Google konto hacket, hva nå?

[mobile999]

Malmern skrev (23 minutter siden):

Problemet er å finne kontaktinfoen til Google support

Det finnes ingen support.

Se om dette er til hjelp:

https://gmailaccountrecovery.blogspot.com/

[arne22]

9 hours ago, Malmern said:

Det er svært usannsynlig at telefonen var infistert av trojan ihvertfall,
jeg innstallerer nye apper svært sjeldent og har skjønt at det primært dreier seg om såkalte optimizers, datingapper etc. som jeg aldri har innstallert på telefonen,
er fortsatt usikker på hvordan de forbigikk 2FA uten å bruke en trojan.

Jeg er vel tilbøyelig til å være enig i at hvis man gjennomgående er forsiktig med hva man klikker på, og takker ja til, så er det i alle fall ikke en veldig vanlig casus at mobiltelefoner blir overtatt vha RAT/C&C server.

Den mest vanlige måten å bruke dette prinsippet for hacking på, det er vel ved masseutsendelse av mail hvis man typisk blir oppfordret til å klikke på en linke, eller å sende inn et svar. Når man så klikker "ja" så initierer man installasjonen av RAT. Noen ganger så skjer ikke installasjonen av RAT direkte, men ved at "RAT programvare" lastes ned i en cache på PC. Samtidig så er opplegget slik at det er lagt til rette for at brukeren i vannvare og på et senere tidspunkt skal komme til å aktivisere installasjonsprogrammet i cachen.

Når man sender ut titusen vis av spam, så er det 0,1 % som lar seg lure, men det kan jo fort bli til mange hundre. Når RAT kit er installert så oppretter RAT kit automatisk forbindelse til Command and Controll server. Hacker kan så logge seg inn på sistnevnte og se for eksempel hvilke 2-300 PC'er rundt om i verden, som det det nå er "fritt fram" å ta kontroll over.

Prinsippet skulle jo i teorien kunne brukes på mobiltelefoner også, men kan i farta ikke komme på rapporterte tifeller, som jeg vet om.

Så er det jo å resonere litt over: Hvilke andre metoder finnes det til å komme forbi 2FA enn ved bruk av RAT/C&C-server ?

Da er man vel over på metode enn å hente ut passord og å bekrefte 2FA, som lett men ikke nødvendigvis kan peke på folk i ens nærhet det er jo ved å hente ut påloggingscoockies fra nettbrowser. Når man logger seg på en konto med en eller 2FA, så lages det jo en "datakapsel" eller "cockie" som forteller at man er pålogget, eller at man ikke behøver å bruke 2FA neste gang. Disse "påloggingscokies" kan stjeles, og da kan det vel være mulig å omgå 2FA. Metoden kan jo også kombineres med bruk av  RAT/C&C-server.

En annen litt mer praktisk og lettvint måte å få tilgang til "påloggingscockie" det er jo hvis man har vært logget inn på en PC eller en "dataenhet" som brukes av mange, for eksempel et offentlig bibliotek, webcafe eller noe slikt. Neste man som logger seg inn på google mail, kan så finne ut at enheten viser seg å allerede være pålogget. (Ved at de gamle påloggingscockiene ikke har blitt slettet.)

Så det siste alternativet, som kanskje vanligvis er det mest sannsynlige.

Man har lagt fra seg PC/Mobiltelefon i et område der flere personer har tilgang. Mens man er et ærend ute i kantina eller på toalettet eller noe slikt, så bruker noen ditt utstyr til å ta kontroll over din konto. Dette kan jo selvfølgelig skje "innenfor familien" også. En tredje variant av dette, det er jo i forbindelse med en litt fuktig tur på byen eller "nachspill". 

Forskjellige hackermetoder medfører jo forskjellig grad av kostnadsnivå for den som skal utføre dem. Hvis man er "mannen i gata" så kan man ikke forvente å bli påkostet veldig avanserte og kostbare metoder for "individuell hacking".

En variant som også kan nevnes, det er jo at en del tjenester på nett gir tilbud om "vil du bruke din Google konto for pålogging". Når dette fungerer riktig, så er dette sikkert en bra metode, men som alt annet så vil det jo kanskje være mulig å misbruke denne metoden, for å stjele påloggingsdata.

Spørsmål til den som måtte vite noe om det:

Google er jo nå i ferd med å fase ut bruk av cockies i forbindelse med bruk til markedsføring og reklame. Er det noen som aner om dette vil ha betydning for det som går på bruk av cockies i forbindelse med pålogging ogsikkerhet?

 

Endret 6. januar av arne22

[arne22]

On 18.12.2023 at 2:43 AM, Malmern said:

Det er forøvrig sånn jeg ble varslet,
fikk beskjed om at "jeg" prøvde å logge inn fra ett ukjent sted,
trykte "Nei.", men ble fortsatt logget inn ett annet sted.

Prøvde febrilsk å bytte passord,
men vedkommende byttet passordet i løpet av noen få sekunder.

Her står det jo hva som sannsynligvis skjedde. Se på innlegget over for hvordan det kan ha skjedd.

Hva skulle man ellers gjort? Latt være å klikke. I forbindelse med "phishing", så kan vel "nei" godt bety "ja". En falsk melding om at noen forsøker å logge seg på, for så å oppnå et klikk på "nei", det kunne jo for så vidt være en litt lur metode, fra hacker sin side, for å oppnå en falsk pålogging eller bekreftelse. 

Svaret på "hvordan kom hacker seg forbi 2FA", det kan jo for eksempel være: På grunn av at du klikket "nei" som svar på en falsk melding om at noen forsøkte å logge seg på konto. Ved at det ble klikket "nei" på falsk melding, så kunne hacker overta kontrol over konto. Det er jo i alle fall en mulighet.

Ellers så ser jeg ikke at Google sin generelle supportside er linkt opp i diskusjonen over. Det skal visst også være mulig å poste spørsmål å få svar (Har aldri bruk denne.)

https://support.google.com/

Endret 6. januar av arne22

[arne22]

Dette sier Google sin AI (Bard):

The website you linked, https://support.google.com/, is Google's main hub for self-help information and support for all of their various products and services. Its purpose is to provide users with the resources they need to troubleshoot issues, learn about features, and find answers to their questions on their own, without having to directly contact Google support.

Here are some key ways it serves this purpose:

• Comprehensive knowledge base: The website houses a vast library of articles, tutorials, and troubleshooting guides covering a wide range of Google products, from Gmail and YouTube to Pixel phones and Google Search.
• Search functionality: Users can easily search the knowledge base for specific issues or keywords to quickly find relevant information.
• Community forums: The website includes active forums where users can connect with each other, share experiences, and offer peer-to-peer support.
• Contact options: For situations where self-help resources are not sufficient, the website provides various contact options, including live chat, phone support, and email, to connect with Google support specialists.
• Multilingual support: The website is available in multiple languages, catering to a global audience.

Overall, https://support.google.com/ empowers users to solve their problems independently and provides a central point of access for all of Google's support resources. It aims to be a one-stop shop for learning about and troubleshooting Google products and services.

I hope this clarifies the purpose of the website!

[arne22]

On 18.12.2023 at 2:43 AM, Malmern said:

Telefonforespørsel.

Det er forøvrig sånn jeg ble varslet,
fikk beskjed om at "jeg" prøvde å logge inn fra ett ukjent sted,
trykte "Nei.", men ble fortsatt logget inn ett annet sted.

Hvordan framkom denne telefonforespørselen? Som SMS, som melding pr mail, Facebooklient, eller noe annet?

Når man klikket "nei", så kandet vel ikke være en samtale, men "noe å klikke på" (?!)

[Phantom Software]

Man kan dessverre også bli hacket uten å gjøre noe galt selv for tiden.

Endret 6. januar av Phantom Software

[arne22]

3 hours ago, Phantom Software said:

Man kan dessverre også bli hacket uten å gjøre noe galt selv for tiden.

Den muligheten har eksistert siden tidenes morgen (tidligere ganske vanlig spredningmekanisme for virus). Spredningmekanismene har jo blitt studert og man har gjennomført tiltak for sikring, så denne metoden er vel litt mindre i bruk, nå for tiden.

Unntak: Spredning av malware gjennom infisert minnepinne. Metode som fortsatt er i bruk. 

Edit:

Her er eksempler på malware som har vært i bruk gjennom den senere tiden. I begge tilfeller så er det jo snakk om å lure "offret" til å installere malware, men lureriet kan for eksempel være kamuflert som "software update" slik at det kanskje ikke er så godt å vite når man blir infisert.

I de artiklene som er linket opp så bruker de begrepet C2 server. Det er vel det samme som en "Control and Command server", altså den type server som brukes sammen med en RAT trojan.

https://securityscorecard.com/research/detailed-analysis-redline-stealer/

https://www.proofpoint.com/us/blog/threat-insight/part-1-socgholish-very-real-threat-very-fake-update

Endret 6. januar av arne22

[Theo343]

Lenge siden jeg har brukt google support. Var i en kort periode for flere år siden hvor jeg hadde google wifi (forferdelig produkt). Jeg mener å huske jeg da hadde en chat med de. 

Eller hadde vært interessant å få se mer av hvordan 2F varselet kom.

[Malmern]

Theo343 skrev (10 timer siden):

Lenge siden jeg har brukt google support. Var i en kort periode for flere år siden hvor jeg hadde google wifi (forferdelig produkt). Jeg mener å huske jeg da hadde en chat med de. 

Eller hadde vært interessant å få se mer av hvordan 2F varselet kom.

2FA varselet så slik ut:

[mobile999]

Og hva skjedde da du trykket på "No, it's not me"?

Var telefonen i bruk eller ikke i bruk da varselet kom?

[arne22]

Dette blir jo litt gjetting, det er jo ikke godt å si noe sikkert, men:

Meldingen kommer opp på mobiltelefonen og ser ut som Google sin orginale melding for å bekrefte en pålogging.

Med en gang man klikker på "No it's not me" så overtar andre kontrollen over kontoen.

Er det da sannsynlig at dette er en "original melding" fra Google med "original funksjonalitet"?

Det kan vel se ut som at det ved hjelp av RAT/C2-server, vha en app, eller på en eller annen måte, så har man klart å skape et "falskt skjermbilde" som der ut som en melding fra Google, med innebygd funsjonalitet, som er slik at når man velger å klikke "No it's not me", så gir man andre rettighet til å overta kontoen.

Høres jo litt søkt og som noe som ikke er så veldig vnlig, men er det andre som ser andre forklaringsmodeller?

 

 

 

[Malmern]

mobile999 skrev (56 minutter siden):

Og hva skjedde da du trykket på "No, it's not me"?

Var telefonen i bruk eller ikke i bruk da varselet kom?

Jeg brukte telefonen når varselet kom.

Det som skjedde var at jeg fikk beskjed om at passordet hadde blitt bytta etter 1 minutt eller 2,
prøvde da å resette passordet ved å trykke "glemt passord" og verifisere via 2FA,
fikk da bare en feilmelding.

Ikke lenge etterpå så var telefonnummeret mitt byttet ut og vedkommende hadde satt opp en usb-nøkkel som 2FA metode.

Endret 6. januar av Malmern

[mobile999]

Har du fått sjekket om datamaskinene du har brukt har fått malware?

[Malmern]

mobile999 skrev (1 time siden):

Har du fått sjekket om datamaskinene du har brukt har fått malware?

Har en stasjonær og en bærbar,
har skannet begge med malwarebytes og malicious software removal tool,
ingen av de fant noe.

Endret 7. januar av Malmern

[arne22]

1 hour ago, Malmern said:

Har en stasjonær og en bærbar,
har skannet begge med malwarebytes og malicious software removal tool,
ingen av de fant noe.

Kan ikke helt forstå hvordan en malware på PC skulle kunne gi som resultat at du klikker på "It's not me" på mobiltelefonen og så det medfører at noen andre kan overta kontroll over kontoen. Synes at det eneste som kan gi en rimelig forklaring, det er at det er telefonen som på en eller annen måte har blitt infisert. Den meldingen som skulle være fra Microsoft, den fungerte jo ikke slik som den skulle. 

Men hva med telefonen, kjører den nå på en Google-konto som er kontrolert av andre? Kommer du da inn på telefonen?

Skal tro om det fungerer med en "factory reset" på telefonen hvis man ikke har tilgang? Hvordan er det løst?

[Malmern]

arne22 skrev (27 minutter siden):

Kan ikke helt forstå hvordan en malware på PC skulle kunne gi som resultat at du klikker på "It's not me" på mobiltelefonen og så det medfører at noen andre kan overta kontroll over kontoen. Synes at det eneste som kan gi en rimelig forklaring, det er at det er telefonen som på en eller annen måte har blitt infisert. Den meldingen som skulle være fra Microsoft, den fungerte jo ikke slik som den skulle. 

Men hva med telefonen, kjører den nå på en Google-konto som er kontrolert av andre? Kommer du da inn på telefonen?

Skal tro om det fungerer med en "factory reset" på telefonen hvis man ikke har tilgang? Hvordan er det løst?

Oppretta bare en ny google konto,
telefonen ble ikke låst da den gamle kontoen ble logget ut,
fikk bare ikke tilgang til play store og lignende,
alle innstallerte apper ble værende etter å ha logget inn med ny google konto.

[arne22]

Det var jo godt at ikke telefonen endte opp med å bli låst.

Da ville jeg nok kjørt en factory reset for å få vekk eventuell malware som kan ligge der. Historien bør jo helst ikke gjenta seg. 

Det er jo ellers veldig nyttig å bli mint på at hacking av Google konto faktisk er noe som kan skje. Det er egentlig fort gjort å bruke den til for mye og å gjøre seg "for avhengig". 

Endret 7. januar av arne22

[tflovik]

Malmern skrev (10 timer siden):

Jeg brukte telefonen når varselet kom.

Det som skjedde var at jeg fikk beskjed om at passordet hadde blitt bytta etter 1 minutt eller 2,
prøvde da å resette passordet ved å trykke "glemt passord" og verifisere via 2FA,
fikk da bare en feilmelding.

Ikke lenge etterpå så var telefonnummeret mitt byttet ut og vedkommende hadde satt opp en usb-nøkkel som 2FA metode.

I dette tilfellet så har jeg mest tro på at meldingen du fikk på telefonen din ikke var ekte og at de bruke det du tastet inn av opplysninger til å overta kontoen. Bruk aldri slike lenker i meldinger eller mail. Du skriver ikke at meldingen inneholdt en lenke, det er noe jeg antar og jeg kan selfølgelig ta feil.

[Malmern]

tflovik skrev (5 timer siden):

I dette tilfellet så har jeg mest tro på at meldingen du fikk på telefonen din ikke var ekte og at de bruke det du tastet inn av opplysninger til å overta kontoen. Bruk aldri slike lenker i meldinger eller mail. Du skriver ikke at meldingen inneholdt en lenke, det er noe jeg antar og jeg kan selfølgelig ta feil.

Problemet er at den var helt lik en legitim 2FA melding fra google,
kke lett å tenke så klart klokka 4 på natta når man ligger i halvsøvne og surfer,
man må jo bruke den lenken når man faktisk skal logge inn,
med mindre man bruker en annen 2FA metode.

Det er forøvrig ett bilde litt tidligere i tråden som viser hvordan den så ut.

Men ja, det er strengt tatt lenker man trykker på,
en som sier "No, it's not me." og "Yes".

Endret 7. januar av Malmern

[tflovik]

Malmern skrev (2 minutter siden):

Problemet er at den var helt lik en legitim 2FA melding fra google,
kke lett å tenke så klart klokka 4 på natta når man ligger i halvsøvne og surfer,
man må jo bruke den lenken når man faktisk skal logge inn,
med mindre man bruker en annen 2FA metode.

Det er forøvrig ett bilde litt tidligere i tråden som viser hvordan den så ut.

Men ja, det er strengt tatt lenker man trykker på,
en som sier "No, it's not me." og "Yes".

Å klikke det er meg eller ikke skaper neppe et problem, det er å trykke på en lenke der du deretter trykker inn brukernavn passord og kanskje andre kontorelaterte ting som gjør at slike svindlere får tilgang til kontoen.

Hvis du få ren melding som sier den er fra google om at noen har prøvd å logge inn og du deretter ser en link for å resette/verifisere innloggingsdata er ikke noe som google vil sende deg. Da må man i sredet gå i en nettleser og direkte til google og gjøre slike ting derfra, da er man sikker på at man er hos google.