Konto gehackt trotz Authenticator und dann dauerhaft gesperrt von MS

BloodGod · Heute um 07:29

Hallo zusammen,

ich wollte mal berichten was bei mir die letzten Tage so los war:

Erst bekam ich immer wieder Nachrichten vom Authenticator das mein Passwort geändert war, ob ich das war: auf „nicht ich“ geklickt und dann umgehend mein Passwort geändert
dann war paar Tage Ruhe und auf einmal kam dann die Nachricht: ihre E-Mail Adresse wurde geändert, waren sie das? Nein, nicht ich angeklickt. Ihre E-Mail Adresse wurde nun geändert, waren sie das? Nein!! Nicht ich angeklickt.
dann ging es Schlag auf Schlag: E-Mail Adresse war geändert, Telefonnummer war geändert, ich kam überhaupt nicht mehr in mein MS Konto rein
also was tun? MS hat da nur Recovery Formulare, keine Telefonnummer etc, nicht mal Chat (beim Chat gibt’s bur Hilfe mit einem angemeldeten MS Konto, lustig…)
Recovery Formular ausgefüllt, Ergebnis: zu wenig Informationen, kann nicht wiederhergestellt werden (habe halt kein Skype Konto, keine Outlook E-Mail, kein Hotmail, keine Xbox, nichts)
Am Dienstrechner angemeldet mit dortigen MS Konto und per Chat um Hilfe gebeten, dort wurde mir ein anderes Recovery Formular empfohlen
Dieses habe ich dann gewissenhaft ausgefüllt…

Ergebnis:

Was habe ich falsch gemacht, wenn selbst der Authenticator hier keinen wirklichen Schutz bietet… bin doch ziemlich fassungslos nach dieser Eskapade. 😱😱.

Ps:
Kurz danach wurde erfolglos versucht mein epic und Steam Account zu hacken, da aber Dank 2FF bisher zum Glück erfolglos.

Ruwinho · Heute um 07:42

Bist du dir sicher, dass die Mail von Microsoft kam?
Man sollte niemals in Mails auf Links klicken. Eventuell hast du mit dem Klick auf "Nicht ich" genau diese ganze Sache angestoßen. So sind die Betrüger Schritt für Schritt an dein Passwort usw. gekommen...

BloodGod · Heute um 07:44

Ruwinho schrieb:
Bist du dir sicher, dass die Mail von Microsoft kam?
Man sollte niemals in Mails auf Links klicken. Eventuell hast du mit dem Klick auf "Nicht ich"

Diese Benachrichtigungen kamen alle vom Authenticator, dort kannst du eben auch „nicht ich“ anklickern, helfen tut es dir anscheinend aber eh nicht.

Eine E-Mail habe ich keine einzige erhalten von MS und bin da schon recht auf Zack, ich überprüfe immer den Absender etc, aber wie gesagt per E-Mail lief hier gar nichts.

Ruwinho · Heute um 07:47

Mich wundert es etwas, dass dein Authenticator geänderte Passwörter meldet. Der soll doch nur Zahlencodes generieren? Ist mir zumindest neu...

Welchen Authenticator nutzt du denn?

BloodGod · Heute um 07:48

Den von Microsoft.

Rickmer · Heute um 07:54

Klingt als hätte jemand einen Session Token von dir gestohlen und diesen genutzt. Oder etwas der Art.
Irgendwo müsste es einen 'alle Sessions abmelden' Knopf geben - hattest du diesen betätigt?

40l0so · Heute um 07:55

Der Authenticator allein schützt aber nicht vor Account Diebstahl bei Phishing/Token Diebstahl...
Edit: Rickmer war schneller.

sven69 · Heute um 07:55

Im Authenticator kann man ja wählen "Review recent activity" - was zeigt es da ?

BloodGod · Heute um 07:56

Ich kann da gar nichts mehr einsehen, dass Konto existiert nicht mehr, MS hat es permanent dicht gemacht…

Und ich kam schon sehr schnell nach den Benachrichtigungen nicht mehr ins Konto rein um irgendwelche Gegenmaßnahmen oder sonstiges zu starten, das ging alles Schlag auf Schlag.

sven69 · Heute um 07:59

Ah, dann kann man auch nicht mehr nachvollziehen was genau passiert ist. Tut mir leid. Beruflich bedingt sehe ich fraud fast jeden Tag

BloodGod · Heute um 08:00

40l0so schrieb:
Der Authenticator allein schützt aber nicht vor Account Diebstahl bei Phishing/Token Diebstahl...

Sondern?
Wiil mir heute ein neues MS Konto anlegen.

Vigilant · Heute um 08:01

Das ist schon ziemlich schräg, vor allem nach Änderung des Passworts. Sieht danach aus, als wäre ausgerechnet die Recovery-Funktion der Angriffsvektor gewesen. Möglicherweise ist eines deiner Geräte kompromittiert.

Nutzen Epic und Steam ähnliche Account-Infos, wie bspw. Email, Account-Name? Ist schon auffällig, dass Angriffe dort direkt danach erfolgten.

BloodGod · Heute um 08:04

Ich frage mich auch was die Angreifer (oder Bots) nun davon haben, Zahlungsmittel etc. kann man eh nicht nutzen, ich hatte nicht mal Word oder so drauf, was hat es ihnen nun gebracht? Wer profitiert davon nun in wie fern?

Trefoil80 · Heute um 08:05

Hast Du zusätzlich auch bei jedem Dienst ein anderes Passwort verwendet (so wie man das halt so macht)?

Du schreibst ja "Kurz danach wurde erfolglos versucht mein epic und Steam Account zu hacken, da aber Dank 2FF bisher zum Glück erfolglos."

Idealerweise sollten die mit dem Microsoft-Passwort bei Epic und Steam gar nicht mal die 2FA auslösen dürfen, weil separates Passwort für jeden Dienst...

BloodGod · Heute um 08:07

Trefoil80 schrieb:
Idealerweise sollten die mit dem Microsoft-Passwort bei Epic und Steam gar nicht mal die 2FA auslösen dürfen, weil separates Passwort für jeden Dienst...

Bin leider auch nicht ansatzweise perfekt, hier sind die Passwörter tatsächlich sehr ähnlich gewesen aus reiner Bequemlichkeit (ging ja auch fast 2 Dekaden gut), nun inzwischen habe ich beide Passwörter auch geändert.

40l0so · Heute um 08:10

BloodGod schrieb:
Sondern?
Wiil mir heute ein neues MS Konto anlegen.

Ggf einen Phishing Resistant mfa wie ein FIDO. Wobei das unpraktikabel für die meisten ist.
Ich nehme an, das ist ein stinknormales MS Konto oder? Dort kann Passwordless zumindest helfen, die erste Authentifizierungsstufe auszuschalten. Im Unternehmenskontext kann man da noch nachschärfen (risky sign ins werden bspws geblockt), das geht mWn nicht mit den normalen MS Konten.

Die Header der Mails von (vermeintlich) Microsoft hätten mich mal interessiert.
Bei uns in der Firma kam sowas ähnliches auch schonmal. Natürlich hatte die Nutzerin drauf geklickt. Kurze Zeit später gabs Alerts zu Fremdzugriffen.

Trefoil80 · Heute um 08:10

@BloomGod
Sehr ähnlich oder gleich? Das interessiert mich, um zu sehen, ob beim Erkennen der Passwort-Logik noch extra Gehirnschmalz oder KI seitens der Angreifer reingeflossen sind.

BloodGod · Heute um 08:12

40l0so schrieb:
Die Header der Mails von (vermeintlich) Microsoft hätten mich mal interessiert.

Noch mal: Es kamen keinerlei Mails, alles lief über den Authenticator.

Trefoil80 schrieb:
Sehr ähnlich oder gleich? Das interessiert mich, um zu sehen, ob beim Erkennen der Passwort-Logik noch extra Gehirnschmalz oder KI seitens der Angreifer reingeflossen sind.

Sehr sehr ähnlich, nur ein Zeichen jeweils anders.

Sephe · Heute um 08:23

Bei Microsoft ist definitiv etwas im Busch. Bei meinem privaten Microsoft Konto mit eigener E-Mail-Adresse (>15 Jahre) hatte ich etwas ähnliches.

Trotz sichererem, und nur dort verwendetem Passwort und MFA (SMS, TOTP, E-Mail) wurde bei mir innerhalb von 4 Wochen 2x eingebrochen
Davon 1x, obwohl ich das Konto nirgendwo mehr angemeldet, und benutzt hatte.
Ich hatte Mails bekommen über "auffällige Kontoaktivitäten"
Natürlich nicht auf die Mail-links gecheckt, sondern selbst eingeloggt: Anmeldungen aus den USA, Algerien und Argentinien über iPads.
Nach Passwort änderung, löschen aller MFA Maßnahmen und eintragen von TOTP-only war Ruhe.

Nach dem 1. "Angriff" hatte ich all meine Systeme auf Linux umgestellt, und hatte das Konto nirgendwo mehr angemeldet. Auch auf meinem Handy (Android) war das Konto nicht angemeldet.

Meine Vermutung ist, dass es irgendwo bei MS ein Einfallstor gibt, wo es möglich ist, sich per email link anzumelden und irgendwie möglich ist, dass ms diese E-Mails nicht an meine, sondern an eine fremde Adresse schickt.

cyberpirate · Heute um 08:27

Moin,

kannst Du den Text der da als Bild gepostet wurde mal als Text rein setzen so das man das übersetzen kann? So versteh ich das leider nicht alles.

MfG

Konto gehackt trotz Authenticator und dann dauerhaft gesperrt von MS

Commander

Commander

Commander

Commander

Commander

Silent-Fanatiker Pro

Lieutenant

Lt. Junior Grade

Commander

Lt. Junior Grade

Commander

Admiral Pro

Commander

Commodore

Commander

Lieutenant

Commodore

Commander

Rear Admiral

Fleet Admiral Pro

Ähnliche Themen