Fishing-Versuch im Chat / Schlüssel kompromittiert

Zitat von Malve

"Perfect Forward Security-Sitzung zurück gesetzt"

Hallo und willkommen im Forum

diese Meldung kommt dann, wenn eine ID gleichzeitig auf mehreren Geräten genutzt wird. Das ist aktuell (noch) nicht möglich.

Zitat von Malve

Mein Sohn erhielt dann die Nachricht, sein Schlüssel sei evtl. kompromitiert, da er auf einem anderen Gerät verwendet wurde.

Auch das deutet darauf hin.

Zitat von Malve

Ich gehe davon aus, das wir seine ID löschen werden

Zitat von Malve

vom Schlüsse-Klau bedroht sind

In diesem Sinn gibt es keinen "Schlüsselklau". Die ID an sich ist öffentlich. Wer sie kennt, kann dem Nutzer eine Nachricht schreiben. Das ist an sich nichts Schlimmes und alles andere als ein "Schlüsselklau".

Gruß Ingo

Zitat von schlingo

diese Meldung [PFS zurückgesetzt] kommt dann, wenn eine ID gleichzeitig auf mehreren Geräten genutzt wird

Nicht ganz. Zwar auch, und dann oft sehr häufig, aber sie kann auch bei Neuinstallation oder Gerätewechsel kommen.

Zitat von Malve

Der Chat taucht nur in meinem Handy auf.

Und auf dem Gerät, auf dem die ID deines Sohnes zu dem Zeitpunkt aktiv mit dem Server verbunden war. Ist seine ID nicht von euch auf mehreren Geräten zeitgleich aktiv, kann ein Dritter nur Zugriff auf den Schlüssel über ein Backup erhalten haben. ID-, Daten-Backup oder Threema Safe. Bei letzteren beiden sind die Kontakte und Gruppen enthalten. Nachrichten nur beim Daten-Backup.

Wenn sich der Verdacht erhärtet, dass der Schlüssel zur ID durch ein Backup kompromittiert wurde, widerruft bestenfalls die ID wie von Ingo verlinkt:

Zitat von Malve

Also muss dann ein Dritter Zugriff über ein Backup erhalten haben?

Meiner meiner Meinung nach wäre diese Szenario am ehesten wahrscheinlich um einen Schlüssel zu erbeuten:
a) jemand kennt die Threema ID. Woher auch immer.
b) Threema Safe aktiviert ist
c1) jemand ein zu einfaches Backuppassword erraten hat.
c2) Oder wahlweise diese Daten (ID & Backup PW) sich noch anderweitig auf dem Telefon oder einer Cloud befinden und eins von beiden kompromittiert wurde.

Zitat von Malve

Außerdem scheint es kein aufwändiger Betrugsweg zu sein, ich wurde nach Fotos einer Geschenkkarte gefragt, das hat einen Wert von 50-100 Euro maximal.

Automatisch gesammelte Daten aus kompromittierten Quellen, automatisch extrahieren und massenhaft automatisch anschreiben/anrufen durch Bot. Ein Aufwand für X Angriffe, wird schon ein paar mal funktionieren und läppert sich dann einfach zusammen.
Zu große Beträge sind vermutlich kontraproduktiv da diese misstrauisch machen, oder spätesten wenn jemand sich nicht eine Geschenkgutscheinkarte sondern 20 kauft auffallen.
Da hakt der Verkäufer mittlerweile schon mal nach.
Es wird sich sicherlich niemand die Mühe machen manuell zu versuchen 50€ zu erbeuten, aber automatisiert schon.

Zitat von schlingo

In diesem Sinn gibt es keinen "Schlüsselklau". Die ID an sich ist öffentlich. Wer sie kennt, kann dem Nutzer eine Nachricht schreiben. Das ist an sich nichts Schlimmes und alles andere als ein "Schlüsselklau".

schlingo
Die Nachricht wurde nicht an den Sohn sondern von dem Accounts des Sohn gesendet somit ist hier nicht die ID sondern der Schlüssel betroffen und ich denke nicht das Malve die Bedrohung für die Familie durch den abhanden gekommenen Schlüssel des Sohnes meint (obwohl dadurch auch schon leicht schon bestehe Charts missbraucht werden können), sondern das auf gleichem weg die Schlüssel andere Personen auch abhanden kommen können.

Zitat von Malve

mich treibt um, wieso sich jemand mir gegenüber im Chat als mein 10-jähriger Sohn ausgeben kann - mitten in unserem regulären Chat, das war keine neue Unterhaltungsanfrage

Die Nachricht(en) sind bei dir im bisherigen Chat, da es kein neuer Kontakt ist. Es ist weiterhin die identische ID, wenn auch der Verfasser dahinter ein anderer ist.

Das Szenario ist wahrscheinlich wie von Robby beschrieben: Erratenes Threema Safe Backup oder anderweitig Zugriff auf ein Backup erhalten.

Deine Antworten gehen beim Dritten ein, der die ID deines Sohnes nutzt. Auf dem Gerät deines Sohnes wird es nie ankommen. Nachfolgende können es jedoch, wenn sein Gerät zuletzt am Server aktiv war. Dann gibt es wieder eine PFS Meldung im Chat.

Am besten ein Widerrufkennwort setzen, die ID widerrufen und mit neuer ID starten. So sperrt man auch den Angreifer aus, da er die kompromittierte ID nicht mehr verwenden kann.

Frage deinen Sohn ob er ausschließen kann, daß das besagte Handy (auf einer Reise) nicht in unbefugte Hände gekommen ist.

Hallo Malve,
erstmal mein Beileid zu dieser beunruhigenden und ekelhaften Erfahrung! 🤬

Vieles wurde hier schon gesagt, aber ich möchte noch einmal versuchen,
die Antwort auf Deine Frage, ob Du selber und andere Kontakte auch bedroht sind,
zumindest näherungsweise zu beantworten.

Deiner Beschreibung nach ist offensichtlich, dass die ID Deines Sohnes auf einem
anderen Gerät aktiviert wurde um Dich von diesem aus zu attackieren.
Das löst auch dann die Meldungen "PFS-Sitzung zurückgesetzt" und die Nachricht mit
dem kompromittierten Schlüssel auf dem Ursprungsgerät aus, wenn es sich nicht um einen
Angriff, sondern einen "normalen" Vorgang handelt. Die Inbetriebnahme einer vorhandenen
ID auf einem anderen Gerät ist meines Wissens nur über ein Backup möglich.
Wurde hier alles schon erwähnt, nur zur Zusammenfassung.
Die ID selber ist öffentlich und daher nicht schwer zu erlangen, auf welchem Weg auch immer.

Die erste Frage wäre, ob es nicht doch eine mögliche Attacke gibt, mittels derer eine
vorhandene ID auf andere Art auf einem anderen Gerät in Betrieb genommen werden könnte.
Ich bin da technisch nicht tief genug drin, um es abschließend beantworten zu können,
halte es aber für nahezu ausgeschlossen, weil threema ja serverseitig mitspielen müsste.
Nur, um diese abwegige Überlegung zu erwähnen. Klammern wir die jetzt mal aus.

Damit bleibt nur die Variante, dass in irgendeiner Form Zugriff auf ein Backup genommen
wurde. Das von Dir beschriebene Passwort klingt ausreichend sicher, um brute-force und dictionary Attacken mindestens eine Weile zu widerstehen, war also in Ordnung.

Damit komme ich zu dem Punkt "MamaHandy", den ich recht interessant finde.
Eine Frage ist, wo der Ausdruck eigentlich herkommt. Es ist ja nicht die ID.
Je nach Variante des Backups (hab nicht genau gefunden, welches Ihr gemacht habt?),
kann das natürlich darin enthalten gewesen sein. Ansonsten vermutlich auf dem Telefon Deines
Sohnes. Ich halte jedenfalls den Aufwand bei einer strukturierten, selbst wenn automatisierten Attacke für relativ hoch, um die Daten dann dermaßen dämlich zu nutzen.
Selbst der einfachste Übersetzer und die dümmste KI wären vermutlich in der Lage, den
Zusammenhang zwischen "Mama" & "Handy" zu erkennen und diese auseinanderzunehmen, auch automatisiert und unabhänging von der Sprache eines Angreifers. Ein Angriff mit "Mama"
allein, wäre also zumindest wahrscheinlich. Attacken dieser Art, die ich bisher gesehen habe,
leisten sich zwar öfter mal Übersetzungsfehler und dubiose Formulierungen, werden aber immer besser. Diese Typen wollen ja was erreichen. Möglich ist es natürlich trotzdem.

Damit zu einer Erklärung, die wir noch nicht hatten. Ich spiele hier mal den Advokaten
des Teufels, bitte nicht gleich losprügeln. 🤕 Mit 10 Jahren haben die Kids heute in der
Regel schon ziemlich gutes technisches know-how. Gerade, was Smartphones angeht.
Und selbst die allerbravsten kommen schon mal auf blöde Ideen, oder wollen bloß was ausprobieren, oder lassen sich von Freunden verleiten... Falls Dein Sohn also selber das
Backup-Passwort hatte, oder irgendwie dran gekommen sein könnte, ist das zumindest eine Überlegung wert, um sie dann ad acta legen zu können. In dem Zusammenhang wäre das mit "MamaHandy" auch durchaus plausibel, weil "die Jungs" sicher schonmal irgendwo Spam gesehen
haben und sich überlegt haben könnten, wie sowas zu klingen hat.
Bitte sei nicht sauer, es ist nur einfach aus technischer Sicht eine der plausibleren Möglichkeiten. Ob das überhaupt sein kann, bekommst Du selber am besten raus.

Damit zurück zu den strukturierten Attacken.
Automatisiert & im größeren Stil, würde ja entweder bedeuten, dass jemand bei threema direkt
massenhaft backups gestohlen hat um diese nun systematisch abzuarbeiten, oder an anderer Stelle, wie schon von Robby unter Punkt "c" ins Spiel gebracht.
Die erste Variante halte ich für unwahrschenlich. Wäre jedenfalls bei threema bekannt.
Wenn überhaupt, eher die Zweite. Also auf den Smartphones selber irgendwie abgegrifen, oder massenweise aus der Cloud. Du bist mit Android unterwegs, Dein Sohn vermutlich auch.
Das erhöht die Wahrscheinlichkeit. Ich bin absolut kein Freund von Apple, aber in diesem Szenario halte ich es tatsächlich für sicherer.
Ich hab mal etwas im Netz gesucht, bei der Annahme einer automatisierten, strukturierten Attacke, die auf einem größeren Leak basiert, und nur so eine würde hier irgendeinen Sinn ergeben, müsste es zumindest ein paar ziemlich vergleichbare Fälle geben. Hab aber nichts Passendes finden können.

Damit zurück zur Ausgangsfrage:
Wenn in der mittleren Zukunft weitere, sehr vergleichbare Dinge in Deinem Umfeld passieren sollten, ist tatsächlich von einem Angriff auszugehen, der auf einem Leak basiert.
Ich halte das für eher unwahrscheinlich. Prophylaktisch würde ich aber Passwörter erneuern,
die auf Smartphones hinterlegt sind, wenn in Safes, dann eben die dort zugehörigen.
Selbiges mit allem Zeug irgendwo in der Cloud. WLAN Passwort des Routers erneuern und das sollte wirklich lang und komplex sein. Das ist ein Zugriffspunkt, den ich noch nicht erwähnt hatte. Nur, wenn jemand in Euer Netz eingedrungen wäre, wäre die Attacke viel präziser und weniger blöd gewesen. Und ich würde auf jeden Fall die ID erneuern.

Ich denke, die Bedrohung für Dich und Eure Kontakte durch "weiteren Schlüsselklau" ist
sehr gering. Versprechen kann ich es Dir aber leider nicht.

Zum Schluss noch: Denk dran, dass Smartphones, Smart-home appliances (Siri, Alexa & Co),
Smart-watches und so weiter alles an Daten sammeln, was sie bekommen können und gottweiß-wohin weiterverteilen. Passwort an der falschen Stelle gespeichert, oder im Extremfall auch nur irgendwem erzählt, während eine "Alexa" daneben steht, könnte in der Cloud landen, sogar
wahrscheinlich und dann irgendwann in einem solcher Leaks, von denen hier die Rede war.

Ich hab schon eine Reihe solcher Attacken selber gesehen, die kommen zum Teil auf unheimlich hohem Niveau. Selbst bei uns in der Familie gabs schon den "Enkeltrick" (der ist natürlich "old-school") und andere ganz üble Maschen. hat immer gut gegangen, weil wir ein ziemlich paranoider Clan sind. Im erweitereten Freundeskreis weniger. Da sind manche schon bös auf die Nase gefallen. Will damit sagen, dass
ich hier nicht aus dem luftleeren Raum komme.

Viel Glück & red mal Deinem Sohn ins Gewissen. Wenn er's wirklich nicht war und auch sonst keiner seiner Freunde oder so eine Chance dazu hatte, dann bin ich der Meinung dass man das Thema hier dringend weiter im Auge behalten sollte. 🧐

Ich kann mir da ehrlich gesagt noch keinen Reim drauf machen.

Für einen automatisierten Angriff wirkt es mir zu passgenau, wenn direkt die Rolle des Sohnes eingenommen wird. Es ist zudem sehr unwahrscheinlich, denn selbst mit einem schlechtem Threema Safe Passwort ist ein Brute Force Angriff quasi aussichtslos, da die Ableitung des Schlüssels nicht günstig ist und die Server zudem rate-limiten (d.h. man kann nur eine gewisse Anzahl an Versuchen tätigen über einen Zeitraum X).

Man sollte also eher von einem gezielten Angriff mit Vorwissen (z.B. Passwort des Backups bekannt) ausgehen. Dann wirkt das Vorgehen wiederum stümperhaft. Warum so viel Aufwand betreiben, wenn man dann "MamaHandy" schreibt?

Macht alles keinen Sinn. oMPete könnte da auf einer Spur sein.

Ein illustres Geschehen. Wie bereits zusammengetragen wurde, kann hier so einiges vorgefallen sein. Imho auszuschließen: eine Fehlfunktion Threemas. Meine Wette von der Tribüne: Das Smartphone des Filius ist kompromittiert worden. Dazu kann schon der Anschluss an ein fremdes Kabel oder Nutzung eines fremden WLANs ausreichend sein.

Für Wissen über (Grundlagen von) Cyberrisiken kann man nicht zu jung / oder alt sein.

Malve
Danke für die Antwort, das hilft etwas weiter. Ich stimme mit Lenny überein:
Zu spezifisch / untypisch für eine automatisierte Attacke. Aber auch sehr ungewöhnlich
für einen individuellen Angriff. Trotzdem sieht es zunehmend nach letzterem aus.
Möglicherweise testet jemand etwas aus. Ich würde die erfolgte, nächtliche Konversation noch mal Wort für Wort unter die Lupe nehmen
und vor allem jede Frage dort auf die Goldwaage legen. Was wir bisher gesehen haben, wirkt extrem stümperhaft und unlogisch,
aber möglicherweise übersehen wir ein weiteres Folgeziel. Natürlich solltest Du das nicht hier veröffentlichen,
je nachdem was sonst dort gesprochen wurde.

Das merkwürdige ist, dass es ohne Backup-Passwort eigentlich nicht möglich gewesen sein sollte.
Zusammen mit dem, was Du über das Backup geschrieben hast, mal eine Theorie:
Telefon wurde gehackt / geklont z.B. irgendwo unterwegs. Oder jemand hatte tatsächlich persönlich die Finger dran.
Diese Person hat selber ein frisches Backup initiiert, mit eigenem Passwort und damit dann die ID neu auf einem anderen Gerät in Betrieb genommen.
Dann Dich nachts kontaktiert (falls nicht aus dem Ausland mit Zeitverschiebung).
Alles im ersten Schritt nur um herauszubekommen, ob es geklappt hat. Und dann eben die
Frage, was in der Konversation noch so besprochen wurde. Bot oder KI halte ich für
unwahrscheinlich, es sei denn, jemand wollte die Qualität des Bots unter Realbedingungen testen. (Viel Aufwand, unwahrscheinlich, unlogisch.)

Das Alter Deines Routers ist nicht so schlimm und Nachhaltigkeit immer super!
Falls noch möglich sollte nur das letzte Firmware-Update drauf sein und das Teil sollte auf jeden Fall WPA/WPA2 Verschlüsselung können.
Tipp: lange Passwörter erhöhen die Sicherheit dramatisch. Ich benutze überall mindestens 20+ Zeichen, also z.B. hier im Forum.
(M)Ein Routerpasswort gerne deutlich länger, muss man selten dran. Also 30-60+ Zeichen, oder was der Router kann.
Und natürlich immer große, kleine Buchstaben & Sonderzeichen. Ist lästig, aber das macht einen riesigen Unterschied.

Falls Du am Ende nicht herausbekommen kannst, was das genau war, würde ich ein Auge aufhalten, auf alles, was irgendwie komisch daher kommt.
Sei drauf vorbereitet, dass echte Attacken viel besser aufgestellt sind. Die meisten Leute laufen ins Messer, weil sie einfach nicht glauben können,
dass etwas nicht stimmen könnte und die Verbrecher arbeiten zudem oft mit Schock oder Mitleid und meistens Zeitdruck.
Würde ich der ganzen Familie eintrommeln, besonders auch den Senioren.

2 Punkte noch:
Erstens hab ich selber schon Attacken erlebt, die sich über Jahre (ca. 10) hingezogen haben und nur einmal im Jahr kamen.
Immer mit einer anderen Masche, aber immer von derselben Quelle. Und sehr gut gemacht. Wenn ein Angreifer einmal qualifizierte Daten hat,
lassen die oft nicht so schnell locker.
Zweitens ist tatsächlich KI im kommen. Nur sind die Angriffe dann alles andere als blöd.
Mit genug Audiodaten vom Original, bekommt die Oma einen Anruf mit der Stimme des Enkels in einer Notsituation und absolut überzeugend.
Da cool zu bleiben ist extrem schwierig. Etwas leichter, wenn man sich vorher drauf vorbereitet hat und Methoden zur Prüfung überlegt.
z.B. schnell nebenbei auf anderem Weg (2tes Telefon...) die Person - hier den Enkel - kontaktieren, ob das auch stimmt.
Mittlerweile gibt es tatsächlich schon erste Beispiele für Angriffe mit Bild / Video.
Natürlich war das Beispiel hier recht knapp und es gibt hunderte Variationen, die Verbrecher sind sehr erfinderisch, clever und oft gut organisiert.
Ich schreib eh schon immer zuviel.
Will Dir keinesfalls Angst machen, aber wir leben in einer Welt in der die Technologie viele Möglichkeiten bietet
und falls wirklich jemand an Dich herangegangen ist, der mehr als nur einfachen Blödsinn im Sinn hat,
dann hat die Person vermutlich ein nachgelagertes Ziel im Auge.