Меня пытались взломать, вектор атаки?

Куда вошли то с s9?

через 3 часа на почту приходит уведомление, что вошел с нового устройства Samsung Galaxy S9, которого у меня отродясь не было.

Куда «вошел», на гмыло или что?

Вроде везде https

Тут на Лоре был гений, умеющий снифить https:)

Почему корневые сертификаты спасают от MITM атаки? (комментарий)

Да, в почту. Я грешу на похаканный роутер, только вот каким макаром)

Как вариант - через видеонаблюдение подсмотрели. Там камера «удачно» не смотрела на тебя?

В какую почту, в гмыло?

Последняя активность хуцкеров в почте совпадает с внешним ip ТД?

И зазырь время твоего входа и входа кулхацкеров, сравни ip и девайсы.

И че у тебя у самого за девайс?

Двухвакторная авторизация у тебя есть?

В случае гмыла, есть ещё доступ для сторонних приложений или девайсов?

В гмыло сам в кафе через бровсер лез? Браузер не орал на левый сертификат?

Как вариант - через видеонаблюдение подсмотрели. Там камера «удачно» не смотрела на тебя?

Ты всегда на смарте пароль чтоль руками вбиваешь для почты? Да ща и двухвакторка во все поля.

двухавторка, говорите? ;)

Остальной мой сленг конечно тебя не смутил? :)

Мы тут про хуцкеров говорим...

Вангую, что роутер, а точнее — недобросовестный хозяин киоска. Слышал, что все эти «открытые» ТД как раз для сниффинга пакетов и воровства аутентификационных данных и создают в основном.

Не я пароля ручками не вбивал)

Плюсую люто!

И они умеют снифить https?

Но если сессия была шифрованной TLS, то как? По крайней мере должно было быть заметно, что сертификат не валиден.

Подмена сертификата и браузер об этом не предупредил?

Тут на Лоре был гений, умеющий снифить https:)

Он просто прочитал, что такое SNI. Тебе тоже советую.

История проста: подключился к публичной ТД Wi-Fi в кофейном киоске без VPN через 3 часа на почту приходит уведомление

а вдруг эти события не связаны

Но если сессия была шифрованной TLS, то как? По крайней мере должно было быть заметно, что сертификат не валиден

Во-во!

Чисто теоретический можно допустить такую атаку: чтоб воспользоваться точкой доступа, нужно вбить номер телефона и ждать смс. Дальше хозяин точки доступа вручную выбивает в гугл номер телефона (типа забыли логин и пароль) и ждёт, когда жертва вобьет номер из смс на местном каптив портал :)

Он просто прочитал, что такое SNI. Тебе тоже советую.

Ты бы лучше тот тред внимательнее прочитал...

В sni нет инфы о страницах, только хост.

В sni нет инфы о страницах, только хост.

Естественно. А он предлагал отдельные страницы фильтровать?

А он предлагал отдельные страницы фильтровать?

Ну так пля :)

Понятно :-)

Местоположение конечно же совпало? Может у тебя подруга или друг имеют этот самый самсунг?

Ты бы ещё в этом киоске прилавок облизал.

А когда тебе Captive Portal предложил принять сертификат, ты, конечно же, согласился?

9-ку «хакирскую» отвязал и пароль сменил

Почитай что такое пароли приложений.

Не я пароля ручками не вбивал)

Точно? Может фишинг?

Еще может ты заходил на другой ресурс без https и с тем же паролем?

А когда тебе Captive Portal предложил принять сертификат, ты, конечно же, согласился?

Вот по этому я не пользуюсь всякой шляпой типа MT Free :)

Не было Captive Portal.

Я зашел всего на один ресурс https://db-ip.com/ пробил ipшник. После чего Гугл прислал смс-ку о попытке несанкционированного доступа, а чуть позже в акк все-таки вошли)

Под вебкамерой я стесняюсь. Да и там такая баристочка, что заниматься нужно явно не прилавком… не было бы вебки и было бы места больше) ;-)

В этом тоже есть логика, но ниже напишу прохладную историю про то, что, скорее всего, связаны.

Я похож на идиота? Не было такого)

Знаю. ССЗБ, я их не использую)

Сегодня со старого ноута зашел в гуглпочту. Пароли сохранены в браузере. Ноут лежал года три в шкафу. Оказалось почта жены. Ей тут же прилетело кто и откуда зашел. Почему у тебя не так. АйПи адресс разве не показывает?

Совпал провайдер — «MTC Украина» Мудофон Vodafone UA.

У него геолокация все равно Киев.

АйПишник прилагался?

Да, но у меня тот же пров был, что и у хакира. Смотри сообщение выше)

Ну и что? Разве за роутером не один айпи на всю толпу?

Я зашел всего на один ресурс https://db-ip.com/ пробил ipшник

Стесняюсь спросить, а на какой гуй тебе это надо было?

Глянуть ip бота, который ломился на один сайтик)

Не ты не понял. Потом заходили не с роутера. Роутер шарит киевстаровскую оптику.

Если это действительно взлом: то сначала слили данные аутентификации с роутера, сниффером etc.Потом с этими данными со своего мобильного девайса зашли в мой акк.

Возможно. Надо было у Баристы телефончик спросить. Завести роман и вызнать у кого из рабoтников бара или посетителей S9)))

Хоспидя, https, бэкдор, спуфинг … да тупо какая-нибудь фишинговая страница.

У меня знакомый, он тоже учёный, у него 3 класса образования, ну так он за полчаса страницу гугля так сверстает - не отличишь от настоящей! (С)

В какую почту, в гмыло? Да. Собственно в акк и в гмыло.

Последняя активность хуцкеров в почте совпадает с внешним ip ТД?

Нет.ip мобильного прова. ЧСХ того же, что и у меня.

И че у тебя у самого за девайс?

На тот момент была затычка ZTE Blade A601, с кастомной прошивкой DotOS, максимально отвязанная от гаппсов.

Двухвакторная авторизация у тебя есть?

На тот момент не было)

В гмыло сам в кафе через бровсер лез? Браузер не орал на левый сертификат? В гмыло могло полезть то самое приложение K9 Mail, сам браузер нет не орал. В кафе алкогольные напитки не продают, хотя я бы такое даже бухим не завтыкал))

В случае гмыла, есть ещё доступ для сторонних приложений или девайсов?

Только для ноута, который был дома выключен и для приложения почты K9 Mail с того же девайса.

Ща напишу прохладную историю)

Глянуть ip бота, который ломился на один сайтик)

У вас совсем туго с мобильным интернетом, чтоб подключаться к ТД хрен знает где? Я то думал, ты порево в 4к там сел качать.

Которую отдал сам роутер?

Я на пробу)

У нас ща даже у меня, в деревне 4G 50/30 Mbit/s ))

Ещё версия, когда ты по мобильному инету ломишься, то всякие левые сайты могут получить твой номер телефона, а дальше сам понимаешь :)

Не думаю, что точка доступа в кафе виновата.

И кстати, смска то с какого номера тебе пришла?

Ну, хз, мож редиректнул на какой-нибудь g00gle.com. А может у тебя на телефоне в корневых сертификатах браузера лежит какой-нибудь мейд ин СБУ, нам вон уже давно обещают продавать телефоны только с предустановленным отечественным ПО (есть мнение, что это будет именно яндекс-браузер). Так что с самсунга какрй-нибудь товарищ майор заходил. А вход через халявный wi-fi роутер - чисто совпадение.

p.s. как страшно жыть.