Möglicher Fremdzugriff auf Postfach / Login geleakt
8 months ago
Guten Tag,
ich hatte versucht nachfolgende Anfrage an den Telekom-Support per entsprechendem Kontaktformular (auf das man kommt, wenn man sich unter Kontakt durch die entsprechenden Kategorien klickt) zu senden.
Leider ist es mir absolut nicht möglich (mehrfach versucht - auch mit einem "frischen Browser") diese Anfrage abzusenden, weil ich jedes Mal folgende Meldung für das Textfeld für die Beschreibung bekomme:
"Sie verwenden ein Zeichen, das nicht erlaubt ist, bitte überprüfen Sie die Eingabe."
Meine Anfrage wäre die Folgende (eventuell kann mir ja hier jemand weiterhelfen):
Sehr geehrte Damen und Herren,
es besteht der Verdacht des Fremdzugriffs auf mein T-Online-Postfach.
Aus diesem Grund habe ich gestern zur Sicherheit sowohl das Passwort für meinen Telekom-Login, als auch das Passwort für den Zugriff per Mailclient geändert.
Können Sie mir bitte mitteilen, ob es in den letzten Tagen "verdächtige Logins" von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches gegeben hat?
Gibt es darüber hinaus die Möglichkeit über Logins von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches per Mail informiert zu werden?
Gibt es außerdem die Möglichkeit sich darüber informieren zu lassen, ob (und wie viele) fehlgeschlagene Login-Versuche es seit dem letzten erfolgreichen Login gab?
Grundsätzlich rufe ich meine Mails immer per IMAP ab.
Gibt es eine Möglichkeit, dass ich für mein Postfach den Abruf per POP3 verbieten, aber den Abruf für IMAP erlauben kann?
Herzlichen Dank im Voraus für Ihre Unterstützung/Rückmeldung.
Mit freundlichen Grüßen
927
27
This could help you too
in
487
0
3
3 years ago
in
220
0
1
8 months ago
Die Anfrage kann auch direkt an abuse@telekom.de geschickt werden
0
8 months ago
Vielen Dank für die schnelle Rückmeldung.
Eventuell kann mir hier auch vorab schon jemand eine Einschätzung zu den Fragen geben?
0
8 months ago
Zur Sicherheit..damit das nicht mehr gehackt werden kann..aktiviere 2 Faktorauth.
Prüfe alle Einstellungen im Emailcenter..aliasnamen.absendernamen..usw.
Einfach alles!
Pc auf viren prüfen.
0
8 months ago
es besteht der Verdacht des Fremdzugriffs auf mein T-Online-Postfach.
Begründet wie?
Können Sie mir bitte mitteilen, ob es in den letzten Tagen "verdächtige Logins" von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches gegeben hat? Gibt es darüber hinaus die Möglichkeit über Logins von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches per Mail informiert zu werden? Gibt es außerdem die Möglichkeit sich darüber informieren zu lassen, ob (und wie viele) fehlgeschlagene Login-Versuche es seit dem letzten erfolgreichen Login gab?
Können Sie mir bitte mitteilen, ob es in den letzten Tagen "verdächtige Logins" von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches gegeben hat?
Gibt es darüber hinaus die Möglichkeit über Logins von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches per Mail informiert zu werden?
Gibt es außerdem die Möglichkeit sich darüber informieren zu lassen, ob (und wie viele) fehlgeschlagene Login-Versuche es seit dem letzten erfolgreichen Login gab?
Für alle drei m. W. nein.
Grundsätzlich rufe ich meine Mails immer per IMAP ab. Gibt es eine Möglichkeit, dass ich für mein Postfach den Abruf per POP3 verbieten, aber den Abruf für IMAP erlauben kann?
Gibt es eine Möglichkeit, dass ich für mein Postfach den Abruf per POP3 verbieten, aber den Abruf für IMAP erlauben kann?
Nein.
Wenn du deine Mails immer per IMAP abrufst, bist du eigentlich auf der sicheren Seite. Fürs Kundencenter / E-Mail-Center könntest du 2FA bzw. Passkey als zusätzlichen Sicherheitsfaktor aktivieren. Das Wichtigste sind aber eigentlich gute und vor allem nicht mehrfach genutzte Passwörter (und aktuelle Software).
Wird deine E-Mail-Adresse hier Have I Been Pwned: Check if your email has been compromised in a data breach gefunden?
Viele Grüße
Thomas
0
8 months ago
Ich habe eine der typischen Erpressermails in schlecht übersetztem Deutsch erhalten (mit der Forderung innerhalb von 48 Stunden 500$ in Bitcoins auf ein angegebenes Wallet zu senden).
Das Schockierende an dieser Mail war aber, dass im Erpressertext mein Passwort im Klartext stand.
Meine erste Handlung war natürlich erstmal das "Passwort für E-Mail-Programme" (das war das Passwort, das mir im Klartext genannt wurde) im Telekom-Webportal zu ändern und dann auch noch das Passwort für den "Telekom Login" (der vermutlich dem "Hacker" nicht bekannt sein dürfte).
Irgendwelche Weiterleitungen oder Filter wurden vermutlich auch keine eingerichtet, da der "Hacker" (wenn überhaupt - das ist das große Fragezeichen) nur über IMAP/POP3 auf mein Postfach Zugriff hatte.
Habe das natürlich trotzdem mal in meinem Telekom-Web-Portal versucht zu checken, konnte da aber nichts finden bzw. sehen alle Einstellungen dort sauber aus.
Dort gibt es einen Treffer für diesen Mailalias:
https://haveibeenpwned.com/
1
Answer
from
8 months ago
Prüfe bzw lege an in alternative logindaten
Sicherheitsfragen
Alternative emailadresse..nicht die loginemailadresse angeben..sondern zb gmail..
Mobilnummer
https://account.idm.telekom.com/account-manager/login-data/options
Unlogged in user
Answer
from
8 months ago
Ein Bekannter von mir war gerade eben auch da...
Wie "gefährlich" ist es, sich jetzt mit den geänderten Zugangsdaten auf der Kundenservice-Seite einzuloggen, und dort weitere Maßnahmen wie oben beschrieben, durchzuführen?
Sollte man dies von einem PC aus machen, der noch nie diese Zugangsdaten kannte?
Oder wirklich nur ZFA am Haupt-PC aktivieren? Wie funktioniert das dann aber mit Mailprogrammen? Die können doch keine ZFA?
1
Answer
from
8 months ago
Sollte man dies von einem PC aus machen, der noch nie diese Zugangsdaten kannte?
Ja am besten mit anderen Geräten zb. Smartphone ..
2fa hat bei emailpgm dann wohl keine Auswirkungen. Thunderbird zb....müsste man probieren...
Unlogged in user
Answer
from
8 months ago
Sie verwenden ein Zeichen, das nicht erlaubt ist,
Könnte der Schrägstrich sein.
1
Answer
from
8 months ago
Die hatte ich testweise rausgenommen, selbst die Klammern. War leider noch das gleiche Ergebnis.
Unlogged in user
Answer
from
8 months ago
Oder das..die üüüüüü
Oder die " "
0
7 months ago
Ich bin jetzt etwas verunsichert - heute erhielt ich folgende Mail in mein T-Online-Postfach (anscheinend von der Telekom ?!):
Guten Tag (hier steht mein korrekter Name),
bitte folgen Sie den weiteren Schritten, um unserem InfoService zuzustimmen. Wenn Sie kein Interesse am InfoService haben, brauchen Sie nichts zu tun. Vertragsrelevante Informationen erhalten Sie auch ohne Ihre Zustimmung zum InfoService.
Bitte klicken Sie auf den Button
Das wollte ich dann erstmal hier posten, wofür ich mich ja mit meinem Telekom-Login einloggen muss.
Da erhielt ich dann die Mitteilung, dass mein Account gesperrt werden musste, weil er möglicherweise in falsche Hände geraten ist.
Das konnte ich dann soweit durchspielen und mein Passwort erneut ändern. Das wurde mir dann auch wieder per Mail bestätigt.
Ich vermute mal, dass das jetzt die typische Reaktion seitens der Telekom ist (also erstmal nichts Außergewöhnliches?), nachdem ich vorgestern meine oben genannte Mail an die abuse-Mail-Adresse der Telekom gesendet hatte (also nach diesem Hinweis: "Die Anfrage kann auch direkt an abuse @t elekom.de geschickt werden")?
3
Answer
from
7 months ago
Hallo @Frank2k24,
wenn ein auffälliges Verhalten festgestellt wird, sperren wir das Login und den Versand der E-Mails. Des Weiteren erhalten Sie von uns eine Sicherheitswarnung mit einer FRD-R Ticketnummer.
Von wo aus sich in den letzten Tagen eingeloggt wurde und wie viele Fehlversuche es gab können wir Ihnen nicht mitteilen. Leider gibt es bei uns auch keine Möglichkeit Sie darüber zu informieren. Aktiveren Sie am besten die Mehr-Faktor-Authentifizierung. POP3 und IMAP können nicht voneinander getrennt behandelt werden, Sie können lediglich beides deaktivieren.
Das Sicherheitsrisiko haben Sie gelöst, wenn Sie beide Passwörter erfolgreich geändert haben, damit ist ein Zugriff von Dritten ausgeschlossen und die E-Mail Adresse wird wieder entsperrt.
Viele Grüße
Christian We.
Answer
from
7 months ago
@Christian We.
Frage bzgl Sperre
Gesperrt ist
Senden per emailcenter also manueller login
Lesen geht
Wird auch das Senden über thunderbird gesperrt ?..
.Also über pw für emailpgm
Answer
from
7 months ago
Hallo @HARTMUTIX,
es kommt ein bisschen auf die Art des Missbrauchs an und ob Daten öffentlich im Internet aufgetaucht sind. In der Regel wird der Login gesperrt, sowie der Versand über Mail-Programme von Drittanbietern und das Login in Kunden-/E-Mail-Center. Besteht eine aktive Verbindung über Outlook/Thunderbird etc., bleibt diese bestehen und E-Mails können weiterhin empfangen werden.
Viele Grüße
Christian We.
Unlogged in user
Answer
from
7 months ago
@Christian We.
Vielen Dank für die Antwort.
Um die Fragen/Themen für einen besseren Überblick etwas zu strukturieren, nummeriere ich sie nachfolgend einfach mal:
1.
Zur Frage "Können Sie mir bitte mitteilen, ob es in den letzten Tagen "verdächtige Logins" von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches gegeben hat?"
-> Der Telekom-Support kann solche Daten einsehen, gibt sie aber nicht an den betroffenen Kunden weiter? Das wäre ja wirklich ein ganz schwaches Bild (da das andere Anbieter wesentlich kundenfreundlicher/transparenter lösen)...
2.
Zu den Fragen "Gibt es darüber hinaus die Möglichkeit über Logins von außerhalb meines üblichen Computers bzw. Gebietes/Einzugsbereiches per Mail informiert zu werden?"
"Gibt es außerdem die Möglichkeit sich darüber informieren zu lassen, ob (und wie viele) fehlgeschlagene Login-Versuche es seit dem letzten erfolgreichen Login gab?"
-> Hier gilt im Prinzip das gleiche wie bei 1.
3.
Gibt es eine Möglichkeit, dass ich für mein Postfach den Abruf per POP3 verbieten, aber den Abruf für IMAP erlauben kann?
-> Schade, dass man das nicht genauer einschränken kann. Technisch wäre es natürlich kein Problem. Wird man dann als Kunde aber so akzeptieren müssen.
4.
Mir ist nicht ganz klar, weshalb ich diese Mail bekommen habe:
"Guten Tag (hier steht mein korrekter Name),
bitte folgen Sie den weiteren Schritten, um unserem InfoService zuzustimmen. Wenn Sie kein Interesse am InfoService haben, brauchen Sie nichts zu tun. Vertragsrelevante Informationen erhalten Sie auch ohne Ihre Zustimmung zum InfoService.
Bitte klicken Sie auf den Button"
Ist hier der Hintergrund, dass mir jemand vom Telekom-Abuse-Team auf meine konkrete Mail antworten wollte, es aber bisher nicht konnte, weil ich nicht der Datenverarbeitung durch Dritte zugestimmt hatte?
Die Mail scheint jedenfalls tatsächlich echt bzw. von der Telekom zu sein. Nach genauer Prüfung hatte ich auf den Button geklickt und der Datenverarbeitung zugestimmt.
Bekomme ich dann jetzt noch eine konkrete Antwort vom Telekom-Abuse-Team?
5.
Ist es eine typische Reaktion bzw. der "Standard-Prozess" seitens der Telekom, dass der betroffene Account erstmal gesperrt wird, nachdem man eine Mail (mit einem konkreten Sachverhalt) an die abuse-Mail-Adresse der Telekom gesendet hat?
Eine Sicherheitswarnung mit einer FRD-R Ticketnummer habe ich bisher leider nicht erhalten.
6.
Als Grund für die Accountsperrung wurde angegeben: "Wir haben Ihren Telekom Login (Benutzername und Passwort) öffentlich im Internet gefunden.".
Jetzt würde mich natürlich brennend interessieren: wo genau?
Und ist mit dieser Aussage wirklich der Telekom-Login gemeint oder das E-Mail-Passwort?
Und als dritte Sub-Frage: Damit sind vermutlichen die alten Credentials gemeint, die schon wesentlich älter als meine Änderungen von von dieser Woche sind?!
1
Answer
from
7 months ago
Hallo @Frank2k24,
ich kann gut verstehen, dass Sie das so interessiert. Jedoch liegen uns hier nicht alle Details vor. In Einzelfällen liegt dem Sicherheitsteam ein Login, z. B. von einer ausländischen IP-Adresse vor, die auf einen Missbrauch schließen lässt und ggf. zur Sperre geführt hat.
Was den Infoservice angeht, scheint es hier eine Anmeldung für Sie oder von Ihnen gegeben zu haben. Hier haben Sie die Möglichkeit zuzustimmen oder wenn Sie dies nicht wollten, zu ignorieren. Sie können die E-Mail als Anhang an abuse@telekom.de schicken. Die Kollegen schauen sich das dann gerne an und können Ihnen die Echtheit bestätigen.
Wenn die E-Mail-Adresse gesperrt wird, liegt auch eine Ticketnummer vor. Vergessen Sie bitte nicht, dass durch einen Zugriff durch Dritte, diese auch gelöscht worden sein könnte.
Wo die Daten gefunden wurden, meist im Darknet liegt uns nicht im Detail vor und teilen wir Ihnen auch nicht mit, da dort meist auch noch weitere illegale Daten liegen.
Welche Daten gefunden wurden, in dem Falle immer E-Mail-Adresse und dann entweder das Telekom-Login Passwort, das Passwort für E-Mail-Programme, das persönliche Kennwort oder das FTP-Passwort. Manchmal auch mehrere, dies hängt davon ab, ob Sie separate oder identische Passwörter genommen haben.
In Ihrem Fall handelt es sich um das persönliche Passwort, dass Sie noch nicht geändert haben! Das Sicherheitsrisiko besteht demnach aktuell immer noch. Dies können Sie unter Telekom.de im unter Ihrem Festnetzvertrag und Internetzugang ändern. Alternativ, kann Ihnen der Kundenservice jederzeit ein neues generieren und per SMS zuschicken. Zu Ihrer Information habe ich die Sicherheitswarnung erneut verschickt.
Viele Grüße
Christian We.
Unlogged in user
Answer
from
Unlogged in user
Ask
from