Wątek: Kradzież danych (hasła)

[Jascha]

Witam

Taka sytuacja. Wczoraj zalogowałem się na jedną z moich wielu skrzynek pocztowych, której dziś używam już sporadycznie jako adres do rejestracji. Ze zdziwieniem okryłem w folderze spam mail w języku angielskim, który informuje mnie, że moje dane zostały przechwycone. W trakcie oglądania stron wątpliwej moralnie treści  zainstalowany został u mnie rzekomo keylogger. Hakier domaga się przelewu bitcoinami (900 USD), bo inaczej wypuści kompromitujące mnie materiały i nagrania z kamerki internetowej do listy moich kontaktów. W treści maila (w temacie również) podane jest hasło. Hasło jest poprawne, choć już dawno nieaktualne i przeze mnie niestosowane (jest z czasów, gdy miałem 3 różne hasła różniące się przeznaczeniem i poziomem skomplikowania - to, o które tutaj się rozchodzi to ten najniższy poziom, dziś korzystam z KeePassa i haseł generowanych).

Powiem szczerze, niespecjalnie się przejąłem tym mailem, bo ani nie mam kontaktów na wspomnianym koncie, ani nie posiadam kamerki internetowej. Niemniej, przyznam, że zirytowało mnie to, że ktoś ma czelność wysyłać takie maile (oczywiście jest to mail generowany przez jakiegoś bota, ale ktoś zarządza tym "interesem"). Zacząłem też zastanawiać się w jaki sposób delikwent mógł wejść w posiadanie tego nieaktualnego co prawda, ale jednak poprawnego hasła. Komputer przeskanowałem MalwareBytes - keylogger jest raczej mało prawdopodobny, tym bardziej, że akurat tego hasła na pewno nigdzie nie wpisywałem fizycznie na komputerze od kilku lat. Jak mi się więc wydaje, bardziej prawdopodobne jest to, że jest to efekt wycieku jakiejś bazy danych, pewnie z niezabezpieczonymi hasłami.

Tu pytanie do Was - czy otrzymaliście może w ostatnim czasie podobne maile? Pytam zwłaszcza dlatego, że ten konkretny e-mail i to konkretne hasło stosowałem kiedyś również na il2forum, choć bardzo dawno.

Przy okazji też zastawiam się czy można to gdzieś zgłosić. Nie mam na myśli policji, ale może jakaś organizacja, która w jakiś sposób tropi takich ludków? Najlepiej jeśli posiada na wyposażeniu Opla Blitz i skrzypiące skórzane płaszcze.

[sokolus]

Moja znajoma jakieś dwa miesiące temu dostała podobnego maila, zignorowała go totalnie i nic od tego czasu się nie stało (oczywiście hasło zmieniła na nowe).

[Sorbifer]

W pracy mieliśmy jakiś czas temu ransomware, sporych pieniędzy chcieli... Została zrobiona czystka, serwer (tylko jeden częściowo poszedł) odzyskany z backupów (trzeba się było cofnąć parę tygodni), i tyle. Prywatnie nie miałem problemów, odpukać...

[JacD]

To spam, miałem to samo dwa razy. W listopadzie pierwszy raz zmieniłem hasło poczty, choć to które zostało podane było niepoprawne i nigdy przeze mnie nie używane. Wczoraj powtórka do której podszedłem ze spokojem.

[qrdl_logos]

Warto nadmienić, że trzepanie... kapucyna jest legalne w PL, przynajmniej na razie. A tak na poważnie, to popić wodą i zapomnieć.

[gcze]

Te hasła są wyciągane z publicznie dostępnych rejestrów wycieków. Niestety często hasła trzymane są otwartym tekstem w bazach i nawet łamać tego nie trzeba.
Wystarczy dorwać taką listę i zwyczajnie rozesłać po wszystkich mailach z niej taki spam w ciemno, załączając hasło. Często używa się tego samego w różnych serwisach, więc czasami z takim hasłem spamer trafi, a czasami nie, co potwierdzają koledzy powyżej Jak trafi, to delikwent trzęsie portkami i czasami wyskoczy w bitcoinów, a czasami wyśle post na grupę z zapytaniem

[KosiMazaki]

To jest phishing i jakiś czas temu był spory wysyp takich e-maili. Tego typu kampanie bazują na naiwności, niewiedzy i poczuciu winy użytkownika kompa. Po prostu wpada do Ciebie taki mail, Ty masz coś na sumieniu, wpadasz w panikę i wysyłasz kasę. Wierz mi jest cała masa takich ludzi którzy nie potrafią otworzyć pdf-a, a co dopiero rozpoznać podrobioną stronę. Jakoś mnie to też nie dziwi, bo wciąż znajdują się ludzie dający nabrać się na przekręt nigeryjski ;P.

Skąd pozyskują hasła? Najczęściej przez dostanie się do bazy danych. Wystarczy, że raz wypłynie i potem dopasowują e-mail i hasło do innych stron. Powstaje łańcuszek. Poza tym jak dochodzi do konkretnej akcji z wyciekiem danych to takie rzeczy przehandlowuje się za konkretną kasę, a nie szarpie się płotki. Patrz ostatnia wtopa Morele.net.

Popij wodą i zapomnij, a maila sprawdź sobie tutaj:

https://haveibeenpwned.com/

Jak gdzieś był poważniejszy wyciek/włam to niewykluczone, że będzie tu zaznaczone.

PS. Gdzie zgłaszać? Do UODO/GIODO ale nie sądzę aby kogokolwiek złapali, co najwyżej "potrzepią" administratora poczty.

[Jascha]

Ok, spokojnie. Nikt nie panikuje, nikt "nie trzęsie portkami", po prostu pozwoliłem sobie podzielić tą sytuacją na forum. Tak jak wspomniałem, nurtowało mnie skąd ktoś wszedł w posiadanie tych danych. To nie jest tak jak piszecie, że tutaj rozchodzi się o spam z losowym hasłem, które może pasuje, a może nie. Jeszcze bym w to może uwierzył gdybym stosował "12345" czy "qwerty", tylko wysłany został konkretny login i hasło stosowane przeze mnie kiedyś. Według mnie nie ma mowy o przypadku.

Dzięki Kosi za ten link. O takie coś chodziło. Jak sprawdziłem, to wychodzi na to, że najprawdopodobniej źródłem jest wyciek z Nexus Mods sprzed kilku lat.

Sytuacja banalna czy nie, daje jednak do myślenia, jak bardzo trzeba uważać w tych sprawach. Cieszę się, że zadałem sobie trud kilka lat temu i wrzuciłem wszystko do KeePassa z generowanymi losowo hasłami. Na takie sytuacje jak z morele.net reaguje się potem spokojniej, choć oczywiście wkurw zawsze jest, bo za jakiś czas pewnie będzie można zaobserwować zwiększone natężenie połączeń od pań, które wylosowały mój numer z "ogólnie dostępnych źródeł", spam na mailu itp. Ale przynajmniej nie trzeba haseł zmieniać na innych stronach.

[LMP]

Oprócz różnych haseł, KeePassów itp. zachęcam do korzystania z weryfikacji dwuetapowej. Ja to raz zaniedbałem i musiałem odzyskiwać konto na Amazonie. Teraz pilnuję, żeby chociaż konta do poczty elektronicznej czy sklepów, gdzie mam jakąś cenną zawartość do pobrania, były tak zabezpieczone.

[qrdl_logos]

Dziś dostałem pierwszy raz podobny spam. Oczywiście brednie o wykradzionym haśle, o kamerce,  której nie mam..., jak to przed nią się brandzluję i gość to nagrał i takie tam. "Dowodem koronnym" ma być fakt, że mail został ponoć wysłany do mnie z mojego własnego konta. I to jest totalna bzdura, którą najłatwiej można sprawdzić wchodząc do wysłanych . Oczywiście nagłówek maila też jest spreparowany, ale sprawdzenie tego wymaga trochę więcej zachodu... Ode mnie zażądano 1000 usd, widać inflacja .

Tako rzecze,
Zaratustra

[Toyo]

Ostatnio mam wysyp różnego rodzaju "propozycji nie do odrzucenia", łatwo to wychwycić, co jest opisane powyżej, lecz nie tak dawno przyszedł do mnie mail od mojego kolegi, w którym informuje mnie, że "w nawiązaniu do naszej wczorajszej rozmowy przesyłam ci wspomniany komplet dokumentów". Oczywiście w załączniku dokument o nazwie: 12324242555894969469864. i rozszerzenie docx, czyli pierwszy punkt zahaczenia, nikt tak nie nazywa dokumentu. Kolejna sprawa, nie rozmawiałem z kumplem dzień wcześniej, to był drugi punkt budzący wątpliwości, sprawdziłem adres nadawcy, totalnie inny niż mail kolegi. Jednak to ostatnie widoczne było po rozwinięciu danych nadawcy.

Czym był plik? Nie wiem, bo go nie otwierałem, a antywir go zutylizował. Dotychczas otrzymywałem raczej spakowane "faktury" z hasłem do nich. Ten zaś był "otwarty".
Tak czy inaczej, jeżeli nie spodziewacie się dokumentów, to sprawdźcie czy faktycznie jest to mail od podpisanego nadawcy.

Kumpel powiedział, że ktoś włamał się do jego skrzynki i na wszystkie kontakty poszedł ten sam mail ze wspomnianym plikiem, bo miał sporo pytań związanych z tą wiadomością.

[qrdl_logos]

Generalnie zasada jest taka, żeby wszelkie prośby o np. drobny przelew, albo użyczenie kodu blik etc. weryfikować rozmową z rzekomym proszącym, rozmową telefoniczną oczywiście na znany nam wcześniej numer.

[KosiMazaki]

W pliku był podmontowany skrypt, gdzie po jego otwarciu znalazłbyś odnośnik do pustej strony lub pusty dokument ale w tym samym czasie już byś sobie coś na kompa mógł ściągnąć np. Cryptolockera. Dlatego też antywiry mogą pomijać takie załączniki.

Jedyne co mogę poleci takich wypadkach to adresy na porządnych serwerach z dobrymi filtrami antyspamowymi np. outlook.com, gmail.com, protonmail.com lub coś w swojej domenie. Wszystkie o2, wp, onety itp. to siedlisko spamu, bo oni to wrzucają do folderów bezpośrednio.

[qrdl_logos]

Znowu przyszło, że za szlifowanie torpedy przed kompem mam sypnąć zieleniną .

Część nagłówka, xxx - RODO, bo inaczej musiałbym wysadzić serwer:
Received: from [234.red-80-24-79.staticip.rima-tde.net] (234.red-80-24-79.staticip.rima-tde.net [80.24.79.234])
    by mail.aelita.ua (Postfix) with ESMTPSA id C92241FFBCE2
    for <xxx>; Thu, 27 Jun 2019 00:37:55 +0300 (EEST)
To: xxx
X-Sender: k.drobotyuk@aelita.ua
X-Abuse-Reports-To: <abuse@aelita.ua>
X-CSA-Complaints: whitelistcomplaints@aelita.ua
List-Help: <mailto:{contact|info|abuse|ezsospa@aelita.ua?subject=help>
List-Unsubscribe:
    <mailto:C17BDB30E9B8B9F0AE339915931D59@unsubscribe.aelita.ua>,

 

[Jascha]

A to ciekawe. Ta domena to jakiś ukraiński dealer samochodów. Widać mają zainfekowany serwer, bo wątpię by gość dorabiał na takim procederze.

Od siebie dodam, że do mnie maile po jakimś czasie przestały przychodzić. Tym niemniej, uświadomiło mi to, że ktoś jednak korzysta z danych z tych wycieków (bo podane hasło, choć nieaktualne, było prawdziwe i nie nie był to szczęścili traf).

Najbardziej boli wyciek z morele. Ciekawe jakie tego będą skutki...