Und so viele neue privaten und wichtigen Daten
Wenn sie die vom alten PC auf den neuen verschoben hat, und der alte PC nicht mehr vorhanden ist, dann können es reichlich Daten sein.
Stimmt!
In diesem Fall dann so vorgehen, wie ich es schon beschrieb.
System von einem Bootmedium starten, Daten auch externe Festplatte oder einem neuen Stick sichern.
Backup des infizierten Systems machen, wegen der Daten die man vergessen hat zu sichern,
und all die weiteren Punkte, die schon genannt wurden.
Weshalb Passwort-Reset/-Änderung selbst bei OAuth wichtig ist:
https://www.bleepingcomputer.com/news/security/…ijack-accounts/
Mehrere datenraubende Malware-Familien missbrauchen einen undokumentierten Google OAuth-Endpunkt namens "MultiLogin", um abgelaufene Authentifizierungs-Cookies wiederherzustellen und sich in die Konten der Nutzer einzuloggen, selbst wenn das Passwort eines Kontos zurückgesetzt wurde.
Session-Cookies sind eine spezielle Art von Browser-Cookie, der Authentifizierungsinformationen enthält, die es einer Person ermöglicht, sich automatisch an Websites und Diensten anzumelden, ohne deren Anmeldeinformationen einzugeben.
...
Diese Cookies würden es den Cyberkriminellen ermöglichen, unbefugten Zugriff auf Google-Konten zu erhalten, auch nachdem sich die rechtmäßigen Besitzer angemeldet, ihre Passwörter zurückgesetzt oder ihre Sitzung abgelaufen sind.
...
Die verschlüsselten Token werden mit einer Verschlüsselung entschlüsselt, die in Chrome "Local State"-Datei gespeichert ist. Dieselbe Verschlüsselungsschlüssel wird auch verwendet, um gespeicherte Passwörter im Browser zu entschlüsseln.
Mit dem gestohlenen Token:GAIA-Paar mit dem MultiLogin-Endpunkt können die Bedrohungsakteure abgelaufene Google-Service-Cookies regenerieren und den dauerhaften Zugriff auf kompromittierte Konten aufrechterhalten.
...
Karthick erklärte jedoch, dass das Authentifizierungs-Cookie nur einmal regeneriert werden kann, wenn ein Benutzer sein Google-Passwort zurücksetzt. Andernfalls kann es mehrmals regeneriert werden, was einen anhaltenden Zugriff auf das Konto bietet.
...Danke für Eure Meldungen...
...Mir war über die Tage so etwas von Übel... und fühle mich gerade so total ausgestellt... und 'paranoid'...
und auch etwas müde und 'geschafft', da ich mir die freien Tage zu Weihnachten und Silvester ein bisschen anders vorgestellt hatte...
Ich persönlich würde dem Gerät auch nicht mehr vertrauen;
Vllt entfernst Du Avast mal; danach sollte der Defender von selbst anspringen. Lass den mal einen Durchlauf machen und wenn der nichts findet, war das evtl falscher Alarm. Du kannst dann auch mal diese Karte ziehen....
... ich vertraute ihm auch nicht mehr
und bin in dieser Hinsicht -schlicht aus Unwissenheit und Naivität- ein 'gebranntes Kind'...
Was tun bei Kompromittierung des Systems?
Den Bericht http://www.oschad.de/wiki/Kompromittierunghabe ich gelesen, wie den zu Virenscanner
(...) Die einfache Antwort: Man klickt nicht auf alles, was nicht bei 3 auf den Bäumen ist und hält seine Software auf dem neuesten Sicherheitsstand. Ein gesundes Maß an Paranoia ist zu empfehlen, (...)
(...)Wichtige Grundsätze:
- Konservativ sein
- Sicherheitsmechanismen des Betriebssystems nutzen (Rechtetrennung, Dateiberechtigungen, Software-Restriction-Policies, Gruppenrichtlinien)
- Software regelmäßig aktualisieren
- anfällige oder unbenötigte Software deinstallieren oder deaktivieren
- Backups von wichtigen Daten machen, zudem erspart das regelmäßige Backup des Systems selbst im Falle des Falles viel Arbeit. Festplatten sterben schon von alleine oft genug, allein deswegen sind Backups wichtig. (...)
Ich hatte am SA Hilfe bei dieser 'Sache', die unumgänglich wurde:
(...)Weshalb Passwort-Reset/-Änderung selbst bei OAuth wichtig ist:
https://www.bleepingcomputer.com/news/security/…ijack-accounts/ (...)
(...) Session-Cookies sind eine spezielle Art von Browser-Cookie, der Authentifizierungsinformationen enthält, die es einer Person ermöglicht, sich automatisch an Websites und Diensten anzumelden, ohne deren Anmeldeinformationen einzugeben.(...)
(...) Diese Arten von Cookies sollen eine begrenzte Lebensdauer haben, so dass sie nicht unbegrenzt von Bedrohungsakteuren verwendet werden können, um sich bei der Diebstahls in Konten einzuloggen. (...)
(...) Diese Cookies würden es den Cyberkriminellen ermöglichen, unbefugten Zugriff auf Google-Konten zu erhalten, auch nachdem sich die rechtmäßigen Besitzer angemeldet, ihre Passwörter zurückgesetzt oder ihre Sitzung abgelaufen sind.
BleepingComputer hat Google mehrmals im Monat mit Fragen zu diesen Behauptungen kontaktiert und wie sie planen, das Problem zu mildern, aber wir haben nie eine Antwort erhalten. (...)
Alle Passwörter der Google-Accounts, die ich verwalte, habe ich geändert.
Sollte ich diese jetzt nochmals alle neu setzten?
Gibt es online eine sichere Möglichkeit, wie ich geschützt alle E-Mail-Adressen eingeben und prüfen kann, ob diese komprimittiert sind?
Wenn sie die vom alten PC auf den neuen verschoben hat, und der alte PC nicht mehr vorhanden ist, dann können es reichlich Daten sein.
Das ist noch ein anderes 'Projekt': ich hatte meine Daten auf dem vorgängigen Medion Desktop (, der bereits in die Jahre gekommen ist), auf der bei Bedarf mit USB angehängten externen WD-Festplatte (auch schon älter) und auf der externen Medion-Festplatte, die auf den Datenhafen des Medion-Destops angeschlossen werden konnte...
Mein Ziel war es alle meine Daten auf die neue externe Samsung T7 Shield-Festplatte zu kopieren und über das Synology-NAS DS215j zu sichern. Die Daten vom C: des Medions-Desktops und der ext. Medion-Festplatte konnte ich erfolgreich auf die Samsung kopieren.
Bei der Installation des neuen AMD Ryzen-PC ist jedoch bei der WesternDigital-Festplatte etwas schief gelaufen, dass ich nicht mehr mit 100%-Sicherheit zurück rekonstruieren kann... Ich war der Ansicht, dass wir alle angeschlossenen Geräte abgezogen hätten...
Es gab einen Blue-Screen und als ich dann die WD-Festplatte an meinen Lenovo-Laptop angeschlossen habe, zeigte er an, dass keine Daten darauf sind...
Mit dem EaseUS Data Recovery Wizard Pro-Programm mit der Free-Version habe ich dann alle meine Dateien und Ordner angezeigt bekommen... mit der Free-Version sind jedoch nur 2 GB wiederherzustellen... ich weiss nicht mehr genau wieviele GB auf der WD sind...es ist aber weit unter 50% des Speicherplatzes...
Da habe ich jetzt noch nichts unternehmen können...
...Nachtrag: so hat eine der zwei Spoofing-E-Mails an verschieden E-mails _@mail.de ausgesehen und die andere war ähnlich: vom 25.12.2023 (sorry wegen der Qualität) und
vom 31.12.23:
...Und das ist der Nachrichten-Quelltext von einer der Spoofing E-Mails, die ich dann -idiotischerweise- recherchiert und gegooglet habe:
so hat eine der zwei Spoofing-E-Mails an verschieden E-mails _@mail.de ausgesehen
Hallo 
grins, solche Mails erhalte ich auch immer wieder. Vor längerer Zeit bei der ersten habe ich kurz geschwitzt. Heute wandert das mit einem Lächeln in den Spam. Die letzte vor 4 Tagen war sogar auf deutsch mit einer gültigen DKIM-Signatur.
Gruß Ingo
Und wegen so einem Mist gehst du recherchieren? Statt dein Passwort (übermalt) direkt zu ändern? Falls das überhaupt korrekt war.
Wobei, das übermalte Passwort hat 10 +-1 Zeichen, bisschen dürftig für die heutige Zeit. 14 oder höher (16/18/20), Klein-Großschreibweise, mindestens ein Sonderzeichen, mindestens eine Zahl.
Bei sowas, sollte das irgendwann mal hier konkret werden, wird sofort der Hauptschalter gedrückt, und dann das Reservesystem hochgefahren und gehandelt.
Ich hatte am SA Hilfe bei dieser 'Sache'
Also nicht, wie empfohlen, neu aufgesetzt. Schade, nichts dazugelernt. Aber, es sind deine Daten, deine Rechner, deine Identitäten. Mal schauen, wann (nicht ob) es dich wieder trifft. Denn wenn das übermalte Passwort korrekt war und nicht geraten, hast du immer noch eine Sicherheitslücke im System. Viel Glück.
Also nicht, wie empfohlen, neu aufgesetzt.
Hallo
doch, siehe #23:
das Windows wurde neu installiert
Bei sowas, sollte das irgendwann mal hier konkret werden, wird sofort der Hauptschalter gedrückt, und dann das Reservesystem hochgefahren und gehandelt.
Bei solchen Mails nicht nötig. Die erhalte ich öfter und sind völlig harmlos, außer vielleicht
dein Passwort (übermalt) direkt zu ändern? Falls das überhaupt korrekt war.
Gruß Ingo
Ich meinte nicht solche Mails, sondern fall das Passwort darin korrekt sein sollte.
Mails "wäscht" Mailwasher vorher durch, ich hab das, Spam-Dienste und Mailcheck vielleicht schon mal erwähnt.
Hallo zusammen...
.DeJaVu : Die PW, welche mir in den Spoofing E-Mails offen angezeigt wurden, waren die alten.
Am 17.12.23 hatte ich bei dem einen Mail.ch-Account ein neues 13-stelliges PW mit Buchstaben, Zahlen und Sonderzeichen wie Klein-/Gross-Schreibung gesetzt. Das vorherige war auch 13-stellig. Die Spoofing-E-Mail vom 25.12.23 zeigte das alte PW an.
Darauf hatte ich am 29.12.23 erneut bei der gleichen E-Mail-Adresse das PW neu gesetzt in ein 19-stelliges auch mit Buchstaben, Zahlen, Sonderzeichen und Klein-/Gross-Schreibung.
Bei der zweiten Spoofing-E-Mail, die am 31.12.23 einging, zeigte das alte PW an. Am 29.12.2023 hatte ich bei der zweiten E-Mail-Adresse das PW geändert gehabt in ein 19-stelliges mit Buchstaben, Zahlen, Sonderzeichen und Klein-/Gross-Schreibung. Das vorherige war 10-stellig gewesen...
grins, solche Mails erhalte ich auch immer wieder. Vor längerer Zeit bei der ersten habe ich kurz geschwitzt. Heute wandert das mit einem Lächeln in den Spam. (...)
... das hilft mir jetzt, das von Dir zu lesen...
Ich habe den MailWasher von der Seite mailwasher.net auf meine Laptop geladen und habe vor ihn dann auch auf dem Desktop zu installieren. Auch habe ich gesehen, dass die Free-Version für 1 E-Mail-Adresse ist...
Dann öffne ich in Zukunft alle meine E-Mails im MailWasher anstatt im TB?
Wenn ich im MailWasher die Mails abfragen möchte für das hinzugefügte Google-Konto zeigt es mir bei 'Protokoll' eine Fehlermeldung an:
"Kategorie: XError, Betreff: Failed to log into IMAP Server, Priorität: High, Konto: meine E-Mailadresse"
Im Google-Account ist unter 'Weiterleitung & POP/ IMAP' IMAP aktiviert.
Das Passwort wurde im MailWasher korrekt eingegeben für die gmail-Adresse und die Servereinstellungen für Postausgang: "imap.gmail.com" (Port 993) und Postausgang: "smtp.gmail.com" (Port 465) sind eingetragen...
Im MailWasher unter den E-Mail-Konto-Einstellungen unter 'Ausgang' ist die Serverport-Einstellung 465 und beim Kästchen bei 'SMTP benötigt eine Authentifizierung' habe ich ein Guthaken gemacht.
Die 'Anmelde-Details' habe ich angewählt und den Benutzername resp. meine E-Mail-Adresse eingetragen mit dem dazugehörenden PW zur gmail-Adresse.
Die Sicherheits-Verbindung steht auf: SSL.
...Das waren die neuen Login-Versuche seit dem 30.12.23 über POP/IMAP bei der einen E-Mail-Adresse beim Provider Mail.DE resp. Mail.ch in der Login-Historie:
und diese der anderen E-Mail-Adresse (beim gleichen Provider): über POP und IMAP:
Sollte ich diese jetzt nochmals alle neu setzten?
Hallo
nein, das ist IMO nicht nötig.
Gibt es online eine sichere Möglichkeit, wie ich geschützt alle E-Mail-Adressen eingeben und prüfen kann, ob diese komprimittiert sind?
Dazu gibt es einen vertrauenswürdigen Dienst von Mozilla, dem Hersteller u.a. des Fx: Erste Schritte mit Firefox Monitor.
Dann öffne ich in Zukunft alle meine E-Mails im MailWasher anstatt im TB?
Kannst Du machen, musst Du IMO aber nicht. Es reicht völlig aus, Mails grundsätzlich als Reintext und nicht als HTML zu lesen. Solche Mails landen bei mir automatisch im Junk, wo sie TB grundsätzlich als Reintext darstellt.
Gruß Ingo
Nur ist der Spam-Filter von TB ein ganz schlechter Witz. Im Prinzip versagen dort auf ganzer Linie alle Spamfilter in Mailern. Und es wird kein Feedback gestellt, was Mailwasher macht. Wenn ich per Häkchen vermelde, dass jene diese Mail Spam ist, hat das Wirkung. Wenn ich sehe, was bei GMX alles im Spam-Ordner landet, also GMX schon rausfiltert, kann ich das beurteilen, erst landen die hier und werden markiert, dann dort im Spam. Sicher, ich bin das nicht allein, es sind alle beteiligt, die ein Feedback erteilen. Ich beezweifele, dass TB auch so ein Feedback sendet. Selbstlernende Filter haben beide Programme, nur reicht das manchmal nicht.
Zu den Protokollen, deine Email-Adresse ist in Umlauf, mit oder ohne altes Passwort. Das wird sich jetzt auch die nächsten Wochen und Monate nicht mehr ändern. "Verbrannt" nennt sich das auch ugs. Wenn die die Adresse nicht wichtig ist, dann erstelle dir eine neue in dem Konto, schalte alle Mailinglisten etc um, ggf auch private Kontakte, und lösche nach 1-2 Monaten die angegriffene Adresse.
Allein wegen sowas nutze ich für verschiedene Dienste und Mailinglisten diverse Emails, wenn die mal in Umlauf kommen, gibts was neues. Meine privaten mit Klarname sind sehr gewählt verteilt und da kommt nahezu nichts an Spam, allenfalls mal random zusammengesetzte Emails von Bots.
PS Mailwasher kann nicht nur einen Spamfilter nutzen, hier sind 5 eingetragen: Spamcop, Spamhaus, Reynolds, CBL, INPS.
"FirstAlert" ist ein Feature der bezahlten Funktion, das wird durch Firetrust selbst gestellt. Die Auswertung zeigt jedoch, dass die externen Listen die Filterergebnisse anführen, dann meine Listen, dann FirstAlert.
Wer will, kann sich noch bei https://www.spamcop.net/ registrieren für Feedback.
ist der Spam-Filter von TB ein ganz schlechter Witz
Hallo
wie kommst Du darauf? Das ist ein selbstlernender Bayes-Filter, der hier ausgezeichnet funktioniert. Selbstverständlich gibt es auch dabei manchmal False Positives und False Negatives. Das ist völlig normal. Zusätzlich nutze ich hier
Gruß Ingo
Wie gesagt:
Selbstlernende Filter haben beide Programme, nur reicht das manchmal nicht.
Wenn Thunderbird mehr als eine externe Liste nutzen kann und auch Feedback senden kann, dann ja. Derzeit verlasse ich mich lieber auf Mailwasher/MailCheck_unterwegs.
Wenn Thunderbird mehr als eine externe Liste nutzen kann und auch Feedback senden kann
Hallo
ersteres ja, siehe Verwenden eines externen Filterdienstes, letzteres nein. Das ist auch keine Grundfunktion eines Spamfilters.
Derzeit verlasse ich mich lieber auf Mailwasher/MailCheck_unterwegs.
Das bleibt Dir natürlich unbenommen.
Gruß Ingo
Hallo und guten Abend zusammen...
Danke schlingo und .DeJaVu für Eure Antworten und für Eure Meinungen zu den Spamfiltern von TB und MailWasher... Interessant, zu lesen...
... wie auch zu Thunderbird und Junk- /Spam-Nachrichten, Erste Schritte mit Firefox Monitor und zu spamcop.net...ich werde mir diese auch noch anschauen...
=> Ich finde MailWasher jetzt schon super und möchte gerne mit dem Programm, welches ich mir vorerst auf den Laptop geladen habe, die E-Mails für meine gmail-Adresse abrufen; jedoch bekomme ich immer wieder Fehlermeldungen.
Hier der Screenshot der E-Mail-Account-Einstellungen: und hier der Screenshot des Protokoll resp. der Fehlermeldungen:
(...) Zu den Protokollen, deine Email-Adresse ist in Umlauf, mit oder ohne altes Passwort. Das wird sich jetzt auch die nächsten Wochen und Monate nicht mehr ändern. "Verbrannt" nennt sich das auch ugs. Wenn die die Adresse nicht wichtig ist, dann erstelle dir eine neue in dem Konto, schalte alle Mailinglisten etc um, (...)
...Danke für die Info... ...Das habe ich auch gedacht, zu machen: die betroffenen "verbrannten" E-Mail-Adressen ersetzen durch Erstellung völlig neuer E-Mail-Adressen (Accounts)...
Das ist auch keine Grundfunktion eines Spamfilters.
Nicht? Hab ich was verpasst?
Ich habe wohl 2 Erweiterungen gefunden zum Stichwort "Spam" auf AMO für TB. Eine ist allerdings nur bis v110 nutzbar, und "Signal Spam" ist mir zu französisch. Allenfalls noch "Rspamd". Das ist alles nichts dolles, nicht Fisch, nicht Fleisch.
Wegen Mailwasher und Gmail, Gmail braucht IMO Oauth/Oauth2. Mailwasher kann das wohl siehe Bilder. Und dann öffnet MW ein Browser-Fenster (Edge Webview), wo ich mich bei LIVE verifizieren muss, um das Oauth-Token zu bekommen.
Problem - Google will dafür bezahlt werden:
https://forum.firetrust.com/viewtopic.php?t=28931
This is due to Google implementation a policy where only approved applications can access the OAUTH system, and to be approved you must have your application audited, costing anywhere between 15000-75000.
Angaben in $ US Dollar.
Anleitung, leider englisch für MW:
https://kodebug.weebly.com/mailwasher-with-gmail.html
Making Gmail to work with Mailwasher
Du benötigst die Option "lesssecureapps" (less secure apps=weniger sichere Anwendungen)
https://myaccount.google.com/intro/security
Dort gehst du auf "So melden Sie sich in Google an"> "Bestätigung in zwei Schritten" (das sollte schon aktiviert sein!)
Und ganz unten auf der seite findest du die Option "App-Passwörter" >
Mit App-Passwörtern können Sie sich in älteren Apps und Diensten, die keine modernen Sicherheitsstandards unterstützen, in Ihrem Google-Konto anmelden.
App-Passwörter sind nicht so sicher wie die Verwendung aktueller Apps und Dienste, die moderne Sicherheitsstandards erfüllen. Bevor Sie ein App-Passwort erstellen, sollten Sie prüfen, ob dies für die Anmeldung in Ihrer App erforderlich ist.
Und dort vergibst du ein App-Passwort, möglichst lang. Ab hier weiss ich nicht weiter, weil ich Gmail nicht nutze. Evtl das App-Passwort als Passwort im Mailwasher eintragen, oder damit bestätigen.
Free vs Pro (keine Werbung)
https://www.mailwasher.net/spam-filterurl
Das andere Programm ohne Einschränkungen, allerdings gewöhnungsbedürftig:
https://www.d-jan.de/mailcheck.shtml
Siehe Bild 3, und Bild 4 - kann mehrere Konten.
Für Gmail sollte dann auch die Sache mit dem App-Passwort wieder gelten.
"Portable" - diese Option wird am Ende der Installation abgefragt, ansonsten ganz normal installiert.
Muss man ausprobiert haben, was einem mehr zusagt. Ich habe beide in Nutzung, TB ist nur untergordnet.
Weil der Monitor noch keine Infos hat, oder weil deiner Mailadresse kein nutzbares Passwort zugeordnet ist. Keine Ahnung, welche Datenbank Mozilla nutzt, das hier sind die anderen bekannten Prüfstellen:
https://haveibeenpwned.com/
https://sec.hpi.de/ilc/
