Gelöst
Anschluss missbraucht für Auslandsanrufe
vor 8 Monaten
Wir haben folgendes Schreiben bekommen:
"Sehr xxx
uns ist aufgefallen, dass mit Ihrem Ansch|uss xxxx
ungewöhnlich viel ins Ausland u.a. zum Ziel xxx telefoniert wurde.
Daher haben wir Ihren Anschluss vorsorglich für diese Verbindungen gesperrt.
Zu lhrer Sicherheit: Bis auf Weiteres sind nun keine Verbindungen mehr ins Ausland möglich.
Bitte setzen Sie sich dringend mit uns in Verbindung.
Sie erreichen uns telefonisch montags bis freitags von 7 bis 18 Uhr kostenfrei unter xxxxxxx"
Wir haben schon angerufen. Router & Telefonanalage haben nun die letzte Firmware. Die Passwörter für beide wurden geändert.
Spuren auf dem Router oder in der Telefonanlage habe wir nicht gefunden.
Frage: Kann man irgendwie feststellen, ob das geholfen hat?
Bzw. gibt es Mittel und Wege, wie man feststellen kann, ob da noch jemand Zugang hat und vielleicht etwas anderes macht als Auslandstelefonate, die ja derzeit eh nicht möglich sind?
Oder hilft wirklich nur neue aktuelle Hardware?
1808
52
Das könnte Ihnen auch weiterhelfen
452
0
4
vor 7 Monaten
Telekom eMail vom Di, 15 Okt 11:32 an unsere Email Adresse:
Ticket-Nummer: **** , Auffälligkeiten bei Ihrem Benutzerkonto, Zugangsnummer ****
| Kundennummer: ******
| Anschlussinhaber: *****
Guten Tag ******
wir sind Ihre Ansprechpartner zum Thema Sicherheit von Telekom-Diensten.
Wir haben Hinweise erhalten, dass es zu verdächtigen Zugriffen auf Ihren Telekom Login gegeben hat. Dabei wurde Ihr persönliches Kennwort verwendet. Zu Ihrem Schutz haben wir Ihren Telekom Login eingeschränkt.
Um sich ganz einfach selbst zu entsperren, melden Sie sich bitte unter https://www.telekom.de/mein-magenta-kundencenter im Kundencenter an und folgen Sie dort der Anleitung.
Bitte ändern Sie auch Ihr persönliches Kennwort unverzüglich.
Weitere Informationen erhalten Sie in unserem Sicherheitsteam-Ratgeber unter https://www.telekom.de/ratgeber-sicherheitsteam
Mit freundlichen Grüßen
Ihr Telekom Sicherheitsteam
WIR SIND DA, WENN SIE FRAGEN HABEN:
Schreiben Sie an unser Sicherheitsteam: abuse@telekom.de
Also Login und Pers. Kennwort (bei den Zugangsdaten für das Internet) wurden nun geändert.
FRAGE: Können wir Informationen erhalten wann genau "Wir haben Hinweise erhalten, dass es zu verdächtigen Zugriffen auf Ihren Telekom Login gegeben hat. Dabei wurde Ihr persönliches Kennwort verwendet. Zu Ihrem Schutz haben wir Ihren Telekom Login eingeschränkt." das erfolgt ist.
Zuletzt habe ich das TelekomTelekom Login Passwörter am 12.10. vor ort geändert.
Sicherheit TelekomTelekom Login Passwörter geändert11:49
Sicherheit TelekomIhr Bestätigungscode11:46
Telekom SicherheitsteamTicket-Nummer: 15.10.2024, 11:32
Telekom LoginTelekom Login Passwort geändert12.10.2024, 14:09
@Tamer C. zur Info
1
Antwort
von
vor 7 Monaten
Hallo @Katzenfreund24,
ja, etwa 20 Minuten bevor unsere E-Mail versendet wurde, haben wir die "Hinweise" erhalten.
In unserem Schreiben geht es ja nur um das Telekom Login, bei dem du die Passwörter heute geändert hast
Du hast bei uns aber auch eine E-Mail Adresse hinterlegt, die nicht auf @t-online.de endet. Bei der Adresse empfehle ich dir ebenfalls dringend die Passwörter zu ändern.
www.schufa.de/identchecker
Auf www.schufa.de/identchecker kann man prüfen ob E-Mail Adressen und Passwörter im Netz veröffentlicht wurden. Da finde ich deine andere Adresse nämlich leider auch. Also, wenn noch nicht geschehen, dann auch unbedingt bei der E-Mail Adresse die Passwörter ändern, damit du auf der sicheren Seite bist.
Viele Grüße
Christine Kn.
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Ich fürchte ein Eintrag beim www.schufa.de/identchecker
besagt nur, dass die Email_Adresse irgendwann einmal irgenwo aufgetaucht ist.
Wenn dem so ist, dann wäre der Dienst wertlos, weil dann hilft nur noch stillegen der E-Mail-adresse
1
Antwort
von
vor 7 Monaten
dann wäre der Dienst wertlos
Isser auch. Wird ja nicht gesagt, welche Daten noch in Verbindung mit dieser Mailadresse aufgetaucht sind
dann lieber https://haveibeenpwned.com nutzen. Da erfährt man wenigsten wann, was und wo
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Das kam heute per Post:
wir sind lhre Ansprechpartner zum Thema Sicherheit von Telekom-Diensten.
Zu diesem Vorgang haben Sie bereits eine E-Mail an @t-online.de oder @magenta.de erhalten,
in der wir lhnen weitere Details mitgeteilt haben. Falls Sie bereiis entsprechende Mafinahmen
ergriffen haben, ist keine weitere Aktion lhrerseits erforderlich.
Aufgrund verdéchtiger Zugriffe wurde 1hrTelekom Login und der Versand von E-Mails Uber
Adressen mit der Endung @t-on|ine.de oder @magenta.de eingeschrénkt.
Um sich ganz einfach selbst zu entsperren, melden Sie sich bitte unter
https://www.telekom1de/mein-magenta-kundencenterim Kundencenter an und folgen Sie dort
der Anleitung.
Wurden E-Mails versendet? War das der Vorfall?
0
vor 7 Monaten
Combolists Posted to Telegram: In May 2024, 2B rows of data with 361M unique email addresses were collated from malicious Telegram channels. The data contained 122GB across 1.7k files with email addresses, usernames, passwords and in many cases, the website they were entered into. The data appears to have been sourced from a combination of existing combolists and info stealer malware.
Compromised data: Email addresses, Passwords, Usernames
Das sagt aber nichts darüber aus, ob das der letzte Vorfall war.
1
Antwort
von
vor 7 Monaten
Hallo @Katzenfreund24,
leider kann niemand genau sagen, was alles im Hintergrund oder im Darknet passiert.
Fakt ist leider, dass Daten, wenn sie erst mal verloren sind, durch sehr viele verschiedene Hände wandern und Hacker bzw. deren Programme immer wieder probieren werden, dass neue Passwort zu knacken, was zu neuen Warnungen führen kann.
Meine Empfehlung: Richte dir für dein Telekom-Login (und alle anderen Internet-Seiten, die es anbieten) die Mehr-Faktor-Authentifizierung als zusätzlichen Schutz ein. So wird neben dem Passwort noch eine weitere Eingabe erforderlich (z. B. eine SMS-Code).
Du kannst es bei uns direkt unter telekom.de/pup aktivieren.
Lieben Gruß aus Kiel
Daniela T.
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
So, die Rechnung ist:
hier ein kleiner Auszug:
10. Verbindungen zu EMSAT- Anschluss ****
Wir haben schon angrufen. Man kümmert sich. Und es gibt wohl noch mal neue Zugangsdaten etc.
0
vor 7 Monaten
Hallo,
ich bin wieder vor Ort.
Wenn ich etwas tun soll oder kann ...
VG
4
Antwort
von
vor 7 Monaten
Hallo @Katzenfreund24,
bitte sei so gut und warte noch auf die Antwort der Kolleg*Innen.
Schön wäre es, wenn du noch die Mehr-Faktor-Authentifizierung aktivierst. Das ist natürlich kein Muss aber auf jeden Fall ein weiterer und hilfreicher Schutz. Geh einfach auf telekom.de/pup
Hab vielen Dank und ein schönes Wochenende.
Christian Ho.
Antwort
von
vor 7 Monaten
Was kann ein Hacker NICHT mehr wenn 2FA eingerichtet ist? Speziell bei dem ursprünglichen Problem (Auslands-, Sat.Telefonate etc. etc.)?
Antwort
von
vor 7 Monaten
@Katzenfreund24: Der muss dann nicht nur die Zugangsdaten haben sondern auch noch Dein Smartphone geklaut haben, über das die 2FA in der Regel läuft. D.h., Du lockst Dich in das Kundencenter mit Deinen Zugangsdaten ein, kommst aber noch nicht rein sondern Du erhälst auf Deinem Smartphone einen einmaligen mehrstelligen Code, den Du dann zusätzlich beim Einloggen eingeben musst.
Wie es zum Beispiel beim Online-Banking auch die Regel ist. Da ich die 2FA bei der Telekom noch nicht eingerichtet habe, weiß ich nicht, ob es über eine SMS, eine App oder, wäre für mich unsicherer, über eine zweite E-Mail-Adresse läuft.
Gruß Ulrich
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Die Frage ist, ob das Damals Ende September, der Router, der AP oder die Telefonanlage war.
Aber: wie kommt der oder ein anderer Haker dann später an den Login, wenn ich den 2 Tage davor geändert habe. Etwa "persönliches Passwort" aus dem Router ausgelesen?
0
vor 7 Monaten
Aber: wie kommt der oder ein anderer Haker dann später an den Login, wenn ich den 2 Tage davor geändert habe.
@Katzenfreund24: Auf Deinem PC/Laptop/Smartphone/Tablet, mit dem Du den Login geändert hast, könnte eine Spyware sein, die die neuen Daten abgegriffen hat. Oder Du bist auf eine erneute Phishing -E-Mail hereingefallen.
Etwa "persönliches Passwort" aus dem Router ausgelesen?
Das ist eher unwahrscheinlich, zumindest wenn Du bei aktiviertem EasyLogin im Kundencenter einen Router nutzt, indem gar keine Zugangsdaten eingetragen sind.
Gruß Ulrich
1
Antwort
von
vor 7 Monaten
Hallo @Katzenfreund24,
das, was @UlrichZ dir gestern geschrieben hat, ist super erklärt.
Übrigens, weitere Vorfälle nach dem Hackerangriff vom 15. Oktober 2024 haben wir nicht feststellen können.
Viele Grüße und einen schönen Samstag Abend wünsche ich dir!
Christine Kn.
Uneingeloggter Nutzer
Antwort
von
vor 7 Monaten
Also am 12.10. wurde das Kundenpasswort von uns geändet. Am 17.10. Kundenpasswort und persönliches Passwort.
bis 13.10. war ich vor Ort. Ab 13.10. bei mir zuhause.
Zu den Logins/Loginversuchen vom 14. und/oder 15.10.
Meines Wissens habe ich von "bei mir" mich ins Kundencenter eingekloggt, oder wollte es zumindest.
Auch die vom dem letzte Anruf bei "Absue" geanannte Uhrzeit könnte durchaus von mir erfolgt sein. Die genaue Zeit weis ich allerdings nicht mehr.
Könnte ich der vermeindliche Hackerangriff vom 14./15. gewesen sein?
Geben das die Aufzeichnungen/Logfiles der Telekom her? Oder gibt es keine so detailieten Aufzeichnungen?
Würde ein (siehe 1. Zeile) ein noch nicht geändertes Persönliches Kennwort für die Vorfälle vom 14./15. als Erklärung reichen?
Was uns beschäftigt ist, ob einer der bei den Passwortänderungen beteiligten Rechner "verseucht" sein kann oder gar sein muss oder nicht.
Deshalb die vielen Nachfragen.
0
vor 7 Monaten
Die Orginalmeldung von Abuse war:
Wir haben Hinweise erhalten, dass es zu verdächtigen Zugriffen auf Ihren Telekom Login gegeben hat. Dabei wurde Ihr persönliches Kennwort verwendet.
Eine Hinweismail (Einloggen in Kundencenter ohne Passwort) ist nicht erflogt. Sollte aber, wie ich gestern durch ausprobieren (Ben.name, pers. PW, Kd.Nr) herausgefunden habe. (Email ist nicht die Telekom Mail).
Was hat der Hacker gemacht, so dass es keine Hinweismail gab?
Was gibt es sonst noch für "verdächtigen Zugriffen auf Ihren Telekom Login"?
3
Antwort
von
vor 6 Monaten
Hallo @Katzenfreund24,
ich habe dir die Sicherheitswarnung noch einmal zugeschickt per Mail. Da du den Text jedoch zitierst, ist unser Hinweis ja bei dir angekommen?
Ich vermute, du meinst den Bestätigungscode per Mail, beim Login mit dem persönlichen Kennwort?
Ein Hacker könnte sich mit passendem Passwort für E-Mail-Programme auch schon vorher mit dem Konto verbunden haben und so den Bestätigungscode per Mail abgefangen oder die Funktion "Ich habe keinen Zugriff - anderes Merkmal verwenden" genutzt haben, um anstelle eines Bestätigungscodes ein anderes Merkmal wie z. B. die Kundennummer zu nehmen.
Es ist ja auch die Frage, ob der Hacker nur versucht hat, in den Account einzuloggen (wir bemerken die auffälligen Passwortfehlversuche z. B. durch IP-Adresse aus dem Ausland und dem Tempo der Versuche, was auf Nutzung von Programmen hinweist) oder ob er wirklich Zugriff auf dein Konto bekommen hat.
Das Gute ist: Seit deinen Passwort-Änderungen ist keine neue Warnung eingegangen, es scheint also wieder Ruhe einzukehren.
Deine Geräte inklusive deines Routers hattest du schon überprüft bzw. zurückgesetzt wegen der MSAT Verbindungen?
Lieben Gruß aus Kiel
Daniela T.
Antwort
von
vor 6 Monaten
ich habe dir die Sicherheitswarnung noch einmal zugeschickt per Mail
Es gab also keinen neuen Vorfall gestern oder heute???
(Das wurde aus der Mail aber nicht klar!!!)
---
Im gegen ende letzten Jahres, könnte jemand an das Kundencenterpasswort gekommen sein. Das haben wir damals daraufhin geändert. An das Persönliche Passwort, das meines Wissens bei diesem Vorfall eigentlich nicht mit abgegraben sein kann, da es von uns ja nie verwendet wurde , haben wir nicht gedacht, auch weil wir von dieser offenen "Hintertür" rein GAR NICHTS wussten.
Sehe ich das richtig, dass ein Hacker damals mit den KC-Passwort sich eingeloggt haben kann, dann das persönliche Kennwort geändert haben kann und auch die notwendigen Schritte für die späteren Auslandstelefonate etc. damals schon eingeleitet haben kann?
Antwort
von
vor 6 Monaten
Moin @Katzenfreund24,
Es gab also keinen neuen Vorfall gestern oder heute???
Nein, das System hat seitdem die Passwörter geändert worden sind keine weiteren Aktivitäten registriert, die als Missbrauch einzustufen sind.
Sehe ich das richtig, dass ein Hacker damals mit den KC-Passwort sich eingeloggt haben kann, dann das persönliche Kennwort geändert haben kann und auch die notwendigen Schritte für die späteren Auslandstelefonate etc. damals schon eingeleitet haben kann?
Sehe ich das richtig, dass ein Hacker damals mit den KC-Passwort sich eingeloggt haben kann, dann das persönliche Kennwort geändert haben kann und auch die notwendigen Schritte für die späteren Auslandstelefonate etc. damals schon eingeleitet haben kann?
In der Theorie wäre dies möglich, aber das persönliche Kennwort wurde vor der Änderung Mitte Oktober, das letzte Mal im Jahre 2020 geändert.
Viele Grüße
Tamer C.
Uneingeloggter Nutzer
Antwort
von
Uneingeloggter Nutzer
Frage
von