TeamViewer: Dienst angeblich von Hackern übernommen, einige Betroffene, Anbieter dementiert

artikel_teamviewer(UPDATE: HIER BEFINDET SICH EIN STATEMENT) Kuriose Nachrichten rund um das beliebte Fernwartungstool TeamViewer. Der Dienst litt schon den ganzen Mittwoch unter Störungen, so war die Webseite nicht erreichbar und auch das Warten anderer Rechner aus der Ferne über die TeamViewer-Apps war nicht möglich. TeamViewer gab Netzwerkprobleme als Grund des Ganzen an, teilte aber später mit, dass alles so funktioniere wie gewünscht – lediglich in einigen Regionen könne es noch etwas dauern. Bei Reddit tauchen mittlerweile einige Nutzern auf, die behaupten, ihre Rechner seien über TeamViewer kompromittiert worden.

Will heißen: Sie hatten eine TeamViewer-Instanz im Hintergrund laufen und wurden über eine ID und ein Passwort von anderen ferngewartet. Das Interessante ist: viele Nutzer beschreiben das sehr, sehr glaubhaft und liefern teilweise sogar Screenshots mit – denn die Angreifer haben den Vollzugriff auf die Rechner genutzt, um Überweisungen vorzunehmen und ähnliches. TeamViewer indes behauptet, dass man keinen Einbruch feststellen konnte.

Schräge Geschichte, gerade weil sich so viele Menschen via Reddit und Twitter zum Thema äußern. Momentan heißt es da wohl eher: Holzauge sei wachsam und ziehe mal kurzzeitig bis zur vollständigen Aufklärung dem TeamViewer’schen Stecker. Bereits in der letzten Woche äußerte sich TeamViewer zu Bedenken, die jetzt aktuell durch die angeblichen Fremdzugriffe wieder hochkochen.

Verschwörungstheorie: Was wäre, wenn TeamViewer einen Hack mitbekommen hat – und aus diesen Gründen die DNS-Server geändert hat, um den Dienst und damit die Opfer nicht mehr erreichbar zu machen?

Auf der anderen Seite muss man festhalten, dass derzeit auch eine Backdoor-Software die Runde macht, die auf Windows-Systeme abzielt, TeamViewer im Hintergrund installiert und so eine Remote-Verbindung aufbaut:

A Trojan for Microsoft Windows that is spread by Trojan.MulDrop6.39120. The Trojan’s main payload is incorporated into the avicap32.dll library. Trojan.MulDrop6.39120 runs TeamViewer that automatically loads the library to the computer’s memory. All lines, imports, and functions of TeamViewer’s process are actively implemented by this malicious library. The most critical parts of the Trojan’s code are encrypted with base64 and RC4.

When running, the Trojan removes the icon of TeamViewer from the Windows notification area and disables error reporting. BackDoor.TeamViewer.49 also intercepts calls for some system functions to hide the TeamViewer window.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

25 Kommentare

  1. Ist nem Kumpel von mir passiert, ein Typ aus China hat erstmal PayPal in seinem Browser gecheckt und nicht mal den Verlauf gelöscht. Ist aber schon paar Wochen her.

  2. überweisungen mit tan usw ? nur über rechnerzugriff ? hmmm. bin gespannt auf die klärung der nächsten tage

  3. und paypal zugriff offen ohne auth über browser ? wer ist da wohl schuld oder fahrlässig ? 🙂

  4. „(…) die DNS-Server geändert hat (…)“ ist fachlich gesehen keine korrekte Aussage, vermutlich meintest die die DNS-*Einträge*. Aber auch dies wäre merkwürdig, wenn man den Dienst unerreichbar für Angreifer => Opfer machen möchte, wäre es viel logischer einfach in der Firewall auf den TeamViewer Servern alles zu blocken oder einfach die Webapplikation stoppen bis man die Sicherheitslücke behoben hat.

  5. Bastian Dietz says:

    Ich habe in den letzten 2 Wochen 2 Anfragen via Teamviewer bekommen, die mich bei Teamviewer „eingeladen“ haben. Hätte ich hier blindlings zugestimmt, hätten diese Typen meinen Rechner evtl. auch übernehmen können. Von daher gehe ich auch erst mal von Social Engineering aus..

  6. Teamviewer hat bei mir schon vor einigen Monaten …….

    Grundlos behauptete der nach einem Update ich würde ihn Kommerziell nutzen und verweigerte dann ständig den Dienst.

    Der Support von TV hatte mir nicht helfen können. 🙁

    Leider wird der trotzdem viel von anderen benutzt so muss ich ihn nun immer in einer Virtuellen Maschine ausführen.

    Aber ich bin nun echt auf der Suche nach einer Alternative. Jemand zufällig gute zuverlässige Ideen?

  7. @wpressy: AnyDesk
    Wenn ich mich nicht irre, sind das ehemalige TV Entwickler

  8. Sebastian says:

    Ich bekam vor ein paar Tagen eine Freundschaftsanfrage im Teamviewer. Da ich ihn aktuell eh nicht installiert hatte und ich neugierig war hatte ich erst einmal angenommen. Im Verlauf sah ich dann dass ich mich irgendwie per XP im TV angemeldet hätte. Da ich aber kein XP nutze fand ich das etwas kurios. Ich löschte den Kontakt wieder und änderte erst einmal vorsichtshalber mein Passwort.

  9. Das sind hier 2 komplett verschiedene Probleme, dass mit den gehackten Accounts hat mehr mit Social Engineering und gehackten Acounts bei Mail Provider oder andere Dienste wie der Linkedin Hack zu tun. Zudem verwenden sehr viele User gleiche Passwörter bei unterschiedlichen Dinge oder eben sehr einfache, was es kriminelle dann leichter ausnutzen können.

    Der Ausfall heute sah mir sehr stark nach einer DDoS Attacke aus, vermutlich auf den DNS, da ich bei Tests zu allen öffentlich angegebenen Name Server 99% Packet Loss feststellen konnte.
    Nachdem scheinbar die DNS Server die IPs gewechselt haben, waren die diese wieder Erreichbar und hatten auch kein Packet Loss mehr.
    Alle andere Dienste waren alle nicht per DNS, aber direkt per IP erreichbar und hatten keinen Packet Loss. Von dem her scheint mit dies mit hoher Wahrscheinlichkeit der Grund für den Ausfall zu sein!

  10. Herr Hauser says:

    „denn die Angreifer haben den Vollzugriff auf die Rechner genutzt, um Überweisungen vorzunehmen“

    Wie soll das gehen?

  11. Berserkus says:

    Ich gehe auch davon aus das die Leute im Prinzip selber schuld hatten, den auch bei mir wurde in den letzten Wochen laufend Anfragen gestellt. Die ich natürlich abgelehnt hatte. Da die aber erstmal wissen müssen wer hier sowas überhaupt installiert hat usw. gehe ich stark davon aus das da in der Tat was gehakt wurde.

  12. Das ist ganz einfach, man kann bei TeamViewer wie auch bei vielen anderen Dienste einen Account anlegen. Diesem Account können Kontakte und PCs hinzufügt werden, bei PCs sogar Passwörter eingetragen werden. Bedeutet wenn der Angreifer Email + Passwort des Accounts hat und sich dann im TeamViewer Client einloggt, kann er sich einfach mit einem Doppelklick bei allen hinterlegten PCs einloggen, bei denen auch das Passwort fest eingetragen ist. Private PCs sind teilweise nicht mal mit einem Windows Passwort versehen oder wiederum mit einfachen oder dem gleichen….

    Kontakte kann man auch einfach eine Aufforderung für die Remote Steuerung zuschicken und es erscheint eine Meldung, ob man die Steuerung zulassen möchte. Nicht jeder liest sowas genau oder weiß sofort was er tut, sondern klickt einfach und wundert sich dann, weshalb sich der Mauszeiger bewegt…

    Also gar nicht so schwierig, aber prinzipiell ist das kein Hack, sondern einfach eine Funktion des Programms.

  13. Das mit dem Backdoor-Trojaner kann auch gut sein!!! So einen Fall hatten wir in der Firma vor 2 Jahen mit LogMeIn auch. Meistens ist dann Java oder Flash das eigentliche Problem.

  14. Wir benutzen TeamViewer beruflich in der ganzen Firma mit unseren Kunden und ich hatte heute keinerlei Probleme und auch nichts gehört, dass Kollegen Probleme hatten.
    Wenn Leute irgendwelche fremden Anfragen einfach annehmen, etwas installieren oder ausführen, dessen Herkunft sie nicht kennen, dann sind sie selbst schuld.

  15. Warum werde ich über den Feed aus feedly auf die AMP Seite geleitet?!

  16. Habe gerade ein Fragezeichen über dem Kopf. Wie soll das mit den Überweisungen gehen, ohne PIN, TAN, mTAN oder was auch immer.

  17. amyristom says:

    Dies ist uns vor wenigen Tagen passiert. Haben einen Teamviewer Account auf dem mehrere familieneigene PCs gebunden sind. Plötzlich hatte sich ein Fremder auf seinem Notebook eingeloggt und sofort versucht, im Browser Paypal und eBay zu öffnen. Zum Glück hatte er es mitbekommen und konnte alles schnell genug unterbinden.
    Haben jetzt sowohl bei Teamviewer als auch Paypal & Co. die 2-Faktor-Authentifizierung drin und alle Passwörter geändert, zudem muss nun beim Login auf die einzelnen Rechner nochmals ein jeweils anderes Kennwort eingeben werden.
    Nebenbei kann sowas schnell böse ausgehen: ich kenne nicht wenige, die haben z.B. KeePass aktiv im Hintergrund laufen damit Zugangskennwörter schnell an den Browser ausgeliefert werden können (dazu muss es aktiv entsperrt laufen). Wenn dann über Teamviewer jemand fremdes Zugriff auf den Rechner bekommt, steht schnell Amazon, eBay, Paypal & Co. für diesen jemand offen.

  18. Wie oben schon von einigen berichtet habe ich die letzten Wochen auch dubiose Kontaktanfragen über Teamviewer bekommen.

  19. Teamviewer selber meldet sich mittlerweile auch zu Wort:
    https://www.teamviewer.com/en/company/press/statement-on-service-outage/

  20. Moin
    auch bei TV gibt es Zwei Faktor Authentifizierung. Sollte auf jeden Fall genutzt werden.
    Danke
    Der Dingens

  21. Mich hat es am Wochenende auch erwischt. In einer ca. 20Minütigen TV Sitzung auf meinem HomeServer wurden mir rund 2000 Euro von meinem PayPal Konto auf diverse andere Konten überwiesen, sowie bei Amazon iTunes Karten gekauft.
    Interessanterweise hat Amazon all diese Einkäufe ohne mein Zutun storniert und meinen Account gesperrt. PayPal hat zumindest die Erstattung der Beträge angekündigt.

    Wir die Leute an mein TV Konto kamen, ist mir nicht bekannt. Mein HomeServer ist ein Windows 8.1 System, stets aktuell mit Avast als Antivirenschutz. Außer Emby und DVB Link, Chrome und TotalCommander lief sonst nichts zusätzliches auf diesem Gerät.

  22. @Mike wie sind die denn bitte von deinem Homeserver auf dein Paypal gekommen ? Hast du da dein Konto gespeichert, oder das gleiche Passwort wie das Teamviewer-Konto ? Ich kann mir einfach nicht vorstellen, dass du an der Situation keine Schuld hast.

  23. Ich habe auch trotz 2-fach authentifierzung ständig diese Kontaktanfragen.
    Vor 2 Wochen wurde auf einen PC aus meiner Liste eine Verbinung trotz 9 Stelliges Passwort von einem Unbekannten aus USA hergestellt und per Paypal wurden in US-Shops Downloadcodes und PSN Karten gekauft für insgesamt 700€ !
    Auch bei mir wird behauptet, es läge an gleichem Passwort, was einfach nicht stimmt. Team war über ein anderes PW mit 9 Stellen inkl. Zahlen und einem Sonderzeichen „gesichert“. Betroffender PC ist laut MalwaryBytes und Kaspersky Scan sauber! Mal abgesehen von dem Programm Webbrowser Passview, welches nach dieser Attake auf dem Desktop lag.
    Auch bei einem weiteren PC wurde in dem Zeitraum zugegriffen (anderes PW) und dort aber unterbunden, nachdem die Maus sich bewegte und im Outlook umhergeschaut wurde…
    Und ich bekomme noch immer diese Kontaktanfragen, welche ich stets ignoriere. Die Hacks momentan scheinen irgendwas damit zu tun haben.

    Ich habe nun zusätzlich die Whitelist aktviert, welche nur erreicht werden kann über meinen TV Login + Authy-Code. Meine Partner (Familie) öffnet nun wieder manuell TV und beobachtet alles genau mit einem komischen Gefühl.

    Leider haben wir keine Alternative, da häufiges hinfahren durch 50km Entfernung nicht in Frage kommt und wir seit etwa 5-7 Jahren problemlos TV nutzen konnten.

    Strafanzeige wurde gestellt, Paypal hat das Geld ersetzt. Teamviewer hat mir die Logs ausgelesen und die IP des Angreifers mitteilen können, welche aus den USA kommt.

    Teamviewer ist derzeit nicht sicher! ! !

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.