Router gehackt / nicht gehackt? Bin ratlos

[NicNac33]

Liebe Community,

folgendes hat sich letzte Woche bei mir zugetragen:

Ich bemerkte durch zwei kurz aufeinander eintreffende Info-E-Mails, daß über meinen eBay-Account, zwei Aufladekarten für XBox und Playstation gekauft wurden. Ich änderte sofort mein eBay-Paßwort und rief deren Kundenservice an. Der schaute sich den Fall an und sagte mir, daß die Käufe von der selben IP getätigt worden sind, mit der ich selber vor einer Woche noch Auktionen eingestellt hatte und die ich seit längerem benutze.
Neben der Paßwortänderung und den sofortigen Kaufabbrüche, sagte der eBay-Kundenservice mir noch, daß eventuell mein Router gehackt worden sei und ich mit meinem Provider sprechen solle und gegebenenfalls den Router einschicken müsse.
Als ich bei Vodafone anrief, sagten die mir wiederum, daß es ein Hacking des Routers nicht geben würde und daß wahrscheinlich mein WLAN gehackt worden ist.
Ich resettete meinen Router, änderte alle Paßwörter (eBay, verknüpfte E-Mail-Adresse, Routerpaßwort und WLAN-Paßwort).

Ein Ereignis vom Vortag fiel mir daraufhin auch wieder ein: Ich hate etwas bei eBay-Kleinanzeigen reingestellt und ein Interessent hatte mich angeschrieben und mir gesagt, ich solle ihn über die Adresse blablabla anmailen, was ich leider auch von meiner normalen E-Mail-Adresse tat. Erst danach bekam ich eine Warnmail von eBay-Kleinanzeigen und mir fiel durch die Antwort des E-Mail-Empfängers auf, daß es sich um einen Betrugsversuch handeln müsse.
Mir ist unklar, ob es sich hierbei um einen kausalen oder zufälligen Zusammenhang handelt.

Weitere Informationen:

• Desktop-PC mit Windows 10, aktiver Firewall und Defender in aktueller Version
• Schadsoftwaresuchlauf ergab keine Treffer
• Paßwörter sind über einen Paßwortmanager erstellt worden und sicher bis sehr sicher
• WLAN-Paßwort ist nur mir bekannt und wurde nur mir vertrauten Personen (mündlich) weitergegeben
• WLAN mit WPA2-Standard verschlüsselt, SSID wird abgestrahlt
• keine weiteren ungewöhnlichen Aktivitäten oder verlangsamter PC feststellbar
• zusätzlich zu dem Desktop-PC verwende ich ein iPhone 11, um mich bei eBay einzuloggen, bzw. welches auch im gleichen WLAN hängt

Meine Fragen:

• Wie ist es erklärbar, daß ein Hacker / Betrüger meine IP für den Kauf benutzen konnte? Muß er sich in Funkreichweite des Netzwerks befunden haben, oder geht das auch remote? Bzw. kann die IP irgendwie gespiegelt/kopiert werden?
• Wie kann sich jemand in mein WLAN einhacken, trotz sicherer Paßwörter?
• Reichen meine o.g. Maßnahmen (Paßwortänderung, Reset) aus?
• Kann ein Router gehackt werden, bzw. muß der Router eingeschickt werden? Oder kann der Zugriff ausschließlich über WLAN erfolgt sein? Welches der oben aufgeführten Aussagen stimmt?

Ich bin echt ratlos und es ist tatsächlich etwas unheimlich, daß der beschriebene Betrug von meiner IP erfolgt ist. Ich würde mich freuen, wenn es Antworten und Ratschläge von Profis geben würde.

NN

 

[mennyy]

https://praxistipps.chip.de/router-gehackt-so-finden-sie-es-heraus_51937

 

[Hobojobo]

Die Sache bei ebay Kleinanzeigen, hängt glaube ich, nicht kausal mit dem Rest zusammen.
Ich verkaufe und kaufe häufiger etwas bei ebay Kleinanzeigen und habe auch schon öfters unseriöse Angebote bekommen.
Anfragen mit der Bitte über eine angegebene email-Adresse Kontakt mit dem Käufer/Verkäufer aufzunehmen.
In den meisten Fällen kam dann direkt eine Warnung von ebay-Kleinanzeigen, dass das Konto des Käufers/Verkäufers gesperrt wurde wegen Anzeichen eines Betruges.

 

[mennyy]

https://www.techbook.de/intelligent-home/router/nachbar-wlan-klau

 

[S.Kara]

Möglichkeiten:

• Router gehackt
• Täter in deinem WLAN (also in der Nähe)
• Trojaner auf einem deiner Geräte

Ein Virusscan bringt da oft nicht viel. Schau dir eingehende Verbindungen an, evtl. beim Router (Wireshark).

 

[chr1zZo]

Installier mal Wireshark, und logge den traffic. Die Log kannst mir schicken, schau ich mir an ^^

 

[mennyy]

https://www.tecchannel.de/a/hacker-angriffe-auf-routern-entdecken-und-verhindern,3199513

 

[chr1zZo]

Ansonsten kann ich dir in Zukunft raten eine kleine Firewall zu installieren. Unify Security Gateway, Sophos Home Firewall oder eine OpenSense/IPFire Firewall auf nem kleinen Mini PC. Damit kannst du zumindestens alle Endgeräte nach der Firewall separieren und den Traffic kontrollieren. Das WLAN kann man auch durch einen AP separieren

 

[TorenAltair]

Schadsoftwaresuchlauf ergab keine Treffer

Aus dem ggf. kompromittierten Windows heraus oder aus einem Offline-System? Im Fall a) sind Scans wenig bis gar nicht aussagekräftig und auch sämtliche Passwortänderungen würden ins Leere laufen.

 

[chr1zZo]

Da du jetzt deinen Router resettet hast, kann man da leider nicht mehr Simple schauen ob eine unbekannte IP Adresse / MAC im Netzwerk war ^^

 

[Woodz]

Kann der Täter/Käufer auch in der eigenen Familie sein? Die trivialste Lösung ist meistens auch die richtige.

 

[NicNac33]

Installier mal Wireshark, und logge den traffic. Die Log kannst mir schicken, schau ich mir an ^^

Da du jetzt deinen Router resettet hast, kann man da leider nicht mehr Simple schauen ob eine unbekannte IP Adresse / MAC im Netzwerk war ^^

Okay, chr1zZo, erstmal danke für die Mühe und die vielen Antworten.
Wireshark habe ich installiert und Du meinst dann "Aufzeichen -> Starten", oder? Und dann? Wie lange soll ich das aufzeichnen? Ich habe jetzt mal eine WireShark capture file gespeichert. Meinst Du das?

 

[chrigu]

Dass man nie, nie, bei einer Kleinanzeige, ausserhalb der eBay Plattform Kontakt aufnehmen sollte, steht sogar auf der „Achtung Betrug“ Seite bei eBay. Dass ein wpa2 wlan Schlüssel mit einem sicheren Passwort (Abcde, 12345, Nachname/Vorname, oder haustiername gehören nicht in die Kategorie sicher) im Moment über 2 Monate Dauer-brute-Force dauert um reinzukommen, erkennst du als Laie selber. Hast du ein altes Gerät mit wep-Verschlüsselung am laufen und im Router wpa/wep aktiv hast, bist du selber schuld. Wep ist innert Sekunden knackbar.
Dass mit derselben ip etwas gekauft wird, von einem anderen Anschluss, ist recht unwahrscheinlich, da wäre der Provider ziemlich fahrlässig mit seinem Server.
Wahrscheinlicher ist, dass du ein Trojaner installiert oder ein keylogger hast, der alles mitliest, oder jemand Zugriff auf deinen pc hat.

 

[Burki73]

Ich denke auch, dein Problem liegt in deiner Nähe, im Lokalen Netzwerk. Erlaubter Zugang oder eben ein unerwünschter.

Wenn Ebay meint, das es immer die gleiche IP Adresse ist, ist es eine die von deinem Router an Lokale Geräte verteilt wird. Also z.b ein PC aus deiner Familie / Nachbarn. Dein Router gibt solchen Geräte ja oft immer die gleiche IP. Während dein Router selber ja regelmässig von Vodafone eine neue bekommt. Oder wurde das geändert?

 

[kroto]

Beim Verdacht auf einem hack, Als erstes Windows neu installieren und danach alle Passwörter ändern!! Wenn dein PC einen trojaner drauf hat hat derjenige jetzt auch alle neuen Passwörter.

 

[NicNac33]

Ich denke auch, dein Problem liegt in deiner Nähe, im Lokalen Netzwerk. Erlaubter Zugang oder eben ein unerwünschter.

Wenn Ebay meint, das es immer die gleiche IP Adresse ist, ist es eine die von deinem Router an Lokale Geräte verteilt wird. Also z.b ein PC aus deiner Familie / Nachbarn. Dein Router gibt solchen Geräte ja oft immer die gleiche IP. Während dein Router selber ja regelmässig von Vodafone eine neue bekommt. Oder wurde das geändert?

Das mit der IP weiß ich nicht genau, ich weiß eben nur, daß ebay meinte, daß ich die IP ja schon länger benutzen würde und es immer die gleiche ist.

 

[Pitt_G.]

@NicNac33 vodafone? Welche IP Adresse haben die denn geprüft ipv 4 oder IPv6 ? Wenn Fu nicht gerade den Comfort Uploaf hast , teilen sich zig Leute die gleiche IPV4 Adresse

 

[NicNac33]

Wahrscheinlicher ist, dass du ein Trojaner installiert oder ein keylogger hast, der alles mitliest, oder jemand Zugriff auf deinen pc hat.

Ich habe die neuen Paßwörter über ein Bildschirmkeyboard eingegeben. Ist das sicherer? Oder kann ein Angreifer mit einem Keylogger auch die Mauseingaben über ein Online Keyboard tracken?

 

[howdid]

glaube das hier getrollt wird. Warum wird die Platte nicht einfach formatiert

 

[Burki73]

Was ich meinte ist doch, das Vodafone deine IP regelmässig ändert. Du kannst also kaum Wochenlang die gleiche haben. Geräte die ihre IP über deinen Router beziehen können immer die gleiche haben, die verteilt der Router nicht Vodafone.