ComputerBase Menü
Aktuelles

auffällig viele fehlgeschlagene Login-Versuche in GMX-Account

Ist bei mir auch, gibt aktuell sogar einen Artikel auf BILD...
Gerade mal interessehalber in mein GMX-Konto geguckt: 618 fehlgeschlagene Login-Versuche...
Das Konto ist uralt, mindestens 20 Jahre habe ich das schon.
Auf "Have I Been Pwned" taucht die Adresse nicht auf.
Das entsprechende Login-Passwort wird nirgendwo anders von mir genutzt.
 
  • Gefällt mir
Reaktionen: Travis und BFF
Wenn GMX oder Web.de wenigstens irgendwo listen würde woher die Anfragen kommen. Bei Microsoft sieht man es. Da kommen die Zugriffe momentan aus D. Und es sind keine VPN/Tor Exit. Alles IPv6.
 
  • Gefällt mir
Reaktionen: eYc
Passwort ändern.
Mehr kannst net machen.
 
Wenn es alles fehlgeschlagene Versuche sind braucht msn noch nicht mal das Passwort anfassen. @P4P800
 
  • Gefällt mir
Reaktionen: Travis
Bei GMX habe ich das schon viele Jahre lang.
Bei Web.de wiederum so gut wie garnicht.

Beide Adressen sind etwa gleich alt, um die 20 Jahre, und beide haben es auch auf die HaveIBeenPwnd Liste geschafft. Dennoch verhalten sich beide in dem Aspekt voellig anders.
 
Seit kurzem erscheint neben dem Hinweis der fehlgeschlagenen Login-Versuche auch ein entsprechender Hinweis ("Mehr Informationen"), der dann zu dem Hilfeartikel "Warum erhalte ich einen Hinweis auf fehlgeschlagene Login-Versuche?" führt.

web.de-meldung.png
 
  • Gefällt mir
Reaktionen: Travis
Mich hat's heute auch erwischt :(

Kam nicht mehr in GMX rein.

Bei der Weboberfläche stand, dass 1004 falsche Loginversuche stattfanden!
Mein Smartphone hat ca. 40 Minuten vorher noch eine Mail abrufen können.

Ich wollte hier schon fragen, wann die Sperre von GMX normalerweise wieder aufgehoben wird. War aber dann bei mir nach kurzer Zeit, ich schätze mal 20 Minuten, der Fall :)

Habe dann gleich mit meinem Passwortmanager ein längeres und sicheres Passwort generieren lassen und das Alte ersetzt.

Laut "haveibeenpwned" ist meine Mailadresse in zwei Datenbanken drin. Die eine wundert mich. Bei dem geleakten Portal hatte ich mich meines Wissens nie angemeldet.
Der andere Leak stammt von einem großen Portal, dass Ende 2022 von Elon übernommen und Frühjahr 2023 geleakt wurde. Er hatte wohl zuviele Leute entlassen ;). Ich nehme schwer an, dass meine Mailadresse bei den 200 Mio. Adressen dabei war.
 
  • Gefällt mir
Reaktionen: Travis
@Thomas__ Danke für Deinen Bericht bzw. die Infos. Interessant bzw. krass.

Mir hat GMX bisher noch nie einen Account gesperrt, Gott sei Dank.
Interessant aber, dass die nach kurzer Zeit bzw. nach 20 Minuten den Account doch wieder öffnen.

Was dieser irgendwie merkwürdige "Passwort-Terror" genau soll, erschließt sich mir eigentlich generell nicht so ganz, muss ich sagen ... Mich hat das schon vor rund einem Jahr bei Kleinanzeigen ziemlich aufgeregt, als die eines Tages plötzlich darauf bestanden haben, dass die Nutzer sich sicherere Passwörter zulegen sollen ... Wie wollen die das eigentlich genau beurteilen können?! Woher wissen die eigentlich überhaupt, wie sicher das Passwort eines Nutzers ist? Können die das etwa einsehen?!
Mir ist seinerzeit bzw. vor rund einem Jahr, als man bei Kleinanzeigen gezwungen wurde, sein Passwort zu wechseln, aufgefallen, dass es z. B. hieß, dass man kein Passwort verwenden darf, das man schon mal benutzt hat ... Ich hatte es damals in der Tat mit einem älteren, bereits schon mal früher verwendeten Passwort versucht, was aber vom System abgelehnt wurde ... Interessant somit, dass das Kleinanzeigen-System sich diesbezüglich so gut auszukennen scheint und offenbar alte, nicht mehr verwendete Passwörter dennoch irgendwo abgespeichert hat bzw. kennt ... Ob die eventuell bei Bedarf auf entsprechende Datenbanken zugreifen bzw. diese evtl. bei Bedarf auslesen können?! ... Das wäre ja krass ...

Mir wurde generell noch nie ein Passwort geknackt bzw. erraten. Bin seit 1999 im Internet.
Für weniger wichtige Accounts wähle ich meist bzw. häufig sogar eher relativ schlichte(re) Passwörter, selbst die wurden nie erraten. Wohl, weil es generell niemanden interessiert hat.
Für wichtigere Accounts suche ich mir stets schwerere sowie einmalige Passwörter aus, die ich nur für ebensolchen Account verwende.

Diese offensichtlich gezielten, massenweisen Attacken auf GMX- bzw. web.de-Accounts erlebe ich eigentlich zum ersten Mal.
Ist auch nicht ganz klar, wer eigentlich dahintersteckt und was er eigentlich genau will ... Ich vermute, das sind irgendwelche "Maschinen" bzw. Bots o. Ä.?
Und selbst wenn es gelänge, so einen Account zu knacken bzw. zu übernehmen, was erhoffen die sich eigentlich davon? ...
 
Zuletzt bearbeitet:
Travis schrieb:
Was dieser irgendwie merkwürdige "Passwort-Terror" genau soll, erschließt sich mir eigentlich generell nicht so ganz, muss ich sagen
Zum Vergrößern anklicken....

Da wird jemand Accounts brauchen und versucht ueber Jahre einzusammeln was geht.

Anyway.
Passwort aendern bringt nix, weil der Bot wird wieder kommen und versuchen.
2FA tut es auch nicht wirklich, weil dann kann es sein das der Anbieter den Account sperrt weil zuviele "Zugriffe mit falschen Credentials". Passiert mir fast woechentlich mit outlook.com. Hindert den Bot aber nicht wieder zu kommen.

Travis schrieb:
Diese offensichtlich gezielten, massenweisen Attacken auf GMX- bzw. web.de-Accounts erlebe ich eigentlich zum ersten Mal.
Zum Vergrößern anklicken....

Das ist nicht gezielt GMX. Das sind alle Volksprovider. Und nicht nur die in D.
 
  • Gefällt mir
Reaktionen: Travis
Letzte Woche hat das mit dem Spam, und den fehlgeschlagenen Loginversuchen deutlich abgenommen.
Bis hin zu 0 sogar, also manchmal keine Loginversuche oder kein Spam, bei web.de und GMX.

Aber: als ich mich heute um 15:57 Uhr in einem meiner beiden web.de-Postfächer anmelden wollte, kam eine Identitätsprüfung, und ich musste einen per Handy-Nummer erhaltenen SMS-Code eingeben.
web-de_1_2024-03-12_15-57_Identitätsprüfung_klein_clear.png

Danach wurde ich aufgefordert, das Passwort zu ändern, und als ich dann eingeloggt war, waren da um 14:56 Uhr zwei Mails mit WEB.DE Sicherheitshinweis: Vorsorgliche Sperre Ihres WEB.DE Postfachs!
Von: "WEB.DE Sicherheit" <keineantwortadresse@sicher.web.de>
An: ****************@web.de
Datum: 12.03.2024 14:56:39

web.de Sicherheit

Sicherheitswarnung

Hallo *******************,

zu Ihrem persönlichen Schutz haben wir vorsorglich Ihr Postfach gesperrt, da unsere automatischen Sicherheitssysteme Unregelmäßigkeiten beim Zugriff auf Ihr WEB‌.‌DE Postfach festgestellt haben bzw. Ihre WEB‌.‌DE E-Mail-Adresse von einem sicherheitsrelevanten Vorfall bei einem externen Online-Dienst betroffen sein könnte.

Durch die Sperre wird der Versand von E-Mails aus Ihrem Postfach heraus blockiert, um einem Missbrauch vorzubeugen.

Wir werden Sie aus diesem Grund beim nächsten Login auffordern, Ihr Passwort zu ändern. Wenn Sie Ihre E-Mails gewöhnlich über ein E-Mail-Programm abrufen, loggen Sie sich bitte unter ‌https://web.de in I‌hrem Postfach ein. Sie werden dann automatisch beim Login aufgefordert, Ihr Passwort zu ändern.

Damit Sie sicher sein können, dass Ihr Postfach geschützt ist, bitten wir Sie, folgende Schritte zu Ihrer Sicherheit durchzuführen:

  • Überprüfen Sie alle Computer und mobilen Endgeräte, über die Sie auf Ihr WEB‌.‌DE Postfach zugreifen, mit einem aktuellen Virenscanner auf mögliche Schadsoftware.
  • Prüfen Sie im Bereich "WEB‌.‌DE Kundencenter"‌ in I‌hrem WEB‌.‌DE Postfach, ob Ihre persönlichen Daten verändert wurden – insbesondere Ihre E-Mail Kontaktadresse und Ihre Sicherheitsmobilfunknummer.
  • Überprüfen Sie‌ in I‌hren E-Mail-Einstellungen, ob eine Weiterleitung eingerichtet wurde. Wenn Sie zuvor selbst eine Weiterleitung eingerichtet haben, überprüfen Sie, ob die E-Mail-Adresse der von Ihnen angegebenen entspricht.

Weitere Informationen zur Wiederherstellung Ihres Postfach-Schutzes finden Sie unter‌ ‌WEB‌.‌DE Sicherheit.

Vielen Dank für Ihre Mitarbeit.

Ihr

WEB‌.‌DE Kundenmanagement
und WEB.DE Sicherheitshinweis: Verdacht auf Fremdzugriff – jetzt Filterregeln prüfen
WEB.DE Sicherheitshinweis: Verdacht auf Fremdzugriff – jetzt Filterregeln prüfen

Von: "WEB.DE Sicherheit" <keineantwortadresse@sicher.web.de>
An: ***********@web.de
Datum: 12.03.2024 14:56:37

Sicherheit

Verdacht auf Fremdzugriff – jetzt prüfen!

Hallo ********************,

eine Prüfung unserer Sicherheitssysteme hat ergeben, dass sich Dritte unbefugt in Ihr WEB‌.‌DE Postfach eingeloggt haben. Mit dieser E-Mail möchten wir Sie über die Hintergründe und die ergriffenen Gegenmaßnahmen informieren.

Nach unseren Ermittlungen müssen wir davon ausgehen, dass sich Dritte über aus unbekannten Quellen erbeutete Zugangsdaten Zugang zu bestimmten Nutzerkonten von WEB‌.‌DE verschafft haben. Die verwendeten Zugangsdaten stammen nach unseren bisherigen Erkenntnissen aus einem früheren Data-Breach eines anderen Unternehmens und sind nicht durch eine Sicherheitslücke bei WEB‌.‌DE bekannt geworden.

Wir haben ermittelt, dass die Angreifer in den betroffenen Nutzerkonten Filter-, Weiterleitungs- und Löschregeln für bestimmte eingehende E-Mails eingerichtet haben. Dies kann zur Folge haben, dass unsere Systeme bestimmte eingehende E-Mails automatisch an von Dritten unterhaltene E-Mail-Adressen weiterleiten und anschließend zusammen mit der zur jeweiligen Weiterleitung versandten E-Mail aus dem Nutzerkonto löschen (E-Mail Exfiltration). Hiervon betroffen sind E-Mails, die mindestens einen der folgenden Parameter aufweisen:

  • Absender beinhaltet ′sicher.web.de′;
  • Absender beinhaltet 'sicher.gmx.net';
  • Absender beinhaltet 'klaz.de'; oder
  • Absender beinhaltet 'ebay-kleinanzeigen.de'

Die Angreifer wurden dadurch in die Lage versetzt, die betroffenen Postfächer einzusetzen, um im Namen des Postfach-Inhabers beispielsweise Accounts bei eBay-Kleinanzeigen einzurichten und zu administrieren. Nach dem derzeitigen Ermittlungsstand haben wir, abgesehen von dem Umstand, dass die Filter-, Weiterleitungs- und Löschregeln eingerichtet worden sind, keine weiteren Hinweise darauf, dass dies tatsächlich geschehen ist. Vorsichtshalber empfehlen wir Ihnen jedoch, auch persönlich genau zu beobachten, ob Sie ungewöhnliche Aktivitäten in Bezug auf Ihr Postfach feststellen.

Zur Sicherheit haben wir alle eingerichteten E-Mail-Filterregeln in den betroffenen Postfächern zurückgesetzt.

Wir hoffen auf Ihr Verständnis für diese Maßnahme.

Möchten Sie zukünftig eigene Filterregeln oder Weiterleitungen wieder nutzen, so können Sie natürlich wieder eigene Regeln anlegen.

Unterstützende Informationen hierzu finden Sie in der WEB‌.‌DE Hilfe:

https://hilfe.web.de/email/filterregeln/filterregeln-verwalten.html

Nutzen Sie auch die Mail App oder ein E-Mail-Programm, so denken Sie bitte daran, auch dort Ihr neues Passwort zu hinterlegen.

Durch diese Maßnahmen wird der weitere Missbrauch Ihres Accounts verhindert!

Vielen Dank für Ihre Mithilfe.

Ihr

WEB‌.‌DE Kundenmanagement

Die Filterregeln wurden nicht komplett "zurückgesetzt", wie hier steht, alle Regeln (bei mir nur "Sofort löschen" für Spam-Adressen und -Domains) sind aber "grau" (deaktiviert).
Jetzt habe ich hier zum ersten Mal in 24 Jahren mein Passwort geändert. :rolleyes:

web-de_1_2024-03-12_15-57_Identitätsprüfung_clear.png web-de_1_2024-03-12_14-56_Sicherheitswarnung_Vorsorgliche-Sperre-Ihres-Postfachs_clear.png web-de_1_2024-03-12_14-56_Verdacht-auf-Fremdzugriff_Filterregeln-prüfen_clear.png
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Knecht_Ruprecht
Ich melde mich jetzt auch nochmal mit einer interessanten Info von einem Kollegen.

Habe Euch doch erzählt, dass mein Mailkonto laut "haveibeenpwned" von Twitter und einem anderen Anbieter geklaut wurde. Dieser andere Anbieter ist Gravatar. Der bietet wohl Avatare an und wurde von mir wissentlich nie genutzt.

Ich habe einem Kollegen davon erzählt. Der behauptete doch glatt, dass viele Forenbetreiber von Gravatar Avatare erhalten und im Gegenzug Mailadressen von Forenmitgliedern rausgeben :o

Weiß jemand von Euch, ob da was dran ist?
 
So ist es wohl eher nicht, aber ...: https://t3n.de/news/gravatar-484557/ (von 2013)
Gravatar ist ein beliebter Service um ein selbst gewähltes Benutzerbild mit der eigenen E-Mail-Adresse zu verknüpfen. Problematisch ist der Umstand, dass die eigene E-Mail-Adresse als MD5-Hash in der entsprechenden Bild-URL zu finden ist. Ein Sicherheitsexperte konnte damit 45 Prozent aller E-Mail-Adressen des größten politischen Internet-Forums in Frankreich auslesen.
...
Dier Verbindung zwischen der E-Mail-Adresse und dem dazu passenden Bildchen stellt der Dienst anhand einer kryptografischen Hashfunktion her. Im Falle von Gravatar handelt es sich um den Message-Digest Algorithm 5 (kurz MD5), der aus der Adresse einen zumindest theoretisch eindeutigen Wert berechnet. Da dieser Hashwert in der URL des bei Gravatar hinterlegten Bildes enthalten ist, ist es möglich, die E-Mail-Adresse des Nutzers herauszufinden.
...
Zum Vergrößern anklicken....
und https://www.basicthinking.de/blog/2...vatare-geben-e-mail-adressen-der-nutzer-frei/ (von 2009)

2020/2021 gab es außerdem Datenlecks dort
https://www.borncity.com/blog/2021/...n-und-e-mail-adressen-im-untergrund-verfgbar/
https://stadt-bremerhaven.de/gravat...l-adressen-von-114-millionen-nutzern-im-netz/
 
Gestern Abend hatte ich das mit der "Identitätsprüfung" per SMS-Code schon wieder, gefolgt von einer weiteren, unumgänglichen Änderung des Passworts für den web.de-Account! Ohne Möglichkeit des Überspringens.

web-de_1_2024-03-26_22-44_Passwort-Änderung.png

Die beiden Sicherheitshinweise waren ebenfalls nochmal im Posteingang, "Verdacht auf Fremdzugriff – jetzt prüfen!" und "Sicherheitswarnung - Vorsorgliche Sperre Ihres WEB.DE Postfachs!". In letzterer wird auch angekündigt, "Wir werden Sie aus diesem Grund beim nächsten Login auffordern, Ihr Passwort zu ändern. ... ", was man aber erst lesen kann, nachdem man das Passwort geändert hat, denn ohne kommt man ja erst gar nicht rein, in den Account. :p

Was soll das noch werden? Ich kann doch nicht alle zwei Wochen mein Passwort ändern.
Komme so schon nicht mehr hinterher, mit den vielen Accounts und Passwörtern dazu.

Die ganzen Filterregeln für Spam-Mails (fast 110 Stück) sind auch alle erneut deaktiviert.
Die hatte ich erst gestern Abend wieder aktiviert. Kann das der Grund sein? So seh'n die aus:
web-de_1_2024-03-23_11-00_Filterregeln-noch-deaktiviert.png

Die Zahl dieser Loginversuche, sowie auch die der Spam-Mails, haben bei mir vor einem Monat stark abgenommen, wie schon geschrieben. Das blieb auch so, und trotzdem hatte ich jetzt 2x diese "Identitätsprüfung", und war dabei jedesmal gezwungen, das Passwort zu ändern. Dies hatte heute schon die Folge zweier fehlgeschlagener Loginversuche von mir selbst (natürlich nicht mehr dran gedacht, Browser hatte noch das alte PW gespeichert) - angezeigt wurden mir vier.
web-de_1_2024-03-27_14-17_4-fehlgeschlagene-Loginversuche.png
 
Die kicken Dich nach 4 Fehlversuchen raus?

Warum kicken die überhaupt? Es sind doch Versuche die nicht funktionieren.
 
Denke mal "anti bruteforce"

gmx (auch 1und1) juckt das gar nicht...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Eigenbrötla
GMX-Sicherheitswarnung, Databreach
2 3
Antworten
56
Aufrufe
3.701
Eigenbrötla
Eigenbrötla
F!r3f0x
Yubikey Windows Login trotz lokalem Account funktioniert nicht
Antworten
3
Aufrufe
1.009
F!r3f0x
F!r3f0x
Z
Anmeldung bei Roundcube über das Smartphone nicht möglich
Antworten
3
Aufrufe
436
madmax2010
madmax2010
PolarNacht
Bin ich paranoid? Facebook gehackt
2
Antworten
38
Aufrufe
4.850
MaliByte
M
K
GMX: Nach Log-In soll fremde Kontaktadresse bestätigt werden
Antworten
2
Aufrufe
3.113
Kwyjibo90
K
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz