Goedemiddag,
Afgelopen vrijdagavond ben ik gehackt. Hoe ben ik daarachter gekomen? Heel simpel: ik kreeg meldingen van mijn crypto wallet dat er uitgaande transacties plaatsvonden. Dit gebeurde op 23:30. Lang verhaal kort: ben compleet rekt gegaan.
Hoe?
In eerste instantie denk ik dat het is gekomen nádat ik een bepaalde "driver" heb gedownload die ik moest downloaden van de HyperX support. Ik google die driver, eerste hit, klik het aan, download het, install het, gebeurde niks. Vaag. Nog een keer, weer niks. Naja, zal wel aan mij liggen. Dit gebeurde op 22:15 ongeveer.
Achteraf nog een keer gecheckt, bleek de website niet de officiele website van HyperX te zijn, maar was het een gesponsorde link die bovenaan op Google stond. Als jullie de link willen hebben, zal ik hem doorsturen. Ik heb het bestand al een keer door een online virusscanner gehaald die losse bestanden kan checken. Hierbij gaf de scanner niet aan dat het "vervuild" bestand was.
Hoe ziet de rest van mijn tijdlijn eruit?
Nadat al mijn crypto geld weg was, weet je natuurlijk niet waar je moet beginnen. Ik checkte op een gegeven moment mijn Google Drive en zag daar dat mijn beveiligde document met seed phrases en 2fa codes verwijderd was én daarbij ook uit mijn prullenbak verwijderd is. 22:32 is dit gebeurd.
Mijn wallet gecompromised, heel fucked up, maar goed. Is maar een wallet, is niet mijn identieit. Bovenstaande activiteit beweerd dat ze gewoon op mijn Google Drive / Gmail zijn ingelogd.... Wtf? Hier staan ook al mijn docs op van Notaris dingen, verkoop huis, kopie ID/Paspoort e.d.
IP-adres van de computer waarvan de hacker informatie heeft proberen te verkrijgen van een bepaalde exchange genaamd mercatox: 89.36.76.137
Side note: de hackers hebben een VPN gebruikt.
Nu wordt het interessant en tegelijkertijd ook heel vaag voor mij. Want:
1. Ik heb 2factor aan staan
2. Als er 1 inlog plaatsvindt other than mijn eigen computer, krijg ik hier een melding van, altijd. Ik krijg een sms code als er iets moet gebeuren, dit heb ik niet gehad
Mijn aanname is: ze zijn met een soort van teamviewer achtig iets, meekijk-whatever ingelogd en/of toegang gekregen tot mijn computer? Ik neem aan dat mijn computer ook aan heeft moeten staan om dit voor elkaar te krijgen door de hackers. Mijn virusscanner heeft geen melding gegeven of iets dergelijks.
Wat zijn mijn acties geweest vanaf vrijdag?
1. Complete nieuwe windows installatie erop geknald + beide schijven daarin ook geformateerd.
2. 1Password ingesteld
3. Nieuwe wachtwoorden ingesteld
4. Nieuw emailadres gemaakt
5. Overal nieuwe 2FA ingesteld
6. Contact gehad met exchanges om daar alles ook te freezen en stop te zetten
7. Contact gehad met Politie en aangifte gedaan, want mijn ID documenten stonden ook op mijn Google Account.
Vandaag zijn we 3-4 dagen verder en vanochtend om 08:38 kreeg ik een melding van Google op mijn zakelijke Gmail account en mijn oude Gmail account:
:fill(white):strip_exif()/f/image/Ysfx6iMjtoQlWDWIj9oTWvvw.png?f=user_large)
Wat hier vreemd aan is, is dat mijn computer die een compleet nieuwe clean install heeft wordt benoemd als de computer waar de desbetreffende bedreigende "app" op aanwezig is.
Er lijkt dus letterlijk van buitenaf op mijn computer toegang to worden verkregen, zonder dat ik het weet en/of doorheb terwijl Malwarebytes premium draait.
Ter info: op 08:38 vanochtend stond mijn computer niet aan (stond op slaapstand)
Ter info 2: achteraf gezien heb ik op mijn gehackte google account mijn wachtwoord veranderd terwijl mijn computer nog niet opnieuw geinstalleerd was. Mijn nieuw aangemaakte Gmail/Google account, heb ik aangemaakt op mijn Macbook. Hiermee heb ik ook destijds niet ingelogd op mijn gehackte computer. Vanochtend om 08:38 heb ik de kritieke melding gekregen op 2 van mijn 3 Google accounts. Op mijn nieuw aangemaakte Gmail/Google account is deze poging van de hackers niet geweest. Dit zegt denk ik wel "iets", maar ik ben niet expert genoeg om te bepalen wat dit precies zegt. Ik denk namelijk dat er wellicht een keylogger op mijn computer is gezet, maar dat verklaard nog niet hoe het kan dat er toegang tot mijn Google Drive e.d. is geweest zonder dat ik een melding heb gehad dat er toegang van buitenaf tot mijn Google Drive account is gevraagd. (i hope you guys still follow)
Wat zijn mijn specs
Malwarebytes premium
Windows 10 up-to-date
Wat is er nu nog meer gaande?
Ik krijg random mailtjes dat er toegang wordt geprobeerd te zoeken tot inlog/accounts die te maken hebben met mijn emailadres. Deze informatie stond NIET in mijn 2fa document. Mijn aanname: ze hebben de opgeslagen wachtwoorden van mijn Google Chrome ook geexporteerd in csv en op 1 of andere manier gedownload. Mijn vraag hierin ook: kan dit? Kunnen ze dit soort acties uitvoeren op afstand? Zoveel vraagtekens hier...
Er zijn nu een aantal dingen die ik me afvraag wat ik het beste kan doen. En please stel ook wedervragen, want ik zal vast niet het totale complete verhaal in 1 keer goed hebben verwoord, maar ik weet wel goed wat er allemaal gespeeld heeft en ik kan best tot in detail informatie geven.
1. Hoe kan het dat na een clean install er blijkbaar alsnog toegang wordt verkregen. Gebeurd dit ook echt, of proberen zij toegang te verkrijgen tot mijn accounts en mijn data vanaf hun eigen PC.
2. Wat zijn nog meer dingen waar ik rekening mee moet/kan houden?
3. Is het een idee om een nieuw IP-adres aan te vragen, of op wat voor een mogelijke manier kunnen ze mij nu nog targetten?
4. Jullie advies, what to do?
Ik hoop dat er een aantal knappe koppen tussenzitten die deze puzzel interessant vinden en dit met mij uit willen pluizen.
Laat ik duidelijk zijn: ik ben me bewust van de stomiteit van het in de cloud hebben van secret phrases.
Update: zojuist heb ik (terwijl ik verbonden was met mijn eigen WiFi) opnieuw toegang proberen te verkrijgen op mijn telefoon met mijn Gmail. Hierbij wordt er gevraagd om een sms te versturen. Hierbij druk ik op ja is goed. Vervolgens krijg ik GEEN sms van Google, maar krijg ik een sms van amac@cotp.pro Vervolgens druk ik op "nog een keer sms versturen" en toen kreeg ik wel een sms van Google. Nadat ik mijn wachtwoord van mijn gehackte Gmail opnieuw had veranderd en dus weer opnieuw toegang moest krijgen tot mijn account moest ik precies hetzelfde weer doen en vervolgens kreeg ik weer geen sms van Google in eerste instantie, maar kreeg ik een sms van ampo@cotp.pro vervolgens wel een sms van Google gekregen en ik kon inloggen. Is dit ook sus? Iemand ervaring mee? Is het mogelijk dat er toegang wordt verkregen tot mijn netwerk en via mijn netwerk toegang tot mijn computer? Als dit zo zou zijn, dan zou ik daar toch minstens een melding van moeten krijgen van mijn virus scanner? Zoveel vragen... Zoveel onduidelijkheden en je wordt hier echt paranoide van...
Afgelopen vrijdagavond ben ik gehackt. Hoe ben ik daarachter gekomen? Heel simpel: ik kreeg meldingen van mijn crypto wallet dat er uitgaande transacties plaatsvonden. Dit gebeurde op 23:30. Lang verhaal kort: ben compleet rekt gegaan.
Hoe?
In eerste instantie denk ik dat het is gekomen nádat ik een bepaalde "driver" heb gedownload die ik moest downloaden van de HyperX support. Ik google die driver, eerste hit, klik het aan, download het, install het, gebeurde niks. Vaag. Nog een keer, weer niks. Naja, zal wel aan mij liggen. Dit gebeurde op 22:15 ongeveer.
Achteraf nog een keer gecheckt, bleek de website niet de officiele website van HyperX te zijn, maar was het een gesponsorde link die bovenaan op Google stond. Als jullie de link willen hebben, zal ik hem doorsturen. Ik heb het bestand al een keer door een online virusscanner gehaald die losse bestanden kan checken. Hierbij gaf de scanner niet aan dat het "vervuild" bestand was.
Hoe ziet de rest van mijn tijdlijn eruit?
Nadat al mijn crypto geld weg was, weet je natuurlijk niet waar je moet beginnen. Ik checkte op een gegeven moment mijn Google Drive en zag daar dat mijn beveiligde document met seed phrases en 2fa codes verwijderd was én daarbij ook uit mijn prullenbak verwijderd is. 22:32 is dit gebeurd.
Mijn wallet gecompromised, heel fucked up, maar goed. Is maar een wallet, is niet mijn identieit. Bovenstaande activiteit beweerd dat ze gewoon op mijn Google Drive / Gmail zijn ingelogd.... Wtf? Hier staan ook al mijn docs op van Notaris dingen, verkoop huis, kopie ID/Paspoort e.d.
IP-adres van de computer waarvan de hacker informatie heeft proberen te verkrijgen van een bepaalde exchange genaamd mercatox: 89.36.76.137
Side note: de hackers hebben een VPN gebruikt.
Nu wordt het interessant en tegelijkertijd ook heel vaag voor mij. Want:
1. Ik heb 2factor aan staan
2. Als er 1 inlog plaatsvindt other than mijn eigen computer, krijg ik hier een melding van, altijd. Ik krijg een sms code als er iets moet gebeuren, dit heb ik niet gehad
Mijn aanname is: ze zijn met een soort van teamviewer achtig iets, meekijk-whatever ingelogd en/of toegang gekregen tot mijn computer? Ik neem aan dat mijn computer ook aan heeft moeten staan om dit voor elkaar te krijgen door de hackers. Mijn virusscanner heeft geen melding gegeven of iets dergelijks.
Wat zijn mijn acties geweest vanaf vrijdag?
1. Complete nieuwe windows installatie erop geknald + beide schijven daarin ook geformateerd.
2. 1Password ingesteld
3. Nieuwe wachtwoorden ingesteld
4. Nieuw emailadres gemaakt
5. Overal nieuwe 2FA ingesteld
6. Contact gehad met exchanges om daar alles ook te freezen en stop te zetten
7. Contact gehad met Politie en aangifte gedaan, want mijn ID documenten stonden ook op mijn Google Account.
Vandaag zijn we 3-4 dagen verder en vanochtend om 08:38 kreeg ik een melding van Google op mijn zakelijke Gmail account en mijn oude Gmail account:
Wat hier vreemd aan is, is dat mijn computer die een compleet nieuwe clean install heeft wordt benoemd als de computer waar de desbetreffende bedreigende "app" op aanwezig is.
Er lijkt dus letterlijk van buitenaf op mijn computer toegang to worden verkregen, zonder dat ik het weet en/of doorheb terwijl Malwarebytes premium draait.
Ter info: op 08:38 vanochtend stond mijn computer niet aan (stond op slaapstand)
Ter info 2: achteraf gezien heb ik op mijn gehackte google account mijn wachtwoord veranderd terwijl mijn computer nog niet opnieuw geinstalleerd was. Mijn nieuw aangemaakte Gmail/Google account, heb ik aangemaakt op mijn Macbook. Hiermee heb ik ook destijds niet ingelogd op mijn gehackte computer. Vanochtend om 08:38 heb ik de kritieke melding gekregen op 2 van mijn 3 Google accounts. Op mijn nieuw aangemaakte Gmail/Google account is deze poging van de hackers niet geweest. Dit zegt denk ik wel "iets", maar ik ben niet expert genoeg om te bepalen wat dit precies zegt. Ik denk namelijk dat er wellicht een keylogger op mijn computer is gezet, maar dat verklaard nog niet hoe het kan dat er toegang tot mijn Google Drive e.d. is geweest zonder dat ik een melding heb gehad dat er toegang van buitenaf tot mijn Google Drive account is gevraagd. (i hope you guys still follow)
Wat zijn mijn specs
Malwarebytes premium
Windows 10 up-to-date
Wat is er nu nog meer gaande?
Ik krijg random mailtjes dat er toegang wordt geprobeerd te zoeken tot inlog/accounts die te maken hebben met mijn emailadres. Deze informatie stond NIET in mijn 2fa document. Mijn aanname: ze hebben de opgeslagen wachtwoorden van mijn Google Chrome ook geexporteerd in csv en op 1 of andere manier gedownload. Mijn vraag hierin ook: kan dit? Kunnen ze dit soort acties uitvoeren op afstand? Zoveel vraagtekens hier...
Er zijn nu een aantal dingen die ik me afvraag wat ik het beste kan doen. En please stel ook wedervragen, want ik zal vast niet het totale complete verhaal in 1 keer goed hebben verwoord, maar ik weet wel goed wat er allemaal gespeeld heeft en ik kan best tot in detail informatie geven.
1. Hoe kan het dat na een clean install er blijkbaar alsnog toegang wordt verkregen. Gebeurd dit ook echt, of proberen zij toegang te verkrijgen tot mijn accounts en mijn data vanaf hun eigen PC.
2. Wat zijn nog meer dingen waar ik rekening mee moet/kan houden?
3. Is het een idee om een nieuw IP-adres aan te vragen, of op wat voor een mogelijke manier kunnen ze mij nu nog targetten?
4. Jullie advies, what to do?
Ik hoop dat er een aantal knappe koppen tussenzitten die deze puzzel interessant vinden en dit met mij uit willen pluizen.
Laat ik duidelijk zijn: ik ben me bewust van de stomiteit van het in de cloud hebben van secret phrases.
Update: zojuist heb ik (terwijl ik verbonden was met mijn eigen WiFi) opnieuw toegang proberen te verkrijgen op mijn telefoon met mijn Gmail. Hierbij wordt er gevraagd om een sms te versturen. Hierbij druk ik op ja is goed. Vervolgens krijg ik GEEN sms van Google, maar krijg ik een sms van amac@cotp.pro Vervolgens druk ik op "nog een keer sms versturen" en toen kreeg ik wel een sms van Google. Nadat ik mijn wachtwoord van mijn gehackte Gmail opnieuw had veranderd en dus weer opnieuw toegang moest krijgen tot mijn account moest ik precies hetzelfde weer doen en vervolgens kreeg ik weer geen sms van Google in eerste instantie, maar kreeg ik een sms van ampo@cotp.pro vervolgens wel een sms van Google gekregen en ik kon inloggen. Is dit ook sus? Iemand ervaring mee? Is het mogelijk dat er toegang wordt verkregen tot mijn netwerk en via mijn netwerk toegang tot mijn computer? Als dit zo zou zijn, dan zou ik daar toch minstens een melding van moeten krijgen van mijn virus scanner? Zoveel vragen... Zoveel onduidelijkheden en je wordt hier echt paranoide van...
:strip_exif()/u/547445/crop55bceb262206f.gif?f=community)
/u/398995/crop6493fca3906db_cropped.png?f=community)
/u/216161/crop5daf72732a011.png?f=community)
:strip_icc():strip_exif()/u/96648/shakira.jpg?f=community)
:strip_exif()/u/356502/crop5b17f4bc39e72_cropped.gif?f=community)
:fill(white):strip_exif()/f/image/vlfYk8Graj0eku43Z5KSRiTa.png?f=user_large)
:strip_icc():strip_exif()/u/140051/BSOD.jpg?f=community)
/u/97665/Opera1_t.png?f=community)
:strip_exif()/u/53157/thai4.gif?f=community)
:strip_icc():strip_exif()/u/145751/check-in-minion-small2.jpg?f=community)
:strip_exif()/u/165147/YWdwO.gif?f=community)
:strip_icc():strip_exif()/u/449308/autowp_ru_scania_logo_60.jpg?f=community){kind=logo}
:strip_icc():strip_exif()/u/568790/crop5db41301356bf.jpeg?f=community)
:strip_exif()/u/109452/AMD.gif?f=community)
/u/365254/crop62e2919a741c0.png?f=community)
:strip_icc():strip_exif()/u/8430/logo.jpg?f=community){kind=logo}
Dit topic is gesloten.