Mogelijke Google account hack

Vannacht opende ik mijn telefoon even en kreeg ik een 6 cijferige sms van een random Nederlands nummer. Snel daarna kreeg ik ook een sms van Google met 'Google is verifying your number for Chat features 9xxxxx'.

Dit zat me al niet lekker en ben ik direct even mn bank online langsgegaan en mijn wachtwoord gewijzigd. Dit ook gedaan voor mijn Google account. Echter bij het instellen van een nieuw wachtwoord zou ik via de 2-step authenticatie een sms moeten krijgen van Google. In plaats daarvan kreeg ik weer een sms van een random Nederlands nummer met 6 cijfers. Na nog 2x te drukken kreeg ik wel een G-nummer van Google.

Dit gebeurde later nogmaals! Ik heb nogmaals mijn Google account van alle kanten voorzien van nieuwe veiligheid. Ook hier kreeg ik weer een sms van een ander random Nederlands nummer.

Vannochtend kreeg ik de melding van suspicious app-use van een andere device. Dit nagekeken en wat bleek, dit was mijn eigen Windows PC, die op dat moment helemaal niet aan stond! (hele nacht uit).

Ik snap er nu erg weinig meer van en het zit me uiteraard niet lekker. Heb een virusscan laten draaien zonder bevindingen.

Waar heb ik denk ik mee te maken en welke stappen kan ik verder ondernemen?

Citroentjuh schreef op donderdag 10 december 2020 @ 08:58:
Wat vragen ter verduidelijking:
-Wat stond er qua inhoud in de 'random smsjes'?
-Weet je zeker dat het 'Google smsje' echt van Google komt?
-Hoe en op welke device kreeg je de melding 'suspicious app-use?', wie/wat is de verzender van die melding?

Edit: ik zou trouwens aanraden je 2FA via een authenticator-app te laten lopen ipv via SMS. Dan heb je ook geen twijfel over de echtheid van SMS-jes.

Edit 2: gebruik je Google messages op je telefoon? Het zou dit kunnen zijn:
For your security, we’ll re-verify from time to time to make sure that your phone’s number is still yours. When we re-verify, you might get text messages from Google or see outgoing texts to Google. The message could say something like, ‘Google is verifying the phone number of this device.’

-In de SMSjes stond tot 4x toe een 6 cijferige getallenreeks.
-Het echte SMSje komt van Google. De SMS app gaf ook Google aan en van dit 'nummer' heb ik eerder officiele berichtjes gehad.
-De melding kwam via een Anroid notificatie van Google zelf. Ingelogd op PC en telefoon stond deze inderdaad bij mijn account vermeld.

-Op edit1: Ik heb nu inderdaad de Authenticator als 2e stap gebruikt. Hij was al actief, maar inderdaad niet als 2 verificatie, thanks!

-Op edit2: Dat zag ik idd ook na wat Google werk. Echter is de timing met de andere appjes wel heel toevallig. Heb ze verder namelijk nog nooit gekregen.

gysman11 schreef op donderdag 10 december 2020 @ 12:07:
Dat je telefoon aangeeft dat het bericht van "google" is, zegt helemaal niets. Dat is bijzonder eenvoudig te spoofen.

Doordat 'Sender doesnt support replies' en dit nummer al eerder gebruikt was, ging ik er van uit dat ik deze veilig kon gebruiken. De code werkte dan ook ter verificatie. Alsnog, niet handig achteraf?

Citroentjuh schreef op donderdag 10 december 2020 @ 12:09:
[...]

Dit dus, inderdaad. Vandaar het advies voor de 2FA-app.
Maar met name het laatste onderdeel van het verhaal (de melding over een verdacht app gebruik) kan ik nog niet plaatsen.
Hoe luidde dat bericht exact?

Suspicious app detected
Someone might have accessed your Google Account using a suspicious app. You’ve been signed out on this device to protect your account.
ACTIVITY DONE FROM
Windows
*gebruikersnaam*
Device with suspicious app


Met uiteraard mijn gebruikersnaam. Dit was eerst mijn computernummer, wat overeenkwam (Nieuwe windows installatie). Na het veranderen van mijn computernaam, veranderde deze naam ook in de Google melding.

Er was dus in de nacht niemand actief achter mijn PC, deze stond uit.

Citroentjuh schreef op donderdag 10 december 2020 @ 12:16:
[...]

Nouja het bericht zegt niet perse dat het ook in de nacht gebeurd moet zijn toch? Misschien is de detectie/melding wat laat?
Wanneer heb je de PC het laatste aan gehad en welke Google activiteiten doe je erop?

Rond 12u vannacht. Ik heb via Google ingelogd op een (zeer bekende) trading website.
Hier heb ik mijn inlog ook verandert naar een normale inlogcode.

[ Voor 7% gewijzigd door mouzetc op 10-12-2020 12:19 ]

Citroentjuh schreef op donderdag 10 december 2020 @ 12:20:
[...]

Oke, op zich lijkt me dat al een redelijk plausibele verklaring. Wellicht nooit eerder op deze wijze ingelogd daar?

Correct, was de eerste keer. Echter is vooral mijn vraag waar de random smsjes vandaan komen.. en waarom ineens met deze suspicous activities. En precies als ik via Google moet authenticaten..

Citroentjuh schreef op donderdag 10 december 2020 @ 12:23:
[...]

De Google verificatie lijkt me op zich logisch verklaarbaar samen met die 'suspicious app' detectie. Dat zal een extra controle getriggerd hebben. Mogelijk horen die 'random' smsjes ook bij dat controleproces, maar ik ben met je eens dat dat onduidelijk is en wat vreemd overkomt.

Het zijn geen G-xxxxxxx verificatie nummers. Het zijn 06 nummers, waarvan als ik er 1 google als suspicious naar boven komt via diverse sites. Verder zijn ze belbaar en krijg ik bij na overgaan een voicemail (Nederlands).

Citroentjuh schreef op donderdag 10 december 2020 @ 12:31:
[...]

Vreemd. Het doet me een beetje denken aan dit verhaal:
Instagram 2FA sms'jes privacyschending?

Verder zijn die SMSjes op zich ongevaarlijk, zolang je niets doet met die nummers.

Hmm ja, wat wel raar is, is dat ik de nacht begon met zo'n smsje. Dus zonder verder iets te doen met het account. Verder kreeg ik de smsjes als ik op dat moment een auth code nodig had voor Google en dus een niet kloppende code kreeg (niet geprobeerd, maar een code begint met een G en is ook langer dan 6 geloof ik). Het lijkt er dus op alsnof iets/iemand een signaal krijgt dat ik een code in moet voeren en mij dan een bericht stuurt.

Nu lijkt verder alles in orde, maar heb ik er geen lekker gevoel bij.

[ Voor 7% gewijzigd door mouzetc op 10-12-2020 12:36 ]

-Ik heb ondertussen al mijn opgeslagen wachtwoorden verwijdert bij Google.
-2stap auth op de auth app
-Wachtwoord veranderd na de verandering van 2e auth
-Alle apps/sites waarmee ik inlogde via Google verwijdert.

@Citroentjuh Nee, eerste was random, daarna als ik moest authenticaten via SMS kreeg ik direct een 6 cijferige code. Uiteindelijk ook wel een goede via Google:

"Echter bij het instellen van een nieuw wachtwoord zou ik via de 2-step authenticatie een sms moeten krijgen van Google. In plaats daarvan kreeg ik weer een sms van een random Nederlands nummer met 6 cijfers. Na nog 2x te drukken kreeg ik wel een G-nummer van Google."

Samen met 'Google is verifying your number for Chat features 9xxxxx'. had ik t idee dat iemand meer info heeft dan dat ie hoort te hebben.

Citroentjuh schreef op donderdag 10 december 2020 @ 13:13:
[...]

Top, klinkt als prima stappen als preventie na zo'n vaag incident.

[...]

Ja mogelijk dus je wachtwoord geraden. Algemene tips: nooit hetzelfde ww voor meerdere sites gebruiken (weet niet of dat hier zo was) en nooit een wachtwoord dat gegevens gebruikt die anderen kunnen achterhalen zoals geboortedatum of woonplaats ofzo. Daarbij valt het me op dat er over jou vrij veel info vindbaar is in enkele seconden. Je profiel hier bevat je volledige naam, geboortedatum en woonplaats om mee te beginnen. Ik zou daar zelf sowieso al spaarzamer mee omgaan met dat soort info vrijgeven.

Nee, gebruik inderdaad andere codes. Rare is dat er niet op een andere device is ingelogd..
Zal inderdaad eens wat gegevens gaan minderen!