account hacked

[HaliDon_o.O]

Venerdì mattina ricevo una mail sul cellulare (fortuna ho blackberry) con su scritto che avevo appena cambiato con successo la password dell' account battle.net, senza aver ricevuto quella di conferma con il link etc etc ... entro su gmail e non vedo nessuna mail, provo ad entrare su battle.net e nulla, al che riesco a ricambiare la password su battle.net usando la domanda di sicurezza.

Telefono alla blizzard e mi dicono che c'erano dei movimenti sospetti con accessi anche precedenti (28 novembre ad esempio) da ip cinesi!! e che avrebbero controllato ed eventualmente sistemato account... da qui un paio di considerazioni:

-fortuna che avevo il blackberry dove arrivano le email in automatico, visto che appena cambiata la password erano riusciti ad entrare pure in gmail e cancellare le mail di conferma e non mi sarei accorto di nulla. Effettivamente ci sono stati dei movimenti su gmail da ip giapponesi e cinesi in date precedenti. Se andate su gmail in fondo è scritto l' ip della connessione precedente e cliccandoci riuscite a vedere gli ultimi accessi da dove sono stati generati ... vi consiglio di controllare

-fortuna non avevano ancora cambiato l' email di riferimento così ho potuto a mia volta cambiare tempestivamente password

-fortuna che avevo account wow in freeze da 2 anni, anche se il tipo dell' assistenza m' ha detto che ciò non ferma gli hacker che vogliono fregarti soldi / oggetti dai vari personaggi.

-credo avessero preparato tutto per l' uscita dell' espansione di wow per rubare appunto gold ed oggetti vari ...

-all' apparenza non ho visto cambiamenti all' account, spero non abbiano fatto danni

-ho cambiato la password con una lunga 20 caratteri alfanumerici LOL almeno così ci mettono 10 anni se provano con attacchi bruteforce

-al momento sto monitorando l' account gmail ... vi consiglio di farlo pure voi


p.s. l' account starcraft non sembra aver subito danni, ma se vedrete tante loss saranno stati loro

[Mano[FA]]

Posso farti alcune domande?

- un brute force attack su google e' abbastanza difficile, perche' al terzo tentatvo fallito devi anche risolvere un captcha. Per caso la password di SC2 o WoW era la stessa di gmail?

- onestamente, la password di WOW (che se non sbaglio DEVE contenere almeno un numero ma non ammette caratteri speciali) era "facile" o simile al nick/personaggio?

- Spesso i metodi per rubare le password sono 'sociali'. Sicuro di non averla mai detta a nessuno, neppure un amico, o, peggio, a qualcuno online che credevi un amico? Oppure e' la stessa password che usi per siti/servizi che hanno a che vedere con WoW?

[HaliDon_o.O]

la password di bnet aveva un carattere in più rispetto a quella di google, comunque credo abbiano usato un altro metodo visto anche sulle iene ... in un servizio un tipo entrava in possesso di una mail in un modo che credo abbiano usato anche per bnet o gmail. Creano un account, fanno richiesta di cambiamento password sia a te che al proprio e quando c'è da cliccare l' email di conferma copiano il proprio link di conferma sulla tua pagina (cambiando un qualcosina credo)... così facendo avevano forzato una propria password sull' account desiderato ...

usavo una password simile su altri servizi con alcune variazioni ma nulla a che vedere con cose poco sicure. mai detto la password a nessuno tra l' altro e non era simile al nick nemmeno lontanamente.

sono anche un maniaco della sicurezza, mai cliccato nessuna mail o tentato di entrare in siti poco sicuri ... non mi spiego infatti come possano essere stati in grado di entrare... unica cosa di cui mi pento è di non aver chiesto al tipo dell' assistenza la data esatta del primo login che aveva visto, per controllare magari siti visitati.

p.s. come antivirus uso kaspersky 2011 versione a pagamento (mai usare un antivirus craccato) ...

p.p.s al momento per digitare la password faccio copia incolla mentre scannerizzo tutto il pc ... per evitare qualche keylogger (anche se credo non sia il problema)

[Shauron_o.O]

Sinceramente escluderei il metodo del social engineering, l'ip era effettivamente Cinese. Secondo me ti sei registrato a qualche sito poco attendibile mettendo la tua email di gmail per registrarti con la stessa password.
E' capitato anche a me di vedere un IP Cinese in Gmail ma senza cambiamenti di password, non so sinceramente come abbia fatto ma credo sia stato qualche mod di Google Chrome per il controllo istantaneo delle mail in arrivo. Nel dubbio comunque cambiai password.
Secondo me comunque è sempre bene avere una email dedicata esclusivamente a Battle.Net, finché rimangono servizi gratuiti non ci costano nulla... In questo modo non la utilizzi per altri siti, la conoscono solamente i tuoi ID amici su B.Net e i rischi di hackerarla sono davvero minimi.

[Lysor_o.O]

Brutta faccenda, Hali...

La password era sicura, non era simile al nome dell'account, non l'hai detta a nessuno, niente siti dubbi, come dice Shau niente social engineering perché se no l'IP ben difficilmente sarebbe cinese o giapponese (e poi resta il fatto che non l'hai detta a nessuno!), niente phishing visto che appunto non clicchi su link strani via mail... A me sembra che l'unica ipotesi che resta in piedi sia quella del keylogger. La butto lì: non è che hai scaricato qualcosa da P2P e l'hai installato? Può capitare benissimo che il software pirata contenga, insieme al crack, anche qualche altra sorpresina poco gradita...

Se si tratta di un keylogger puoi provare a blindare la connessione a Internet con un firewall, impostandolo in modo da dover autorizzare a mano ogni singola connessione. E' una menata, e non saprei neanche indicarti che programma usare (magari c'è un firewall incluso in Kaspersky?), però potrebbe dare dei frutti.

Altrimenti... Boh? Che browser usi? Visto che sei un maniaco della sicurezza, do per scontato che sia aggiornato. Le password le salvi nel browser, per caso? Se sì, penso sia facile carpirle in qualche modo. Altre idee non me ne vengono...

Shau: le estensioni per Chrome da un paio di mesi supportano l'autore verificato. Io non darei MAI la mia password di Gmail ad un'estensione che non sia legata al dominio google.com. Tra l'altro, il loro modello di sicurezza per certi versi mi lascia perplesso: è vero che ogni singola estensione dichiara di quali permessi ha bisogno, e tu puoi anche non darglielo, il permesso. Però le estensioni si possono auto-aggiornare, in modo da facilitare la diffusione delle versioni recenti.
Ora: io scrivo un'estensione per controllare la posta di Gmail, ed è pulita al 100%: non fa assolutamente nulla di disonesto. Solo che anziché chiedere il permesso per collegarsi solo a Gmail, chiede il permesso di collegarsi ad un sito qualunque. Piccola sfumatura, molti non ci faranno caso. La gente la installa, la prova, vede che va bene. Mi prendo un feedback alto, la gente si fida. Un bel giorno rilascio un update: l'estensione supporta qualche cazzatina in più (così giustifico l'aggiornamento), e funziona come prima... Ma già che c'è, la password la invia anche ad un mio server. Che cosa mi impedisce di farlo? Credo niente...
Sono paranoico? Sì. Ma secondo me è solo questione di tempo prima che qualcuno faccia uno scherzetto del genere. Se non è Gmail è Facebook, o Twitter, o Youtube, o chissà cosa... Certo, le password di Gmail e Facebook valgono sicuramente di più di quella di Youtube, ma secondo me il rischio c'è.

Esempio pratico: https://chrome.google.com/extensions/se ... it&q=gmail
La prima applicazione ha come autore verificato "chrome.google.com", la seconda "chrome.desc.se". Faccio notare che nei 2 casi il dominio "vero" (di 1° livello) è google.com e desc.se, rispettivamente, e il fatto che prima ci sia scritto "chrome." in questo senso non conta. L'autore è verificato in entrambi i casi, che è una buona cosa... Ma io mi fido solo ed esclusivamente della prima estensione! Poi al 99% quelli di desc.se sono delle brave persone... Ma a me non andrebbe di correre il rischio. Tu quale usi?

Altro esempio: https://chrome.google.com/extensions/de ... bfii?hl=it
Questa è un'estensione per Facebook. L'autore è "Google Chrome Extensions", ma NON è verificato, cioè non è stato associato in maniera sicura al dominio google.com.
Delle 2 l'una: o è una truffa, o non lo è. Entrambe le cose sono improbabili.
Se fosse una truffa, sarebbe sopravvissuta così a lungo? Possibile che NESSUNO dello staff di Google se ne sia accorto?
Se invece fosse stata realizzata davvero da Google, possibile che non abbiano ancora aggiunto un autore verificato ad un'estensione così importante? Un'estensione ufficiale per Facebook?

Qualcosa non torna... Ma io, nel dubbio, non la installerei (a parte il fatto che non sono iscritto a Facebook e quindi me ne farei ben poco... ). Oltre tutto, se clicchi su "Installa", ti dice che vuole avere accesso a facebook.com e alla cronologia di navigazione. Perché vuole avere accesso alla cronologia? Cosa se ne fa? A me non viene in mente nessun utilizzo "buono" della cronologia. Invece me ne viene in mente uno cattivo: andando a pescare tra tutti i siti visitati, chissà, magari si trova anche il sito del proprio gestore email, o qualcosa di simile. E se la password dovesse essere la stessa usata per Facebook (cosa che sicuramente avviene più spesso di quanto mi piacerebbe pensare), addio all'email. E una volta scoperta questa password, come la si comunica agli autori dell'estensione? Tramite facebook stesso, ovviamente (a cui, appunto, l'estensione ha accesso). Basta mandarla via chat ad un certo account, o postargliela sul muro (e poi cancellare il post, in modo che non ne rimanga traccia), cose del genere... E tanti saluti.

Ripeto: io sono paranoico, ma secondo me prima o poi salterà fuori che alcuni miei timori erano fondati.

[Shauron_o.O]

L'estensione che uso è un "Autore verificato: chrome.google.com" ed è utilizzato da oltre 880mila persone.
Inizialmente ho pensato che l'accesso dalla Cina sia stato ad opera dell'estensione non so per quale assurdo motivo, ma obiettivamente non me ne viene in mente nessuno. In ogni caso sono riuscito a cambiare password dopo pochi minuti quindi il rischio è stato scongiurato.
Vorrei però contraddirti sulla tua ipotesi del cambio estensioni.
Su Google Chrome non ne uso molte, solamente quelle davvero utili e che non mi rallentino la navigazione, in ogni caso, se la struttura è simile ai sistemi operativi Android (e in linea di massima dovrebbe esserlo) ogni volta che aggiorni una applicazione dovresti dare il permesso di aggiornare i nuovi requisiti richiesti.

Comunque a questo punto sono d'accordo con Lysor sulla possibilità di un keylogger preso tramite qualche download p2p, prova a scaricare e scannerizzare il pc con Malwares byte che a me, di solito, ha sempre trovato tutto. Da quando navigo mai nessuno è riuscito a prendermi una sola password e di siti poco attendibili ne guardo e non ho mai usato trucchi del tipo copia+incolla, cambio password ogni 2 settimane o chissà cosa