Vorsicht vor HitBtc E-Mails die diese Tage kommen

[Soonandwaite]

Heute Nacht haben bestimmt noch Leute E-Mails von HitBtc bekommen das sie das Passwort ändern sollen. Lt. google ist das jetzt schon bei einigen Leuten passiert in den letzten Stunden. Möglich das jemand versucht hat Konten zu hacken oder was auch immer. Auf alle Fälle muss etwas passiert sein was ich noch nicht herausgefunden habe. Also besser erstmal den Link nicht öffnen obwohl er "sauber" aussieht.
Dann eher direkt zu HitBtc steuern und versuchen sich selbst einzuloggen ohne Links zu benutzen.
Komischerweise stimmt auch die E-Main Adresse überein mit der ich dort angemeldet bin. Habe dort zwar nichts mehr drauf aber evtl. andere Leute . Checkt Eure Mails einfach mal ,auch den Spam und schaut ob ihr dabei seit . Die Mail sieht so aus :



Ob man etwas unternehmen muss weiß ich auch noch nicht. Wer 2FA hat sollte ja einigermaßen sicher sein

Habe mich soeben eingeloggt und konnte nichts besonderes sehen ausser das jetzt KYC ansteht: Wenn man eingeloggt ist sieht man oben rechts ein lüttes rotes Ausrufezeichen. Und wenn man dort anklickt kommt ...... KYC
Aber das spare ich mir dort mal. Diese Shit Exchange kann mich mal gerne haben . Zumal steht dort auch noch folgendes:
Your current withdrawal limit is:

1 BTC daily
5 BTC monthly

Was ja eigentlich dicke ausreichend ist für paar Shitcoins dort falls die hohen Fees nicht alles auffressen 

[1715110562]

1715110562

[1715110562]

1715110562

[1715110562]

1715110562

[1715110562]

1715110562

[1715110562]

1715110562

[Lakai01]

Dann eher direkt zu HitBtc steuern und versuchen sich selbst einzuloggen ohne Links zu benutzen.
Komischerweise stimmt auch die E-Main Adresse überein mit der ich dort angemeldet bin. Habe dort zwar nichts mehr drauf aber evtl. andere Leute . Checkt Eure Mails einfach mal ,auch den Spam und schaut ob ihr dabei seit . Die Mail sieht so aus :

Das ist immer die beste Möglichkeit nicht auf Phishing-Versuche reinzufallen. Man sollte "wichtige" Seiten nach Möglichkeit auch immer über Favoriten im Browser ansteuern und nie über bspw. die Google-Suche. So sinkt die Wahrscheinlichkeit dramatisch, dass jemand unerlaubterweise an euren Account kommt


Bzgl. HitBTC ... ich hab da (noch) keine Aufforderung erhalten. Es könnte natürlich sein, dass jemand wahllos auf der HitBTC-Seite Reset-Links für irgendwelche E-Mail Accounts anfordert und so versucht rauszufinden, welche Accounts denn gültig sind (oder HitBTC anzugreifen, was ich mit dieser Methodik aber eher ausschließe).
Hab mir den Passwort Reset noch nie angesehen ob man alleine dadurch rausfinden kann, ob eine Mailadresse gültig ist oder nicht. Normalerweise steht da dann ja sowas wie "wenn es ihre Mailadresse im System gibt, dann schicken wir ihnen eine Mail zu". Steht da jedoch sowas wie "Mail wurde an ihre Adresse gesendet", dann weiß der Angreifer, dass zumindest die Mailadresse gültig ist und kann diese für weitere Phishing-Angriffe ("Ihr HitBTC-Account mit der Mailadresse abc@xyz.com wurde gehacked, bitte einloggen") verwenden.

[o_solo_miner]

Da dort "you have requested a password change" steht wird wohl 'jemand' den Knopf Password Anfordern
für dich gedrückt haben 
Da Versucht also jemand deinen Account zu Hacken, mit mäßigem Erfolg, bloß nicht auf diese Mail Reagieren.

[Soonandwaite]

Da dort "you have requested a password change" steht wird wohl 'jemand' den Knopf Password Anfordern
für dich gedrückt haben 
Da Versucht also jemand deinen Account zu Hacken, mit mäßigem Erfolg, bloß nicht auf diese Mail Reagieren.

Deswegen habe ich ja geschrieben das man besser den Link nicht öffnen sollte ( oder benutzen )
Und wie es schon Lakai01 geschrieben hat.... am besten die URL im Favoriten abspeichern 

[Chefin]

Nana...nicht so hektisch.

Wenn man die Mail sieht, ist nichts passiert und kann auch nix passieren. Ein Hacker würde zuerst den Mail-account öffnen, sofern er das Passwort hat, dann Passwort Rücksetzen, dann die Mail abfangen, den Link klicken, die Mail löschen, so das der eigentliche Besitzer es nicht sieht.

Vermutlich wird mit erbeuteten Passwörtern zu Email-adressen versucht sich reinzuhacken. Das Script ist aber wohl schlecht geschrieben und prüft vorher nicht ob das Passwort überhaupt noch gültig ist für die Mail-Adresse. So wurde der Recoverylink angeklickt bevor man wusste ob man die Mail überhaupt öffnen kann. Normal sollte man sowas vermeiden, damit genau das nicht passiert was gerade passiert: die Leute werden gewarnt.

Wer solch eine Mail bekommt, steht also vermutlich mit seiner Email-adresse in einer Datenbank zusammen mit Passwörtern. Nur sind diese Passwörter nicht mehr gültig, da man sie inzwischen geändert hat. Zur Vorsicht vieleicht das Passwort wiedermal ändern. Email-Passwörter sind das Haupteinfallstor für solche Hacks. Regelmässig ändern, so alle 6 Monate hilft ungemein. Den vom erbeuten einer Datenbank bis zum entschlüsseln der Passwörter vergeht Zeit. Auch Hacker haben einen geregelten Arbeitsalltag und können nicht per Knopfdruck alles in Sekunden benutzen.

[Lafu]

Auch Hacker haben einen geregelten Arbeitsalltag und können nicht per Knopfdruck alles in Sekunden benutzen.

Ohhh da irrst du dich aber gewaltig .

Sobald die Email adresse gehackt ist haben die diesen Knopf .

Ist mir 2016 passiert , da ich kein 2 fa benutzt habe wurde innerhalb von 2 Minuten auf drei verschiedenen exchanges mein passwort geändert und auf bitstamp 0.2 Btc oder 0.3 abgehoben.

Wenn die mal drinn sind geht die Luzi ab.

[Chefin]

Ja, da hast du recht. Nur merkst du vorher nichts davon. Das hacken der Email-adresse dauert länger.

Zuerst geht man her und prüft den Login. Man nimmt die gefundenen Passwörter einer Email-Adresse zb von einer tivialen Forumsseite. Man logt sich im Email-Account ein, wenns geht per POP3. Das führt sicher nicht zu einer Fehlermeldung ala: wir haben ein neues Gerät gefunden, das sich einloogen will. Bestätigen sie das es ihr Gerät ist. Der POP3 Server antwortet mit ACK or NACK. So bekomme ich raus, welche Passwörter direkt funktionieren. Manche Dienste haben hohe Toleranzschwellen bei Bruteforce, also zb darf man alle 3sec einmal ein Passwort testen und erst nach 10 Versuchen, verzögert man die Antwort. Nach 5 Minuten setzt man den Trigger zurück.

Also schreibe ich ein Script, das 100 Anfragen pro Sekunde rausschiebt, einen Datenblock von 300 Adressen beackert und nach 9 Versuchen zum nächsten Datenblock geht. Nach 200 Datenblöcken aka 60.000 Adressen, beginne ich wieder bei Block1. Solange bis entsprechend viele gehackt sind. Alle Gehackten gehen in eine Tabelle. Bis dahin merkst du immer noch nichts und die Email-Triggerschwellen werden nicht erreicht. Das Wissen da drüber haben die Hacker, die Kriminellen nutzen das Script und melden zurück, wenn es zu Störungen kommt. Dann hat der Email-Provider vieleicht was angepasst.

Hat man die Email-adresse also gehackt, sei es direkt sein es mit Ausprobieren, schaut man wo diese Email überall existiert. Man versucht einen Account anzulegen mit dieser Email-Adresse. Der Betreiber meldet das die Email-adresse schon existiert. Voila...ich habe ein potentielles Opfer.

Wie du siehst, bisher immer noch nichts bei dir zu merken, aber die Hacker und Kriminellen haben schon eine ganze Menge gearbeitet. Da du beim ersten Hack deine Passwörter änderst, sucht man weitere gewinnbringende Zugriffsmöglichkeit. Aber da die Hacker nicht jeden Dienst und deren Eigenschaften kennen, bieten sie jeweils nur eine kleine begrenzte Anzahl an Optionen. Hat man überall versucht, alles gesammelt, dann startet man das Script, das Recovery anstösst, deine Email abfängt und das Passwort ändert, die Email löscht, den Account benutzt um Beute zu machen und das möglichst auf allen Accounts gleichzeitig. Je nach dem, können 6 Monate oder 1 Jahr vergangen sein, seit die Passwortdatei erbeutet wurde irgendwo. Du bekommst nur die Arbeit vorher nicht mit. zb selbst einen Account anlegen, austesten wie der Dienst funktioniert um daraus die richtigen Scripte zu erstellen.

Den nach dem ersten größeren Hack, bei dem Nutzer zu Schaden gekommen sind, ändert dieser Betreiber seine Optionen bzw seine Bedien-Oberfläche. Der Hacker muss seine Scripte nachbessern, eventuell gehen auch seine Accounts flöten, er muss neue erstellen um die Daten wieder zu sehen.

Sowas machst du nicht mal eben zwischen Frühstück und Ausgehen. Nur du merkst davon nichts. Erst wenn es soweit ist, aber für 2 Minuten Beute machen haben die 6 Monate gearbeitet (um dann eben in 1000 Accounts in den 2 Minuten die Beute abzugreifen...damit sich das ganze auch lohnt).

[Lakai01]

Den nach dem ersten größeren Hack, bei dem Nutzer zu Schaden gekommen sind, ändert dieser Betreiber seine Optionen bzw seine Bedien-Oberfläche. Der Hacker muss seine Scripte nachbessern, eventuell gehen auch seine Accounts flöten, er muss neue erstellen um die Daten wieder zu sehen.

Wobei man schon auch sagen muss dass heutzutage sowas bei großen Providern wie Outlook, GMail oder auch GMX nicht mehr möglich ist. Die haben alle ihr Lehrgeld in der Vergangenheit bezahlt und mächtig nachgerüstet was Sicherheitsstandards betrifft.
Das von dir geschilderte Szenario trifft aber auf alle Fälle auf kleinere Provider mit lausigen Sicherheitsstandards und schlechten Detection-Mechanismen zu.

Die mit Abstand meisten "Hacks" passieren heutzutage mMn. über Phishing ("you are a lucky winner, log in here into your Binance Account"), auch wenn das die Betroffenen meist nur ungern zugeben - wenn sie es denn überhaupt bemerken. Da kann dein System noch so abgesicht sein und du ein unglaublich sicheres PW verwenden, wenn man das wo im guten Glauben eingibt und auf einen Angriff reinfällt wars das in den meisten Fällen. 2FA ist zwar hier prinzipiell kein so schlechter Schutz, wenns der Angreifer aber ernst meint lässt sich das auch aushebeln oder umgehen.

[Chefin]

Nicht so ganz.

Die großen Provider haben ein mächtiges Serviceproblem gehabt, also sie die Schotten dicht machen wollten. Die User mit ihren Tippfehlern haben sich oft den Account stillgelegt. Bei freeaccountuser musste man praktisch draufzahlen. In Internetcafes wurde die IP gesäuert, indem man rein ging, viele Fehlversuche bei zb GMX machte und danach die restlichen User für 24Std ausgesperrt waren. Fast all die Verbesserungen mussten wieder gelockert werden.

Theoretisch hast du recht, meine oben genannte Methode wird auch nur bei sehr trivialen Passwörtern funktionieren. Meine Anzahl an versuche und die Anzahl an möglichen Passwörtern machen es doch schon recht schwer. Man benutzt auch nicht eine IP dafür sondern ein Botnetz das aus 100 Rohren schiesst mit eben 100 verschiedenen IPs, teilweise wechseln die dann auch durch im Botnet.

Man stösst immer mal wieder auf eine Sperre. Dann wird diese ausgestestet und die eigenen Trigger angepasst. Ein großes Botnet aus 100.000 Geräten ist praktisch nicht mehr von den Usern und ihren Fehleingaben zu unterscheiden. Als Admin hast du nicht viel Optionen. Machst du die Sache dicht, scheisst dir dein Chef was und machst du es nicht dicht, hilfst du beim Hacken. Also sucht man den Mittelweg, ändert immer mal was, verwirrt den Gegner, aber es bleibt ein Katz und Maus Spiel.

Und ja, Phishing ist natürlich immer noch der einfachste Weg, weil man kaum einen Trigger damit auslöst. Tja, und schon sind wir wieder bei der Arbeitsteilung. Phishing-Mails erzeugen und verteilen ist wieder ein Arbeitsschritt für den es Spezialisten gibt (oder auch nicht so spezielle...siehe die Google übersetzten Mails). Phishing ist aber eher was für Leute die nichts auf der Pfanne haben. Da kann man kaum was falsch machen, aber auch nur minimale Erfolge einfahren. Ca 1 von 1 Million Phising Mails haben Erfolg. Abgefangene Passwortdateien bekommt man deutlich einfacher und sind deutlich einfacher zu entschlüsseln.

Wo die Mailanbieter die Sicherheit hochgeschraubt haben, ist beim direkten Einbrechen ins eigene System und dabei direkt die Passwörter erbeuten. Das ist nur bei eigenen privaten Domains noch erfolgversprechend. Wer sowas benutzt, sollte sich im Klaren sein, das die Provider des Webspace mit Mail eher am unteren Level administrieren. Jedenfalls längst nicht so gut wie große reine Freemailprovider. Bis da Updates reinkommen wird erstmal geschaut, wie andere damit klar kommen. Halten sich die Beschwerden in Grenzen, bekommt man das Update. Aber die vielen eigenen Scripte die man sich reinpackt für Gimmicks und Design bringen halt auch viel Sicherheitslücken die man am Ende selbst schliessen muss. zB macht dir keiner das Update des Fotogalarie Scripts, könnte aber dadrüber Zugriff aufs System und damit auf die Mails.

Naja...es ist jedenfalls bei weitem nicht so einfach wie du dir das denkst. Natürlich...mit Bruteforce komme ich nicht mehr sehr weit. Aber es reicht um in 2 Tagen zumindest die 10.000 meistbenutzten Passwörter durchzuprobieren. Mit 5 Minuten Pause nach 30 Versuchen komme ich auf 300 Versuche pro Stunde. Für 10000 brauche ich also 34 Std ca. Natürlich muss ich auch zwischendrin mal Pause machen, zuviele dieser Zugriffe erzeugen ein Muster, das wieder detektiert wird und dann aufgrund des Musters geblockt. Man muss aufpassen unter dem Radar zu fliegen. Und wird man entdeckt, muss man wieder sein Muster ändern. Es bleibt also beim Katz und Maus.