Google account, Instagram, Steam gehackt - Privacy en beveiliging

zondag 3 maart 2024 12:24

Acties:

0 Henk 'm!

Topicstarter

TLDR: Ik ben gehackt op mijn Google Accounts, Instagram, en Steam en wil weten of hetgeen wat ik heb gedaan om het in de toekomst te voorkomen voldoende is en of ik me nu nog zorgen moet maken.

Hi medetweakers,

Een nachtmerrie voor veel mensen, en afgelopen donderdag rond 14:00 uur was het dan voor mij zover: ik werd gehackt.

Het begon met mijn Google Account. Ik heb tweestapsverificatie aanstaan, maar dit bleek niks uit te maken. Het eerste wat ik ervan merkte, was dat ik een melding op mijn telefoon kreeg met "Beveiligingssleutel toegevoegd". Dit werd binnen enkele seconden vervolgd met vijfmaal "Beveiligingssleutel verwijderd" (mijn sleutels), hierna werd het herstelmail adres gewijzigd en werd het herstelnummer veranderd naar een Russisch nummer. Vrij snel besefte ik dat iets of iemand een poging deed om mij te hacken.

Nu heb/had (na de hack alles veranderd) ik voor erg veel accounts hetzelfde wachtwoord. Zowel voor mijn Google account, Steam, Instagram, en zo nog 270 (!) accounts.

Gelukkig was ik er op dat moment snel bij. Blijkbaar kon ik nog gebruikmaken van mijn alternatieve herstelmail waardoor ik mijn wachtwoord kon wijzigen. Dit is me dan ook gelukt en hierna heb ik alles weer terugveranderd naar hoe het was. Dit allemaal gebeurde in ongeveer vijf minuten.

Ik dacht dat het over was en dat het meeviel. Totdat mijn Instagram account rond 23:00 uur een story en post uploadde over Bitcoin/crypto, iets wat ik niet zo snel zou doen. Ook dit wachtwoord heb ik snel veranderd. Ik besefte me dat de hacker van die middag meer gegevens had dan alleen mijn Google Account en ging ervanuit dat het een lange nacht ging worden met alle 270 dezelfde wachtwoorden veranderen naar allemaal unieke wachtwoorden.

Ik was lekker bezig. Ik was bij de letter F van alle accounts die gedaan moesten worden, tot ik plots een mailtje kreeg dat er iets is verkocht uit mijn Steam inventory. Door deze melding veranderde ik snel mijn wachtwoord van Steam (ik had 2FA aanstaan, had dus blijkbaar ook geen zin), en ik ben verder gegaan met de rest van mijn accounts. Rond een uurtje of 3 snachts kreeg ik nog een 'wachtwoord vergeten' mailtje van Steam in het Russisch, waaruit ik de conclusie trok dat de hacker mijn wachtwoord niet meer had/wist.

Dit was eigenlijk het laatste moment dat ik iets hebn gemerkt van de hack. Inmiddels heb ik alle cookies gewist van mijn telefoon, laptop, pc, en heb ik alle wachtwoorden op mijn Google Account wachtwoord manager veranderd en zijn ze allemaal uniek.

Nu is mijn vraag: is er iemand anders ditzelfde ongeveer overkomen en heb ik op dit moment genoeg gedaan? Ik denk hier de afgelopen dagen bijna continu aan en ben als de dood dat ik ineens weer een melding krijg dat er dingen in mijn Google Account veranderd worden.

Ik heb nu het idee dat ik veiliger ben dan ooit, maar tegelijkertijd ben ik banger dan ooit om (weer) gehackt te worden. Is er iemand die me hierbij advies kan geven?

Ik hoor het graag, alvast bedankt voor het meedenken!

zondag 3 maart 2024 12:34

Acties:

+1 Henk 'm!

barrymossel

Heb je enig idee hoe je "gehackt" bent?

zondag 3 maart 2024 12:37

Acties:

0 Henk 'm!

Markelijk

Topicstarter

barrymossel schreef op zondag 3 maart 2024 @ 12:34:
Heb je enig idee hoe je "gehackt" bent?

Ik weet dat mijn wachtwoord die ik voor veel accounts gebruikt heb (inmiddels dus niet meer) al een aantal jaar oud is. Twee van mijn mailadressen zijn ook terug te vinden op https://haveibeenpwned.com/, wat voor mij wel een beetje 1+1=2 is.

Ik denk dus dat dat het is. Het mailadres van m'n Google Account is wel anders dan die van mijn Instagram en Steam, maar die hadden wel hetzelfde wachtwoord.

zondag 3 maart 2024 12:40

Acties:

+1 Henk 'm!

barrymossel

Ik vind het vreemd dat 2fa geen nut lijkt te hebben. Ik zou dus sowieso op al je devices een virusscanner draaien.
Dat en het wijzigen van je wachtwoorden (en zoveel mogelijk gebruik maken van 2fa) lijkt me voldoende.
Overigens als (b)lijkt dat je een virus hebt, daarna alsnog je wachtwoorden aanpassen.

zondag 3 maart 2024 12:42

Acties:

+2 Henk 'm!

Sethro

Welke 2FA gebruik je? Er is geen andere optie dan dat ze daar ook toegang toe hebben.

zondag 3 maart 2024 12:49

Acties:

+5 Henk 'm!

Puch-Maxi

@Markelijk Weet je zeker dat je session-cookies niet zijn gekaapt?

My favorite programming language is solder.

zondag 3 maart 2024 12:50

Acties:

0 Henk 'm!

Markelijk

Topicstarter

barrymossel schreef op zondag 3 maart 2024 @ 12:40:
Ik vind het vreemd dat 2fa geen nut lijkt te hebben. Ik zou dus sowieso op al je devices een virusscanner draaien.
Dat en het wijzigen van je wachtwoorden (en zoveel mogelijk gebruik maken van 2fa) lijkt me voldoende.
Overigens als (b)lijkt dat je een virus hebt, daarna alsnog je wachtwoorden aanpassen.

Bedankt voor je tips. Ik heb net via Windows Security een scan gedraaid, en hier kom ik op dat een Thread quarantined is met hetvolgende: "Detected:Win32:LummaStealer!MTB"

Ik heb opgezocht wat een LummaStealer is, en dat heeft wel te maken met 2FA hacks. Dit was op 28-2 om 19:17 van mijn pc verwijderd, maar mogelijk hadden ze toch al wat gegevens.

Hoe kan ik een viruscheck doen op mijn telefoon? Ik heb een Pixel 8 Pro van Google.

Ik zal inderdaad het wachtwoord van mijn Google Account opnieuw aanpassen.

Sethro schreef op zondag 3 maart 2024 @ 12:42:
Welke 2FA gebruik je? Er is geen andere optie dan dat ze daar ook toegang toe hebben.

Ik gebruik voor mijn Google Account meerdere: standaard is de Google Prompt op mijn telefoon (Pixel 8 Pro), maar ook de SMS en Authenticator app staan aan.

zondag 3 maart 2024 12:53

Acties:

0 Henk 'm!

Markelijk

Topicstarter

Puch-Maxi schreef op zondag 3 maart 2024 @ 12:49:
@Markelijk Weet je zeker dat je session-cookies niet zijn gekaapt?

Hier heb ik inderdaad het eea over gelezen een paar maanden geleden. Dat zou kunnen natuurlijk. Ik dacht hier donderdag ook aan en heb toen alle cookies van mijn pc en telefoon verwijderd en mijn Google Account uitgelogd op alle apparaten en opnieuw ingelogd.

Is er iets dat ik nog meer kan doen om zeker te weten dat ze hier niks meer mee kunnen en hoe ik het in de toekomst kan voorkomen?

Ik denk trouwens dat ze wel toegang hadden tot mijn wachtwoord, aangezien ik het gek vond dat ze een 'wachtwoord vergeten' mailtje stuurde voor mijn Steam account, wat erop duidt dat ze er niet meer inkunnen.

Na deze avond (donderdag op vrijdag) is er ook niks vreemds meer gebeurd.

zondag 3 maart 2024 12:53

Acties:

+1 Henk 'm!

True

Dislecticus

Markelijk schreef op zondag 3 maart 2024 @ 12:50:

Hoe kan ik een viruscheck doen op mijn telefoon? Ik heb een Pixel 8 Pro van Google.

Eigenlijk niet nodig als je de laatste security update hebt.

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 12:58

Acties:

+1 Henk 'm!

True

Dislecticus

Waar heb je je nieuwe wachtwoorden nu opgeslagen? Is dit op een locatie waarvan je 100% zeker weet dat die veilig is? Maak je nu gebruik van een password manager?

Je moet er vanuit gaan dat al je accounts waar je op ingelogd bent op je computer te hacken zijn indien je hiervoor 2FA gebruikt én je met dit account wel eens op je computer hebt ingelogd.
Je moet er vanuit gaan dat al je accounts met je oude wachtwoord te hacken zijn als deze geen 2FA toepassen.

Je wilt alle wachtwoord herstellen beginnend vanaf je mail, bank en alles met waarde. Vergeet ook bijv. een Zalando of Thuisbezorgd met achteraf betalen niet.
Je wilt overal 2FA instellen waar mogelijk en dit opslaan op een andere locatie. (dit is het security principe: something you know (wachtwoord) en something you have (2FA app) omdat je SYK (wachtwoord) in een password manager zet moet je die bij voorkeur niet op hetzelfde apparaat zetten maar sowieso encrypten met een wachtwoord wat je onthoudt en nergens anders gebruikt of opslaat. Je kunt er voor kiezen dit even op te schrijven (niet printen) totdat je dit met zekerheid blijft onthouden.
Ik raad een passphrase aan met enkele hoofdletters en nog enkel cijfers/speciale karakters zie bijv.: https://www.useapassphrase.com/ (NB ik zou zelf geen gegeneerde passphrase gebruiken maar er zelf een bedenken).

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 12:59

Acties:

+2 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Puch-Maxi schreef op zondag 3 maart 2024 @ 12:49:
@Markelijk Weet je zeker dat je session-cookies niet zijn gekaapt?

Zo klinkt het inderdaad. Dat is, voorzover ik weet, de enige manier om MFA hard te omzeilen. Dat, of TS heeft zelf de MFA bevestigd (maar dat lijkt me niet).

Ze zijn de laatste tijd lekker bezig met die sessietokens. De aanval is geraffineerd.

Men start een mailconversatie die niet uit de toon valt tussne de mailconversaties die je normaal voor je werk of hobby voert. Ergens sturen ze je dan een PDF. Die PDF zelf is clean, en komt gewoon door je AV. Maar ergens in die PDF staat een link waar je aandacht naar wordt getrokken. Iets met "lees meer", "download demo" "neem deel aan de actie". Als je daar op klikt, vindt de sessiekaping plaats.

De site achter de link installeert dan een .scr bestand (screensaver container) waarin een EXE zit met de malware. De installatie gaat razendsnel - nog voor jij het doorhebt, staat de sessietoken al op de PC van de aanvaller en zit hij in je account. Daarna is het een kwestie van sleutels en wachtwoorden vervangen.

Het valt op dat het doel vrijwel altijd Youtube-, Instagram- of Facebook-accounts met veel volgers zijn. En ook wordt er vrijwel altijd meteen begonnen met het promoten van crypto (of eigenlijk: cryptoscam). Men bouw het kanaal of account volledig om, zodat het niet eens meer herkenbaar is als het oorspronkelijke account. Het gaat ze dus echt alleen om de abonnees/volgers van dat kanaal/account.

Eerder al viel Linus Tech Tips ten prooi, en gisteren was het de beurt aan GameXplain (inmiddels weer in de lucht).

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

zondag 3 maart 2024 13:02

Acties:

+1 Henk 'm!

True

Dislecticus

Heroic_Nonsense schreef op zondag 3 maart 2024 @ 12:59:
[...]

Zo klinkt het inderdaad. Dat is, voorzover ik weet, de enige manier om MFA hard te omzeilen. Dat, of TS heeft zelf de MFA bevestigd (maar dat lijkt me niet).

Dit is het 99% zeker.
Behalve als @Markelijk zijn 2FA generate token (die QR-code) ook ergens opgeslagen heeft (niet slim, maar mogelijk).

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 13:03

Acties:

+1 Henk 'm!

True

Dislecticus

True schreef op zondag 3 maart 2024 @ 12:53:
[...]

Eigenlijk niet nodig als je de laatste security update hebt.

@Markelijk NB Als je een malafide app op je telefoon hebt die je toegang geeft tot je bestanden én je slaat hier bijvoorbeeld je password database op zonder dat je deze encrypt kun je natuurlijk zo weer het haasje zijn.
Let op dit heeft niets te maken met veiligheid van Android, maar met dommigheid (NFI) van de gebruiker.

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 13:05

Acties:

+1 Henk 'm!

True

Dislecticus

Even concreet de vraag: Hoe sla jij je wachtwoorden en 2FA nu op? Waar doe je dat en hoe loopt dit proces voor jou te tijden van het veranderen. NB Dit was na het verwijderen van de malware correct? Welke password manager gebruik je nu? Welke encryptie gebruik je? Heb je hiervoor een wachtwoord ingesteld? Heb je dit wachtwoord ooit elders voor gebruikt of is die volledig nieuw?

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 13:06

Acties:

0 Henk 'm!

Markelijk

Topicstarter

True schreef op zondag 3 maart 2024 @ 12:58:
Waar heb je je nieuwe wachtwoorden nu opgeslagen? Is dit op een locatie waarvan je 100% zeker weet dat die veilig is? Maak je nu gebruik van een password manager?
Je moet er vanuit gaan dat al je accounts waar je op ingelogd bent op je computer te hacken zijn indien je hiervoor 2FA gebruikt én je met dit account wel eens op je computer hebt ingelogd.
Je moet er vanuit gaan dat al je accounts met je oude wachtwoord te hacken zijn als deze geen 2FA toepassen.
Je wilt alle wachtwoord herstellen beginnend vanaf je mail, bank en alles met waarde. Vergeet ook bijv. een Zalando of Thuisbezorgd met achteraf betalen niet.
Je wilt overal 2FA instellen waar mogelijk en dit opslaan op een andere locatie. (dit is het security principe: something you know (wachtwoord) en something you have (2FA app) omdat je SYK (wachtwoord) in een password manager zet moet je die bij voorkeur niet op hetzelfde apparaat zetten maar sowieso encrypten met een wachtwoord wat je onthoudt en nergens anders gebruikt of opslaat. Je kunt er voor kiezen dit even op te schrijven (niet printen) totdat je dit met zekerheid blijft onthouden.
Ik raad een passphrase aan met enkele hoofdletters en nog enkel cijfers/speciale karakters zie bijv.: https://www.useapassphrase.com/ (NB ik zou zelf geen gegeneerde passphrase gebruiken maar er zelf een bedenken).

Super bedankt voor het meedenken en het advies.

Ik heb inderdaad alle wachtwoorden veranderd. Deze zijn allemaal uniek en automatisch gegenereerd (door middel van Sterk Wachtwoord Voorstellen functie van Google). Ze staan nu allemaal opgeslagen op mijn Google Account, in de Wachtwoord Manager.

Ik heb zojuist weer mijn Google Account wachtwoord veranderd. Dit is een wachtwoord dat ik nog nooit eerder heb gebruikt en ook niet lijkt op mijn voorgaande.

zondag 3 maart 2024 13:07

Acties:

+1 Henk 'm!

True

Dislecticus

Markelijk schreef op zondag 3 maart 2024 @ 13:06:
[...]

Super bedankt voor het meedenken en het advies.

Ik heb inderdaad alle wachtwoorden veranderd. Deze zijn allemaal uniek en automatisch gegenereerd (door middel van Sterk Wachtwoord Voorstellen functie van Google). Ze staan nu allemaal opgeslagen op mijn Google Account, in de Wachtwoord Manager.

Ik heb zojuist weer mijn Google Account wachtwoord veranderd. Dit is een wachtwoord dat ik nog nooit eerder heb gebruikt en ook niet lijkt op mijn voorgaande.

Ik wil je even een spiegel voor houden. Maar als je Google Account al een keer gehackt is, waarom lijkt het je een goed idee je Google Account te gebruiken als password vault?

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 13:15

Acties:

0 Henk 'm!

Markelijk

Topicstarter

True schreef op zondag 3 maart 2024 @ 13:05:
Even concreet de vraag: Hoe sla jij je wachtwoorden en 2FA nu op? Waar doe je dat en hoe loopt dit proces voor jou te tijden van het veranderen. NB Dit was na het verwijderen van de malware correct? Welke password manager gebruik je nu? Welke encryptie gebruik je? Heb je hiervoor een wachtwoord ingesteld? Heb je dit wachtwoord ooit elders voor gebruikt of is die volledig nieuw?

Hoe sla jij je wachtwoorden en 2FA nu op? Wachtwoorden op Google Account, 2FA via mijn telefoon met prompt

Waar doe je dat en hoe loopt dit proces voor jou te tijden van het veranderen. NB Dit was na het verwijderen van de malware correct? Deze vraag snap ik niet precies. Ik heb in ieder geval na het verwijderen van de malware mijn cookies gewist, alle Google Account sessies uitgelogd, en mijn wachtwoord veranderd.

Welke encryptie gebruik je? Deze begrijp ik niet precies, hoe kan ik dit vinden/weten?

Heb je hiervoor een wachtwoord ingesteld? Heb je dit wachtwoord ooit elders voor gebruikt of is die volledig nieuw? Ja, wachtwoord is compleet nieuw en nergens anders voor gebruikt.

True schreef op zondag 3 maart 2024 @ 13:07:
[...]
Ik wil je even een spiegel voor houden. Maar als je Google Account al een keer gehackt is, waarom lijkt het je een goed idee je Google Account te gebruiken als password vault?

Dat snap ik heel goed, en ik vind het erg fijn dat je/jullie meedenkt/meedenken. Ik heb voor zover ik weet de juiste stappen genomen om mijn Google Account weer veilig te maken, met een nieuw wachtwoord, geen oude sessies en geen oude cookies, en 2FA aan. Elk wachtwoord van elk account is ook anders, en bij websites die een mogelijkheid hebben tot 2FA, staat het dan ook aan.

Ik heb een paar andere opties (1Password, BitWarden, LastPass) gebruikt, maar vond ze niet fijn werken. Uiteraard alle wachtwoorden die ik toen daarin heb geïmporteerd ook weer verwijderd, zodat ze daarin niet meer rondslingeren.

[ Voor 4% gewijzigd door Markelijk op 03-03-2024 13:16 ]

zondag 3 maart 2024 13:30

Acties:

+1 Henk 'm!

True

Dislecticus

Markelijk schreef op zondag 3 maart 2024 @ 13:15:
[...]

Hoe sla jij je wachtwoorden en 2FA nu op? Wachtwoorden op Google Account, 2FA via mijn telefoon met prompt

Waar doe je dat en hoe loopt dit proces voor jou te tijden van het veranderen. NB Dit was na het verwijderen van de malware correct? Deze vraag snap ik niet precies. Ik heb in ieder geval na het verwijderen van de malware mijn cookies gewist, alle Google Account sessies uitgelogd, en mijn wachtwoord veranderd.

Welke encryptie gebruik je? Deze begrijp ik niet precies, hoe kan ik dit vinden/weten?

Heb je hiervoor een wachtwoord ingesteld? Heb je dit wachtwoord ooit elders voor gebruikt of is die volledig nieuw? Ja, wachtwoord is compleet nieuw en nergens anders voor gebruikt.

[...]

Dat snap ik heel goed, en ik vind het erg fijn dat je/jullie meedenkt/meedenken. Ik heb voor zover ik weet de juiste stappen genomen om mijn Google Account weer veilig te maken, met een nieuw wachtwoord, geen oude sessies en geen oude cookies, en 2FA aan. Elk wachtwoord van elk account is ook anders, en bij websites die een mogelijkheid hebben tot 2FA, staat het dan ook aan.

Welke stappen heb je ondernomen om te zorgen dat je niet weer malware op je PC krijgt die bijv. je session cookies kan afvangen?
Als je antwoord hierop is: 'geen' of 'ik weet niet hoe' dan is het niet veilig om aan te nemen dat je niet weer slachtoffer wordt. Hierom zeg ik dan ook dat het (nog) niet veilig is om wachtwoorden in je Google Account op te nemen.

Ik heb een paar andere opties (1Password, BitWarden, LastPass) gebruikt, maar vond ze niet fijn werken. Uiteraard alle wachtwoorden die ik toen daarin heb geïmporteerd ook weer verwijderd, zodat ze daarin niet meer rondslingeren.

Even ter verificatie, je hebt dit gedurende afgelopen dagen geprobeerd, vond dit niet fijn én heb wachtwoorden uit die diensten weer verwijderd maar die wachtwoorden niet aangepast?
Zo ja, deze zul je weer moeten veranderen. Je kunt er op dit moment (nog) niet van uit gaan dat dit veilig is (of blijft). Heb je voor het inloggen bij deze diensten ook andere wachtwoorden gebruikt of dezelfde wachtwoord hergebruikt?

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 13:38

Acties:

0 Henk 'm!

Markelijk

Topicstarter

True schreef op zondag 3 maart 2024 @ 13:30:
[...]

Welke stappen heb je ondernomen om te zorgen dat je niet weer malware op je PC krijgt die bijv. je session cookies kan afvangen?
Als je antwoord hierop is: 'geen' of 'ik weet niet hoe' dan is het niet veilig om aan te nemen dat je niet weer slachtoffer wordt. Hierom zeg ik dan ook dat het (nog) niet veilig is om wachtwoorden in je Google Account op te nemen.

[...]

Even ter verificatie, je hebt dit gedurende afgelopen dagen geprobeerd, vond dit niet fijn én heb wachtwoorden uit die diensten weer verwijderd maar die wachtwoorden niet aangepast?
Zo ja, deze zul je weer moeten veranderen. Je kunt er op dit moment (nog) niet van uit gaan dat dit veilig is (of blijft). Heb je voor het inloggen bij deze diensten ook andere wachtwoorden gebruikt of dezelfde wachtwoord hergebruikt?

Ik heb die 28-2 een programmaatje geprobeerd te downloaden via de illegale zeeën. Windows Defender herkende de download als een threat, en met mijn domme hoofd dacht ik dat het wel oke was en heb ik het toegestaan, wat het dus niet was. Een aantal minuten later heeft Windows Defender die LummaStealer geblokkeerd, maar waarschijnlijk stond het dus al een paar minuten op mijn pc.

Dat programma is inmiddels dus verwijderd. Ik ga regelmatig een volledige scan doen van mijn pc om te kijken of het niet terug is gekomen, geen programma's illegaal meer downloaden, en regelmatig de cookies van mijn pc/smartphone wissen.

Even ter verificatie, je hebt dit gedurende afgelopen dagen geprobeerd, vond dit niet fijn én heb wachtwoorden uit die diensten weer verwijderd maar die wachtwoorden niet aangepast?

Nee, dit is al een langere tijd geleden. Ongeveer een jaar of misschien wel langer geleden, in ieder geval niet recent.

[ Voor 4% gewijzigd door Markelijk op 03-03-2024 13:44 ]

zondag 3 maart 2024 14:46

Acties:

+2 Henk 'm!

Room42

Ja, malware downloaden is de klassieke manier om je accounts kwijt te raken. En als het een rootkit betreft kun je scannen tot je een ons weegt, dat raak je niet meer kwijt. Ik zou liever een schone installatie adviseren.

Daarnaast, je geeft heel braaf antwoord op alle vragen die gesteld worden maar een van de belangrijkste security tips is; geef je security niet prijs. Neem de adviezen tot je en staaf deze aan hoe jij jouw beveiliging geregeld heb, maar ga daar verder niet te diep op in.

Heel veel heb je al geleerd: Wachtwoorden (en het liefst ook usernames) niet vaker gebruiken. Voor e-mail heb je tools als SimpleLogin en Mozilla Relay om ook per site een uniek e-mailadres te hebben. Wachtwoorden kun je in een password manager kwijt.

De password manager en je e-mail beveilig je met sterke 2FA. SMS hoort daar niet bij. De 2FA keys sla je NIET op op je computer. Als die weer infected is, ben je die 2FA ook meteen weer kwijt.

Wachtwoorden sla je ook niet op in je browser. Als deze (je profiel op je disk) gestolen wordt, ben je net zo hard je wachtwoorden kwijt.

En downloads van de zwarte zee test je eerst in een (tijdelijke!) virtuele machine. Mocht er iets exploderen, is alleen de VM kapot. Wel na elke test weer een schone VM neerzetten.

offtopic:
Forum-tip: Quotes kun je tussen [q] en [/] zetten, dat maakt het iets duidelijker dat je iemand quote. Je kunt ook de "splits quote"-knop drukken om een bestaande quote te splitsen (zodat je tussendoor kunt reageren).

[ Voor 15% gewijzigd door Room42 op 03-03-2024 14:47 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zondag 3 maart 2024 15:12

Acties:

0 Henk 'm!

Salvatron

Dispereert niet

Heroic_Nonsense schreef op zondag 3 maart 2024 @ 12:59:
Men start een mailconversatie die niet uit de toon valt tussne de mailconversaties die je normaal voor je werk of hobby voert. Ergens sturen ze je dan een PDF. Die PDF zelf is clean, en komt gewoon door je AV. Maar ergens in die PDF staat een link waar je aandacht naar wordt getrokken. Iets met "lees meer", "download demo" "neem deel aan de actie". Als je daar op klikt, vindt de sessiekaping plaats.

De site achter de link installeert dan een .scr bestand (screensaver container) waarin een EXE zit met de malware. De installatie gaat razendsnel - nog voor jij het doorhebt, staat de sessietoken al op de PC van de aanvaller en zit hij in je account. Daarna is het een kwestie van sleutels en wachtwoorden vervangen.

Werken dit soort dingen ook op linux?

Lucht en leegte, zegt Prediker, alles is leegte.

zondag 3 maart 2024 15:27

Acties:

0 Henk 'm!

Room42

Salvatron schreef op zondag 3 maart 2024 @ 15:12:
[...]

Werken dit soort dingen ook op linux?

Deze specifieke methode waarschijnlijk niet, hoewel Wine niet onvatbaar is voor Windows-virussen, denk ik. Maar dan moet je exe's en scr's ook (automatisch) openen met Wine.

Maar in theorie kun je er op Linux ook ingeluisd worden. Maar dan zal het eerder een lek in je browser zijn die misbruikt wordt.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zondag 3 maart 2024 15:44

Acties:

0 Henk 'm!

Citroentjuh

Room42 schreef op zondag 3 maart 2024 @ 15:27:
[...]

Deze specifieke methode waarschijnlijk niet, hoewel Wine niet onvatbaar is voor Windows-virussen, denk ik. Maar dan moet je exe's en scr's ook (automatisch) openen met Wine.

Maar in theorie kun je er op Linux ook ingeluisd worden. Maar dan zal het eerder een lek in je browser zijn die misbruikt wordt.

Maakt het onder Windows nog verschil of je zonder admin rechten werkt? En blokkeren security suites de download van het kwaadaardige EXE bestaand of is geen bescherming tegen als je eenmaal die link aanklikt?

zondag 3 maart 2024 15:52

Acties:

0 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Salvatron schreef op zondag 3 maart 2024 @ 15:12:
[...]

Werken dit soort dingen ook op linux?

In theorie wel, maar ik heb er nog nooit een in het wild gezien.

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

zondag 3 maart 2024 15:52

Acties:

+1 Henk 'm!

Room42

Citroentjuh schreef op zondag 3 maart 2024 @ 15:44:
[...]

Maakt het onder Windows nog verschil of je zonder admin rechten werkt?

Nee, je kunt onder Windows verdomt veel zonder adminrechten. Wel kun je extra maatregelen nemen, zoals bijvoorbeeld het verbieden van uitvoeren van executables vanuit je %APPDATA% en %TEMP% directories.

En blokkeren security suites de download van het kwaadaardige EXE bestaand of is geen bescherming tegen als je eenmaal die link aanklikt?

Veel malware zal geblokkeerd kunnen worden maar dan moet de user daar wel naar luisteren, natuurlijk. (ik knipoog even naar de TS

). Maar helaas zie je ook daar nog wel eens zulke nieuwe malware dat het gewoon nog niet ontdekt wordt, zoals met Wannacry, destijds. Dat ging overal tussendoor, in het begin.

[ Voor 4% gewijzigd door Room42 op 03-03-2024 15:53 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zondag 3 maart 2024 15:55

Acties:

+1 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Markelijk schreef op zondag 3 maart 2024 @ 13:38:
[...]

Ik heb die 28-2 een programmaatje geprobeerd te downloaden via de illegale zeeën. Windows Defender herkende de download als een threat, en met mijn domme hoofd dacht ik dat het wel oke was en heb ik het toegestaan, wat het dus niet was. Een aantal minuten later heeft Windows Defender die LummaStealer geblokkeerd, maar waarschijnlijk stond het dus al een paar minuten op mijn pc.

Dat programma is inmiddels dus verwijderd. Ik ga regelmatig een volledige scan doen van mijn pc om te kijken of het niet terug is gekomen, geen programma's illegaal meer downloaden, en regelmatig de cookies van mijn pc/smartphone wissen.

Even ter verificatie, je hebt dit gedurende afgelopen dagen geprobeerd, vond dit niet fijn én heb wachtwoorden uit die diensten weer verwijderd maar die wachtwoorden niet aangepast?

Nee, dit is al een langere tijd geleden. Ongeveer een jaar of misschien wel langer geleden, in ieder geval niet recent.

Lumma Stealer pakt geen sessie tokens, maar probeert browserextensies aan te vallen (naas cryptowallets). Dus als jij een browserextensie gebruikt om in te loggen, en Lumma Stealer weet daar een lek in te vinden, dan hang je.

Overigens: formatteer je machine maar. Lumma Stealer heeft ook een payload delivery mechanisme, dus het kan zijn dat er inmiddels een rootkit op je PC staat.

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

zondag 3 maart 2024 16:02

Acties:

0 Henk 'm!

Sissors

Heroic_Nonsense schreef op zondag 3 maart 2024 @ 12:59:
[...]

Men start een mailconversatie die niet uit de toon valt tussne de mailconversaties die je normaal voor je werk of hobby voert. Ergens sturen ze je dan een PDF. Die PDF zelf is clean, en komt gewoon door je AV. Maar ergens in die PDF staat een link waar je aandacht naar wordt getrokken. Iets met "lees meer", "download demo" "neem deel aan de actie". Als je daar op klikt, vindt de sessiekaping plaats.

De site achter de link installeert dan een .scr bestand (screensaver container) waarin een EXE zit met de malware. De installatie gaat razendsnel - nog voor jij het doorhebt, staat de sessietoken al op de PC van de aanvaller en zit hij in je account. Daarna is het een kwestie van sleutels en wachtwoorden vervangen.

Maar mis je nu niet de stap met de grote rode balk of je echt deze .exe wil draaien? Als die stap er niet is, dan kan je dus compleet gehackt worden via één malafide link. Dan is vooral de vraag waarom er nog iemand niet gehackt is, één keer verkeerd klikken, je mail is overgenomen, en van daaruit zo ongeveer al het andere.

zondag 3 maart 2024 16:08

Acties:

0 Henk 'm!

Citroentjuh

Sissors schreef op zondag 3 maart 2024 @ 16:02:
[...]

Maar mis je nu niet de stap met de grote rode balk of je echt deze .exe wil draaien? Als die stap er niet is, dan kan je dus compleet gehackt worden via één malafide link. Dan is vooral de vraag waarom er nog iemand niet gehackt is, één keer verkeerd klikken, je mail is overgenomen, en van daaruit zo ongeveer al het andere.

Dit was ook mijn gedachte, vandaar mijn vraag in hoeverre maatregelen zoals security suite en werken zonder admin rechten hier nog een bescherming in bieden.

zondag 3 maart 2024 16:11

Acties:

0 Henk 'm!

Markelijk

Topicstarter

Heroic_Nonsense schreef op zondag 3 maart 2024 @ 15:55:
[...]

Lumma Stealer pakt geen sessie tokens, maar probeert browserextensies aan te vallen (naas cryptowallets). Dus als jij een browserextensie gebruikt om in te loggen, en Lumma Stealer weet daar een lek in te vinden, dan hang je.

Overigens: formatteer je machine maar. Lumma Stealer heeft ook een payload delivery mechanisme, dus het kan zijn dat er inmiddels een rootkit op je PC staat.

Ah, dat is goed om te weten, bedankt. Ik gebruikte geen extensies om in te loggen, enkel Windows Hello en de Apple verificatie op een Macbook.

Ik heb Malwarebytes geinstalleerd om te kijken of er een rootkit geinstalleerd is, maar hij geeft niks aan. Hij gaf wel enkele "PUP.Optional.Trovi" en "POP.Optional.Conduit" aan bij de Chrome installatie, maar deze zijn dankzij een reset van mijn Google Account (geschiedenis, cookies, etc) verwijderd.

Is Malwarebytes betrouwbaar genoeg om er nu vanuit te gaan dat er geen rootkit is geinstalleerd op mijn pc?

zondag 3 maart 2024 16:16

Acties:

0 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Sissors schreef op zondag 3 maart 2024 @ 16:02:
[...]

Maar mis je nu niet de stap met de grote rode balk of je echt deze .exe wil draaien? Als die stap er niet is, dan kan je dus compleet gehackt worden via één malafide link. Dan is vooral de vraag waarom er nog iemand niet gehackt is, één keer verkeerd klikken, je mail is overgenomen, en van daaruit zo ongeveer al het andere.

Nee, je die EXE wordt via rundll32.dll gestart, en daarmee als systeemhandeling gezien. Men misbruikt eigenlijk de Desktop Control Panel (het ding dat je krijgt als je in Windows 10 een nieuw achtergrondje op je bureaublad wil zetten) om code uit te voeren.

Dat Desktop Control Panel een EXE mag starten via rundll32.dll, heeft er weer mee te maken dat screensavers eigenlijk ook programma's zijn, alleen in een andere vorm dan je als gebruiker gewend bent.

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

zondag 3 maart 2024 16:32

Acties:

0 Henk 'm!

Sissors

Heroic_Nonsense schreef op zondag 3 maart 2024 @ 16:16:
[...]

Nee, je die EXE wordt via rundll32.dll gestart, en daarmee als systeemhandeling gezien. Men misbruikt eigenlijk de Desktop Control Panel (het ding dat je krijgt als je in Windows 10 een nieuw achtergrondje op je bureaublad wil zetten) om code uit te voeren.

Dat Desktop Control Panel een EXE mag starten via rundll32.dll, heeft er weer mee te maken dat screensavers eigenlijk ook programma's zijn, alleen in een andere vorm dan je als gebruiker gewend bent.

Maar ergens moet die src toch geinstalleerd worden? En ik kan me voorstellen dat dat niet zo'n duidelijke melding geeft (zouden ze dan moeten aanpassen). Maar niet enkel en alleen een site bezoeken en willekeure exe files kunnen worden uitgevoerd op je PC.

zondag 3 maart 2024 16:36

Acties:

0 Henk 'm!

Room42

Sissors schreef op zondag 3 maart 2024 @ 16:32:
[...]

Maar ergens moet die src toch geïnstalleerd worden? En ik kan me voorstellen dat dat niet zo'n duidelijke melding geeft (zouden ze dan moeten aanpassen). Maar niet enkel en alleen een site bezoeken en willekeurige exe-files kunnen worden uitgevoerd op je PC.

TS gaf aan dat ie de beveiligingswaarschuwing genegeerd heeft. Mijn aanname is daarmee wel dat ie ook zo vriendelijk is geweest de software als administrator uit te voeren.

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zondag 3 maart 2024 16:36

Acties:

0 Henk 'm!

Heroic_Nonsense

bartonsontheweb.nl

Sissors schreef op zondag 3 maart 2024 @ 16:32:
[...]

Maar ergens moet die src toch geinstalleerd worden? En ik kan me voorstellen dat dat niet zo'n duidelijke melding geeft (zouden ze dan moeten aanpassen). Maar niet enkel en alleen een site bezoeken en willekeure exe files kunnen worden uitgevoerd op je PC.

Dat .scr-bestand wordt als URL opgenomen in een PDF. Omdat Microsoft, ook na al die jaren, .scr-bestanden nog altijd niet van een UAC warning voorziet tenzij je zo'n bestand vanuit een mail probeert te openen, worden die meteen uitgevoerd als je er op klikt.

Such Heroic Nonsense - Proud admin of https://www.bartonsontheweb.nl and owner of https://netstek.nl

zondag 3 maart 2024 16:37

Acties:

+1 Henk 'm!

kodak

FP ProMod

een van de belangrijkste security tips is; geef je security niet prijs. Neem de adviezen tot je en staaf deze aan hoe jij jouw beveiliging geregeld heb, maar ga daar verder niet te diep op in.

security by obscurity kan handig zijn als je meent deze goed onder controle te hebben. Maar het probleem is juist dat daar onzekerheid over is/was. Daarbij toont deze situatie tot nu toe aan dat het vertellen hoe je beveiliging gebruikt niet zomaar een onacceptabel risico geeft. Het is niet alsof er nu heel bijzonder informatie staat, eerder juist wat te verwachten is en niet zomaar onvoldoende is.

Ik zou eerder stellen dat een belangrijke les hier is dat criminelen vaak gebruik maken van heel gemakkelijke kansen. Zoals als mogelijk slachtoffer weinig waarde hechten aan beveiliging en makkelijke kansen blijven bieden tot het mis gaat. Downloaden van onbetrouwbare software en niet letten op redelijk duidelijke aanwijzingen wat de accute problemen zijn geven vooral de gemakkelijke kansen. Zowel het negeren van de antivirus en op alfabet risico beperken tonen niet duidelijk aan dat iemand werkelijk bezig is de eigen risico's als prioriteit te zien. Het lijkt meer op iets willen doen wat op dat moment een goed gevoel geeft of vooral gemakkelijk is.

zondag 3 maart 2024 16:56

Acties:

0 Henk 'm!

Reinier

\o/

Heroic_Nonsense schreef op zondag 3 maart 2024 @ 12:59:
Eerder al viel Linus Tech Tips ten prooi, en gisteren was het de beurt aan GameXplain (inmiddels weer in de lucht).

Matthias Wandel overkwam het ook. Tweemaal

YouTube: How storing passwords let hackers bypass two factor authentication

zondag 3 maart 2024 17:04

Acties:

0 Henk 'm!

Room42

Ja, also: don't autofill passwords.

(Op basis van een hotkey of drop-down is prima, dat is niet tot minder makkelijk te automatiseren door malware.)

[ Voor 59% gewijzigd door Room42 op 03-03-2024 17:05 ]

"Technological advancements don't feel fun anymore because of the motivations behind so many of them." Bron

zondag 3 maart 2024 17:17

Acties:

0 Henk 'm!

True

Dislecticus

kodak schreef op zondag 3 maart 2024 @ 16:37:
[...]
security by obscurity kan handig zijn als je meent deze goed onder controle te hebben. Maar het probleem is juist dat daar onzekerheid over is/was. Daarbij toont deze situatie tot nu toe aan dat het vertellen hoe je beveiliging gebruikt niet zomaar een onacceptabel risico geeft. Het is niet alsof er nu heel bijzonder informatie staat, eerder juist wat te verwachten is en niet zomaar onvoldoende is.

Eens, we hebben het hier niet over de security maatregelen achter de DMZ bij een bedrijf of zo .. We hebben het over een simpele consument die zijn zaken niet op orde heeft. Dan moet je gewoon prijsgeven hoe je met je security zaken omgaat om gedegen advies te krijgen.

Straks heb je iemand die heel veilig z'n keyfile van z'n password manager naast z'n database opslaat en denkt daarmee heel veilig te zijn ..

VW ID.7 Tourer Pro S | 5670 Wp JA Solar - 14x405 33° op Zuid | Twente

zondag 3 maart 2024 18:48

Acties:

0 Henk 'm!

AW_Bos

Liefhebber van nostalgie... 🕰️

Malwarebytes heeft ook een speciale Rootkitscanner: https://www.malwarebytes.com/solutions/rootkit-scanner
Maar 100% zekerheid heb je als je jouw PC volledig opnieuw herinstalleert.

☀️ Goedemorgen zonneschijn! ☀️
☀️Ja, je maakt me zo gelukkig, en door jou voel ik me fijn! ☀️

maandag 4 maart 2024 14:30

Acties:

0 Henk 'm!

Markelijk

Topicstarter

AW_Bos schreef op zondag 3 maart 2024 @ 18:48:
Malwarebytes heeft ook een speciale Rootkitscanner: https://www.malwarebytes.com/solutions/rootkit-scanner
Maar 100% zekerheid heb je als je jouw PC volledig opnieuw herinstalleert.

Bedankt voor je tip. Ik heb hem inderdaad gedraaid en hij gaf geen rootkit of andere virussen meer aan. Ik heb nu mijn volledige ssd's geformatteerd met de Windows Creation Tool op een usb stick. Op die manier kan ik alle partities wissen en Windows opnieuw installeren.

Kan ik nig meer doen om mijn pc volledig te resetten? Iets in de bios/kernel of wat dan ook?

maandag 4 maart 2024 21:39

Acties:

0 Henk 'm!

Markelijk

Topicstarter

Hoi allemaal. Zojuist was het weer zover. Ik kreeg een melding dat de naam van mijn LinkedIn was veranderd, zonder dat ik dat uiteraard zelf heb gedaan. De foto was aangepast, de naam, en de opleiding/werkervaring.

Hoe kan dit komen? Is dit nog een nasleur van afgelopen donderdag? Ik had mijn wachtwoord namelijk al veranderd en mijn pc volledig gereset. Ik heb tweestapsverificatie aan, maar die bleek (nogmaals) geen effect te hebben helaas.

Kan iemand me uit de brand helpen met wat ik nog meer kan doen om dit verder te voorkomen?

Alvast heel erg bedankt!

woensdag 1 januari 2025 00:36

Acties:

0 Henk 'm!

makila

Enige update? Heb je uw issues kunnen oplossen en de hacker definief kunnen blokkeren?

woensdag 1 januari 2025 11:52

Acties:

+3 Henk 'm!

Markelijk

Topicstarter

makila schreef op woensdag 1 januari 2025 @ 00:36:
Enige update? Heb je uw issues kunnen oplossen en de hacker definief kunnen blokkeren?

Hoi Makila,

Zeker. Hierna is er niks meer gebeurd. Het bleek inderdaad zo te zijn dat mijn session tokens waren gestolen door een virus op mijn computer. Het LinkedIn fiasco is het laatste wat er (gelukkig) is gebeurd.

Pagina: 1

Reageer