Wątek: Zhakowane konto Google i YT

[YoYo]

Jak ktoś tego nie zrobił, lepiej sobie ustawić na weryfikację dwuetapową ale z telefonem najlepiej gdzie się da. Zajumali mi konto Googla dziś, więc i kanał YT poszedł się j...ć. Teraz tam E.Musk zachęca do zakupu crypto . Co gorsza nie ma w sumie jak tego zgłosić, bo wszystko dosłownie wymaga dostępu do tego konta (a tam już ustawiona dwu etapowość, inne dane niepasujące itp.). W sumie powiem, że nie wiem jak, ale podejrzewam, że wczoraj ściągałem Gimpa (źródło oficjalne), który się nie odpalił (za to coś mignęło). Jakoś dziwne to było i wziąłem z MS Store, tu już było ok. Dziś znalazłem w kompie to trojan:script/wacatac.H!ml i myślę, że tędy wyleciało (już wyczyszczone). Tak więc jak ktoś nie ma, niech sobie lepiej na Google da weryfikację dwu etapową (chociaż ponoć też potrafią zapierdzielić ciasteczka, więc najlepiej taką nie ma @ tylko gdzieś na telefon).

[YoYo]

Chyba mialem nosa, że to to: https://www.dobreprogramy.pl/gimp-ze-zlosliwym-oprogramowaniem-winowajca-falszywa-reklama,6829650259008032a. Wszystko pasuje. Co ciekawe artykuł z przed pół roku i nic z tym nie zrobili :/.

[Jascha]

O kurde... Nieźle...

Dlatego ja preferuję ściąganie programów przez stronę dobreprogramy (da się pobierać bez tego ich downloadera). Przynajmniej czuję się pewniej. A w linki Google Ads w sumie i tak nie klikam. Ale "w imię zasad", nie miałem pojęcia, że można to zhakować.

Weryfikację dwuetapową można też zrobić na bazie tokenów z aplikacji Google Authenticator.

A swoją drogą, skoro sprawa jest znana od kilku miesięcy, to dziwne że Windows Defender nic nie zwęszył...

[YoYo]

Taaa. Właśnie co ciekawe stronę z której coś ściągam - zawsze sprawdzam po adresie, ale jak się okazuje, można ją zamaskować, czyli adres może być identyczny jak tej oryginalnej, a w rzeczywistości nie jest. No właśnie wina Googla, że można coś takiego zrobić.

[Forsberg]

Współczuję, ale Google daje możliwość odzyskania konta. Jak logowałeś się głównie z Pcimia i teraz z Zimbabwe to uznają to za przejęcie konta.
Jakim programem usuwałeś trojana?

[YoYo]

Współczuję, ale Google daje możliwość odzyskania konta. Jak logowałeś się głównie z Pcimia i teraz z Zimbabwe to uznają to za przejęcie konta.
Jakim programem usuwałeś trojana?

ESET (em).

[some1]

Gdzieś niedawno czytalem, ze to jest do odzyskania, ale trzeba się oczywiście skontaktować z youtube.

[Jascha]

Taaa. Właśnie co ciekawe stronę z której coś ściągam - zawsze sprawdzam po adresie, ale jak się okazuje, można ją zamaskować, czyli adres może być identyczny jak tej oryginalnej, a w rzeczywistości nie jest. No właśnie wina Googla, że można coś takiego zrobić.

Jeśli dobrze zrozumiałem ten artykuł, to rzekomo poprawny adres wyświetlał się w google jako link sponsorowany, ale link prowadził do podstawionej strony, której adres to już był gilimp.org. I tego wg mnie nie da się obejść. Najczęściej te strony phishingowe wybierają adres, który optycznie się zgadza i nie budzi podejrzeń.

Odnośnie odzyskania, przypominała mi się sytuacja z pewnym youtuberem, którego też zhackowano i który odzyskał konto po 2 tygodniach, chyba głównie dlatego że podniosło się larum i interweniowali też ludzie, którzy mają jakieś kontakty w YT. Gość miał 300k subskrybentów wtedy, więc w sumie niemało. No ale wiadomo, że trzeba spróbować. Może dziś działa to sprawniej, choć to na pewno nie jest załatwiane "od ręki" i wymaga weryfikacji.

[YoYo]

Oby. Zobaczymy. Pewnie to jakiś bot obrobił, bo zmiana wszystkie trwała mniej niż minuta , więc nawet człowiek nie miał czasu zareagować. Natomiast widzę, że jest jakiś progres, bot z kolei Google musiał wyłapać jakieś dziwne zachowanie na koncie, ponieważ pojawiła mi się możliwość weryfikacji na zapasowy adres, a wczoraj nie było takiej opcji. Jest światełko w tunelu:



wydaje się po takim komunikacie, że ktoś ręcznie dokona jakiejś weryfikacji.

Ps. Przeskanowany cały komp już po 2x ESET, Defender (wszystko już czyste), hasła pozmieniane, odblokowane porty (do stawiana serwera) zamknięte. Coś jeszcze warto zrobić, zwarzywszy, że był to trojan?

[Jascha]

Może dla pewności jeszcze czymś dodatkowym przeskanować (darmowym)?

Na przykład:

https://www.dobreprogramy.pl/malwarebytes,program,windows,6628681124255873

Jak dokładnie doszło do przechwycenia tego konta po tym jak się trojan zainstalował? Logowałeś się później na konto na komputerze i przechwycił dane logowania? Na telefonie gdzie jesteś zalogowany na swoim koncie, nie było takiego powiadomienia, że ktoś się loguje właśnie (do potwierdzenia czy to Ty)?

[YoYo]

Może dla pewności jeszcze czymś dodatkowym przeskanować (darmowym)?

Na przykład:

https://www.dobreprogramy.pl/malwarebytes,program,windows,6628681124255873

Jak dokładnie doszło do przechwycenia tego konta po tym jak się trojan zainstalował? Logowałeś się później na konto na komputerze i przechwycił dane logowania? Na telefonie gdzie jesteś zalogowany na swoim koncie, nie było takiego powiadomienia, że ktoś się loguje właśnie (do potwierdzenia czy to Ty)?

Tele chyba nie miałem ustawionego. Przyszły oczywiście maile o logowaniu na @ zapasowy i tyle, jak nie Ty to nie ma tam w zasadzie opcji zablokuj proces, bardziej to takie informacyjne. Ktoś od razu daje sobie logowanie dwuetapowe z kluczem USB do tego i nie ma opcji nawet coś zrobić, trwało to b.krótko, a maila i tak zobaczyłem jak było za późno. Co do logowania - w kompie zapamiętane dane do konta głównego Google.

[Jascha]

Tzn. wydaje mi się, że na każdym telefonie z Androidem, na którym jesteś zalogowany przychodzi takie powiadomienie (nie chodzi o e-mail ale powiadomienie push systemowe). Wiadomo, że tym się nie zablokuje procesu, ale kliknięcie opcji "nie rozpoznaję tego logowania" chyba może pomóc później w odzyskaniu konta.

Czyli dobrze rozumiem, że trojan przechwycił aktywną sesję (dane zalogowanego urządzenia), a nie wpisanie loginu i hasła? Nie wiedziałem, że coś takiego jest możliwe... Ale nawet jeśli, to pytanie jakim cudem doszło do zmiany hasła w takim przypadku (trzeba ponownie podać hasło przed dostępem do tych opcji).

[KosiMazaki]

Kiepska sprawa... ale w sumie to dziwie się Yoyku, że prowadząc kanał jeszcze nie miałeś włączonej weryfikacji dwuetapowej, bo to w sumie podstawa. Niemniej konto jest do odzyskania. Na YT regularnie ktoś komuś podpiernicza konto i google dość szybko reaguje na takie ataki. Oby się udało!

Z innej beczki i ku przestrodze. Kiedyś miałem akcję jak pani od ubezpieczeń całą swoją działalność prowadziła na gmailu i firefoxie z zapisanym hasłem w przeglądarce. Coś się pozajączkowało, hasło się "odpamiętało" i wszystko poszło się... Opcje odzyskiwania nie ustawione. Na infolinii się nie dodzwonisz, bo wszystko kieruje Cię do automatu i opcji odzyskiwania przez stronę. Nie wiadomo jaka data urodzenia, jaki telefon jaki mail zapasowy. Zabolało, bo musiała startować z nowym kontem od zera.

Każdy uczy się na błędach. Sam odkąd miałem wjazd na Paypal, EA oraz lastpassa, gdzie tylko mogę to włączam weryfikację dwuetapową. Upierdliwe, kłopotliwe, ale w sytuacjach podbramkowych rzecz nieoceniona.

Oby wszystko się udało odkręcić i obyś miał mniej kumpli z Mołdawii niż ja na profilu EA xD.

[Forsberg]

ESET (em).

Jeden z lepszych programów. Też go używam i póki co odpukać jest spokój

[KosiMazaki]

Program jak program. Zwykły Windows Defender też by sobie poradził. Tu zawiódł człowiek. Większość ludzi nabiera się na phishing, a nie na wirusy w sensie stricte. Niefart i tyle.