Ich frage mal hier weil ich sonst in keinem Forum bin. Weiterhin denke ich, dass es hier viele EDV-Experten gibt.

Gestern habe ich einen Schrecken bekommen, als ich mich plötzlich nicht in mein WEB.de Postfach anmelden konnte. Da ich, obwohl das Postfach nicht komplett unwichtig ist, keine Wiederherstellungsinformationen hinterlassen habe, war die Wiederherstellung etwas kompliziert. Es hat schon seine Zeit gedauert. Letztendlich ist es mir um sieben Ecken gelungen wieder drauf zuzugreifen.

Und dann der Schreck. In meinem Postfach hatte ich eine E-Mail mit dem Betreff:

Die Textfolge "sdh/ew934§xds46" war mein altes Passwort (nicht wirklich, ich hab es hier abgeändert, aber da stand mein altes Passwort). Natürlich wurde das alte Passwort geändert.

Was ich jetzt nicht weiß ist: bin ich wirklich gehackt worden, oder ist da ein Trick dahinter. Einerseits stimmt das PW, und es wurde geändert, oder zumindest konnte ich mich nicht einloggen.

Hier ein Auszug der E-Mail:

Normalerweise bin ich nicht so schnell aus der Ruhe zu bringen, aber hier weiß ich nicht ob es ein Trick ist oder ich tatsächlich gehackt wurde. Vor allem der vorletzte Punkt Woruber sollten Sie sich Sorgen machen? ist Quatsch. Also das mit Erwachsenenseiten oder Webcam. Hat er nicht. Konnte er nicht. Auch einige andere Sachen wie z.B. wie der Trojaner auf mein PC kam (Über angeklickte E-Mail Account). Der Weg wäre unwahrscheinlich. Sowas mache ich nicht.

Was mich angeht ist die E-Mail sehr allgemein. Einiges ist üblich, einiges stimmt hier nicht. Das kann ich ausschließen. Auch der Hinweis:

Punkt 1 scheint zu stimmen, der Absender ist meine E-Mail-Adresse, das ist kein Beweis. Absenderanderesse kann man fälschen.

Was er will ist sind $500 in Bitcoint.

Was mich verwirt ist, dass das Passwort stimmt und der Zugang gesperrt war. Auf der anderen Seite stimmen einige Punkte in der E-Mail nicht.

Was meint Ihr? Echter Hack oder guter Trick?

Du solltest als erstes prüfen, ob das Kennwort schlicht in einem Leak enthalten war. Wenn du deine Kennwörter im Google Konto speicherst, geht das ganz einfach hier:
https://passwords.google.com/checkup/start
Da solltest du aber ggf. auch direkte Warnungen bekommen.

Hast du das Kennwort auch woanders verwendet?

Sorgen musst du dir um den Rest nicht machen, aber wenn es keine Erklärung für das kompromittierte Kennwort gibt, solltest du den Rechner neu aufsetzen.

Wenn etwas in der Mail steht von wegen "Sie sind wohl großer Fan von Erwachsenenseiten", ggf. inklusive der Behauptung von Aufnahmen per Webcam - das ist eine Standardmail.

Das Passwort stammt vermutlich aus irgendwelchen Leaks, ggf. nach Abgleich mit Rainbow-Tables. Dass die Quelle dein kompromittierter Rechner war, ist natürlich nicht auszuschließen, aber von einem gezielten Hack würde ich nicht ausgehen. Bei mir kam auch mal so eine Mail mit dem echten Passwort rein - das war zu dem Zeitpunkt aber längst geändert. Ich weiß nicht mehr, welcher Dienst es war, der vor etlichen Jahren mal ein größeres Leck hatte, aber daraus stammte das. Ab und zu kommt so eine Mail noch rein, dann aber mit Passwörtern die mir völlig unbekannt sind.

Wenn die Mailadresse Ausgangspunkt für den Zugang zu anderen Diensten war, würde ich da die Zugangsdaten aber jetzt ändern. Zumindest konnte der Angreifer ja auf dein Postfach zugreifen, wie es scheint.

Wenn er Zugriff auf deinen Rechner hätte, dann hätte man auch direkt auf deinem Rechner eine Nachricht interlassen können und eine eMail wäre unnötig.

Ja, aber irgendwoher muss das Kennwort kommen. Entweder es wurde irgendwo ebenfalls verwendet, wo es ein Leak gab, oder es wurde via Phishing eingegeben oder es hatte vielleicht doch jemand Malware auf dem PC. Das muss aber nicht der Schreiber der Mail sein, so dass das noch lange nicht hieße, dass derjenige Zugriff hat oder hatte. Solche abgegriffenen Daten werden ja im Darknet verkauft, so dass die "Verwertung" andere übernehmen.

Phishing ist unwahrscheinlich. Zumindest kann ich mir das nicht vorstellen, da ich weder auf unbekannte E-Mail-Anhänge klicke, noch mich über E-Mail Links anmelde. Wenn sich z.B. PayPal meldet, rufe ich Paypal in einem neuen Tab selbst auf. Niemals über ein Link. Den Trick kenne ich. Und was E-Mail-Anhänge angeht, so werden nur die von Personen angeklickt die ich kenne, z.B. Arbeitgeber oder Kollegen. Wobei für den Arbeitgeber und Kollegen habe ich eine andere E-Mail.

Was mir aber gerade einfällt ist, dass ich das Postfach für eBay nutze, und darüber gelegentlich Rechnungen bekomme. Es sind aber ganz sicher nur PDF-Dateien, weil WEB.de immer ein Thumbnail der PDF anzeigt.

Das ist immer meine größte Sorge, da viele Leute diese E-Mail Adresse bekommen. Auch viele Chinesen. Ich bekomme schon gelegentlich Phishing E-Mails, und einige sind verdammt gut. Einige sind so gut, dass ich für einen Moment einen Schrecken bekomme, weil alles perfekt ist.

Was interessant ist, die E-Mail ist auf den 28.02.2054 datiert.

Übrigens habe ich mein Passwort über die Webseite https://haveibeenpwned.com überprüft. Ist unbekannt.

Das ist auch Standard, denn dadurch wird die bei den meisten Anbietern ganz oben in der Liste angezeigt, denn es ist ja die neueste Mail...

Wenn dir kein Weg einfällt, wie das Passwort gestohlen werden konnte, sprich du es nicht für andere Anbieter verwendet hast, und auch sonst vorsichtig warst, würde ich zur Sicherheit den PC neu aufsetzen oder ein Backup verwenden, das älter ist als das Passwort.

Ich werde mir überlegen was ich machen werde.

Was mir auffällt ist, dass es in der E-Mail keine Umlaute gibt, obwohl der Rest gutes Deutsch ist.

Eine solche E-Mail habe ich schon mehrfach erhalten. Für mich hat sich das ganze immer an der Stelle erledigt, wo behauptet wird ich würde Pornoseiten besuchen (was ich definitiv nie mache).

Das mit dem Passwort hatte ich jedoch noch nie gesehen, dass ist neu. Ich würde die E-Mail so bewerten, dass der Hacker zwar dein Passwort erhalten hat, jedoch nie einen Zugriff auf deinen PC oder deinem Postfach hatte.

Wenn er wirklich einen Zugriff hätte, dann wären ganz andere Aktionen erfolgt (Stichwort Sozial Engineering). Der Hacker hätte bei all den Informationen ganz andere Möglichkeiten gehabt, mit denen viel mehr Geld erbeutet werden könnte.

Ein zurücksetzen aller Passwörter wird jedoch das Minimum sein.

Mit fast 100%er Wahrscheinlichkeit ist es eine Masche um an deine Daten zu kommen.
Ich habe schon mehrere E-Mails in der Art bekommen. Allerdings haben Sie mein Passwort nie genannt.
Für dein altes Passwort gibt es viele Möglichkeiten es zu erfahren.
Hier paar Beispiele.
1: Du hast das Passwort für andere Zwecke auch benutzt und die Datenbank geleakt wurde.
2: Dein Passwort war schwach (8 oder weniger Zeichen) und wurde per Bruteforce geknackt
3: Du hast die einen Stealer eingefangen (Höchstwahrscheinlich dein Fall). Dann würde ich überall das Passwort ändern.
4: Du hast irgendein Skript bestätigt, der dein Passwort geloggt hat.
...
...
Es gibt noch viele andere Arten deine Daten zu klauen, Hirn einschalten beim Surfen im Netz ist die beste Lösung. Bitte NIE dem AV 100% vertrauen.
Gerade hier in Forum wissen bestimmt viele, dass AV schnell zu umgehen ist.
Selbst falls du tatsächlich Dreck am Stecken haben solltest, haben die Piraten garantiert nichts von dir, außer dem Passwort, den Sie nutzen wollen, um dich zu erpressen.
Tipp: Passwortmanager mit Verstand nutzen und Passwörter mit 20+ Zeichen benutzen. Beispiel: Ci=g~w_Y3#!g]Qztv$37
Per Bruteforce zu Lebenszeit kaum zu knacken. ACHTUNG! Das ist keine Sicherheit gegen einen Stealer.
Wie schon gesagt, den Verstand nutzen hilft am meisten.