Hackversuch auf Microsoftkonto - was kann ich tun?

hi,
ich bekomme jetzt schon zum zweiten Mal innerhalb von 2 Monaten Emails von Microsoft, dass auffällige Einloggversuche auf mein Microsoftkonto auftreten. Das ist sehr ärgerlich, da ich ein Windowsphone verwende, Office 365-Benutzer bin und auch die Onedrive verwende. In den Kontoeinstellungen des Microsoftkontos unter Letzte Aktivitäten steht, dass die Sicherheitsabfrage verwendet wurde. Das bedeutet dass versucht wurde mein Kennwort zurückzusetzen oder?

Habe nun schon wieder mein Passwort geändert, mittlerweile ohne Wörter sondern nur noch Kauderwelsch, was wirklich schon mühsam ist zu merken und einzutippen.

Muss ich mir sorgen machen?

kann ich irgendetwas dagegen tun?

- Immer unterschiedliche Passwörter für alle Seiten verwenden.
- Mal deinen Rechner mit einer Antiviren-Boot-CD durchchecken.

Hast du die 2 Faktor Autorisierung an? Da bekommst du nen Code den du auf jedem noch nicht aktiviertem Gerät eingeben musst, ohne den Code kommt keiner an dein Konto selbst mit deinem Kennwort nicht.

brav
mehr gibts nicht zu tun m.m.n

stand erst letztens irgendwo das die sicherheitsfragen und die schönen antworten (ohne Kauderwelsch) im moment die größte schwachstelle ist
glaub im zusammenhang mit dem icloud-hack

Gut das mit der Sicherheitsfrage passt an sich nicht.. Aber meine freundin hatte das mit Ihrem Windowskonto auch mal.. Kam allerdings daher das wir googlemail gesagt hatten er soll sich die Emails vom Microsoft Konto holen sollte...

Ja, die 2-Faktorauthorisierung ist an.

Wenn steht Sicherheitsabfrage als aktivität war aber noch niemand in meinem Konto oder?

*edit:
Jetzt wirds merkwürdig. Der letzte Versuch kam von der IP 157.56.252.149, welche in der Microsoft-mail als aus Dublin kommend deklariert wurde. whois meint aber dass die IP zu Microsoft gehört und aus den USA kommt.

interessant

kannst du den mailheader genauer lesen?
vll steht da was interessantes drinn

Mailheader

x-store-info: Ru8Mzrcu9BgQ2IiRwdjyVnl2gZBK0uAofEAUYUyvtxXu75t/zq1FdOpVJPHIVXsH3PSMRoXntVEJyMh3Wu3uwhQb2Kh9vlfMyoIR1hvKODqM+4E2o/R3s3RqN3E5KTB8HY4zQtbiHqo=
Authentication-Results: hotmail.com; spf=pass (sender IP is 65.54.190.30; identity alignment result is pass and alignment mode is relaxed) smtp.mailfrom=account-security-noreply@account.microsoft.com; dkim=none (identity alignment result is pass and alignment mode is relaxed) header.d=account.microsoft.com; x-hmca=pass header.id=account-security-noreply@account.microsoft.com
X-SID-PRA: account-security-noreply@account.microsoft.com
X-AUTH-Result: PASS
X-SID-Result: PASS
X-Message-Status: n:n
X-Message-Delivery: Vj0xLjE7dXM9MTtsPTE7YT0xO0Q9MDtHRD0wO1NDTD0w
X-Message-Info: AuEzbeVr9u6ITJ84TuOjIrh1tfCBopp/67lIbCFPiMShTIlq71fPlMLf2EYfCumJwzv6+mZgM+b1shypx8O9obY9K6DMXi50OJkH1CNN5k++NTt5A3rNu3kH1V70v1VjGHeTm4ujHXrLX5MbS6o6WLdd+ZZ/Ez6uRkd0/SUOctJusbiznuyV6xBoBa/1w9lbPQpnVKTuCqoOlK7e4eQW/Cc9pqtfF9BK
Received: from BAY004-OMC1S19.hotmail.com ([65.54.190.30]) by SNT004-MC2F39.hotmail.com over TLS secured channel with Microsoft SMTPSVC(7.5.7601.22712);
Tue, 30 Sep 2014 09:14:30 -0700
Received: from BAYIDSTOOL3E003 ([65.54.190.60]) by BAY004-OMC1S19.hotmail.com with Microsoft SMTPSVC(7.5.7601.22724);
Tue, 30 Sep 2014 09:14:30 -0700
Message-ID: <BAYIDSTOOL3E0031202AAE2A4F114C5EC598ABB0@CEZ.ICE>
X-Message-Routing: sKFde7CS5BHygFZaC4gFZWeHmOM+Rjf1iOmv8meDbQqeD+9kHFgbAflrz5UYy6v/Ov/vRliTx0hzi7ScTgwYCoH5DCh0mZJwXK+HBeps1NGlL2sMzOehVYppz0BeTVEJ5G0lSMiDNfyl0xoIMcSLDvTLFCw==
Return-Path: account-security-noreply@account.microsoft.com
Date: Tue, 30 Sep 2014 09:14:30 -0700
From: Team von Microsoft-Konto <account-security-noreply@account.microsoft.com>
Subject: =?Windows-1252?Q?Ungew=F6hnliche=20Anmeldeaktivit=E4t=20f=FCr=20das=20Microsoft-Konto?=
To: <meineemail@outlook.com>
X-Priority: 3
X-MSAMetaData: CpvjtuvX9q9Fy+cilEb37ZCE3MRwFBkCH7NpaqQi9/oHDUlZpaisNdw5ZIymogY2ZHIGm8DM0gK5XW4aIaLEL0Hcfpl8h5QH3IZIx62G8CYhNUjlyjfVWlUiD3TrGWLHCpZ0oe1pHDn4cBk6I5u0fUOi7qELMfZ3o2ii3JkcRRNEAE1ZTmc5nEzukontP6WEww==
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary="------=_Next_Part_1697710598.592"
X-OriginalArrivalTime: 30 Sep 2014 16:14:30.0387 (UTC) FILETIME=[9D5FC430:01CFDCC9]

Ich kann da nicht viel rauslesen...

hm. rauslesen kann ich auch nicht viel aber

host account.microsoft.com
account.microsoft.com is an alias for account.live.com.nsatc.net.
account.live.com.nsatc.net has address 157.55.134.113
account.live.com.nsatc.net mail is handled by 5 mx1.hotmail.com.
account.live.com.nsatc.net mail is handled by 5 mx2.hotmail.com.
account.live.com.nsatc.net mail is handled by 5 mx3.hotmail.com.
account.live.com.nsatc.net mail is handled by 5 mx4.hotmail.com.

die ip wird vermutlich zu irgend einem tollen dienst von microsoft gehören
da die subdomain accounts im ähnlichen ip-range tätig ist

und was mir dann gleich aufgefallen ist an dem alias "xxx.nsatc.net"
host nsatc.net
nsatc.net has address 127.0.0.1
nsatc.net mail is handled by 10 cluster5.us.messagelabs.com.
nsatc.net mail is handled by 20 cluster5a.us.messagelabs.com.

da musste ich grad mal schmunzeln

127.0.0.1 ist ja dann der absender selbst? Oder könnte das bedeuten die email stammt von meiner IP, bzw einem meiner Rechner?

*edit: ne schwachsinn, das wäre bei MS ja aufgefallen.

so und die domain
nsatc.net

Domain Name: NSATC.NET
Registrar: MARKMONITOR INC.
Whois Server: whois.markmonitor.com

MarkMonitor Domain Management(TM)
MarkMonitor Brand Protection(TM)
MarkMonitor AntiPiracy(TM)
MarkMonitor AntiFraud(TM)
Professional and Managed Services


da wird microsoft seine dienste ausgelagert haben
und die schauen da drüber

Und wer ist jetzt
157.56.252.149
?

Das ist die IP von der die ungewöhnliche Anmeldung kam. In der MS-Email stand etwas von aus Irland, whois-dienste meinen aber Redmond

microsoft könnte auch in irland ein rechenzentrum haben
oder du hast eventuell einen anderen dienst seitens microsoft der in irland sitzt und versucht hat zugriff zu erlangen

du könntest aber auch direkt an der quelle nachfragen und microsoft kontaktieren und die fakten offen legen

ich glaube das werde ich machen. Danke.

ist das nicht die normale nsa-cloud ip? *duckundrennweg*