Computerbeveiliging - Hoe je bad guys buiten de deur houdt

verdachte login op gmail account

16-06-2014, 21:30 door [Account Verwijderd], 23 reacties
Elke keer ik mij inlog op mijn gmail account krijg ik een mail dat er een verdachte login is geweest.
via dit IP adres:
IP-adres: 27.156.195.131
Locatie: Ningde, Fujian, Volksrepubliek China
Ik verander mijn wachtwoord via mijn desktop.
De volgende dag is het weeral raak. Dus ik dacht dat mijn desktop geïnfecteerd was.
Dus deze keer deed ik het via mijn gsm (niet hetzelfde netwerk via 3G gedaan).
De volgende dag krijg ik weeral deze mail.
En mijn wachtwoord is toch altijd sterk letter+nummer+symbolen (gemixed)
weet iemand waar mijn fout kan liggen?
en ook is er ergens een tool dat je kan testen of het proxy server is?

groetjes,
Mitchell
Reacties (23)
16-06-2014, 21:47 door Britec09
Keylogger
16-06-2014, 22:05 door [Account Verwijderd]
dat weet ik ook.
maar het is toch eigenaardig als ik al 7 verschillende computers heb gebruik met 7 verschillende netwerken.


Groetjes,
Mitchell
16-06-2014, 23:18 door Anoniem
start: https://support.google.com/mail/checklist/2986618


en dan: https://productforums.google.com/forum/#!forum/gmail-nl
16-06-2014, 23:20 door [Account Verwijderd]
mail naar abuse@gmail.com , en al je (7??) werkstations scannen.
16-06-2014, 23:31 door Anoniem
en ook is er ergens een tool dat je kan testen of het proxy server is?
Of je gmail.com via een proxyserver benadert, bedoel je? Controleer in je browser het SSL/TLS-certificaat dat gmail.com meldt door op het slotje in de adresbalk te klikken. Dat moet van Google zijn. Maar het is erg onwaarschijnlijk dat dat op 7 computers op 7 netwerken fout gaat.

Maar doe je wel alles vanaf andere computers om uit te sluiten dat het aan je desktop ligt? Als je op een andere computer je wachtwoord wijzigt en dat vervolgens vanaf je desktop gebruikt om je e-mail te checken kan het toch door een keylogger op die machine verklaard worden. Ik vermoed dat je dat wel door hebt, maar ik vraag het toch maar even voor de zekerheid.

Als het niet aan de afzonderlijke machines kan liggen moet het liggen aan iets dat al die benaderingen met elkaar gemeen hebben, en dan lijkt er iets met de account zelf aan de hand te zijn. Is er misschien een e-mailmachtiging ingesteld?
https://support.google.com/mail/answer/138350?hl=nl

Heb je deze checklist afgewerkt?
https://support.google.com/mail/checklist/2986618
Wie weet staan daar dingen in die je op ideeën brengen over wat er fout gaat.
17-06-2014, 00:15 door Anoniem
Waarschijnlijk slachtoffer van een "spoofer", een Chinese inbreker, lees dit eens: http://zaufanatrzeciastrona.pl/post/chinczycy-probuja-wlamywac-sie-do-skrzynek-gmail-polakow/ - vertaal met google translate.
Het internet staat vol met verhalen over hoe de Chinese breken in systemen van overheden en grote bedrijven over de hele wereld, het stelen van geheime documenten. Het blijkt echter dat de veiligheid mailboxen gewone gebruikers is ook in gevaar.

Het lijkt erop dat de gemiddelde mailbox van een Poolse internet gebruiker niet al te veel waarde voor een buitenlandse hacker heeft Noch zullen er geheime plannen te vinden om een ??jachtvliegtuig te bouwen, of een staatsgreep te plannen (tenzij het een geval van Bruno K.), op rekening Allegro. Echter, ondanks dit, lijkt het erop dat pogingen om te compomitteren en verbinding te maken met andere landen via Poolse internetgebruikers heel vaak gebeurt. En onlangs bleken sommige van deze pogingen zeer interessant.

De eerste keer wees onze aandacht naar de Chinese provincie Anhui aldus Mikko Hypponen. Een paar dagen geleden, merkte hij op dat in het netwerk is er een heleboel internet queries stonden, waar Gmail probeerde in te loggen bij iemand die gewoon niet uit deze uithoek van de wereld kwam

En dit gebeurt volgens jouw verhaal nu ook in Nederland,

luntrus
17-06-2014, 00:39 door Anoniem
Los nog hiervan, wat heeft iemand eraan om het e-mail account van iemand anders te gebruiken?
Verspillen hackers zo graag hun tijd?
17-06-2014, 07:24 door Anoniem
Google gebruikt statistieken om bij te houden welke devices en jij zoal gebruikt om je email account te benaderen en vanaf welke locaties (IP-adres, geo locatie). Als je geen 2-factor authentication gebruikt, dan is Google wat strenger in het detecteren van verdacht gedrag dan wanneer je wel 2-factor authentication gebruikt.
Ik heb zelf 2 gmail accounts, eentje met en eentje zonder 2-factor authentication. Beide op mijn telefoon ingesteld en binnen Nederland werkt dat prima. Ga ik echter naar het buitenland (recent nog in Duitsland en Frankrijk geweest), dan blokkeert Google de toegang tot account die geen 2-factor authentication heeft. Daarvan krijg je een mailtje en je kan vervolgens aangeven of het wel of niet je eigen device is geweest vanwaar je probeerde aan te loggen. In mijn geval herkende ik beide situaties, dus aangegeven dat het onterechte blokkades waren. Mocht ik nog een keer op diezelfde locatie komen, dan zal Google niet meer de login blokkeren.
17-06-2014, 08:22 door Anoniem
Onderin gmail kun je kijken welke andere sessies actief zijn, die zijn denk ik wel interessant hier.

Check daarna of je niet iets van TOR of proxy gebruikt, want dan kun jij zelf natuurlijk gewoon in China uitkomen.
Pak daarna inderdaad iets van een mobieltje, liefst even non-jailbroken iOS (minste kans op zooi).
Ga naar https://gmail.com (echt expliciet zelf https:// typen, check het certificaat of het van google is).
Schakel dan two-factor authentication in.
Reset daarna je wachtwoorden, inclusief het verwijderen van alle voorgaande sessies.
Reset ook je 'secret' wachtwoord (je weet wel, die zin om je wachtwoord te kunnen resetten).
Dat kan ook nog wel eens een mailadres zijn tegenwoordig, pas die dan ook aan.

Check ook even je mailbox (in, uit, spam etc.) op vreemde activiteit, en reset al (ja echt al) je andere wachtwoorden.
Grote kans dat als iemand in je mail heeft gezeten dat hij toegang heeft tot al je andere zaken.
17-06-2014, 08:52 door Anoniem
Door NedFox: mail naar abuse@gmail.com , en al je (7??) werkstations scannen.
Dit zou ik niet doen, wie weet wat het automatisch abuse-systeem van jouw email-adres vindt!
Voor hetzelfde geld wordt jij geblokkeerd, ik heb al gekkere dingen zien gebeuren na een abuse-melding ;)
17-06-2014, 09:12 door Anoniem
http://www.google.com/landing/2step/#tab=how-it-works
17-06-2014, 09:49 door Anoniem
Door mitchell: Elke keer ik mij inlog op mijn gmail account krijg ik een mail dat er een verdachte login is geweest.
via dit IP adres:
IP-adres: 27.156.195.131
Locatie: Ningde, Fujian, Volksrepubliek China
Ik verander mijn wachtwoord via mijn desktop.
De volgende dag is het weeral raak. Dus ik dacht dat mijn desktop geïnfecteerd was.
Dus deze keer deed ik het via mijn gsm (niet hetzelfde netwerk via 3G gedaan).
De volgende dag krijg ik weeral deze mail.
En mijn wachtwoord is toch altijd sterk letter+nummer+symbolen (gemixed)
weet iemand waar mijn fout kan liggen?
en ook is er ergens een tool dat je kan testen of het proxy server is?

groetjes,
Mitchell

Upnp toevallig aan?
http://www.zdnet.com/homeland-security-disable-upnp-as-tens-of-millions-at-risk-7000010512/
17-06-2014, 09:52 door Britec09
Door Anoniem: Waarschijnlijk slachtoffer van een "spoofer", een Chinese inbreker, lees dit eens: http://zaufanatrzeciastrona.pl/post/chinczycy-probuja-wlamywac-sie-do-skrzynek-gmail-polakow/ - vertaal met google translate.
Het internet staat vol met verhalen over hoe de Chinese breken in systemen van overheden en grote bedrijven over de hele wereld, het stelen van geheime documenten. Het blijkt echter dat de veiligheid mailboxen gewone gebruikers is ook in gevaar.

Het lijkt erop dat de gemiddelde mailbox van een Poolse internet gebruiker niet al te veel waarde voor een buitenlandse hacker heeft Noch zullen er geheime plannen te vinden om een ??jachtvliegtuig te bouwen, of een staatsgreep te plannen (tenzij het een geval van Bruno K.), op rekening Allegro. Echter, ondanks dit, lijkt het erop dat pogingen om te compomitteren en verbinding te maken met andere landen via Poolse internetgebruikers heel vaak gebeurt. En onlangs bleken sommige van deze pogingen zeer interessant.

De eerste keer wees onze aandacht naar de Chinese provincie Anhui aldus Mikko Hypponen. Een paar dagen geleden, merkte hij op dat in het netwerk is er een heleboel internet queries stonden, waar Gmail probeerde in te loggen bij iemand die gewoon niet uit deze uithoek van de wereld kwam

En dit gebeurt volgens jouw verhaal nu ook in Nederland,

luntrus
Ik ben Pools, en van die vertaling klopt niet heel erg veel.
17-06-2014, 10:16 door Briolet - Bijgewerkt: 17-06-2014, 14:35
Door Anoniem: Upnp toevallig aan?
http://www.zdnet.com/homeland-security-disable-upnp-as-tens-of-millions-at-risk-7000010512/

Lijkt me niet de reden als het vanuit verschillende lans optreed. Ik vond recent wel een handige tool om de UPnP tabel van een router uit te lezen: http://upnp-portmapper.sourceforge.net Dan zie je welke software met de forwards aan het knoeien gaat.

Het is geschreven in Java, dus werkt het op elk OS waar Java 6 of hoger op staat. Ik had zelf al een mac-only tool, maar deze werk net zo mooi en op alle os-en. Vooral handig op routers waar de router deze tabel niet laat zien. (de meeste routers)
17-06-2014, 10:17 door Mysterio
Je kunt ook de 2 stappen authenticatie aanzetten: https://www.google.com/landing/2step/ Dan heb je in ieder geval geen last meer van mensen die alleen je wachtwoord weten te achterhalen. (zoals al eerder gezegd trouwens)
17-06-2014, 13:06 door Anoniem
Door Britec09:
Door Anoniem: Waarschijnlijk slachtoffer van een "spoofer", een Chinese inbreker, lees dit eens: http://zaufanatrzeciastrona.pl/post/chinczycy-probuja-wlamywac-sie-do-skrzynek-gmail-polakow/ - vertaal met google translate.
Het internet staat vol met verhalen over hoe de Chinese breken in systemen van overheden en grote bedrijven over de hele wereld, het stelen van geheime documenten. Het blijkt echter dat de veiligheid mailboxen gewone gebruikers is ook in gevaar.

Het lijkt erop dat de gemiddelde mailbox van een Poolse internet gebruiker niet al te veel waarde voor een buitenlandse hacker heeft Noch zullen er geheime plannen te vinden om een ??jachtvliegtuig te bouwen, of een staatsgreep te plannen (tenzij het een geval van Bruno K.), op rekening Allegro. Echter, ondanks dit, lijkt het erop dat pogingen om te compomitteren en verbinding te maken met andere landen via Poolse internetgebruikers heel vaak gebeurt. En onlangs bleken sommige van deze pogingen zeer interessant.

De eerste keer wees onze aandacht naar de Chinese provincie Anhui aldus Mikko Hypponen. Een paar dagen geleden, merkte hij op dat in het netwerk is er een heleboel internet queries stonden, waar Gmail probeerde in te loggen bij iemand die gewoon niet uit deze uithoek van de wereld kwam

En dit gebeurt volgens jouw verhaal nu ook in Nederland,

luntrus
Ik ben Pools, en van die vertaling klopt niet heel erg veel.

Wat fijn dat je ons verteld wat er niet aan klopt aan de vertaling, en wat de vertaling wel juist zou maken!
17-06-2014, 13:16 door choi - Bijgewerkt: 17-06-2014, 13:17
Door Anoniem: Los nog hiervan, wat heeft iemand eraan om het e-mail account van iemand anders te gebruiken?
Verspillen hackers zo graag hun tijd?

Ah ja, de wat-kan-nou-gebeuren-attitude. Dit is een gevaarlijke en helaas typische manier van denken; omdat jij niet kan bedenken hoe de inlog-gegevens van een account kunnen worden misbruikt ga je er gemakshalve van uit dat anderen dat ook niet kunnen.

Er bestaat een levendige ondergrondse handel in inlog-gegevens waarbij een account gemiddeld enkele dollars opbrengt.
Het loont ten eerste dus om aan deze gegevens te komen. Vervolgens worden de accounts gebruikt op manieren die alleen beperkt worden door de kennis en creativiteit van degene die daar iets mee wil doen.

Een klassiek voorbeeld is spam. Jouw account wordt niet alleen gebruikt om spam te versturen (ja, spam loont) maar ook aan de inlog-gegevens van je contacten te komen. Een manier om dat te doen is door je contacten een link naar een malafide website te sturen via jouw account. Op de website wordt een XSRF (Cross Site Request Forgery)* uitgevoerd die een kwetsbare browser van het slachtoffer forceert om de inlog-gegevens (de authenticatie-cookie op je computer) van de mail-account te versturen naar de aanvaller. Zo lang je bent ingelogd op je (mail) account-en wie sluit zijn account tegenwoordig nog af-kan de aanvaller zich met de gekaapte inlog-gegevens toegang verschaffen tot je account (op deze manier kan de aanvaller overigens ook erachter komen op welke andere accounts je op dat moment bent ingelogd)**

Een dergelijk scenario kan ook worden gebruikt om op de malafide website een drive-by download uit te voeren die op de computer van het slachtoffer een trojan installeerd waarmee de aanvaller (door bijvoorbeeld de UPnP-functie van je router te gebruiken) zich toegang tot je computer kan verschaffen. Vervolgens wordt je computer toegevoegd aan een botnet waarmee-ik noem maar wat-DDoS-aanvallen worden uitgevoerd.

Zie voor meer achtergrond de blog van Brian Krebbs.***

*http://en.wikipedia.org/wiki/Cross-site_request_forgery
**http://blog.whitehatsec.com/i-know-what-websites-you-are-logged-in-to-login-detection-via-csrf/
*** http://krebsonsecurity.com/2013/06/the-value-of-a-hacked-email-account/
17-06-2014, 16:43 door [Account Verwijderd]
Beste,

eerst en vooral wil ik jullie allemaal bedanken voor de snelle reacties!
Ik heb authenticatie in 2 stappen van google aangezet. bedankt voor de Tip.
Ik wou graag weten of dit IP-adres: 27.156.195.131 (waarmee er word geprobeerd ingelogd te worden)een proxy server is.
en neen ik heb om mijn netwerken geen proxy server ingesteld.
Momenteel krijg ik geen mails meer van verdachte login.


groetjes,
Mitchell
18-06-2014, 12:50 door Fwiffo
Door mitchell: dat weet ik ook.
maar het is toch eigenaardig als ik al 7 verschillende computers heb gebruik met 7 verschillende netwerken.


Groetjes,
Mitchell
Hier zit waarschijnlijk je probleem. Ik heb het idee dat Google het niet leuk vindt als je via verschillende IP adressen inlogt. (Bij game platform Steam is dit ook zo). Als je slechts één computer met een vast IP adres gebruikt, dan zal Google uiteindelijk denk ik wel stoppen met klagen.

Staar je ook niet blind op het Chinese IP adres! Ik heb volgens mij wel eens ergens gelezen dat vanwege de schaarste aan IPv4 adressen, hierin steeds meer een handel gaat ontstaan.

Succes met Gmail! Vergeet ook niet dat als het wel een keylogger is hier, je vaak wachtwoorden voor andere accounts kan resetten via je Gmail. Dit is een groter gevaar dan wat ik verder hier heb gelezen (spam/DOS). Vooral als je ook nog een creditcard hebt gekoppeld aan die accounts.
18-06-2014, 14:07 door Anoniem
"Door Anoniem: Los nog hiervan, wat heeft iemand eraan om het e-mail account van iemand anders te gebruiken?
Verspillen hackers zo graag hun tijd?"

In email archieven zijn vaak interessante zaken te vinden voor hackers, zoals credentials voor andere websites. Ook worden inlog/wachtwoord combinaties vaak hergebruikt, waar de hacker ook handig gebruik van kan maken. Wat ze willen ? Nou, je bankrekening plunderen, spullen bestellen op jouw naam, informatie stelen, en ga zo maar door.

"Staar je ook niet blind op het Chinese IP adres! Ik heb volgens mij wel eens ergens gelezen dat vanwege de schaarste aan IPv4 adressen, hierin steeds meer een handel gaat ontstaan."

Wat heeft handel in IPv4 adressen te maken met deze discussie ? Het is en blijft een IP in het Chinanet Fujisan Province Network, dat kan zich niet zomaar verplaatsen ergens anders naartoe.

"Als je slechts één computer met een vast IP adres gebruikt, dan zal Google uiteindelijk denk ik wel stoppen met klagen."

Tja, het gaat hier om onbekende derden die zich vanuit China toegang verschaffen tot een email account. Het lijkt me toch dat je zo'n probleem wil verhelpen. Wat jij voorstelt is je kop in het zand steken en kijken hoe je van totaal terechte waarschuwingen af kunt komen.

Indien jij last hebt van computer virussen, probeer je de problemen dan op te lossen, of zet je je virus scanner uit ''om van de irritante meldingen af te zijn'' ? ;)
18-06-2014, 14:10 door Anoniem
"27.156.195.131"

Het IP komt niet voor op public proxy lijsten van de laatste 12 maanden, en staat ook niet bekend als bijvoorbeeld een TOR exit node.
19-06-2014, 06:44 door Anoniem
Account beëindigen en een nieuw account nemen is waarschijnlijk makkelijker dan de boel proberen uit te zoeken.
Maakt het de kwaadwillende(n) ook gelijk onmogelijk om via jouw account nog rottigheid uit te halen.
19-06-2014, 10:24 door Fwiffo
Door Anoniem: "Staar je ook niet blind op het Chinese IP adres! Ik heb volgens mij wel eens ergens gelezen dat vanwege de schaarste aan IPv4 adressen, hierin steeds meer een handel gaat ontstaan."

Wat heeft handel in IPv4 adressen te maken met deze discussie ? Het is en blijft een IP in het Chinanet Fujisan Province Network, dat kan zich niet zomaar verplaatsen ergens anders naartoe.

Zie bijvoorbeeld http://webwereld.nl/cloud/82863-microsoft-vs-door-ipv4-adressen-heen:
Microsoft benadrukt dat een IP-adres die in het buitenland is geregistreerd niet meteen betekent dat de dienst buiten het land wordt gedraaid. Het is bij de IANA niet mogelijk om een IP-registratie over te hevelen naar een andere regio en het bedrijf wijst erop dat een Braziliaans IP-adres kan zijn toegewezen aan een lokaal apparaat.
(lokaal is hier in de VS, waar de IPv4 adressen op zijn).

Door Anoniem: "Als je slechts één computer met een vast IP adres gebruikt, dan zal Google uiteindelijk denk ik wel stoppen met klagen."

Tja, het gaat hier om onbekende derden die zich vanuit China toegang verschaffen tot een email account. Het lijkt me toch dat je zo'n probleem wil verhelpen. Wat jij voorstelt is je kop in het zand steken en kijken hoe je van totaal terechte waarschuwingen af kunt komen.

Indien jij last hebt van computer virussen, probeer je de problemen dan op te lossen, of zet je je virus scanner uit ''om van de irritante meldingen af te zijn'' ? ;)
Zie link hierboven. De toegang hoeft helemaal niet vanuit China te zijn gekomen. En de registratie van de locaties van IPv4 adressen zal alleen maar onnauwkeuriger worden totdat iedereen over is op IPv6. Voor domein namen geldt verder net zoiets. Vooral de eigenaar van .com domeinen klopt vaak niet (tenminste, dat was vroeger zo).
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.