Udrujex
Jr. Member
Offline
Activity: 87
Merit: 4
|
|
March 11, 2018, 05:10:19 PM |
|
Взломщику удалось выкачать письма, которые валялись в ящике Сижу, перелопачиваю инфу с поисковика... Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным. Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте. Причём в браузере они как непрочитанные были и по логам только с моего IP обращение шло Про браузер и непрочитанное taikuri13, в принципе, ответил. А насчет IP - взломщик мог задействовать IP-спуфинг (подменить свой IP на Ваш). Но вот чего для меня во всей этой истории остается неясным: если почта все же "уплыла" (или тем паче была взломана машина), почему ущерб такой мизерный? Он Вас просто потроллить таким образом решил, что ли? Когда-то в Англоязычной ветке была тема о продаже аккаунта. Я связался с человеком через почту. Он мне якобы отписал с аккаунта, который я хотел купить. Ничего не предвещало беды.. Я написал модераторам, мол так и так.... Реакции ноль.. 2. Когда-то тоже "все-таки" купил аккаунт SR Мембера. Купил и оставил. Через пару дней обнаружил, что от моего аккаунта ведется переписка. Я понял, что я купил БРУТ. Я даже пароль не менял... И владельцу аккаунта написал об этом... Мне даже спасибо не сказали..))) p.s.Установить индивидуальный пин или секретную почту или хотя бы двухфакторку, или принять смс на установленный заранее номер - и проблем станет примерно на 70-80 процентов меньше. А теперь по сабжу: диапазон вирусов сейчас огромный: - с внц, - без внц, -с параллельной сессией, -без параллельной сессии, -с внц без паралелльной сессии - с внц с параллельной сесии - кейлоггеры, стиллаки, снифферы. Чего душа пожелает.........
|
|
|
|
johhnyUA
Legendary
Offline
Activity: 2422
Merit: 1845
Crypto for the Crypto Throne!
|
|
March 11, 2018, 09:47:22 PM |
|
Как вариант больше похоже на неаккуратные действия персонала российского почтового сервиса, на котором у меня почта зарегистрирована. Или типа того. А вот что они хотели посмотреть и кто попросил это сделать - вот это уже интересно.
Я вот после твоего поста сразу задумался, возможно стоит поменять мыло. А то у меня тоже почта нашего, СНГшного оператора к акку привязана. Как бы не случилось чего Как я понял доверять компаниям нельзя. А нашим так точно!
|
|
|
|
RuSS512
|
|
March 11, 2018, 10:05:12 PM |
|
возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши А что он там покуда "вешает"? Из лапши. Намекает на spectre и meltdown. Для скриншотов используйте программу Greenshot и не нужно будет текст копировать в блокнот) там выделяемая область копируется в буфер обмена
|
|
|
|
badwolf_foxtrot
Newbie
Offline
Activity: 20
Merit: 0
|
|
March 12, 2018, 03:30:08 AM |
|
Коллеги, скажите - а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый? Для всех бы все стало безопаснее, разве нет?
|
|
|
|
esmanthra
|
|
March 12, 2018, 06:19:25 AM |
|
Намекает на spectre и meltdown Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя. диапазон вирусов сейчас огромный Под сниффером подразумевалась специализированная программа-анализатор траффика (типа Wireshark или tcpdump). Вирусы - отдельная тема. а почему на форуме не сделают просто двухфакторную аутентификацию через гугл-аутентификатор тот же самый? Потому что всем лень это все отложено до нового движка. Хотя уже говорилось, что, если найдется умелец, который напишет 2FA-заплатку для текущего SMF-старца, theymos вполне может ее прикрутить.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 06:26:32 AM |
|
Взломщику удалось выкачать письма, которые валялись в ящике Сижу, перелопачиваю инфу с поисковика... Атака "на подступах" (посредине, между Вашим компьютером и почтовиком) может быть организована через сниффер, но снифферу нужно находиться где-то рядом с машиной - на промежуточном/связанном компе, в зоне действия Wi-Fi или еще где-то в пределах доступа, чтобы можно было перехватывать траффик. И учитывая, что общение с почтовиками сейчас в основном идет по зашифрованным протоколам (вроде SSL), этот вариант представляется еще более сомнительным. Скорее всего либо был взломан компьютер (посредством какого-нибудь трояна), либо все-таки ломалась напрямую почта. И тогда мы были неправы и он таки имеет доступ к почте. Перелопатил компьютер. У меня один вариант. Я его озвучу завтра, после 09:00. Нужно всё-таки дождаться ответа г-на Smartwm, возможно ему хватит ума покаяться и дать правдивую информацию, а не тупую лапшу на уши. У меня несколько лет было всё нормально. Странности начались 3 месяца назад, после подключения Интернета по оптике - был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS и с открытым доступом к его настройкам - можно было подключаться по WAN, LAN, WiFi. По WiFi можно было подключаться к моей LAN-сети. Так было месяц, пока я не обнаружил дыру в роутере. В таких условиях есть несколько путей для загрузки на компьютер килоггера, что и было сделано. Например, через LAN-WiFi - была неправильная настройка сети на компьютере и лишняя не закрытая локальная учётка (после удаления 1С остался пользователь USR1CV81) - это я обнаружил уже совсем недавно. Килоггер мне поставили продвинутый, профессиональный - антивирус он прошёл, как нож сквозь масло. Интересно, сколько такой стоит. Килоггер позволил: 1) перехватывать пароли 2) забирать на компе почту и переправлять на хакерский комп. Вообще килоггеры много чего умеют, например делают снимки с экрана - что делает пользователь, удалять сам себя. Но этот килоггер не позволил пройти 2ФА. Также он не смог украсть файл кошелька. Вообще пикантная ситуация получилась. Г-н Smartwm видел большую вкусную конфету, мог читать её обёртку, нюхать. А съесть - никак. В последнем разговоре по имэйлу он сначала просил 80 тыс. за раскрытие деталей атаки, потом требовал 30 тыс., в конце разговора был куском чистого зла и стоял мат-перемат.
|
|
|
|
esmanthra
|
|
March 12, 2018, 06:36:35 AM |
|
был установлен новый роутер, в котором я беспечно не стал разбираться и не проверил, как настроили. А настроен он был изначально на хакерский DNS Ясненько. Так у Вас повторение истории получилось, только все зашло несколько дальше. антивирус он прошёл, как нож сквозь масло А что за антивирус, кстати?
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 06:39:24 AM |
|
Намекает на spectre и meltdown Так это все равно пришлось бы троянцев засылать на компьютер. Либо JS в браузере, но, во-первых, браузеры сейчас все в заплатках уже (новые версии, по крайней мере), а во-вторых, потребовался бы какой-нибудь сайт или вредоносный рекламный блок для запуска. То есть, опять требуется взлом фишинг или какой-нибудь еще социальная-инженерия-ход-конем, чтобы заманить туда пользователя. Было много фишинговых писем на почту, причём фишинг обычно он массовый, а это как быдто спецзаказ был, причём качественный, настроеный на клиента. Как будто знали, по каким ссылкам хожу. Сложилось впечатление, что хотели, чтобы я пароли начал вводить или менять. Антивирус - Защитник встроенный в 10.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 06:41:41 AM |
|
Всем удачи, я переустанавливать всё, что смогу.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 06:59:53 AM |
|
И ответные действия конечно же сделаю. Ибо нефиг.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 07:42:14 PM Last edit: March 14, 2018, 03:38:37 AM by Vadi2323 |
|
Всем удачи, я переустанавливать всё, что смогу.
Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её. И после окончательного осмотра я уверен, что с компьютером всё в порядке, никаких киллогеров на нём нет и не было. Также мне не давал покоя факт, что взломщик не производил впечатления гения. В итоге вывод - проблема в роутере, он позволяет проводить атаку man-in-the-middle. С таким роутером нужно что-то делать, в моём случае только менять, потому что обновление не помогло и другого нет. Атака эта и позволяет часто воровать пароли у пользователей форума. Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли. Схема такая. Злоумышленник сканированием находит IP роутера, который уязвим к атаке. Тут на форуме для этого устраивают "аэрдропы". (Мне слали письма со ссылками для перехода, потому что я в таких "ардропах" не участвую.) Далее злоумышленник делает вход в ОС роутера или сервис, и делает там настройки, возможно даже сохраняет их, после этого начинает перехватывать траффик с кражей паролей и данных. Что скажете? PS Мне очень повезло, что 2ФА были установлены давно, на другом роутере.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 08:43:04 PM |
|
Выбираем роутер под прошивку. (не наоборот) Смотрим в сторону ОпенВРТ. Может роутер и будет Микротик, защита ничего. Можно: вписать ручками ДНС свои, типа Гугл, Комодо, Опен Включить журнал на роутере (раз уж новый - то сразу с этой функцией) Имя - не админ, Админ, админ1 Доступ к роутеру только из локальной сети, а не из Интернет Насторойки роутера - сделать скрин и почаще проверять Есть программы, которые сканируют роутер на уязвимости - можно их использовать Проверять почаще логи роутера, подключенные к нему устройства Поменять диапазон айпи адресов, чтобы он не был похож на 192.168... - это против автоматизированной Ну и далее - посмотреть специальный софт для определения MITM
ps: Очень интересно с какого адреса вам слали письма с дропами? Значит где-то светилась почта, если это не по подписке с БТ. Засвеченная почта - шаг к атаке.
Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет.
|
|
|
|
taikuri13
Legendary
Offline
Activity: 1218
Merit: 1589
|
|
March 12, 2018, 08:52:01 PM |
|
Спасибо за советы, но говорят, что не всегда это помогает: https://xakep.ru/2015/04/07/195-routers/ Мне не помогло, правда был открыт (потом закрыт) веб-конфигуратор. Но всё равно в роутере кто-то лазит. Не думаю, что если всё сначала перенастроить и закрыть веб-конфигуратор это поможет. Если целью будет конкретный взлом - то защищать необходимо от кабеля в квартиру/дом. И все равно это не спасет. Только цена такого взлома под конкретного человека - достаточно дорогая. А защититься от обезьяны - этих мер процентов на 90 хватит. https://www.comss.ru/page.php?id=4126Ну и Комодо, там и файрволл неплохой.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 12, 2018, 09:17:29 PM Last edit: March 12, 2018, 11:10:58 PM by Vadi2323 |
|
ps: Очень интересно с какого адреса вам слали письма с дропами? Значит где-то светилась почта, если это не по подписке с БТ. Засвеченная почта - шаг к атаке.
В спам отправлял, уже удалили. В заголовках не смотрел.
Статья по теме: https://xakep.ru/2015/04/07/195-routers/ Я был прав.
|
|
|
|
esmanthra
|
|
March 13, 2018, 04:59:11 AM |
|
Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус. взломщик не производил впечатления гения Гений бы давно забрал все и скрылся в направлении Кариб.:) И уж точно не стал бы общаться с Вами. Думаю, и 2ФА украдёт такая атака, если её устанавливать через такой роутер, в который влезли Вот это вряд ли: для 2FA в любом случае потребуется доступ к телефону. Но если телефон получает интернет от того же роутера, это возможно, конечно. Некоторые полезные советы можно посмотреть еще в этой теме. И стоит позакрывать порты на роутере тоже (брать роутер с встроенным фаерволом). В спам отправлял, уже удалили. В заголовках не смотрел Есть методы подделать заголовки писем. Не панацея, в общем, если взломщик сильно грамотный.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 13, 2018, 05:18:56 AM |
|
Вобщем, коллеги, решил я ОС не переустанавливать, а ещё раз посмотреть её Стоило бы рассмотреть возможность миграции на Linux все же. Ну, или как минимум поменять антивирус. Зачем лезть туда, где не понимаю. К тому же 10 по оценкам профиков более защищена, чем Линух. взломщик не производил впечатления гения Гений бы давно забрал все и скрылся в направлении Кариб. И уж точно не стал бы общаться с Вами. Так бы и было, если бы не 2ФА, установленная ещё на старом роутере. Я в шоке от того, какой мне роутер провайдер подсунул 2011 года выпуска. К тому же явно юзаный до этого. Он мало того дырявый, его и изначально дыряво настроили мне. Взлом всего лишь почты и акка на толке - это я lucky guy какой-то Но какова была атака! Грузили апельсины бочками
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 13, 2018, 05:47:11 AM |
|
взломщик не производил впечатления гения Гений бы давно забрал все и скрылся в направлении Кариб. И уж точно не стал бы общаться с Вами. Ну дураков то тут нет на самом деле. Значит, не получалось взять. Эта же песня 3 месяца тянется, и он всё это время следил, ждал, изучал. Может, что то там напрягало, или он не один ломился. Понял, что цейтнот и решил не тормозить и наехать, сыграть на опережение.
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 13, 2018, 06:02:07 AM |
|
Но какова была атака! Грузили апельсины бочками Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются
|
|
|
|
esmanthra
|
|
March 13, 2018, 06:04:58 AM |
|
Зачем лезть туда, где не понимаю Ну естественно пришлось бы разбираться. Но есть дистры, которые упрощают миграцию с виндоусов (внешне организованы похоже и т.п.). Это могло бы помочь на первых порах. И потом сначала все выглядит чудным, но быстро привыкаешь - и на виндоус уже не тянет.:) Проверено на собственном опыте. 10 по оценкам профиков более защищена, чем Линух А вот это что-то новенькое. Что за профики такое сказали? Взлом всего лишь почты и акка на толке - это я lucky guy какой-то Да я с начала темы все удивлюсь, насколько Вы удачливы. Может, что то там напрягало, или он не один ломился Кредиторы под дверью пасли.:) Я всё понимаю, но под женской учёткой просить селфи члена - это стрёмно. Путёвые пацаны до такого не опускаются ;) Может в нем актерский талант погибает. Вжился в роль и забыл вовремя "выйти".:Р
|
|
|
|
Vadi2323 (OP)
Legendary
Offline
Activity: 2044
Merit: 1231
|
|
March 13, 2018, 04:30:48 PM Last edit: March 18, 2018, 06:59:22 PM by Vadi2323 |
|
Пари заключили Посмотрим, чего он стоит без подставы с модемом.
|
|
|
|
|