Google Warnung: Unsere Systeme haben ungewöhnlichen Datenverkehr festgestellt.

[atlantic]

Hallo zusammen,

seit einiger Zeit bekomme ich hin und wieder eine Warnmeldung von Google, dass von den Google-Systemen ungewöhnlicher Datenverkehr aus meinem Computernetzwerk festgestellt wurde. Ich muss dann vor dem Absenden einer Google-Suche ein reCAPTCHA lösen.

Das Problem konnte ich bereits in der Vergangenheit auf einem Windows 10 System beobachten. Aktuell kommt die Meldung nur auf meinem MacBook mit aktuellem Safari (Sonoma 14.4.1) vor.

Anti-Malware Software (Norton und Malwarebytes) schlagen nicht an.
Allerdings wurden in der Vergangenheit E-Mail Konten von mir gehackt.

Was kann ich tun um auszuschließen dass Keylogger installiert sind, Daten abließen oder von meinem Computer illegitime Anfragen etc. an Webseiten gesendet werden.

Ich habe den Mac mehrfach auf Werkseinstellungen zurückgesetzt.

Ich danke allen für Hinweise oder Ideen!

-atlantic

PS: Einen Screenshot mit der Meldung konnte ich leider nicht anfügen.

[duda]

Anti-Malware Software (Norton und Malwarebytes) schlagen nicht an.

Als kleine Erinnerung: "Schlangenöl" ("snake oil")

Allerdings wurden in der Vergangenheit E-Mail Konten von mir gehackt.

Das wird vermutlich die Ursache sein.

Lösungsvorschlag: Google-Suche meiden und stattdessen Alternativen verwenden.

https://metager.de
https://gruble.de
https://search.brave.com
https://searx.space

[Bit]

Keylogger

Das erforderte physischen Zugang zu Deiner Kabellage oder ein gehacktes Bluetooth. Beurteile selbst, ob das bei Dir physisch möglich ist.
Im ersten Fall: tausche das Kabel aus, falls Du keine zusätzlichen Adapter antriffst, die Du entfernen könntest.
Im zweiten Fall: verwende eine Kabelverbindung statt des Bluetooth.

Übrigens: hast Du auch beachtet, daß Dein Display nicht mittels Laser abgescannt werden kann?
Ansonsten könntest Du die Vorhänge oder Roll-Laden schließen, bzw. das Gerät von Fenstern und Spiegeln abwenden.

Daten abließen

Verwende nur saubere Software, rüste Deinen Browser mit entsprechender Blocking-Software aus, verwende eine ausgehend sperrende Software-Firewall im Whitelisting.

illegitime Anfragen

dito
Kontrolliere außerdem, wer physisch Zugang zu Deinem Gerät hat und was von dort aus für Anfragen gesendet werden.

dass von den Google-Systemen ungewöhnlicher Datenverkehr aus meinem Computernetzwerk festgestellt

Da Du keinen Screenshot mitgeliefert hast, entnehme ich Deinem Wortlaut, daß Google die Machenschafen auf seinen Systemen (und nicht etwa auf Deinem) wahrgenommen hat. Also schließe aus, daß Dein Gerät sich zu Google-Systemen verbindet.
Das ist so vielfältig möglich, daß ich das hier nicht im Einzelnen beantworten kann.
Daß Du überhaupt Kontakt zu Google-Systemen hast, könnte auch mit einer sorglosen Einstellung des Benutzers zu tun haben und könnte dann korrigiert werden.

Mac mehrfach auf Werkseinstellungen zurückgesetzt

Was bedeutet das bei Deinem Gerät? Ist es völlig zurückgesetzt, wie neu aus der Verpackung?
Wie kann es sich dann überhaupt irgendwohin verbinden oder diese Meldungen bekommen?

[atlantic]

duda Bit Vielen herzlichen Dank für eure ausführlichen Erläuterungen.

Antworten:
Keylogger: Kabel/Bluetooth schließe ich aktuell aus.
Blocking-Software: Ich habe Norton so konfiguriert dass unbekannte Kommunikation nach außen erlaubt werden muss.
Physischer Zugang: besteht aktuell für Fremde nicht.
Werkseinstellungen: Ich habe MacOS aus dem Internet neu heruntergeladen und installiert, da ich dem Reset über die Systemeinstellungen nicht traue.

Trotzdem bin ich noch verunsichert.

Die Spotlight-Suche poppt gelegentlich auf und das Wort "ich" wurde eingegeben. Gleiches im Safari Browser; die Homepage wurde auf "http://ich" geändert. Einen defekt der Tastatur schließe ich aus. Da ich bereits schlimme Erfahrungen mit einem gehackten Mail-Konto hatte, kann ich diese Vorfälle leider nicht "abtun".
Die Frage die ich mir stelle ist nicht ob, sondern wie ich/mein Computer angegriffen wurde.

Welche wahrscheinlichen Angriffsvektoren gibt es? Im Zusammenhang mit der geschilderten Google-Warnung habe ich die Aktivitätsanzeige von macOS geöffnet und die Netzwerkaktivität beobachtet. Ich kenne natürlich nicht alle legitimen Prozesse, allerdings war außer Spotify (ich habe Musik gestreamt) keine deutliche Netzwerkaktivität zu sehen.
Was kann ich noch tun? Eine Schwachstelle könnte das Backup meiner wichtigen Dateien auf einer externen Festplatte sein. Ist es möglich, dass sich im "Wald" meiner PDF und Office-Dokumente irgendwie Malware versteckt ist, mit der ich mein frisches System wieder verunreinige?

Ich vertraue meinem Computer viele vertrauliche Daten an: Internet Banking, Steuer-Bescheide, persönliche Briefe und Fotos etc. Es ist ein echt blödes Gefühl nicht sicher sein zu können, dass die Daten auf meinem Computer bleiben und nur dort.

Ich danke allen für Tipps etc.

[Bit]

Blocking-Software: Ich habe Norton

Da schließe ich mich meinem Vorredner an: Das ist Schlangenöl, mit dem ich — zum Glück andere — nur schlechte Erfahrungen machen sah.
Malwarebytes hat einen guten Ruf, ich habe es im Windows teilweise sinnvoll nutzen können. Aber nur als zusätzliches Mittel für Webseitenchecks, oder auch als zusätzlichen Virenscanner zum gegenchecken.
Ob das für einen Mac sinnvoll ist, kann ich nicht beurteilen.

Werkseinstellungen: Ich habe MacOS aus dem Internet neu heruntergeladen und installiert

Auf einer frisch formatierten Platte, ohne Zugang zu möglicherweise verseuchten Daten oder umgebendem Netz?
Nur dann würde ich glauben können, daß es noch nicht kompromittiert war.

Trotzdem bin ich noch verunsichert.

Die Frage die ich mir stelle ist nicht ob, sondern wie ich/mein Computer angegriffen wurde

Du hast jeden Grund, verunsichert zu sein. Deine Fragestellung ist interessant, aber ich denke, Dein Streben sollte mehr dahin gehen, das System wieder sauber zu bekommen. Die Forensik zerstört möglicherweise weitere Daten, Profis würden das nur an einer bitweisen Kopie durchführen.

Welche wahrscheinlichen Angriffsvektoren gibt es?

Allerdings wurden in der Vergangenheit E-Mail Konten von mir gehackt

Wenn Du schon erzählst, daß Deine eMails gehackt waren, war bereits seitdem Dein System durchgehend kompromittiert. Weitere Malware kann sich die vorhandene selbst nachgeladen haben.
Reinige Deinen eMail-Account von HTML-Mails, stelle Deinen eMail-Client auf die Annahme und den Versand reiner Text-Mails. Lösche alle fragwürdigen Mails.
Wechsle nach dem Du Dich dort nicht mehr eingeloggt und bevor Du wieder ein sauberes System hast, das eMail-Passwort!

Was kann ich noch tun?

Zunächst würde ich alle Daten sichern, die (auf einem isolierten System) geprüftermaßen sauber und noch zu retten sind, und physisch getrennt aufbewahren.
Dann kannst Du das ganze verseuchte Gerät komplett formatieren und neu aufsetzen. Verwende dafür nur gesicherte Software, die nicht über das korrupte System heruntergeladen oder gespeichert wurde.

Ich vertraue meinem Computer viele vertrauliche Daten an: Internet Banking, Steuer-Bescheide, persönliche Briefe und Fotos etc. Es ist ein echt blödes Gefühl nicht sicher sein zu können, dass die Daten auf meinem Computer bleiben und nur dort.

Gut, daß Du ein blödes Gefühl hast, das ist der erste Schritt. Lerne aus der Mühe und dem Kummer, den Dir das Neuaufbauen des Systems und der Ersatz verloren gegangener Daten machen werden, um in Zukunft viel vorsichtiger zu sein.
Meide Google, finde heraus, wie man macOS sinnvoll absichert (zum Beispiel mit Firefox statt Safari und uBlock Origin als Addon). Lass Norton getrost sein, suche Mac-Firewall-Software, die ausgehenden Verkehr sperrt, lasse explizit nur zu, was Du wirklich sicher für koscher halten kannst und verwende unbedingt eingehend eine Hardware-Firewall mit einer NAT (sie lässt nur Daten durch, die aus Deinem Netz angefragt wurden), sowas findet sich in sogenannten "Router"-Kombigeräten.

Eine Schwachstelle könnte das Backup meiner wichtigen Dateien auf einer externen Festplatte sein. Ist es möglich, dass sich im "Wald" meiner PDF und Office-Dokumente irgendwie Malware versteckt ist, mit der ich mein frisches System wieder verunreinige?

Ja, das ist sogar höchstwahrscheinlich! Lasse das neue System nicht an Deine Backups, bevor Du sie nicht mehrfach sicher mit verschiedener ausgezeichneter Software gescannt hast.

Ich wünsche Dir viel Erfolg

[duda]

Dann kannst Du das ganze verseuchte Gerät komplett formatieren und neu aufsetzen.

Hierzu sei noch ganz beiläufig angemerkt, dass das "Formatieren" in aller Regel nicht genügt die Verseuchung zu eliminieren. Und falls es sich um eine SSD handelt; die kann (sollte) man gar nicht formatieren. Die sicherste Methode ist immer noch das mehrfache (vollständige) Überschreiben des kompletten Datenträgers mit sinnfreien Zeichenketten. Zu diesem Zweck gibts unterschiedliche Tools.

Die Frage die ich mir stelle ist nicht ob, sondern wie ich/mein Computer angegriffen wurde.

Hierzu vlt. noch der Nachtrag, dass die größte Bedrohung vom unverschlüsselten Datenverkehr ausgeht. Da es verschiedene Arten von Verschlüsselung gibt: Hier ist die sogenannte Transportverschlüsselung (akt. TLS 1.3) gemeint. Die Benutzung des Provider-DNS (Standard, Port: 53) basiert auf unverschlüsselten Datenverkehr. Das heißt im Klartext: Das was dein Mac empfängt, muss nicht unbedingt das sein was du angefordert hast. Unverschlüsselter Datenverkehr, insbesondere der der Adressenauflösung (DNS, Port: 53), ist grundsätzlich immer kompromittierbar/manipulierbar/zensierbar. Eine weitere (sehr wahrscheinliche) Möglichkeit ist das Angriffsszenario per E-Mail (kompromittierter, manipulierter E-Mail-Anhang).

[atlantic]

Vielen Dank für die zahlreichen Hinweise.

Ja, das ist sogar höchstwahrscheinlich! Lasse das neue System nicht an Deine Backups, bevor Du sie nicht mehrfach sicher mit verschiedener ausgezeichneter Software gescannt hast.

"Virenscanner sind Schlangenöl." Aber was kann ich dann tun, wenn ich keine Firma für IT-Forensik beauftragen kann? Welche effiziente Software kann ich verwenden (ohne ein Experte zu sein)?

Gibt es ein Protokoll dem ich folgen kann? Beispielsweise wie nachstehend:
1. Backup der wichtigen Dateien im kompromittierten System anfertigen
2. System neu aufsetzen
3. Daten aus dem Backup nur geprüft in das neue System übernehmen
4. Passwort für E-Mail ändern
5. Nur "saubere" Endgeräte ins Wifi Netzwerk einbinden
...

E-Mails nur als reiner-Text versenden (nicht HTML).

Welche "Natur" hat Malware? Handelt es sich um eine Textdatei? Ein Office-Dokument mit schädlichen Makros/ ausführbaren Inhalt? Reicht es aus eine E-Mail über IMAP in das Mail-Programm zu laden? Könnte eine Bilddatei in der Mail Malware beinhalten? Reicht es aus die Datei zu downloaden oder muss ich sie öffnen/ausführen? Kann ich die Malware im Finder/Explorer als Datei sehen? Ist die App "Aktivitätsanzeige" des Mac hilfreich um Malware-Prozesse zu finden?

duda Sicher ist vieles denkbar und möglich. Für meinen Seelenfrieden halte ich mich an das, was wahrscheinlich ist. Trotzdem ist deine Anmerkung im diesem Zusammenhang natürlich absolut legitim.

Welche weiteren Möglichkeiten habe ich als (sensibilisierter und betroffener) Normalnutzer?

Vielen Dank für Eure Ideen und Vorschläge.

[duda]

Welche effiziente Software kann ich verwenden (ohne ein Experte zu sein)?

Du brauchst keine (explizite) kommerzielle Software!

Welche "Natur" hat Malware? Handelt es sich um eine Textdatei? Ein Office-Dokument mit schädlichen Makros/ ausführbaren Inhalt? Reicht es aus eine E-Mail über IMAP in das Mail-Programm zu laden? Könnte eine Bilddatei in der Mail Malware beinhalten? Reicht es aus die Datei zu downloaden oder muss ich sie öffnen/ausführen? Kann ich die Malware im Finder/Explorer als Datei sehen? Ist die App "Aktivitätsanzeige" des Mac hilfreich um Malware-Prozesse zu finden?

Viele Fragen ...

Mein Tipp (weiter oben schon teilweise erwähnt):

1.) ändere deine Gewohnheiten
2.) verwende alternativen (ziemlich sicheren, zensurfreien) DNS (allein damit hast du 70% bis 90% der schädlichen Einflüsse vom Hals)
3.) verwende sichere Browser
4.) trenne dich von Webmailern (E-Mail-Verwaltung per Webbrowser)
5.) trenne dich von Google

Meine Vermutung: Bordmittel vom Mac werden dir bei der Aufarbeitung der Problematik wohl kaum hilfreich zur Seite stehen können.

[Bit]

E-Mails nur als reiner-Text versenden (nicht HTML).

Vor allem (aus Deiner Sicht) eMails auch nur als reine Textnachrichten empfangen!
HTML ist das Protokoll Format für Webseiten und kann alles mögliche anrichten.
Das korrekte Protokoll Format für eMails ist Text. Siehe RFC 5322.

[AlphaElwedritsch]

Format.
Protokoll ist SMTP, Pop, IMAP

[PeterZH]

Die wichtigste Frage, ist diese Warnmeldung überhaupt von Google? In 10 von 10 Fällen, wo ich die gesehen habe, war genau das der versuchte Betrug. Mit der Absicht, dich auf irgendwelche Seiten zu locken, wo Du dann ein kostenpflichtiges Abo obskurer Schutzsoftware abschliessen kannst.

--peter

[atlantic]

Bit AlphaElwedritsch : Gemeint ist hier das Protokoll als "Reihenfolge eines Handlungsablaufes", nicht HTTP oder SMTP etc. Als Beispiel habe ich unter #6 folgende Punkte genannt: 1. das Backup wichtiger Dateien, 2. den Reset des Computers usw.

PeterZH Es handelt sich um eine Webseite von Google

Leider bin ich noch nicht viel schlauer. Wie gehe ich mit meinen alten externen (Backup-)Festplatten um?
Was mache ich mit meinen E-Mail Sicherungen?

duda
Wenn ich mich von Webmailern verabschieden soll, dann verwende ich IMAP mit Outlook oder Mail unter macOS. Aber dann lade ich mir die potenziell schädlichen Anhänge gleich ungesehen auf die Festplatte.
Ist das wirklich weniger riskant, als die Datei eines dubiosen Absenders direkt im Browser in den Papierkorb zu befördern?

Die geschilderte Problematik habe ich leider immer wieder seit etwa 2018 mit Unterbrechungen.

Vielen Dank für Eure Ideen und Klarstellungen.

-atlantic

[Bit]

AlphaElwedritsch : Gemeint ist hier das Protokoll als "Reihenfolge eines Handlungsablaufes"

Nein, das war mein Text und demzufolge entscheide ich, was ich gemeint habe.
AlphaElwedritsch hat das schon richtig erkannt: Ich habe mich im Wortschatz vergriffen. Gemeint war HTML-Mails vs. TXT-Mails.

Dein Protokoll war etwas anderes.

[duda]

Es handelt sich um eine Webseite von Google

... die wirklich "echt" ist?!

Wenn ich mich von Webmailern verabschieden soll, dann verwende ich IMAP mit Outlook oder Mail unter macOS.

Ich würde unter macOS weder Outlook noch den E-Mail-Client vom System selber verwenden. Warum nicht Thunderbird? Dort kannst du User-Preferenzen definieren und den Mailclient so konfigurieren, dass er eben keine (potenziell verseuchten) Mailanhänge herunterläd oder gar automatisiert öffnet.

Desweiteren: Unterhältst du dein E-Mail-Postfach bei einem vertrauenswürdigen E-Mail-Provider, werden verseuchte Inhalte dein Postfach sehr wahrscheinlich gar nicht erst erreichen.

[Bit]

Warnmeldung überhaupt von Google?

Es handelt sich um eine Webseite von Google

... die wirklich "echt" ist?!

Er hatte ja noch andere Probleme (oben dargestellt) und bereits früher einen gehackten Mailaccount.
Google ist schon zuzutrauen, daß es bestimmte Dinge bemerkt und dann warnt und sich selbst mit einem zusätzlichen reCAPTCHA schützt.

Im Gegensatz zur Sparkasse, die das nur behauptet, weil ich nicht alle Skripte zulasse.