Google konto hacket, hva nå?

[Malmern]

tflovik skrev (20 minutter siden):

Å klikke det er meg eller ikke skaper neppe et problem, det er å trykke på en lenke der du deretter trykker inn brukernavn passord og kanskje andre kontorelaterte ting som gjør at slike svindlere får tilgang til kontoen.

Hvis du få ren melding som sier den er fra google om at noen har prøvd å logge inn og du deretter ser en link for å resette/verifisere innloggingsdata er ikke noe som google vil sende deg. Da må man i sredet gå i en nettleser og direkte til google og gjøre slike ting derfra, da er man sikker på at man er hos google.

Men nå har jeg ikke klikket noen lenker i melding eller epost og tastet inn kontonavn og passord,
noensinne i mine nesten 30 år med PC-bruk.

Uansett så var den kliss lik en legitim Google 2FA som jeg benyttet meg av hver gang jeg logget inn fra ett nytt sted,
det er jo der utfordringen var, burde selvfølgelig ignorert den i stedet for å klikke "No, it wasn't me."
men da var skaden allerede gjort.

Passordet i seg selv har tydeligvis kommet på avveie eller blitt genuint hacket,
eventuelt så er det en svakhet i google sitt system de har utnyttet.

Endret 7. januar av Malmern

[tflovik]

Malmern skrev (13 minutter siden):

Men nå har jeg ikke klikket noen lenker i melding eller epost og tastet inn kontonavn og passord,
noensinne i mine nesten 30 år med PC-bruk.

Uansett så var den kliss lik en legitim Google 2FA som jeg benyttet meg av hver gang jeg logget inn fra ett nytt sted,
det er jo der utfordringen var, burde selvfølgelig ignorert den i stedet for å klikke "No, it wasn't me."
men da var skaden allerede gjort.

Passordet i seg selv har tydeligvis kommet på avveie eller blitt genuint hacket,
eventuelt så er det en svakhet i google sitt system de har utnyttet.

Oi da skjønner jeg og det høres jo skummelt ut, skal huske på selv hvis jeg noensinne får en melding om at noen prøver å logge inn på min google konto og jeg vet at det ikke er meg og aldri klikke i den.

 

Endret 7. januar av tflovik

[arne22]

16 hours ago, Malmern said:

Uansett så var den kliss lik en legitim Google 2FA som jeg benyttet meg av hver gang jeg logget inn fra ett nytt sted,
det er jo der utfordringen var, burde selvfølgelig ignorert den i stedet for å klikke "No, it wasn't me."
men da var skaden allerede gjort.

Ja, den var virkelig spesiell. Har forsøkt å sjekke opp i diverse sikkerhetsblogger men har ikke funnet noen tilfeller som har vært identisk lik. Det som jeg der i mot har funnet, det er veldig mange eksempler på malware for Android, som medfører at hacker kan overta kontroll over telefonen. Spredningsmekanismen er ofte at man mottar en SMS eller en melding av en eller annan type, og så takker man for eksempel nei til ett eller annet tilbud, og så har skaden mer eller mindre skjedd.

Her er bare et tilfeldig eksempel på en slik malware som har vært rapportert i forholdvis nyere tid:

https://www.proofpoint.com/us/blog/threat-insight/mobile-malware-tanglebot-untangled

Har man først fått installert en malware av denne typen, så er det selvfølgelig mulig for hacker, å kunne få opp et skejrmbilde som ser identisk lik ut med Google sitt orginale skjermbilde. Litt spesielt at et enkelt klikk på en sannsynlig "falsk knapp" var nok til å endre eierskapet til kontoen.  Kan vanskelig se at det finnes andre fornuftige muligheter.

Hvis dette er riktig, så er det en høy sannsynlighet for at angrepet har skjedd i flere trinn, og at siste falske skjermbilde bare var det siste i rekken, som avsluttet angrepet ved at kontoen ble overtatt.

Det betyr jo i så fall at malware fortsatt befinner seg på telefonen og at den fortsatt kan sende ut data til C2 server, som overvåkes av hacker. Nytt angrep kan jo da også være mulig, og det nye angrepet behøver vel ikke å være likt med det forrige. Derfor så bør vel denne telefonen gjennom en "factory reset". (Som man vanligvis kan gjøre selv, uten større problemer.)

I de fleste slike tilfeller så er man vel et tilfeldig offer ved at man sender ut ti tusenvis av falske spam eller SMS, og så er det en liten prosent eller en promille, som kommer til å klikke feil, slik at man blir infisert. Infisert programvare fra Google store, som ennå ikke har blitt oppdget, er jo en annen variant.

I de fleste tilfeller så vil man jo være et mer eller mindre tilfeldig offer, men hvis man man er en veldig viktig person, i kraft av stilling eller den man er, så kan man jo bli utsatt for målrettede angrep mot en selv. Eksempel på en slik variant, som har vært litt i nyhetene: 

https://www.avast.com/c-pegasus-spyware

Ellers litt generell info omkring problemstillingen med Google konto som har blitt hacket:

https://moonlock.com/gmail-hacked

Endret 8. januar av arne22

[Olvis]

Malmern skrev (På 6.1.2024 den 9:03 PM):

2FA varselet så slik ut:

Forstår jeg dette rett, at dere mener at ved å trykke noe som helst ved bekreftelsesvarselet fra Google – så har man iverksatt en overlevering av kontoen sin til hackeren? Det virker helt utrolig for meg.

"Hackingen" må jo ha skjedd i forkant, eller i det, varselet kom. Jeg går ut ifra at varselet er ekte, men at hackeren kanskje har kontroll på tofaktorløsningen på en eller annen måte.

[arne22]

3 hours ago, Olvis said:

Jeg går ut ifra at varselet er ekte

Varslet kan jo ikke være ekte. Det inneholder en helt annen fuksjonalitet enn det som er i det ekte varselet. Det ser ekte ut, men fungerer sannsynligvis på en helt annen måte.

Det å lage skjembilder som ser helt ekte ut, det er jo i seg selv forholdvis enkelt.

[Olvis]

Men hvis de får til å sende et slikt falskt varsel, hadde de vel allerede kontroll over telefonen? Så hva var vitsen med det?

Og hvorfor kan det ikke være ekte, egentlig?

[overhodet]

Varselet var mest sannsynlig ekte. Hackeren klikket ja på det via fjernstyring av telefonen via trojansk hest.

Dette er en kjent metode der utenlandske vinningskriminelle tar kontroll over bank id på mobil og tømmer kontoen mens du sover. Dette har skjedd flere ganger her i Norge.

https://no.kaspersky.com/resource-center/threats/how-to-stop-phone-hacking

 

[Malmern]

overhodet skrev (6 timer siden):

Varselet var mest sannsynlig ekte. Hackeren klikket ja på det via fjernstyring av telefonen via trojansk hest.

Dette er en kjent metode der utenlandske vinningskriminelle tar kontroll over bank id på mobil og tømmer kontoen mens du sover. Dette har skjedd flere ganger her i Norge.

https://no.kaspersky.com/resource-center/threats/how-to-stop-phone-hacking

 

Spørsmålet er hvordan de har klart å innstallere en trojansk hest,
har ikke klikket på lenker i sms eller epost,
surfer også veldig lite på telefonen.

En annen detalj er at det var tilknyttet en annen google konto til telefonen(Ja, jeg har selvfølgelig byttet passordet på denne.),
men den har ikke blitt berørt, er ikke da sjansen enda mindre for at det er snakk om trojaner?

Endret 8. januar av Malmern

[arne22]

4 hours ago, Malmern said:

En annen detalj er at det var tilknyttet en annen google konto til telefonen(Ja, jeg har selvfølgelig byttet passordet på denne.),

Det er jo en ny opplysning som endrer historien noe og som legger til rette for en ny angrepsvektor, som kan ha blitt brukt. 

Mener at historien også inneholder en slags "moral" som også kan brukes:

Jo mer komplekst og sammensatt et system blir, desto flere risikofaktorer bygger man inn i systemet. 

Hvis man vil ha et mail system med en høy grad av sikkerhet, da bør man bruke en mail løsning som er en mail-løsning og ingen ting annet. Mail løsningen bør ikke være integrert inn i noen andre produkter og det bør finnes et enkelt og pålitelig system for å kunne gjennopprette konto og data, ved hackerangrep og andre feil.

Et alternativ vil selvfølgelig også være å disponere et bedriftsabonement av en "sammensatt tjeneste", slik at man selv kan være administrator og sørge for en nødvendig grad av sikkerhet for brukerkontoene, mht bacup av data, hente tilbake kontoer som har blitt hacket, osv.

Som bruker så bør det alltid være "et sted å gå" slik at man helt sikkert får hjelp ved tap av data, rettigheter til brukerkonto, osv.

Endret 9. januar av arne22