Mail blivit hackad trots skyhög säkerhet. Hur?

Vaknade upp imorse med en notifikation på min telefon, microsoft 2FA ville ha en approval för att logga in. Jag sov ju, så nekade den.

Men får en mail om ovanlig aktivitet från mitt konto, så kollar in den och ser att någon har lyckats logga in från Thailand på mitt Microsoftkonto. Under session activity så sysslade de med "Resolved unusual activity".

Jag förstår inte hur detta gått till.

• Har ett unikt lösenord som är riktigt långt, och används enbart till detta konto. Alla inlogg ska dessutom godkännas genom 2fa.
  
• Skriver aldrig mitt lösenord heller då det är lagrat i lastpass. Hittade inga shady sessions i Lastpass. Så en keylogger är inte rimligt heller.
• Angående andra malwares och keyloggers o grejer, jag använder enbart linux bortsett från på jobbet. Så inte rimligt med någon typ av malware heller.

Jag kan inte föreställa mig hur detta gått till. Att de fick mitt närmare 30-karaktärer långa lösenord, och kom förbi 2FA utan min approval.

Någon med en tanke hur detta gått till?

edit. Har kontaktat m$ för att se i detalj vad de gjort med kontot.. pw är också bytt

Låter väldigt märkligt. Borde inte ens vara möjligt med 2fa. Vad för 2fa har ms, Dongle eller sms?

Mycket märkligt..
De har en egen authentication app.

Känns som att min email blivit läckt nyligen, för ser att det är några fler försök att logga in på kontot, men misslyckade..
Såg inget listad i den där haveibeenpwned-sidan. Men spelar ingen roll, då ingen annan sida delade lösenord med mailen

Komprommeterad återställningsmejl eller telefon som stått som "huvudnyckel" för att kunna reseta kontot, all annan verifiering till trots kanske? Verkar vara en alltför vanlig bakdörr...

https://motherboard.vice.com/en_us/article/vbqax3/hackers-sim-swapping-steal-phone-numbers-instagram-bitcoin

https://www.svt.se/nyheter/inrikes/ar-du-radd-for-att-ditt-konto-ska-hackas-jag-har-samma-losenord-overallt

Skrämmande men möjligt... Kan kolla med m$ om denna 2-faktorsmetod blivit använd

lastpass är inte säkra. googla och se osäkerheten. skriv ditt lösenord istället.

Googlade men hittade inget specifikt med att det ska vara osäkert.
Enda problemet verkar vara att den lagrar ditt master password.

Men har premium och en fysisk yubikey till LastPass ändå

Cookie hijack. Har dom fått tag på kakan så hoppar dom över 2fa och kommer in.

Kan även vara SIM hijack. Man ringer in och ber teleoperatören att vidarebefodra samtalen till ett annat simkort pga stöld etc.

Såg du intrångsförsöken i Azure portalen eller i Outlook.com. Om det var via mail så var det nog bara ett phising försök.

Har du återställt ditt lösen på sista tiden? Är du säker att mailet du fick om ökad aktivitet inte var ett phishingmail så att du ska återställa lösenordet?

Antar att du kör Outlook? Eller Office 365?

Ändra lösenordet
Stäng av äldre protokoll som pop3/IMAP

Lastpass är "helt" säkert (as far as it gets). Anledningen är att dom krypterar hela containern och ditt lösenord är en del av nyckeln tillsammans med 2FA. Dvs får någon tag på databasen så krävs en mästernyckel per användare och det blor jobbigt.

Läckan som drabbade Lastpass var där viss info läckte, men ganska värdelöst. Dom lärde sig fort av sina misstag.

Du är säkrast med unika lösenord per site (15-30 tecken, random), 2FA överallt och städa cookies . Då är du säkrare än 90% av nätet.

Spara en offlinekopia av lastpass någonstans säkert.

EDIT: Cookie hijack fungerar bara om dom har fått tag på cookies från din burk eller fått dig ändra lösen via ett phisingmail dör du accepterar med 2fa. Dom använder sig av azure servers och får adressen microsoft.net b.la vilket fpr phisingsidorna att se väldigt legit ut.

En annan fråga är om dom ens kom in? Resolved unusual activity tyder ju på att dom blev blockade?

Tack för det utförliga svaret!

Alla äldre protokoll är avstängda, till min vetskap iaf. Osäker vad Outlook appen använder på telefonen - där används ett app password iaf.

Kör just sådan lösenordshygien som du nämner, även till Microsoft kontot (det är det enda lösenordet, plus master password, som jag kan utantill). Skönt med bekräftelse av Lastpass säkerhetsnivå.

*Men är du säker på det att "Resolved unusual activity" betyder att de blivit blockerade?
Jag uppfattar meningen som att de försökte rensa sina spår, men finner inget belägg för varken det ena eller det andra online.

Länken från microsoft var äkta, det dubbelkollade jag. Det sitter i ryggraden att inte lita på ett mail utan dubbel eller trippelkoll.


Kom i kontakt med Microsofts support igår (den äkta genom chat efter vidarebefordring från deras kontaktformulär). 1st line i Indien..
Hon föreslog (utan att ha konkret info) att det var min mobiltelefon som gjorde det. Att teleoperatörer ibland routar sin trafik genom olika länder, och att det triggar min 2fa app..
-No way. Telia skulle aldrig routa genom Thailand, för att sedan representeras som en Mac OS och Safari (äger ingen apple produkt).

Har nu en ticket med privacy teamet som faktiskt har insyn

Tjena igen,

Låter bra - men för säkerhetsskull ändra på lösenordet. Antar att du kör Outlook.com och inte Office365? Om du kör O365 finns det en hel del extra att göra.

Du kan som sagt stänga IMAP/POP3 då appen kör via exchange activesync.

Om du kör Outlookappen så generera en ny applösen.

Som sagt, kör du O365 an du även ha 2FA via mobilappen (du slipper applösen).

Lycka till!

Redan bytt både lösen och app password.

Ska säkra mig om det med IMAP/pop3. Kör inte o365 privat "dessvärre"

Tack för hjälpen!

"Resolved unusual activity". Det innebär att de stoppats men ha haft rätt lösen..

Men faktum kvarstår att de antingen haft ditt lösenord eller cookies