Bitcoin Forum
June 22, 2024, 11:35:40 AM *
News: Latest Bitcoin Core release: 27.0 [Torrent]
 
   Home   Help Search Login Register More  
Pages: « 1 2 [3] 4 5 »  All
  Print  
Author Topic: Jemand hat versucht in meinen Mt.Gox Account einzudringen.  (Read 4160 times)
phantastisch
Legendary
*
Offline Offline

Activity: 2270
Merit: 1363



View Profile
July 13, 2013, 01:59:01 PM
 #41



Ist die Passwort Reset Mail von Mt Gox zufällig in deinem Mülleimer ?

Nein, das ist ja das seltsame, die Mail war noch ungeöffnet.
Hätte derjenige sie sofort nach dem Ändern des Passworts gelöscht, hätte ich es erst bemerkt, wenn ich mich wieder bei Gox angemeldet hätte.

Dann hast du warscheinlich zu schnell reagiert oder er hat die Mail mit Absicht auf ungelesen gestellt. Mein Eindringling hat die Mails gleich hübsch in den Papierkorb verlegt.

HOWEYCOINS   ▮      Excitement and         ⭐  ● TWITTER  ● FACEBOOK   ⭐       
  ▮    guaranteed returns                 ●TELEGRAM                         
  ▮  of the travel industry
    ⭐  ●Ann Thread ●Instagram   ⭐ 
✅    U.S.Sec    ➡️
✅  approved!  ➡️
OhShei8e
Legendary
*
Offline Offline

Activity: 1764
Merit: 1059



View Profile
July 13, 2013, 02:11:03 PM
 #42

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 02:14:08 PM
 #43

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Kann man die 2FA von Gox ohne den API-Keys eigentlich knacken?

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
phantastisch
Legendary
*
Offline Offline

Activity: 2270
Merit: 1363



View Profile
July 13, 2013, 02:17:07 PM
 #44

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe verwendet. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Mhm, was für weiteren Schutz sorgen könnte , wäre ein E-Mail-Client und E-Mail-Provider mit Unterstützung für einen Yubikey oder einem anderen physikalischen Token, diesen sollte man sich nicht klauen lassen. ;-)

Kennt jemand einen Mailanbieter der so einen ähnlichen Ansatz schon unterstützt?

HOWEYCOINS   ▮      Excitement and         ⭐  ● TWITTER  ● FACEBOOK   ⭐       
  ▮    guaranteed returns                 ●TELEGRAM                         
  ▮  of the travel industry
    ⭐  ●Ann Thread ●Instagram   ⭐ 
✅    U.S.Sec    ➡️
✅  approved!  ➡️
OhShei8e
Legendary
*
Offline Offline

Activity: 1764
Merit: 1059



View Profile
July 13, 2013, 02:23:57 PM
 #45

Völlig unerheblich wenn ich dein Passwort kenne, als Hacker versuche ich es nicht an der schwierigsten Stelle zuerst.

Schon richtig. Das zeigt eben die Grenzen von 2FA in der Praxis. Ich vermute, dass Google bei aktivierter 2FA für den IMAP-Zugriff ein spezielles Passwort für IMAP-Zugriffe vergibt. Aber hat man dieses Passwort, kann eben auch wieder via IMAP auf die Mail zugreifen.

Eine analoge Situation hat man bei Mt. Gox und den API-Keys, die auch ein Bypass für die 2FA sind.

Kann man die 2FA von Gox ohne den API-Keys eigentlich knacken?

Na ja, wenn Du eine Sicherheitslücke in deren Software kennst/findest, die Dich auch ohne gültiges Yubikey- oder Google-Einmalpasswort passieren lässt, klar. Klassisch läuft sowas über Stack-Overflows oder SQL-Injections. Wenn die Software verwundbar ist, nützt Dir auch das beste Hardwaretoken (Yubikey) nichts.

Ein weiterer Angriff besteht im Abgreifen vorgenerierter Einmalpasswörter.  
Gordon Bleu
Sr. Member
****
Offline Offline

Activity: 308
Merit: 250


verified ✔


View Profile WWW
July 13, 2013, 02:25:15 PM
 #46

Verwendest du dein Passwort nur 1x für Hotmail ? oder bei mehreren Seiten das gleiche PW ?
Gox Pw zurücksetzen ginge (sollte ja) auch ohne Zugriff auf den Mailaccount.
Bei welchen Seiten hast du dasselbe Passwort benutzt ?
musst nicht alle Seiten aufzählen nur die Anzahl evtl. oder die verdächtigen Seiten, wo du denselben USER / MAIL wie bei Gox benutzt hast.
offensichtlich hattest du ein anderes Passwort bei Gox, aber auch ein anderes als bei Hotmail ?

GAWMiners http://gawminers.com/ Gridseed ASICS in stock in USA
ONE YEAR FREE HOSTING AND ELECTRICITY WITH PURCHASE!






AROUSR.COM The Adult Chat Community (21+) We now accept BTCitcoins Smiley               |
Connect with hot girls for chat, talk, trade pics and more!➠Visit http://arousr.com (21+)|
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 02:39:24 PM
 #47



Na ja, wenn Du eine Sicherheitslücke in deren Software kennst/findest, die Dich auch ohne gültiges Yubikey- oder Google-Einmalpasswort passieren lässt, klar. Klassisch läuft sowas über Stack-Overflows oder SQL-Injections. Wenn die Software verwundbar ist, nützt Dir auch das beste Hardwaretoken (Yubikey) nichts.

Ein weiterer Angriff besteht im Abgreifen vorgenerierter Einmalpasswörter.  

Verwende keine Einmalpasswörter.
Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.
Nervig wird es, wenn es so wie heute ist und ich mir jetzt mehr als 5 neue Passwörter auf einmal merken muss, da benötige ich die Post-it länger.
Hatte bisher noch nie das Problem, dass ein Passwort oder Zugang kompromittiert wurde, bisher haben die Passwörter noch allem standgehalten. Bin unendlich froh, dass ich mich Anfang dieses Jahres von einem Kollegen zu 2FA überreden ließ.
Bin jetzt aber trotzdem noch misstrauischer dem Ganzen gegenüber als vorher und werde, wie von dir empfohlen nur mehr mit dem c't Bankix traden. Hab mich auch mit einem Kollegen in Verbindung gesetzt, der mir am Montag das Netbook neu aufsetzt(Linux) und mir auch das mit dem c't Bankix zeigt und erklärt.
Danke für Alles.
MfG

Edit: Verwende auf versch. Seiten nicht 2x das selbe Passwort(Wie dämlich wäre das denn?).
        Achja, leider sind bei Hotmail zB nur 16 Zeichen möglich, also bei denen so viele wie möglich.

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
OhShei8e
Legendary
*
Offline Offline

Activity: 1764
Merit: 1059



View Profile
July 13, 2013, 02:50:14 PM
 #48

Verwende keine Einmalpasswörter.

Noch ein Tipp: Lass Dir von Gox einen Yubikey schicken. Ich glaube, wenn Du im Sicherheitscenter auf hinzufügen eines Yubikeys gehst, gelangst Du darüber auf die Bestellseite. Bisher hat er Yubikey inklusive Versand immer 0€ gekostet, war also kostenlos. Gox schickt Dir den Key dann direkt aus Japan. Waren in diesem Wert sind zollfrei, so dass Dir keinerlei Kosten entstehen.
OhShei8e
Legendary
*
Offline Offline

Activity: 1764
Merit: 1059



View Profile
July 13, 2013, 02:51:22 PM
 #49

Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.

Respekt. So paranoid bin nicht mal ich.
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 02:59:30 PM
 #50

Für jedes Passwort, dass ich irgendwo verwende, wo es um sensible Sachen geht, nehme ich ein Post-it zur Hand und schreibe 20-30 versch. Buchst./Zeichen/Zahlen auf. Dann hefte ich mir den Post-it auf meinen Bildschirm und im Normalfall kenne ich das Passwort nach einer Stunde spätestens auswendig. Danach wird der Post-it verbrannt, sollte also relativ sicher sein.

Respekt. So paranoid bin nicht mal ich.

Da hilft mir mein "fast photographisches Gedächtnis" dabei.
Als ich damit vor 15 Jahren oder so anfing, tat ich mir noch schwer damit, mittlerweile ergibt sich in meinem Kopf automatisch ein Muster, dass die einzelnen Symbole so miteinander verbindet, dass sie für mich einen Sinn ergeben.
Hilft auch ungemein im Alltag, man vergisst kaum etwas, aber wehe du stellst dich mit deinem Namen bei mir persönlich vor, den merke ich mir nach dem 5.Mal dann immer noch nicht.

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
OhShei8e
Legendary
*
Offline Offline

Activity: 1764
Merit: 1059



View Profile
July 13, 2013, 03:04:19 PM
 #51

Hilft auch ungemein im Alltag, man vergisst kaum etwas, aber wehe du stellst dich mit deinem Namen bei mir persönlich vor, den merke ich mir nach dem 5.Mal dann immer noch nicht.

Und wenn ich WaiR7shel4eimeech4Eezeub8 heiße?  Cheesy
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 03:11:40 PM
 #52

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 03:14:22 PM
 #53

Am meisten froh bin ich, dass ich seit gestern bei 101.5$ mit 90% in FIAT bin und keine offenen Order mehr habe.
Ist vielleicht besser so, heute nicht zu traden, zu unsicher wohin es gerade geht.

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
Red_Evil
Hero Member
*****
Offline Offline

Activity: 1484
Merit: 500


Across The Universe


View Profile
July 13, 2013, 03:36:09 PM
 #54

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

kA ob das sicherer ist .... eine antwort darauf wäre sicherlich hilfreich habe heute auch einfach mal einen bestellt ...
OhShei8e
Legendary
*
Offline Offline

Activity: 1764
Merit: 1059



View Profile
July 13, 2013, 04:18:55 PM
 #55

Hab von Gox einen Yubikey geschenkt bekommen, mich aber damit nicht näher befasst, dachte mit der 2FA ist es sicher genug.
Erhöht ein Yubikey die Sicherheit, gegenüber der 2FA oder ist es annähernd das selbe?

Der Yubikey wird auf Gox auch zur 2FA eingesetzt. Du gibst dann zuerst Dein normales Passwort ein und betätigst danach den Yubikey, der ein Einmalpasswort generiert und auf der Standardausgabe ausgibt. Ich persönlich finde das wesentlich komfortabler als alles andere.

Zur Sicherheit: Da es sich beim Yubikey um ein echtes Hardwaretoken handelt ist das natürlich grundsätzlich sicherer als eine Softwarelösung wie die von Google. Natürlich musst Du den Yubikey sicher aufbewahren. Aber ein Angreifer aus dem Netz, der irgendwo auf der Welt zugange ist, hat wohl kaum eine realistische Möglichkeit an Deinen Yubikey zu kommen.
Chefin
Legendary
*
Offline Offline

Activity: 1882
Merit: 1108


View Profile
July 13, 2013, 06:06:22 PM
 #56

Da dein Hotmailpasswort nicht geändert war und 2FA aktiv, dürfte es sicher sein, das deine Systeme komprimittiert sind. Wie du sagtest, ist dein PC sowie dein Smartphone mit Zugriff auf Mailaccount ausgestattet. Moderne Bankingtrojaner sind drauf ausgerichtet, beim Verbinden der Geräte das jeweils andere zu infizieren. Dadurch ist auch 2FA komprimittiert. Vorallem weil der Key bei Softwarelösungen in Klartext in der Registry steht.

2FA ohne zusätzliche unabhängige Hardware ist den Aufwand nicht wert. Genauso wie dein Riesenpasswort die selbe Sicherheit wie 1234 hat. Da du der Meinung warst, alles nur technisch machbar unternommen zu haben, dich zu schützen warst du unvorsichtig, weil du meintest das die Technik dich schützt.

Statt also dich weiterhin mit paranoiden Einstellungen am PC zu geiseln, überlege dir lieber wie es sein konnte das dein Rechner verseucht wurde und zwar so, das sogar dein Virenscanner nichts davon mitbekommen hat. Da dies wohl mehr an deiner Handlungsweise als an der Technik liegt, nutzt dir wohl auch kein gehärtetes OS(so nennt man auf extreme Sicherheit ausgelegte Systeme).

Fakt ist jedenfalls, das der Täter dein Passwort und die 2FA für Hotmail hatte. Er musste ja kein Passwort ändern. Hast du in einem anderen Programm oder Dienst eine Komfortoption für dein Mailkonto eingerichtet? zB das man im Browser sieht wenn eine neue Mail da ist oder bei Google+ oder Facebook eine Querverbindung, so das Facebook deine Adressen auslesen kann zum sync in der Freundesliste. Das alles sind Lücken, über die man den Zugriff in den Mailaccount durch die Hintertüre bekommt. Ein direktes Hacken des Accounts ist unwahrscheinlich, da selbst Hotmail nur wenige Passwortfalscheingaben zulässt.
hasherl
Member
**
Offline Offline

Activity: 81
Merit: 10


View Profile
July 13, 2013, 06:29:42 PM
 #57

Vielleicht lag es auch einfach an:
...Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub)...
?

Kann den besten passieren Wink
klaus
Legendary
*
Offline Offline

Activity: 1932
Merit: 1004



View Profile
July 13, 2013, 06:45:07 PM
 #58


NEWS zum Topic

https://bitcointalk.org/index.php?topic=255630.0

bitmessage:BM-2D9c1oAbkVo96zDhTZ2jV6RXzQ9VG3A6f1​
threema:HXUAMT96
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 06:52:11 PM
 #59

Ja, leider wiegt man sich zu oft in falscher Sicherheit, aber ich bin ja nicht der einzige, dem das heute passiert ist.

Wie ich schon geschrieben hab, ist es ein Netbook mit keiner anderen Software außer Kaspersky und win7 als Betriebssystem.
Die 2FA hat ja bei Gox standgehalten, soll heißen, der Angreifer hat, laut support, mehrmals versucht ein 2FA Passwort einzugeben, ist aber daran gescheitert.
Habe von Microsoft eine Liste aller IPs, die sich in meinen emailacc. eingeloggt haben, angefordert, aber derzeit noch keine Rückmeldung erhalten.
Ich vermute eher, dass die Email von Gox abgefangen werden konnte, da sie die recover passwort mails clear versenden, kann aber auch anders gewesen sein.

War in meinem Leben noch nie auf Facebook, Google+,Twitter,etc. auch kein Onlinebanking.
Habe nur vor kurzem für einen chat mit candoo einen alten skype acc.(lange vor Microsoft) reaktiviert, war aber auf einem anderen Computer, und habe ihn mittlerweile wieder stillgelegt und deinstalliert.

Zum surfen oder arbeiten habe ich andere Laptops oder Computer, dieses Netbook ist nur zum traden.
Ebenfalls habe ich heute die Kontoverknüpfung zur Smartphone outlook app aufgelöst, falls da was gewesen sei.

Ich werde OhShei8es Ratschlag beherzigen und ab morgen nur mehr mit dem c't Bankix traden.
Und wie ich schon schrieb, tu ich mir mit dem merken der Passwörter nicht schwer und besser als 1234 sind sie auf jeden Fall.

War mir aber auf jeden Fall eine Lehre auf meine eigene Einschätzung bezüglich der Sicherheit zu vertrauen und werde mich am Montag von einem Kollegen unterweisen lassen, auf was ich noch alles achten muss.
Aber Danke für deinen Reply Chefin.
MfG

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
Zephir (OP)
Hero Member
*****
Offline Offline

Activity: 533
Merit: 539



View Profile
July 13, 2013, 06:56:51 PM
 #60

Vielleicht lag es auch einfach an:
...Party gestern, alleine zuhause seit 4 Uhr früh,Frau im Urlaub)...
?

Kann den besten passieren Wink
Grin
Dabei hätte mich gestern nach dem Grillen (viel zuviel Knoblauchsosse) und dem ganzen Bier und Schnaps, nicht mal meine eigene Frau angegriffen, geschweige denn eine Andere.

Signatures lead to paid signature programs which leads to spam!

Clearly we must eliminate the signatures... or ban the paid sig programs
Pages: « 1 2 [3] 4 5 »  All
  Print  
 
Jump to:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.19 | SMF © 2006-2009, Simple Machines Valid XHTML 1.0! Valid CSS!