Интересно хакване на фейсбук профила ми.

[Stoi2]

Темата не е за съвет как да си възстановя профила, а по скоро ми е интересна как го хакнаха при положение , че бяха включени всички възможни защити.

Имамах включена двуфакторна защита по телефонен номер, сложна парола и т.н . Пощата също не са ми я разбивали и нямаха достъп до нея. Имаше и пусната защита да не се влиза от други устройства и браузъри освен от тези които съм разрешил Т.е беше направено всичко възможно , но пак се получи пробив. По време на пробива единственото устройство с работещ фейсбук беше телефона ми. 

Та на 13-ти сутринта се променя профилната ми снимка с някаква ислямска пропаганда и след 5 минути от фесбук ми деактивират профила. Не ми идва никакво известине на телефона или на пощата за непозволен достъп или нещо друго нередно преди това. 

От логовете на фейсбук които успях да изтегля се вижда това:

Вичко започва на янр 13, 2023 11:46:23 сутринта с влизане пробив и смяна на парола от IP адрес 174.26.1.202 намиращ се в Аризона град Phoenix
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Password Change
Час
фев 12, 2023 11:46:24сутринта
IP адрес 174.26.1.202
Браузър Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Бисквитка KLNK********************
Град Phoenix
Регион Arizona
Държава US
Сайт www.facebook.com
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

От друг лог се вижда че смяната на паролата е станала след друг пробив хто Аризона след премахване на телефонния ми номер от двуфакторната защита.

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
Remove Phone Number
Създадено
фев 12, 2023 11:46:08сутринта
IP адрес
174.26.1.202
Браузър
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
Бисквитка
KLNK********************
Previous phone number +359889228***
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

Това което прави впечатление, е че е засечена използването на една и съща бисквитка KLNK********************

В лога за бисквитките пък има следния запис
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%
KLNK********************
фев 12, 2023 11:46:24сутринта
фев 12, 2023 11:42:17сутринта
фев 03, 2023 9:46:29сутринта
декември 13, 2022 10:55:56сутринта
ноември 01, 2022 2:24:26вечерта
окт 13, 2022 9:28:35сутринта
септ 20, 2022 3:19:39вечерта
авг 15, 2022 10:41:55сутринта
авг 04, 2022 10:34:37сутринта
юни 27, 2022 8:32:56сутринта
юни 16, 2022 8:44:29сутринта
юни 02, 2022 11:07:58сутринта
май 25, 2022 8:40:10сутринта
май 09, 2022 4:27:55вечерта
април 28, 2022 11:20:55сутринта
април 18, 2022 8:48:41сутринта
април 14, 2022 12:38:05вечерта
април 11, 2022 10:41:24сутринта
април 04, 2022 12:04:32вечерта
фев 12, 2023 11:47:43сутринта
фев 12, 2023 11:46:25сутринта
фев 12, 2023 11:46:24сутринта
фев 12, 2023 11:46:08сутринта
фев 12, 2023 11:46:08сутринта
фев 12, 2023 11:46:08сутринта
фев 12, 2023 11:44:35сутринта
фев 12, 2023 11:44:35сутринта
фев 12, 2023 11:44:35сутринта
фев 12, 2023 11:44:35сутринта
%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

Т.е данни за тази бисквитка има още през 2022 не е нова
Общо взето според мен е ползвана някаква дупка в защитата от някоя бисквитка , която са ползвали хакерите. От там деактивират двуфакторото потвърждение и телефонния ми номер, сменят паролата пак по някакъв начин без да имат достъп и до пощата ми, което е супер странно и после поемат контрол над фейса.
Познанията не ми стигат до толкова че а проследя тази бисквитка от кой сайт ми се е лепнала и какво представлява точно този хак и дали изобщо е от нея
Някой ако има познания да помогне.
Идеята е че колкото и да внимаваш , каквито и ключове, пароли и т.н да слагаш , все има някаква дупка която някой добър хакер може да ползва.
Някакви идея как да проследя тази бисквитка от къде е дошла и дали изобщо е станало от нея ?

 

[Rammkopf]

Или си ходил по съмнителни сайтове, които са гребали в курабийките ти, или някъде са ти играли waterhole атака, в често посещаван (и уязвим) сайт.

[Звяра!!!]

Луизиана, Монро и двете айпи-та са регистрирани на един адрес!

Най-вероятно сте хванали нещо, което е изпратило информация за паролата ви!

[Rammkopf]

преди 17 минути, ДзВяРа! написа:

Най-вероятно сте хванали нещо, което е изпратило информация за паролата ви!

Дори и да беше така, 2-factor няма как да го избегнеш. Нали това е смисълът от него?

Някой хакер може и да ме цапне с учебника по главата сега, но 2FV, поне доколкото се простират мойте скромни знания по cloud security, може да се заобиколи само с експлоатирането на неприключена сесия, посредством курабийка. Затова, за да няма такива ексцесии, забранявам по всичките си устройства всякакви 3rd party cookies и ако се касае за много чувствителна информация, ползвам private mode, да не остават ни бисквити, ни солети, ни бонбони в кеша.

[Stoi2]

Интересно как я деактивираха двуфакторната, като никъде не съм получил нищо за потвърждение  нито на пощата нито на телефона. Може ли просто да се отмени така без никакво потвърждение ? ако е така то това е доста тъпо. Разбирам да ми бяха разбили пощата и да ставаше този номер, но след като са нямали достъп до пощата и телефона то как се е случила деактивацията да двуфакторната 

иначе я проследих я въпросната бисквитка до:

 

 

 

[Звяра!!!]

Ето ти го отговора на всички въпроси, за да не пиша направо ще ти покажа едно клипче! Слушай внимателно какво казват след 3-та минута и виж колко лесно се краде профил.

 

Free WIFI!

[vlado1985]

преди 5 минути, ДзВяРа! написа:

Ето ти го отговора на всички въпроси, за да не пиша направо ще ти покажа едно клипче! Слушай внимателно какво казват след 3-та минута и виж колко лесно се краде профил.

 

Имаш в предвид сигурно фишинг атака но дори и да му бъде изпратен фалиш линк на който да кликне. Ако само е отворил човека фалшивия линк без да си въведе данните атакуващия няма да получи нужните данни за вход.

[Звяра!!!]

преди 3 минути, vlado1985 написа:

Имаш в предвид сигурно фишинг атака но дори и да му бъде изпратен фалиш линк на който да кликне. Ако само е отворил човека фалшивия линк без да си въведе данните атакуващия няма да получи нужните данни за вход.

Имам предвид безплатен интернет, мрежа, Free WIFI! Кой българин не се възползва от такова чудо?

[vlado1985]

преди 1 минута, ДзВяРа! написа:

Имам предвид пезплатен интернет, мрежа, Free WIFI! Кой българин не се възползва от такова чудо?

Дори и да се е свързал към отворена wifi мрежа вероятноста за успех на фишинг атака не е много голяма. Дори лицето жертва да е отворило само фалшивия линк но без да си въвежда данните.

@Stoi2Няма да е лошо да споделите дали сте давали на познат приятел нещо да има достъп до машината ви било то да иска да си провери поща нещо или каквото и дае. Защото не изключвам вероятноста и да има шпионин в компютъра ви като например keylogger.

[Звяра!!!]

преди 2 минути, vlado1985 написа:

 

@Stoi2Няма да е лошо да споделите дали сте давали на познат приятел нещо да има достъп до машината ви било то да иска да си провери поща нещо или каквото и дае. Защото не изключвам вероятноста и да има шпионин в компютъра ви като например keylogger.

backdoor

[Stoi2]

преди 57 минути, vlado1985 написа:

Дори и да се е свързал към отворена wifi мрежа вероятноста за успех на фишинг атака не е много голяма. Дори лицето жертва да е отворило само фалшивия линк но без да си въвежда данните.

@Stoi2Няма да е лошо да споделите дали сте давали на познат приятел нещо да има достъп до машината ви било то да иска да си провери поща нещо или каквото и дае. Защото не изключвам вероятноста и да има шпионин в компютъра ви като например keylogger.

@vlado1985 Не ползвам WIFI , камоли някой FREE  .  на телефона съм само през мобилния нет , а на стационалния е кабелен.  В момента на хакването настолния е бил в заключена сграда , а телефона бе в мен. 

Иначе не съм толкова тъп че да си вкарам паролата в някой имитиращ сайт  Ползвам интернет още от ерата на bulletin board systems BBS и  когато само БТК-то беше доставич в България. Знам много добре как да се пазя. Паролата за фейсбук последно съм я вкарвал преди повече от година.   Камоли пък да отворя линк от вайбър , поща или съобщение.  Веднага проверих и компютъра и телефона за някакви вируси и пуснах пълно сканиране дори под ДОС на настолния и нищо..никакви keylogger -и  и т.н Ако имаше keylogger щяха да ми хакнат и пощата и какво ли още не. 

 В случая някой много професионално проникна  и мира не ми дава как са го направили.

@ДзВяРа!Това от клипчето на ВЕСТИ БГ е доста лаишки метод. Трябва да ми опрат пистолет в челото че да се хвана. 

[Звяра!!!]

преди 2 часа, Stoi2 написа:

 

@ДзВяРа!Това от клипчето на ВЕСТИ БГ е доста лаишки метод. Трябва да ми опрат пистолет в челото че да се хвана. 

Интересното в случая е, че моя профил не е хакнат а си е все още мой!

[Stoi2]

Върнах си профила :) 

След като им сканирах и им изпратих личната карта на другия ден ми пуснаха процедура за потвърждение на самоличността.
И тук имаше едни ГОЛЯМ подводен камък оставен от хакерите и за който нямам обяснение.

От фейса предложиха две опции за проверка. Да ми пратят смс на телефония номер с който съм си направил регистрацията , или да им дам рождената си дата за да я сравнят с базата данни. Аз тръгнах да избирам потвърждение с телефона , но в последния момент забелязах КАПАНА ! Моя телефонен номер завършва на 25 , а в избора беше даден така +84********25 . В последния момент забелязах че отпред кода не трябва да е така и не е на България , но пък последните цифри са правилни, като моите Проверих набързо +84 да не би да излезе код на някой държава и се оказа Виетнам !!!! Обаче пък последните цифри са на моя телефон. Гадовете по някакъв начин са вкарали техен телефон завършващи на последните две цифри на моя, и където да получат кода и тотално да ми отмъкнат профила завинаги ......от Виетнам. Избрах опцията с рождената дата и там минах процедурата и ми отключиха профила.
Въпросите остават следните. Дали някой ме е поръчал и са си направили телефон, които завърша на моите две цифри, или просто има някакъв голям бизнес с това и хакерите са си открили във Виетнам 100 телефона така че да може да въртят последните цифри през всички възможни комбинации за да крадат профили. И как по дяволите са сменили телефона в база данните на фейса, като по логовете които ми изпратиха и имам от фиейса единствено са ми изтрили записа на моя телефон за да заобиколят двуфакторната индетификация, но никъде няма запис в логовете да са добавяри друг номер до блокирането да профила....
Шантава работа ! Или някой много добър ме е поръчал , защото имам подозрение че е заради някой от бизнес профилите ми и разни други страници, които управлявам, или просто са страшно добри и това е рутина практика.

[Звяра!!!]

Ако са ти искали профила, отдавна щяха да са го взели! Закачат се със теб вероятно, при всички положения те нищо не губят.

Много е вероятно в момента да четат какво си написал тук! Това става със backdoor, потърси информация в нета какво е backdoor!

[Stoi2]

преди 21 часа, ДзВяРа! написа:

Ако са ти искали профила, отдавна щяха да са го взели! Закачат се със теб вероятно, при всички положения те нищо не губят.

Много е вероятно в момента да четат какво си написал тук! Това става със backdoor, потърси информация в нета какво е backdoor!

То така става тая работа...не е като да ядеш вафли. Имал съм сигурно някаква гадина проникнала от някъде. Вече са взети всички мерки файса да стане още по-труден за хакване. Иман начини. . Чакам да се пробват пак. Иначе първия вирус с който съм се разправял беше още преди около 30 години когато нямаше още интернет и си разменяхме дискети само по пощите с писма. Твоя първи вирус коя година беше ? 

[vlado1985]

@Stoi2Е нали каза че си сканирал за буби и даже под DOS и не е имало нищо. Явно ако си инсталирал нещо с него е имало някоя буба а и трябва много да се внимава с някои съмнителни exe файлове.