Хакер сменил пароль от bitcointalk.org

[Vadi2323]

Предыстория (родственная тема): Безопасность - роутер


Получил 2 письма:

• ссылка на смену моего "забытого" пароля:

  
  Dear Vadi2323,
  
  This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:
  
  <ссылка>
  
  IP: 173.224.120.147
  
  Username: Vadi2323
  
  Regards,
  The Bitcoin Forum Team.

• пароль изменён, если это был не я, то поменять снова через восстановление забытого пароля:
  

  Dear Vadi2323,
  
  Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address 173.224.120.147 via email recovery. If you did not do this, then you should use the forgotten password feature to change your password.
  
  Regards,
  The Bitcoin Forum Team.

Попробовал войти на форум - пароль действительно не подходит. Сменил через восстановление забытого пароля.

Посмотрел журнал посещений своей почты - там только мой IP, никаких 173.224.120.147.

В настройках почты нет пересылок на другие адреса.

WTF?

[1715243622]

1715243622

[1715243622]

1715243622

[1715243622]

1715243622

[Leksnik]

Ну, запрос на изменение пароля сделали скорее всего с VPN или прокси (адрес 173... штатовский, Сент Луис). А изменили пароль с вашего IP. Получается, кто-то имеет доступ к вашей почте, причём через ваш IP. Интернет через роутер раздаётся? А может кто-то из домашних? Ну, как вариант.

[Vadi2323]

Ну, запрос на изменение пароля сделали скорее всего с VPN или прокси (адрес 173... штатовский, Сент Луис). А изменили пароль с вашего IP. Получается, кто-то имеет доступ к вашей почте, причём через ваш IP. Интернет через роутер раздаётся? А может кто-то из домашних? Ну, как вариант.

Я же написал цитату из письма (см. выше), в письме пишут, что пароль сменили с того же штатовского адреся, т. е. мой ни при чём.

[Vadi2323]

Ну, запрос на изменение пароля сделали скорее всего с VPN или прокси (адрес 173... штатовский, Сент Луис). А изменили пароль с вашего IP. Получается, кто-то имеет доступ к вашей почте, причём через ваш IP. Интернет через роутер раздаётся? А может кто-то из домашних? Ну, как вариант.

Как вариант больше похоже на неаккуратные действия персонала российского почтового сервиса, на котором у меня почта зарегистрирована. Или типа того. А вот что они хотели посмотреть и кто попросил это сделать - вот это уже интересно.

[Vadi2323]

Специализд оперативно откликнулся на мыло с адреса Француа Ешкере francya767@gmail.com . Нужны доступы:

[taikuri13]

Специализд оперативно откликнулся на мыло с адреса Француа Ешкере francya767@gmail.com . Нужны доступы:

А мыло это ушло недавно, 21 февраля

https://i.gyazo.com/6393e54d1aced449c918d487966f2d27.png

https://i.gyazo.com/093d0e3ffc70669679430bf892b82f9f.png

Хороший карьерный рост Две недели назад скупал крипту, а потом вжууух и борьба с терроризмом

Ссылка : https://forum.bits.media/index.php?/topic/10825-%D1%83%D0%B3%D0%BD%D0%B0%D0%BB%D0%B8-%D1%83%D1%87%D1%91%D1%82%D0%BA%D1%83/&page=3

Эщкере, да....

http://www.muzoko.ru/lil-pump/chto-takoe-eshkere-eshhkere

[Vadi2323]

Специализд оперативно откликнулся на мыло с адреса Француа Ешкере francya767@gmail.com . Нужны доступы:

А мыло это ушло недавно, 21 февраля





Хороший карьерный рост Две недели назад скупал крипту, а потом вжууух и борьба с терроризмом

Ссылка : https://forum.bits.media/index.php?/topic/10825-%D1%83%D0%B3%D0%BD%D0%B0%D0%BB%D0%B8-%D1%83%D1%87%D1%91%D1%82%D0%BA%D1%83/&page=3

Эщкере, да....

http://www.muzoko.ru/lil-pump/chto-takoe-eshkere-eshhkere

Ясно. Сдаётся мне, что дальше писать с этого мыла ему ни к чему. Пусть засечёт время )

[taikuri13]

Ясно. Сдаётся мне, что дальше писать с этого мыла ему ни к чему. Пусть засечёт время )

Несколько лет назад угоняли почту через уязвимость секретного вопроса, через мобильную версию меняли пароли, либо же просто скачивали без последствий все, что было в почтовом ящике.
Потом этот баг пофиксили основные русские почтовики.
А вот что происходит с БТТ в этом вопросе - мне не известно.

Мне больше всего не нравится вот эта фраза "via email recovery".
Можно галку поставить в "Сессия только с одного IP-адреса"

ps: У меня нет доверия к российским почтовикам, ни к одному. Лучше что-то надежное, шифрованное и не такое распиаренное, как Протон или Тутанота.

pps: Спасибо за то, что открыли картинки. Мне пока не положено их вставлять

И пароли, связанные с такой русской почтой - могут быть тоже скомпрометированы.

[Topbestr]

Получил 2 письма:

• ссылка на смену моего "забытого" пароля:

  
  Dear Vadi2323,
  
  This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:
  
  <ссылка>
  
  IP: 173.224.120.147
  
  Username: Vadi2323
  
  Regards,
  The Bitcoin Forum Team.

• пароль изменён, если это был не я, то поменять снова через восстановление забытого пароля:
  

  Dear Vadi2323,
  
  Your Bitcoin Forum (bitcointalk.org) password was just changed by IP address 173.224.120.147 via email recovery. If you did not do this, then you should use the forgotten password feature to change your password.
  
  Regards,
  The Bitcoin Forum Team.

Попробовал войти на форум - пароль действительно не подходит. Сменил через восстановление забытого пароля.

Посмотрел журнал посещений своей почты - там только мой IP, никаких 173.224.120.147.

В настройках почты нет пересылок на другие адреса.

WTF?

Каким-то образом получили доступ к твоей почте, возможно брут, либо дыра почтовика если не популярный почтовик использовал, такой вариант не исключен.
Отдел по борьбе с терроризмом расмешил какой-то школотрон сидит и пытается инфу нарыть, ещё не хватало, чтобы он написал сразу и по делу, у меня завтра выходной в школе, отправьте побыстрее данные от MEW с секретными ключами для проверки

[esmanthra]

Какая-то мутная история. И очень мне не нравится.
Вот запись в логах:
https://s8.hostingkartinok.com/uploads/images/2018/03/622f841b86de505e1fc0c20e7a84eee6.png
С разницей в 6 минут?..

Поиск по форуму что-то не дал результатов. Предположений пока было два: что это все еще аукается взлом 2015-го либо что пароль был слабый. Но тогда странная последовательность: запросил пароль для сброса (фактически, предупредил), потом сменил пароль... Почта, судя по всему, не была взломана. Email не менял, видимо, во избежание блокировки. Ощущение, что есть какая-то закавыка на этапе сброса, что от меня ускользает.

[Vadi2323]

Какая-то мутная история. И очень мне не нравится.
Вот запись в логах:

С разницей в 6 минут?..

Поиск по форуму что-то не дал результатов. Предположение пока было только одно: что это все еще аукается взлом 2015-го. Но тогда странная последовательность: запросил пароль для сброса (фактически, предупредил), потом сменил пароль... Почта, судя по всему, не была взломана. Email не менял, видимо, во избежание блокировки. Ощущение, что есть какая-то закавыка на этапе сброса, что от меня ускользает.

Там форум ссылку формирует и высылает на мыло, типа такой https://bitcointalk.org/index.php?action=reminder;sa=setpassword;u=888888;code=zxcVBNMASD . Иногда получается последние 10 цифр угадать (?)

А борец с терроризмом ни при чём, просто на подсосе, пользуясь случаем. Поймать очередной фэйл ) Это старая история.

[Vadi2323]

С разницей в 6 минут?..

Время по Москве:

20:21 - хакер запросил сброс пароля
20:50 - хакер сменил пароль (типа по ссылке из письма)
20:55 - я запросил сброс пароля
20:56 - я сменил по ссылке из письма

Как раз разница в 6 минут.

[esmanthra]

Иногда получается последние 10 цифр угадать (?)

Да, по левому коду пароль не сменишь (проверено только что на вспомогательном аккаунте), а если бы он мог подсмотреть его где-то, угоны приобрели бы массовый характер. Но угадывать... Это ж должна быть какая-то основа, а не тупо с потолка.

борец с терроризмом ни при чём, просто на подсосе, пользуясь случаем

Боец мог быть просто совпадением. Или взломщик попытался таким образом пошатнуть хрупкое душевное равновесие испуганного пользователя, чтобы по горячим следам выманить данные.:) Но если так, то e-mail ему точно известен.

Как раз разница в 6 минут

Да меня просто удивило, как оперативно Вы среагировали.:)

20:21 - хакер запросил сброс пароля
20:50 - хакер сменил пароль (типа по ссылке из письма)
20:55 - я запросил сброс пароля
20:56 - я сменил по ссылке из письма

Однако же, какой провал во времени между первыми двумя действиями.

[taikuri13]

Да, по левому коду пароль не сменишь (проверено только что на вспомогательном аккаунте), а если бы он мог подсмотреть его где-то, угоны приобрели бы массовый характер. Но угадывать... Это ж должна быть какая-то основа, а не тупо с потолка.

Если предположить, что для кода восстановления пароля существует определенная маска, то тут угадывать придется гораздо меньше.

Боец мог быть просто совпадением. Или взломщик попытался таким образом пошатнуть хрупкое душевное равновесие испуганного пользователя, чтобы по горячим следам выманить данные. Но если так, то e-mail ему точно известен.

Совпадений не бывает (с)

https://rovego.livejournal.com/4400387.html
Если идет целенаправленная атака, то она идет с нескольких сторон.
Все же помнят

"Грузите апельсины бочками"

http://dslov.ru/pos/1/p1_324.htm

Однако же, какой провал во времени между первыми двумя действиями.

А вот здесь по моему мнению все очень логично. Полчаса хватит понять - в сети ли атакуемый или нет. Если реакция идет моментально, то про это забывают. В данном случае - очень повезло, что только 36 минут. И атака, если брать время США  - в утреннее, дневное время.
Кто же знал, что в России 20.50 ?

Отдельное спасибо ТС, так как многие поменяли пароли в результате прочтения этого топика.

[Vadi2323]

Совпадений не бывает (с) к сожалению, не мое. Если идет целенаправленная атака, то она идет с нескольких сторон.
Все же помнят "Грузите апельсины бочками"

А моё - это "кидала должен платить за попытки". В данном случае придётся расстаться с адреском с Гмэйла. Ибо нефик.

Это уже не первое расставание, ещё кое-что недавно было приведено к общему знаменателю "ноль".

Отдельное спасибо ТС, так как многие поменяли пароли в результате прочтения этого топика.

Приятно слышать, но не понял - зачем "многим" пароли менять?

[Vadi2323]

Да, по левому коду пароль не сменишь (проверено только что на вспомогательном аккаунте), а если бы он мог подсмотреть его где-то, угоны приобрели бы массовый характер. Но угадывать... Это ж должна быть какая-то основа, а не тупо с потолка.

Если предположить, что для кода восстановления пароля существует определенная маска, то тут угадывать придется гораздо меньше.

Там по какой-то причине капчу не поставили. А зря.

[taikuri13]

Там по какой-то причине капчу не поставили. А зря.

Эх, да тут вообще есть хоть подобие защиты? Например, если несколько раз неверный пароль при входе набирать делают так, что после нескольких попыток надо часок подождать. Как сделано на БТТ - не знаю.

Приятно слышать, но не понял - зачем "многим" пароли менять?

Ваши слова о том, что такой человек должен быть наказан за такое - вот что действительно приятно и правильно.

Про пароли не сложно, сейчас потерять аккаунт будет очень (я даже слово то не подберу в русском языке, кроме одного) обидно.
А потерять что-то серьезное, типа Хиро или Легенды - это просто жуть. И я не говорю про то, что будет сложно восстановить, а про то, человек такого уровня участвует и в более серьезных проектах. И тут вот такое.
Поэтому и была смена паролей, так как если бы произошло чудо и внезапно я бы стал Сеньором (да, я иногда фантазёр), то увидев такой топик - я бы побежал менять свой 21-символьный пароль на 31- символьный
Да и в логах видно.

[Vadi2323]

Поэтому и была смена паролей, так как если бы произошло чудо и внезапно я бы стал Сеньором (да, я иногда фантазёр), то увидев такой топик - я бы побежал менять свой 21-символьный пароль на 31- символьный
Да и в логах видно.

Дело не в паролях. А в возможности обойтись без ввода оных при взломе. Что толку в 31 символе, когда можно пробовать 10 символов вводить, без спецсимволов, без капчи.

[taikuri13]

Дело не в паролях. А в возможности обойтись без ввода оных при взломе. Что толку в 31 символе, когда можно пробовать 10 символов вводить, без спецсимволов, без капчи.

Тоже верно. Но допускаю, что все-таки некоторые люди регистрировали отдельный ящик для БТТ. И на их месте я побежал не в почту, а именно на БТТ менять.
Думаю, что форум был не готов к ажиотажу и бешеной куче регистраций и надеюсь, что что-то изменится при переходе на новый движок, потому что SMF 2009 это конечно хорошо, но сейчас то 2018-ый

[Vadi2323]

Мануал, как подстраховаться от потери аккаунта: Как прикрепить за собой аккаунт в Bitcointalk

[Vadi2323]

Кстати. Энтони, Энтони. Хуентони. AntonyK. Мне какой-то Антон Карташов antonnykartashov@gmail.com прислал 2 письма на мыло с мерзкими намёками по теме. По хронометражу совпадает и AntonyK -> Антон Карташов. Одно письмо удалил, одно осталось:

пожалуйтесь в полицию, на мошейников с гмаил

Вот ведь говнюк!

[esmanthra]

Если предположить, что для кода восстановления пароля существует определенная маска, то тут угадывать придется гораздо меньше

Вот это-то меня и беспокоит.

Полчаса хватит понять - в сети ли атакуемый или нет

Я скорее предполагаю, что там работала программа. Многовато полчаса выжидать, чтобы просто проверить, в Сети ли человек - для этого 5-10 минут хватит.

если брать время США  - в утреннее, дневное время

Что-то мне подсказывает, что взломщик не из США.:)

Там по какой-то причине капчу не поставили. А зря

Они эту капчу и на входе-то только в прошлом году поставили (на страницу напоминания пароля - чуть раньше). Движок древний, как остатки Титаника.

если несколько раз неверный пароль при входе набирать делают так, что после нескольких попыток надо часок подождать. Как сделано на БТТ - не знаю

Думаю, что никак.

увидев такой топик - я бы побежал менять свой 21-символьный пароль на 31- символьный

https://s8.hostingkartinok.com/uploads/images/2018/03/3eab6b5e5a57f0162a9b0a26b35b0020.png :Р

Мануал, как подстраховаться от потери аккаунта

Есть более ранний. Ну, и еще несколько тем в рубрикаторе тоже.

Энтони, Энтони. Хуентони. AntonyK

Да там какая-то сомнительная хрень в той теме. Группа лиц по предварительному сговору. Хотя автор писал, что его взломали.

[Vadi2323]

:Р

Что-то последнее время на ПМ совсем не отвечает.

[esmanthra]

Что-то последнее время на ПМ совсем не отвечает

Да не говорите. Мое письмо к нему 29, что ли, января попало. На тот момент у него на очереди был ответ на сообщение от 18-го. Наверное, между 18-ым и 29-ым оказалась какая-то кошмарная куча писем, из-под которой он до сих пор не выбрался.:) или просто не хочет читать мою писанину

Я тут вот чего думаю: по ситуации в этой теме не стоит ли написать theymos'у? Скажем, топик в англ.разделе создать. Вдруг повезет и он хотя бы капчу на форму ввода нового пароля поставит. А то стрем какой-то.

[taikuri13]

Я скорее предполагаю, что там работала программа. Многовато полчаса выжидать, чтобы просто проверить, в Сети ли человек - для этого 5-10 минут хватит.

Так ручками такое не удобно И интервал и тайм-аут выставить - очень несложно.

Что-то мне подсказывает, что взломщик не из США.

Соглашусь с этим Хотя если группа - то связки могут быть очень разными.

https://s8.hostingkartinok.com/uploads/images/2018/03/3eab6b5e5a57f0162a9b0a26b35b0020.png :Р

Так и я про это же.  

Энтони, Энтони. Хуентони. AntonyK

Немного покаoпал ваших ребят, эту Францу и Антону

1. Франсуа Ешкере
francya767@gmail.com
Email IP:   173.194.74.27

https://infotracer.com/emailTeaser.php?email=francya767@gmail.com
Отзывы тоже неплохи

Мошенничество! будьте осторожны, я связался с этим Scam 3 monyhs ago на Badoo Romance Scam. Он утверждает, что он является армией на развертывании в Финляндии, вернувшейся в октябре, вдова, с двумя молодыми клидрин
https://whatismyipaddress.com/ip/173.194.74.27

И детали
https://www.robtex.com/ip-lookup/173.194.74.27

2. Антон Карташов
antonnykartashov@gmail.com
Email IP:   173.194.74.26

https://infotracer.com/emailTeaser.php?email=antonnykartashov@gmail.com

Об этом адресе есть старые отзывы, 2013-2014
Но такие...

Человек утверждал, что он из Вашингтона, округ Колумбия, по поиску договоренностей и предложил мне предложение, подобное джентльмену. Однако после повторной проверки его электронной почты я столкнулся с этими 5 недавно использованными портами: 74.125.129.27 65.54.188.94 74.125.137.26 173.194.74.26 74.125.131.26 Они ВСЕ из Калифорнии и имеют несколько комментариев, обсуждающих мошенничество. Самые последние, похоже, привлекают женщин, нуждающихся в помощи

от кого-то, который сказал мне прекратить пытаться контактировать с определенной женщиной по имени Ребекка, или они представили бы доказательство того, что у меня был роман с моей женой? О чем это? попытка мошенничества?

читайте заголовки электронной почты ... НЕ ОТПРАВЛЯЙТЕ ДЕНЬГИ, КАК ВЫ НИКОГДА НЕ УВИДЕТЕ ИХ СНОВА ... -

Орфография сохранена, переводчик

https://whatismyipaddress.com/ip/173.194.74.26

И немного деталей

https://www.robtex.com/ip-lookup/173.194.74.26

Я тут вот чего думаю: по ситуации в этой теме не стоит ли написать theymos'у? Скажем, топик в англ.разделе создать. Вдруг повезет и он хотя бы капчу на форму ввода нового пароля поставит. А то стрем какой-то.

В рубрикаторах была девушка, которая англо-русский словарь делала, основных понятий. Может к ней обратиться, так как я не напишу красиво тему в английской ветке. Да и галка об том, что нельзя принимать сообщения от Новичков - стоит у многих

ps: Что-то мне подсказывает, что атака идет через российский почтовик mail.ru. И она направлена в сторону ТС. Так как подобных сообщений я не встречал, ни вчера ни сегодня. Значит либо где-то новое мыло просочилось в паблик, либо какая-то новая дырка в самом почтовике.

[Vadi2323]

Немного покапал ваших ребят, эту Францу и Антону

Ну шо тут скажешь Франце-Антоне? Добро пожаловать в индексацию поисковиков в зоне RU

Другими словами: скажи Auf Wiedersehen! своим нацистским яйцам



Не люблю тупых.


ЗЫ:

[esmanthra]

В рубрикаторах была девушка, которая англо-русский словарь делала, основных понятий. Может к ней обратиться

Зачем девушку тревожить? Сами справимся.
Пока так. Посмотрим, ответят ли чего-нибудь.

либо где-то новое мыло просочилось в паблик, либо какая-то новая дырка в самом почтовике

Да вот непохоже, что e-mail тут был задействован. Парень бы увел тогда аккаунт с концами - и сделал это быстро и "тихо", а не выжидая по полчаса. А тут как будто ткнули прутиком, попали в прореху - и прореха тут же закрылась. И в дальнейшем взломщик мог только сидеть и посылать сообщения про тупых.

[Randomizer3]

либо где-то новое мыло просочилось в паблик, либо какая-то новая дырка в самом почтовике

Да вот непохоже, что e-mail тут был задействован. Парень бы увел тогда аккаунт с концами - и сделал это быстро и "тихо", а не выжидая по полчаса. А тут как будто ткнули прутиком, попали в прореху - и прореха тут же закрылась. И в дальнейшем взломщик мог только сидеть и посылать сообщения про тупых.

Между-прочим, сейчас почту просто так не сменишь. На старый адрес приходит ссылка, которая 14 дней действует.

[Vadi2323]

Энтони оказывается и у нас на форуме тусит: AntonyK

Его тема: Продам BTC-e RUR коды 1к1

Ещё тема его [ОБМЕН]WEX RUR/BTC <=> QIWI/СБЕРБАНК https://bitcointalk.org/index.php?topic=906223

Чувак говорит, что знаком с ним лично:

Лично знаком с автором топика, в мое отсутствие он выполняет обмены вместо меня.

[esmanthra]

сейчас почту просто так не сменишь. На старый адрес приходит ссылка, которая 14 дней действует

Предполагаю, что поэтому взломщик и не стал менять e-mail после смены пароля.

Энтони оказывается и у нас на форуме тусит [...]
Чувак говорит, что знаком с ним лично

Так это все те же лица, что в том топике болтали. То есть вся шайка может быть тут (если их таки группа лиц). В принципе, закономерно: "ломать" аккаунт скорее попытался бы кто-то из здесь присутствующих, а не какой-то перец со стороны.

[taikuri13]

Так это все те же лица, что в том топике болтали. То есть вся шайка может быть тут (если их таки группа лиц). В принципе, закономерно: "ломать" аккаунт скорее попытался бы кто-то из здесь присутствующих, а не какой-то перец со стороны.

Дополним картину.

https://mmgp.ru/showthread.php?t=371330

О AntonyK
Инвестиции в
Свой бизнес
Имя:
Антон!
Местоположение
Москва
Интересы
Играть в футбол, стрелять в пейнтбол и музыка )
Пол
Мужской

По мимо всего прочего, я очень спорт люблю, особенно бег! Среди своих, пока весьма скромных, достижений могу похвастаться следующим: неоднократный финишер забегов "Nike Run Msk" и Международного Московского Марафона Мира.

Бегун...

Re: Перепись!!! Откуда Вы?
Приветствую, Друзья! Родился в Саранске! На данный момент почти 10 лет живу в Москве!

Саранск...

e-mail: deshelvi@gmail.com
telegram: @deshelviTK

Сервис...был.

https://forum.bits.media/index.php?/profile/5045-zuks/
https://bitcointalk.org/index.php?action=profile;u=362692
Не знаю, кто такой. Было упоминание про zuks

Немного текста тут

http://forum.bitcoinfo.ru/viewtopic.php?t=22341&p=134970

кидало.
Сумму: 0.0111 Bitcoin BTC
Bitcoin BTC
Вы получаете Qiwi RUB

Сумму: 766.47 Qiwi RUB

На кошелек Qiwi: +79632377936
Qiwi RUB

Переведите 0.0111 BTC на биткоин-адрес:
19j18iHuNXryVzWHXdmohpSFSNPSDreBd5
(платеж будет принят после 1 подтверждений)

Среднее время 1 подтверждения (зачисления) - 5-25 минут.
В отдельных случаях это время может занимать до суток и зависит только от крипто сети, а не от обменника.

В связи с обновлением курсов, если 1 подтверждение не наступило на протяжении 60 минут, будет произведен автоматический пересчет суммы.

Статус платежа - ожидаем перечисления

После отправки монет это окно можно закрыть. Деньги будут переведены автоматически после 3 подтверждения сети.
вот так кидают

ps: Про попытку угона. Тут вижу два варианта и оба они очень невеселые для защиты форума.  

[esmanthra]

theymos предполагает, что проблема где-то посредине.

Код - это 10 случайных символов из 62-символьного алфавита; вы никогда не сможете подобрать его через Сеть. Вы быстрее обрушите форум, чем сделаете хотя бы 10000 попыток в секунду. Скорее всего письмо было каким-то образом перехвачено на стороне пользователя.

И вот это уже становится любопытным.

[Vadi2323]

theymos предполагает, что проблема где-то посредине.

Код - это 10 случайных символов из 62-символьного алфавита; вы никогда не сможете подобрать его через Сеть. Вы быстрее обрушите форум, чем сделаете хотя бы 10000 попыток в секунду. Скорее всего письмо было каким-то образом перехвачено на стороне пользователя.

И вот это уже становится любопытным.

Сам удивляюсь.


Хотел бы дополнить ранний пост с хронометражем:

Время по Москве:

20:21 - хакер запросил сброс пароля
20:50 - хакер сменил пароль (типа по ссылке из письма)
20:55 - я запросил сброс пароля
20:56 - я сменил по ссылке из письма. Как раз разница в 6 минут.

и через короткое время письмо от Антон Карташов antonnykartashov@gmail.com письмо пришло хотя нет, оно уже было, что-то типа "ti uze rabotu nashel?". Я ещё не публиковал эту тему. Подумал, что придурок какой-то пишет, и удалил.

[Vadi2323]

23.02.2018, 21:12, "Светлана Салинина" <salinina356@mail.ru>:
За то что я с тобой кофе попью ты мне дашь1500?я так поняла?

--
Отправлено из Mail.Ru для Android

пятница, 23 февраля 2018г., 15:59 -0200 от Vadi:
 
1,5 тыс? Лучше встретиться просто так для начала знакомства, попить кофе в кафе и заодно обсудить это.
 
23.02.2018, 20:53, "Светлана Салинина" <salinina356@mail.ru>:
Мне очень важно на сколько будет помощь за встречу

--
Отправлено из Mail.Ru для Android

пятница, 23 февраля 2018г., 15:48 -0200 от Vadi:
 
Живу рядом с Горпарком. Твои условия устраивают.
 
23.02.2018, 20:39, "Светлана Салинина" <salinina356@mail.ru>:
Мне 27

--
Отправлено из Mail.Ru для Android

пятница, 23 февраля 2018г., 15:37 -0200 от Vadi:
 
42
 
23.02.2018, 20:36, "Светлана Салинина" <salinina356@mail.ru>:
Сколько лет тебе?

Уроки пикап мастерства, о старого дедушки VADI2323

Ребята, мне на самом деле не похуй. Там кто то писал в теме, о каких то рахзводах, после чего вади написал типо шах и мат))) хотя в том посте лож, и после он пишет не люблю тупых))

vadi сидит мужик, 40+ лет, не хуя в жизни не добился, 24/7 у компа, пишет не люблю тупых мне 19 лет, я бля больше тебя заработал, за 19 лет.. так что сосни хуйца ебаный старикан, увидим кто ещё из нас глупый

Процитирую на память.

[Vadi2323]

Значит так.

Для того (или тех), кто замешан в атаке на мою компьютерную систему. Предлагаю по-хорошему написать здесь: как, с использованием каких приёмов производили попытки взломов и какие именно, какую уязвимость использовали. Ваша информация должна быть в таком виде, чтобы люди после прочтения поняли как не попадать в такие ситуации.

В этом случае мы расстанемся без последствий. Я человек добрый и не люблю наказывать. Для себя картину происходящего я уже давно составил (и вы это знаете). Просто хочу дать последний шанс.

Срок на раздумья до этого понедельника 12.03.2018, 09:00 по Москве.

[Vadi2323]

theymos предполагает, что проблема где-то посредине.

Код - это 10 случайных символов из 62-символьного алфавита; вы никогда не сможете подобрать его через Сеть. Вы быстрее обрушите форум, чем сделаете хотя бы 10000 попыток в секунду. Скорее всего письмо было каким-то образом перехвачено на стороне пользователя.

И вот это уже становится любопытным.

Взломщику удалось выкачать письма, которые валялись в ящике. Точно вместе с письмом со ссылкой на смену пароля.

Причём в браузере они как непрочитанные были и по логам только с моего IP обращение шло.

[esmanthra]

Взломщику удалось выкачать письма, которые валялись в ящике

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.

Причём в браузере они как непрочитанные были и по логам только с моего IP обращение шло

Про браузер и непрочитанное taikuri13, в принципе, ответил. А насчет IP - взломщик мог задействовать IP-спуфинг (подменить свой IP на Ваш). Но вот чего для меня во всей этой истории остается неясным: если почта все же "уплыла" (или тем паче была взломана машина), почему ущерб такой мизерный? Он Вас просто потроллить таким образом решил, что ли?

[Vadi2323]

Взломщику удалось выкачать письма, которые валялись в ящике

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.

Перелопатил компьютер. У меня один вариант. Я его озвучу завтра, после 09:00. Нужно всё-таки дождаться ответа г-на Smartwm, возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши.

[esmanthra]

возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши

А что он там покуда "вешает"? Из лапши.

[Vadi2323]

возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши

А что он там покуда "вешает"? Из лапши.

Намекает на spectre и meltdown.

[Udrujex]

Взломщику удалось выкачать письма, которые валялись в ящике

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.

Причём в браузере они как непрочитанные были и по логам только с моего IP обращение шло

Про браузер и непрочитанное taikuri13, в принципе, ответил. А насчет IP - взломщик мог задействовать IP-спуфинг (подменить свой IP на Ваш). Но вот чего для меня во всей этой истории остается неясным: если почта все же "уплыла" (или тем паче была взломана машина), почему ущерб такой мизерный? Он Вас просто потроллить таким образом решил, что ли?

Когда-то в Англоязычной ветке была тема о продаже аккаунта. Я связался с человеком через почту. Он мне якобы отписал с аккаунта,  который я хотел купить. Ничего не предвещало беды.. Я написал модераторам, мол так и так.... Реакции ноль..
2. Когда-то тоже "все-таки" купил аккаунт   SR  Мембера. Купил и оставил. Через пару дней обнаружил, что от моего аккаунта ведется переписка. Я понял, что я купил БРУТ. Я даже пароль не менял... И владельцу аккаунта написал об этом... Мне даже спасибо не сказали..)))
 p.s.Установить индивидуальный пин или секретную почту или хотя бы двухфакторку, или принять смс на установленный заранее номер
- и проблем станет примерно на 70-80 процентов меньше.

А теперь по сабжу: диапазон вирусов сейчас огромный:
- с внц,
- без внц,
-с параллельной сессией,
-без параллельной сессии,
-с внц без паралелльной сессии
- с внц с параллельной сесии
- кейлоггеры, стиллаки, снифферы.
Чего душа пожелает.........

[johhnyUA]

Как вариант больше похоже на неаккуратные действия персонала российского почтового сервиса, на котором у меня почта зарегистрирована. Или типа того. А вот что они хотели посмотреть и кто попросил это сделать - вот это уже интересно.

Я вот после твоего поста сразу задумался, возможно стоит поменять мыло. А то у меня тоже почта нашего, СНГшного оператора к акку привязана. Как бы не случилось чего  
Как я понял доверять компаниям нельзя. А нашим так точно!

[RuSS512]

возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши

А что он там покуда "вешает"? Из лапши.

Намекает на spectre и meltdown.

Для скриншотов используйте программу Greenshot и не нужно будет текст копировать в блокнот) там выделяемая область копируется в буфер обмена

[badwolf_foxtrot]

Коллеги, скажите - а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый? Для всех бы все стало безопаснее, разве нет?

[esmanthra]

Намекает на spectre и meltdown

Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя.

диапазон вирусов сейчас огромный

Под сниффером подразумевалась специализированная программа-анализатор траффика (типа Wireshark или tcpdump). Вирусы - отдельная тема.

а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый?

Потому что всем лень это все отложено до нового движка. Хотя уже говорилось, что, если найдется умелец, который напишет 2FA-заплатку для текущего SMF-старца, theymos вполне может ее прикрутить.

[Vadi2323]

Взломщику удалось выкачать письма, которые валялись в ящике

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.

Перелопатил компьютер. У меня один вариант. Я его озвучу завтра, после 09:00. Нужно всё-таки дождаться ответа г-на Smartwm, возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши.

У меня несколько лет было всё нормально. Странности начались 3 месяца назад, после подключения Интернета по оптике - был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS и с открытым доступом к его настройкам - можно было подключаться по WAN, LAN, WiFi. По WiFi можно было подключаться к моей LAN-сети. Так было месяц, пока я не обнаружил дыру в роутере.

В таких условиях есть несколько путей для загрузки на компьютер килоггера, что и было сделано. Например, через  LAN-WiFi - была неправильная настройка сети на компьютере и лишняя не закрытая локальная учётка (после удаления 1С остался пользователь USR1CV81) - это я обнаружил уже совсем недавно. Килоггер мне поставили продвинутый, профессиональный - антивирус он прошёл, как нож сквозь масло. Интересно, сколько такой стоит.

Килоггер позволил: 1) перехватывать пароли 2) забирать на компе почту и переправлять на хакерский комп. Вообще килоггеры много чего умеют, например делают снимки с экрана - что делает пользователь, удалять сам себя. Но этот килоггер не позволил пройти 2ФА. Также он не смог украсть файл кошелька.

Вообще пикантная ситуация получилась. Г-н Smartwm видел большую вкусную конфету, мог читать её обёртку, нюхать. А съесть - никак. В последнем разговоре по имэйлу он сначала просил 80 тыс. за раскрытие деталей атаки, потом требовал 30 тыс., в конце разговора был куском чистого зла и стоял мат-перемат.

[esmanthra]

был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS

Ясненько. Так у Вас повторение истории получилось, только все зашло несколько дальше.

антивирус он прошёл, как нож сквозь масло

А что за антивирус, кстати?

[Vadi2323]

Намекает на spectre и meltdown

Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя.

Было много фишинговых писем на почту, причём фишинг обычно он массовый, а это как быдто спецзаказ был, причём качественный, настроеный на клиента. Как будто знали, по каким ссылкам хожу. Сложилось впечатление, что хотели, чтобы я пароли начал вводить или менять.

Антивирус - Защитник встроенный в 10.

[Vadi2323]

Всем удачи, я переустанавливать всё, что смогу.

[Vadi2323]

И ответные действия конечно же сделаю. Ибо нефиг.

[Vadi2323]

Всем удачи, я переустанавливать всё, что смогу.

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её. И после окончательного осмотра я уверен, что с компьютером всё в порядке, никаких киллогеров на нём нет и не было.

Также мне не давал покоя факт, что взломщик не производил впечатления гения.

В итоге вывод - проблема в роутере, он позволяет проводить атаку man-in-the-middle. С таким роутером нужно что-то делать, в моём случае только менять, потому что обновление не помогло и другого нет. Атака эта и позволяет часто воровать пароли у пользователей форума. Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли.

Схема такая. Злоумышленник сканированием находит IP роутера, который уязвим к атаке. Тут на форуме для этого устраивают "аэрдропы". (Мне слали письма со ссылками для перехода, потому что я в таких "ардропах" не участвую.) Далее злоумышленник делает вход в ОС роутера или сервис, и делает там настройки, возможно даже сохраняет их, после этого начинает перехватывать траффик с кражей паролей и данных.

Что скажете?

PS Мне очень повезло, что 2ФА были установлены давно, на другом роутере.

[Vadi2323]

Выбираем роутер под прошивку. (не наоборот)
Смотрим в сторону ОпенВРТ.
Может роутер и будет Микротик, защита ничего.
Можно:
вписать ручками ДНС свои, типа Гугл, Комодо, Опен
Включить журнал на роутере (раз уж новый - то сразу с этой функцией)
Имя - не админ, Админ, админ1
Доступ к роутеру только из локальной сети, а не из Интернет
Насторойки роутера - сделать скрин и почаще проверять
Есть программы, которые сканируют роутер на уязвимости - можно их использовать
Проверять почаще логи роутера, подключенные к нему устройства
Поменять диапазон айпи адресов, чтобы он не был похож на 192.168... - это против автоматизированной
Ну и далее - посмотреть специальный софт для определения MITM

ps: Очень интересно с какого адреса вам слали письма с дропами? Значит где-то светилась почта, если это не по подписке с БТ.
Засвеченная почта - шаг к атаке.  

Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет.

[taikuri13]

Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет.

Если целью будет конкретный взлом - то защищать необходимо от кабеля в квартиру/дом. И все равно это не спасет. Только цена такого взлома под конкретного человека - достаточно дорогая. А защититься от обезьяны - этих мер процентов на 90 хватит.

https://www.comss.ru/page.php?id=4126

Ну и Комодо, там и файрволл неплохой.

[Vadi2323]

ps: Очень интересно с какого адреса вам слали письма с дропами? Значит где-то светилась почта, если это не по подписке с БТ.
Засвеченная почта - шаг к атаке.  

В спам отправлял, уже удалили. В заголовках не смотрел.


Статья по теме: https://xakep.ru/2015/04/07/195-routers/
Я был прав.

[esmanthra]

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её

Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус.

взломщик не производил впечатления гения

Гений бы давно забрал все и скрылся в направлении Кариб.:) И уж точно не стал бы общаться с Вами.

Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли

Вот это вряд ли: для 2FA в любом случае потребуется доступ к телефону. Но если телефон получает интернет от того же роутера, это возможно, конечно.
Некоторые полезные советы можно посмотреть еще в этой теме. И стоит позакрывать порты на роутере тоже (брать роутер с встроенным фаерволом).

В спам отправлял, уже удалили. В заголовках не смотрел

Есть методы подделать заголовки писем. Не панацея, в общем, если взломщик сильно грамотный.

[Vadi2323]

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её

Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус.

Зачем лезть туда, где не понимаю. К тому же 10 по оценкам профиков более защищена, чем Линух.

взломщик не производил впечатления гения

Гений бы давно забрал все и скрылся в направлении Кариб. И уж точно не стал бы общаться с Вами.

Так бы и было, если бы не 2ФА, установленная ещё на старом роутере.

Я в шоке от того, какой мне роутер провайдер подсунул 2011 года выпуска. К тому же явно юзаный до этого. Он мало того дырявый, его и изначально дыряво настроили мне. Взлом всего лишь почты и акка на толке - это я lucky guy какой-то

Но какова была атака! Грузили апельсины бочками

[Vadi2323]

взломщик не производил впечатления гения

Гений бы давно забрал все и скрылся в направлении Кариб. И уж точно не стал бы общаться с Вами.

Ну дураков то тут нет на самом деле. Значит, не получалось взять. Эта же песня 3 месяца тянется, и он всё это время следил, ждал, изучал. Может, что то там напрягало, или он не один ломился. Понял, что цейтнот и решил не тормозить и наехать, сыграть на опережение.

[Vadi2323]

Но какова была атака! Грузили апельсины бочками

Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются

[esmanthra]

Зачем лезть туда, где не понимаю

Ну естественно пришлось бы разбираться. Но есть дистры, которые упрощают миграцию с виндоусов (внешне организованы похоже и т.п.). Это могло бы помочь на первых порах. И потом сначала все выглядит чудным, но быстро привыкаешь - и на виндоус уже не тянет.:) Проверено на собственном опыте.

10 по оценкам профиков более защищена, чем Линух

А вот это что-то новенькое. Что за профики такое сказали?

Взлом всего лишь почты и акка на толке - это я lucky guy какой-то

Да я с начала темы все удивлюсь, насколько Вы удачливы.

Может, что то там напрягало, или он не один ломился

Кредиторы под дверью пасли.:)

Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются ;)

Может в нем актерский талант погибает. Вжился в роль и забыл вовремя "выйти".:Р

[Vadi2323]

Пари заключили
Посмотрим, чего он стоит без подставы с модемом.

[Vadi2323]

Какой-то обидчивый хакир попался. Сколько он тут разболтал...


Полезную прогу нашёл. Сканирует комп на уязвимости, называется XSpider - сетевой сканер безопасности. Программное средство сетевого аудита, предназначенное для поиска уязвимостей на серверах и рабочих станциях. Советую скачать и просканировать IP своего компа. Запускайте из под витруалки. Я брал здесь: http://www.softportal.com/get-1453-xspider.html

[Vadi2323]

Я редко загружаю и запускаю исполняемые файлы. В основном только обновления. Решил посмотреть, что загружал за последние 3 месяца. Из загрузок были только Кора и VirtualBox. Решил прогнать через Вирустотал.

Любопытный детект для ВиртуалБокса показал Baidu для последних 2-х загрузок: Win32.Trojan.WisdomEyes.16070401.950...

https://www.virustotal.com/#/file/bbd74e2d9717285863578ff728c16b411c88d1d0b63e3fd456cd09d2131635b3/detection

https://www.virustotal.com/#/file/da7bbcc9806a3f574f1faed5381c6e116b10a7bbb4779913d5446e49fe08fd7d/detection

И описание подходящее:

Win32.Trojan.WisdomEyes
это троян, который нацелен на платформу Windows. Этот вредоносный код собирает все файлы в папке Desktop пользователя, сжимает их и отправляет их на удаленный сервер. Кроме того, он принимает скриншоты, крадет данные из буфера обмена и выполняет Keylogging. Вредоносные программы также пытается связаться с помощью электронной почты, чтобы зарегистрировать инфекцию. Чтобы выжить перезагрузки системы, вредоносная программа создает ключ записи Run и создает свою копию на диске.

Кто-нибудь пользуется ВиртуалБоксом?

Качал с официального сайта 3 марта и 17 января. ВиртуалБокс заботливо выдаёт окошки со ссылками на обновления.

ЗЫ больше доверяю Ораклу, чем Байде.

[Vadi2323]

Пари заключили
Посмотрим, чего он стоит без подставы с модемом.

[_img width=800]http://www.hostpic.org/images/1803132158100108.png[/img]

Вобщем злой обидчивый болтливый хакир скис, и тут отписываться не хочет. Поэтому сам приведу мои последние ему слова:

Я решил железо не менять. Даже ОС не переставлять. И на компе оставить финансы. Просто куплю себе ноут для игр, за 80 тыс.
 
Ты прикинь, какая для тебя пощёчина - ничего взять не смог и после тебя даже ОС не стали менять ) Как с каким-то тупым чёртом обошлись ))

Антон Карташов<antonnykartashov@gmail.com>16 мар. в 18:03
ты бы блядина слезами захлёбывался

[esmanthra]

больше доверяю Ораклу, чем Байде

Как было правильно сказано тут, если скачивали 100% с официального сайта, получаются две версии:
 - либо крутойкорпорацсименем Oracle реально засунул в продукт вирус;
 - либо тут ложное срабатывание у вирустотал.
В принципе, можно просто проверить файл на другом антивирусе (или антивирусах). Для надежности.

Вобщем злой обидчивый болтливый хакир скис, и тут отписываться не хочет

Он знает spectre, meltdown и много других страшных слов.:) Наверное, Ваша с ним переписка была отвлекающим маневром и он в это время рыл подкоп под компьютер. (Ведь самый просто способ хакнуть компьютер - это его украсть!) Но не рассчитал и вырыл не туда, как будущий граф Монте-Кристо...
Что поделать, далеко не все, кто считает себя хакерами, оказываются ими на самом деле.

[Vadi2323]

больше доверяю Ораклу, чем Байде

Если скачивали 100% с официального сайта, получаются две версии:
 - либо крутойкорпорацсименем Oracle реально засунул в продукт вирус;
 - либо тут ложное срабатывание у вирустотал.
В принципе, можно просто проверить файл на другом антивирусе (или антивирусах). Для надежности.

Сама скачанная Байда на компьтер не ругается, только на Вирустотале такое. Ерунда всё это.

Вобщем злой обидчивый болтливый хакир скис, и тут отписываться не хочет

Он знает spectre, meltdown и много других страшных слов. Наверное, Ваша с ним переписка была отвлекающим маневром и он в это время рыл подкоп под компьютер. (Ведь самый просто способ хакнуть компьютер - это его украсть!) Но не рассчитал и вырыл не туда, как будущий граф Монте-Кристо...
Что поделать, далеко не все, кто считает себя хакерами, оказываются ими на самом деле.

Ну таки трояна подсунул. Вопрос - как. Его же нужно прогрузить, запустить. Такие вещи без посторонней помощи в виде дыры не проходят.

[mafitjulit]

легендам стоит защищать по максимуму свои аккаунты, они стоят как неплохая машина)

[esmanthra]

Ну таки трояна подсунул. Вопрос - как. Его же нужно прогрузить, запустить

Роутер был "дырявый". Мог с левого DNS закачать троянца.

[Vadi2323]

Ну таки трояна подсунул. Вопрос - как. Его же нужно прогрузить, запустить

Роутер был "дырявый". Мог с левого DNS закачать троянца.

Других вариантов не вижу.

[filletsdroppings]

Ну вот и как защититься от дырявого модема? Проверил свой: 2016 года последняя прошивка.

[esmanthra]

Ну вот и как защититься от дырявого модема? Проверил свой: 2016 года последняя прошивка

Менять роутер вестимо, если это вызывает опасения.

[Vadi2323]

Ну вот и как защититься от дырявого модема? Проверил свой: 2016 года последняя прошивка

Менять роутер вестимо, если это вызывает опасения.

Если по роутеру возникли опасения, то заодно и ОС переставить.

[esmanthra]

Если по роутеру возникли опасения, то заодно и ОС переставить.

И уехать в другую страну. На всякий случай. Да вообще можно тогда уже всерьез покопаться с безопасностью: сбежать на Linux, подумать, где разместить кошелек. Может быть, отказаться от каких-то привычек (или наоборот завести новые).:)

[Vadi2323]

Если по роутеру возникли опасения, то заодно и ОС переставить.

И уехать в другую страну. На всякий случай. Да вообще можно тогда уже всерьез покопаться с безопасностью: сбежать на Linux, подумать, где разместить кошелек.

Причём на всём, что через такой роутер в Инет ходило, в том числе телефоны.

Не в Линуксе дело, у Ярёмы стоял Линукс и всё равно учётку угнали.

Может быть, отказаться от каких-то привычек (или наоборот завести новые).

Да, пересмотреть подход к безопасности. Не стоит надеяться на один только рубеж. На всех уровнях должно быть чётко.

[esmanthra]

у Ярёмы стоял Линукс и всё равно учётку угнали

А что у Яремы, кстати, была за ситуация?

[Vadi2323]

у Ярёмы стоял Линукс и всё равно учётку угнали

А что у Яремы, кстати, была за ситуация?

Это он пусть сам расскажет. Только что-то он стал молчалив.

[Peskin13]

то что оно пришло к тебе на почту - не значит что заходили на нее, заходи в твой акк биткоинтока и на нем поменяли пароль

[l_w]

Зачем лезть туда, где не понимаю. К тому же 10 по оценкам профиков более защищена, чем Линух.

Смотря от кого защищена.
Информация об эксплойте под ВСЕ ОС Windows.
https://www.securitylab.ru/news/486209.php
Windows - ОС с закрытым исходным кодом, что туда внедряют разработчики не известно никому.
Тот же Linux - он как конструктор, систему можно отконфигурировать по своему желанию и допилить до желаемого результата.

[Sipakol]

у меня почта на гугле зарегана. думаю гугл почту взломать не возможно)

[esmanthra]

думаю гугл почту взломать не возможно)

Для задавшихся целью нет ничего невозможного. Единственное, что Вы можете сделать - это максимально усложнить процесс взлома. Тогда есть вероятность, что задавшиеся целью просто перестанут задаваться целью.

[taikuri13]

у меня почта на гугле зарегана. думаю гугл почту взломать не возможно)

Гугл почта непростая. Только к ней привязан маркет, соотвественно программы маркета, для телефона. Привязаны соцсети, как правило.
Также очень интересная кнопка - войти на сайт, форум через Гугл.
К этому добавляем гуглосервисы на смартфоне, в этот же список добавляем бесплатный вай фай.
И финалом - то, что почта привязана к сим-карте или дополнительному ящику. (Люди устраивались к сотовому опреатору на работу, чтобы получить доступ).

Это основное. А на сладкое - последний метод, гопбрутфорс. Просто отнять у вас смартфон.

[khorevilv]

Вся защита это от любопытных воришек.От них мы ставим пароли,заводим несколько аккаунтов.
А кто нибудь вдумчиво и до конца читал  хотя бы тот же документ пользовательского соглашения,
при активации своего только что к примеру купленного смартфона.И  практически  все, соглашаемся
 с политикой конфиденциальности и ставим галочку.А для кого она конфиденциальна одному богу
известно.

[chinaprofitpro]

думаю гугл почту взломать не возможно)

Для задавшихся целью нет ничего невозможного. Единственное, что Вы можете сделать - это максимально усложнить процесс взлома. Тогда есть вероятность, что задавшиеся целью просто перестанут задаваться целью.

Правильное мнение.  Те кто думает, что ГУГЛ почту взломать не возможно-мне Вас искренне жаль. Ребятки, для того, чтобы зайти на Вашу гугл почту-достаточно снять с рабочей машины кукисы и  юзер-агент. ВСЕ))))) Меня около двух лет  назад взломали вот так же как и Влади, тоже через роутер.. Потерял я очень много активов и не только их....  И почта у меня была именно Гмейл, было прикольно смотреть как Хакер ломился через  смс-подтверждение..
На ставьте никогда галочки на "запомнить мой компьютер" и сохраните кучу нервов.
Был у меня товарищ хакер, так я видел какие они вещи умеет делать.... Как пример: Общественный вай фай. Телочка сидит за ноутом, а он на своем  показывает, какие кнопочки она нажимает и ее личные данные))).... Как-то так.

Вот, пару часов назад Microsoft расширение выпустили https://browserprotection.microsoft.com/learn.html

[page33]

думаю гугл почту взломать не возможно)

Для задавшихся целью нет ничего невозможного. Единственное, что Вы можете сделать - это максимально усложнить процесс взлома. Тогда есть вероятность, что задавшиеся целью просто перестанут задаваться целью.

Правильное мнение.  Те кто думает, что ГУГЛ почту взломать не возможно-мне Вас искренне жаль. Ребятки, для того, чтобы зайти на Вашу гугл почту-достаточно снять с рабочей машины кукисы и  юзер-агент. ВСЕ))))) Меня около двух лет  назад взломали вот так же как и Влади, тоже через роутер.. Потерял я очень много активов и не только их....  И почта у меня была именно Гмейл, было прикольно смотреть как Хакер ломился через  смс-подтверждение..
На ставьте никогда галочки на "запомнить мой компьютер" и сохраните кучу нервов.
Был у меня товарищ хакер, так я видел какие они вещи умеет делать.... Как пример: Общественный вай фай. Телочка сидит за ноутом, а он на своем  показывает, какие кнопочки она нажимает и ее личные данные))).... Как-то так.

Вот, пару часов назад Microsoft расширение выпустили https://browserprotection.microsoft.com/learn.html

Не согласен. Не запоминание сессии служит в основном одной цели - чтобы другой пользователь на этом же компьютере вместо вас не зашёл. Также простые куки можно подделать при оставшейся сессии, но у почтовиков они непростые.

А вот пароль при вводе перехватить - намного легче, чем куки сохранённые украсть и суметь задействовать.

[cerespolyester]

думаю гугл почту взломать не возможно)

Для задавшихся целью нет ничего невозможного. Единственное, что Вы можете сделать - это максимально усложнить процесс взлома. Тогда есть вероятность, что задавшиеся целью просто перестанут задаваться целью.

Правильное мнение.  Те кто думает, что ГУГЛ почту взломать не возможно-мне Вас искренне жаль. Ребятки, для того, чтобы зайти на Вашу гугл почту-достаточно снять с рабочей машины кукисы и  юзер-агент. ВСЕ))))) Меня около двух лет  назад взломали вот так же как и Влади, тоже через роутер.. Потерял я очень много активов и не только их....  И почта у меня была именно Гмейл, было прикольно смотреть как Хакер ломился через  смс-подтверждение..
На ставьте никогда галочки на "запомнить мой компьютер" и сохраните кучу нервов.
Был у меня товарищ хакер, так я видел какие они вещи умеет делать.... Как пример: Общественный вай фай. Телочка сидит за ноутом, а он на своем  показывает, какие кнопочки она нажимает и ее личные данные))).... Как-то так.

Вот, пару часов назад Microsoft расширение выпустили https://browserprotection.microsoft.com/learn.html

Не согласен. Не запоминание сессии служит в основном одной цели - чтобы другой пользователь на этом же компьютере вместо вас не зашёл. Также простые куки можно подделать при оставшейся сессии, но у почтовиков они непростые.

А вот пароль при вводе перехватить - намного легче, чем куки сохранённые украсть и суметь задействовать.

Ага, а как же ЛОГИ с БОТнета?? сейчас много всего придумано уже. Все правильно он написал. Сейчас, уже и куча исполняемых файлов есть. и ВНЦ в том числе с параллельными сессиями и без них. Все упирается в кошелек. Можно и приват такой написать, что ну его .....)

[lesuk5800]

НЕ понял... А зачем?

[Ufo.S]

Вроде как давно была утечка с хешами паролей у биталка вот мне кажеться у меня и сбрутили хешь =(. Очень сомневаюсь что меня поломали через эксплойт или еще как то ибо увели тогда все что было на пк .

[Vadi2323]

Вроде как давно была утечка с хешами паролей у биталка вот мне кажеться у меня и сбрутили хешь =(. Очень сомневаюсь что меня поломали через эксплойт или еще как то ибо увели тогда все что было на пк .

Чтобы всё увести с ПК нужны мозги, купить трояна и наводку от инсайдера любой дурак сможет. А вот мозги не продают

[tourmean]

Вроде как давно была утечка с хешами паролей у биталка вот мне кажеться у меня и сбрутили хешь =(. Очень сомневаюсь что меня поломали через эксплойт или еще как то ибо увели тогда все что было на пк .

А я вот сомневаюсь, что Вы использовали уникальный пароль для форума(тот который больше нигде не светился)...Даже уверен в этом.

[Vadi2323]

Опять какер почту читает.

Похоже на воровство куки.

Антон Карташов
antonnykartashov@gmail.com
21 мая в 23:21
:
создай агенство по IT безопасности, в тебя плевать все будут. когда нибуть ты головастик вьебёшься в забор, с такой хиленькой безопасностью

Что примечательно - на свежей лицухе и вход в Яндекс через ихнюю 2ФА, т. е. пароля нет.

[esmanthra]

Похоже на воровство куки

Стащил чего-то?

[Vadi2323]

Похоже на воровство куки

Стащил чего-то?

Только почту почитал

Дело в том, что настройки такие, что пароля нет. Вход через ЯндексКлюч. Т. е. это не кража пароля. Свежая ось. Лицензия. Прог мало. Роутер нормальный. Читает почту. Бабло не крадёт

[Vadi2323]

Стащил чего-то?

...финансы...

Если бы я мог их забрать, то сделал бы это уже давно...

 

...я на твою разработку деньги потратил, так что мне хотя бы себестоимость отбить надо. 80т оплатишь?...

 

[l_w]

думаю гугл почту взломать не возможно)

Для задавшихся целью нет ничего невозможного. Единственное, что Вы можете сделать - это максимально усложнить процесс взлома. Тогда есть вероятность, что задавшиеся целью просто перестанут задаваться целью.

Правильное мнение.  Те кто думает, что ГУГЛ почту взломать не возможно-мне Вас искренне жаль. Ребятки, для того, чтобы зайти на Вашу гугл почту-достаточно снять с рабочей машины кукисы и  юзер-агент. ВСЕ))))) Меня около двух лет  назад взломали вот так же как и Влади, тоже через роутер.. Потерял я очень много активов и не только их....  И почта у меня была именно Гмейл, было прикольно смотреть как Хакер ломился через  смс-подтверждение..
На ставьте никогда галочки на "запомнить мой компьютер" и сохраните кучу нервов.
Был у меня товарищ хакер, так я видел какие они вещи умеет делать.... Как пример: Общественный вай фай. Телочка сидит за ноутом, а он на своем  показывает, какие кнопочки она нажимает и ее личные данные))).... Как-то так.

Вот, пару часов назад Microsoft расширение выпустили https://browserprotection.microsoft.com/learn.html

Не согласен. Не запоминание сессии служит в основном одной цели - чтобы другой пользователь на этом же компьютере вместо вас не зашёл. Также простые куки можно подделать при оставшейся сессии, но у почтовиков они непростые.

А вот пароль при вводе перехватить - намного легче, чем куки сохранённые украсть и суметь задействовать.

Проще всего прислать вам стиллер(разновидность трояяна), замаскированный под письмо из банка с уведомлением о неоплаченном кредите, в склейке с другим файлом.
Открываете файл - сливаете все сохраненные в браузере пароли.
ACHTUNG! Не сохраняйте пароли в браузере. ACHTUNG!

[airdropus]

Мануал, как подстраховаться от потери аккаунта: Как прикрепить за собой аккаунт в Bitcointalk

Почему то не открывает ссылку. В чем может быть причина?

[esmanthra]

не открывает ссылку. В чем может быть причина?

Тема удалена или перенесена в закрытый (для широкой публики) раздел.
Топики о том же:
Будь готов к взлому своей учетки
Угон аккаунтов bitcointalk и меры предосторожности
Также стоит посмотреть темы из раздела "Безопасность" в рубрикаторе.

[taikuri13]

Немного новостей

Специалисты Cisco Talos предупредили об обнаружении крупного ботнета, получившего название VPNFilter. Сложная малварь уже заразила как минимум полмиллиона роутеров Linksys, MikroTik, NETGEAR и TP-link, а также NAS производства QNAP в 54 странах мира. Исследователи подчеркивают, что VPNFilter – это вторая известная IoT-угроза, способная «пережить» перезагрузку зараженного устройства (первой недавно стала малварь Hide and Seek), к тому же таящая в себе деструктивную функциональность.

Рекомендую прочитать полную статью по ссылке

https://xakep.ru/2018/05/24/vpnfilter/

[esmanthra]

Специалисты Cisco Talos предупредили об обнаружении крупного ботнета, получившего название VPNFilter

Успели уже даже немного обсудить.

[kreims]

Незнаю насколько новый способ - но появился по моему недавно.
Угон аккаунтов gmail через андроид смарты.
Угон прост до банальности - хакерами создается приложение которое проходит верификацию маркета (игрушка или банальный калькулятор), далее после набора определенного кол-ва положительных отзывов в действие запускается вирус под видом обновления приложения который и собирает данные на телефоне ну или планшете.
Так что обращайте внимание каким приложениям какие разрешения даёте, гугл не очень быстро реагирует на подобные вирусы и к моменту когда приложение удалят информация уже может уплыть.

[cda4ihehado]

Очень интересный топик,весь трафик который летит по воздуху потенциально уязвим.Атут вообще подарок-роутер с дырой.Только LAN и сразу в комп даст какие то гарантии безопасности.А  BackTrack,Kali Linux,wifislax они тоже не дремлют.Хорошо что всё закончилось без потерь.

[souul]

А почему не желательно пишет когда устанавливаешь секретный вопрос*

[esmanthra]

А почему не желательно пишет когда устанавливаешь секретный вопрос

Потому что:
 - это, фактически, второй пароль от аккаунта (т.е. у потенциального взломщика в два раза выше шансы взломать его, играя в "угадайку" - особенно, если он хорошо Вас знает);
 - при попытке сбросить пароль по секретному вопросу аккаунт автоматически заблокируется в целях безопасности (это было введено после взлома форума в 2015-ом, когда к хакерам "утекли" в том числе секретные вопросы).

[taikuri13]

 - при попытке сбросить пароль по секретному вопросу аккаунт автоматически заблокируется в целях безопасности (это было введено после взлома форума в 2015-ом, когда к хакерам "утекли" в том числе секретные вопросы).

Секретный вопрос - это очень отдельная тема для этого форума.
Потому что при попытке сменить пароль через этот вопрос бывают подобные случаи

9 MONTH HERO ACCOUNT LOCKED - разблокируйте, у меня много доказательств

[souul]

Пора к потоку для индефикации анализ крови прикрепить Все будет пучком тогда или мочи тем более esmanthra сказал уже что согласен

[recusant2000]

Пора к потоку для индефикации анализ крови прикрепить Все будет пучком тогда или мочи тем более esmanthra сказал уже что согласен

на гармоны.
Это векс скоро требовать будет со своих клиентов, потому что верификация селфи паспорт их уже не устраивает, как и подтверждение владения кошелька с которого пополнял и айпи и вообще всё остальное. Если кому нужно тебе что-то не отдавать, то не отдадут. Так же как с медалями ситуация, сначала вроде взяли допинг проверили всё гуд, а как получил медали так сразу  верификацию не прошел, заблочили медаль, медаль верни, вот так и тут, всё деньги, и личная выгода, а людям по*уй кого кинули кого опрокинули, а когда и сколько токенов вы будете выкупать 1 к 1, а то вот я купил по 0.6 к 1 и хочу продать.
К тому что все мыслят лишь в сторону гребсти к себе и про себя и под себя когда понимаешь и когда не понимаешь вот и добавляется помимо жрать срать трахаться индивиду надо только кнопку даешь бабло и слышать ничего другово не хочу, и если ему обещают кнопку то он сует эти деньги даже если отказываются предупреждают, говорят кинем, уже ничего слышать не хочет у него горит во лбу кнопка дают бабло.

[Vadi2323]

Похоже на воровство куки

Стащил чего-то?

Я забыл добавить. Настройка одна была изменена: появилась галочка напротив пункта "Разрешить доступ к почтовому ящику с помощью почтовых клиентов
С сервера imap.yandex.ru по протоколу IMAP". Этой настройки точно не должно было быть, потому что сам её убирал.

Также в "Устройства, сервисы и программы Список всех мест, в которых вы авторизованы" было прописано что-то типа "сборщик почты mail.ru" (дословно не помню). Как раз хорошо подходит для настройки выше. Этого тоже не должно было быть, т. к. нигде не авторизовался.

[taikuri13]

Похоже на воровство куки

Стащил чего-то?

Я забыл добавить. Настройка одна была изменена: появилась галочка напротив пункта "Разрешить доступ к почтовому ящику с помощью почтовых клиентов
С сервера imap.yandex.ru по протоколу IMAP". Этой настройки точно не должно было быть, потому что сам её убирал.

Также в "Устройства, сервисы и программы Список всех мест, в которых вы авторизованы" было прописано что-то типа "сборщик почты mail.ru" (дословно не помню). Как раз хорошо подходит для настройки выше. Этого тоже не должно было быть, т. к. нигде не авторизовался.

Где-то в советах о защите аккаунта от угона, да и в принципе любой защиты - было прописано, что страницы настроек необходимо и очень полезно архивировать при помощи цифрового снимка.
Сервис archive.li

Для себя это делаю, потому что настройки забываются. А тут фото с датой.

ps: Как мысль, а эту галку не могло поставить например приложение на телефоне?

[Vadi2323]

ps: Как мысль, а эту галку не могло поставить например приложение на телефоне?

Нет. Не дочистил компьютер.

[recusant2000]

ps: Как мысль, а эту галку не могло поставить например приложение на телефоне?

Нет. Не дочистил компьютер.

Откуда у тебя в компе то вирусня? С виндой вместе пришла или антивирус своих клиентов притянул?

Когда больше общаешься с линуксом понимаешь почему вирусы под него не пишут особо массово, просто после обновления обычные то проприетарные проги не запускаются, или их инсталяторы не устанавливаются, часть пакетов тоже перестает быть доступными.
Просто в винде библиотеки известно где лежат ц виндовс систем32, используя вызов функции из неё будет работать описание вызова одинаково для любой винды, а тут постоянно меняются пути библиотек, названия их файлов и т.д.
Поэтому если в винде написать вирус какой нить можно в однй строку текстового файла ( ну например  формат диска ц с опцией не спрашивать, или батничек перезагрузки или выключения компа, да да, для антивирусов это вирусы), или например вирусом считают радмин версии 2 а не 3, потому что он дает доступ без пароля после запуска просто, а пароль можно просто в реестр вбить зная ветку.
То тут действительно чужой софт если специально не заточен под нужную версию то просто не заупстится, или он будет охеренно большой и включать в себя всё что нужно от и до целиком ни от кого не зависеть, как софт кошелька биткоина.
Да ещё и это не всё, никаких антивирусов не будет, тут же поменяют саму систему исправят.
Вот поэтому под линукс и не пишут вирусов рассчитаных на массового потребителя. Индивидуально то делают конечно, можно почитать статьи о хакерах которые найдя человека сотрудника ему на флэшку всовывают то что там под любую систему сотворит что надо.

[Vadi2323]

ps: Как мысль, а эту галку не могло поставить например приложение на телефоне?

Нет. Не дочистил компьютер.

Откуда у тебя в компе то вирусня?...

Я в теме уже рассказывал про техника с Ростелекома с роутером. Далее было проникновение в систему, везде, куда только получится, с использованием всевозможных методов, (с последующим обломом ) Был перехват сессий Яндекса, это позволяло читать мою почту.

Полностью закрыть сессию на Яндексе везде (и у какера) точно можно через "Выйти на всех устройствах" в управлении аккаунтом.

Вирусни на компьютере в данный момент нет.

[bct2]

Мошенник из темы промышляет кидками на фейковых обменах. Да, да, тех самых обменах, где меняют тыщу рублей. Что полупрозрачно намекает о его финансовом положении

[Armaros]

Вывод: не бегать по сылкам которые кидают, и вообще все что присылают вам лично незнакомые вам люди файлы или сылки советую не открывать. так же при чтении писем сверять почту с которой они пришли, иногда бывают поддельные письма 1 в 1

[recusant2000]

ps: Как мысль, а эту галку не могло поставить например приложение на телефоне?

Нет. Не дочистил компьютер.

Откуда у тебя в компе то вирусня?...

Я в теме уже рассказывал про техника с Ростелекома с роутером. Далее было проникновение в систему, везде, куда только получится, с использованием всевозможных методов, в том числе уязвимостей железа (с последующим обломом ) Был перехват сессий Яндекса, это позволяло читать мою почту.

Полностью закрыть сессию на Яндексе везде (и у какера) точно можно через "Выйти на всех устройствах" в управлении аккаунтом.

Вирусни на компьютере в даный момент нет, просто виртуалки не почистил.

У меня тоже подозрение что к угону мыла причастны сотрудники мыла русского.
Насчет прова были подозрения одно время но обошлось.
Спасибо что сказал, ростелеком значит такая же помойка как и сбербанк.
Насчет сбера, когда требуют в качестве цифровой подписи твою карту, то читай что там светится.
С картой придумали именно потому что не могут защитится от воровства сотрудников подделывающих подписи, людей с улицы. Если будешь жмакать ввод на пинпаде не читая что там написано, то будет как писал мужик в чтае бтце, внаглую парень пробил ему другой операцией снятие 4 тысяч рублей у него со счета и чек и сумму просто положил в карман. ОН как бы это всё вспомнил по операциям а в тот момент о своем думал, а потом уже обнаружил снятие денег. Он в банк, а там говорят уволился мол парень. Вот у тебя такая же *уйня, но только с другим путинским совхозом огромным, монополией.

[arendator]

Угонка акков частое явление тут, знаю человека в телеге который ворует заброшенные акки тупым брутом и потом продает, поэтому лучше свои акки подписывать в электруме в спец теме.

[Vadi2323]

Похоже на воровство куки

Стащил чего-то?

Только почту почитал

Дело в том, что настройки такие, что пароля нет. Вход через ЯндексКлюч. Т. е. это не кража пароля. Свежая ось. Лицензия. Прог мало. Роутер нормальный. Читает почту. Бабло не крадёт

Роутер таки не нормальный. Контрольные суммы файла прошивки на роутере и на сайте производителя отличаются, хотя должны быть одинаковы:

https://www.virustotal.com/#/file/8b536a5d26be21d472038a7e2e6992e5d817d1d40fe65209e0db5a1953a86dbf/detection

https://www.virustotal.com/#/file/dd8adb9c2811c3405ec81649d36c110058168deb02c0e020e01bc125418ef57e/detection

То то я вспомнил, что одно время он автообновляться никак не хотел, хотя новая версия была.

[Vadi2323]

Если кому доведётся общаться с нашим Ледоколом - не верить ни одному слову: "финансово ты в безопасности", "за вознаграждение расскажу о твоей уязвимости в железе", "дело не в модеме", "я девочка, сфоткай член и чтобы лицо было видно" и т. д.

[esmanthra]

Если кому доведётся общаться с нашим Ледоколом

Вы от него еще не устали?:)
Судя по цитатам, он давно уже перешел вчистую на троллинг.

[BigBobo]

Как мы знаем проблемы бывают нескольких видов: слабый пароль, нет двухфакторной авторизации,  плохая почта как mail.ru или Яндекс, пароль повторяется в учетных записях на разных  форумах.
У топикстартера очевидно  проблема в роутере, всё-таки нерадивый работник сунул туда троян заранее рассчитывая на взлом.
И по видимости прошивка у всех одинаковая с уязвимостью.
Меры безопасности соблюдать необходимо по всем фронтам.
Самый распространенный вариант взлома последнее время  это vpn-сервисы.
Если пользоваться дешевыми сомнительными VPN сервисами то 99% оттуда уши растут.
В принципе сейчас гадание на кофейной гуще, чтобы понять  откуда доступ у хакера необходимо проверять и
вспоминать все варианты.
Рекомендую пароли всем сменить на пароле с минимум 16 знаков, нижнее подчеркивание, вопросительные знаки и другие символы.
Не ходить по левым ссылкам, и если приходит какое-либо похожее письмо  с форума биржи и ещё каких-то стоящих аккаунтов . Прежде чем перейти по ссылке нажмите и посмотрите отправителя в подробностях. Всё зависит от нашей внимательности.

[Vadi2323]

...
Рекомендую пароли всем сменить на пароле с минимум 16 знаков, нижнее подчеркивание, вопросительные знаки и другие символы...

Сейчас новый тренд: вопросительные знаки и другие символы больше не советуют, достаточно алфавитно-цифрового пароля, главное чтобы был длинный - 20 символов и больше. Короткие пароли со спецзнаками научились ломать по радужным таблицам.

[WhiteCollarWorker]

Да уж, второй роутер и Ледокол оперативно подсуетился с прошивкой. Прямо как отработанный конвейер работает на потоке. К тому же чтобы добраться до девайса внутри сети должен был троян быть. Видимо, во время первого инцидента был загружен и смог выжить.

[numb-f]

Роутер таки не нормальный. Контрольные суммы файла прошивки на роутере и на сайте производителя отличаются, хотя должны быть одинаковы:

https://www.virustotal.com/#/file/8b536a5d26be21d472038a7e2e6992e5d817d1d40fe65209e0db5a1953a86dbf/detection

https://www.virustotal.com/#/file/dd8adb9c2811c3405ec81649d36c110058168deb02c0e020e01bc125418ef57e/detection

То то я вспомнил, что одно время он автообновляться никак не хотел, хотя новая версия была.

Это не 100% факт. Если в веб-интерфейсе удалить какой-нибудь компонент, контрольная сумма файла прошивки, естественно, изменится. Если затем добавить этот же компонент (а он будет грузиться через Интернет), то контрольная сумма снова изменится, но будет не такая, как изначально. Хотя функционал останется родной, производителя.

Возможно при автообновлении такое расхождение по контрольным суммам и выходит.

[antiment6]

С роутером понятно.

Теперь о трояне. По характеру выживаемости проблемы после переустановки ОС просматриваются признаки заражения какого-то из БИОСов, скорее всего который на материнской плате. На старых моделях материнских плат защита от заражения БИОС слабая. Гарантированно такое можно устранить только перепрошивкой программатором, т. к. программная прошивка может блокироваться вирусом.

Для ОС и антивируса до такого зловреда добраться невозможно.

Рекомендация: заменить компьютер на более современный с БИОСом, поддерживающие новые стандарты безопасности. Например, в таких BIOS защита может обеспечиваться путём объединения двоичного кода биос и утилиты прошивки в одном "защищённом" исполняемом файле. Загнать "левый" код в такой чип очень непросто.

[blader7]

...Гарантированно такое можно устранить только перепрошивкой программатором, т. к. программная прошивка может блокироваться вирусом...

Или заменой материнской платы. Главное снова не допустить запуск вируса на машине. Если поражён какой-либо чип карт расширения, то менять весь комп, это самое надёжное.

[line5-1]

Когда-то я майнил Magicoin майнером cpuminer_win64_magi_byMarcusDe-core2-1104\minerd.exe

А сегодня при разборе старых файлов антивирь взревел, что это угроза Trojan:Win32/Bitrep.B, Уровень оповещения: Критический.

Вот так оно и попадает на наши компы.

[SidArt]

Не подскажите почитал вашу тему и мне тоже приходило письмо
This mail was sent because the 'forgot password' function has been applied to your account. To set a new password click the following link:

и IP китайский 120.234 итд Пользуюсь платным VPN до этого не было такого.
Пароль вроде не сменили. Я после этого сам сменил пароль, но так и не понял что это было?
Если пытались угнать, то почему не угнали и не сменили пароль. Почта Гугл. Могли ее взломать?

[johhnyUA]

Сейчас новый тренд: вопросительные знаки и другие символы больше не советуют, достаточно алфавитно-цифрового пароля, главное чтобы был длинный - 20 символов и больше. Короткие пароли со спецзнаками научились ломать по радужным таблицам.

По радужной таблице можно любой пароль взломать. Только вот проблема, что радужную таблицу необходимо сначала сделать, тоесть, высчитать полностью. Здесь два компонента: необходимое место на диске и время нужное для обсчета таблицы. И пока что, для паролей даже алфавита по типу (А-Я, 0-9, а-я) на 15 знаков+ это не достижимая величина. Смотря конечно как еще хранят пароли, с помощью какой хэш функции и добавляют ли соль и прочие защитные вещи.


Вот кстати интересная статья что будет, если хранить только хэш функцией, без соли и прочего - https://habr.com/post/107243/ (я вот хз какие у Виндовса хэш функции. Вроде бы мд5)

P.S: узнал, у них свой алгоритм шифрования DES. Симметричный шифр разработанный компанией IBM

P.P.S: Вот кстати очень хорошая статья. 2010й год правда, поэтому выводы и поправки на нынешнее время делайте сами - https://m.habr.com/post/80036/

[chimk]

Сейчас новый тренд: вопросительные знаки и другие символы больше не советуют, достаточно алфавитно-цифрового пароля, главное чтобы был длинный - 20 символов и больше. Короткие пароли со спецзнаками научились ломать по радужным таблицам.

По радужной таблице можно любой пароль взломать. Только вот проблема, что радужную таблицу необходимо сначала сделать, тоесть, высчитать полностью. Здесь два компонента: необходимое место на диске и время нужное для обсчета таблицы. И пока что, для паролей даже алфавита по типу (А-Я, 0-9, а-я) на 15 знаков+ это не достижимая величина. Смотря конечно как еще хранят пароли, с помощью какой хэш функции и добавляют ли соль и прочие защитные вещи.


Вот кстати интересная статья что будет, если хранить только хэш функцией, без соли и прочего - https://habr.com/post/107243/ (я вот хз какие у Виндовса хэш функции. Вроде бы мд5)

P.S: узнал, у них свой алгоритм шифрования DES. Симметричный шифр разработанный компанией IBM

P.P.S: Вот кстати очень хорошая статья. 2010й год правда, поэтому выводы и поправки на нынешнее время делайте сами - https://m.habr.com/post/80036/

хэш и соли чайникам не понятно...а вобще жесть какая-то радужные таблицы ....зачем тогда вобще пароли нужны?)))

[taikuri13]

хэш и соли чайникам не понятно...а вобще жесть какая-то радужные таблицы ....зачем тогда вобще пароли нужны?)))

Все зависит от конечной цели атакующего. Причем большое количество кулцхакеров - это начинающие, которые скачав необходимый софт просто проходят по базам, в надежде выцепить мыло, либо пароли к соцсетям.

Следующая стадия - это троянщики, социальные инженеры (а как твоей бабушки девичья фамилия? ). Здесь ущерб может быть побольше, но многое зависит от человека.

А вот дальше уже идут люди, которые занимаются этим более профессионально. Здесь широчайший набор инструментов. Например, при осознанном интересе подобный атакующий может вполне спокойно устроиться к опреатору сотовой связи, чтобы в один момент сделать дубликат необходимой сим-карты (такие случаи бывали).
А если брать программные средства, то для опытного человека не составит труда найти брешь даже на сайте банка, на сайте яндекса и прочих пенсионных фондов, которые обязаны хранить персональные данные. Однако утечки происходят с регулярностью, рано или поздно такие базы аккуратно продаются на некоторых рынках. Конечно вас поводят по рынку, один заберет деньги, второму передаст, а третий случайно уронит диск в ваш пакет.

Радужки - это больше страшилка для начинающих, чем что-то осознанное. И должен быть определенный алгоритм, чтобы составлять такую таблицу именно под конкретного человека. Это время и деньги.

Мы не сможем защититься от профессионалов. Если ваш компьютер под прицелом - то взлом его только дело времени. И это произойдет, либо симкой, либо роутером, либо подключением из коробки в подъезде. Отсюда логична мысль о том, что полная анонимность в сети - это не просто какая-то идея, которую можно послушать. Анонимность в сети - в первую очередь приравнивается к безопасности, личной безопасности.

А так-то никто не будет взламывать начинающего баунтиста, чтобы забрать пару тысяч сатош. Эта работа стоит денег и затратна по времени. Но никто не исключает того факта, что этот начинающий баунтист не будет находиться в определенном списке, а все его кошельки - могут автоматически отслеживаться, это совсем несложно.

Вот и вывод - наша задача защититься от начинающих хакеров и создать максимальные проблемы профессионалам. И само собой - никаких связей с криптой, нигде. Обычная жизнь.

[chimk]

taikuri13 последний совет я думаю запоздалый для многих)

[taikuri13]

taikuri13 последний совет я думаю запоздалый для многих)

Никогда не поздно начать думать

Да, у многих уже полное досье в сети, от фоток до кредитных карт. Если задуматься, то на профиле в социальных сетях может вполне стоять милый котик, телефон привязки сменен, почта меняется везде.

Этот процесс достаточно сложен, необходимо будет думать от того, кто пробует искать на человека информацию. И зачищать хвосты следует методично и целенаправленно.
Почта делится на три, а то и на тридцать три. Соцсети - все личное убрать в отдельный аккаунт, перехать на него, разделив крипту и коллег по работе. Сменить все пароли, на разные, поставить ВПН, а лучше параллельный ВПН. Забыть про КИЦ, как страшний сон.

Задача не в том, чтобы полностью уйти из сети. Это невозможно для тех, кто уже наследил. Главная задача - это отделить себя от крипты максимально. Думаю, что в течение полугода можно провести очень хорошую работу над ошибками. Конечно - это не удалит данные из Сбербанка Но меняются и карты и паспорт, утерян СНИЛС, сменена платежка за ЖКХ на левую, нарисованную.

Да, это сложнее, чем просить Гугл запомнить пароль на сайте. Да, придется придумать и хранить пароли самостоятельно, либо при помощи инструмента, либо в блокноте.

Но всегда будет один вопрос, вопрос цены. Ведь не бывает бесплатных программ и сайтов. Каждый из них забирает что-то и цена этого что-то может быть повыше чем несколько десятков долларов.

Мы всегда платим, либо деньгами, либо временем/знаниями. Вопрос только в том, что же на самом деле окажется дешевле.

Я немного знаком с информационной безопасностью. Могу сказать, что того времени, которое указал (полгода) достаточно, чтобы отделить себя от крипты. Даже может получиться что за это время появятся дополнительные, очень интересные знания

Идея криптомира в анонимности, в отсутствии контроля, отсутствии централизации. Причем вопрос KYC впервые возник не при появлении баунти и проведении ICO. Для криптомира это очень старый и очень важный вопрос, который обсуждался еще в августе 2010 года, в теме номер 923.

будут ли законы KYC постоянно душить биткойн?

Священный Грааль правительства перешел в «безналичную» экономику за последние десятилетия. Если бы у них был свой путь, никто бы не использовал наличные деньги сегодня, так как личные операции с наличными могут избежать налогообложения и очень часто это так и делается. Их откровение о том, что они больше не могут быть уверены в защищенности оплаты в Интернете, наверняка создаст трудности, но это не означает, что биткойн потерпит неудачу, потому что ему противостоит одно или несколько правительств. Черт, просто взгляните на экономику контрабандных наркотиков, таких как MJ. Даже десятилетия растущего притеснения не-насильственного контента для взрослых практически ничего не смогли сделать для недопущения новых участников каждого последующего поколения. В Биткойне огромная сила. Точно так же, как сам Интернет рассматривает цензуру как недостаток и продолжает эффективно бороться с ней, поэтому Биткойн (при достижении критической массы, которая еще не произошла) будет рассматривать помехи как неисправность и соответствующим образом корректировать этот момент. Ни один человек, ни одно учереждение, притеснениями и ограничениями не способно поменять существующую систему, не способно каким-либо образом ограничить людей. Нет краеугольного камня.
 Централизация была самой большой ошибкой E-gold, а не выбор золота или выбор - разрешить «незаконные» транзакции. Последнее было * оправданием *, а не причиной, которая приводит к сбою системы.

ps: Этим словам скоро будет 8 лет.

[chimk]

taikuri13 в принципе это все понятно и ошибок не так много. Больше их в офф лайн(язык-враг).  я думаю при наличии ресурса, деньги, органы, можно будет попытаться поискать взломщика. А насчет жилища, эту тему я очень хорошо понял, когда одного знакомого, расстреляли в квартире за коллекцию монет. Тогда долго концы искали, пока они не привели к неожиданному источнику. С тех пор. моё скромное жилище, слегка контролируется весьма не примитивными штуками защиты)). Вобщем сейчас серьезно занимаюсь, всякими ухищрениями, против злодеев.

[taikuri13]

taikuri13 в принципе это все понятно и ошибок не так много. Больше их в офф лайн(язык-враг).  я думаю при наличии неограниченного ресурса, деньги, органы, можно будет попытаться поискать взломщика. А насчет жилища, эту тему я очень хорошо понял, когда одного знакомого, расстреляли в квартире за коллекцию монет. Тогда долго концы искали, пока они не привели к неожиданному источнику. С тех пор. моё скромное жилище, слегка контролируется весьма не примитивными штуками защиты)). Вобщем сейчас серьезно занимаюсь, всякими ухищрениями, против злодеев.

Так вот в том и дело, что пока не коснется никто не задумывается о проблемах безопаности. "Это меня не коснется", "Чего у меня брать", "В поликлиннике лежит все мое личное дело", "Кого бояться"... Список этих фраз можно продолжать бесконечно.

Но все очень резко меняется при прикосновении зла. За несколько минут человек способен превратиться из открытого человека, который постит свои фотки с отдыха и на фоне машины - в весьма серьезного "параноика" (как ранее этот человек называл всех тех, кто заботится о своей безопасности).

А все могло начаться с небольшой дырки в прошивке роутера. Но сейчас многие люди настолько забили на свою безопасность, чувствуя безнаказанность и какое-то выдуманное спокойствие, что иной раз становится страшно за последствия.

А то, что вы делаете - более чем правильно. Один мой знакомый всегда держал под рукой чемоданчик со всем нужным, чтобы в течение 20 минут полностью исчезнуть, практически без следов. Да, это законопослушний гражданин, который просто хорошо заработал в свои годы.

[esmanthra]

при наличии ресурса, деньги, органы, можно будет попытаться поискать взломщика

Школьника-скрипткидди, думаю, найдете в легкую, но если работал профессионал, с этим будет куда сложнее (на то он и профессионал, в конце концов).
А насчет защиты в реале - уже были случаи, когда людей похищали и под пытками выбивали криптовалюту. И все равно у кого-то вызывает вопросы, почему о своей занятости в крипте не стоит распространяться среди знакомых (тем паче малознакомых) людей.

[chimk]

при наличии ресурса, деньги, органы, можно будет попытаться поискать взломщика

Школьника-скрипткидди, думаю, найдете в легкую, но если работал профессионал, с этим будет куда сложнее (на то он и профессионал, в конце концов).
А насчет защиты в реале - уже были случаи, когда людей похищали и под пытками выбивали криптовалюту. И все равно у кого-то вызывает вопросы, почему о своей занятости в крипте не стоит распространяться среди знакомых (тем паче малознакомых) людей.

это понятно. каждый должен меры принять относительно своих рисков. у меня они не высокие, активов мало. скорее от мелких вредителей пакостников  меры принимаю.

[Vadi2323]

при наличии ресурса, деньги, органы, можно будет попытаться поискать взломщика

Школьника-скрипткидди, думаю, найдете в легкую, но если работал профессионал, с этим будет куда сложнее (на то он и профессионал, в конце концов)...

Техника с Ростелекома найти и задать вопрос кому он продал дальше свою закладку нет никаких сложностей. Но по каким то причинам те, кто это должен делать делать это не захотели. Зная особенности приёма на работу в провинции РФ я догадываюсь почему.

[Vadi2323]

Ростелеком зря времени не теряет и предлагает роутер премиум класса



С персональным обслуживанием

[esmanthra]

роутер премиум класса

Сетевые комбайны, цену которых можно считать экстремальной, вряд ли скупают пачками некие богатые люди. Человек, у которого денег много, настолько глупым оказаться не может. Но сетевое оборудование, предлагаемое по экстремальной цене, пользуется спросом. Его приобретают в подарок на юбилей преподавателю, чтобы использовать в качестве приза ну и т.п.

В далеком 2002-м году, когда фирма Linksys еще не принадлежала Cisco Company, ею был выпущен очень удачный сетевой комбайн WRT54G. Данная модель пережила 7 или 8 аппаратных ревизий, кроме того, ее высоко ценили и ценят все компьютерные энтузиасты, а также хакеры и другие специалисты IT.

(обе цитаты - отсюда)

Видите - хакеры ценят.:Р Так что скиньте ссылочку своему "доброжелателю" - как подарок. Ну а че: премиум-класс, персональное обслуживание (наверняка типа того мэна, что приходит роутеры устанавливать - только он еще наверняка дипломированный психотерапевт сисадмин, одет с иголочки и притаскивает с собой шампанское в день знакомства). Явно же пахнет деньгами, парню должно понравиться.

[MrBell666]

Я очень много нашел в коментах к данному посту, например то что я узнал что можно обезопасить свой аккаунт в Bitcointalk . 

[page33]

Первый известный специалистам руткит для UEFI

Эксперты компании ESET рассказали об обнаружении вредоносной кампании, в ходе которой был задействован первый известный руткит для Unified Extensible Firmware Interface (UEFI). Ранее подобное обсуждалось лишь с теоретической точки зрения на ИБ-конференциях.

По данным компании, зафиксирован как минимум один случай успешного внедрения вредоносного модуля во флеш-память SPI, что гарантирует злоумышленникам не только возможность сохранить присутствие в системе после переустановки ОС, но и после замены жесткого диска.

Подробнее: https://xakep.ru/2018/09/28/lojax/


Думаю, автор темы попал на нечто подобное, только БИОС (микросхема) был старый, без UEFI

[esmanthra]

Думаю, автор темы попал на нечто подобное, только БИОС (микросхема) был старый, без UEFI

"Подобное" - это что, например?
Но вообще сомнительно, что тот образчик (в смысле взломщик) имел отношение к кому-то уровня Fancy Bear, дабы пользоваться такими приемами.

[Vadi2323]

Думаю, автор темы попал на нечто подобное, только БИОС (микросхема) был старый, без UEFI

"Подобное" - это что, например?
Но вообще сомнительно, что тот образчик (в смысле взломщик) имел отношение к кому-то уровня Fancy Bear, дабы пользоваться такими приемами.

Выше писали уже:

С роутером понятно.

Теперь о трояне. По характеру выживаемости проблемы после переустановки ОС просматриваются признаки заражения какого-то из БИОСов, скорее всего который на материнской плате. На старых моделях материнских плат защита от заражения БИОС слабая. Гарантированно такое можно устранить только перепрошивкой программатором, т. к. программная прошивка может блокироваться вирусом.

Для ОС и антивируса до такого зловреда добраться невозможно.

Рекомендация: заменить компьютер на более современный с БИОСом, поддерживающие новые стандарты безопасности. Например, в таких BIOS защита может обеспечиваться путём объединения двоичного кода биос и утилиты прошивки в одном "защищённом" исполняемом файле. Загнать "левый" код в такой чип очень непросто.

[esmanthra]

Выше писали уже

Да, но конкретики этот пост также не предоставляет.

[Vadi2323]

Выше писали уже

Да, но конкретики этот пост также не предоставляет.

Информации для размышления и выводов в теме достаточно, писать больше смысла не вижу.

Также подрезюмирую:

[V_e_n_t_u_r_a]

Какая-то мутная история. И очень мне не нравится.
Вот запись в логах:

С разницей в 6 минут?..

Поиск по форуму что-то не дал результатов. Предположение пока было только одно: что это все еще аукается взлом 2015-го. Но тогда странная последовательность: запросил пароль для сброса (фактически, предупредил), потом сменил пароль... Почта, судя по всему, не была взломана. Email не менял, видимо, во избежание блокировки. Ощущение, что есть какая-то закавыка на этапе сброса, что от меня ускользает.

Там форум ссылку формирует и высылает на мыло, типа такой https://bitcointalk.org/index.php?action=reminder;sa=setpassword;u=888888;code=zxcVBNMASD . Иногда получается последние 10 цифр угадать (?)

А борец с терроризмом ни при чём, просто на подсосе, пользуясь случаем. Поймать очередной фэйл ) Это старая история.

Это как так логи можно просмотреть ?

[Xal0lex]

Это как так логи можно просмотреть ?

Security log

[nastyagav]

Серьёзно, это типа ФСБ, Аля СБУ, шо за бред вообще. Ничего никому не отвечай, пусть едут в саратов, тоже мне нашлись.

[PeterI]

Мне уже третий день подряд приходят письма на мою почту, о том что функция забытый пароль была применена к моей учётной записи. Это получается что кто-то хочет взломать мой аккаунт? Что нужно делать в таких случаях, что-бы не допустить этого? Заранее благодарю за ответы.

[kseniatar18]

Мне уже третий день подряд приходят письма на мою почту, о том что функция забытый пароль была применена к моей учётной записи. Это получается что кто-то хочет взломать мой аккаунт? Что нужно делать в таких случаях, что-бы не допустить этого? Заранее благодарю за ответы.

Главное сначала удостовериться, что это настоящие письма, а не фейки, ведущие на фишинговый сайт похожий на bitcointalk.
Подделать отправителя несложно, например через phpmail. Поэтому смотрите служебные заголовки письма.

Такие письма шлют для того, что бы вы в панике перешли по ссылке в письме и попробовали залогиниться на псевдо-форуме, отдав тем самым свои данные злодею.

Если у вас нормальный антивирус, почта с 2-факторной авторизацией и сложный пароль типа %Fy5trDUItydiDe5765&75 думаю, ничего делать не нужно.

[Hans Groober]

Это как так логи можно просмотреть ?

Security log

А этот лог можно просмотреть только за месяц или есть возможность сделать поиск по нику или по дате?

[Xal0lex]

Это как так логи можно просмотреть ?

Security log

А этот лог можно просмотреть только за месяц или есть возможность сделать поиск по нику или по дате?

Нет, поиска там нет. Только то, что на странице в конкретный момент.

[Randomizer3]

Аккуратнее с запуском сомнительных программ (кошельков шитфорков, например) во всяких песочницах, виртуал-боксах и прочих виртуалках. Зачастую эти виртуальные машины в одной сети с хостом и вредоносы могут просканировать из-под виртуалки основной компьютер по сети на предмет уязвимостей. И если таковые найдутся, то будет мясо.

[Intlab]

Думаю, автор темы попал на нечто подобное, только БИОС (микросхема) был старый, без UEFI

"Подобное" - это что, например?

Видимо имеется в виду, что вкладка "Безопасность устройства" в параметрах должна выглядеть как на скриншоте ниже. Если это не так, то следует настроить БИОС. Если компьютер старый без UEFI, то настоятельно имеет смысл купить новый.



С роутерами отдельная песня, там производителям плевать на безопасность, в роутере нужно отключать все ненужные компоненты и выстраивать домашнюю сеть изначально с расчётом на чужака в сети.

[Vadi2323]

Думаю, автор темы попал на нечто подобное, только БИОС (микросхема) был старый, без UEFI

"Подобное" - это что, например?

Видимо имеется в виду, что вкладка "Безопасность устройства" в параметрах должна выглядеть как на скриншоте ниже. Если это не так, то следует настроить БИОС. Если компьютер старый без UEFI, то настоятельно имеет смысл купить новый.



С роутерами отдельная песня, там производителям плевать на безопасность, в роутере нужно отключать все ненужные компоненты и выстраивать домашнюю сеть изначально с расчётом на чужака в сети.

Для картинки

[numb-f]

Специализированное техническое образование не является обязательным для российского хакера.

Дело в том, что нынешний «хакер» – продвинутый пользователь, имеющий доступ к хакерским сайтам. А ведь недавно профиль злоумышленника был совсем иной. Это был профессионал! Уходят времена, однако…

 

[Intlab]

Ничто не предвещало беды... WinRAR, факинг шит! Вот поэтому не нужно ставить необязательные программы на комп.

"Критическая уязвимость в WinRAR ставит под угрозу более 500 млн пользователей

Для успешной атаки злоумышленнику потребуется просто убедить жертву распаковать вредоносный архив с помощью WinRAR.

Специалисты компании Check Point раскрыли информацию о критической уязвимости в популярном архиваторе для Windows, аудитория которого насчитывает более полумиллиарда пользователей по всему миру, позволяющей выполнить код на целевой системе. Для успешной атаки злоумышленнику потребуется всего лишь обманом заставить жертву распаковать вредоносный архив.

Уязвимость обхода каталога, получившая несколько идентификаторов (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 и CVE-2018-20253), затрагивает все версии WinRAR, выпущенные за последние 19 лет. Проблема кроется в устаревшей сторонней библиотеке UNACEV2.DLL, используемой архиватором для распаковки файлов в формате ACE. Поскольку WinRAR распознает формат по содержимому файла, а не его расширению, атакующим потребуется всего лишь изменить расширение .ace на .rar, чтобы замаскировать вредоносный архив.

Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем. Таким образом они могут поместить вредоносный код в папку автозагрузки Windows, который будет автоматически выполняться при каждой загрузке системы. Как видно на видео https://youtu.be/R2qcBWJzHMo , для полной компрометации системы злоумышленнику потребуется просто убедить пользователя распаковать вредоносный архив с помощью WinRAR.

В конце января нынешнего года разработчики WinRAR выпустили версию WinRAR 5.70 Beta 1 , устраняющую данную уязвимость. Поскольку команда утратила доступ к исходному коду UNACEV2.dll еще в 2005 году, разработчики решили удалить библиотеку и, соответственно, поддержку формата ACE из версии 5.70 beta 1. Всем пользователям рекомендуется обновиться как можно скорее."

Источник: https://www.securitylab.ru/news/498047.php

И ещё, на конкретном примере: Злоумышленники эксплуатируют уязвимость в WinRAR для установки бэкдора
Специалисты заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО.
Подробнее: https://www.securitylab.ru/news/498108.php

[Trapikov]

Очень знакомая ситуация. Если почту украли - то считай все. Так я помню у моего хорошего знакомого украли почту и с ней все. У него был акк на криптобирже и там тоже были эфиры, все это украли. Соц сети и доступ к картам. В общем, хватает умников.
Я бы на вашем месте вспомнил все остальные подвязки к площадкам где у вас украли доступ и сделал соответствующие выводы=))

[kreims]

Чему удивляться - если довольно большое кол-во пользователей устанавливают банальные ответы на секретный вопрос при попытке  восстановить доступ к почте. Например моё первое авто - ответы копейка, жигули и т.п.
Любой мэйл если не привязан телефон методом брутфорса ломается на ура.

[chimk]

Чему удивляться - если довольно большое кол-во пользователей устанавливают банальные ответы на секретный вопрос при попытке  восстановить доступ к почте. Например моё первое авто - ответы копейка, жигули и т.п.
Любой мэйл если не привязан телефон методом брутфорса ломается на ура.

каким образом? 16-ти значный пароль сломают?

[kreims]

Функция восстановить пароль - ответ на секретный вопрос.Не совсем правильно выразился, брутфорсятся при помощи бота ответы на секретные вопросы. По шаблону - если авто - то перебираются марки.

[Vadi2323]

Очередной пример того, что чем меньше на ПК установлено программ, тем лучше:

Злоумышленники внедрили бэкдор в утилиту ASUS Live Update

Вредоносная версия утилиты была подписана украденным сертификатом и распространялась с официального сервера ASUS.

Подробнее: https://www.securitylab.ru/news/498504.php

ЗЫ что Асус - распонтованные мудаки знал давно, и не удивлён.

А какой компьютер у вас, случайно не ASUS?

И ещё. Кто поймал пишут, что: "Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей." https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/ К сожалению, не уточняют каких.

[Randomizer3]

Очередной пример того, что чем меньше на ПК установлено программ, тем лучше:

Злоумышленники внедрили бэкдор в утилиту ASUS Live Update

Вредоносная версия утилиты была подписана украденным сертификатом и распространялась с официального сервера ASUS.

Подробнее: https://www.securitylab.ru/news/498504.php

ЗЫ что Асус - распонтованные мудаки знал давно, и не удивлён.

А какой компьютер у вас, случайно не ASUS?

И ещё. Кто поймал пишут, что: "Расследуя атаку, мы обнаружили, что те же самые техники использовались и для заражения ПО трех других производителей." https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/ К сожалению, не уточняют каких.

Если они добрались до раздела загрузки официального сайта и сертификата, то там одной ASUS Live Update вряд ли обошлось. В таком случае воможно многое - драйверы переписывать, прошивки биос модифицировать (самое опасное).

[Raxxla]

А какой компьютер у вас, случайно не ASUS?

Можно проверить свой МАК на зашкваренность на сайте Касперского по ссылке https://shadowhammer.kaspersky.com/

Взято отсюда: https://www.kaspersky.ru/blog/shadow-hammer-teaser/22486/

[l_w]

Чему удивляться - если довольно большое кол-во пользователей устанавливают банальные ответы на секретный вопрос при попытке  восстановить доступ к почте. Например моё первое авто - ответы копейка, жигули и т.п.
Любой мэйл если не привязан телефон методом брутфорса ломается на ура.

каким образом? 16-ти значный пароль сломают?

часто ломают сам сервис, сливая хэши паролей. далее в ход идут радужные таблицы.

[DarkNightRider]

Ну многие годами проживают с роутером в настройках которого по умолчанию включен WPS. Если это так, и если в пределах вашей W-Fi живет какой-нибудь умник...

Жить не обязательно, год назад периодически встречал на своей лестничной площадке чуваков позднего студенческого возраста со смартфоном в руке. Сейчас роутер забетонирован и отключено всё, что только можно отключить. Посему отвяли.

[l_w]

не спасет вас на 100 отключенный wps. если оперируете крупными суммами лучше вообще отключить wifi.
ничто не мешает при выключенном wps захватить хэндшейк и сбрутить пароль.
так же в последнее время набирают популярность mitm атаки wifi сетей.
если кому будет интересно - распишу подробнее.

[numb-f]

не спасет вас на 100 отключенный wps. если оперируете крупными суммами лучше вообще отключить wifi.
ничто не мешает при выключенном wps захватить хэндшейк и сбрутить пароль.
так же в последнее время набирают популярность mitm атаки wifi сетей.
если кому будет интересно - распишу подробнее.

Да, вайфай лучше вырубить нахрен, для работы он всё равно не нужен. Если же суммы не особо значительные и отключать влом, можно вайфайскую подсеть в отдельном сегменте разместить, из которого нет доступа к другим подсетям и настройкам роутера. В совокупности с другими мерами защиты за-fuck-ается взламывать.

[WhiteCollarWorker]

Еще раз, приватники должны храниться на холодном компе, это аксиома. Ноут с вайфаем это только для того, чтобы например заходить сюда на форум, да и вообще работать в инете, причем через песочницу.

Следует заметить, что сейчас инструменты для взлома продают либо дают в аренду, поэтому непосредственные взломщики талантами не блещут, тупые и являются не непосредственными разработчиками троянов, а их покупателями. Т. е. сами разработчики не рискуют, а используют покупателей (как безмозглый скот какой-то, быдло). Так вот этот самый безмозглый скот даже в случае взлома если комп "пустой" попадает в цейтнот - деньги уплочены, а когда через комп погонят бабло можно и не дождаться - уязвимость закроют или антивир начнёт детектировать. Поэтому такой подлец быдлец такой комп обойдёт стороной, ему это невыгодно.

[l_w]

не спасет вас на 100 отключенный wps. если оперируете крупными суммами лучше вообще отключить wifi.
ничто не мешает при выключенном wps захватить хэндшейк и сбрутить пароль.
так же в последнее время набирают популярность mitm атаки wifi сетей.
если кому будет интересно - распишу подробнее.

Не, ну флаг им в руки, пусть брутят. У меня пароль на вайфай (WPA2) 36 знаков, причем всяческих  

Зы, и забыл добавить (по поводу сумм, не важно больших или малых) - все приватники на холодном ноуте, который никогда не видел инета,  храняться. Несколько тем по этому поводу создал. Загляните в мою подпись.

была бы цель, а средства найдутся. если есть дома домочадцы помимо вас, то можно провести атаку "на них".
гуглите - mitm - атаки в wifi сетях. сами, не понимая происходящего, могут слить ваш форсированный пароль путем подмены точки доступа и поднятия одноименной с перехватывающим порталом
есть идругие варианты

[Vadi2323]

Периодически обнаруживаю постороннее присутствие, принимаю меры. Подробности раскрывать не могу, просто отмечу, что разнообразие подходов впечатляет. Говно прилипло и отлипать не собирается. Но последнее время давление усилось, видимо из-за роста курса BTC - выяснилось, что все подключённые к интернету компы оказались скомпроментированные и ещё кое-что.

Курс растёт... А это значит, что скоро появятся истории на форуме, как кого-то ограбили. Ресурсы у "них" есть, целая индустрия трудится.

"Microsoft исправила две уязвимости нулевого дня
 
Компания выпустила патчи для 77 уязвимостей в рамках «вторника исправлений».
Во вторник, 9 июля, Microsoft выпустила очередные ежемесячные плановые обновления безопасности для своих программных продуктов. В этот раз компания исправила 77 уязвимостей, в том числе две уязвимости нулевого дня.
Уязвимости CVE-2019-0880 и CVE-2019-1132 позволяют злоумышленнику повысить свои привилегии на атакуемой системе. С их помощью нельзя удаленно захватить контроль над компьютером, но злоумышленник, которому уже удалось проникнуть в систему, может воспользоваться ими для получения доступа к привилегированной учетной записи.
Главной из двух уязвимостей является CVE-2019-1132, затрагивающая компонент Win32k в более старых версиях Windows, в том числе в Windows 7 и Server 2008. По словам специалистов ESET, она эксплуатировалась киберпреступниками, предположительно связанными с российским правительством. Подробности о вредоносной кампании исследователи обещали опубликовать позднее.
Вторая уязвимость нулевого дня, CVE-2019-0880, затрагивает процесс splwow64.exe. Проблема была обнаружена специалистами Resecurity. Уязвимость затрагивает Windows 10, 8.1, Server 2012, Server 2016, Server 2019, а также версии Server 1803 и 1903, однако в реальных атаках она эксплуатировалась только в более старых версиях Windows. Подробности о вредоносных кампаниях, в которых использовалась данная уязвимость, пока не известны."

Источник: https://www.securitylab.ru/news/499896.php

Уязвимости эти довольно противные, потому что позволяют, например, каким-нибудь сраным скриптом с веб-страницы заменить системные файлы хренью и никая защита не сработает.

[Vadi2323]

За последние 15 лет из всех книжек по защите, что видел, все советовали использовать лицензионное ПО и загружать обновления. А по факту пришлось столкнуться с инсайдером от Ростелекома, модифицированными настройками и прошивкой роутера, модифицированным биосом, взломанным сайтом Asus с заменой программ и драйверов на троянов, дырявым Winrar, бездействием полиции, бездействием ХуЯндекса. В добавок мошенники научились слать смс и звонить с поддельных официальных номеров Сбербанка, например 900.

П**дец какой бардак.

[taikuri13]

За последние 15 лет из всех книжек по защите, что видел, все советовали использовать лицензионное ПО и загружать обновления.
~

Так просто уровень безопасности другой. Для того, кто кошечек в интернете смотрит и через ВКонтактике переписывается - вот для них обновления самое то, даже если будет дыра в роутере, ее мало кто заметит.

А где крипта или финансы, там эти книги стоит выкинуть и самому свою "модель угроз" выстроить, а потом и защищаться, по каждому пункту.

[johhnyUA]

За последние 15 лет из всех книжек по защите, что видел, все советовали использовать лицензионное ПО и загружать обновления. А по факту пришлось столкнуться с инсайдером от Ростелекома, модифицированными настройками и прошивкой роутера, модифицированным биосом, взломанным сайтом Asus с заменой программ и драйверов на троянов, дырявым Winrar, бездействием полиции, бездействием ХуЯндекса. В добавок мошенники научились слать смс и звонить с поддельных официальных номеров Сбербанка, например 900.

П**дец какой бардак.

Ну количество подходов для отъема у очень доверчивых будет только увеличиваться. В случае кустарщины, без нужных знаний и умений все может оказаться еще хуже.
Прокси-прокладки вшитые к кустарные роутеры (привет тем кто любит брать с рук роутеры) (сейчас такое благо блочат браузеры и брандмауэр это видит),  поддельные ssl сертификаты от дырявых центров (и такое есть), перехват сессий в публичных вай фаях (паблик вай фаи это вообще отдельная тема). Это норма.

Поэтому и придумал проверять цифровую подпись файла, даже если сайт "официальный". И контрольные суммы файлов смотреть, сверяя с тем, что указано (но их то и поменять могут, при взломе сайта).

[Vadi2323]

Кстати, какер, который учётки воровал (назовём его Ледокол) сейчас со своих многочисленных клонов ищет аккаунты "на Local Bitcoin", например: Куплю аккаунт local bitcoin

А также продаёт запароленные кошельки "с биткоинами". Вот ведь клоун, ничего не могущий! )

Будьте осторожны.

[Vadi2323]

Долбаный Хром зае.. своими дырами: В Google Chrome исправлена опасная уязвимость

[johhnyUA]

Долбаный Хром зае.. своими дырами: В Google Chrome исправлена опасная уязвимость

Недавно такая и в Мозиле была. Браузеры все больше и больше вгрызаются в управление системой. С другой стороны, теперь их так просто не надуришь всякими прокси http, которые мамкины хакеры любят вшивать прокладками в кастомные прошивки роутеров и прочей дичи.

[Xal0lex]

«В зависимости от привилегий приложения, атакующий может устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами», - поясняется в предупреждении Center for Internet Security.

Хотелось бы мне увидеть того придурка, который запускает браузер от имени администратора

[johhnyUA]

«В зависимости от привилегий приложения, атакующий может устанавливать программы, просматривать, изменять или удалять данные, создавать новые учетные записи с полными правами», - поясняется в предупреждении Center for Internet Security.

Хотелось бы мне увидеть того придурка, который запускает браузер от имени администратора

У многих пермишены могут быть неправильно выставлены. Даже на Линуксе такое очень часто случается (когда расшариваются админские права на всех, это легко проверить, так как не нужно вводить команду супер юзера) а в Винде многие сидят с админских учеток, и там вообще все грустно. Те люди, которых ты хочешь увидеть, это 70 % населения короче.

[Vadi2323]

В догонку про Хром. Последний год-два, что стал читать новости по безопасности, то и дело мне попадались новости про уязвимости данного браузера.

Так вот. Для тех, кто пользуется Оперой прошу учесть, что она сделана на основе кода Хрома и все дыры для Хрома актуальны и для Оперы. Но после выхода обновления для Хрома это же обновление для Оперы выпускают с запозданием, причём довольно долгим. Имейте это ввиду - Опера по обновлениям всегда опаздывает.

[johhnyUA]

Так вот. Для тех, кто пользуется Оперой прошу учесть, что она сделана на основе кода Хрома и все дыры для Хрома актуальны и для Оперы. Но после выхода обновления для Хрома это же обновление для Оперы выпускают с запозданием, причём довольно долгим. Имейте это ввиду - Опера по обновлениям всегда опаздывает.

Вот это полезный и хороший пост. У них общий движок - Хромиум, если что. У Интернет эксплорера (если им кто то еще пользуется) тоже Хромиум. Свои движки только у Хрома, Сафари и Мозиле.

[Xal0lex]

Так вот. Для тех, кто пользуется Оперой прошу учесть, что она сделана на основе кода Хрома и все дыры для Хрома актуальны и для Оперы. Но после выхода обновления для Хрома это же обновление для Оперы выпускают с запозданием, причём довольно долгим. Имейте это ввиду - Опера по обновлениям всегда опаздывает.

Вот это полезный и хороший пост. У них общий движок - Хромиум, если что. У Интернет эксплорера (если им кто то еще пользуется) тоже Хромиум. Свои движки только у Хрома, Сафари и Мозиле.

Chromium - это не движок, а веб-браузер с открытым исходным кодом, разрабатываемый сообществом The Chromium Authors, компанией Google и некоторыми другими компаниями (Opera Software, Яндекс, NVIDIA, …). На основе Chromium создан браузер Google Chrome и Opera (новая) также.

Соответственно, и Chromium, и Google Chrome, и Opera используют один движок -  Blink, который является форком движка WebKit.

[johhnyUA]

~snip~

Немного перепутал, с кем не бывает. Но суть это не особо поменяло, из того, что я сказал.

Движок один - уязвимости одни. Что у Хрома, что у Оперы, что у IE.

[Xal0lex]

~snip~

Немного перепутал, с кем не бывает. Но суть это не особо поменяло, из того, что я сказал.

Движок один - уязвимости одни. Что у Хрома, что у Оперы, что у IE.

Опять неувязочка IE использует движок Trident, а вот Microsoft Edge использует уже платформу Chromium. Это два совершенно разных браузера.

P.S. Вот противный какой... 

[johhnyUA]

P.S. Вот противный какой... 

Правильно говорил Вундерсвин, что модеров менять пора. А то разумистами стали. Как только модер становится разумистом - время его менять.

Еще скажи что у Мозиллы не Quantum движок, и я опять обосрался.

[Vadi2323]

Ощутимый прогресс в защите операционных систем заставил злоумышленников изобретательно искать в компьютерах новые уязвимости. Несколько заслуживающих внимания статей на тему атаки BadBIOS:

BadBIOS, или Большие Проблемы
Coreboot, оно же LinuxBIOS: компрометация ядра и его защита
UEFI как SNAFU
UEFI: Хотели как лучше…

И ещё, с подставой от спецслужб легитимного производителя: Угрозы на три буквы Тут уже и актуальна становится тема роутера (перехват незашифрованных сетевых пакетов) или админов провайдеров, да и просто всех, через кого трафик пойдёт. Публикация расследования от Kaspersky Lab: Угроза из BIOS Цитата среди прочих:

...метод атаки может быть основан на обмане DNS-службы, что заставит агент на компьютере жертвы подключиться к серверу управления атакующего...

Бонус. Статья на тему атаки BadUSB: Чума на ваши USB

[madnessteat]

~
Бонус. Статья на тему атаки BadUSB: Чума на ваши USB

С каждой новой прочтенной статьей по безопасности начинаешь параноить все больше. Не понял одного из этой статьи. Перепрогроммирование чипов происходит через вирус или вполне возможно  заказать уже зараженный USB носитель с Китая, например?

[lovesmayfamilis]

С каждой новой прочтенной статьей по безопасности начинаешь параноить все больше. Не понял одного из этой статьи. Перепрогроммирование чипов происходит через вирус или вполне возможно  заказать уже зараженный USB носитель с Китая, например?

Мне кажется, что китайцы легко могут создавать и продавать подобные флешки.
BADUSB кабель

USBNinja является очень скрытой USB exploit framework, позволяющей беспроводному удаленному запуску заказных полезных нагрузок.

В то время как USBNinja работает в качестве обычного usb-кабеля: передача данных, подзарядка и т. д. однако при срабатывании (через смартфон или выделенный long-диапазонная антенна) он выполняет свою предзапрограммированную информационную нагрузку на хост-устройство.

Эмуляция действий клавиатуры и мыши, полезные нагрузки полностью настраиваются и могут быть сильно ориентированы.

Не обнаруживаемый брандмауэрами, программным обеспечением AV или визуальным контролем, USBNinja идеальный инструмент для тестеров проникновения, полиции и правительства.

https://ru.aliexpress.com/i/32975244406.html

В сети уже сейчас много информации, как ее можно сделать самостоятельно. Лучше покупать флешки у известных брендов и в специальных магазинах.


Так ли страшен BadUSB, каким его преподносят СМИ?
Мы изобрели лекарство от BadUSB


новый хит
Фейковый зарядный кабель для iPhone

https://habr.com/ru/news/t/463557/

[johhnyUA]

С каждой новой прочтенной статьей по безопасности начинаешь параноить все больше. Не понял одного из этой статьи. Перепрогроммирование чипов происходит через вирус или вполне возможно  заказать уже зараженный USB носитель с Китая, например?

Как раз таки этот вирус распостраняется именно вторым вариантом, когда флешка уже была и доброжелателей до тебя. Тоже самое кстати и с роутерами (поэтому не стоит брать бу роутеры). Я не помню, писал здесь или нет (а то еще в бан улечу за плагиат самого себя, ха ха) но если прошить роутер на низком уровне (скачал прошивку, и если она опенсорс то кое что в ней поменял) то роутер можно превратить в грозное оружие анального угнетения наивных пользователей, так как можно и прокси сервер-прокладку загрузить, и удаленный доступ получить, и пакеты смотреть (если без https) и вайт листы свои создавать, и свои программы устанавливать. Много чего.


Смотри, здесь есть правда очень важный момент который упускают "пугатели":
Чем больше масштабируемость и охват, тем меньше собственно инвазивность. Фишинговые сайты к примеру вообще не имеют инвазивности, а работают за счет глупости самих людей. В то же время, реверсивный инжениринг с травлением или УФ атакой на чип твоего Трезора позволит ребятам получить все что угодно. Но во втором случае они ограниченны конкретной моделью чипа (STM32 например) и необходимостью физического доступа.

Очень схожая вещь с badusb, вот цитата: "Оба представленных прототипа — недавний и тот, что видели на конференции BlackHat, — для иллюстрации механизма атаки используют контроллер USB 3.0 производства компании Phision. Выбор совсем не случаен: для этого контроллера в широком доступе находились утилиты перепрошивки, поэтому протокол его работы было легко разобрать." (https://lifehacker.ru/kak-obezopasit-sebya-ot-neulovimoj-uyazvimosti-badusb/)

Как можешь заметить, атака успешно прошла против конкретного контроллера конкретного производителя. С другим может не выйти.