Gehackt trotz zweistufiger Authentifizierung!?
Eine Frage an die besonderen IT-Spezialisten:
Jemand hat bei meinem Instagram Konto das Passwort heute Nacht erfolgreich geändert.
Aber ich hatte die zweistufige Authentifizierung aktiviert.
Müsste er dann nicht die SMS gelesen haben, die mir zugesandt wurde?
Wenn ja, wie konnte er die lesen?! (Es ist sonst niemand in meiner Wohnung, in das Handy lag.)
Rahmendaten: aktuelles Androidhandy. Der Instagram-Account wurde bereits zuvor mehrfach gehackt, einmal wurde auch die Emailadresse in eine .ru Adresse geändert.
4 Antworten
Entweder er hat einen Fehler in der Implementation gefunden, du hast das nicht richtig eingerichtet oder du hattest Besuch von jemandem mit IMSI Catcher. Möglicherweise ist aber auch Schadsoftware bei dir installiert, die dem Hacker die benötigten Daten liefern / seinen Zugang authentifizieren.
Die Einrichtung der Zweistufen Authentifikation ist nicht so schwer. Da ist entsprechend wohl kein Anwenderfehler zu vermuten.
Naja ich habe kürzlich einen Bericht gelesen in dem es um die Einrichtung von ubikeys geht, da sind einige durchgefallen. Sie haben z.B. bei facebook den ubikey zwar erfolgreich eingerichtet, die Authentifizierung aber nicht als erforderlich markiert. Von daher schließe ich Anwenderfehler mal nicht standardmäßig aus. Klar muss kein ubikey her, scheinbar machen es einem Facebook und Co aber manchmal unnötig kompliziert.
Schadsoftware... die müsste dann SMS lesen und die Infos irgendwie weiterleiten können?!
Was ja kein Problem darstellt.
Hast Du einen Tipp für einen guten Malware-Scanner fürs Android-Smartphone (viele von denen sind selber Virenscheudern)?
Ich halte generell nichts von Virenscannern jeglicher Art und setze auch keine ein (einzige Ausnahme stellt mein Mailserver auf Debian Basis dar - ich sehe es eher als "erweiterte Spamfiltrierung"). Ich empfehle generell vor der Installation/dem ausführen eines Programmes zu prüfen ob das Programm tatsächlich vom Hersteller kommt, ob der Hersteller wirklich vertrauenswürdig ist und ob du das Programm überhaupt brauchst.
Im Zweifel oder bei seltener Nutzung könnte man das nämlich auf eine isolierte VM verlagern.
Wenn die SMS Authentifizierung ausgelesen wurde dürfte dein Handy am ehesten gepetzt haben..
Möglicherweise ist Dein Handy mit Malware infiziert.
Das Smartphone ist dann wohl, wie so oft, die Schwachstelle. Viren oder ähnliche Programme können Zugriff auf deine SMS haben und den Inhalt an den Angreifer weiterleiten.
Für solche Zwecke solltest du immer ein richtiges Handy benutzen. Die sind nicht angreifbar.
Was ist ein richtiges Handy? Ein aktuelles neues Samsung gereicht Deinen Ansprüchen nicht?
Geht es wirklich, dass das Handy eine SMS an jmd weiter leitet? Kann ich so etwas irgendwo erkennen? Unter den SMS Konversationen ist nichts darüber zu finden, dort aber müsste es doch aufgeführt sein.
Ein richtiges Handy ist ein Handy ohne Internet. Diese Dinger mit denen man einfach nur telefonieren und SMS verschicken kann ;)
Und bei deinem Smartphone musst du einfach mal schauen, welche Apps Zugriff auf deine privaten Daten haben. Jede App, die das kann, kann natürlich diese Daten auch an jede beliebige Person versenden.
Erkundige dich mal beim Instagrammsupport...
Die sollten dir auch sagen können, ob der angreifer deine SMS lesen musste.
Falls ja würde ich mal mein Handy auf Malware prüfen oder gegebenfalls herausfinden, ob doch jemand Zugriff auf das Handy gehabt haben konnte.
Kaum zu glauben, aber Instagram hat keinen Support. Das Problem haben viele User dort, dass man nur zu allgemeinen Hilfeseiten weiter geleitet wird. (Sonst wäre deine Idee wirklich hilfreich.)
Hast Du einen Tipp für einen guten Virenscanner fürs Android-Smartphone (viele von denen sind selber Virenscheudern)?
Kenne mich mit Androidvirenscannern wenig aus...
Da kann ich dir leider nicht helfen...
Aber du kannst ja eine Frage auf Gf dazu stellen ;-)
Die Einrichtung der Zweistufen Authentifikation ist nicht so schwer. Da ist entsprechend wohl kein Anwenderfehler zu vermuten.
IMSI Catcher … ich bin zu unbedeutend und wohne aufm Dorf. Das klingt abwegig.
Schadsoftware... die müsste dann SMS lesen und die Infos irgendwie weiterleiten können?!
Hast Du einen Tipp für einen guten Malware-Scanner fürs Android-Smartphone (viele von denen sind selber Virenscheudern)?