Guten Abend,

folgender, ärgerlicher Sachverhalt:

Heute Abend habe ich festgestellt, dass mein zweiter Facebook Account heute am späten Nachmittag gehackt worden ist - bzw. das Passwort geändert wurde.

Ich habe dann sogleich bei Facebook alle nötigen Schritte eingeleitet um ein neues Passwort einrichten zu können. Als ich dann in meinem Email-Account angekommen bin, habe ich schon direkt eine Mail von dem Hacker gehabt, was auch kein Kunststück ist, da ich bei dem Facebook Account und der Mail dasselbe leichte Passwort verwendet habe - bei keinem dieser Accounts waren reale Daten hinterlegt, deswegen war ich da fahrlässig, was Sicherheit angeht.
Da mir an dem Account und auch den Mail Account nicht viel lag habe ich mich dann direkt entschieden den Facebook Account zu sperren und den Email Account als ganzes zu löschen.
Ich weiß jetzt aber nicht mehr, in welcher Reihenfolge ich das unternommen habe.

Jedenfalls habe ich mir dann direkt eine neue Email-Adresse erstellt, mit einem starken neuen Passwort, um bei diversen Onlinekonten, bei denen ich die alte Email hinterlegt hatte, umzustellen.

Jetzt aber der Knackpunkt:
Nach wenigen Minuten erhielt ich auf der neuen Emailadresse wieder eine Nachricht von dem Hacker, ich könne ihm nicht entkommen, er sei auf meinem PC - die Email des Hackers kam aber von einer anderen Emailadresse als die mit der ich eingeloggt war. Auch wenn er den Absender erstmal als meine neue Email-Adresse getarnt hat.
Ich weiß nicht ob die neue Email noch mal bei Facebook vorbei ging, bevor ich den Account endgültig gesperrt habe, aber allein dass auf der neuen Email so schnell eine Nachricht ankam beunruhigt mich dann doch.

Aber wie? Ich habe in der letzten Woche und auch seit längerer Zeit, NICHTS auf meinem Computer (kein PC, ein MacBook Pro mit aktuellster Software) installiert und lasse Installationen auch nur nach Passworteingabe zu und nur aus dem App Store und zertifizierten Entwicklern.

Ich habe jetzt ein Backup einspielt von Anfang der Woche, alle wichtigen Online-Passwörter habe ich über iPhone und iPad geändert, falls da wirklich jemand auf meinem Mac gewesen sein sollte, sollte er es so nicht mitbekommen haben, nehme ich an?
Bei Accounts, bei denen man tatsächlich etwas holen könnte, ist nichts passiert. Viele Dienste zeigen glücklicherweise an, welche Geräte in der letzten Zeit eingeloggt waren.
Lediglich ein blöder Facebook Account und die Emailadressen waren "betroffen".

Ist es denn technisch möglich so mir nichts dir nichts auf einen Mac zu kommen?
Wenn er doch wirklich auf meinem Mac gewesen wäre, dann würde er doch wenigstens schreiben, dass ich einen Mac habe.

Vielen Dank, für eure Hilfe.

Schönen Abend noch.

Rofl… es trifft immer die richtigen, oder?

YOU made my night and the following day!!! lol

Ja, den Kommentar habe ich schon erwartet und verdient ist er auch. 🤓

So let me say - Pace - und ich wünsche dir das dein Problem sich lösen läßt. - Have trotzdem a nice 1 april!


Ich hoffe mal das das nicht in Richtung "Verschlüsselung von Daten und anschließender Erpressung" geht.
War gerade auf CT Podcast ein interessanter Beitrag zu einem sehr unangenehmen Thema, welches allerdings vorwiegend Win-Systeme betraf.

iGod: Die eine Stunde und 28 Minuten hättest Du jetzt schon noch wachbleiben können. Am 31.3. ist der Gag irgendwie nur halb so gut.

ich geh hier mal auf das Problem ein und ignoriere Kommentare bzgl. 01. April etc.
Mein erster Ansatz wäre:
• Cleane Installation System möglichst neuer/anderer Rechner oder neue HD im Rechner.
• Passwort Reset wie von dir beschrieben nochmal durchführen und schauen ob die gleiche Mail nochmal ankommt.
...
Das er "in deinem PC" sitzt halte ich für unwahrscheinlich, und noch viel unwahrscheinlicher dass er es dir sagt...
Sag bescheid was dabei heraus gekommen ist...

Hilfe! Voodoo!

Ihr lacht - und wir haben min. einmal im Monat so was an der Theke...

Wenn es jeden Monat solche Probleme an der Theke gibt, ist das dann etwa doch ein wie auch immer geartetes Problem mit Apple Produkten oder doch nur Facebook bzw. des Anwenders? Wie ist denn also die "Thekenlösung"?

Also das der Facebook Account gehackt wurde ist sicherlich mein Verschulden, damit bin ich wirklich sehr fahrlässig umgegangen.
Was mich eigentlich neugierig macht, wie kam der so schnell an die neue Email-Adresse? Ich kann mich nun wirklich nicht mehr erinnern, ob ich bei Facebook nochmal versucht habe den Account mit der neuen Email-Adresse irgendwie zu retten, da ich in der Eile erst einmal wichtigere Passwörter geändert habe.
Aber gehen wir davon aus, dass es diese Maske bei Facebook gibt, wo man eine neue Email-Adresse einträgt, ist Facebook dann wirklich so blöd und schickt dem aktuellen Accountinhaber eine Nachricht mit dem Inhalt dass die Email geändert worden ist / geändert werden soll und schreibt dabei die neue Email-Adresse klar aus ohne sie unkenntlich zu machen? Da liegt für mich im Moment der Hase begraben.
In den zweiten Mail Account hatte er sich nicht eingeloggt. Er hat meine neue Email-Adresse als angezeigten Absender eingestellt, aber tatsächlich kam die Mail von einer anderen Adresse - vielleicht war das schon bei dem alten Email Account so, da habe ich aber verpennt genauer zu schauen. Also hatte er höchstwahrscheinlich nur die neue Adresse und kein Passwort.

Wenn ich mit normalem Menschenverstand an die Sache rangehe, dann erscheint mir das alles sehr dubios. Wenn er es wirklich geschafft hätte mir über Facebook irgendetwas auf den Mac zu schmuggeln - dann schon in den letzten Tagen und nicht erst gestern - warum will er mich dann mit einem Fake-Facebook Account erpressen, er könnte doch so viel besseres Abgegriffen haben und mir auf meine reale Email-Adresse schreiben. Vor allem könnte er dann doch tatsächlich durchblicken lassen, dass man etwas reales abgegriffen hat? In Gangsterfilmen wird immer ein Körperteil der Geisel mitgeschickt, wenn man Lösegeld möchte.

Nur dass ich nicht missverstanden werde - Schuldfrage etc. ist für mich völlig irrelevant.
Ich finde das jedenfalls ausgesprochen spannnend.
Kannst Du deine Gedanken hinsichtlich der möglichen Verfahrensweise von Facebook nicht mit deinem Zweiten Account oder halt einen Fake account nachstellen. Evtl. löst das Ergebnis dir die Brust...

Meine Brust ist eigentlich schon gelöst, da nichts mehr passiert ist. Auf dem neusten Email-Account ist keine Mail eingegangen und bei anderen Accounts gab es keine Versuche sich einzuloggen.
Das ganze einmal nachzustellen war auch schon meine Überlegung, das werde ich wohl mal bei Gelegenheit machen - aber vielleicht gibt es hier schon jemanden, der diese Frage beantworten könnte und ich mir den Aufwand sparen könnte.
Wie gesagt, auf den Accounts ist alles ruhig und nüchtern betrachtet wird da mehr Schein als Sein dabei gewesen sein. Denn wenn man wirklich in einen fremden Computer eindringt, mit krimineller Absicht, dann schöpft man doch viel mehr ab, wenn man einfach ruhig ist. Wenn ich mit dem Typ verhandelt hätte, dann wäre wahrscheinlich dabei rausgekommen, dass ich ihm eine Paysafe-Card für 100€ schicken soll und dann ließe er mich in Ruhe. Und wenn man das öfters macht, dann gibt es sicherlich genug Menschen, die zahlen und sich direkt blenden lassen.

Gib einem Erpresser nach und er hat dich für immer in der Hand.

Wo liegt dein Schlüsselbund? Ausschließlich lokal oder auch in der Cloud?

Auch in iCloud. Mein iCloud Account bzw. die Apple ID ist aber mit der Zweifaktorauthentifizierung gesichert, wenn da einer dran wollen würde, dann würde ich das doch mitbekommen?
Das Passwort von dem besagten Facebook Account war dort aber übrigens nicht gespeichert!

Dann ist ja alles gut.

Nun... eben habe ich in Cookies 5 (aus dem MAS) einige Einstellungen vornehmen wollen und dabei hat sich mein Mac aufgehängt, sodass ich ihn neu starten musste - beim erneuten versuch Cookies einzustellen ist die App wieder abgestürzt. Ich hab den Mac zweimal neugestartet und zweimal erschien folgende Meldung nach dem Einloggen, die ich noch nie gesehen habe, hat das was mit Cookies zu tun?

Mit Cookies scheint das nichts zu tun zu haben. Cookies hat Probleme gemacht als es Zugriff auf den Flash Player Ordner wollte.
Ich habe den Flash Player nun deinstalliert über den Flash Player Install Manager - ist das soweit dann sauber oder hat der Flash Player
immer Reste irgendwo versteckt in den Tiefen des Systems?
Der Flash Player war vielleicht auch das letzte, was ich in den vergangenen Wochen installiert/geupdatet habe.

Jedenfalls nehme ich den Mac jetzt offline und schalte ihn aus.

Tja, immer die, die sich über andere Lustig machen, bekommen es irgendwann mal so richtig ab.
Nun zu Facebook. Dort hackt man öfter, ich wurde von Facebook vor ca 5 Wochen auch angeschrieben.
Facebook ist nun nicht Soooo wichtig für mich, ABER, danach habe ich mir doch ein besseres und sicheres Kennwort einfallen lassen.

Firewall war installiert?

Weiß ich nicht, so genau. Jedenfalls habe ich auf dem Mac diesbezüglich nichts installiert, da ich davon ausging, dass der Router schon eine FireWall hat, die Zugriffe von außerhalb verhindert.

Die erste Frage ist, was bei Dir gehackt wurde: nur ein Online Account oder Dein Computer. Wenn ich mit Problemen mit Flash lese, dann gibt das bei mir eine sehr dunkle Vorahnung, daß es ein sehr viel tiefer gehendes Problem gibt.

Die Flash Seuche zu deinstallieren war ja sicher schon mal richtig, aber Achtung, in Google Chrome ist diese Pest nach wie vor aktiv wenn man sie nicht explizit deaktiviert!

Ansonsten sollte man es so schwer wie nur möglich machen und diese kryptischen Passwörter verwenden, die einem Safari immer vorschlägt, evtl. noch etwas verlängern in dem Stil.

Ich hatte auch schon mal komische Mails von Facebook, dass es ihnen leid täte, dass ich Probleme beim Anmelden hatte. Oder irgendwie sowas. Daraufhin habe ich meine Passwörter geändert und seitdem habe ich eigentlich Ruhe.

Was heißt Probleme mit Flash, Cookies 5 hat Faxen gemacht, als es die Erlaubnis wollte den Flash Ordner in der Library benutzen zu dürfen. Vielleicht ist das einfach ein Problem von Cookies mit der neuen OS X Version. Flash war bei mir immer auf dem neusten Stand und hat so nie Probleme gemacht.

Für mich spricht erstmal vieles dafür, dass nur ein Online Account gehackt wurde, da die Mail an die Mailadresse des Accounts ging und diese Mail Adresse war nur eine Spam Adresse, die ich irgendwo angegeben habe, wenn man unbedingt eine Mail Adresse brauchte zum Registrieren.
Wenn jemand auf meinem Mac wäre und mich erpressen wollen würde, und behauptet alles über mich zu wissen, dann würde er doch an die echte Mail Adresse schreiben - die er ja zweifelsohne haben müsste, wenn die Behauptungen stimmen.

Wie gesagt, bei allen anderen Accounts ist alles ruhig. Keine Einloggversuche und dubiose Emails habe ich auch nicht mehr bekommen.

Ohne Software Firewall(z.B. Little Snitch) würde ich keinen Mac lassen.

vincentmac
Little Snitch ist aber keine (vollständige) Firewall. Es verhindet kein Eindringen von außen sondern emöglicht dir nur zu verhindern, dass Programme, die bereits auf dem Rechner laufen, wieder Kontakt nach Draußen herzustellen. Ist eher Datenschutz als Einbruchsschutz. Natürlich wäre es ggf. auch möglich, damit Verbindungsversuche von Malware zu unterbinden, aber ich würde davon ausgehen, dass Malware es bei Bedarf auch schafft, unterhalb des Radars von Little Snitch zu arbeiten.

Das größte Problem bei Laien ist es, daß es schon ein großes Problem darstellt genau zu beschreiben was denn nun passiert ist.

Fakten:

• Dein Facebook-Account wurde gehackt.
• Du löschst daraufhin den Mailaccount, der bei diesem Facebook-Account angegeben war.
• Daraufhin erhälst Du auf den den neuen Mailaccount eine E-Mail.

Offensichtlich kann nicht nur Dein Facebook-Account gehackt worden sein! Wenn dem so wäre woher weiß der Angreifer von Deiner zuvor vollkommen unbekannten E-Mailadresse?

Das habe ich ja oben auch erfragen wollen. Vielleicht wurde die Adresse über Facebook noch mal übermittelt als ich versuchte den Facebook Account damit zu retten.
Wenn müsste er ja irgendwie einen Screenviewer bei mir heimlich installiert haben? Das waren Freemail Adressen von einem Onlinedienst, ich habe die nirgendswo auf meinem Computer abgespeichert gehabt.
Wenn jemand in meinem System frei herumgeschnüffelt hätte, dann hätte er doch meine richtigen mit Mail verknüpften Email-Adressen zum Kontakt verwendet?

Jedenfalls wird mein Mac gerade gänzlich platt gemacht und mit einem neuen System ausgestattet.
Wenn ich nun ein altes Backup einspiele, bin ich dann auf der sicheren Seite oder sollte ich wichtige Daten wie Musik und diverse Ordner einzeln über TimeMachine herstellen?

Ein Trojaner/Keylogger, der seinen Weg entweder direkt oder per verstecktem Nachladen durch einen anderen Trojaner auf Deinen Rechner gefunden hat, reicht dazu aus.

Blöde Frage, aber wie verfahre ich nun am geschicktesten?

Der Mac ist nun wie frisch aus der Verpackung geholt und ich habe einen neuen Benutzer angelegt.
Wie bekomme ich jetzt die mir wichtigen Daten wieder auf den Mac? Wenn ich einfach mit Cmd+R neustarte und aus einem alten Backup wiederherstelle, besteht theoretisch die Gefahr den Quatsch wieder zu bekommen.
Einfach den Migrationsassistenten benutzen oder zieht der auch zu viel unnötiges aus der Library mit wo sich ein Trojaner versteckt haben könnte?
Mir geht es insbesondere um die iTunes Mediathek, Fotos und Programme, andere Daten kann ich über eine andere Festplatte einfach rüberschieben.
Und meine TimeMachine Festplatte wird auf dem neuen System ja so nicht als TimeMachine erkannt, wenn ich die Platte nun als TimeMachine festlege, kriege ich dann auch Zugang auf ältere Backups und könnte mir so alle Ordner, die ich brauche einzeln wiederherstellen?

Ich würde alles manuell installieren, bzw. kopieren. Per TM holst du dir sonst wieder das rein, was dein Problem ausgemacht hat. Schöner Job über das WE.

Alles klar, Programme kann ich einfach aus dem MAS erneut laden, den gesamten Musik Ordner habe ich auch noch auf einer externen Festplatte, den ich einfach kopieren kann. Und diverse Dokumente auch. So meinst du es mit manuell kopieren, ja?

Meine alte TimeMachine, die mir jetzt als normale externe Festplatte angezeigt wird, lege ich nun wieder als TM fest - kann ich mir dann daraus den Fotos Ordner herstellen oder geht die TimeMachine dann nur bis heute zurück?

Das wäre eine Möglichkeit, es gibt da noch reichlich weitere Möglichkeiten. Sinnvoll wäre es den Datenstrom Deines Macs nach außen zu protokollieren und zu prüfen, ob das etwas Daten übertragt was da nicht hingehört. Aber dazu muß man Tools wie Wireshark einsetzen und das ist wenig bis gar nicht Laien tauglich. Wenn man es richtig macht, braucht man auch einen separaten Computer.
Tja, zu 100% weiß man das nicht. Daher ist es wichtig Protokoll zu führen, was man wann an den Online Konten ändert, um das Abgreifen von Informationen (sofern der Computer nicht gehackt wurde) zu verhindern. Möglicherweise hat er erstmal nur die Zugangsdaten zu Facebook abgegriffen.
Daten sind meistens kein Problem, wenn man sie zurückspielt. Wichtig sind die Programme und das OS selbst. Allerdings ist es bei modernen Computer möglich das (U)EFI zu infizieren, so daß ein Rootkit schon vor dem Booten des OS aktiv sein könnte. Das dürfte hier unwahrscheinlich sein, aber behalte das Verhalten des Computers im Auge.

Da ich nicht mit Fotos arbeite, kann ich dazu nichts sagen.

Bevor du mit dem Gedanken spielst, dein vorhandenes TM Backup wieder in den frisch aufgesetzten Mac "einzuhängen", musst du penibel sicherstellen, dass der in den Systemeinstellungen "Freigaben" vergebene Gerätename absolut identisch zur platt gemachten Konfiguration ist. Weicht der Name des neu aufgesetzten Macs davon ab, wirst du nur ein neues TM Backup erstellen können.

Ich persönlich würde um das alte TM Backup einen großen Bogen machen und sowieso ein neues anlegen.

Das alte TM Backup würde ich mounten und über den Finder die relevanten Dateien auf den frisch aufgesetzten Mac ziehen.

Mich würde interessieren wie dein Passwort aufgebaut war. Nur Buchstaben oder auch Zahlen und Sonderzeichen. Wieviele Zeichen?
Das würde ggf. Anderen helfen ihre Passwörter anzupassen.

Vielen Dank. Von dem Backup würde ich dann ggf. nur die Fotos ziehen, aber das überlege ich mir noch einmal.
Am liebsten würde ich dann auch die ganzen alten Backups einfach komplett aus der TM löschen, wie stelle ich das am einfachsten und besten an? Einfach in den Papierkorb ziehen und löschen?

Das Passwort bestand aus Kleinbuchstaben und Zahlen, war aber trotzdem sehr einfach und sicherlich bei den am häufigsten verwendetsten Passwörtern in den Top50.

Nachdem du die Daten aus dem alten .sparsebundle gezogen hast, würde ich es einfach komplett löschen. Würdest du im .sparsebundle was löschen, würde darin kein Speicherplatz frei gegeben. Meines Erachtens lohnt es nicht, sich mit dem alten .sparsebundle in irgendeiner Form abzumühen.

Mac komplett durchkonfigurieren (von Hand) und dann ein frisches TM Backup aufsetzen.

Das schlimme an Flash ist, daß die vorhandenen Sicherheitslücken immer sehr schnell aktiv ausgenutzt werden...
Ich hoffe, du bist davon nicht betroffen... Mit ner Flash Lücke kann man sich natürlich schon Zugriff auf den Rechner verschaffen...

Zahlen hinten angehaengt?

Ja

Gab es nicht mal so eine Click to Flash Safari Extension? Wo bekomme ich die her? In der Apple Extension Sammlung scheint sie nicht zu sein.

heise (30.03.2016): Der Liebling aller Cyber-Kriminellen: Flash
In den Top-15 der am meisten genutzten Sicherheitslücken finden sich allein 13 Schwachstellen in Flash, berichten die Antiviren-Experten der finnischen Firma F-Secure.

Ich empfehle dir die Anmeldebestätigung unter dem Punkt "Sicherheit" in den Einstellungen zu aktivieren! Dann musst Du (aber nur einmal) nach dem erfolgreichen Login zusätzlich eine 6 stellige Zahl eintippen, die du von der Facebook App bekommst. Du bekommst dann auch immer eine Push-Nachricht, wenn jemand den Code angefordert hat. Wie gesagt musst du das nur einmal nach dem Login eingeben und nicht jedes Mal. Nur wenn sich jemand über ein nicht bekanntes Gerät oder einen unbekannten Browser einloggt, wird man aufgefordert den Code zusätzlich einzugeben. Ist ein sehr wirkungsvoller Schutz, da er ohne den zusätzlichen trotz richtigen Passwort nicht rein käme.