Beiträge von Malve

oMPete , du schreibst nicht zuviel, das hilft mir wirklich. Ich bin mir der technologischen Möglichkeiten sehr bewußt, alles gruselig. Ich gehe die Passworte alle durch und halte die Augen offen. Dank dir.

Die nächtliche Attacke startete mit einem "verpassten" Anruf, aufgelegt, 1sek klingeln und abgebrochen, bevor ich dran gehen konnte. Daher ging ich davon aus, dass der Anruf als Test oder Einfallstor irgendwie technisch relevant war. Erst als ich auf den Anruf zurück geschrieben habe "Hast du mich angerufen" (Handy des Sohns lag ja neben mir, daher war neugierig und erschreckt) startete der Chat. Gespräch selbst überhaupt gar nicht persönlich, nur "wie geht es dir - ich liebe dich - kannst du mir eine Geschenkkarte besorgen". Auf Nachfragen nach mehr Details von mir keine Antwort. Austausch von 12 kurzen Nachrichten in 10 min, dann sofort wieder Perfect Forward Security Sitzung zurückgesetzt und neue Perf.For. Security.

Wirkt in der Tat wie ein Testballon. Fies.

oMPete und Lenny , sehr informativ und ich denke in eine ähnliche Richtung. Der Angriff war so dämlich, dass es nach etwas massenhaftem klingt.

Als MamaHandy bin ich in seinem Threema Account abgespeichert. Seine Handy hat ja keine Telefonkarte, dort also auch keine Kontakte abgelegt.

BackUp sagt: Threema Safe, Standardserver, kein Datenbackup. Ergebis eines als Vorgestern (nicht von mir aktiv, weiß nicht, ob Threema das automatisiert tut) durchgeführten Backups: Verbindungsfehler.

Ich bin nicht böse, meinen Sohn oder Kameraden als Verursacher zu durchdenken, halte das aber zumindest für unwahrscheinlich, da:
- das nachts um kurz vor Mitternacht war und er schlafend im Bett lag
- er das Backup Passwort nicht kennt
- Kameraden auch nicht so dämlich wären, mich als MamaHandy anzusprechen
- Kameraden vermutlich nicht auf Geschenkkarte gekommen wären (die als 10jähriger auch nicht einfach einzulösen ist), sondern irgendwelche fäkalen Witze oder so gemacht hätten
- Kameraden dafür ja extra kostenpflichtig Threema hätten kaufen oder ihr eigenes Profil vorübergehend hätten deinstallieren müssen (glaube ich)
- Neben Omas und Opas nur drei Kameraden in der Kontaktliste sind. Also überhaupt nur etwa 10 Kontakte.
- die Person oder der Bot nicht wußten, dass sie einen 10-Jährigen darstellen. Z.B. um kurz vor Mitternacht zu schreiben "ich gehe jetzt schlafen, wir sprechen morgen".

Auf Reisen im Zug oder so kann das schon sein, dass jemand daran gekommen ist. Da ist das Handy auch im öffentlichen Wlan, weil ja eigentlich gar nix Relevantes da drauf ist.

Danke auch für die Sicherheitshinweise. Smartwatch, Alexa etc. haben wir nicht. Router ist sehr alt, das könnte sein, aber warum dann nur diesen einen seltsamen Angriff. Passwort Router und Android/Google habe ich geändert. Handy ist auch sehr alt und erhält keine Sicherheitsupdates mehr. Da beißen sich Nachhaltigkeit und Sicherheit leider ständig

ID werden wir heute löschen, mein Sohn muss aber vorher noch ein paar Stop Motion Videos aus dem Chat sichern, weil er mit einem Kumpel an einer gemeinsamen Geschichte bastelt, für die sie beide jeweils Videos drehen.

Vielen Dank allen. Ich war, vermutlich naiverweise, davon ausgegangen, das Threema hier sicherer wäre.
Mit dem Sicherheitsargument (v.a.: ohne Telefonnummer nutzbar) hatte ich auch die Großeltern dazu gebracht, Threema statt WhatsApp mit dem Enkel zu nutzen. Doof.
Das Backup Passwort war meines Erachtens nicht simple (eine lateinische Denomination + Zahlenkombi, hat für mich ein merkbares System), daher tippe ich eher auf anderweitigen Zugriff. Und tatsächlich automatisiert ("Ich liebe dich, MamaHandy" schreibt kein Mensch). War ein sehr generischer Gesprächsverlauf.
ID werden wir löschen, Widerrufskennwort habe ich.

Zitat von jnL

Nicht ganz. Zwar auch, und dann oft sehr häufig, aber sie kann auch bei Neuinstallation oder Gerätewechsel kommen.

Und auf dem Gerät, auf dem die ID deines Sohnes zu dem Zeitpunkt aktiv mit dem Server verbunden war. Ist seine ID nicht von euch auf mehreren Geräten zeitgleich aktiv, kann ein Dritter nur Zugriff auf den Schlüssel über ein Backup erhalten haben. ID-, Daten-Backup oder Threema Safe. Bei letzteren beiden sind die Kontakte und Gruppen enthalten. Nachrichten nur beim Daten-Backup.

Wenn sich der Verdacht erhärtet, dass der Schlüssel zur ID durch ein Backup kompromittiert wurde, widerruft bestenfalls die ID wie von Ingo verlinkt:

https://threema.com/de/faq/revoke

Danke schonmal! Mein Sohn lag schlafend im Bett, sein Handy ausgeschaltet in der Küche. Wir haben auf keinem anderen Gerät seine ID installiert.

Also muss dann ein Dritter Zugriff über ein Backup erhalten haben? Ist mir völlig unerklärlich und schon ziemlich seltsam.
Wir werden die ID auf jeden Fall wiederrufen, aber mich treibt um, wieso sich jemand mir gegenüber im Chat als mein 10-jähriger Sohn ausgeben kann - mitten in unserem regulären Chat, das war keine neue Unterhaltungsanfrage - und mich um Geld bitten. Bei einem Handy, das nur zuhause im Wlan genutzt wird.

Threema hat die Installation auf einem weiteren Gerät ja offenbar registriert und uns gewarnt.

Außerdem scheint es kein aufwändiger Betrugsweg zu sein, ich wurde nach Fotos einer Geschenkkarte gefragt, das hat einen Wert von 50-100 Euro maximal.

Wie kann eine ID/Schlüssel in diesem Fall kompromitiert/geklaut werden, ich verstehe es nicht: es kam ein Fishing-Chat (mit dem Inhalt: bitte kaufe mir eine Geschenkkarte) bei mir an im Chat mit meinem Sohn, der im Grundschulalter ist. Er hat ein Handy, das er nur Zuhause oder auf Reisen im W-Lan nutzt, keine Telefonkarte. Er hat nur wenige, uns bekannte Kontakte. Das Phishing startete mit einem Threema-Anruf von meinem Sohn an mich (nur 1 Sekunde klingeln, dann abgebrochen), dann eine kurze Konversation im Chat zwischen mir und Person/Bot am anderen Ende (ich habe den Verdacht Bot oder nicht-deutschsprachige Person, da ich mit "MamaHandy" angesprochen wurde). Vorher und nachher bei uns beiden die Nachricht "Perfect Forward Security-Sitzung zurück gesetzt". Der Chat taucht nur in meinem Handy auf. Mein Sohn erhielt dann die Nachricht, sein Schlüssel sei evtl. kompromitiert, da er auf einem anderen Gerät verwendet wurde. Ich gehe davon aus, das wir seine ID löschen werden, aber ich würde sehr gerne wissen, wie das passieren konnte und ob seine Threema-Kontakte (ich, Familie, Schulfreunde) auch vom Schlüsse-Klau bedroht sind. Danke für Ideen und Hinweise!