Jemand hat versucht in meinen Mt.Gox Account einzudringen.

[OhShei8e]

Ich habe geschlafen(Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub), als jemand ein neues Passwort angefordert hat(09:39).
In der Mail ist ganz unten angezeigt:

The request was made from :

IP:67.165.253.176

Browser: Opera/9.80(WindowsNT6.1;WOW64) Presto/2.12.388 Version/12.15

Bin um 10:15 aufgewacht und habe am Telefon eine E-Mail gesehen und geöffnet und da sie von Mt.Gox kam und etwas von "recover password" stand.
Habe sofort versucht am Netbook meinen Mt.Gox Account zu öffnen, ging nicht, da falsches Passwort.
Habe um 10:18 sofort den Support kontaktiert und um 10:23 kam die erste Mail.
Der Support hat sofort die withdrawals gesperrt und da sie auf meine 3. Frage dann kein mail mehr schickten, öffnete ich den Support chat.
Nach 1 Minute meldete sich Linda vom Support und wir haben ungefähr 30 Minuten gechattet und sie hat mir gesagt, dass bisher keine withdrawals stattfanden und der Angreifer über den Link in der E-mail mein Passwort geändert hat, aber dann anscheinend am 2FA scheiterte.
Dadurch, das es pro Tag nur einmal möglich ist ein "password recovery" anzufordern muss ich jetzt bis morgen warten um ein neues Passwort zu machen, um in meinen Acc zu gelangen.
Verstehe es auch nicht wie derjenige in meinen E-Mailacc kam.

Okay, das erklärt einiges. Ich kenne viele Leute mit gehackten Hotmail-Accounts. Allerdings war in vielen Fällen auch ein Heimsystem kompromittiert, wo das Passwort für den Mail-Account wahrscheinlich über einen Keylogger mit geschnitten wurde. Wie wahrscheinlich das in Deinem Fall ist hängt davon ab wie sicher Hotmail inzwischen ist. Meine Informationen liegen Jahren zurück. Da war Hotmail offen wie ein Scheunentor. Falls Microsoft da nachgebessert hat, geraten eher Geräte bei Dir zu Hause in Verdacht.

Ich würde Dir empfehlen sämtliche Systeme neu aufzusetzen inklusive Deines Telefons und vorerst nur noch über einen Ct. Bankix USB-Stick auf Deinen Gox Account zuzugreifen. Generell ist das sowieso das beste. Dadurch laufen 99,9% aller möglichen Angriffe ins Leere und Du musst jetzt erstmal nicht einen riesen Aufwand treiben. Und besorg Dir in jedem Fall einen neuen Mailaccount.

[OhShei8e]

Einer der Betroffenen vom Wall Observer hat mir in einer PM geschrieben, er nutzt Linux und einen bezahlten Mailanbieter.
Im Grunde keinerlei Gemeisamkeiten, außer Google Authenticator als 2FA und die hat anscheinend auch bei ihm gehalten.

Verstehe. Besitzt Du bei Gox einen API-Key, der missbraucht worden sein könnte?

Eine Möglichkeit die mir noch einfällt wäre eine klassische Cross-Site-Scripting-Attacke. Dafür wäre nur der verwendete Browser und neben Gox noch weitere geöffnete Seiten ausschlaggebend.  

[Zephir]

Danke für den Tip mit dem Ct. Bankix USB-Stick, ebenso für https://posteo.de/
Werde ich mir jetzt mal genauer anschauen und dann alles neu aufsetzen.

Nervt aber gewaltig, da ich mein WE anders geplant hatte.

Was ist ein API-Key?
Verwende keine Bots oder so.

[Zephir]

Werde auch den Usernamen von Gox auf eine beliebige Zahlen/Zeichen/Ziffern-Kombi ändern, falls das nachträglich möglich ist.

[OhShei8e]

Danke für den Tip mit dem Ct. Bankix USB-Stick, ebenso für https://posteo.de/
Werde ich mir jetzt mal genauer anschauen und dann alles neu aufsetzen.

Nervt aber gewaltig, da ich mein WE anders geplant hatte.

Was ist ein API-Key?
Verwende keine Bots oder so.

Ja, den brauchst Du für Bots. Wenn Du das nicht nutzt ist dieser Punkt abgehakt.

Wenn Du Ct Bankix einsetzt hast Du erstmal nicht den Druck sofort alles neu machen zu müssen. Das Beste wäre, wenn Du Dir bei einem Freund, der eine sichere Umgebung hat, einen Ct Bankix USB-Stick erstellen lässt. Ansonsten mach doch einfach mal einen Ct Bankix Stick an Deinem jetzigen System. Selbst wenn Dein System kompromittiert ist, ist es eher unwahrscheinlich, dass der Angreifer darüber auch das Bankix kompromittiert (unmöglich ist es freilich nicht).

Ganz astrein ist die Lösung natürlich nicht. Nach meiner Erfahrung macht man aber Fehler, wenn man Systeme ungeplant neu aufsetzt. Man sollte sowas immer in Ruhe und vor allem auch mit etwas Freude machen. Konzentriere Dich also auf Ct Bankix und verbringe Dein WE ansonsten wie geplant. Ich nutze für Bankix übrigéns einen USB-Stick mit Schreibschutz:

http://www.amazon.de/Imation-manueller-Schreibschutz-natralock-Blister/dp/B005AAQH7U

[phantastisch]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Auf welches E-Mail-Postfach? Seit wann bietet Gox ein Mailpostfach an?

Auf das zur bei Mt Gox Registrierung benutzte Postfach. Entweder gibt es eine Methode um den Passwort-Reset ohne den Reset-Link aus der E-Mail zu forcieren oder jemand war im E-Mail Postfach. Sollte es eine Googlemail Adresse gewesen sein : Du kannst im Posteingang unter rechts unten irgendwo Kontoaktivitäten einsehen. Dann könnte man wirklich sagen ob jemand im Postfach war.

Na ja, eine Hotmail-Adresse ist so schwer zu hacken wie ein Keks. Kenne viele Leute mit gehackten Hotmail-Adressen. Der Angreifer war im Postfach, hat dort Mails von Gox entdeckt und dann einfach mal das Passwort zurück gesetzt. So meine Theorie. Ich würde für Mt. Gox niemals einen Freemailer nutzen.

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

[OhShei8e]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Und hast Du herausgefunden über welchen Weg der Angriff erfolgte?

[phantastisch]

Hatte ich vor ein paar Wochen auch.
Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.
Also Passwörter von einem sicheren Computer ändern.

Und hast Du herausgefunden über welchen Weg der Angriff erfolgte?

Also meine Nachforschungen haben ergeben das mein System sauber ist. Hab es zur Vorsicht danach neu aufgesetzt.  Ich hab allerdings ne komische PM bekommen  in der ich gefragt wurde ob ich meine Meinung in einem Thread abgeben wollte und auf den Link geklickt, dabei wurde ich auf eine Phishing-Seite geleitet. Das hab ich sofort gemerkt und meine Login-Daten natürlich nicht eingetragen. Andere Vermutungen oder Erkenntisse hab ich nicht.

[OhShei8e]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Ein valider Einwand. Ich spreche aus Erfahrung, aber die liegt eben schon ein wenig zurück. Wenn 2FA bei Freemailern inzwischen Standard ist, habe ich definitiv was verpasst. Ich persönliche verwalte meine Mails schon seit Jahren privat auf meinen eigenen Mailsystemen.

[molecular]

Die IP des Angreifers lautete: IP:67.165.253.176
Das schräge an dieser IP ist, das sie von einer Behörde in Denver stammt!?!

Wenn er dein Passwort erfolgreich zurückgesetzt hat , hat er Zugriff auf dein e-mail Postfach.

Das grenzt die Suche nach dem Übeltäter ein. Er arbeitet bei der NSA. 

einer von 500,000 die die entsprechende clearance haben, lol

wenn man recht drüber nachdenkt, sollte eigentlich die Option bestehen, daß passwort-reset-links nur verschlüsselt per email verschickt werden.

[Zephir]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

Ja, bis vor ein paar Stunden hatte ich noch Zugriff darauf, von meinem Smartphone(Android4.xx), habe ich aber mittlerweile entfernt, weil ich anscheinend die selben Bedenken hatte, wie du.
Wüsstest du sonst einen Mailanbieter der relativ sicher ist (mit 2FA,Yubikey,etc.)?
Kosten spielen, gerade bei dieser Sache, nur eine untergeordnete Rolle.

[phantastisch]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Ein valider Einwand. Ich spreche aus Erfahrung, aber die liegt eben schon ein wenig zurück. Wenn 2FA bei Freemailern inzwischen Standard ist, habe ich definitiv was verpasst. Ich persönliche verwalte meine Mails schon seit Jahren privat auf meinen eigenen Mailsystemen.

Von Freemailern weiß ich da nur outlook.com (ehemals hotmail) und Googlemail mit 2FA.

[molecular]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Ein valider Einwand. Ich spreche aus Erfahrung, aber die liegt eben schon ein wenig zurück. Wenn 2FA bei Freemailern inzwischen Standard ist, habe ich definitiv was verpasst. Ich persönliche verwalte meine Mails schon seit Jahren privat auf meinen eigenen Mailsystemen.

hm? 2FA bei email? Wie geht das dann mit imap/pop3?

[molecular]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

Ja, bis vor ein paar Stunden hatte ich noch Zugriff darauf, von meinem Smartphone(Android4.xx), habe ich aber mittlerweile entfernt, weil ich anscheinend die selben Bedenken hatte, wie du.

hä? Also wurde dein mailaccount doch gehackt?

[phantastisch]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Ein valider Einwand. Ich spreche aus Erfahrung, aber die liegt eben schon ein wenig zurück. Wenn 2FA bei Freemailern inzwischen Standard ist, habe ich definitiv was verpasst. Ich persönliche verwalte meine Mails schon seit Jahren privat auf meinen eigenen Mailsystemen.

hm? 2FA bei email? Wie geht das dann mit imap/pop3?

Einmalpasswörter oder application specific passwords, wie Google die nennt. Aber sicher sind die nicht , darum benutze ich auch nur die Weboberfläche. Für private Mails hab ich nen komplett anderen Mailaccount mit IMAP.

[Zephir]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

Ja, bis vor ein paar Stunden hatte ich noch Zugriff darauf, von meinem Smartphone(Android4.xx), habe ich aber mittlerweile entfernt, weil ich anscheinend die selben Bedenken hatte, wie du.

hä? Also wurde dein mailaccount doch gehackt?

Ich kann derzeit nur vermuten, dass der Angreifer es in meinen Hotmail Acc geschafft hat, anders hätte er, glaube ich, nicht Zugriff auf das Passwort reset bei Gox gehabt. Es sei denn, er hat es irgendwie abgefangen.
Warte noch darauf, dass der Support von Microsoft, mir die Liste mit den IPs sendet, die heute auf meinen Mailacc zugegriffen haben.

[phantastisch]

Wenn posteo so groß wäre wie Hotmail , würdest du sicher auch ein paar Leute mit gehackten posteo-Adressen kennen. Außerdem keine 2FA , ich würde keinen Hoster ohne benutzen.

Zephir hast du zufällig deine Hotmail-Adresse auch auf einem Smartphone ? Android oder iOS ?

Ja, bis vor ein paar Stunden hatte ich noch Zugriff darauf, von meinem Smartphone(Android4.xx), habe ich aber mittlerweile entfernt, weil ich anscheinend die selben Bedenken hatte, wie du.

hä? Also wurde dein mailaccount doch gehackt?

Ich kann derzeit nur vermuten, dass der Angreifer es in meinen Hotmail Acc geschafft hat, anders hätte er, glaube ich, nicht Zugriff auf das Passwort reset bei Gox gehabt. Es sei denn, er hat es irgendwie abgefangen.
Warte noch darauf, dass der Support von Microsoft, mir die Liste mit den IPs sendet, die heute auf meinen Mailacc zugegriffen haben.

Ist die Passwort Reset Mail von Mt Gox zufällig in deinem Mülleimer ?

[OhShei8e]

hm? 2FA bei email? Wie geht das dann mit imap/pop3?

Ich denke, dass bezieht sich nur auf das Webmail-Interface. POP und IMAP-Server haben gewöhnlich ein höheres Sicherheitsniveau, zumindest unter Linux. Einen Dovecot IMAP-Server hackt man nicht mal so eben.

[phantastisch]

hm? 2FA bei email? Wie geht das dann mit imap/pop3?

Ich denke, dass bezieht sich nur auf das Webmail-Interface. POP und IMAP-Server haben gewöhnlich ein höheres Sicherheitsniveau, zumindest unter Linux. Einen Dovecot IMAP-Server hackt man nicht mal so eben.

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

[Zephir]

Ist die Passwort Reset Mail von Mt Gox zufällig in deinem Mülleimer ?

Nein, das ist ja das seltsame, die Mail war noch ungeöffnet.
Hätte derjenige sie sofort nach dem Ändern des Passworts gelöscht, hätte ich es erst bemerkt, wenn ich mich wieder bei Gox angemeldet hätte.