Хакер сменил пароль от bitcointalk.org

[Udrujex]

Взломщику удалось выкачать письма, которые валялись в ящике

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.

Причём в браузере они как непрочитанные были и по логам только с моего IP обращение шло

Про браузер и непрочитанное taikuri13, в принципе, ответил. А насчет IP - взломщик мог задействовать IP-спуфинг (подменить свой IP на Ваш). Но вот чего для меня во всей этой истории остается неясным: если почта все же "уплыла" (или тем паче была взломана машина), почему ущерб такой мизерный? Он Вас просто потроллить таким образом решил, что ли?

Когда-то в Англоязычной ветке была тема о продаже аккаунта. Я связался с человеком через почту. Он мне якобы отписал с аккаунта,  который я хотел купить. Ничего не предвещало беды.. Я написал модераторам, мол так и так.... Реакции ноль..
2. Когда-то тоже "все-таки" купил аккаунт   SR  Мембера. Купил и оставил. Через пару дней обнаружил, что от моего аккаунта ведется переписка. Я понял, что я купил БРУТ. Я даже пароль не менял... И владельцу аккаунта написал об этом... Мне даже спасибо не сказали..)))
 p.s.Установить индивидуальный пин или секретную почту или хотя бы двухфакторку, или принять смс на установленный заранее номер
- и проблем станет примерно на 70-80 процентов меньше.

А теперь по сабжу: диапазон вирусов сейчас огромный:
- с внц,
- без внц,
-с параллельной сессией,
-без параллельной сессии,
-с внц без паралелльной сессии
- с внц с параллельной сесии
- кейлоггеры, стиллаки, снифферы.
Чего душа пожелает.........

[1715446975]

1715446975

[1715446975]

1715446975

[1715446975]

1715446975

[johhnyUA]

Как вариант больше похоже на неаккуратные действия персонала российского почтового сервиса, на котором у меня почта зарегистрирована. Или типа того. А вот что они хотели посмотреть и кто попросил это сделать - вот это уже интересно.

Я вот после твоего поста сразу задумался, возможно стоит поменять мыло. А то у меня тоже почта нашего, СНГшного оператора к акку привязана. Как бы не случилось чего  
Как я понял доверять компаниям нельзя. А нашим так точно!

[RuSS512]

возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши

А что он там покуда "вешает"? Из лапши.

Намекает на spectre и meltdown.

Для скриншотов используйте программу Greenshot и не нужно будет текст копировать в блокнот) там выделяемая область копируется в буфер обмена

[badwolf_foxtrot]

Коллеги, скажите - а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый? Для всех бы все стало безопаснее, разве нет?

[esmanthra]

Намекает на spectre и meltdown

Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя.

диапазон вирусов сейчас огромный

Под сниффером подразумевалась специализированная программа-анализатор траффика (типа Wireshark или tcpdump). Вирусы - отдельная тема.

а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый?

Потому что всем лень это все отложено до нового движка. Хотя уже говорилось, что, если найдется умелец, который напишет 2FA-заплатку для текущего SMF-старца, theymos вполне может ее прикрутить.

[Vadi2323]

Взломщику удалось выкачать письма, которые валялись в ящике

Сижу, перелопачиваю инфу с поисковика...
Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным.
Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте.

Перелопатил компьютер. У меня один вариант. Я его озвучу завтра, после 09:00. Нужно всё-таки дождаться ответа г-на Smartwm, возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши.

У меня несколько лет было всё нормально. Странности начались 3 месяца назад, после подключения Интернета по оптике - был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS и с открытым доступом к его настройкам - можно было подключаться по WAN, LAN, WiFi. По WiFi можно было подключаться к моей LAN-сети. Так было месяц, пока я не обнаружил дыру в роутере.

В таких условиях есть несколько путей для загрузки на компьютер килоггера, что и было сделано. Например, через  LAN-WiFi - была неправильная настройка сети на компьютере и лишняя не закрытая локальная учётка (после удаления 1С остался пользователь USR1CV81) - это я обнаружил уже совсем недавно. Килоггер мне поставили продвинутый, профессиональный - антивирус он прошёл, как нож сквозь масло. Интересно, сколько такой стоит.

Килоггер позволил: 1) перехватывать пароли 2) забирать на компе почту и переправлять на хакерский комп. Вообще килоггеры много чего умеют, например делают снимки с экрана - что делает пользователь, удалять сам себя. Но этот килоггер не позволил пройти 2ФА. Также он не смог украсть файл кошелька.

Вообще пикантная ситуация получилась. Г-н Smartwm видел большую вкусную конфету, мог читать её обёртку, нюхать. А съесть - никак. В последнем разговоре по имэйлу он сначала просил 80 тыс. за раскрытие деталей атаки, потом требовал 30 тыс., в конце разговора был куском чистого зла и стоял мат-перемат.

[esmanthra]

был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS

Ясненько. Так у Вас повторение истории получилось, только все зашло несколько дальше.

антивирус он прошёл, как нож сквозь масло

А что за антивирус, кстати?

[Vadi2323]

Намекает на spectre и meltdown

Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя.

Было много фишинговых писем на почту, причём фишинг обычно он массовый, а это как быдто спецзаказ был, причём качественный, настроеный на клиента. Как будто знали, по каким ссылкам хожу. Сложилось впечатление, что хотели, чтобы я пароли начал вводить или менять.

Антивирус - Защитник встроенный в 10.

[Vadi2323]

Всем удачи, я переустанавливать всё, что смогу.

[Vadi2323]

И ответные действия конечно же сделаю. Ибо нефиг.

[Vadi2323]

Всем удачи, я переустанавливать всё, что смогу.

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её. И после окончательного осмотра я уверен, что с компьютером всё в порядке, никаких киллогеров на нём нет и не было.

Также мне не давал покоя факт, что взломщик не производил впечатления гения.

В итоге вывод - проблема в роутере, он позволяет проводить атаку man-in-the-middle. С таким роутером нужно что-то делать, в моём случае только менять, потому что обновление не помогло и другого нет. Атака эта и позволяет часто воровать пароли у пользователей форума. Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли.

Схема такая. Злоумышленник сканированием находит IP роутера, который уязвим к атаке. Тут на форуме для этого устраивают "аэрдропы". (Мне слали письма со ссылками для перехода, потому что я в таких "ардропах" не участвую.) Далее злоумышленник делает вход в ОС роутера или сервис, и делает там настройки, возможно даже сохраняет их, после этого начинает перехватывать траффик с кражей паролей и данных.

Что скажете?

PS Мне очень повезло, что 2ФА были установлены давно, на другом роутере.

[Vadi2323]

Выбираем роутер под прошивку. (не наоборот)
Смотрим в сторону ОпенВРТ.
Может роутер и будет Микротик, защита ничего.
Можно:
вписать ручками ДНС свои, типа Гугл, Комодо, Опен
Включить журнал на роутере (раз уж новый - то сразу с этой функцией)
Имя - не админ, Админ, админ1
Доступ к роутеру только из локальной сети, а не из Интернет
Насторойки роутера - сделать скрин и почаще проверять
Есть программы, которые сканируют роутер на уязвимости - можно их использовать
Проверять почаще логи роутера, подключенные к нему устройства
Поменять диапазон айпи адресов, чтобы он не был похож на 192.168... - это против автоматизированной
Ну и далее - посмотреть специальный софт для определения MITM

ps: Очень интересно с какого адреса вам слали письма с дропами? Значит где-то светилась почта, если это не по подписке с БТ.
Засвеченная почта - шаг к атаке.  

Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет.

[taikuri13]

Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет.

Если целью будет конкретный взлом - то защищать необходимо от кабеля в квартиру/дом. И все равно это не спасет. Только цена такого взлома под конкретного человека - достаточно дорогая. А защититься от обезьяны - этих мер процентов на 90 хватит.

https://www.comss.ru/page.php?id=4126

Ну и Комодо, там и файрволл неплохой.

[Vadi2323]

ps: Очень интересно с какого адреса вам слали письма с дропами? Значит где-то светилась почта, если это не по подписке с БТ.
Засвеченная почта - шаг к атаке.  

В спам отправлял, уже удалили. В заголовках не смотрел.


Статья по теме: https://xakep.ru/2015/04/07/195-routers/
Я был прав.

[esmanthra]

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её

Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус.

взломщик не производил впечатления гения

Гений бы давно забрал все и скрылся в направлении Кариб.:) И уж точно не стал бы общаться с Вами.

Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли

Вот это вряд ли: для 2FA в любом случае потребуется доступ к телефону. Но если телефон получает интернет от того же роутера, это возможно, конечно.
Некоторые полезные советы можно посмотреть еще в этой теме. И стоит позакрывать порты на роутере тоже (брать роутер с встроенным фаерволом).

В спам отправлял, уже удалили. В заголовках не смотрел

Есть методы подделать заголовки писем. Не панацея, в общем, если взломщик сильно грамотный.

[Vadi2323]

Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её

Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус.

Зачем лезть туда, где не понимаю. К тому же 10 по оценкам профиков более защищена, чем Линух.

взломщик не производил впечатления гения

Гений бы давно забрал все и скрылся в направлении Кариб. И уж точно не стал бы общаться с Вами.

Так бы и было, если бы не 2ФА, установленная ещё на старом роутере.

Я в шоке от того, какой мне роутер провайдер подсунул 2011 года выпуска. К тому же явно юзаный до этого. Он мало того дырявый, его и изначально дыряво настроили мне. Взлом всего лишь почты и акка на толке - это я lucky guy какой-то

Но какова была атака! Грузили апельсины бочками

[Vadi2323]

взломщик не производил впечатления гения

Гений бы давно забрал все и скрылся в направлении Кариб. И уж точно не стал бы общаться с Вами.

Ну дураков то тут нет на самом деле. Значит, не получалось взять. Эта же песня 3 месяца тянется, и он всё это время следил, ждал, изучал. Может, что то там напрягало, или он не один ломился. Понял, что цейтнот и решил не тормозить и наехать, сыграть на опережение.

[Vadi2323]

Но какова была атака! Грузили апельсины бочками

Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются

[esmanthra]

Зачем лезть туда, где не понимаю

Ну естественно пришлось бы разбираться. Но есть дистры, которые упрощают миграцию с виндоусов (внешне организованы похоже и т.п.). Это могло бы помочь на первых порах. И потом сначала все выглядит чудным, но быстро привыкаешь - и на виндоус уже не тянет.:) Проверено на собственном опыте.

10 по оценкам профиков более защищена, чем Линух

А вот это что-то новенькое. Что за профики такое сказали?

Взлом всего лишь почты и акка на толке - это я lucky guy какой-то

Да я с начала темы все удивлюсь, насколько Вы удачливы.

Может, что то там напрягало, или он не один ломился

Кредиторы под дверью пасли.:)

Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются ;)

Может в нем актерский талант погибает. Вжился в роль и забыл вовремя "выйти".:Р

[Vadi2323]

Пари заключили
Посмотрим, чего он стоит без подставы с модемом.