You are viewing a single comment's thread from:

RE: Please Be Aware Of This Hack - Secure Your Cryptos!

in #crypto-news7 years ago (edited)

Interesting read, a big topic for me these days
Thank you for writing about it!!!

Said my phone number was used to create my Steemit account and also for verification for crypto exchanges.
How can I check if my number is publicly visible now. And how can I change it?

I do have an old smartphone but can I use it if it doesn't have a working sim-card?

Sort:  

Hi Max.

Erschreckend viele Nutzer werden ueber die Handynummer und Passwort-reset option gehacked. In diesem Monat +10 Leute die ich kenne. Lese die Story von Kati Zachary im Link durch um zu sehen wie das genau aussehan kann.

Du kannst deinen Namen und Nummer mal googeln und schauen das da nichts auftaucht. Wie wuerde ein Hacker mittels Google versuchen deine Nummer rauszufinden? Denke wie er und schau dort nach - vielicht ueber deine Firma, Arbeitsplatz usw.

Dann Sichtbaerkeits Einstellungen be Facebook, Gmail, Google+ und allen anderen Social Media accounts abchecken.

Wie siehts es mit recovery options bei Gmail aus?
Das Gmail Account interface is mega unuebersichtilich aber die Arbeit lohnt sich.

Ich wuerde die email addresse, welche den Exchanges accounts zugeordnet is aendern und eine email adresse verwenden die du normalerweise nicht benutzt oder selten benutzt.

Wenn du bisher SMS verifikation gemacht hattest solltest du aud die 2FA via App umsteigen.

Dein altes handy ist perfekt. Vielleicht brauchst du einmal Wifi um die Google Authenticator App zu sychronisieren, aber danach kann es offline bleiben. SIM brauchst du nicht. Wichtig ist das du den 2FA backup code aufschreibst und das die Uhrzeit und Datum auf deinem Handy exakt stimmt! Den es wird ueber die Uhrzeit synchronisiert.

Ich hab es auch selber ausprobiert. Wenn meine email gehacked ist und Passwort reset ausgeloest wird muss man immer noch and der 2FA vorbei, und wenn diese auf einem anderen Geraet laueft ist das schonmal gut.

Danke für die umfassende Antwort

Gibt es einen Unterschied zwischen der normalen Google 2 Factor verification und der app authentificator?

Und was ich auch bei dem Link nicht ganz verstanden habe, wie läuft denn der Hack über Handynummer und Passwortreset genau ab. Irgendwie bin ich da nicht ganz durchgestiegen

Und ist es denn so smart meinen Namen und meine Telefonnummer zusammen zu googlen ? Dann expose ich die doch selber

Gerne! Ist dasselbe! Die zwei Kategorien sind: 1. Mobile/SMS authentifikation 2. App authentifikation

Google Authenticator ist die populaerste App aber es gibt andere wie "Authy" und "FreeOTP". Dann muss man gucken welche Apps von der Exchange unterstuetzt wird, die meisten nutzen die von Google.

Und wieder danke.

Ich hatte mein Reply noch um 2 weitere Punkte ergänzt. Vielleicht hast du da ja später noch Zeit drauf zu antworten

Zum Bekspiel haben ja auch Fluggesellschaften meine Handynummer bekommen. Also ist das auch nicht gut?!

Das hast du sehr richtig erkannt. Es ist eine unverschaemtheit das jeder Bauer der eine Webseite hat unsere Telefonnummer verlangt fuer seine Dienstleistung, den nun liegt die Sicherheit unserer Privatdaten in seiner Gnade.

Daher sollte man online moeglichst wenig Private Daten preisgeben. Laesst sich halt nicht ganz vermeiden.

Vor 3 Monaten wurde LinkedIn Datenbank geleakt und 140.000 Kontaktdaten preisgegeben, dass passiert immer wieder.

Das erste was Hacker versuchen ist ob das dortige passwort und email zu anderen Online Konten passt oder nicht. Die meisten Leute sind faul und verwenden immer das Gleiche.

Google diese separat. Wenn du sicher bist dein PC ist frei von malware.
Deinen Namen kannst du auf jeden Fall mal nachschlagen.

Der Telefon hack ist sehr raffiniert und es gibt mehrere Moeglichkeiten. Er basiert darauf das man eine Weiterleitung einrichten kann ohne grosse Sicherheitshuerden. Wenn ich DEINE Nummer kenne, ist es je nach Telefonanbieter nich allzu schwierig diesen zu ueberzeugen alle Anrufe/SMS an MEINE Nummer weiterzuleiten.

Hast du SMS PIN code aktiviert kann ich nun diese abfangen.

Ist den Email konto mit deiner Telefonnummer hinterlegt als Recovery Option, kann ich Email > Passwort Vergessen > Recovery PIN an Telefon senden - Option ausnutzten.

PIN abfangen, email passwort zuruecksetzen. Mit ein wenig Glueck war das deine Primaere Email adresse und jetzt habe ich Zugriff auf alle Konten die du mit dieser EMail adresse geoffnet hast ueber die
"Passwort vergessen" option.

Wenn du konkrete Beispiele sehen moechtest, wie das funktioniert, schaue dir diese "Opfer Berichte" an:

https://spir.ai/article/119/How%20They%20Hacked%20Me

https://medium.com/@CodyBrown/how-to-lose-8k-worth-of-bitcoin-in-15-minutes-with-verizon-and-coinbase-com-ba75fb8d0bac

https://techcrunch.com/2017/09/18/ss7-coinbase-bitcoin-hack-2fa-vulnerable/

Auf dieser (sicheren!) webseite kannst du nachschlagen, ob deine emailadresse von einem Datenleck betroffen worden ist oder nicht. Sie ist wirklich gut.

https://haveibeenpwned.com/

Super. Ich dank dir vielmals für die ganzen Infos. Da werd ich nochmal in Ruhe nachlesen.

Ich habe bei wichtigen Accounts, Emails, Facebook, Exchanges usw immer andere Passwörter und 2 verschiedene Emailadressen

Meine Telefonnumer hat nur Steemit, die Exchanges und ein paar Fluggesellschaften.
Soweit ich mich erinnern kann

Ich werde dann aber mal die 2 Faktor verifikation einrichten, obwohl da ja wohl Google meine Nummer bekommt

Gerne! Fuer die Google Authenticator app brauchst du die telefonnummer nicht :)