mailanbieter.
Im Grunde keinerlei Gemeisamkeiten, außer Google Authenticator als 2FA und die hat anscheinend auch bei ihm gehalten.

[Zephir]

Gibt es bei hotmail, bzw Outlook die Möglichkeit eine Login Historie einzusehen?

[OhShei8e]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

Na ja, eine Hotmail-Adresse ist so schwer zu hacken wie ein Keks. Kenne viele Leute mit gehackten Hotmail-Adressen. Der Angreifer war im Postfach, hat dort Mails von Gox entdeckt und dann einfach mal das Passwort zurück gesetzt. So meine Theorie. Ich würde für Mt. Gox niemals einen Freemailer nutzen.

[OhShei8e]

Gibt es bei hotmail, bzw Outlook die Möglichkeit eine Login Historie einzusehen?

Wende Dich vertrauensvoll an Microsoft, siehe z.B.:

http://answers.microsoft.com/en-us/windowslive/forum/liveid-wlsecurity/hotmail-login-history-ip-address/b1735be5-c477-4567-8dca-92a19f483975