Gehackt, wat kan en weet de ISP? - Internet en hosting

Vraag

maandag 8 juli 2019 20:24

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

In het kort, ik ben gehackt. Door middel van malafide software heeft een kwaadwillende afgelopen weekend de controle van mijn computer voor ongeveer 40 minuten over kunnen nemen. Helaas is er in deze tijd veel schade aangericht - er zijn wachtwoorden veranderd en financiële transacties gedaan. Omdat al het verkeer en de transacties vanaf mijn eigen systeem hebben plaatsgevonden, geeft Paypal aan dat er niet bewezen kan worden dat ik dit niet zelf heb gedaan. Wel geven ze toe dat het aantal transacties, allen voor verschillende digitale giftcards bij vele verschillende webshops, voor deze bedragen en in een kort tijdsbestek verdacht zijn en afwijken van mijn normale koopgedrag.

Via het log file van mijn modem (Experiabox) kom ik helaas niet verder, hier kan ik slechts data terugzien tot eerder vandaag.

Een ISP slaat natuurlijk data op van inkomend en uitgaand verkeer op de door haar toegekende IP-adressen. Dit IP-adres is mijn persoonlijke adres, en kan worden gelinked aan mijn hardware. Gezien de controle over de PC via een teamviewer-achtig programma is overgenomen neem ik aan dat er tijdens die periode een verbinding zichtbaar moet zijn.

Nu is mijn vraag, kan ik via mijn ISP data opvragen van inkomende en uitgaande verbindingen op mijn eigen (vaste) IP adres binnen dit specifieke tijdsbestek?

Met de huidige wetgeving en het recht op inzage van data lijkt me dat hier een mogelijkheid voor moet zijn. Heeft iemand hier kennis van of ervaring mee?

Alle reacties

maandag 8 juli 2019 20:26

Acties:

0 Henk 'm!

Freeaqingme

Verwijderd schreef op maandag 8 juli 2019 @ 20:24:
In het kort, ik ben gehackt. Door middel van malafide software heeft een kwaadwillende afgelopen weekend de controle van mijn computer voor ongeveer 40 minuten over kunnen nemen.

Hoe ging dat dan exact in z'n werk? Hoe weet je dat 't slechts 40 minuten was?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

maandag 8 juli 2019 20:33

Acties:

0 Henk 'm!

Kaaswagen

Is het geld van je bankrekening gestolen? Case openen bij je bank. Is je paypal geplunderd? Case openen bij Paypal. Ook vragen stellen aan je verzekeraar, misschien dat die ook kunnen helpen. Heb je al aangifte gedaan?

It's a figure of speech, Morty. They're bureaucrats, I don't respect them.

maandag 8 juli 2019 20:33

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Hoe of wanneer de software is geïnstalleerd weet ik niet. Vanuit de browsergeschiedenis en mijn e-mailgeschiedenis kan ik zien dat deze persoon om precies 12:00 is 'begonnen' met het openen van mijn inbox, welke ingelogd stond op de PC. Met deze toegang kon mijn PayPal wachtwoord (en andere wachtwoorden) worden ge-reset.

Om ongeveer 12:40 kwam ik terug bij mijn PC, waar ik zag dat er meerdere vensters openstonden en de muis bewoog. Hierop heb ik de PC afgesloten en het netwerk ontkoppeld. Hopelijk geeft dit genoeg achtergrond in het hoe en wat, en kunnen we kijken naar de mogelijkheden via de ISP.

maandag 8 juli 2019 20:34

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Kaaswagen schreef op maandag 8 juli 2019 @ 20:33:
Is het geld van je bankrekening gestolen? Case openen bij je bank. Is je paypal geplunderd? Case openen bij Paypal. Ook vragen stellen aan je verzekeraar, misschien dat die ook kunnen helpen. Heb je al aangifte gedaan?

Bedankt voor je antwoord. Het is inderdaad via PayPal gebeurd.

Case openen bij PayPal is gebeurd, hier is mijn case en daaropvolgend bezwaar beiden afgewezen op basis van het feit dat het vanaf mijn eigen PC/ip-adres is gebeurd, zonder verdere vraag naar bewijs of verdere toelichting.

Bewijs wat ik nu in ieder geval heb is de browsergeschiedenis, e-mailgeschiedenis (de mails waren al netjes verwijderd, maar gelukkig nog in de deleted items terug te vinden). Daarnaast zijn er per winkel meerdere transacties gedaan, waar bij enkele van de winkels de tweede of derde transactie ook als 'verdacht' zijn geflagd en de accounts zijn gebanned.

Aangifte staat op de planning, dat gaat tegenwoordig op afspraak, en de eerstvolgende mogelijkheid is helaas volgende week

[ Voor 19% gewijzigd door Verwijderd op 08-07-2019 20:37 ]

maandag 8 juli 2019 20:49

Acties:

0 Henk 'm!

Centurius

Om concreet je vraag te beantwoorden, praktisch niks. De hoeveelheid data die elke seconde collectief door de providers verwerkt wordt is veel te groot om te loggen, op wat metadata na zal je provider dit dan ook niet opslaan (en zelfs dat is twijfelachtig gezien de bewaarplicht ongeldig is verklaard). Zelfs waar dit wel gebeurt is dat vaak in geanonimiseerde vorm waardoor de AVG je geen uitweg biedt en het voor de provider ook niet te doen is om alleen je eigen gegevens eruit te halenb.

maandag 8 juli 2019 20:51

Acties:

0 Henk 'm!

Freeaqingme

Verwijderd schreef op maandag 8 juli 2019 @ 20:33:
Om ongeveer 12:40 kwam ik terug bij mijn PC, waar ik zag dat er meerdere vensters openstonden en de muis bewoog. Hierop heb ik de PC afgesloten en het netwerk ontkoppeld. Hopelijk geeft dit genoeg achtergrond in het hoe en wat, en kunnen we kijken naar de mogelijkheden via de ISP.

Dat klinkt dan als dat iemand iets als RDP, VNC of teamviewer gebruikt heeft. Heb je zo'n tool geinstalleerd? Ik zou het zoeken in logfiles van dergelijke tools. Je ISP logt dat niet.

Overigens zou je die pc eigenlijk niet meer moeten gebruiken. Als je zelf nog op onderzoek uit wil moet je een offline byte for byte kloon maken van die HDD/SSD voordat je dat doet. Hoe langer jij je pc blijft gebruiken des te meer logfiles of andere sporen verwijderd zullen worden.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

maandag 8 juli 2019 20:52

Acties:

0 Henk 'm!

Kaaswagen

Verwijderd schreef op maandag 8 juli 2019 @ 20:34:
[...]

Bedankt voor je antwoord. Het is inderdaad via PayPal gebeurd.

Case openen bij PayPal is gebeurd, hier is mijn case en daaropvolgend bezwaar beiden afgewezen op basis van het feit dat het vanaf mijn eigen PC/ip-adres is gebeurd, zonder verdere vraag naar bewijs of verdere toelichting.

Bewijs wat ik nu in ieder geval heb is de browsergeschiedenis, e-mailgeschiedenis (de mails waren al netjes verwijderd, maar gelukkig nog in de deleted items terug te vinden). Daarnaast zijn er per winkel meerdere transacties gedaan, waar bij enkele van de winkels de tweede of derde transactie ook als 'verdacht' zijn geflagd en de accounts zijn gebanned.

Aangifte staat op de planning, dat gaat tegenwoordig op afspraak, en de eerstvolgende mogelijkheid is helaas volgende week

Als je aangifte hebt gedaan, ook dat naar Paypal sturen (en een brief naar je ISP met de klacht dat dit kon gebeuren en of ze informatie kunnen delen met de politie).

Je kunt denk ik nog wel claim maken op een vergoeding van Paypal. Sterk in je schoenen staan en je rechtsbijstandverzekering erbij halen. Over hoeveel geld hebben we het?

It's a figure of speech, Morty. They're bureaucrats, I don't respect them.

maandag 8 juli 2019 20:57

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Kaaswagen schreef op maandag 8 juli 2019 @ 20:52:
[...]

Als je aangifte hebt gedaan, ook dat naar Paypal sturen (en een brief naar je ISP met de klacht dat dit kon gebeuren en of ze informatie kunnen delen met de politie).

Je kunt denk ik nog wel claim maken op een vergoeding van Paypal. Sterk in je schoenen staan en je rechtsbijstandverzekering erbij halen. Over hoeveel geld hebben we het?

Dit is inderdaad mijn intentie. Zo ver mogelijk bewijs verzamelen en een case bouwen richting PayPal.

Centurius schreef op maandag 8 juli 2019 @ 20:49:
Om concreet je vraag te beantwoorden, praktisch niks. De hoeveelheid data die elke seconde collectief door de providers verwerkt wordt is veel te groot om te loggen, op wat metadata na zal je provider dit dan ook niet opslaan (en zelfs dat is twijfelachtig gezien de bewaarplicht ongeldig is verklaard). Zelfs waar dit wel gebeurt is dat vaak in geanonimiseerde vorm waardoor de AVG je geen uitweg biedt en het voor de provider ook niet te doen is om alleen je eigen gegevens eruit te halenb.

Helaas. Ik dacht dat ISP's verplicht waren data te loggen op IP-niveau. Filteren/zoeken in hun database op 'vanaf IP' of 'naar IP' binnen een speciek tijdsbestek lijkt me dan niet heel vergezocht. Dit houd dus in dat o.a. politie ook geen onderzoek kan doen naar online gedrag? Lijkt me vreemd, toch?

maandag 8 juli 2019 21:01

Acties:

0 Henk 'm!

eric.1

Verwijderd schreef op maandag 8 juli 2019 @ 20:57:
Helaas. Ik dacht dat ISP's verplicht waren data te loggen op IP-niveau. Filteren/zoeken in hun database op 'vanaf IP' of 'naar IP' binnen een speciek tijdsbestek lijkt me dan niet heel vergezocht. Dit houd dus in dat o.a. politie ook geen onderzoek kan doen naar online gedrag? Lijkt me vreemd, toch?

Sjah, als ze slim genoeg waren om op jouw pc te kunnen rondstruinen waren ze vast ook wel handig genoeg om een VPN verbinding te gebruiken (I know, I know, aanname). Zelfs al zou je van de ISP een IP adres krijgen (ik betwijfel het), kom je wellicht uit bij een toko in Panama of een Tor node, daar ga je weinig mee kunnen.

Geen idee wat de Politie hiermee doet of kan doen, maar wellicht een idee om letterlijk niets meer met je pc te doen totdat je aangifte hebt gedaan. Wellicht kan er nog een techneut wat nuttige info uit halen.

Hoe of wanneer de software is geïnstalleerd weet ik niet.

Is toch wel bijzonder, over het algemeen is hier wel een user-interactie voor benodigd.

[ Voor 7% gewijzigd door eric.1 op 08-07-2019 21:07 ]

maandag 8 juli 2019 21:01

Acties:

0 Henk 'm!

SinergyX

____(>^^(>0o)>____

Verwijderd schreef op maandag 8 juli 2019 @ 20:57:

Helaas. Ik dacht dat ISP's verplicht waren data te loggen op IP-niveau. Filteren/zoeken in hun database op 'vanaf IP' of 'naar IP' binnen een speciek tijdsbestek lijkt me dan niet heel vergezocht. Dit houd dus in dat o.a. politie ook geen onderzoek kan doen naar online gedrag? Lijkt me vreemd, toch?

Log all for few? Dat is juist waar zoveel mensen op tegen zijn, alles loggen voor die paar die je mogelijk succesvol kan pakken (99% die 'hackt' zit gewoon achter VPN/Proxies etc, dus kan politie nog niets).

Maar heb jij geen SMS verificatie aanstaan bij Paypal? Dat is veiligheid 1.0. Zelfs als je je naam/wachtwoord hebben, of auto invullen hebt aanstaan, zonder SMS kom je niets verder.

(ok, buiten auto signed-betalingen, maar die werkelijk afaik niet op webshops).

[ Voor 17% gewijzigd door SinergyX op 08-07-2019 21:03 ]

^{Nog 1 keertje.. het is SinergyX, niet SynergyX}
_{Im as excited to be here as a 42 gnome warlock who rolled on a green pair of cloth boots but was given a epic staff of uber awsome noob pwning by accident.}

maandag 8 juli 2019 21:02

Acties:

0 Henk 'm!

Centurius

Verwijderd schreef op maandag 8 juli 2019 @ 20:57:
[...]

Dit is inderdaad mijn intentie. Zo ver mogelijk bewijs verzamelen en een case bouwen richting PayPal.

[...]

Helaas. Ik dacht dat ISP's verplicht waren data te loggen op IP-niveau. Filteren/zoeken in hun database op 'vanaf IP' of 'naar IP' binnen een speciek tijdsbestek lijkt me dan niet heel vergezocht. Dit houd dus in dat o.a. politie ook geen onderzoek kan doen naar online gedrag? Lijkt me vreemd, toch?

Hoeveel ISP's exact loggen is niet publiekelijk bekend maar zelfs de logs die ze hebben is geen overzichtelijke database waar je even in kunt zoeken maar meer een stapel files. Zowel de opslag als het indexeren is een database is een investering waar de ISP niks voor terug krijgt. Politie heeft vaak nog andere methodes zoals het actief tappen van verdachte personen en andere tools maar ja, vanuit de ISP krijgen ze niet heel veel nee.

maandag 8 juli 2019 21:05

Acties:

0 Henk 'm!

epias

Ik neem aan dat je geen Two Factor Authentication had aanstaan? Ik zou gewoon op PayPal concentreren, daar is de schade ontstaan.

maandag 8 juli 2019 21:06

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

eric.1 schreef op maandag 8 juli 2019 @ 21:01:
[...]

Sjah, als ze slim genoeg waren om op jouw pc te kunnen rondstruinen waren ze vast ook wel handig genoeg om een VPN verbinding te gebruiken (I know, I know, aanname). Zelfs al zou je van de ISP een IP adres krijgen (ik betwijfel het), kom je wellicht uit bij een toko in Panama of een Tor node, daar ga je weinig mee kunnen.

Geen idee wat de Politie hiermee doet of kan doen, maar wellicht een idee om letterlijk niets meer met je pc te doen totdat je aangifte hebt gedaan. Wellicht kan er nog een techneut wat nuttige info uit halen.

Mee eens. Mijn doel is ook niet om te achterhalen wie het heeft gedaan, maar aantonen dat er een externe verbinding was op dit tijdstip helpt me wel om aan te tonen dat ik de transacties niet zelf heb uitgevoerd.

SinergyX schreef op maandag 8 juli 2019 @ 21:01:
[...]

Log all for few? Dat is juist waar zoveel mensen op tegen zijn, alles loggen voor die paar die je mogelijk succesvol kan pakken (99% die 'hackt' zit gewoon achter VPN/Proxies etc, dus kan politie nog niets).

Maar heb jij geen SMS verificatie aanstaan bij Paypal? Dat is veiligheid 1.0. Zelfs als je je naam/wachtwoord hebben, of auto invullen hebt aanstaan, zonder SMS kom je niets verder.

(ok, buiten auto signed-betalingen, maar die werkelijk afaik niet op webshops).

Iets met hindsight..

maar toch bedankt.

Centurius schreef op maandag 8 juli 2019 @ 21:02:
[...]

Hoeveel ISP's exact loggen is niet publiekelijk bekend maar zelfs de logs die ze hebben is geen overzichtelijke database waar je even in kunt zoeken maar meer een stapel files. Zowel de opslag als het indexeren is een database is een investering waar de ISP niks voor terug krijgt. Politie heeft vaak nog andere methodes zoals het actief tappen van verdachte personen en andere tools maar ja, vanuit de ISP krijgen ze niet heel veel nee.

Duidelijk, bedankt.

maandag 8 juli 2019 21:07

Acties:

0 Henk 'm!

pennywiser

2fa niet aan staan bij Paypal?

maandag 8 juli 2019 21:15

Acties:

0 Henk 'm!

DeBolle

Volgens mij ligt dat anders

Aannames en andere 'ik dacht dat' even terzijde dan, een leesbare uitwerking van de mogelijk beschikbare gegevens op Wikipedia: Wikipedia: Wet bewaarplicht telecommunicatiegegevens

Ten eerste, wie kunnen erbij.
"Om te voorkomen dat de bevoegde autoriteiten contact moeten houden met alle aanbieders van telecommunicatie- en internetdiensten is het CIOT-informatiesysteem ontwikkeld als een centrale voorziening, die al het vraag- en antwoordverkeer automatisch regelt. Elke aanbieder moet elke 24 uur een actueel digitaal bestand leveren.

Bevoegd om het informatie uit dit systeem op te vragen zijn de politiekorpsen, de Rijksrecherche, de Inspectie SZW, de Koninklijke Marechaussee, de VROM-IOD, de FIOD, de Algemene Inspectiedienst en het Openbaar Ministerie. Deze diensten ontlenen hun bevoegdheid aan het Wetboek van strafvordering.

Behalve deze diensten hebben ook de Algemene Inlichtingen- en Veiligheidsdienst en de Militaire Inlichtingen- en Veiligheidsdienst toegang tot de gegevens in het CIOT-informatiesysteem. Deze bevoegdheid is hun toegekend op grond van de artikelen 28 en 29 van de Wet op de inlichtingen- en veiligheidsdiensten 2002. Soms is de bevraging breed, bijvoorbeeld de verkeersgegevens van de zendmasten voor mobiele telefonie in de buurt van het plaats delict op de dag van een moord."

Tweedens, welke gegevens zijn er.
"De aanbieders van openbare telecommunicatienetwerken en telecommunicatiediensten werden verplicht tot het bewaren van alle verkeers- en locatiegegevens van de gebruikers van deze diensten. De gesprekken zelf, de inhoud van berichten of bezochte websites hoefden niet te worden opgenomen of geregistreerd.

Van een telefoongesprek moesten gedurende twaalf maanden de volgende gegevens worden bewaard: begin- en eindtijd, telefoonnummers, namen en adressen van de betrokken abonnees of geregistreerde gebruikers[11] en de locaties waar betrokken mobiele telefoons zich bevinden. De inhoud van het gesprek werd niet opgenomen. Bij sms en MMS idem.

Van e-mails moesten soortgelijke gegevens twaalf maanden, na de reparatiewet: zes maanden, worden bewaard, zoals datum en tijdstip en e-mailadressen. De e-mail zelf werd niet bewaard. Voor een internetsessie, ook: zes maanden, datum en tijdstip van de log-in en log-off en het IP-adres van de gebruiker. De bezochte websites werden niet geregistreerd. Afgezien van de gegevens van een internetsessie viel webmail van niet-Europese providers, bijvoorbeeld van Hotmail en Gmail buiten de bewaarplicht."

Het lijkt dus twijfelachtig of jouw IP adres bekend staat als een aanbieder van diensten, zo nee - dan hoeft de ISP kennelijk geen login en logoff te bewaren, want inhoudelijk wordt er niets vastgelegd.
Overigens is deze wet niet meer van kracht sinds 2015/2016 omdat het Europese Hof het helemaal niks vond en de minister nog niets heeft gerepareerd.

Enfin, de beste bron voor onderzoek is jouw eigen PC momenteel: iedere remote toegang die gebruikt is zal er (nog) op aanwezig zijn evenals de lokale logging. Uitgaande van een Windows versie zal de firewall en eventviewer ook sporen hebben vastgelegd.

Zoals eerder al gememoreerd - maak een kopie van de HDD in jouw PC en blijf er verder af zodat eventueel forensisch onderzoek mogelijk is.

Specs ... maar nog twee jaar zes maanden en dan weer 130!

maandag 8 juli 2019 21:18

Acties:

0 Henk 'm!

slaay

Natuurbeleven.com

Voor Teamviewer staat op deze pagina onderaan beschreven waar je de logfile kan vinden:
https://content.teamviewer.com/en/report-a-scam/
Mocht het inderdaad om Teamviewer gaan, dan is het slim om het formulier op bovenstaande pagina ook in te vullen.

Dich bis echt unne foëzen haas

maandag 8 juli 2019 21:46

Acties:

0 Henk 'm!

Verwijderd

Ik zie het niet staan en misschien is mijn opmerking overbodig.

Maar heb je inmiddels via een 2de systeem al je wachtwoorden aangepast ..?

maandag 8 juli 2019 21:51

Acties:

0 Henk 'm!

Verwijderd

Topicstarter

Verwijderd schreef op maandag 8 juli 2019 @ 21:46:
Ik zie het niet staan en misschien is mijn opmerking overbodig.

Maar heb je inmiddels via een 2de systeem al je wachtwoorden aangepast ..?

Dat is inderdaad direct gebeurd. Bedankt voor het meedenken in ieder geval!

maandag 8 juli 2019 22:01

Acties:

0 Henk 'm!

RedHat

@Verwijderd Misschien kun je iets meer vertellen over hoe je Experiabox ingesteld staat? (Heb je bijvoorbeeld Port Forwarding's / Poorten open staan)? Niet helemaal je vraag of een antwoord op je vraag, maar ben wel erg benieuwd.

maandag 8 juli 2019 22:22

Acties:

0 Henk 'm!

ik222

Enige wat een ISP echt bijhoudt is welk IP adres op welk moment van welke klant is. En als CGN gebruikt wordt mogelijk nog welke source poorten van een bepaald publiek adres op welk moment bij welke klant horen. Dat is ook de de data die door opsporingsdiensten opvraagbaar is en waardoor iemand om internet geïdentificeerd kan worden.

Verkeer van en naar verbindingen worden eigenlijk op geen enkele manier gelogd. Hooguit heeft een ISP Netflow achtige meta data maar dat is dan met een flinke sampling rate (bijvoorbeeld van 1 op 10000 pakketjes of nog minder waarvan de meta data wordt opgeslagen). En dat wordt enkel gebruikt om bijvoorbeeld DDoS aanvallen te detecteren en mitigeren of om bijvoorbeeld te weten met welke AS'en veel data uitgewisseld wordt om zo peerings te optimaliseren. Dat gaat dan dus echt om globale netwerk patronen die nodig zijn voor goed beheer en geeft geen info over verkeer van of naar een individuele verbinding.

Kortom je ISP kan je hierbij niet helpen.

maandag 8 juli 2019 22:30

Acties:

0 Henk 'm!

boyette

Deze data wordt allemaal wel gelogd maar je hebt er geen fluit aan.. bovendien wordt die data niet vrijgegeven alleen voor de overheid met een gerechterlijke order.

maar je hebt er geen fluit aan omdat men een tooltje gebruikt gebaseerd op teamviewer
dus de enige data die ze vinden zijn de ipaddressen van die servers die nog miljoenen anderen gebruiken.

en zelfs als je "teamviewer" zo ver krijgt om de gegevens vrij te geven kom je bij een vpn uit..
en van daar uit bij een vps..

en dat leidt uiteindelijk tot niets..

die lui zijn niet achterlijk

Pagina: 1

Reageer