ComputerBase Menü
Aktuelles

Passwort per E-Mail erhalten?! Wurde ich betrogen? Gehackt?

babyarnold

babyarnold

Lt. Commander
Registriert
März 2011
Beiträge
1.635
Hi,

Ich habe eben eine sehr seltsame E-Mail enthalten mit meinem richtigen Passwort! Wenn ich auf den Link klicke (habe ich hier entfernt) wird mir mein Passwort angezeigt und ich soll Bitcoins kaufen in höhe von 19€ und danach werden die Quellen und Informationen offen gelegt die auf verschiedenen Portalen gespeichert wurden. Das klingt im ersten Moment nach Fake aber das Passwort was mir in der E-Mail angezeigt wurde ist echt, das ist wirklich mein PW! Anbei finde ich nichts negatives oder Betrügerisches über den Absender " info@datakontext.com" Was kann ich machen? was wird passiert sein? ich bin eigentlich seit 15 Jahren im Web unterwegs und sehr vorsichtig mit Passwörtern. Ich kenne diese Firma nicht!

Inhalt der E-Mail:

Guten Tag,

Wir möchten Sie darauf hinweisen, dass wir mehrere Passwörter und andere persönliche Informationen von Ihnen in
Erfahrung bringen konnten. Die Daten stammen von verschiedenen Online-Portalen, auf denen Sie sich offensichtlich
registriert haben.

Sie sollten die betroffenen Passwörter dringend ändern und Ihren Account in den hier mitgeteilten Online-Portalen
schnellstmöglich entfernen oder um Löschung bitten, damit keine weiteren Schäden für Sie entstehen.


===========================================================
IST DAS IHR PASSWORT?:

XXXXX
===========================================================


Eine Auflistung der betroffenen Daten und deren Quellen finden Sie unter folgendem Link:




Mit freundlichen Grüßen,
Sabine Schwartz
 
Von welchem Account ist das Passwort? Oder wird es für mehrere Accounts verwendet?

Schritte die ich jetzt machen würde:

- mir von jemand anders eine CD von einem Virenscanner-Hersteller und eine Linux-Live CD brennen lassen
- mit der Virenscanner CD starten und den PC checken lassen
- von der Live CD aus alle Kennwörter ändern

Es ist aber durchaus möglich dass das Kennwort nicht per Malware abgegriffen wurde sondern auf einer der Seiten wo es verwendet wird abgegriffen wurde. Deswegen sollte man am besten für jede Seite ein eigenes Kennwort verwenden.
 
babyarnold schrieb:
...meinem richtigen Passwort...
Zum Vergrößern anklicken....
Was heißt dein Passwort? Wo setzt du dieses Passwort ein? Oder hast du ein Passwort für alles Mögliche?
Ist das Passwort ein Name oder real existierendes Wort oder ist es ein zufälliges?

PS: Links ins solchen E-Mails klickt man nicht an. :)
 
Ich verwende das Passwort seit vielen Jahren (10 J), und es ist auch kein "leichtes" Passwort, ich habe es in unzähligen, Foren, Website Bestellungen usw angewendet.
Habe ein MacbookRetina ohne Laufwerk und windows, und den erst neu aufgesetzt!

Das Passwort setz sich aus Zeichen und Bustaben zusammen, also kein leichtes.. :/
 
klingt schon gefährlich. ich würde erst eimal versuchen mit "whois" herauszufingen, wo die server stehen und auf wem sie registriert sind.
Ergänzung ()

man sollte für jede seite oder account ein separate passwort verwenden!
 
Zuletzt bearbeitet:
babyarnold schrieb:
Ich verwende das Passwort seit vielen Jahren (10 J), und es ist auch kein "leichtes" Passwort, ich habe es in unzähligen, Foren, Website Bestellungen usw angewendet.
Zum Vergrößern anklicken....

Und was glaubst du wie viele von diese Foren und anderen Webseiten mittlerweile schon gehackt wurden und dein Passwort damit in fremde Hände gelangt ist? Mein Tipp: die Wahrscheinlichkeit dafür dass diese Zahl größer 0 ist ist extrem hoch ;-)

Ich würd die Passwörter alle ändern und auf unterschiedliche setzen. Zumindest für die wirklich wichtigen Accounts wie email-Account, bei denen Bankdaten hinterlegt sind und Plattformen mit denen Werte verknüpft sind (z.B. Steam mit den gekauften Spielen) solltest du jeweils ein eigenes nehmen.
 
Vielleicht ist ja auch die Webseite von datakontext.com geknackt worden?

Da dies eine seriöse Seite ist würde ich die mal wegen deiner Sache anschreiben.

Du hast vielleicht irgend so eine Phishing-Seite mal angeklickt?
 
@wesch2000: Das bringt rein gar nichts. (Edit@Post#6 whois prüfen)

babyarnold schrieb:
Ich verwende das Passwort seit vielen Jahren (10 J), und es ist auch kein "leichtes" Passwort, ich habe es in unzähligen, Foren, Website Bestellungen usw angewendet.
Zum Vergrößern anklicken....
Ich tippe, wie Jesterfox, dass bei irgendeinem Anbieter dein Passwort abgegriffen wurde. Man weiß ja nie, wie der Anbieter es speichert. Manche Foren-/ oder Shop-Software speichert die Passwörter nicht im Klartext und der Betreiber kann es nicht auslesen, sondern nur zurücksetzen. Manche schicken aber bei der "Passwort vergessen Funktion" einem das Passwort per E-Mail zu.
 
Zuletzt bearbeitet:
Jeder Seitenbetreiber könnte wenn er wollte jedem seiner Mitglieder so ne Mail schicken in der Hoffnung daß ein paar Dumme was zahlen. Passwörter sind nun mal [aus Betreibersicht] kein Geheimnis. Es gibt da kein Protokoll mit dem der Client dem Server nur ein Einmaltoken schickt, sondern die Seite bekommt dein Passwort eben im Klartext. Und was dort dann damit gemacht wird (idealerweise Hash+Salz mit ein paar Iterationen) kannst du eben nicht nachprüfen.

Und wenn du dich mit dem gleichen Passwort auf zig Seiten registrierst (womöglich inkl. Onlinebanking oder Webshops) dann handelst du fahrlässig, es reicht nun mal einer der sich dafür interessiert und dann was auf deine Kosten bestellt. Wo das Passwort geleakt ist, spielt dann auch keine Rolle mehr, läßt sich zudem nicht nachweisen.

Ändere einfach alle. Mit einer Passwortdatenbank oder einem Password Hasher oder so ist es kein Problem überall ein anderes Passwort zu haben.

Und wenn du dann nochmal ein Passwort geschickt bekommst, dann weißt du auch woher es stammt, wenn du es nur auf einer einzigen Seite verwendet hast und sonst nirgends...
 
Zuletzt bearbeitet:
@Wilhelm14

aber interessant war es immer von welchen firmen die mails gekommen sind. diese firme müssen ja entweder gehackt worden sein oder mit drin stecken
 
Danke für die antworten, ich bin schon dabei alles zu ändern. Ich habe schon mit dem Gedanken gespielt mit einem Passwortgenerator zu Arbeiten, allerdings melde ich mich gerne von unterschiedlichen Geräten aus an und dann wird es Blöd wenn es für das Gerät derzeit keine App mit den PWs gibt.

ich habe das nötigste gerade geändert, ich werde mich wohl am WE hinsetzen und alle meine PWs und Anmeldungen nach überdenken, PWs ersetzen und Sicherheitsantworten ausfüllen und mitschreiben, damit da einfach mal eine Grundordnung reinkommt.

Vielen Dank!

Ich melde mich wenn sich noch was tut..
 
also ich nehme den steganos passwortmanager. in der neuen version gibt es auch ne app und man kann über cloud synchronisieren
 
Du hast schon den 1. grundsätzlichen Fehler gemacht. Du hast den Link in der E-Mail angeklickt. Damit hat der Angreifer schon mal Deine E-Mailadresse für weiteren Spam verifiziert.
 
Das ist wohl eher unwahrscheinlich. Dann müsste er schon einen Browser / Plugin mit Zero-Day Lücke einsetzen oder keine Updates installiert haben. Und dann ist er auch auf jeder anderen Seite anfällig. Die meisten hacken ja vertrauenswürdige Seiten und spielen darüber Trojaner & Co. ein.
 
babyarnold schrieb:
Ich habe schon mit dem Gedanken gespielt mit einem Passwortgenerator zu Arbeiten, allerdings melde ich mich gerne von unterschiedlichen Geräten aus an und dann wird es Blöd wenn es für das Gerät derzeit keine App mit den PWs gibt.
Zum Vergrößern anklicken....
Keepass läuft auf allem Möglichen, Smartphone, Tabelt, PC und kann per Cloud synchronisiert werden, indem man die Schlüsseldatei z.B. auf ein NAS legt. Keepass beinhaltet einen Passwortgenerator. Leider haben viele Dienste (Shops, Foren) spezielle Passwortvorgaben, z.B. keine Sonderzeichen oder sie erzwingen (unnötigerweise) Sonderzeichen. Man kann Keepass aber auch als reinen Datentresor benutzen und denkt sich zusätzlich ein Passwortsystem aus.
Keepass https://www.google.com/search?q=keepass
c't: https://www.google.com/search?q=keepass#q=keepass+c't
System: https://www.google.com/search?q=battery+horse+staple
Lang und nicht per Wörterbuch knackbar, dennoch leicht merkbar.
 
Ich halte nicht so viel von solchen Apps. Umso mehr sie verbreitet sind, umso eher wird es einen Trojaner geben, der sich auf das Auslesen des selbigen spezialisiert.

Daher nehme ich eine simple Textdatei und speichere sie in einem passwortgeschützten Archiv ab (dafür sollte es in jedem OS eine App geben). Die Passwörter selbst und die Namen der Website/Services sind dazu nicht vollständig / kryptisch. Einen zusätzlichen Salt merke ich mir einfach. z.B. schreibe ich zu "paypal" nur "mykey" auf. Der Salt soll am Ende stehen. "paypal" besteht aus 6 Buchstaben. Also lautet das Passwort "mykey6". Das ist natürlich ein sehr einfaches Beispiel. Mit etwas Phantasie kann man sich sehr komplizierte Salts ausdenken.
Dadurch kann mir sogar jemand die Textdatei z.B. aus dem RAM klauen bzw. hinter mir am Monitor stehen und trotzdem nichts damit anfangen. Teilweise bin ich sogar gegen einen Trojaner sicher, außer er beobachtet mich über einen langen Zeitraum und versucht gezielt hinter mein System zu kommen bzw. loggt jeden einzelnen Login-Versuch mit. Da hilft dann nur noch 2-Faktor-Authentifizierung, was aber nicht jede Website anbietet. In jedem Fall aber weit umfangreicher als gezielt KeyPass Daten zu entweden.

Alternativ könnte man auch hingehen und seine Passwörter irgendwo auf einer SSL verschlüsselten Seite ablegen. http authentification, SSL und ein schicker HTML5 Editor (auch hier wieder die Möglichkeit mit einem Salt zu arbeiten) und schon hat man sein eigenes KeyPass, das an kein Betriebssystem gebunden ist.
 
mgutt schrieb:
Du hast schon den 1. grundsätzlichen Fehler gemacht. Du hast den Link in der E-Mail angeklickt. Damit hat der Angreifer schon mal Deine E-Mailadresse für weiteren Spam verifiziert.
Zum Vergrößern anklicken....
Viel schlimmer.
Der TE hat das PW auf mehreren Diensten verwendet, unter Garantie auch in Verbindung mit dieser Mail-Adresse.... wenn sich die Angreifer vorher noch nicht sicher waren, ob Mail+PW zusammen passen (für zig Dienste), dann sind sie es jetzt.

mgutt schrieb:
Daher nehme ich eine simple Textdatei und speichere sie in einem passwortgeschützten Archiv ab (dafür sollte es in jedem OS eine App geben).
Zum Vergrößern anklicken....
Du könntest auch auf ODF - Dokumente setzen. ODF verschlüsselt mit AES256, was de-facto Militärstandard ist. AES256 ist in den USA für Top Secret Dokumente zertifiziert...

Der beste Schutz ist meiner Meinung nach, möglichst oft Single Sign On Dienste zu verwenden, und sei es Facebook Login. Wenn alle Dienstleister FB-Login implementieren würden, dann müsstest du dir NUR dein FB-Passwort merken, alles andere wäre irrelevant. Ist das hart genug, kommt kein Aas in deine Daten.
Ein guter SSO-Anbieter mit bcrypt (und hoher Difficulty) sowie nem Brute-Force - Schutz ist besser als jedes Passwort-Managing.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Eigenbrötla
GMX-Sicherheitswarnung, Databreach
2 3
Antworten
56
Aufrufe
3.610
Eigenbrötla
Eigenbrötla
King_Rollo
Samsung Galaxy A51 lässt sich nicht auf Werkseinstellungen zurücksetzen (Samsung will per E-Mail Bestätigung)
Antworten
5
Aufrufe
968
sprotte24
S
M
Bestätigung der E-Mail-Adresse - echt oder fake?
Antworten
11
Aufrufe
8.130
|SoulReaver|
|SoulReaver|
K
Mail vom Telekom Sicherheitsteam
Antworten
10
Aufrufe
7.531
KaosV
K
Steffen
Ankündigung Verdächtige Logins in rund 900 ComputerBase-Accounts, die nun sicherheitsgesperrt sind
5 6 7
Antworten
128
Aufrufe
17.380
karlos3
karlos3
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz