# WEB.DE Account gehackt, aber wie?



## MountyMAX (10. August 2019)

Grüße,

meine Freundin hat mich vorhin angerufen , das wahrscheinlich ihr WEB.de Account gehackt wurde.

Für mich ist die ganze Situation aber eher merkwürdig:
- es wurde damit nur ihr ebay Account genutzt (PW zurücksetzen, einstellen eines ipad Pro, bieten auf einen Artikel - ob eine Umleitung bei ebay eingerichtet wurde, kann ich nicht sagen, da bereits gesperrt), die Rücksetzmails wurden wohl gelöscht, konnte zumindest keine im Web.de Account finden, es ist nur aufgefallen, weil ein Bieter ihr eine Frage geschickt hatte (kann nicht bei ebay umgeleitet werden).

- sie hat das Passwort nur für Web.de genutzt, nie jemanden gesagt und nachdem sie es mir gesagt hat, es ist wirklich nicht so leicht zu erraten, sie befolgtr wirklich die Richtlinien für sichere Kennwörter
- laut ebay gab es einen versuchten Zugriff auf ihr ebaykonto schon vor über einem Monat (sie selber hat es seit Jahren nicht genutzt, zurückgesetzt wurde das PW vor 2 Tagen)
- auf dem Mailaccount gibt es genug Mails mit persönlichen Daten und Accounthinweisen (z.B. Amazon, EA Origin, diverse andere Shops usw.), da wurde gar nichts gemacht

Meine Idee wäre noch, dass sie evtl. irgendwo einen Keylogger eingefangen hat, eine Windowsmaschine hätte ich zerlegt, aber leider ist sie ein Applefanboi (macbook, ipad, iphone), einzig auf Arbeit nutzt Sie Windows (allerdings wird der recht gut abgesichert, staatl. Stelle)

Aber an sich ist das Verhalten komisch, normalerweise schnappen sich die "normalen 0815 Kriminellen" alles was sie zu Geld machen können und verscherbeln es. Oder es wurde nicht der Web.de Account gehackt, sondern nur ebay und der Mitarbeiter hat es nicht zugeben wollen/Logs falsch gelesen? (denn das web.de Kannwort wurde nicht geändert, nur das bei ebay)


----------



## DKK007 (10. August 2019)

Was sie als Erstes machen sollte ist das Email-Kennwort ändern und dann alle Accounts für die diese Mail verwendet wurde. Natürlich inkl. Ebay.

Dann natürlich auch Strafanzeige (§202a, § 263a StGB) erstatten, damit ihr kein finanzieller Schaden entsteht, da der Ebay-Account missbraucht wurde.

Erraten wird das Kennwort niemand manuell. Das läuft wenn über Bruteforce und dabei ist die Länge entscheidend. 
Deshalb sollten Passwörter mindestens 12 Zeichen haben. Bei so etwas wichtigem wie einem Mail-Account, welcher für Registrierungen verwendet wird, können es gerne mehr als 20 Zeichen sein.

Da es auch für Mac genügend Trojaner gibt, sollte das Gerät mal mit einer Live-CD gescannt werden. Normalerweise sind in den Datenbanken die Signaturen für die Schädlinge aller Betriebssysteme drin.


----------



## MountyMAX (10. August 2019)

Brutforce wäre zwar eine Idee, aber ich glaube nicht, dass das so einfach klappt, erstens dauert es etwas übers Netz und nach X Versuchen wird (hoffentlich) der Account für X Minuten gesperrt


----------



## fotoman (11. August 2019)

Nur mal ins Blaue gesponnen:

der Account wurde anscheinend auch über den Webbrowser genutzt. Da ist es durchaus denkbar (ohne alles genau zu kennen), dass irgendein Plugin eine Sicherheitslücke ausgenutzt hat und das Passwort entweder aus dem Speicher des Browsers, der History oder der Eingabe abgefangen hat.


----------



## MountyMAX (11. August 2019)

Inzwischen habe ich erfahren, dass ihr Instagram Account vor ein paar Tagen auch übernommen/umbenannt wurde (nutzt ihn kaum) und es wurde versucht bei Steam einzuloggen (Steam hat mehrere Codes wegen einloggen von anderen PC  geschickt, sie wußte aber damit nichts anzufangen und dachte wäre Spam). *seuftz* werde mir heute mal alles ansehen.

Sie gibt die Daten nicht ein, sondern nutzt diese Autofillfunktion von ios, bzw. holt Mails per Mailprogramm, also pop oder imap


----------



## DKK007 (11. August 2019)

Da ist doch die Sicherheitslücke schon gefunden. Niemals Passwörter im Browser speichern. Die lassen sich ganz leicht auslesen.

Dazu ist dann  halt extra, wenn mal ein Gerät abhanden kommt oder beschlagnahmt wird, ein Zugriff über die hinterlegten Zugangsdaten möglich.


----------



## Laudian (11. August 2019)

Ich bin mir ziemlich sicher, dass der Passwortsafe von Apple nicht geknackt wurde, da hätte man sehr sehr viel mehr über gehackte Accounts gelesen und würde auch nicht so einen alten Ebay Trick nutzen, um an Geld zu kommen.

Ich bin mir da eher zu 99% sicher, dass das Passwort aus dem Leak irgendeiner Website kommt, die die Passwörter unverschlüsselt gespeichert hat, wie in beinahe allen solchen Fällen.

Ich würde die Mailadresse mal hier checken: Attention Required! | Cloudflare - In der Regel findet man da heraus, ob die eigene Mailadresse in irgendwelchen Leaks enthalten ist.


----------



## MountyMAX (11. August 2019)

Laudian schrieb:


> Ich bin mir ziemlich sicher, dass der Passwortsafe von Apple nicht geknackt wurde, da hätte man sehr sehr viel mehr über gehackte Accounts gelesen und würde auch nicht so einen alten Ebay Trick nutzen, um an Geld zu kommen.
> 
> Ich bin mir da eher zu 99% sicher, dass das Passwort aus dem Leak irgendeiner Website kommt, die die Passwörter unverschlüsselt gespeichert hat, wie in beinahe allen solchen Fällen.
> 
> Ich würde die Mailadresse mal hier checken: Attention Required! | Cloudflare - In der Regel findet man da heraus, ob die eigene Mailadresse in irgendwelchen Leaks enthalten ist.



Danke, ich hatte auch schon gehackte Shopsites vermutet, aber sie ist sich sicher, das web.de Passwort für nichts anderes verwendet zu haben.
Gibt übrigens Treffer, frage sie mal was mit den gefundenen Websites ist, evtl. hat sie es nur vergessen, die Mailadresse ist ja auch schon über 15 Jahre alt

Ich selber nutze in der Regel Identity Leak Checker deren Datenbank ist noch etwas größer


----------



## IICARUS (11. August 2019)

Die gespeicherten Passwörter in Browser sind verschlüsselt und werden nicht in Klartext gespeichert. Meist wird ein und das selbe Passwort für alles verwendet und es werden zum Teil auch keine sicheren Passwörter verwendet wo manche Informationen zur Person auch ausreichen um ein Passwort zu erraten.


----------



## Abductee (11. August 2019)

Wenn man beim Chrome und Firefox den Profilordner kopiert, hat man alle gespeicherten Passwörer (auch im Klartext) und sogar die aktiven Sessions.


----------



## Laudian (11. August 2019)

Chrome verschlüsselt Passwörter definitiv - bzw. lässt sie von Windows verschlüsseln. Die Verschlüsselung ist dabei an das Benutzerpasswort geknüpft, so dass man die Passwörter eben nicht ohne weiteres auslesen kann - Windows entschlüsselt die Passwörter bei jedem Zugriff, vorausgesetzt das Betriebssystem ist entsperrt. Auf einer anderen Windows Installation ist die Datei dagegen wertlos, solange man nicht alle Variablen der Verschlüsselungsfunktion hat (HardwareID, InstallationsID, Windows-Passwort...).

Zu Firefox weiß ich nichts, ich kann mir aber nicht vorstellen, dass die Passwörter ohne weiteres im Klartext speichern?...

How does Google Chrome store passwords? - Super User
CryptProtectData function (dpapi.h) | Microsoft Docs


----------



## Abductee (11. August 2019)

Man kann sich im Chrome oder Firefox die gespeicherten PW anzeigen lassen indem man "show" anklickt und genau die gleiche Möglichkeit hab ich wenn ich den ganzen Profilordner auf einen anderen PC kopiere und dort Chrome starte.
Ich rede nicht davon eine Datei aus dem Profilordner zu öffnen und dort versuchen aus einer Tabelle das PW auszulesen.

Wenn man im Browser ein Masterpassword gesetzt hat geht das natürlich nicht so einfach, nur muss man das auch gesetzt haben.


----------



## Laudian (11. August 2019)

Abductee schrieb:


> Man kann sich im Chrome oder Firefox die gespeicherten PW anzeigen lassen indem man "show" anklickt und genau die gleiche Möglichkeit hab ich wenn ich den ganzen Profilordner auf einen anderen PC kopiere und dort Chrome starte.
> Ich rede nicht davon eine Datei aus dem Profilordner zu öffnen und dort versuchen aus einer Tabelle das PW auszulesen.



Nein, genau das sollte nicht funktionieren. Wenn du Show anklickst, wird eine Anfrage an Windows gesendet, um das Passwort zu entschlüsseln. Wenn du den Ordner auf einen anderen PC kopierst, sollte das nicht funktionieren, solange dieser andere PC nicht mindestens das gleiche Loginpasswort verwendet.


----------



## Abductee (11. August 2019)

Was kein Problem ist wenn man kein Admin-PW gesetzt hat, so wie es leider sehr viele aus Bequemlichkeit machen.


----------



## DKK007 (11. August 2019)

Oder wenn halt direkt per Remote zugegriffen wird, lassen sich die Passwörter halt auch einfach mit Show anzeigen und per Screenshot sichern. 

Auch bei Android lassen sich die Passwörter aus dem Browser auslesen.

Gibt da auch diverse Tools dafür:
ChromePass - Passwörter aus Chrome auslesen Download
PasswordFox - Passwörter aus Firefox auslesen Download


----------



## IICARUS (11. August 2019)

Abductee schrieb:


> Wenn man beim Chrome und Firefox den Profilordner kopiert, hat man alle gespeicherten Passwörer (auch im Klartext) und sogar die aktiven Sessions.


In einem User-Profil Verzeichnis innerhalb von Firefox werden die Dateien "logins.json" und "key4.db" gepeichert. Wenn ein System neu aufgesetzt wird reicht es aus nachdem Firefox neu installiert wurde diese zwei Dateien zu ersetzen um alle Passwörter wieder zurück zu erhalten. Aber darin sind keine Klartext Passwörter vorhanden! Bei Chrome wird es auch so ähnlich sein, habe dort aber noch nie nachgeschaut wie es ins einzelne gehandhabt wird. Auch Firefox übernimmt diese Dateien wenn es mal deinstalliert und neu installiert wird, da die alten Profile inkl. dieser Dateinen mit der Deinstallation nicht mit gelöscht werden.

Du kannst dir gerne diese Dateien selbst anschauen und dich selbst davon überzeugen und das ganze müsste in diesem Sinn komplett kopiert werden. Es kommt aber noch dazu das diese Profile sich in einem nicht sichtbarem Verzeichnis befinden und der nur mit Administrationsrechte sichtbar gemacht werden kann.


----------



## Abductee (11. August 2019)

IICARUS schrieb:


> In einem User-Profil Verzeichnis innerhalb von Firefox werden die  Dateien "logins.json" und "key4.db" gepeichert. Wenn ein System neu  aufgesetzt wird reicht es aus nachdem Firefox neu installiert wurde  diese zwei Dateien zu ersetzen um alle Passwörter wieder zurück zu  erhalten. Aber darin sind keine Klartext Passwörter vorhanden!



Das hab ich so auch nicht behauptet.
Wenn ich den Profilordner von Firefox auf einen anderen Rechner kopiere und dort Firefox starte, kann ich mir im Firefox unter "Einstellungen/gespeicherte Zugansdaten" alle Kennwörter im Klartext anzeigen lassen.
(außer ich setze beim Firefox ein Masterpasswort)




			Dieser Inhalt steht nur eingeloggten Mitgliedern zur Verfügung.


----------



## IICARUS (11. August 2019)

Dazu musst aber erst mal auf das Profil Verzeichnis von Firefox erstmal kommen und darauf kommst du nicht ohne bestimmte Berechtigungen. Das ist zu aufwendig für jemanden der sich deinem Rechner bevollmächtigt, da versucht er lieber zuvor einige Accounts von dir und mit etwas Glück errät er dein Passwort was du vielleicht überall verwendet hast.

Natürlich können die Browser wieder die Passwörter anzeigen wenn hierzu bestimmte Optionen in den Einstellungen aufgesucht werden. Opera z.B. hat solch eine Option auch, aber hierzu muss zum anzeigen der Passwörter zuvor das Systempasswort eingegeben werden.


----------



## DKK007 (11. August 2019)

IICARUS schrieb:


> In einem User-Profil Verzeichnis innerhalb von Firefox werden die Dateien "logins.json" und "key4.db" gepeichert. Wenn ein System neu aufgesetzt wird reicht es aus nachdem Firefox neu installiert wurde diese zwei Dateien zu ersetzen um alle Passwörter wieder zurück zu erhalten. Aber darin sind keine Klartext Passwörter vorhanden



Nur weil man die  wegen dem Datenbankformat nicht im Texteditor lesen kann, heißt das nicht, dass die Passwörter nicht trotzdem unverschlüsselt drin stehen.



IICARUS schrieb:


> Dazu musst aber erst mal auf das Profil Verzeichnis von Firefox erstmal kommen und darauf kommst du nicht ohne bestimmte Berechtigungen. Das ist zu aufwendig für jemanden der sich deinem Rechner bevollmächtigt, da versucht er lieber zuvor einige Accounts von dir und mit etwas Glück errät er dein Passwort was du vielleicht überall verwendet hast.



Im Zweifel wertet das die Software automatisch aus. Da muss man dann nur noch die Kategorie Zugangsdaten wählen.


----------



## Dooma (23. August 2019)

Nicht dass es nicht möglich wäre die Passwörter so abzuziehen, halte ich aber für unwahrscheinlich.
Viel wahrscheinlicher ist doch, dass das Passwort irgendwo doppelt benutzt wurde und es dort ein Datenleck gegeben hat.
Wenn man einfach so über irgendein Script die Passwörter vom PC ziehen könnte, dann würde das doch viel häufiger passieren.

Andere Alternative, wie schonmal irgendwo erwähnt, irgendein Gerät das diese Kontodaten benutzt hat Malware drauf.
Also mal alle Geräte durchchecken, den besagten Passwort Safe leeren (nur um sicher zu gehen), und alle Passwörter von benutzen Konten mit neuen einmaligen Passwörtern versehen.
Viel Arbeit die leider wenig Spaß macht...


----------

