Forum Miłośników Symulatorów Lotniczych
Kantyna => Dyskusje przy barze => Wątek zaczęty przez: YoYo w Stycznia 02, 2023, 00:28:37
-
Jak ktoś tego nie zrobił, lepiej sobie ustawić na weryfikację dwuetapową ale z telefonem najlepiej gdzie się da. Zajumali mi konto Googla dziś, więc i kanał YT poszedł się j...ć. Teraz tam E.Musk zachęca do zakupu crypto :P. Co gorsza nie ma w sumie jak tego zgłosić, bo wszystko dosłownie wymaga dostępu do tego konta (a tam już ustawiona dwu etapowość, inne dane niepasujące itp.). W sumie powiem, że nie wiem jak, ale podejrzewam, że wczoraj ściągałem Gimpa (źródło oficjalne), który się nie odpalił (za to coś mignęło). Jakoś dziwne to było i wziąłem z MS Store, tu już było ok. Dziś znalazłem w kompie to trojan:script/wacatac.H!ml i myślę, że tędy wyleciało (już wyczyszczone). Tak więc jak ktoś nie ma, niech sobie lepiej na Google da weryfikację dwu etapową (chociaż ponoć też potrafią zapierdzielić ciasteczka, więc najlepiej taką nie ma @ tylko gdzieś na telefon).
-
Chyba mialem nosa, że to to: https://www.dobreprogramy.pl/gimp-ze-zlosliwym-oprogramowaniem-winowajca-falszywa-reklama,6829650259008032a. Wszystko pasuje. Co ciekawe artykuł z przed pół roku i nic z tym nie zrobili :/.
-
O kurde... Nieźle...
Dlatego ja preferuję ściąganie programów przez stronę dobreprogramy (da się pobierać bez tego ich downloadera). Przynajmniej czuję się pewniej. A w linki Google Ads w sumie i tak nie klikam. Ale "w imię zasad", nie miałem pojęcia, że można to zhakować.
Weryfikację dwuetapową można też zrobić na bazie tokenów z aplikacji Google Authenticator.
A swoją drogą, skoro sprawa jest znana od kilku miesięcy, to dziwne że Windows Defender nic nie zwęszył...
-
Taaa. Właśnie co ciekawe stronę z której coś ściągam - zawsze sprawdzam po adresie, ale jak się okazuje, można ją zamaskować, czyli adres może być identyczny jak tej oryginalnej, a w rzeczywistości nie jest. No właśnie wina Googla, że można coś takiego zrobić.
-
Współczuję, ale Google daje możliwość odzyskania konta. Jak logowałeś się głównie z Pcimia i teraz z Zimbabwe to uznają to za przejęcie konta.
Jakim programem usuwałeś trojana?
-
Współczuję, ale Google daje możliwość odzyskania konta. Jak logowałeś się głównie z Pcimia i teraz z Zimbabwe to uznają to za przejęcie konta.
Jakim programem usuwałeś trojana?
ESET (em).
-
Gdzieś niedawno czytalem, ze to jest do odzyskania, ale trzeba się oczywiście skontaktować z youtube.
-
Taaa. Właśnie co ciekawe stronę z której coś ściągam - zawsze sprawdzam po adresie, ale jak się okazuje, można ją zamaskować, czyli adres może być identyczny jak tej oryginalnej, a w rzeczywistości nie jest. No właśnie wina Googla, że można coś takiego zrobić.
Jeśli dobrze zrozumiałem ten artykuł, to rzekomo poprawny adres wyświetlał się w google jako link sponsorowany, ale link prowadził do podstawionej strony, której adres to już był gilimp.org. I tego wg mnie nie da się obejść. Najczęściej te strony phishingowe wybierają adres, który optycznie się zgadza i nie budzi podejrzeń.
Odnośnie odzyskania, przypominała mi się sytuacja z pewnym youtuberem (https://www.youtube.com/watch?v=BJ9S6zdm6VE), którego też zhackowano i który odzyskał konto po 2 tygodniach, chyba głównie dlatego że podniosło się larum i interweniowali też ludzie, którzy mają jakieś kontakty w YT. Gość miał 300k subskrybentów wtedy, więc w sumie niemało. No ale wiadomo, że trzeba spróbować. Może dziś działa to sprawniej, choć to na pewno nie jest załatwiane "od ręki" i wymaga weryfikacji.
-
Oby. Zobaczymy. Pewnie to jakiś bot obrobił, bo zmiana wszystkie trwała mniej niż minuta ???, więc nawet człowiek nie miał czasu zareagować. Natomiast widzę, że jest jakiś progres, bot z kolei Google musiał wyłapać jakieś dziwne zachowanie na koncie, ponieważ pojawiła mi się możliwość weryfikacji na zapasowy adres, a wczoraj nie było takiej opcji. Jest światełko w tunelu:
(http://i.imgur.com/7lCBJwFm.jpg) (https://imgur.com/7lCBJwF)
wydaje się po takim komunikacie, że ktoś ręcznie dokona jakiejś weryfikacji.
Ps. Przeskanowany cały komp już po 2x ESET, Defender (wszystko już czyste), hasła pozmieniane, odblokowane porty (do stawiana serwera) zamknięte. Coś jeszcze warto zrobić, zwarzywszy, że był to trojan?
-
Może dla pewności jeszcze czymś dodatkowym przeskanować (darmowym)?
Na przykład:
https://www.dobreprogramy.pl/malwarebytes,program,windows,6628681124255873
Jak dokładnie doszło do przechwycenia tego konta po tym jak się trojan zainstalował? Logowałeś się później na konto na komputerze i przechwycił dane logowania? Na telefonie gdzie jesteś zalogowany na swoim koncie, nie było takiego powiadomienia, że ktoś się loguje właśnie (do potwierdzenia czy to Ty)?
-
Może dla pewności jeszcze czymś dodatkowym przeskanować (darmowym)?
Na przykład:
https://www.dobreprogramy.pl/malwarebytes,program,windows,6628681124255873
Jak dokładnie doszło do przechwycenia tego konta po tym jak się trojan zainstalował? Logowałeś się później na konto na komputerze i przechwycił dane logowania? Na telefonie gdzie jesteś zalogowany na swoim koncie, nie było takiego powiadomienia, że ktoś się loguje właśnie (do potwierdzenia czy to Ty)?
Tele chyba nie miałem ustawionego. Przyszły oczywiście maile o logowaniu na @ zapasowy i tyle, jak nie Ty to nie ma tam w zasadzie opcji zablokuj proces, bardziej to takie informacyjne. Ktoś od razu daje sobie logowanie dwuetapowe z kluczem USB do tego i nie ma opcji nawet coś zrobić, trwało to b.krótko, a maila i tak zobaczyłem jak było za późno. Co do logowania - w kompie zapamiętane dane do konta głównego Google.
-
Tzn. wydaje mi się, że na każdym telefonie z Androidem, na którym jesteś zalogowany przychodzi takie powiadomienie (nie chodzi o e-mail ale powiadomienie push systemowe). Wiadomo, że tym się nie zablokuje procesu, ale kliknięcie opcji "nie rozpoznaję tego logowania" chyba może pomóc później w odzyskaniu konta.
Czyli dobrze rozumiem, że trojan przechwycił aktywną sesję (dane zalogowanego urządzenia), a nie wpisanie loginu i hasła? Nie wiedziałem, że coś takiego jest możliwe... Ale nawet jeśli, to pytanie jakim cudem doszło do zmiany hasła w takim przypadku (trzeba ponownie podać hasło przed dostępem do tych opcji).
-
Kiepska sprawa... ale w sumie to dziwie się Yoyku, że prowadząc kanał jeszcze nie miałeś włączonej weryfikacji dwuetapowej, bo to w sumie podstawa. Niemniej konto jest do odzyskania. Na YT regularnie ktoś komuś podpiernicza konto i google dość szybko reaguje na takie ataki. Oby się udało!
Z innej beczki i ku przestrodze. Kiedyś miałem akcję jak pani od ubezpieczeń całą swoją działalność prowadziła na gmailu i firefoxie z zapisanym hasłem w przeglądarce. Coś się pozajączkowało, hasło się "odpamiętało" i wszystko poszło się... Opcje odzyskiwania nie ustawione. Na infolinii się nie dodzwonisz, bo wszystko kieruje Cię do automatu i opcji odzyskiwania przez stronę. Nie wiadomo jaka data urodzenia, jaki telefon jaki mail zapasowy. Zabolało, bo musiała startować z nowym kontem od zera.
Każdy uczy się na błędach. Sam odkąd miałem wjazd na Paypal, EA oraz lastpassa, gdzie tylko mogę to włączam weryfikację dwuetapową. Upierdliwe, kłopotliwe, ale w sytuacjach podbramkowych rzecz nieoceniona.
Oby wszystko się udało odkręcić i obyś miał mniej kumpli z Mołdawii niż ja na profilu EA xD.
-
ESET (em).
Jeden z lepszych programów. Też go używam i póki co odpukać jest spokój :)
-
Program jak program. Zwykły Windows Defender też by sobie poradził. Tu zawiódł człowiek. Większość ludzi nabiera się na phishing, a nie na wirusy w sensie stricte. Niefart i tyle.
-
Czyli dobrze rozumiem, że trojan przechwycił aktywną sesję (dane zalogowanego urządzenia), a nie wpisanie loginu i hasła? Nie wiedziałem, że coś takiego jest możliwe...
Dokładnie. Gdzieś czytałem, że wyciągają ciasteczka i są w stanie wyciągnąć ustawienia z przeglądarki, więc są w stanie pewnie zalogować się u siebie na takich samych ustawieniach częściowo.
Ps. w temacie coś się dzieje, na link do aktywacji konta wciąż czekam (było do 48h), ale mam kontakt też z osobą od YT (na Twitter). Obecnie "transmisja", czyli live z E.Muskiem zniknął z konta. Jest światełko. Co do weryfikacji dwuetapowej, racja mój błąd i nie ma co dyskutować nawet, musi być z tele i tyle.
-
Mnie ciekawi też jak to jest, że miałeś Eset, który działał w tle i nie wyłapał tego zanim ta reklama czy coś tam nie zaczęła działać.
Po tym co się stało zainstalowałem jeszcze Malwarebytes :p
-
Nie, miałem tylko W.Defender. Eset poszedł po całej akcji i znalazł problem. W.Defender zdaje się nie skanuje plików w czasie rzeczywistym, myślę, że tu leżał problem infekcji.
-
Skuteczność AV jest tak dobra jak jego definicje. To poszło przez przeglądarkę i jak nie używasz MS EDGE (tam jest smartscreen czy jakoś tak...) to mógł tego nie wyłapać. Polecam wrzucić sobie Adguarda dodatkowo i ustawić, żeby wycinał takie reklamy i niebezpieczne strony.
Nie ma co drążyć, zwykły niefart mogący przytrafić się każdemu nawet zaawansowanemu użytkownikowi komputera. Sam przerobiłem wiele podobnych akcji, pakietów bezpieczeństwa etc. Pomimo licencji na Bitdefendera Total Security, obecnie siedzę na Windows Defenderze + Adguard i jest OK.
-
Dokładnie. Gdzieś czytałem, że wyciągają ciasteczka i są w stanie wyciągnąć ustawienia z przeglądarki, więc są w stanie pewnie zalogować się u siebie na takich samych ustawieniach częściowo.
Ja jeszcze trochę podrążę, bo naprawdę interesuje mnie na jakiej zasadzie takie wynalazki działają. Jeśli ten trojan faktycznie jest w stanie wyciągnąć / "sklonować" aktywne logowanie i w ten sposób osoby niepowołane dostały się na Twoje konto, to nadal nie rozumiem w jaki sposób zostało zmienione hasło. Nie trzyma się to kupy. Nawet bez aktywnej weryfikacji dwuetapowej, dostanie się do panelu zabezpieczeń w Google wymaga ponownego wprowadzenia hasła (także na już aktywowanym urządzeniu). Pominę już fakt, że zawsze ustalając nowe hasło, trzeba podać również to stare. Więc pytanie skąd je mieli, bo o ile mi wiadomo, ciasteczka z danymi aktywnego logowania nie zawierają loginu, ani hasła. Chyba, że miałeś je zapisane przeglądarce, to wtedy pewnie da się to jakoś wyciągnąć, bo gdzieś są przechowywane lokalnie.
BTW jakiś czas temu miałem w firmie szkolenie (webinar) z tematyki cyber-bezpieczeństwa, które przeprowadzał Niebezpiecznik. Powiem szczerze, że sporo rzeczy mnie tam zaskoczyło. Na przykład to, że da się również sfałszować adres e-mail, z którego jest wysłana wiadomość (w sensie, nie nazwa, która się wyświetla, ale rzeczywisty, pełny adres, nawet z domeny gov.pl). Dopiero gdzieś w właściwościach takiej wiadomości można wychwycić, że to było wysłane jednak z innego serwera. Wiadomo, że najsłabszym ogniwem jest człowiek i warto być świadomym, że weryfikacja dwuetapowa też nie jest w 100% zabezpieczeniem (bo można np. podać przestępcom dane logowania i kod SMS na stronie podstawionej i jest on od razu przez nich wykorzystany na rzeczywistej witrynie).
-
Myślę, że kwestia zapisu danych w przeglądarce. W sumie chyba w przypadku Google to normalne - YT, dysk, linki ulubionych itp. Wszystko jest po kontem. Wylogowując się nie ma się dostępu do wielu funkcji.
-
Dobra, konto Googla udało się odzyskać. Już mam tyle etapów logowania, że chyba nawet ci z Korei nie wlezą (nie wywołuj wilka z lasu hihi). Jak śledziłem wejścia, to niby logowania z Czech, ale znając życie to jedna z wielu bramek po drodze i ktoś na różnych VPN siedział. YT jeszcze nie działa. Widzę, natomiast, ż ogólnie hakerzy lubią E.Muska, bo ten miał dokładnie to samo (https://www.youtube.com/watch?v=BoM9ySE6MYA&ab_channel=Woochia%27sBeats%26Bobs). Trochę nie rozumiem takiej akcji. Ktoś prowadzi nawet od lat kanał na którym gra na gitarze. Nagle włazi jakieś fejkowe video i co? Ktoś się nabierze na to i może jeszcze poda dane do przelewu? Hmmm. No tak, ale sam zrobiłem error ;D.
-
Dobra, konto Googla udało się odzyskać. Już mam tyle etapów logowania, że chyba nawet ci z Korei nie wlezą (nie wywołuj wilka z lasu hihi)...
Chyba Kim Dzong Una z bunkra :D
-
Nie ważne, jaki kanał prowadzi, ważne że zbudował społeczność, która mu ufa. I nie musi wejść wideo, wystarczy post albo komentarz z linkiem np. do giveawaya i ileś osób się nabierze. W tym tacy, którzy normalnie nie klikają podejrzanych linków, bo czujność została odpowiednio uśpiona.
W każdym razie, super, że udało ci się odzyskać konto!
-
https://sekurak.pl/nasz-czytelnik-wygooglal-pakiet-instalacyjny-gimpa-trafil-na-fejkowa-reklame-zainfekowal-komputer-i-stracil-dostep-do-konta-google/
Yoyek Ty medialna bestio :032:.
-
Heheh, ano widzę, że zrobiono z tego art ;). Może się przyda komuś. Ps. co ważne wszystko w 100% udało się odzyskać. Także konto YT. Jedyne co muszę na nowo "opublikować" wszystkie filmy, które obecnie mają status prywatny, więc przepraszam za spam, któregoś dnia, że przyjdzie zbyt dużo powiadomień.
-
Czego się nie robi dla sławy...
-
Czego się nie robi dla sławy...
Naprawdę, dziękuję za taką "sławę" i nikomu jej nie życzę :). Jak widać z tego co tu przeanalizowali to sytuacja naprawdę mogła być groźna jak ktoś akurat miałby jakaś sesję z bankiem albo kochanką przez net ;>.
Ps. po komentarzach widzę, że jest identyczna akcja z OBS teraz. Więc wzmożona uwaga na popularne darmowe programy. Dodam, że Adblockera mam, tu to nie pomogło (jak jest w poradach).
-
Trochę w podobnym temacie tzn. reklama w podpowiedziach google:
https://www.purepc.pl/bitwarden-celem-atakow-phishingowych-cyberprzestepcy-posluzyli-sie-jednak-niecodzienna-metoda
Warto je wyciąć jakimś blokerem reklam i w nie nie klikać.
-
Duże serwisy też nie są bezpieczne, wczoraj krypto Elon przejął Linus Tech Tips.
https://www.purepc.pl/linustechtips-popularny-kanal-technologiczny-na-youtube-zostal-zbanowany-powodem-tresci-dodane-przez-hakerow
-
Gadałem o tym z kumplem dzisiaj, ale ponoć to klasyczna akcja na phishing była, gdzie pracownik LTT kliknął w sznurek i zalogował się danymi z youtube. A druga sprawa, że ponoć na tym kanale Linus trzymał sporo filmów prywatnych, które poszły w świat. Smutne, ale też lekkomyślne.
-
Elon to guru hakerów! :evil:
-
Duży może więcej, już wrócili :)
https://www.youtube.com/watch?v=yGXaAWbzl5A