Mail-Passwort geknackt - wie weit können Hacker wirklich gehen?

[XBenX]

Hallo zusammen,

gerade habe ich eine Mail erhalten, mit dem Hinweis, jemand hätte meinen Mailaccount geknackt und einen Trojaner auf meinem Computer installiert. Dann das übliche Blabla von wegen brisante Fotos werden an all meine Kontakte verschickt, wenn ich nicht 400 Euro in Bitcoins überweise.

Bei dem Account handelt es sich nur um ein uraltes Postfach von web.de, das ich nur verwende, wenn ich mich im Netz irgendwo registrieren muss. Damit versende ich keine relevanten Mails oder speichere dort irgendwelche Daten.

Was mich allerdings stutzig gemacht hat: in der Mail war mein tatsächliches Passwort vermerkt. Habe das Passwort für den Account umgehend geändert. Aber dennoch stellt sich mir die Frage: wie weit können Hacker tatsächlich gehen, wenn sie sich Zugriff auf mein Mailkonto beschaffen? Darf man das wirklich so auf die leichte Schulter nehmen?

 

[AgentMax]

Du hast das Passwort noch bei einem anderen Dienst genutzt welcher einen leak hatte und die haben es dann in Verbindung mit deiner Mailadresse genannt.
Bei dir war das dann halt ein Treffer. An den Mails selbst haben die wohl kein Interesse. Das ist alles automatisiert und die hoffen natürlich
auf die Bitcoins.

 

[oneOeight]

wie weit können Hacker tatsächlich gehen, wenn sie sich Zugriff auf mein Mailkonto beschaffen? Darf man das wirklich so auf die leichte Schulter nehmen?

Das kommt auf die vorhandenen Mails an.
Wenn da noch irgendwelche Login Daten dabei sind, kann der weiter hacken.
Über deine Mail Adresse Spam verschicken.
Andere deiner Kontakte social engineeren, indem die glauben, die Mail ist von dir.
Andere Identität Geschichten.


Aber einen Trojaner wird der dir nicht installiert haben.

 

[tbo]

Wenn du diese E-Mail-Adresse benutzt hast dich bei anderen Diensten anzumelden können sie theoretischen mit einem Zugriff auf die E-Mail-Adresse die Passwörter auf diesen Webseiten ändern und so Zugriff auf diese erlangen. Und natürlich auf alle Daten zugreifen, die sich noch in dem E-Mail-Postfach befinden. Web.de/GMX waren ja leider sehr spät wenn es zu MFA kommt.

 

[BalthasarBux]

Das ist einfach. Durch ewig viele Webseiten, die deine Accountdaten nicht ausreichend geschützt haben, gibt's die wie Sand am Meer. Das ist nur eine halbwegs neue Masche, um dir Angst zu machen und an dein Geld zu kommen.

Sinnvollerweise gibst du mal alle Emailadressen, die du für Accounts genutzt hast, bei https://haveibeenpwned.com/ ein und überprüfst, wo und wie oft deine Accountdaten schon kompromittiert wurden.
https://haveibeenpwned.com/ ist eine Seite, die solche Datensätze, die Firmen geklaut wurden, speichert und für dich durchsucht. Die können dir dann zeigen, von welchen Seiten deine Daten abhanden gekommen sind und was sonst noch so dazugehört (Name, Adresse, Passwort, etc).
Danach solltest du überlegen, wo du dieses Passwort in Kombination mit der Emailadresse noch verwendet hast und überall schleunigst ändern. Die bösen Buben haben die Kombination ja schon.

 

[jedicopter]

Hallo zusammen,

gerade habe ich eine Mail erhalten, mit dem Hinweis, jemand hätte meinen Mailaccount geknackt und einen Trojaner auf meinem Computer installiert. Dann das übliche Blabla von wegen brisante Fotos werden an all meine Kontakte verschickt, wenn ich nicht 400 Euro in Bitcoins überweise.

Bei dem Account handelt es sich nur um ein uraltes Postfach von web.de, das ich nur verwende, wenn ich mich im Netz irgendwo registrieren muss. Damit versende ich keine relevanten Mails oder speichere dort irgendwelche Daten.

Was mich allerdings stutzig gemacht hat: in der Mail war mein tatsächliches Passwort vermerkt. Habe das Passwort für den Account umgehend geändert. Aber dennoch stellt sich mir die Frage: wie weit können Hacker tatsächlich gehen, wenn sie sich Zugriff auf mein Mailkonto beschaffen? Darf man das wirklich so auf die leichte Schulter nehmen?

Tja, das Problem ist, wenn angeblich so sichere Anbieter wie mailbox.org oder Posteo behaupten, dass sie so sicher sind und es wirklich gar nicht sind!

Ich kann nur Jedem empfehlen sich Mail-Accounts einzurichten, die auch App-spezifische Passwörter haben oder nutzen. Mailcow, Fastmail.com usw. sind z.B. Anbieter, die das umsetzen.

Mail-Passwort bei meinem Mail-Programm geknackt - egal. Es wird gesperrt/gelöscht und ich mache ein neues Passwort für den entsr. Client. Das war's.

 

[dodo4ever]

Die Nummer mit dem Trojaner macht die Mail unglaubwürdig.
Du hast schon richtig gehandelt, gleich das PW geändert.

Am Besten auch alle anderen PW ändern und nur noch unterschiedliche Passwörter verwenden, diese dann in einem PW-Manager speichern. Nur so hast du die Chance, dir die alle zu merken. 1Passwort zeigt außerdem an, wenn einer der Dienste von einer Datenpanne betroffen war und du deshalb die PW ändern solltest.

Du wirst vermutlich künftig ziemlich viel Spam auf diese Adresse bekommen, wenn es nicht eh schon der Fall war. Die ist jetzt leider "verbrannt" und in sämtlichen Spam-Datenbanken. :-(

 

[BalthasarBux]

Tja, das Problem ist, wenn angeblich so sichere Anbieter wie mailbox.org oder Posteo behaupten, dass sie so sicher sind und es wirklich gar nicht sind!

Häh?

Ich kann nur Jedem empfehlen sich Mail-Accounts einzurichten, die auch App-spezifische Passwörter haben oder nutzen. Mailcow, Fastmail.com usw. sind z.B. Anbieter, die das umsetzen.

Das ist also dein einziges Argument dafür, dass Mailbox/Posteo "gar nicht" sicher sind? Dein Ernst?

Mail-Passwort bei meinem Mail-Programm geknackt - egal. Es wird gesperrt/gelöscht und ich mache ein neues Passwort für den entsr. Client. Das war's.

Ja korrekt, app-spezifische Passwörter sind knorke. Keine Frage. Aber wer "knackt" denn ein Email-Programm?

Tja, das Problem ist, wenn angeblich so sichere Anbieter wie mailbox.org oder Posteo behaupten, dass sie so sicher sind und es wirklich gar nicht sind!

Leider ist "app-spezifische Passwörter sind toll" und "Anbieter X ist unsicher, weil er keine app-spezifischen Passwörter nutzt" keine sinnvolle Argumentation. Bei Posteo z.B. werden von Passworten nur gesaltete Hashes gespeichert. Selbst wenn die abhanden kämen, könnte mit niemand was mit denen anfangen. Und vor dieser Gefahr schützen dich app-spezifische Passwörter nicht. Die haben einen anderen Nutzen.
Ein Anbieter, der gesaltete Hashes speichert, aber keine app-spezifischen Passworte anbietet, wäre für mich wesentlich sicherer und empfehlenswerter als ein Anbieter, der zwar app-spezifische Passwörter hat, aber dein Passwort nur als Hash (ohne Salt) oder noch schlimmer, im Klartext abspeichern würde.

 

[jedicopter]

Häh?

Das ist also dein einziges Argument dafür, dass Mailbox/Posteo "gar nicht" sicher sind? Dein Ernst?

Ja korrekt, app-spezifische Passwörter sind knorke. Keine Frage. Aber wer "knackt" denn ein Email-Programm?

Leider ist "app-spezifische Passwörter sind toll" und "Anbieter X ist unsicher, weil er keine app-spezifischen Passwörter nutzt" keine sinnvolle Argumentation. Bei Posteo z.B. werden von Passworten nur gesaltete Hashes gespeichert. Selbst wenn die abhanden kämen, könnte mit niemand was mit denen anfangen. Und vor dieser Gefahr schützen dich app-spezifische Passwörter nicht. Die haben einen anderen Nutzen.
Ein Anbieter, der gesaltete Hashes speichert, aber keine app-spezifischen Passworte anbietet, wäre für mich wesentlich sicherer und empfehlenswerter als ein Anbieter, der zwar app-spezifische Passwörter hat, aber dein Passwort nur als Hash (ohne Salt) oder noch schlimmer, im Klartext abspeichern würde.

Ein Mail-Anbieter ohne App-Passwörter ist und bleibt rein Sicherheitsrisiko.

Passwörter auf einem PC/Mac sind sehr schnell einsehbar.

Mail-Accounts in Apps registriert und in Router oder sonstigen Apps registriert sind ohne App Passwort direkt angreifbar.

Und ja. Ich gebe dir recht mit salted und hashed. Aber das machen auch viele Anbieter, die auch App Passwörter anbieten. Und das ist nunmal weitaus sicherer.

 

[BalthasarBux]

Ich habe auch nicht das Fehlen von App-Passwörtern verteidigen wollen, aber der logische Schluss "Anbieter hat das nicht und ist deswegen unsicher" ist Quatsch. Das oben geschilderte Bedrohungsszenario aus diesem Thread ist unabhängig von appspezifischen Passwörtern.

 

[agrajag]

Tja, das Problem ist, wenn angeblich so sichere Anbieter wie mailbox.org oder Posteo behaupten, dass sie so sicher sind und es wirklich gar nicht sind!

Wieso "angeblich so sichere"? Hast du Belege dafür, daß sie die Secrets nicht richtig behandeln? Und wieso plötzlich diese beiden. Oben ging es um ein Web.de-Account.

Ich kann nur Jedem empfehlen sich Mail-Accounts einzurichten, die auch App-spezifische Passwörter haben oder nutzen. Mailcow, Fastmail.com usw. sind z.B. Anbieter, die das umsetzen.

Mail-Passwort bei meinem Mail-Programm geknackt - egal. Es wird gesperrt/gelöscht und ich mache ein neues Passwort für den entsr. Client. Das war's.

Dem kann ich nur zustimmen.