Spam-Versand über gehackte GMX-Konten

[Christoph]

Zitat:

Cyber-Betrüger nutzen derzeit vermehrt gehackte GMX-Accounts zum Spamversand, wie uns zahlreiche Leser seit dem vergangenen Wochenende gemeldet haben. Die Mails gehen offenbar vor allem an die im GMX-Adressbuch gespeicherten Kontakte. Unsere Beobachtungen deuten darauf hin, dass sich die Betrüger mittels Brute Force Zugriff auf Accounts mit schwachen Passwörtern verschaffen konnten.

GMX zeigt nach dem Einloggen in die Weboberfläche die Anzahl der zwischenzeitlich fehlgeschlagenen Login-Versuche an. Bei einigen Kollegen ist dieser Wert ungewöhnlich hoch: in einem Fall waren es rund 40, in einem anderen sogar 2832 Fehlversuche. Im letzteren Fall hätte der Angreifer also die 2832 am häufigsten genutzten Passwörter ausprobieren können – und hätte damit in einer nennenswerten Anzahl von Fällen sicherlich Erfolg gehabt.

Wie der Mail-Provider gegenüber heise Security erklärte, schiebt GMX solchen Angriffen normalerweise "durch Rate-Limits und anderen Annomalie-Detection-Verfahren" einen Riegel vor. Das bedeutet unter anderem, dass Login-Versuche bestimmter IPs nach einer bestimmten Anzahl Fehlversuche abgewiesen werden.

Diese simple Schutzfunktion haben die Spammer bei den aktuellen Angriffen unter Umständen ausgetrickst: "Wir prüfen derzeit, ob Internet-Kriminelle vermehrt versuchen, Accounts mit sogenanntem distributed brute-forcing, also dem Angriff mit zahlreichen Rechnern auf einen Account, anzugreifen", erklärte der GMX-Sprecher. Ein Angreifer, der also beliebig viele Rechner mit beliebig vielen IP-Adressen – zum Beispiel ein Botnet – steuern kann, umschifft damit also möglicherweise das übliche Limit an Fehlversuchen.

E-Mails von Bekannten mit GMX-Account sollte man derzeit momentan kritisch beäugen, ehe man darin enthaltene Links oder Dateianhänge öffnet. GMX-Nutzer sollten checken, ob ihr Account mit einem sicheren Passwort geschützt ist. (rei)

Quelle: http://www.heise.de/newsticker/meldu...n-1635150.html

[Christoph]

Zitat:

Über 300.000 GMX-Accounts kompromittiert

Das Ausmaß des am Mittwoch bekannt gewordenen Cyber-Angriffs auf GMX-Kunden ist immens: wie das Unternehmen gegenüber heise Security erklärte, konnten sich die Spam-Versender in die Accounts von über 300.000 Kunden einloggen. GMX geht inzwischen davon aus, dass die Angreifer im Besitz einer umfangreichen Liste mit Mailadressen und den dazugehörigen Passwörtern sind. Die ursprüngliche Vermutung, dass die Accounts durch Brute-Force-Angriffe geknackt wurden, habe sich nicht bestätigt.

Der zu United Internet gehörende Mailprovider nimmt an, dass die Daten nicht von den eigenen Servern stammen, sondern anderswo entwendet wurden. Woher die Liste stammt, ist bislang noch nicht geklärt. Laut GMX hat es zu den 300.000 erfolgreichen Logins noch mal etwa doppelt so viele Versuche mit falschen Passwörtern gegeben. Das deute darauf hin, dass dass die Angreifer die Zugangsdaten anderswo erbeutet haben und nun durchprobieren, wer das Passwort auch beim GMX nutzt.

Nach Angaben von GMX wurde die Liste in alphabetischer Reihenfolge über das Webmail-Interface für Smartphones durchprobiert. Es wurden nur Logins mit E-Mail-Adressen probiert, die tatsächlich von GMX stammen. Dabei seien die Spammer jedoch nicht mal bis zu "Z" vorgedrungen, was bedeutet, dass sie vermutlich noch weitere gültige Zugangsdaten besitzen.

300.000 kompromittierte Accounts und die doppelte Anzahl Fehlschläge lassen auf rund eine Million betroffene GMX-User schließen. Bei einem geschätzten Marktanteil von 20 Prozent, wie wir ihn bei den Heise-Registrierungen sehen, könnte die Passwort-Liste rund 5 Millionen deutsche Anwender umfassen. Damit käme eigentlich nur noch ein Einbruch bei einem der wirklich großen Dienste wie Facebook, eBay, Google oder Amazon in Frage – vorausgesetzt, es steckt wie von GMX vermutet tatsächlich eine Website mit einer großen Nutzerbasis und nicht etwa ein Passwort-Trojaner oder gar ein Einbruch in die GMX-Systeme dahinter. Keiner dieser großen Anbieter hat jedoch in letzter Zeit einen derartigen Einbruch gemeldet

Der Mailprovider hat nach eigenen Angaben die Accounts der betroffenen Nutzer inzwischen gesperrt. Wenn der eigene Account zum Versand von Spam missbraucht wurde, wird man nach dem Login in die Weboberfläche dazu aufgefordert, ein neues Passwort festzulegen. Da die unbekannten Täter vermutlich noch nicht ihre gesamtes Pulver verschossen haben, sollte auch alle anderen Nutzer in Erwägung ziehen, ihre Passwörter zu ändern – insbesondere dann, wenn man das GMX-Passwort bisher auch bei anderen Webdiensten nutzt.

Ein sicheres Passwort hat mindestens acht Zeichen, enthält Ziffern und Buchstaben und ist nicht von einem realen Wort abgeleitet. Dabei gilt: Je länger, desto schwerer zu knacken. Man könnte sich zum Beispiel einen Merksatz aussuchen und die Anfangsbuchstaben der einzelnen Wörter zu einem Passwort kombinieren. (rei)

Quelle: http://www.heise.de/newsticker/meldu...t-1637510.html
und
http://futurezone.at/digitallife/100...n-geknackt.php

[Christoph]

Zitat:

GMX-Hack: Angeblich wesentlich weniger Betroffene

Nach Erscheinen unserer Tickermeldung hat GMX die am heutigen Donnerstag gegenüber heise Security mehrfach bestätigte Zahl von über 300.000 kompromittierten und gesperrten Accounts radikal nach unten korrigiert. "GMX hat aktuell 3000 Nutzeraccounts zweifelsfrei identifiziert, bei denen eine missbräuchliche Nutzung durch ein bekanntes Botnetz vorliegt, welche vorübergehend gesperrt wurden", erklärte das Unternehmen in einer Stellungnahme.

Mittlerweile stehe fest, dass die Angreifer bei GMX auch Logins ausprobiert haben, die zu anderen Providern gehören. Insgesamt sei eine sechsstellige Anzahl an Benutzername/Passwort-Kombinationen durchprobiert worden. Damit wären unsere Hochrechnungen in der vorangegangenen Tickermeldung hinfällig, denen zufolge die Angreifer potentiell die Daten von bis zu fünf Millionen Nutzern entwendet haben.

Quelle: http://www.heise.de/newsticker/meldu...e-1637898.html

Na bitte, alles halb so schlimm?

[assign]

Bei mir waren es 7 fehlgeschlagene Login-Versuche (eine gmx.at Adresse). Bei meinem Passwort hätten vermutlich auch hundertausende nichts genutzt, dennoch irgendwie erschreckend dass es einen (theoretisch) auch persönlich treffen kann

[Christoph]

Danke für den Erlebnisbericht, auch bei uns gibt´s Betroffene.

[3of4]

Ich logge mich nur alle heiligen Zeiten ein, aber bei mir waren es immer wieder über 100-400 fehlgeschlagene Logins.
Ich dachte allerdings, ein paar meiner "Freunde" wollen sich einen Scherz erlauben - bei meinem Passwort ist allerdings der Versuch schon schwierig...

[Hawi]

Ich stelle jedenfalls fest, dass derzeit praktisch kein Spam über gmx reinkommt (vor ein paar Wochen noch 20+ pro Tag).