Niet te verklaren verzonden mailtjes vanuit hotmail

woensdag 12 maart 2014 15:10

Topicstarter

Bedankt voor het meedenken haha, maar ja, ze zijn daadwerkelijk verzonden vanuit haar hotmail en staan er nog tussen.

Acties:

Erkel

Hier al gekeken? https://account.live.com/Activity

Kan je zien of er ergens anders vandaan is ingelogd, en zo ja waar, en volgens mij ook IP adres

[ Voor 49% gewijzigd door Erkel op 12-03-2014 15:11 ]

C2D E6600 - 2048MB Kingston - Sapphire HD2900XT - 200Gb Samsung - Asus P5B-E

woensdag 12 maart 2014 15:12

Acties:

woensdag 12 maart 2014 15:14

Topicstarter

Yep, enkel mijn en haar IP staan er, sinds ik het account heb overgenomen die van haar dus niet meer.

Acties:

Erkel

Volgens mij duurt een sessie bij hotmail standaard 24 uur, dus iemand die nu nog is ingelogd, zou nog 24 uur min een beetje mail kunnen versturen. Je kan dit ergens inkorten maar kan even niet vinden waar.

C2D E6600 - 2048MB Kingston - Sapphire HD2900XT - 200Gb Samsung - Asus P5B-E

woensdag 12 maart 2014 15:15

Acties:

Arunia

Het lijkt toch sterk op malware op haar pc. Maar wat je zegt, het is vreemd dat na het wijzigen van het wachtwoord er alsnog mails verstuurd worden ondanks dat zij het nieuwe wachtwoord nog niet weet.

Of wat Erkel zegt kan natuurlijk ook.

Ik zou haar computer (even er vanuit gaande dat ze daar ook mee mailt) even na lopen op malafide applicaties.

woensdag 12 maart 2014 15:16

Acties:

woensdag 12 maart 2014 15:18

Topicstarter

Haar computer gaat op 0, full format. Zal wel kijken of er iets te vinden valt voor de format, maar zit behoorlijke afstand tussen ons dus ik kan het helaas niet zelf doen.

Iemand die het zeker weet dat sessies open blijft staan zelfs na password changes etc? Geen optie om alle openstaande sessies te sluiten?

Ik heb mezelf uitgelogged, hopend dat dat ALLES sessies sluit

[ Voor 36% gewijzigd door TWeaKLeGeND op 12-03-2014 15:18 ]

Acties:

woensdag 12 maart 2014 15:19

sjah, als de computer geïnfecteerd is dan is het maar een kleine moeitje een keylogger te draaien. En in dat geval heb je meteen het nieuwe wachtwoord. Full format moet het oplossen. Zeker als er enkel van haar IP adres is ingelogd.

Sessies sluiten af is mijn ervaring.

Acties:

mat.hi.as

Volgens mij heeft TS het wachtwoord vervangen op zijn eigen computer, die clean is (zegt TS

)

woensdag 12 maart 2014 15:19

Acties:

Arunia

http://email.about.com/cs/hotmailtips/qt/et021603.htm

Geen idee of dit nog steeds zo is, maar 24 uur inderdaad of logout.
Kun je wel wijzigen trouwens, zie link.

woensdag 12 maart 2014 15:20

Acties:

woensdag 12 maart 2014 15:21

Topicstarter

Haar facebook en andere email worden momenteel niet misbruikt. Dat is wel raar.. Die worden net zo goed gebruikt op haar 'waarschijnlijk compromised' laptop.

Nieuw wachtwoord heeft ze niet, die heb ik expres geheim gehouden en zal ik haar ook enkel via de telefoon doorgeven

EDIT:

En weer een nieuw mailtje verzonden NA mijn manual logout

[ Voor 11% gewijzigd door TWeaKLeGeND op 12-03-2014 15:22 ]

Acties:

Erkel

Sessies blijven niet open aldus een moderator op: http://answers.microsoft....2c-4cc6-a72b-bdfd53195553

Een wachtwoord reset zorgt ervoor dat alle sessies worden beeindigd. De meest voor de handliggende opties zijn:

Malware op haar PC (niet waarschijnlijk omdat ze het nieuwe wachtwoord niet weet)
Mail spoofen (lijkt me niet dat ze dan in haar sent items komen)
Malware op jouw PC (dit lijkt mij het meest waarschijnlijke, omdat ondanks een wachtwoord wijziging er toch nog mail wordt verstuurd)

C2D E6600 - 2048MB Kingston - Sapphire HD2900XT - 200Gb Samsung - Asus P5B-E

woensdag 12 maart 2014 15:23

Acties:

woensdag 12 maart 2014 15:25

lijkt mij raar, tenzij dat er ergens een bestand is geopend op de TS computer afkomstig van de gekraakte email. Of een USB stick die over en weer is gegaan?

Immers gezien de soort emails dezelfde zijn van voor als na de wachtwoord wijziging zou het al bijna exaxt dezelfde malware moeten zijn.

Acties:

woensdag 12 maart 2014 15:26

Topicstarter

Het zijn geen random spam mailtjes, het zijn persoonlijke mailtjes met zieke ondertoon naar haar familie en vrienden, het zijn dus handgetikte mailtjes.

Acties:

Verwijderd

Heeft ze een broertje of zusje? Of stoute mama of papa?

woensdag 12 maart 2014 15:26

Acties:

woensdag 12 maart 2014 15:26

aha, en het zijn Nederlandse mails? Dan hebben we het niet over een of andere malware maar over iemand die doelgericht het emailaccount aanvalt.
Vermoedelijk iemand dat gekend is en die van computers kent en die kwaad is

Acties:

woensdag 12 maart 2014 15:27

Topicstarter

Uiteraard, maar die zijn uitgesloten

Acties:

ChojinZ

Verwijderd schreef op woensdag 12 maart 2014 @ 15:26:
Heeft ze een broertje of zusje? Of stoute mama of papa?

Of boze ex-vriendjes? Als de toon persoonlijk is moet het een bekende zijn.

Verklaart echter niet waarom er ook nog na de pwd change mail verstuurd word.

Roland SP404 sampler te koop: https://gathering.tweakers.net/forum/list_messages/2089640

woensdag 12 maart 2014 15:27

Acties:

woensdag 12 maart 2014 15:27

Topicstarter

Ja het is geen spam, het gaat om privezaken die de wereld ingeslingerd worden door aanvaller

ex is een verdachte ja, maar ex kent mij niet, komt bij mij niet in de buurt etc etc

Het gaat er mij nu vooral om HOE na alle maatregelen er nog mailtjes verzonden kunnen worden.

[ Voor 50% gewijzigd door TWeaKLeGeND op 12-03-2014 15:28 ]

Acties:

SinergyX

____(>^^(>0o)>____

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 15:26:
Uiteraard, maar die zijn uitgesloten

Hoezo uitgesloten? Het zijn dus gerichte mailtjes legitiem uit haar uitbox, dat noem ik dus niet bepaald 'uitsluiten'.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

Acties:

CappieL

wel raar dat de mailtjes blijven doorgaan na een wijziging van wachtwoord

Acties:

Krylinck

Zou het niet via een mobiel apparaat verstuurd kunnen worden? Die zie je wel in je inbox en wellicht kan diegene dan zonder wachtwoordwijziging doorgaan (want eigen sessie?).

Strava

Acties:

Kan het zijn puur theoretisch gesproken dat de aanvaller weet dat deze kwestie bij jou zou belanden?
Zo ja kan hij een doelgerichte aanval hebben utigevoerd op jou

woensdag 12 maart 2014 15:29

Acties:

Tumbler

Keylogger op allebei de PC's misschien?

Acties:

Verwijderd

Krylinck schreef op woensdag 12 maart 2014 @ 15:28:
Zou het niet via een mobiel apparaat verstuurd kunnen worden? Die zie je wel in je inbox en wellicht kan diegene dan zonder wachtwoordwijziging doorgaan (want eigen sessie?).

Ook hier geld dat je geen toegang meer hebt zodra je wachtwoord veranderd is.

woensdag 12 maart 2014 15:29

Acties:

woensdag 12 maart 2014 15:29

Topicstarter

Minimale kans sprankel, maar aanwezig

Acties:

woensdag 12 maart 2014 15:30

Nee mobiele telefoon zou moeten verschijnen onder een totaal ander ip adress, tenzij die opdezelfde wifi zit als het slachtoffer

Acties:

ChojinZ

Krylinck schreef op woensdag 12 maart 2014 @ 15:28:
Zou het niet via een mobiel apparaat verstuurd kunnen worden? Die zie je wel in je inbox en wellicht kan diegene dan zonder wachtwoordwijziging doorgaan (want eigen sessie?).

Vind ik een goeie.

Ik kan na wachtwoord wijziging van Hotmail ook nog enige tijd vanaf mijn telefoon mail versturen
. Er vind uiteindelijk wel een sync plaats maar dat duurt een paar uur.

Roland SP404 sampler te koop: https://gathering.tweakers.net/forum/list_messages/2089640

woensdag 12 maart 2014 15:30

Acties:

Joolee

Kun je van één of meer van die e-mails de headers verkrijgen?

Acties:

Krylinck

Verwijderd schreef op woensdag 12 maart 2014 @ 15:29:
[...]

Ook hier geld dat je geen toegang meer hebt zodra je wachtwoord veranderd is.

Ook als je gewoon in het mailprogramma blijft staan? Ik heb het nooit geprobeerd, maar ik zou erin kunnen komen dat je alleen een veranderd wachtwoord hoeft in te geven als je opnieuw die app start.

Strava

Acties:

Maar ik veronderstel dat de TS wel anti-virus heeft dus de aanvaller moet echt wel weten wat hij doet. Heb je iemand in gedachten?

De header uit de bron van de email, das ook een goeie Joolee, dat ik daar nog niet aan gedacht heb

Acties:

Topicstarter

SinergyX schreef op woensdag 12 maart 2014 @ 15:27:
[...]

Hoezo uitgesloten? Het zijn dus gerichte mailtjes legitiem uit haar uitbox, dat noem ik dus niet bepaald 'uitsluiten'.

Seriously?

Het zijn haar ouders/siblings niet punt.

woensdag 12 maart 2014 15:33

Acties:

Freedive

] Ken sent me _

Staan er ook geen App wachtwoorden ingesteld?

--

Tik of klik onder Wachtwoord en beveiligingsgegevens op Beveiligingsgegevens bewerken.

Als u hier wordt gevraagd om een beveiligingscode, voert u deze in en tikt of klikt u op Verzenden.

Tik of klik bij App-wachtwoorden
--

Acties:

Verwijderd

Moet i.i.g. iemand zijn die het doelbewust doet. Heeft zo toevallig ex-vriendjes die een beetje computer expert zijn?

woensdag 12 maart 2014 15:33

Acties:

woensdag 12 maart 2014 15:34

Topicstarter

EDIT: Hier stond een header, je kan deze krijgen per DM

[ Voor 99% gewijzigd door TWeaKLeGeND op 12-03-2014 16:20 ]

Acties:

Fiber

Beaches are for storming.

e-mail adres deleten en eventueel een nieuwe aanmaken...

Of gaat dat weer heel veel andere problemen en werk opleveren...?

Keep your wits sharp, your heart open and your gun loaded. And never mess with mother nature, mother in-laws and, mother freaking Ukrainians.

woensdag 12 maart 2014 15:35

Acties:

woensdag 12 maart 2014 15:36

Topicstarter

Mwah.. ze is nu zo in paniek dat ze het liefst direct haar mail wist ja, ik ben voor dat doel dan ook alvast haar mail aan het leegtrekken zodat ze er nog wel een backup van heeft. Mochten we dat besluiten te doen.

Acties:

Freedive

] Ken sent me _

Dat zou ik als laatste optie houden..want dan heb je er dus geen controle meer over.

woensdag 12 maart 2014 15:37

Acties:

Kuusj

Ofwel varken in 't Limburgs

Misschien achterlijk idee, persoon heeft VPN ingesteld op de router van persoon, en heeft zo een keylogger geïnjecteerd in het netwerk. Maar dat verklaart weer niet hoe het na WW wijzigen weer gebeurt.

9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74

woensdag 12 maart 2014 15:39

Acties:

woensdag 12 maart 2014 15:39

is wel een heel korte header. Wis inderdaad alle gekoppelde accounts en apps voor de zekerheid => vanuit de inbox klik rechtsboven op naam => accountinstellingen => machtigingen => en daar alle apps en gekoppelde accounts eruit flikkeren (facebook, linkedin, windows phone apps, etc)

Acties:

Fish

How much is the fish

http://email.about.com/cs/hotmailtips/qt/et021603.htm

Iperf

woensdag 12 maart 2014 15:39

Acties:

TECHcrime

Heb je al een gekeken bij https://account.live.com/consent/Manage of er niet toevallig apps zijn die toegang hebben?

woensdag 12 maart 2014 15:40

Acties:

woensdag 12 maart 2014 15:41

en nog een kleine maar waarschijnlijk onodige vraag, dat nieuwe passwoord is toch echt iets totaal anders en totaal onvoorspelbaar?

Acties:

woensdag 12 maart 2014 15:41

Topicstarter

Apps en services waaraan je toegang hebt verleend
Je hebt nog geen toegang verleend aan apps of services. Nadat je dit hebt gedaan, worden ze hier weergegeven.

Ook vertrouwde computers zijn eruit geknikkerd, als die er al waren

Acties:

SinergyX

____(>^^(>0o)>____

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 15:31:
Seriously?

Het zijn haar ouders/siblings niet punt.

Serieus ja, er is iemand doelbewust en doelgericht mailtjes aan het sturen via haar account, dit is geen random hacker/trojan die spam rondgooit. Ik zeg niet directe familie, maar wel een bekende.

Tactisch idee, als iemand haar hele box kan lezen, stuur een redelijk 'belangrijk' mailtje met een link naar haar, op een site met een IP logger en maar wachten. Als die persoon alles leest, ongetwijfeld zal die ook die link aan klikken, heb je daar al 1 aanknopingspunt.

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

woensdag 12 maart 2014 15:42

Acties:

woensdag 12 maart 2014 15:42

Topicstarter

Ja, haar oude ww was relatief voorspelbaar als je haar goed genoeg kent (denk ik) nieuwe is van mij en totaal onvoorspelbaar

Acties:

Kuusj

Ofwel varken in 't Limburgs

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 15:41:
Apps en services waaraan je toegang hebt verleend
Je hebt nog geen toegang verleend aan apps of services. Nadat je dit hebt gedaan, worden ze hier weergegeven.

Ook vertrouwde computers zijn eruit geknikkerd, als die er al waren

Ga eens naar iemand/bibliotheek/whatever en log daar in, verander alles wat kan, 2FA, telefoonnummer en kijk dan.

9800X3D - RX 6900XT - Volvo S40 T5 '10 - Kever '74

woensdag 12 maart 2014 15:42

Acties:

TECHcrime

Heb je ook eventuele secundaire of nood e-mail adressen eruit gehaald? Hiermee is een wachtwoord namelijk weer makkelijk te resetten. Ook eventuele geheime vragen resetten?

woensdag 12 maart 2014 15:43

Acties:

woensdag 12 maart 2014 15:44

Topicstarter

Yes. secundair is nu een adres van mij.

Bedankt voor tip SinergyX, heb die tactiek jaren geleden eens gebruikt, helemaal vergeten!

Acties:

Frostbite

🤦🏻‍♂️

Misschien stomme vraag maar geen skype of msn draaien toevallig waarbij malware mails stuurt?

woensdag 12 maart 2014 15:44

Acties:

woensdag 12 maart 2014 15:46

Topicstarter

Nee, ze draait geen skype of msn, gebruikt de chatfunctie enkel per browser.

Acties:

Frostbite

🤦🏻‍♂️

Direct anders haar laptop (via teamviewer) op malware scannen?

woensdag 12 maart 2014 15:46

Acties:

TECHcrime

hmz.. en een EAS of IMAP verbinding is natuurlijk met een password reset ook verbroken... Misschien nog een account alias?

[ Voor 15% gewijzigd door TECHcrime op 12-03-2014 15:48 ]

woensdag 12 maart 2014 15:49

Acties:

xares

Kijk de headers van het ontvangen mailtje eens na.
Is het niet gewoon verzonden vanaf een totaal andere mail server?

Je kan gewoon elk e-mailadres invullen als afzender in Outlook en zo lijkt het alsof het mailtje echt van @hotmail.com komt.

woensdag 12 maart 2014 15:49

Acties:

woensdag 12 maart 2014 15:50

Topicstarter

@Xares: De mailtjes staan daadwerkelijk bij verzonden berichten in haar hotmail account.

Het soort berichten dat verstuurd word, is ideaal om met facebook te doen. Facebook left untouched..

[ Voor 31% gewijzigd door TWeaKLeGeND op 12-03-2014 15:49 ]

Acties:

woensdag 12 maart 2014 15:50

Waarom heb je 2FA en tel authentication niet aangezet eigenlijk? Lijkt me juist hier goed om te doen.

Acties:

woensdag 12 maart 2014 15:51

Ik zie nog maar 2 mogelijkheden namelijk een gerichte aanvaller die zowel de controle heeft van de computer van het slachtoffer heeft als die van de TS.
Of een mobiel telefoon waarop het nieuwe wachtwoord nog niet gesynct is maar dan moet die op dezelfde wifi zitten als het slachtoffer.

En @ Xares, ze komen in de send box, dat kan niet als je mails spooft

Acties:

woensdag 12 maart 2014 15:52

Topicstarter

Het zou voldoende moeten zijn om haar email geheel te isoleren was mijn gedachte, en haar NA laptop format te vertellen 2FA aan te gooien.

Mijn systeem word momenteel grondig gescanned, routerlogs worden bekeken etc, maar ik acht de kans klein dat de aanvaller ook maar een poging doet tot hier binnenkomen. Ik kan het adres verder isoleren door een derde systeem te betrekken, eventueel op een ander OS dan windows.

Maar het gaat me er nu vooral om welke mogelijkheden er zijn om alsnog mailtjes te sturen na de maatregelen zonder toegang te hebben tot mijn systeem.

[ Voor 67% gewijzigd door TWeaKLeGeND op 12-03-2014 15:53 ]

Acties:

woensdag 12 maart 2014 15:56

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 15:51:
Het zou voldoende moeten zijn om haar email geheel te isoleren was mijn gedachte, en haar NA laptop format te vertellen 2FA aan te gooien.

Je eerste prio is om dat mail account veilig te stellen, dus gewoon tel auth aanzetten naar je eigen telefoon. Daarna haar laptop formatten en dan de gegevens wijzigen.

Acties:

woensdag 12 maart 2014 15:57

De tel auth aanzetten gaat niet veel helpen als de aanvaller de wachtwoorden heeft. De aanvaller kan bepaalde dingen niet meer veranderen maar kan nog steeds emails verzenden.

Haar PC formateren is sowiezo een goed idee. Eventueel het wachtwoord nogmaals wijzigen maar van een mobiele telefoon deze keer?

Acties:

thorgal21

Forum Noob

Zit er geen WIFI USB keylogger in de computer die mails verzend naar de andere user?

[ Voor 13% gewijzigd door thorgal21 op 12-03-2014 15:58 ]

woensdag 12 maart 2014 15:59

Acties:

woensdag 12 maart 2014 16:00

Topicstarter

2FA aangezet na zojuist weer een nog gerichter en misselijkmakender mailtje verzonden werd.

Acties:

woensdag 12 maart 2014 16:00

sprankel schreef op woensdag 12 maart 2014 @ 15:56:
De tel auth aanzetten gaat niet veel helpen als de aanvaller de wachtwoorden heeft. De aanvaller kan bepaalde dingen niet meer veranderen maar kan nog steeds emails verzenden.

Haar PC formateren is sowiezo een goed idee. Eventueel het wachtwoord nogmaals wijzigen maar van een mobiele telefoon deze keer?

Na 24 uur wordt zijn sessie toch verbroken en hij kan dan niet meer terug komen. Plus dit maakt ook dat je twee devices moet infecten om in het account te komen. Die kans is kleiner.

[ Voor 2% gewijzigd door MuddyMagical op 12-03-2014 16:01 . Reden: Nederlands typen.. :+ ]

Acties:

Morrar

Ik lees in de TS dat er een mailtje verstuurd / aangekomen is een uur na het wijzigen van een wachtwoord.

Hoe zeker ben je van die timing? Op zich met een beetje mail queue kan een mail er best wat langer over doen en wellicht heeft de ontvanger ook niet heel strak naar de tijd gekeken.

Kortom, misschien was de WW reset afdoende en is de zaak nu gewoon veilig? Of zijn er later nog meer mails verstuurd?

woensdag 12 maart 2014 16:00

Acties:

woensdag 12 maart 2014 16:01

Topicstarter

Er is zojuist nog een mailtje verstuurd Morrar

Acties:

Wildy

Zijn er ook geen regels aangemaakt?
Bijvoorbeeld dat zodra er een mail binnenkomt en die ook naar adres x is verstuurd hij het mailtje verplaatst naar de map Verzonden waardoor het lijkt alsof hij verzonden is vanaf het account van je vriendin?

woensdag 12 maart 2014 16:02

Acties:

woensdag 12 maart 2014 16:02

Topicstarter

Geen regels nee, de mailtjes zijn echt verzonden en aangekomen

Acties:

woensdag 12 maart 2014 16:02

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 16:00:
Er is zojuist nog een mailtje verstuurd Morrar

Aub de volledige headers eens even verstrekken. Ik krijg het vermoeden dat we naar het verkeerde zoeken.

Acties:

Morrar

OK, dan is er dus wel wat aan de hand inderdaad.

Als er een regel is die mails verplaatst naar Verzonden, dan zou er niet daadwerkelijk een mail verstuurd moeten worden... Ik neem aan dat de ontvanger ook wat heeft laten horen?

Wellicht een forwarder?

woensdag 12 maart 2014 16:07

Acties:

woensdag 12 maart 2014 16:09

Topicstarter

Ontvangers krijgen inderdaad echt mailtjes

Acties:

Wiebeltje

Wellicht wat ver gezocht maar zou het niet kunnen dat iemand met remote toegang tot je PC je cookies file overneemt? Als je de (actieve) cookies kopieert naar een ander systeem ben je meestal direct ingelogd onder die betreffende user. Wachtwoord wijzigen helpt dan niet zolang hij die cookies file weer opnieuw kan overnemen.

Je zou eens kunnen proberen je systeem uit te zetten (eerst uitloggen) en vanaf je telefoon / tablet oid kijken of het dan nog gebeurt?

woensdag 12 maart 2014 16:11

Acties:

woensdag 12 maart 2014 16:12

Wiebeltje schreef op woensdag 12 maart 2014 @ 16:09:
Wellicht wat ver gezocht maar zou het niet kunnen dat iemand met remote toegang tot je PC je cookies file overneemt? Als je de (actieve) cookies kopieert naar een ander systeem ben je meestal direct ingelogd onder die betreffende user. Wachtwoord wijzigen helpt dan niet zolang hij die cookies file weer opnieuw kan overnemen.

Je zou eens kunnen proberen je systeem uit te zetten (eerst uitloggen) en vanaf je telefoon / tablet oid kijken of het dan nog gebeurt?

Dan zou er ook een ander IP adres ingelogd zijn. Dat gebeurd volgens TS niet. Daarnaast hebben de meeste systemen beveiliging tegen het opeens wijzigen van een IP adres tijdens een sessie.

Acties:

Deshmir

Ex -> VPN -> vriendin?
Maar dan moet ze eerst haar PC uitzetten en dan nogmaals het ww aanpassen.

woensdag 12 maart 2014 16:12

Acties:

woensdag 12 maart 2014 16:13

Topicstarter

Heb daar aan gedacht Wiebeltje, haar systemen staan daarom al volledig uit. Ik log haar nu uit, en 2FA staat aan dus mijn systeem uitzetten hoeft dan niet neem ik aan?

Acties:

Fiber

Beaches are for storming.

Gebruiken jullie Hotmail vanuit de web-interface of vanuit een mail cliënt zoals Outlook Express of hoe dat ook heet tegenwoordig. Bij het laatste zou ik in ieder geval daar alles wissen en voorlopig alleen de web-interface nog maar gebruiken vanaf een gegarandeerd schone computer.

Keep your wits sharp, your heart open and your gun loaded. And never mess with mother nature, mother in-laws and, mother freaking Ukrainians.

woensdag 12 maart 2014 16:15

Acties:

woensdag 12 maart 2014 16:15

Topicstarter

Webinterface only, ben nu wel via een client mail aan t leegtrekken voor een backup, daarna gaat client weer weg

Acties:

woensdag 12 maart 2014 16:15

Er staat echt geen ander e-mail adres ingevuld?
Op het tandwiel > 'More mail settings' en dan 'your e-mail accounts'?

Hier bijvoorbeeld mijn config:

Afbeeldingslocatie: http://www.maupa.nl/tweakers/outlook.com.jpg

Afbeeldingslocatie: http://www.maupa.nl/tweakers/outlook.com.jpg

Acties:

Topicstarter

Nee, enkel nog de mijne

Ik vind het heel raar dat de aanvaller facebook hier niet voor misbruikt, geen toegang tot facebook of..? Alsof er specifiek in hotmail een lek zit waar hij gebruik van kan maken. (then again, fb pw reset naar hotmail is mogelijk)

[ Voor 83% gewijzigd door TWeaKLeGeND op 12-03-2014 16:16 ]

Acties:

Zou je de headers via DM anders eens willen sturen als je ze niet in het topic wilt zetten?

Acties:

Whatson

Heeft hij niet gewoon remote access naar je pc? Hij kijkt mee op je webcam totdat je weg bent en dan verzend hij de mails.

Acties:

Topicstarter

Komt er aan muddy

Acties:

woensdag 12 maart 2014 16:23

MuddyMagical schreef op woensdag 12 maart 2014 @ 16:16:
Zou je de headers via DM anders eens willen sturen als je ze niet in het topic wilt zetten?

Die zou ik ook wel eens willen zien. Lijkt me een nagenoeg onmogelijke case zo.

Acties:

Wiebeltje

Whatson schreef op woensdag 12 maart 2014 @ 16:16:
Heeft hij niet gewoon remote access naar je pc? Hij kijkt mee op je webcam totdat je weg bent en dan verzend hij de mails.

Om je eigen PC uit te sluiten dat deze infected is zou ik hem toch eens uitzetten en dan vanaf een ander device eens checken. Het kan natuurlijk ook een random hackertje zijn die gewoon smerig spul stuurt naar contactpersonen die dicht bij haar staan (evt uitvinden wie dat zijn via facebook of zo). Of staan er ook echt dingen in waar je uit kan halen dat die persoon je vriendin ook daadwerkelijk kent?

Ik weet niet wat je allemaal met RAT software kan maar als je gewoon buiten je eigen scherm om bijv applicaties kan openen en zo zou hij natuurlijk gewoon in een ander venster Outlook kunnen openen.

Edit: ik zie dat er al mails verstuurd werden voordat jij het wachtwoord van haar kreeg dus dat zou jou systeem toch ook wel uit moeten sluiten.

[ Voor 9% gewijzigd door Wiebeltje op 12-03-2014 16:26 ]

woensdag 12 maart 2014 16:25

Acties:

SinergyX

____(>^^(>0o)>____

Je kan trouwens via je live account beheer wel zien welke tijd welk IP adres is ingelogt geweest op je account, dat zou je beetje kunnen matchen met de tijden van je laptop en haar gebruik.

https://account.live.com/Activity

[ Voor 8% gewijzigd door SinergyX op 12-03-2014 16:25 ]

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

woensdag 12 maart 2014 16:25

Acties:

woensdag 12 maart 2014 16:28

Topicstarter

Zodra de scans op dit systeem voltooid zijn gooi ik het wel uit, de logintijden zijn wel echt haar eigen logins

[ Voor 27% gewijzigd door TWeaKLeGeND op 12-03-2014 16:25 ]

Acties:

woensdag 12 maart 2014 16:31

OK, even de headers bekeken die je verstuurd heb, maar daar zie ik niks in staan. Moet zeggen dat de headers van Outlook.com nou ook niet echt briljant zijn, maar goed.

@TS: Kan je even opsommen wat je al hebt gedaan, want je krijgt nogal dubbele adviezen nu.

Acties:

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 16:25:
Zodra de scans op dit systeem voltooid zijn gooi ik het wel uit, de logintijden zijn wel echt haar eigen logins

Kan je mij de headers ook even via een DM Sturen?
Daarnaast raad ik je aan nu jouw PC/gekoppelde telefoon/whatever uit te zetten en een nieuw niet Windows systeem te gebruiken voor verder onderzoek.

woensdag 12 maart 2014 16:33

Acties:

woensdag 12 maart 2014 16:35

Topicstarter

- Haar systeem en de mijne zijn niet in contact geweest, we wisselen niks uit, geen bestanden geen mailtjes niks. Fysiek bevind ik me aan de andere kant van het land.

- De mailtjes worden daadwerkelijk verzonden, daar het bij verzonden berichten staat en de ontvangers ze ook echt krijgen.

- Andere e-mail adressen en facebook account worden NIET misbruikt so far.

- Ik heb alle instellingen van hotmail zo veilig mogelijk ingesteld, met als laatste stap na 'toch weer een mailtje' 2FA.

- Ik ben uitgelogged op mijn main systeem. En tot nu toe nog nergens anders ingelogged.

- Ze weet momenteel haar eigen wachtwoord niet, dat weet alleen ik en een eventuele spy op mijn systeem. Ik ga dit wachtwoord alsnog een laatste keer veranderen vanaf een linux live usb stickie op een ander systeem.

- Headers lijken clean

- Geen apps of vertrouwede systemen gekoppeld

- Geen vreemde dingen in recente activiteiten

[ Voor 5% gewijzigd door TWeaKLeGeND op 12-03-2014 16:38 ]

Acties:

Heb je ook de headers die de ontvangende partij meekrijgt bij de mails? Ben wel benieuwd of daar nog wat in zit. Kan je mij de headers die je al had ook nog even sturen?

woensdag 12 maart 2014 16:36

Acties:

woensdag 12 maart 2014 16:36

Topicstarter

Ik kan haar wel vragen header van mailtje aan haar broertje of ouders door te geven ja.

Acties:

woensdag 12 maart 2014 16:37

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 16:33:
- Haar systeem en de mijne zijn niet in contact geweest, we wisselen niks uit, geen bestanden geen mailtjes niks. Fysiek bevind ik me aan de andere kant van het land.

- De mailtjes worden daadwerkelijk verzonden, daar het bij verzonden berichten staat en de ontvangers ze ook echt krijgen.

- Andere e-mail adressen en facebook account worden NIET misbruikt so far.

- Ik heb alle instellingen van hotmail zo veilig mogelijk ingesteld, met als laatste stap na 'toch weer een mailtje' 2FA.

- Ik ben uitgelogged op mijn main systeem. En tot nu toe nog nergens anders ingelogged.

- Ze weet momenteel haar eigen wachtwoord niet, dat weet alleen ik en een eventuele spy op mijn systeem. Ik ga dit wachtwoord alsnog een laatste keer veranderen vanaf een linux live usb stickie op een ander systeem.

- Headers lijken clean

- Geen 'vertrouwde apparaten' gekoppeld aan je account? (https://account.live.com/proofs/Manage onderaan de pagina)
- POP / IMAP staat uit? (Postvak IN>Opties>Verbinding maken met apparaten en apps via POP)

Acties:

TWeaKLeGeND schreef op woensdag 12 maart 2014 @ 16:36:
Ik kan haar wel vragen header van mailtje aan haar broertje of ouders door te geven ja.

Dat lijkt me handig! Misschien staat daar nog waardevolle informatie in!

woensdag 12 maart 2014 16:38

Acties:

woensdag 12 maart 2014 16:39

DennusB schreef op woensdag 12 maart 2014 @ 16:37:
[...]

Dat lijkt me handig! Misschien staat daar nog waardevolle informatie in!

Net even zelf zitten testen met een mail vanaf Outlook.com naar Gmail, maar de headers in de ontvangen mail geven geen persoonlijke informatie zoals IP of iets weer. Dit wordt blijkbaar door Microsoft afgeschermd.

Acties:

woensdag 12 maart 2014 16:39

Zie ook niks in de headers. Lijkt een doodnormaal verstuurde e-mail (op de inhoud na dan).
POP/IMAP moeten altijd authenticeren bij hotmail, dat had de password change af moeten vangen.

Acties:

Domino schreef op woensdag 12 maart 2014 @ 16:39:
Zie ook niks in de headers. Lijkt een doodnormaal verstuurde e-mail (op de inhoud na dan).
POP/IMAP moeten altijd authenticeren bij hotmail, dat had de password change af moeten vangen.

Behalve dat het een HTML mail is. Lijkt dus wel afkomstig uit de webclient of een mobiele device...

@TS : Is jouw main PC uit/afgesloten van internet nu?

woensdag 12 maart 2014 16:40

Acties:

thorgal21

Forum Noob

Zoals ik enkele posts hier boven al vroeg: Zit er geen USB keylogger in die via WiFi de tekst doorstuurt?

[ Voor 8% gewijzigd door thorgal21 op 12-03-2014 16:41 ]

woensdag 12 maart 2014 16:41

Acties:

thorgal21 schreef op woensdag 12 maart 2014 @ 16:40:
Zoals ik enkele posts hier boven al vertelde: Zit er geen USB keylogger in die via WiFi de tekst doorstuurt?

Haar PC is uit. En al zou die aan staan, ze weet haar eigen wachtwoord niet. Dus dat lijkt me niet het issue..

woensdag 12 maart 2014 16:41

Acties:

woensdag 12 maart 2014 16:41

DennusB schreef op woensdag 12 maart 2014 @ 16:39:
[...]

Behalve dat het een HTML mail is. Lijkt dus wel afkomstig uit de webclient of een mobiele device...

Uiteraard, als het via een mailprogramma word gezonden zie je ze niet terug in de verstuurde items in de webinterface.

Acties:

Domino schreef op woensdag 12 maart 2014 @ 16:41:
[...]

Uiteraard, als het via een mailprogramma word gezonden zie je ze niet terug in de verstuurde items in de webinterface.

Niet waar, als je via Outlook verstuurt komt het ook gewoon in verzonden items.