Trojaner-Board - Spam Besprechungsanfrage erhalten, wo ist die "undichte Stelle"? wie schuetzen?

Trojaner-Board (https://www.trojaner-board.de/)

- Überwachung, Datenschutz und Spam (https://www.trojaner-board.de/uberwachung-datenschutz-spam/)

- - Spam Besprechungsanfrage erhalten, wo ist die "undichte Stelle"? wie schuetzen? (https://www.trojaner-board.de/201746-spam-besprechungsanfrage-erhalten-undichte-stelle-schuetzen.html)

Spam Besprechungsanfrage erhalten, wo ist die "undichte Stelle"? wie schuetzen?

Liebe Forumshelfer ich bitte um Eure Hilfe zu folgendem Sachverhalt:

Gestern habe ich abends eine ungewöhnliche Besprechungsanfrage erhalten. Teilnehmer sind mein Bruder ein gewisser Mickey Orgovan und auch der Name meiner Schwägerin ist enthalten .

Da die Teilnehmer so zusammengestellt sind, muss jemand gezielt auf die Informationen gestossen sein. Wie kann man die undichte Stelle finden und absichern?

Wie kann ich diese Anfrage hier am besten posten? Sie liegt deaktiviert im Spam-Ordner.

Es ist Windows 10 home, 20H2, 19042.928 installiert
Microsoft Office professional plus 2019
Sicherheit durch Microsoft
Firefox aktueller Stand

vielen Dank
mfg Gluehstrumpf

Zitat:

Zitat von gluehstrumpf (Beitrag 1752767)

Gestern habe ich abends eine ungewöhnliche Besprechungsanfrage erhalten.

Zitat:

Teilnehmer sind mein Bruder ein gewisser Mickey Orgovan und auch der Name meiner Schwägerin ist enthalten .

Dass Eure drei Namen / Adressen(?) in einem Schwung inkludiert sind, deutet auf jeden Fall darauf hin, dass ein Datensatz ausgelesen wurde, in dem Ihr auch gemeinsam steht. Dazu reicht z.B. alleine ein simples oder mehrfach verwendetes Zugangspasswort für den E-Mail-Account und andere Dienste im Web aus. Kann bei Dir passiert sein, Deiner Schwägerin, Deinem Bruder, oder bei anderen Verwandten, Bekannten oder Kollegen, die Euch gemeinsam in ihrem Adressbuch oder ähnlichen Verzeichnissen gespeichert haben.

Kann aber auch aus so Dingen wie dem Facebook-Datenleck stammen, wenn Ihr da irgendwie miteinander "verknüpft" seid.

Zitat:

Da die Teilnehmer so zusammengestellt sind, muss jemand gezielt auf die Informationen gestossen sein.

"Gezielt" muss man differenzieren. Es pickt sich sehr, sehr wahrscheinlich nicht von vornherein gezielt jemand Euch drei aus einer riesengroßen Masse heraus und macht sich die Mühle, Zugriff auf ausgerechnet einen Eurer Accounts oder Eure Daten zu erhalten. Damit sowas passiert, müsste man vielleicht Bundestagsabgeordneter sein und "interessant" für externe Kreise. Aber selbst dann wird eher das gesamte Bundestagsnetzwerk attackiert, wie es ja in der Vergangenheit auch schon der Fall war. Denn es ist lohnenswerter für Angreifer, für wenig Aufwand möglichst viel "Ertrag" zu erhalten.

Oder man ist in einer Firma, die für Angreifer weshalb auch immer von besonderem Interesse ist, in der Personalabteilung für Neueinstellungen zuständig. Solche Leute werden dann gezielt ausgesucht, angemailt und mit speziell auf diese Firma zugeschnittene E-Mails / Inhalte inkl. schadhafter Dateianhänge attackiert. Damit wird dann in der Tat gezielt eine Einzelperson ausgewählt, um über sie Zugriff auf das gesamte Firmennetzwerk zu erhalten.

In Beispielen wie bei Euch ist es jedoch anders, da werden vielmehr Accounts und Daten großflächig in der Masse abgegrast, was sehr einfach ist, weil viele Nutzer die elementarsten Sicherheitsregeln nicht beachten. Auf diese Weise können Angreifer ohne viel Aufwand und innerhalb möglichst kurzer Zeitfenster an möglichst viele zusammenhängende Daten(sätze) gelangen. Und ja, diese Datensätze sind dann etwas "wertvoller", wenn sie im Zusammenhang verwendet werden, weil Nutzer nochmal etwas freizügiger als ohnehin schon auf solchen Spam, Phishing & Co hereinfallen, Links und Anhänge unbedacht öffnen, etc. -- weil in der E-Mail ihnen teils gut bekannten Menschen aus ihrem Umfeld auftauchen, entweder als Co-Adressaten, oder als vermeintliche Absender.

Viele Nutzer denken dann überhaupt nicht mehr nach und klicken einfach drauf, nach dem Motto, "Ach, ist ja von meiner Schwester, die will mir ja nichts Böses". Dabei stammt die E-Mail gar nicht von der Schwester, sondern es wurde lediglich ihr Name und ihre Adresse als Absender (gefälscht) eingesetzt.

Nach diesem Gusto werden "zusammenhängende" Datensätze dieser Art also schon seit etlichen Jahren immer wieder von Cyberkriminellen missbraucht. Und ja, mindestens eine Schwachstelle im persönlichen Umfeld muss es da gegeben haben. Ein paar Möglichkeiten dazu hatte ich oben bereits genannt, eine weitere, die oft und gerne vergessen wird, sind die Mobile Devices, vor allem Smartphones. Auch dafür gibt es immer wieder Szenarien, die zu einem Datenabfluss führen. Dazu hier mal direkt ein Beispiel aus dem hiesigen Forum. Ein paar verschiedene Angriffspunkte habe ich kürzlich in diesem Thread dargelegt.

Überprüft Euer Verhalten und Eure Absicherungsmaßnahmen also mal auf die benannten Punkte hin, ob das wirklich alles so gut abgesichert ist, wie es sein sollte. Und ich bezweifle, dass dies der Fall ist.

Zitat:

Wie kann man die undichte Stelle finden und absichern?

Nun, diese Daten sind jetzt unumkehrbar "raus". Mit diesem oder ähnlichem Spam werdet Ihr also in Zukunft weiter rechnen müssen. Daten, die einmal abgeflossen sind, bleiben abgeflossen und werden in der Regel auf Jahre weiterverwendet.

Unabhängig davon sollte zumindest jeder von Euch, dessen Adresse oder Name dort steht, sein Sicherheitskonzept abklopfen. Oft hakt es, wie gesagt, bei vielen Nutzern bereits bei so simplen Dingen wie unterschiedlichen und sicher gewählten Zugangspasswörtern. Wie sieht es diesbezüglich denn bei jedem Einzelnen von Euch aus?

- Habt Ihr bei allen Diensten im Web jeweils sehr unterschiedliche, jeweils starke Passwörter auf verschiedenen Zeichen/Zahlen gesetzt?
- Verwendet Ihr für alle Dienste die gleiche E-Mail-Adresse zur Anmeldung, oder, wie es besser wäre, für bestimmte Nutzungskategorien unterschiedliche (z.B. privat / Newsletter / Shopping)?
- Nutzt einer von Euch veraltete Smartphones und/oder hat sie unsicher konfiguriert und lässt allg. die App-Installation aus Drittanbieterquellen zu, klickt auf SMS-Spam, etc.?
- Macht Ihr von der 2FA Gebrauch?
- Sind Eure Betriebssysteme auf Laptop/PC so abgesichert wie hier beschrieben?

Zitat:

Wie kann ich diese Anfrage hier am besten posten? Sie liegt deaktiviert im Spam-Ordner.

Welches E-Mail-Programm? MS Office? Welcher E-Mail-Anbieter? Wenn man überhaupt was ersehen will, dann nur aus dem Quelltext der E-Mail. Aber selbst da zeigt sich meist, dass die Mails von irgendwo aus dem Ausland verschickt wurden.

Zitat:

Microsoft Office professional plus 2019

Firmen-PC?

Hallo MMK,

vielen Dank für Deine Unterstützung.

ich arbeite jetzt Deine Empfehlungen zum Datenschutz ab, dann melde ich mich wieder und beantworte die offenen Fragen.

Gruß Gluehstrumpf

Hallo MMK,

ich möchte Dir für die ausführliche Hilfestellung nochmals ganz herzlich danken.
Ich hab das mittlerweile durchgearbeitet , die Einstellungen bei Bedarf am PC und Smartphone geändert. Den MBAM Scan laufen lassen, - siehe ganz unten- vielleicht kannst Du da noch bitte einen Blick draufwerfen ob das jetzt so passt.
Das Smartphone benutze ich nur für die 2FA , und vor allem als Notfall- Handy für Waldarbeiten. E-mail + Internet sind da möglich , das wird aber von mir nie genutzt. Das läuft alles zuhause über den PC.

Zitat:

Zitat von mmk (Beitrag 1752782)

Wohin? Per E-Mail? Und was verstehst Du unter "Besprechungsanfrage"? Gibt es einen direkten Bezug zu einer Konferenz-Software bzw. einen entsprechenden Dienst? Nutzt Ihr zusammen eine Konferenz-Software oder etwas Vergleichbares?

nein, wir sind 3 Privat-Personen ohne eine Konferenz-Software zu nutzen

Dass Eure drei Namen / Adressen(?) in einem Schwung inkludiert sind, deutet auf jeden Fall darauf hin, dass ein Datensatz ausgelesen wurde, in dem Ihr auch gemeinsam steht. Dazu reicht z.B. alleine ein simples oder mehrfach verwendetes Zugangspasswort für den E-Mail-Account und andere Dienste im Web aus. Kann bei Dir passiert sein, Deiner Schwägerin, Deinem Bruder, oder bei anderen Verwandten, Bekannten oder Kollegen, die Euch gemeinsam in ihrem Adressbuch oder ähnlichen Verzeichnissen gespeichert haben.

Kann aber auch aus so Dingen wie dem Facebook-Datenleck stammen, wenn Ihr da irgendwie miteinander "verknüpft" seid.

"Gezielt" muss man differenzieren. Es pickt sich sehr, sehr wahrscheinlich nicht von vornherein gezielt jemand Euch drei aus einer riesengroßen Masse heraus und macht sich die Mühle, Zugriff auf ausgerechnet einen Eurer Accounts oder Eure Daten zu erhalten. Damit sowas passiert, müsste man vielleicht Bundestagsabgeordneter sein und "interessant" für externe Kreise. Aber selbst dann wird eher das gesamte Bundestagsnetzwerk attackiert, wie es ja in der Vergangenheit auch schon der Fall war. Denn es ist lohnenswerter für Angreifer, für wenig Aufwand möglichst viel "Ertrag" zu erhalten.

Oder man ist in einer Firma, die für Angreifer weshalb auch immer von besonderem Interesse ist, in der Personalabteilung für Neueinstellungen zuständig. Solche Leute werden dann gezielt ausgesucht, angemailt und mit speziell auf diese Firma zugeschnittene E-Mails / Inhalte inkl. schadhafter Dateianhänge attackiert. Damit wird dann in der Tat gezielt eine Einzelperson ausgewählt, um über sie Zugriff auf das gesamte Firmennetzwerk zu erhalten.

In Beispielen wie bei Euch ist es jedoch anders, da werden vielmehr Accounts und Daten großflächig in der Masse abgegrast, was sehr einfach ist, weil viele Nutzer die elementarsten Sicherheitsregeln nicht beachten. Auf diese Weise können Angreifer ohne viel Aufwand und innerhalb möglichst kurzer Zeitfenster an möglichst viele zusammenhängende Daten(sätze) gelangen. Und ja, diese Datensätze sind dann etwas "wertvoller", wenn sie im Zusammenhang verwendet werden, weil Nutzer nochmal etwas freizügiger als ohnehin schon auf solchen Spam, Phishing & Co hereinfallen, Links und Anhänge unbedacht öffnen, etc. -- weil in der E-Mail ihnen teils gut bekannten Menschen aus ihrem Umfeld auftauchen, entweder als Co-Adressaten, oder als vermeintliche Absender.

Viele Nutzer denken dann überhaupt nicht mehr nach und klicken einfach drauf, nach dem Motto, "Ach, ist ja von meiner Schwester, die will mir ja nichts Böses". Dabei stammt die E-Mail gar nicht von der Schwester, sondern es wurde lediglich ihr Name und ihre Adresse als Absender (gefälscht) eingesetzt.

Nach diesem Gusto werden "zusammenhängende" Datensätze dieser Art also schon seit etlichen Jahren immer wieder von Cyberkriminellen missbraucht. Und ja, mindestens eine Schwachstelle im persönlichen Umfeld muss es da gegeben haben. Ein paar Möglichkeiten dazu hatte ich oben bereits genannt, eine weitere, die oft und gerne vergessen wird, sind die Mobile Devices, vor allem Smartphones. Auch dafür gibt es immer wieder Szenarien, die zu einem Datenabfluss führen. Dazu hier mal direkt ein Beispiel aus dem hiesigen Forum. Ein paar verschiedene Angriffspunkte habe ich kürzlich in diesem Thread dargelegt.

Überprüft Euer Verhalten und Eure Absicherungsmaßnahmen also mal auf die benannten Punkte hin, ob das wirklich alles so gut abgesichert ist, wie es sein sollte. Und ich bezweifle, dass dies der Fall ist.

Nun, diese Daten sind jetzt unumkehrbar "raus". Mit diesem oder ähnlichem Spam werdet Ihr also in Zukunft weiter rechnen müssen. Daten, die einmal abgeflossen sind, bleiben abgeflossen und werden in der Regel auf Jahre weiterverwendet.

Unabhängig davon sollte zumindest jeder von Euch, dessen Adresse oder Name dort steht, sein Sicherheitskonzept abklopfen. Oft hakt es, wie gesagt, bei vielen Nutzern bereits bei so simplen Dingen wie unterschiedlichen und sicher gewählten Zugangspasswörtern. Wie sieht es diesbezüglich denn bei jedem Einzelnen von Euch aus?

- Habt Ihr bei allen Diensten im Web jeweils sehr unterschiedliche, jeweils starke Passwörter auf verschiedenen Zeichen/Zahlen gesetzt? ja auch das ist bei uns mit div. Passwörtern versehen
- Verwendet Ihr für alle Dienste die gleiche E-Mail-Adresse zur Anmeldung, oder, wie es besser wäre, für bestimmte Nutzungskategorien unterschiedliche (z.B. privat / Newsletter / Shopping)? ja, ich hab 11 e-mail adressen
- Nutzt einer von Euch veraltete Smartphones und/oder hat sie unsicher konfiguriert und lässt allg. die App-Installation aus Drittanbieterquellen zu, klickt auf SMS-Spam, etc.?

Drittanbieterquellen sind gesperrt#

- Macht Ihr von der 2FA Gebrauch? ja und zwar überall wo möglich

- Sind Eure Betriebssysteme auf Laptop/PC so abgesichert wie hier beschrieben?
danke das hab ich durchgearbeitet

Welches E-Mail-Programm? MS Office? Welcher E-Mail-Anbieter? Wenn man überhaupt was ersehen will, dann nur aus dem Quelltext der E-Mail. Aber selbst da zeigt sich meist, dass die Mails von irgendwo aus dem Ausland verschickt wurden.

Firmen-PC?

nein, Rentner privat

mbam hab ich nach der verlinkten Anleitung runtergeladen und die 10 gefundenen Objekte in Quarantäne gestellt.

Code:

Protokolldetails-

Scan-Datum: 06.05.21

Scan-Zeit: 14:44

Protokolldatei: c11d1cd8-ae68-11eb-b195-94c691f3b0f1.json
 

-Softwaredaten-

Version: 4.3.3.116

Komponentenversion: 1.0.1292

Version des Aktualisierungspakets: 1.0.40171

Lizenz: Testversion
 

-Systemdaten-

Betriebssystem: Windows 10 (Build 19042.928)

CPU: x64

Dateisystem: NTFS

Benutzer: DESKTOP-JBVCUKE\rudol
 

-Scan-Übersicht-

Scan-Typ: Bedrohungs-Scan

Scan gestartet von: Manuell

Ergebnis: Abgeschlossen

Gescannte Objekte: 302718

Erkannte Bedrohungen: 10

In die Quarantäne verschobene Bedrohungen: 10

Abgelaufene Zeit: 1 Min., 43 Sek.
 

-Scan-Optionen-

Speicher: Aktiviert

Start: Aktiviert

Dateisystem: Aktiviert

Archive: Aktiviert

Rootkits: Aktiviert

Heuristik: Aktiviert

PUP: Erkennung

PUM: Erkennung
 

-Scan-Details-

Prozess: 0

(keine bösartigen Elemente erkannt)
 

Modul: 0

(keine bösartigen Elemente erkannt)
 

Registrierungsschlüssel: 3

PUP.Optional.Conduit, HKLM\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, In Quarantäne, 193, 236865, , , , , , 

PUP.Optional.Conduit, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472F-A0FF-E1416B8B2E3A}, In Quarantäne, 193, 236865, , , , , , 

PUP.Optional.Conduit, HKU\S-1-5-21-3059151144-744289565-2466274489-1008\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}, In Quarantäne, 193, 236865, 1.0.40171, , ame, , , 
 

Registrierungswert: 2

PUP.Optional.Conduit, HKU\S-1-5-21-3059151144-744289565-2466274489-1008\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|URL, In Quarantäne, 193, 236865, 1.0.40171, , ame, , , 

PUP.Optional.Conduit, HKU\S-1-5-21-3059151144-744289565-2466274489-1008\SOFTWARE\MICROSOFT\INTERNET EXPLORER\SEARCHSCOPES\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}|TOPRESULTURL, In Quarantäne, 193, 236865, 1.0.40171, , ame, , , 
 

Registrierungsdaten: 1

PUP.Optional.Conduit, HKU\S-1-5-21-3059151144-744289565-2466274489-1008\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|START PAGE, Ersetzt, 193, 293058, 1.0.40171, , ame, , , 
 

Daten-Stream: 0

(keine bösartigen Elemente erkannt)
 

Ordner: 0

(keine bösartigen Elemente erkannt)
 

Datei: 4

PUP.Optional.Conduit, C:\USERS\RUDOL\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\BBN7OFXR.DEFAULT\PREFS.JS, Ersetzt, 193, 301520, 1.0.40171, , ame, , D8592A35732EC11DA9D531DE3DBC5B8D, E036A947FFAD17EF2AA38E6FB7E1316D383E8318A60A50B42FF1F554E08BEC0F

PUP.Optional.ChipDe, D:\DOWNLOADS\PICASA - CHIP-INSTALLER.EXE, In Quarantäne, 627, 562568, 1.0.40171, , ame, , 801648ADB2EF46EA3B0CE794DC09EB3C, 9541ACDE6F9FC74CB11FDA16BE15AC6794F78230D631112724D5A24E029FECCA

Adware.Downloader, D:\DOWNLOADS\IVIEW454G_X64_SETUP_CB-DL-MANAGER.EXE, In Quarantäne, 524, 494758, 1.0.40171, 2749740277275D74BAFC8B59, dds, 01233268, A08FB8DD327E9DB76019ABAA232C0C4D, 36DA4543AFA6A40F6482422B6E1788A108A1C26079EF2A11345DB5B49EE567BD

PUP.Optional.ChipDe, D:\DOWNLOADS\IRFANVIEW 64 BIT - CHIP-INSTALLER.EXE, In Quarantäne, 627, 562568, 1.0.40171, , ame, , EE4F7985541A48A653FC0B66304910AA, 139ADD1CFDF510285B143A532053C68AA7DB76AB77610FC5EBB2F493ED3D879D
 

Physischer Sektor: 0

(keine bösartigen Elemente erkannt)
 

WMI: 0

(keine bösartigen Elemente erkannt)
 
 

(end)

einen schönen Tag
Gluehstrumpf- Rudi

Zitat:

mbam hab ich nach der verlinkten Anleitung runtergeladen und die 10 gefundenen Objekte in Quarantäne gestellt.

Die Funde haben allesamt nix mit deinem Spam zu tun...

vielen Dank an Euch beide!
Ich gehe dann davon aus, dass die von MMK prognostizierten Spam Nachrichten kommen werden. Ich bin jetzt noch vorsichtiger und hoffe keinen Fehler zu machen.

ich werde das Thema versuchen abzuschließen .
Nochmals vielen Dank, bleibt gesund !

Gluehstrumpf - Rudi