Ich wurde gehackt - was nun?

  • Servus Nerd,

    Am vergangenen Wochenende hat es mich erwischt und ich wurde gehackt. Die Polizei habe ich bereits informiert und Anzeige erstattet. Alle Geräte habe ich zusätzlich zurück gesetzt, sämtliche Passwörter bereits geändert.
    Was genau ist passiert?

    Samstag Abend als ich mit meinem Sohn von einer Tour aus Köln zurück gekommen bin, viel mir auf, das ich morgens beim RoutenCheck den PC vergessen habe aus zuschalten. Auf meinem Desktop & in meinen Downloads fand ich 2 exe Dateien die sich "AnyDesk" nannte. Da ich diese nicht kannte musste ich googlen und es stellte sich raus, das es sich dabei um eine Fernwartungssoftware handelt. Da ich Fotos von unserer Tour auf Fb und Insta gepostet hatte, wollte ich mich nachden entsprechenden Likes & Kommentaren erkundigen. Auf FB viel mir dann ein Chat auf der während meiner Abwesenheit in englischer Sprache verfasst worden ist wo es um irgendwelche nicht näher bezeichneten Verkäufe bzw Käufe ging. Ein Blick auf das Profil des Gegenübers brachte mich nicht wirklich weiter, nur das dieser irgendwelche "Titan Razor Server " vermutlich vermittelt. Da ich den bzw die Person nicht kannte hab ich den Verlauf per Screen gesichert und die Person direkt Blockiert & gemeldet.
    Es folgte eine Flut von Emails von diversen Plattformen auf denen mir zu Käufen gratuliert wurde & man um eine Bewertung bittet.
    Ein Blick auf mein Paypal Konto zeigte mir dann, das Käufe auf diversen PC Zubehör, Spiele Plattformen und CdKey Plattformen getätigt worden sind. Entsprechende Mails seitens Paypal hab ich allerdings nicht erhalten, vermutlich wurden diese zeitnah abgefangen und gelöscht. Daraufhin habe mich zunächst an die Betreiber der Plattformen wo die Käufe getätigt wurden gewandt, und gebeten alle Käufe und Kundenkonten die auf über meinen paypal und email Account getätigt wurden zu stornieren und die Kundenkonten zu deaktivieren. Ebenfalls habe die Käufe als Problem bei Paypal gemeldet und mich zusätzlich an die Paypal Hotline gewandt. Hier riet man mir mich sofort an die Polizei zu wenden und Anzeige zu erstatten.
    Also ging es gestern morgen direkt zur Wache. Während der Aufnahme erhielt ich via Amazon 2 Nachrichten das 2 Bestellungen nicht verifiziert werden konnten. Schnell nachgeschaut, wurde klar das man sich auch bei Amazon zu schaffen gemacht und versucht hatte Digitale Gutscheine für Google Play im Wert von mehreren 100€ zu ordern. Da ich jedoch eine Sperre in meinem Amazon Account für den Kauf digitaler Gutscheine habe, hat das also nicht funktioniert. Als Empfänger der Gutscheine wurden 2 mir unbekannte Email Adressen von Gmail angegeben. Also ein Blick in mein seperates email Konto, welches ich nur für Amazon verwende und nicht auf dem PC abrufe, geworfen und siehe da, es fanden sich die entsprechenden Bestell Bestätigung Mails inkl der mir unbekannten Empfänger Emails. Auch diese habe ich sofort der Polizei , da ich eh schon dort war übergeben. Man machte mir jedoch wenig Hoffnung den oder die Täter zu erwischen, man müsse nun schauen in wie man Daten über PayPal und Amazon erhält.
    PayPal indes hat bereits wenige Stunden nach der ersten Meldung festgestellt, das sich jemand unbefugt zugriff verschafft hat und für die betreffenden Käufe eine Rückerstattung versprochen...
    Ich habe bisher immer gedacht das ich ein sicheres System habe aber es scheint doch die ein oder andere Lücke zu geben, da mir den Vorfall anders nicht erklären kann. Nutzen tue ich Win 10, die interne Firewall des Routers ist aktiviert, Windows interne Firewall ist aktiviert. Zusätzlich nutze ich die Firewall von Avira.
    Welche Maßnahmen kann ich weiter einsetzen damit so etwas nicht noch einmal passiert?
    [bc]

  • Das wichtigste, Strafantrag gegen Unbekannt bei der Polizei machen.
    Und ich hab mir angewöhnt meinen Rechner zu sperren zuhause bei Nichtbenutzung.

    --------------
    Guides nicht mehr verfügbar wegen Youtube unvermögen guten von schlechten Kodi Videos zu unterscheiden.

  • Welche Gegenmaßnahmen du ergreifen kannst hängt wohl davon ab wie die Infektion zustande gekommen ist.
    Sein wir ganz ehrlich, selbst eine billige NAT im Heimrouter verhindert recht sicher das einfach jemand deinen Rechner remote übernimmt.

    das mit dem Remote Desktop hört sich für mich eher nach diesen Scam anrufen an die einen dann überreden Teamviewer etc zu installieren und dann deinen Rechner übernehmen.
    Dafür braucht es dann natürlich Hilfe vor Ort.

    Oder es kam was per Mail mal rein und es ging über ein Office Makro oder es wurde mal ein Spiel bzw. Software mit nem unsauberen Crack installiert.
    So wie es sich für mich anhört waren aber auch alle deine Passwörter auf dem Rechner vorhanden oder du warst in allen Diensten angemeldet, ist natürlich nicht das Gelbe vom Ei.

  • Samstag Abend als ich mit meinem Sohn von einer Tour aus Köln zurück gekommen bin, viel mir auf, das ich morgens beim RoutenCheck den PC vergessen habe aus zuschalten.
    [...]
    Welche Maßnahmen kann ich weiter einsetzen damit so etwas nicht noch einmal passiert?

    Ich verstehe das nicht ganz: Hast Du den Rechner eingeschaltet bei dir zuhause gelassen? Oder befand er sich im nicht abgeschlossenen Auto und in einer unbeobachteten Sekunde hat sich jemand daran zu schaffen gemacht?


    P.S.: Solange das Passwort von kodinerds nicht gehackt wurde.... ;)

  • Hört sich für mich eher nach einem Scam-Anruf an, evtl. in der Zeit wo du nicht zuhause warst. Neben Teamviewer wird hier auch mal AnyDesk verwendet. War denn in deiner Abwesenheit jemand anderes im zuhause anwesend?

    Ich gehe auch schwer davon aus dass die Käufe direkt von deinem Rechner ausgeführt worden sind, ansonsten würden hier sehr schnell diverse Sicherheitsvorkehrungen der Anbieter greifen. Paypal merkt ziemlich schnell dass ein Kauf von einem nicht authentifizierten Rechner oder PC getätigt wird.

  • Wie @darkside40 schon sagte hängt es davon ab wo das Einfalltor herkommt.

    Selber habe ich eine ähnliche Erfahrung letztes Jahr mal gemacht, hierbei in Bezug auf die Deutsche Bahn.
    Hatte einen Tag plötzlich Post von der Deutschen Bahn über unbezahlte Rechnungen im Briefkasten (echter Briefkasten). In meinen Account konnte ich mich nicht mehr einloggen, Passwort zurücksetzen ging auch nicht, E-Mail wurde anscheinend geändert, hatte aber nie eine Info über eine Änderung per E-Mail erhalten.
    Kurios an der Sache, offiziell kann man online garnicht auf Rechnung buchen.

    Naja Anruf bei der Bahn, das Schreiben genannt, Mahnverfahren wurde pausiert, ab zur Post und Anzeige gegen unbekannt. Verfahren wurde dann nach nem halben Jahr eingestellt und seit dem nie wieder was davon gehört.

    NAS: Gehäuse: Jonsbo G3, Mainboard: MSI B460M PRO, CPU: Intel Pentium G6400, OS: OMV 6

    Client: NVIDIA Shield Pro 2019

  • Hört sich für mich eher nach einem Scam-Anruf an, evtl. in der Zeit wo du nicht zuhause warst. Neben Teamviewer wird hier auch mal AnyDesk verwendet. War denn in deiner Abwesenheit jemand anderes im zuhause anwesend?

    Ich gehe auch schwer davon aus dass die Käufe direkt von deinem Rechner ausgeführt worden sind, ansonsten würden hier sehr schnell diverse Sicherheitsvorkehrungen der Anbieter greifen. Paypal merkt ziemlich schnell dass ein Kauf von einem nicht authentifizierten Rechner oder PC getätigt wird.

    Nein bei mir war niemand. Ich bin gegen 8 aus dem Haus und gegen 21 zurück. Der Chat auf FB wurde gegen 11 gestartet. Die Shopping Touren gingen gegen 12 los . Paypal hat wie gesagt ich meine binnen 3 Stunden wohl gemerkt da da etwas faul ist und auch die Aktionen storniert und Rückerstattung angekündigt. Abgebucht wurden heute trotzdem seitens PP, die Zahlungen selber hab ich durch die Bank sofort zurückholen lassen, da ich auch dort vorgesprochen und die Sache geschildert hab

  • Mir stellt sich schon die Frage, wie die AnyDesk-Software reingekommen ist. Von selbst passiert jedenfalls so etwas nicht. War der eingeschaltete Rechner nicht trotzdem irgendwann oder sogar direkt gesperrt (Lockscreen)?

    Für mich hört es sich an, als ob sich schon vorher ein Virus eingenistet hat. Dieses "nette" Programm hat dann nur auf das Inaktivitätsfenster gewartet und anschließend die AnyDesk-Dateien nachgeladen. Die wahrscheinlichste Variante, wenn ansonsten niemand physisch am Rechner war.

    Warst du womöglich irgendwann mal auf irgendwelchen dubiosen Seiten unterwegs oder wurdest dank Werbung dorthin umgeleitet? Denn dann bringen dir sämtliche Firewalls gar nichts.

  • Mir stellt sich schon die Frage, wie die AnyDesk-Software reingekommen ist. Von selbst passiert jedenfalls so etwas nicht. War der eingeschaltete Rechner nicht trotzdem irgendwann oder sogar direkt gesperrt (Lockscreen)?

    Für mich hört es sich an, als ob sich schon vorher ein Virus eingenistet hat. Dieses "nette" Programm hat dann nur auf das Inaktivitätsfenster gewartet und anschließend die AnyDesk-Dateien nachgeladen. Die wahrscheinlichste Variante, wenn ansonsten niemand physisch am Rechner war.

    Warst du womöglich irgendwann mal auf irgendwelchen dubiosen Seiten unterwegs oder wurdest dank Werbung dorthin umgeleitet?

    Unterwegs auf Seiten war bzw bin ich gelegentlich mal. Ich lade da aber nie irgendwas runter. Adblocker hab ich zusätzlich installiert. Es kam allerdings auch keine Meldung der Virensoftware das sich etwas eingeschlichen hat. Ich lasse 2 mal am tag einen kompletten Scan laufen. Gesperrt war der PC nicht, nur im Ruhezustand

  • Hast du irgendwo diese Tour groß angekündigt? Persönlich oder sogar bei FB? Im Stil von "ich mache jetzt 1 Woche lang Urlaub und bin nicht in der Wohnung"? Und dann kommen die netten Leute in deine Wohnung...

    Dass der Rechner nicht gesperrt und somit die ganze Zeit ungeschützt offen war, ist sicherlich nicht von Vorteil. Und vermutlich war der PC nicht durchgängig im Ruhezustand.

  • Es kam allerdings auch keine Meldung der Virensoftware das sich etwas eingeschlichen hat. Ich lasse 2 mal am tag einen kompletten Scan laufen.

    Gut, aber AnyDesk an sich ist meines Erachtens kein Virus. Wenn kein anderes Programm diese Software nachgeladen hat, ist sie ggf. manuell durch einen User heruntergeladen und installiert worden. Bist du dir also wirklich zu 100% sicher, dass niemand in deiner Abwesenheit an deinem Rechner dran war?

  • Halte es eher für unwahrscheinlich das dafür jemand in die Wohnung einsteigt.

    Die Theorie von dem vorher bereits installiertem Virus der auf Inaktivität wartet ist mMn nach nich das wahrscheinlichste Szenario. Wie schützt man sich davor? Ein weiterer Virenscanner bringt mMn nichts. Diese Programme sind eher ein Problem an sich.

    Sinnvollste ist: Gehirn einschaltet. Oder auf ein anderes OS wechseln welches nicht im Fokus von Cyberkriminellen steht. Hast du deinen Rechner mal mit Desinfect gescanned oder direkt platt gemacht?

  • Also eins kann ich sagen. Sämtliche Software, die du installieren könntest, bringt dich da nicht weiter.

    Ich habe schon so den ein oder anderen Kontakt zu Pentestern und habe mal live mitbekommen, wie jemand bei einem frisch durchgepatchten Windows 10 keine 5 Minuten brauchte um auf der Kiste Admin-Rechte zu haben.

    Das Problem kann überall herkommen. Das zu analysieren, was genau das Einfallstor war bedarf wahrscheinlich einiger Zeit und auch ne Menge "Windows-Foo". Das kann eine installierte Software sein, die durch eine Sicherheitslücke eine RCE (Remote Code Execution) erlaubt. Das kann ein Virus sein, der durch eine Website oder eine Mail rein gekommen ist....da gibt es so viele Möglichkeiten, das ist unbeschreiblich. In dem Moment, wo sich ein Virus auf deinem Rechner befindet (und nicht jeder Virus-Scanner erkennt da sofort alles), ist es vorbei. Da sucht man sich dann auf der Kiste die entsprechende Lücke und schon gehts los. Da reicht es schon, wenn noch SMB1 auf Windows 10 aktiv war. Auch das erlaubte, soweit ich weiß, RCE unter gewissen Umständen.

    Wollen wir aber mal ein wenig auf "Sicherheitssoftware" eingehen

    Zusätzlich nutze ich die Firewall von Avira

    Halte ich persönlich nichts von. Wird auch in der Presse nur auf Grund von Lobbyismus gelobt.

    Ich lese leider nichts davon, welchen Virenscanner du einsetzt. Eine Firewall ist kein Virenscanner. Der Windows-Defender ist da auch grundlegend schon ausreichend, wenn das System gut konfiguriert wurde. Dazu weiter unten mehr.

    Es gibt gute Sicherheits-Suites, die man installieren kann. Die, die mir mal empfohlen wurde, ist ESET Internet Security. Die ist nicht teurer als die Platzhirsche von Kaspersky oder Norton, belasten dein System aber weniger. Wie sich die Platzhirsche mittlerweile verhalten kann ich nicht sagen, weil schon ewig nicht mehr benutzt. Was mir an ESET gut gefallen hat war, dass ESET merkt, wenn ein Portscan gegen den Rechner ausgeführt wird und direkt die verursachende IP geblockt wird. Das habe ich mal bei mir zu Hause getestet und bin mit Metasploit an die Windows-Kiste ran. Da ging dann nicht mehr viel, wenn die IP direkt noch vor den Ergebnissen des Scans geblockt wird. Natürlich ist es kein Hexenwerk sich mit der nächsten IP aus dem Netzwerk wieder daran zu schwingen, aber ich fand es nett, wie ESET da vorgegangen ist.

    Thema Konfiguration:

    Ich halte es weiterhin für unbedingt notwendig, selbst nicht als Admin angemeldet zu sein. Der Nutzer, den man dauerhaft verwendet, sollte keine Admin-Rechte haben. Das würde auf jeden Fall das Installieren von zusätzlicher Software verhindern. Problem ist, dass die meisten diesen Ratschlag ignorieren und ich möchte wetten, dass entweder dein Admin Passwort sehr schlecht war oder du direkt als Admin angemeldet gewesen bist. Ansonsten ist es nicht möglich Software ohne ein Passwort zu installieren, was den Zugang über AnyDesk verhindert hätte, bzw. in deinem Fall erlaubt hat.

    Viel wichtiger als etliche Virenscanner zu installieren ist es also, das bestehende Betriebssystem sauber zu konfigurieren und zu administrieren.

    Passworte sollten nicht im Browser gespeichert sein. Beim Schließen des Browsers sollten alle Cookies, Offline-Inhalte, Sessions etc... gelöscht werden. Das verhindert, dass Sessions bestehen bleiben. Das ist zwar unkomfortabel, dafür aber sicher. ;) Es gibt das Sprichwort: "Die Freiheit ist nicht sicher und die Sicherheit ist nicht frei". Da ist leider was dran.

    Verwende einen ordentlichen Passwortmanager. Ich kann Keepass sehr empfehlen. Datenbank ist verschlüsselt und man muss sich nur das Masterpasswort merken und dieses natürlich auch stark genug wählen.

    Für alle Accounts sollten unterschiedliche Passworte verwendet werden. Passworte sollten mindestens 12 besser 16 Zeichen lang sein, Buchstaben (groß und klein) sowie Zahlen und Sonderzeichen enthalten. Ich mache kein Geheimnis drum. Für alle Internetforen verwende ich das gleiche Passwort. 19 Zeichen lang und nach o. g. Standards. Alle anderen Accounts, die in irgendeiner Form mit "Geld" zu tun haben, haben jeweils ein anderes Passwort. Unter Linux lasse ich sie mir generieren: pwgen 16 1. Etwas ähnliches gibt es bestimmt auch unter Windows. Weiter kann dir Keepass auch Passworte in entsprechender Länge mit gewissen Vorgaben generieren.

    Aber wie gesagt....die beste Software hilft dir nicht, wenn sich der Virus schon auf deinem Rechner befindet oder dein System schlecht konfiguriert ist.

    Und eines kann ich dir noch sagen...alles was du denkst, was dich sicherer machen könnte....da lass dir gesagt sein, dass echte Hacker dir da schon mindestens 1 Jahr voraus sind.

    Man sollte auf jeden Fall jetzt nicht paranoid werden. Wenn man mit dem Holzhammer ran gehen möchte, kaufst du dir eine andere Festplatte, schmeißt deine alte mit allen Daten weg und setzt Windows neu auf. Denke daran, dass sich der Virus in allen möglichen Daten rein setzen kann. Du solltest also keine Daten migrieren.

    Das sind so die besten Ratschläge, die ich dir mit auf den Weg geben kann.

    Tut mir leid für dich und hoffe, dass alles gut verläuft und du nicht auf viel Geld sitzen bleibst.

    Erwischen wird die Polizei die Hacker nicht, wenn die Jungs halbwegs Ahnung hatten.

  • Sobald der Benutzer „weg von der Tastatur“ ist, verbinden sich Cyberkriminelle aus der Ferne mit dem System und führen bösartige Aktionen aus.

    Ist ja auch mein Verdacht gewesen, nur dass AnyDesk selbst schon das Virus ist und halt nicht erst nachgeladen werden musste.

  • anydesk schmeißt seine [definition='1','0']log[/definition] Daten in %programdata%\anydesk oder %appdata\anydesk

    Da könnte man weiter Suchen ... und anydesk lässt sich auch ohne adminrechte starten.

    das Einzige was am Ende zählt ist
    dass ihr lebt was ihr liebt und liebt wofür ihr lebt


    Kodi HTPC - W11 | AMD Athlon 3000G | Pioneer A 504R Bj. 96
    OMV NAS - NAS | Emby Server | LogitechMediaServer
    3x Logitech SqueezeBox & 3x RasPi PiCorePlayer
    Unifi Netzwerk | Sophos XGS Firewall | Agfeo TK | Kentix Security
    Loxone SmartHome

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!