LINUX.ORG.RU
решено ФорумTalks

Меня пытались взломать, вектор атаки?

 , ,


1

2

История проста: подключился к публичной ТД Wi-Fi в кофейном киоске без VPN через 3 часа на почту приходит уведомление, что вошел с нового устройства Samsung Galaxy S9, которого у меня отродясь не было.

Ну я первым делом я 9-ку «хакирскую» отвязал и пароль сменил.

Вопрос в другом где и как слили данные аутентификации? Вроде везде https… бекдор в роутере, который раздавал wi-fi, dns-спуфинг, что еще?

★★★★★

через 3 часа на почту приходит уведомление, что вошел с нового устройства Samsung Galaxy S9, которого у меня отродясь не было.

Куда «вошел», на гмыло или что?

praseodim ★★★★★ ()
Ответ на: комментарий от Twissel

В какую почту, в гмыло?

Последняя активность хуцкеров в почте совпадает с внешним ip ТД?

И зазырь время твоего входа и входа кулхацкеров, сравни ip и девайсы.

И че у тебя у самого за девайс?

Двухвакторная авторизация у тебя есть?

В случае гмыла, есть ещё доступ для сторонних приложений или девайсов?

В гмыло сам в кафе через бровсер лез? Браузер не орал на левый сертификат?

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 7)
Ответ на: комментарий от praseodim

Как вариант - через видеонаблюдение подсмотрели. Там камера «удачно» не смотрела на тебя?

Ты всегда на смарте пароль чтоль руками вбиваешь для почты? Да ща и двухвакторка во все поля.

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от beastie

Остальной мой сленг конечно тебя не смутил? :)

Мы тут про хуцкеров говорим...

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 1)

Вангую, что роутер, а точнее — недобросовестный хозяин киоска. Слышал, что все эти «открытые» ТД как раз для сниффинга пакетов и воровства аутентификационных данных и создают в основном.

Korchevatel ★★★★★ ()
Ответ на: комментарий от Korchevatel

Но если сессия была шифрованной TLS, то как? По крайней мере должно было быть заметно, что сертификат не валиден.

praseodim ★★★★★ ()
Ответ на: комментарий от praseodim

Подмена сертификата и браузер об этом не предупредил?

Riniko ★★ ()

История проста: подключился к публичной ТД Wi-Fi в кофейном киоске без VPN через 3 часа на почту приходит уведомление

а вдруг эти события не связаны

Harald ★★★★★ ()
Ответ на: комментарий от praseodim

Но если сессия была шифрованной TLS, то как? По крайней мере должно было быть заметно, что сертификат не валиден

Во-во!

Чисто теоретический можно допустить такую атаку: чтоб воспользоваться точкой доступа, нужно вбить номер телефона и ждать смс. Дальше хозяин точки доступа вручную выбивает в гугл номер телефона (типа забыли логин и пароль) и ждёт, когда жертва вобьет номер из смс на местном каптив портал :)

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от Black_Shadow

Он просто прочитал, что такое SNI. Тебе тоже советую.

Ты бы лучше тот тред внимательнее прочитал...

В sni нет инфы о страницах, только хост.

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 2)

Местоположение конечно же совпало? Может у тебя подруга или друг имеют этот самый самсунг?

Enter ()
Ответ на: комментарий от Twissel

Не я пароля ручками не вбивал)

Точно? Может фишинг?

Еще может ты заходил на другой ресурс без https и с тем же паролем?

goingUp ★★★★★ ()
Ответ на: комментарий от Black_Shadow

А когда тебе Captive Portal предложил принять сертификат, ты, конечно же, согласился?

Вот по этому я не пользуюсь всякой шляпой типа MT Free :)

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от Black_Shadow

Не было Captive Portal.

Я зашел всего на один ресурс https://db-ip.com/ пробил ipшник. После чего Гугл прислал смс-ку о попытке несанкционированного доступа, а чуть позже в акк все-таки вошли)

Twissel ★★★★★ ()
Ответ на: комментарий от r_asian

Под вебкамерой я стесняюсь. Да и там такая баристочка, что заниматься нужно явно не прилавком… не было бы вебки и было бы места больше) ;-)

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Сегодня со старого ноута зашел в гуглпочту. Пароли сохранены в браузере. Ноут лежал года три в шкафу. Оказалось почта жены. Ей тут же прилетело кто и откуда зашел. Почему у тебя не так. АйПи адресс разве не показывает?

Enter ()
Ответ на: комментарий от Enter

Не ты не понял. Потом заходили не с роутера. Роутер шарит киевстаровскую оптику.

Если это действительно взлом: то сначала слили данные аутентификации с роутера, сниффером etc.Потом с этими данными со своего мобильного девайса зашли в мой акк.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Возможно. Надо было у Баристы телефончик спросить. Завести роман и вызнать у кого из рабoтников бара или посетителей S9)))

Enter ()

Хоспидя, https, бэкдор, спуфинг … да тупо какая-нибудь фишинговая страница.

У меня знакомый, он тоже учёный, у него 3 класса образования, ну так он за полчаса страницу гугля так сверстает - не отличишь от настоящей! (С)

r_asian ★☆☆ ()
Последнее исправление: r_asian (всего исправлений: 1)
Ответ на: комментарий от vasya_pupkin

В какую почту, в гмыло? Да. Собственно в акк и в гмыло.

Последняя активность хуцкеров в почте совпадает с внешним ip ТД?

Нет.ip мобильного прова. ЧСХ того же, что и у меня.

И че у тебя у самого за девайс?

На тот момент была затычка ZTE Blade A601, с кастомной прошивкой DotOS, максимально отвязанная от гаппсов.

Двухвакторная авторизация у тебя есть?

На тот момент не было)

В гмыло сам в кафе через бровсер лез? Браузер не орал на левый сертификат? В гмыло могло полезть то самое приложение K9 Mail, сам браузер нет не орал. В кафе алкогольные напитки не продают, хотя я бы такое даже бухим не завтыкал))

В случае гмыла, есть ещё доступ для сторонних приложений или девайсов?

Только для ноута, который был дома выключен и для приложения почты K9 Mail с того же девайса.

Twissel ★★★★★ ()
Ответ на: комментарий от Twissel

Глянуть ip бота, который ломился на один сайтик)

У вас совсем туго с мобильным интернетом, чтоб подключаться к ТД хрен знает где? Я то думал, ты порево в 4к там сел качать.

vasya_pupkin ★★★★★ ()
Ответ на: комментарий от Twissel

Ещё версия, когда ты по мобильному инету ломишься, то всякие левые сайты могут получить твой номер телефона, а дальше сам понимаешь :)

Не думаю, что точка доступа в кафе виновата.

И кстати, смска то с какого номера тебе пришла?

vasya_pupkin ★★★★★ ()
Последнее исправление: vasya_pupkin (всего исправлений: 1)
Ответ на: комментарий от Twissel

Ну, хз, мож редиректнул на какой-нибудь g00gle.com. А может у тебя на телефоне в корневых сертификатах браузера лежит какой-нибудь мейд ин СБУ, нам вон уже давно обещают продавать телефоны только с предустановленным отечественным ПО (есть мнение, что это будет именно яндекс-браузер). Так что с самсунга какрй-нибудь товарищ майор заходил. А вход через халявный wi-fi роутер - чисто совпадение.

p.s. как страшно жыть.

r_asian ★☆☆ ()
Последнее исправление: r_asian (всего исправлений: 1)
Закрыто добавление комментариев для недавно зарегистрированных пользователей (со score < 50)