שלום לכולם,

בחודשיים האחרונים פורצים לאחי באופן תדיר (ואני מתכוון כל יומיים-שלושה) לחשבון הפייסבוק והג'ימייל שלו. הפורץ לא עושה שום דבר מיוחד חוץ מלהציק ולשלוח הודעות מטרידות לחברים של אחי בפייסבוק. אני מבין דבר או שניים באבטחת מידע (לא יותר מדי, אבל מבין ) ולא מצליח לחשוב על כיוון מאיפה זה מגיע ואיך לחסום את זה וממש זקוק לעזרה בעניין.

אני אתחיל בפירוט תשתית האינטרנט שלנו בבית ודברים נוספים שנראים לי רלוונטיים.

אז ככה:
בבית יש נתב TPLINK עם מודם של הוט, אליו מחוברים 3 מחשבים, 2 נייחים בחיבור קווי ולפטופ בחיבור אלחוטי שאל חשבון הפייסבוק והג'ימייל שלו כל הזמן פורצים.

ממשק הנתב מוגן בסיסמה לא דיפולטית. כמו כן אין סימן לשינויי הגדרות בנתב.

האלחוטי מוצפן ומוגן באמצעות WPA2-PSK + MAC Filtering. יש גישה רק ללפטופ הנ"ל + 2 מכשירים סלולריים שיש בבית. חשוב לציין שהלפטופ לא עוזב את הבית ולא מתחבר לרשתות אחרות.

שלושת המחשבים מריצים WIN7 עם פיירוול שסוגר את כל הפורטים, מדי פעם נפתחים פורטים בנתב ובמחשב אך ורק לבקשת UPNP של תוכנת ביטורנט. אין פורטים פתוחים באופן קבוע בנתב. אין אפשרות לגישה מרחוק לנתב.

שלושת המחשבים נקיים מוירוסים\רוגלות וכו' ועם עידכוני מערכת שוטפים של ווינדוס וAVAST. על הלפטופ רץ גם פיירוול של KOMODO ובביצוע ניטור חיבורים בפיירוול הנ"ל אין משהו מחשיד.

הלפטופ הנ"ל משמש לגלישה דרך CHROME בלבד, בלי תוכנות שיתוף ובלי כלום. כל הפורטים במחשב הספציפי הזה סגורים באופן ידני וגם כל אפשרות ל INCOMING CONNECTIONS.

ההתחברות לאותו חשבון פייסבוק וג'ימייל מתבצעות אך ורק ממחשב זה, רק עם SSL, לא נוספה שום אפליקציה לפייסבוק. אך עדיין הפורץ מצליח איכשהו לגנוב את הסיסמה כל פעם מחדש.

הסיסמאות משתנות על בסיס קבוע כל 4-5 ימים ומדובר בסיסמאות באורך 14 תווים עם שילוב אותיות גדולות\קטנות\תווים מיוחדים.

לפני כמה ימים הפעלנו בפייסבוק וגם בג'ימייל את האופציה של אבטחה כפולה - כלומר בכל נסיון התחברות ממחשב חדש יש לאמת SMS עם קוד בנוסף לסיסמה של החשבון.

אתמול קיבלנו מייל על נסיון התחברות לחשבון הפייסבוק הזה שנכשל עקב האימות הכפול, מדובר בכתובת IP במתחם של נטויז'ן.

האם באמת קיים סיכוי שאותו פורץ פשוט מבצע סוג של BRUTE FORCE על החשבון פייסבוק הזה? הרי מדובר בסיסמאות מורכבות מאוד והייתה פעם שהוא הצליח להיכנס כחצי שעה לאחר שינוי סיסמה.

למישהו יש כיוון בעניין? מה לגבי זכות משפטית לבקש מנטויז'ן לדעת מי הלקוח הזה ומהיכן החיבור הגיע? כמובן שישנה גם האפשרות שהוא השתמש בפרוקסי \ חיבור אלחוטי ציבורי כלשהו.

תודה לעוזרים!

איך אתה יוצא מנקודת הנחה ש"המחשבים נקיים" ? אי אפשר לצאת מנקודת הנחה כזו.

שיכנס לחשבון שלו בפייסבוק ובג'ימייל ממחשב שאינו חלק מהרשת שלכם, ישנה שם את הסיסמא בכל החשבונות (וגם את שאלות שחזור הסיסמא, אם יש, ושיוודא שאין מיילים חלופיים / טלפונים חלופיים לשחזור) - וימתין מספר ימים. שיראה אם ממשיכים להצליח להיכנס לחשבון שלו (או להיכשל, בגלל האימות הכפול...).

קשה לי להאמין שאין הגנת BF בפייסבוק (אם כי, אינני יודע), ובג'ימייל אני יודע שיש...

נמאס לכם לזכור סיסמאות? לחצו כאן!

יש אופציה בפייסבוק להתחבר רק עם קוד שמתקבל בSMS במעמד החיבור...

חינם אין כסף.

ציטוט:

במקור נכתב על ידי Decrypt3r לפני כמה ימים הפעלנו בפייסבוק וגם בג'ימייל את האופציה של אבטחה כפולה - כלומר בכל נסיון התחברות ממחשב חדש יש לאמת SMS עם קוד בנוסף לסיסמה של החשבון.

נמאס לכם לזכור סיסמאות? לחצו כאן!

אני מניח ששמו לך סוג מסוים של Key-Logger או Sniffer על המחשב.
שמע בעצתו של שימי, שנה את הססמא ממחשב אחר ואל תכנס מהמחשבים שאתה רגיל להכנס מהם. בדוק גם בnetstat אם ישנו איזהשהו פורט חשוד.

בכל אופן, אתה יכול לשלוח אי מייל לכתובת
abuse@netvision.net.il
לרשום את כתובת הIP שהטרידה אותך ואת השעה המדויקת שבה זה קרה (כדי שהם יוכלו לבדוק בלוגים מי היה מחובר). בד"כ הם מזהירים אותו קודם במייל ובשלב מסויים יכולים לתת לך את הפרטים של האדיוט.

בדקתי עם netstat בכל המחשבים ברשת ואין חיבורים לא מוכרים \ פורטים חשודים. בדקתי גם עם process explorer (זה כמו lsof בלינוקס)
בכל מקרה הפעלתי אותנטיקציה כפולה גם מהסלולר גם בפייסבוק וגם ב gmail ולאחר מכן שיניתי סיסמאות מהאנדרואיד דרך חיבור 3G. בינתיים שקט.
תודה לכולם על העזרה

קילוגר כנראה.

תודה לך על התוספת לאשכול, ועל החידושים הרבים שהוספת מאז ש sza כתב בדיוק את אותו הדבר כבר לפני שבועיים.

נמאס לכם לזכור סיסמאות? לחצו כאן!