LINUX.ORG.RU
ФорумTalks

Расследование взлома


0

2

У друга взломали один аккаунт.

Взлом выглядел так: утром он не смог зайти на определённый сайт (неверный пароль).

Он зашёл на почту на гмыле и увидел два письма - со ссылкой на изменение пароля и с уведомлением о том, что пароль был изменён.

Оба письма пришли в то время, когда он спал и его компьютер был выключен. В истории входов на гмыле нет входов в это время и нет подозрительных IP.

Он не понимает, как это могло произойти, и я тоже не понимаю. Единственный вариант, который я могу предположить - взломали либо гмыло либо тот сайт. Ценность его аккаунта на том сайте невелика, для такого масштаба как взлом гмыла. Значит остаётся взлом того сайта, а письма - побочный эффект, и в целом тут уже ничего видимо ничего не поделаешь. Взлом того сайта навеное вызвал бы масштабную кражу аккаунтов, и, как следствие, об этом было бы известно, однако ничего подобного не слышно. Могли ли мы что то упустить?

У него оффтопик, антивирус, он установил другой антивирус и проверил, всё чисто. Да и в целом человек адекватный, заканчивал программисткую специальность, непонятно что запускать не будет. Пароли сложнее, чем 12345.

PS друг это действительно друг, а не я :)

★★★★★

Последнее исправление: Legioner (всего исправлений: 1)

Зевсом пароль сняли скорее всего.

Меняйте пароли на все акках где через браузер вход, и конечно переустановка системы.

valich ★★★
()

А что за «тот сайт», к тому, что если это распространенный движок, можно погуглить инжект или дыры под текущую версию, тем самым понять, что возможно был взломан именно сайт, а не гмыло.

Umberto ★☆
()

Да и в целом человек адекватный, заканчивал программисткую специальность

Это не показатель, на работе у меня тоже один знакомый есть... Программист неплохой, но умудрился таки какую-то хню запустить и получить банальнейший хак для C:\Windows\System32\drivers\etc\hosts :)

Andru ★★★★
()
Ответ на: комментарий от Terrens

Почта же.

Мог не воспользоваться ссылкой «Выход», и под его сессией зашёл злоумышленник.

Но с Gmail'ом-то что? При попытке сменить пароль отсылается письмо на которое надо отреагировать.

Camel ★★★★★
()
Ответ на: комментарий от Umberto

Нет, это не распространённый движок, вряд ли он ещё где то используется. Ну пусть будет сайт уровня facebook, т.е. его взломать наверное можно, но явно не для скрипткиддиса.

Legioner ★★★★★
() автор топика

Быдло-алгоритм юзается скорее всего для смены пароля. Тобишь, обошлись для смены пароля без ссылки в письме. Давай сайтик.

sergeiconq
()
Ответ на: комментарий от Andru

Ну конечно может быть и такое, я собственно версию с вирусом и считаю основной, но смущает отсутствие входов в гмейл. Можно ли прочитать оттуда почту, чтобы в логах это не отразилось? Там был какой то шум насчёт мобильной версии не так давно, якобы через неё взламывали кучу аккаунтов, но я думаю, всё уже давно пофиксили.

Стоимость, которую взломщик может получить за аккаунт - порядка ста долларов. Явно не масштаб взлома гугля.

Legioner ★★★★★
() автор топика

уж не контакт ли , тот «секретный» сайт ? Так аккаунты там «ломаются» как семечки , даже не интересно .

Gramozeka ★★
()

Как он обычно получает доступ к GMail? Через браузер? Использует почтовый клиент?

Что касается «того сайта», неплохо бы было написать им письмо. Если это друг ССЗБ, то ничего страшного не будет, а если это у них проблема, они будут осведомлены.

proud_anon ★★★★★
()
Ответ на: комментарий от proud_anon

Через браузер.

Письмо написано, уже доступ восстановлен, но мне интересен сам факт того, как это можно было сделать.

Сайт - battle.net. Вроде там к безопасности должны серьёзно относиться, клиентов у них много.

Legioner ★★★★★
() автор топика

Выглядит так, будто имел место быть keylogger или же MITM... Но, не исключена и просто безалаберность твоего приятеля.

MiracleMan ★★★★★
()
Ответ на: Почта же. от Camel

>Но с Gmail'ом-то что?

Мог не воспользоваться ссылкой «Выход», и под его сессией зашёл злоумышленник.

Terrens
()
Ответ на: комментарий от Legioner

кстати раз батл.нет, то скорее всего твой товарищ стал жертвой фишинга, мне тоже недавно много писем приходило якобы от батл.нет саппорта

Deleted
()
Ответ на: комментарий от Terrens

IP'шники же.

Мог не воспользоваться ссылкой «Выход», и под его сессией зашёл злоумышленник.

Так в журнале Gmail'а же никаких посторонних IP адресов, говорят.

Camel ★★★★★
()
Ответ на: IP'шники же. от Camel

> в журнале Gmail'а же никаких посторонних IP адресов

Тогда это мог быть кот или сексапильная соседка.

Terrens
()
Ответ на: комментарий от Deleted

Вроде нет, спрошу завтра. В любом случае там этот статус из интерфейса меняется, это вряд ли может что-либо означать.

Legioner ★★★★★
() автор топика

Например, в сайте была дыра, но чтобы её заэксплойтить, надо было сказать «забыл пароль». А письма движок честно отсылал, не знал, что его эксплойтят.

lodin ★★★★
()

>У него оффтопик,

Можно было и не говорить, и так понятно.

Absolute_Unix
()
Ответ на: комментарий от flareguner

теме данного топика этот вопрос не относится , как вариант погуглите сами , дыра с хешироваными паролями очень стара , и не факт что её надежно прикрыли , взломанные учетки это только подтверждают .

Gramozeka ★★
()

когда-то когда мы играли в онлайн игры, у нас был альянс (LOR) и я занимался «разведкой» и «диверсиями».

так вот один из хороших способов узнать что делает/собирается делать «вражеский альянс» был следующий: затеять срач в форуме с этим альянсом. затем приходят модераторы и начинают тереть, затем написать на форуме дескать «у нас на форуме модераторы не трут, можете нам написать что угодно, пошли обсудим»

далее статистика такая: 60% людей имеют один логин/пароль везде. на почте, в игре, на форумах...

берешь пароль из БД и читаешь форум вражеского альянса.

Пароли сложнее, чем 12345.

это уже не совсем важно. важно чтоб в одном месте он у тебя был другой чем в другом

rsync ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Talks