Angriff auf meinen Computer / Online Konten

[atlantic]

Hallo zusammen,

seit nunmehr einigen Jahren bin ich Opfer von Angriffen auf meinen Computer und diverse Online-Konten.

Die Art der Angriffe deuten darauf hin, dass jemand vollumfänglichen Zugriff auf meine Gmail Konten hatte und damit Zugriff auf Kopien wichtiger Dokumente der letzten Jahre hatte.

Ich habe bereits einige Strafanzeigen erstattet, die aber leider im Sande verliefen, da kein Täter ermittelt wurde.

Die Aktivitäten begangen zunächst in 2017/2018 mit Unterbrechung, ohne dass ich diese bemerkt hatte, bis heute. Nachstehend eine Auswahl:

 

·         Änderung der Start-/Endzeit von Terminen im Google Kalender

·         Erstellung mind. eines Fake-Bewerbungsschreibens

·         Rezensionen auf Google mit meinem Konto

·         Registrierung von Lidl-Prepaid-Telefonkarten

·         Manipulation von Eintragungen in Google Docs und Google Tabellen etc.

·         Erstellung diverser Online-Konten mit meiner Gmail Adresse.


Wie konnte das passieren?

Welche Methoden könnte der/die Angreifer verwendet haben um diesen Zugriff auf mein Google-Konto zu erlangen (es gibt bestimmt "unzählige")?

·         Welche technischen Maßnahmen muss ich ergreifen um mein Heimnetz, Mac Computer, Windows Computer, Android-Smartphone zu "reparieren" und abzusichern?

Aktuell bemerke ich zudem, dass der Google Dark Mode am hellen Tag aktiviert wird.
Außerdem erhalte ich vor jeder Google Suchanfrage die Meldung "aus Ihrem Netzwerk wurde ungewöhnlicher Traffic erkannt". Im Browser wurde die Startseite geändert.

Was kann ich tun? Obwohl ich umsichtig mit meiner IT bin und meine Passwörter regelmäßig mit einem offline Password-Manager ändere, konnte ich diese Angriffe bisher nicht abwehren.

Für jede Hilfe oder Hinweise bin ich dankbar.

Atlantic

[Kopinski]

Schwer zu sagen, wo genau das herkommt.
Ich täte dies prüfen:
1. Alle Betriebssysteme aktuell? Oft gibt es bei Android schnell keine Sicherheits-Updates mehr, obwohl Gerät neu. Software auch aktuell behalten.
2. Nutzt du irgendwo das Gleiche Passwort mehrfach?
3. Kann man bei GMail 2-Faktor-Authentifizierung an machen? Spätestens dann sollte keiner hinein kommen.
4. Computer über externes Medium auf Viren und Troyaner scannen. Gut ist heise desinfect. Da kann man ruhigens Geld in die Hand nehmen: https://www.heise.de/download/product/desinfect-71642
Nich den internen Scanner nehmen, es muss von extern kommen. Virenscann auf dem System sind eh fraglich.
5. Nutzt Du Internet über Steckdose?
6. Mike hat weitere Tipps: https://www.kuketz-blog.de/empfehlungsecke/#hacked
7. Ist eine Weiterleitung hinterlegt bei EMail?

[Bit]

Moin und herzlich willkommen atlantic,

Obwohl ich umsichtig mit meiner IT bin und meine Passwörter regelmäßig mit einem offline Password-Manager ändere, konnte ich diese Angriffe bisher nicht abwehren.

an sich neige ich dazu, solche Dinge in der ersten Person zu beschreiben. Aber ich hatte so extrem noch keinen Fall, und kann auch schlecht sagen, was ich real machen würde (das gäbe auch zu viele Details aus meinem Leben preis), also kann ich nur verallgemeinert, ohne Deine konkrete Situation zu kennen, in der zweiten Person schreiben und bitte Dich, alles als Vorschläge zu betrachten, aus denen Du Dir herausfischen möchtest, was für Dich passt und nichts als Rat-Schlag empfinden solltest.
Du musst auch nicht berichten, was Du übernommen hast, und nichts rechtfertigen!

Für jede Hilfe oder Hinweise bin ich dankbar.

Dann los!

Das Kind ist ja, wie Du schreibst, schon vor Jahren in den Brunnen gefallen.
Abwehren kannst Du es nur, indem Du alles neu machst, was neu zu machen geht:
Hardware, Software und vielleicht sogar die Organisation Deines Lebens.
Live ist nach Deiner Beschreibung und so viel Zeit nichts zu retten.

Aber als Erstes, solltest Du Deine Daten sichern und extern gut verstauen. Später (am Ende) wird zu sichten sein, was davon noch zu gebrauchen ist, aber ich vermute, es dürfte viel mehr sein, als das, was kompromittiert ist, nur sehr schwer zu sortieren.

Schließe alle Accounts, die Dich Geld kosten können: Banken, Onlinehändler, Auktionshäuser etc., aber lösche sie nicht! Sie sind eventuell eine wichtige Ermittlungsquelle.

Wenn Du die Neueinrichtung planst, achte sorgfältig darauf, keine Spuren zum alten Ego zu hinterlassen: keine Weiterleitungen, etc.
Vielleicht räumlich umziehen ohne Nachsendeantrag.
Vielleicht ein neues Kennzeichen am Fahrzeug.
Vielleicht einen neuen Arbeitsplatz.
Vielleicht neue "Freunde".
Ich kann das nicht abschätzen. Das hängt davon ab, wieviel reale Daten der oder die Angreifer erlangen konnten. Kann sein, daß Deine Daten längst im Dark Net gehandelt werden.
Vernichte alle alten Daten, die Du im Backup gesichert hast: Alle alten Daten sind als kompromittiert zu betrachten.

Selbstredend, alle eMail-Adressen, Fax- und Telefonnummern zu erneuern. Keine Weiterleitungen erhalten! Notfalls eher Sammelaufträge von den neuen Accounts aus.
Setze neue Accounts auf, wenn Du neu gestartet bist, mache soviel Du kannst auf neuer Hardware (auch im übertragenen Sinne) neu und nutze so wenig wie möglich aus Deinem Backup.
Lade alle zu installierende Software mit der neuen Hardware erneut von den jeweiligen Herstellern und Entwicklern herunter!
Sei sparsam mit Software, halte offline, was nicht unbedingt online sein muss. Zum Beispiel, verwende LibreOffice offline in einer Virtuellen Maschine (ohne Gateway)!

Vermeide alle eskalierenden Accounts für die Zukunft (insbesondere das gesamte Alphabet-Umfeld)!
Vermeide (alte) Social Media. Kontaktiere die Menschen, die Dir wirklich wichtig sind, physisch oder per Telefon, wenn sie Dich überzeugen können, daß Ihr reell, also echt seid.

Triff Dich besser auf neuen Plattformen unter neuen Namen und fordere Deine Bezugspersonen auf, dort auch neue Accounts anzulegen, um Dich zu kontaktieren.
Verwendet auch in Prosa keine Hinweise auf Deinen "Identitätswechsel" außer am Telefon.
Verwende dafür neue Telefonnummern initiativ: Du rufst an.

Erstelle einen neuen Passwortmanager, den Du erneut herunterlädst, und erzeuge dort alle Accounts neu! Ein einziger aus dem Backup übernommener Account kann Deine ganze Mühe zunichtemachen!

Sichte und sortiere die Daten aus dem Backup auf einem alten offline Rechner: physisch getrennt vom neuen System.
Am besten klebst Du alle Buchsen nachhaltig mit Heißkleber zu, um niemals in Versuchung zu geraten, von Deinem Konzept abzuweichen und alles zu gefährden.
Wenn Du Daten von Alt nach Neu transportieren musst, nimm einen neuen Wechseldatenträger und reinige ihn nach jeder Aktion!

Schreibe Schriftstücke möglichst ab, statt sie zu kopieren. Erstelle neue PDFs oder Screenshots (über die Du später im sauberen System eine OCR laufen lassen kannst).
Setze das, was Du aus dem Backup nutzen musst, in eine Sandbox.
Lasse Dir fremde Dateien möglichst neu zusenden und verwende für die Anforderung nicht die alten Accounts! Eventuell musst Du dazu am Telefon viel Überzeugungsarbeit leisten.

Wie konnte das passieren? Welche Methoden könnte der Angreifer verwendet haben um diesen Zugriff auf mein Google-Konto zu erlangen (es gibt bestimmt "unzählige")?

Das ist in diesem Thema nicht zu erfassen.
Informiere Dich hier und anderswo in einschlägigen Foren und Wissensressourcen.
Du kannst mit dieser Frage auch hier einen neuen Thread auf den jeweiligen Boards anfangen, aber sei Dir sicher, es wird sich nicht auf einen konkreten Missgriff konkretisieren lassen.

· Änderung der Start-/Endzeit von Terminen im Google Kalender
· Erstellung mind. eines Fake-Bewerbungsschreibens
· Rezensionen auf Google mit meinem Konto

Bis hier scheint es, jemand (aus Deinem Umfeld?) treibt Schabernack mit Dir. Denn diese Manipulationen machen nur Sinn, wenn er Deine Reaktionen darauf beobachten kann.

· Registrierung von Lidl-Prepaid-Telefonkarten

Das ist krimineller Eigennutz, kann sein, daß vielleicht jemand anders an die Daten von Deinem Angreifer gelangt ist, der Dich möglicherweise nicht kennt (Dark Net?).

· Manipulation von Eintragungen in Google Docs und Google Tabellen etc.
· Erstellung diverser Online-Konten mit meiner Gmail Adresse.

Da käme es darauf an, konkret zu untersuchen, was geändert wurde: worin liegt der Vorteil oder das Interesse des Angreifers?

Ich habe bereits einige Strafanzeigen erstattet, die aber leider im Sande verliefen, da kein Täter ermittelt wurde.

Scheue nicht davor zurück, es erneut anzuzeigen: die Ermittlungsbehörden entwickeln sich ebenfalls rasant weiter. Vielleicht ist es taktisch klüger, dabei nicht vergangene Anzeigen zu erwähnen, damit sie unvoreingenommen (from scratch) ermitteln ...

[duda]

Wichtigster Schritt:
Unbedingt weg von Google!

[cane]

Wie konnte das passieren? Welche Methoden könnte der Angreifer verwendet haben um diesen Zugriff auf mein Google-Konto zu erlangen (es gibt bestimmt "unzählige")?

Google Accounts können gehackt werden durch Token-Klau, aber Google sieht da kein Problem: https://www.heise.de/news/Cookieklau-per-Malware-und-API-Google-beruhigt-Nutzer-und-nennt-Gegenmassnahmen-9589840.html

In der Regel funktioniert das so, dass Du einen Trojaner auf Deinem Computer hast, der das Login-Token für die Google Session klaut. Nachdem Du Dich bei Google ausgeloggt hast, kann die letzte Session via Google API erneuert werden und der Angreifer hat dann Zugriff auf Deinen Google Account. Passwort ändern bei Google hilft nicht.

Seit einigen Monaten haben diese Angriffe massiv zugenommen, aber das Problem ist schon länger bekannt.

Die gekaperten Google Sessions werden dann im Darknet verkauft, so dass der Angreifer mit dem Trojaner nicht unbedingt derjenige sein muss, der den Google Account dann missbraucht.

Das ursächliche Problem ist wahrscheinlich, dass Dein Computer verseucht ist und alle Passwortänderungen nicht helfen, weil der Angreifer jederzeit über seinen Trojaner den Zugriff auf das Google Konto erneuern kann.

Also brauchst Du zuerst einmal einen sauberen Rechner... tja, das ist nicht so einfach. Ohne professionelle Unterstützung würde ich sagen: neue Hardware kaufen. Und dann bei Google alle alten Sessions invalidieren - das muss irgendwie gehen, ich habe aber von Google Accounts keine Ahnung. 

[duda]

[...]

Welche Hard-/Software wird denn hauptsächlich verwendet?
Würde die Möglichkeit bestehen, alternativen DNS (Domain Name Service) "einzubauen" und zu verwenden?
Würde die Möglichkeit bestehen, ein alternatives System (bspw. GNU/Linux) vom USB-Stick zu booten?

[atlantic]

Herzlichen Dank allen Hinweisgebern.
Ich werde Ihre Mails durchgehen und sehen was für mich passt.

Freundliche Grüße
atlantic

[atlantic]

4. Computer über externes Medium auf Viren und Troyaner scannen. Gut ist heise desinfect. Da kann man ruhigens Geld in die Hand nehmen: https://www.heise.de/download/product/desinfect-71642

Besten Dank für den Tipp.

In meinem Heimnetzwerk gibt es sowohl Windows als auch macOS Conmputer. Gibt es für Mac Computer ein vergleichbares Produkt (wie Desinfect)?

[Kopinski]

atlantic
Das Tool benötigt lediglich Zugrifff auf die Festplatte.
Falls diese nicht verschlüsselt ist, wüsste ich nicht, warumms bei MacOS nich gehen sollte.
Kenne mich mit MacOS nicht sooooo gut aus.
Mac und Linux sind sich recht ähnlich. Oder gibts einen speziellen Schutz beim Mac, wo man ein Booten über USB verbietet auf BIOS/UEFI Ebene?
Falls ja, kannst du die Festplatte vom Mac auch an den Windows PC anschließen.

[duda]

Oder gibts einen speziellen Schutz beim Mac, wo man ein Booten über USB verbietet auf BIOS/UEFI Ebene?

Rein theoretisch/praktisch könnte das BIOS verseucht (die Bootsequenz kompromittiert) sein. Dann würde es tatsächlich schwierig werden, das System zu bereinigen.