Hackerangriff zwecks Datenphishing im Detektorforum

[platinrubel]

Seit dem 11. Februar bis gestern gab es bei unzähligen Usern des Detektorforum Probleme mit dem Versuch professioneller Datenpiraten, Zugriff auf Benutzerkonten zu erhalten.
Der Spuk wurde jetzt beendet.

ES IST MIT 100%ER SICHERHEIT AUSZUSCHLIESSEN,DAS EIN KONKURRENZFORUM ODER IRGENDWELCHE ARCHÄOLOGEN DAHINTER STECKEN!!!

Die Ergebnisse meiner Recherche sind Folgende:

1.: Der Angriff erfolgte von Lettland aus

2.: Das Problem begann mit der Anmeldung und Freischaltung des "Mitgliedes" sunnibakerc am 11. Februar 2011

3.: Das Detektorforum war nicht das einzige betroffene Forum auf SMF-Basis, weitere betroffene Foren weltweit u. a. warezp.org, diverse reitercommunities und pferdefreunde, fußballforen,     motorradforen, diverse spieleforen und sogar ein lampenfetischistenforum. Also nicht nur wir waren auserwählt, sondern viele andere auch.
Einige Foren haben auch schon (unter anderem auf meinen Hinweis hin)  reagiert und die Ratte rausgekickt.

4.: Der Angriff galt nicht dem Inhalt des Forums, sondern den Daten der Mitglieder. Die Zugangsdaten wurden abgeklappert um einen Account zu finden, bei dem Username und Passwort identisch sind. Durch den Zugang zum Forum wäre dann ein Zugang zu weiteren persönlichen Daten des gehackten Mitglieds möglich gewesen. (Primärdaten werden mit Hilfe von Sekundärdaten gephisht)
Denn hat man das Benutzerkonto gehackt, dann kann man in diesem Namen z. Bsp. Daten von Freundeslisten erhalten, PM (mit teilweise vertraulichen und sensiblen Daten) lesen und auch PM schreiben um von anderen Mitgliedern diverse Daten zu erhalten. Über die Daten im gehackten Benutzerkonto hat man im ungünstigsten Fall Zugriff auf Adresse, Bankverbindung, E-Mailadresse, Geburtsdatum oder Angaben zu Lebenslauf, Tätigkeit, Arbeitgeber und Hobbies. --- Das alles sind wertvolle Daten, welche im weltweiten Datenklau und Datenhandel (nebenbei bemerkt ein Milliardengeschäft!!!) für viel Geld weitergegeben werden. Im Visier dieser Ratten liegen ganz besonders die EMail und Postadressen, Telefonnummern (zwecks Spam und Marketing, etc) und Bankverbindungen/Kreditkartendaten (Missbrauch)

5.: Christian hat ebenfalls reagiert, sunnibakerc entsorgt und jetzt das LOG-IN-Verfahren so geändert, daß man sich mit seiner E-Mail-Adresse einloggen muss. Dies hat die Sicherheit um einiges erhöht und wir haben wieder ruhe)

Liebe Grüße vom Platinrubel

[nobody]

Hallo Platinrubel,
vielen Dank für deinen Bericht. Ich hatte mit Christian schon über diese Vorfälle
gesprochen.
Ich habe hier im Sucherforum bestimmte IP-Bereiche gesperrt. Das heißt, man kann sich mit
bestimmten IP's erst gar nicht anmelden. Dazu zählen IP-Bereiche aus dem Osten bis Asien und bestimmte
Domains wie zB. theplanet.com, dynantisa.cn und altushost.com.
Ist kein 100%iger Schutz, aber man filtert da schon mal einen großen Teil aus.
Weiter haben wir einen inoffiziellen Spammoderator,
der ist griffig und hat seine Augen überall  
Darum hier auch nochmal ein großes DANKESCHÖN an Corax  

Wir werden aber ebenfalls den Login-Prozess abändern.

Gruß
niemand

[pflaume]

lampenfetischistenforum 

[platinrubel]

@ pflaume: glaubst du nicht, guckst du hier - www.galleryoflights.org
hab ich auch net gekannt.

@nobody: ja aber die neuzugänge im mitgliederbereich weisen darauf hin, ihr seid auch infiziert.
geht los bei sophiefriederike über aidampenza, tuckermaza, usw.

ein manuelles registrierungsverfahren bei dem die neumitglieder einen sinnvollen text eingeben müssen, wäre hilfreicher.
gruss platin

[nobody]

@nobody: ja aber die neuzugänge im mitgliederbereich weisen darauf hin, ihr seid auch infiziert.
geht los bei sophiefriederike über aidampenza, tuckermaza, usw.

Die kommen aber alle über ubiquityservers.com rein und sind gesperrt

[Der Wikinger]

Hört sich ja alles sehr beunruhigend an ! 

Was ist die Konklusion ??

Sollte man sich als User in den Foren lieber abmelden, und sich neu anmelden ...

... oder wie muss das verstanden werden ?? 

[Roskva]

Hört sich ja alles sehr beunruhigend an ! 

Was ist die Konklusion ??

Sollte man sich als User in den Foren lieber abmelden, und sich neu anmelden ...

... oder wie muss das verstanden werden ?? 

- beware, I´m watching you!!! 

[Pfälzer]

Hört sich ja alles sehr beunruhigend an ! 

Was ist die Konklusion ??

Sollte man sich als User in den Foren lieber abmelden, und sich neu anmelden ...

... oder wie muss das verstanden werden ?? 

Gott, nein Steen. 

Einfach ein kompliziertes Passwort kreieren.   Und auf keinem Fall das gleiche Passwort in anderen Foren verwenden.

[Pfälzer]

- beware, I´m watching you!!! 

Jetzt mach ihm doch keine Angst. 

[Der Wikinger]

          

[nobody]

Wir werden aber ebenfalls den Login-Prozess abändern.

Gruß
niemand

Auf Grund der oben beschriebenen Vorkommnisse haben wir den Login-Prozess abgeändert.
Ab sofort muß man sich mit seiner hier im Forum angegebenen Email Adresse + dem Passwort anmelden.
Wenn jemand seine angegebene Email Adresse vergessen hat, bitte unter Admin@sucherforum.de melden.

Es wird noch eine Sammel-Mail an alle User raus gehen. Jeder der diese Mail empfängt, weiß damit automatisch mit
welcher Adresse er sich hier angemeldet hat.

Gruß
nobody

[Roskva]

- dann schicke mir doch bitte Steen´s Emailadresse, damit ich ihn weiterhin Häggen kann 

[nobody]

Email's gehen gerade raus, sind bei 13% 

[Licher]

Hey,

dann bin ich ja froh, dass ich bei den ersten 13% bin! Hatte gerade meinen Hilferuf abgesendet und die Antwortmail kam sofort danach

GF Licher

[Tapir]

Mail bekommen. Allerdings etwas zu spät.

[Carolus Rex]

Hi

Bin nicht so der PC-Spezie

Wie kann ich feststellen ob jemand versucht hat sich
in mein Konto zu hacken??

Gruß CR

[werter47]

Hi ,
hab die gleiche Frage.
(Weiß nur,wenn das Konto leer ist, war er erfolgreich)
Gruß Günter

[Klete]

lampenfetischistenforum 

Mensch, irgendjemand wolte sich mit meinem IP Nummer anmelden. Wach auf !
MfG

[Klete]

Hi

Bin nicht so der PC-Spezie

Wie kann ich feststellen ob jemand versucht hat sich
in mein Konto zu hacken??

Gruß CR

Du bekommst eine Meldung (e-mail)wie ich es bekommen habe, dass ein böser Mensch mit fremder IP_rechnernummer es versucht habe!MfG

[nobody]

Hi

Bin nicht so der PC-Spezie

Wie kann ich feststellen ob jemand versucht hat sich
in mein Konto zu hacken??

Im Detektorforum bekommt jeder eine Email, wenn EIN Login-Versuch fehlerhaft war.
Das habe wir hier nicht umgesetzt. Wir sehen aber trotzdem jeden Versuch in einem Logfile.
Viel wichtiger ist, ob jemand erfolgreich war. Das kann man so nicht feststellen.
ABER: Das System was hinter den Hack-Versuchen liegt ist, das jemand Username und Passwort gleich wählt.
Dieses wird mit gesammelten Usernamen aus dem jeweiligem Forum ausgetestet.

Dazu muß man wissen: Unsere Forensoftware ist so eingestellt, das die Auswahlmöglichkeit von gleichem
Namen wie Passwort nicht zugelassen wird.
Also kann theoretisch kein erfolgreicher Hack-Versuch statt gefunden haben.
Durch die Abänderung des Login-Prozesses wird die Sicherheit nochmal um einiges gesteigert.
Die eigene Email-Adresse ist öffentlich nicht einsehbar. Sprich, sie ist nur dem User und
dem Forenbetreiber bekannt.
Also hat man nun zwei Unbekannte, eine Email-Adresse die man nicht kennt und ein Passwort was man
nicht kennt.

Ich hoffe ihr könnt jetzt alle wieder ruhig schlafen  

Gruß
niemand

[geoexploration]

Ja gut, ich habe die Änderung des Login-Prozess vernommen.

Hinweis:

Alsdann muss man auch wahrscheinlich besser seine bisher im Forum öffentliche e-mail-adresse "verstecken"  d.h.  hier im Forum, nicht öffentlich machen. Ich habe dies dann im Bereich "Profil"  soeben getan.

Gruss

Geo

[geoexploration]

Ups.  getan ist gut.  Nur habe ich bereits 2x mal im Profil  das Kástchen "e.mail-adresse nicht anzeigen -empfohlen)" angeklickt, allerdings erscheint meine e-mail adresse trotzdem noch.....?  Habe ich was falsch gemacht?

Gruss

Geo

[geoexploration]

Problem hat sich erledigt.  Wenn ich ausgeloggt bin, erscheint nun meine e-mailadresse (im Gegensatz zu meiner früheren Konfiguration) nicht mehr.

Vielen Dank

Gruss

Geo

[nobody]

Hi Geo,
nein du hast nichts falsch gemacht. DU selber siehst ja immer dein Email  
Zur Kontrolle einfach ausloggen und als Gast einen Beitrag von sich selbst anschauen.
Es sollte dann NICHT dieses Icon sichtbar sein

[nobody]

Ups, hast es schon selber gemerkt 

[Kunckel]

 
Gut das wir Euch haben, die sich kümmern.javascript:void(0);
Danke!"!!
Kunckel

[Der Wikinger]

Auf Grund der oben beschriebenen Vorkommnisse haben wir den Login-Prozess abgeändert.
Ab sofort muß man sich mit seiner hier im Forum angegebenen Email Adresse + dem Passwort anmelden.

Hört sich ja fast wie längst vergessene DDR-Kanzleisprache an !! 

TOLL !! 

[werter47]

Hi Wicki,
nee, das hieß "Aus gegebenem Anlaß....."
Grinsender Günter

[quink]

 

[Archaeos]

ES IST MIT 100%ER SICHERHEIT AUSZUSCHLIESSEN,DAS EIN KONKURRENZFORUM ODER IRGENDWELCHE ARCHÄOLOGEN DAHINTER STECKEN!!!

Wow, da bin ich aber beruhigt