Permalänk
Medlem

Virus?

Hej fick ett mail idag och tror att det bara är bullshit alltså att de faktiskt inte har tillgång till mitt konto men vill bara vara på den säkra sidan så tänkte fråga här. Kollade även upp bitcoinadressen och det var fler som hade fått samma medelande den senaste tiden. Det roliga är ju att jag inte ens har en webbkamera till min stationära dator som jag använder.

Hälsningar! Jag måste ge dig dåliga nyheter. För några månader sedan fick jag tillgång till dina enheter, som du använder för att surfa på internet. Efter det började jag spåra dina internetaktiviteter. Här är händelseförloppet: För en tid sedan köpte jag tillgång till e-postkonton från hackare (idag är det ganska enkelt att köpa sådant online). Självklart har jag enkelt lyckats logga in på ditt e-postkonto (min mail). En vecka senare hade jag installerat Trojan-virus i operativsystemen på alla enheter som du använder för att komma åt din e-post. Det var faktiskt inte svårt alls (eftersom du följde länkarna från dina e-postmeddelanden). Allt är enkelt. Denna programvara ger mig tillgång till alla kontroller på dina enheter (t.ex. din mikrofon, videokamera och tangentbord). Jag har laddat ner all din information, data, foton, webbhistorik till mina servrar. Jag har tillgång till alla dina meddelanden, sociala nätverk, e-postmeddelanden, chatthistorik och kontaktlista. Mitt virus uppdaterar kontinuerligt signaturerna (det är drivrutinsbaserat) och förblir därför osynligt för antivirusprogram. På samma sätt antar jag att du nu förstår varför jag har hållit mig gömd fram till detta brev ... När jag samlade in information om dig har jag upptäckt att du är ett stort fan av webbplatser för vuxna. Du älskar verkligen att besöka porrsidor och titta på spännande videor, samtidigt som du får ut enormt mycket nöje. Jag har lyckats spela in ett antal av dina snuskiga scener och har några videor som visar hur du onanerar och får orgasm. Om du tvivlar kan jag klicka på musen och alla dina videoklipp kommer att delas med dina vänner, kollegor och släktingar. Jag har inte heller något problem att göra dem tillgängliga för allmänheten. Jag antar att du verkligen inte vill att det ska hända, med tanke på specificiteten för de videor du gillar att titta på (du vet vad jag menar) kommer det att bli en riktig katastrof för dig. Låt oss lösa det så här: Du överför 950 EUR till mig (i bitcoinekvivalent enligt växelkursen vid tidpunkten för överföring av pengar), och när överföringen har mottagits raderar jag alla dessa snuskiga saker direkt. Efter det kommer vi att glömma varandra. Jag lovar också att inaktivera och ta bort all skadlig programvara från dina enheter. Lita på mig, jag håller mitt ord. Det här är en rättvis affär och priset är ganska lågt, med tanke på att jag har kollat ​​din profil och trafik under en längre tid. Om du inte vet hur du köper och överför bitcoins - kan du använda vilken modern sökmotor som helst. Här är min bitcoinplånbok: 123kGfxP2NCsreWX457kuVq8vPZoDaK5hw Du har mindre än 48 timmar från det att du öppnade det här e-postmeddelandet (exakt två dagar). Saker du behöver undvika att göra: * Svara mig inte (jag har skapat det här e-postmeddelandet i din inkorg och genererat returadressen). * Försök inte kontakta polisen och andra säkerhetstjänster. Dessutom glöm att berätta detta för dina vänner. Om jag upptäcker att (som du kan se är det verkligen inte så svårt, med tanke på att jag styr alla dina system) - din video kommer att delas till allmänheten direkt. * Försök inte hitta mig - det är helt meningslöst. Alla kryptovalutatransaktioner är anonyma. * Försök inte att installera om operativsystemet på dina enheter. Det är också meningslöst, eftersom alla videor redan har sparats på fjärrservrar. Saker du inte behöver oroa dig för: * Att jag inte kan ta emot din penningöverföring. - Oroa dig inte, jag kommer att se det direkt när du har slutfört överföringen, eftersom jag kontinuerligt spårar alla dina aktiviteter (mitt trojanvirus har en fjärrfunktion, likt TeamViewer). * Att jag kommer att dela dina videor ändå när du har slutfört överföringen. - Lita på mig, jag ser ingen mening med att fortsätta skapa problem i ditt liv. Om jag verkligen ville det skulle jag göra det för länge sedan! Allt kommer att göras på ett rättvist sätt! En sak till ... Fastna inte i liknande situationer i framtiden! Mitt råd - byt alla dina lösenord regelbundet!

Svara gärna!

Permalänk
Medlem

Det är spam. Varit en miljon inlägg om det på forumet, om du söker runt kan du hitta mer information om vad det gäller.

Permalänk
Medlem

Kan även nämna att jag hittade att min mail hade blivit pwnedad men ändrade nu lösenordet idag

Permalänk
Medlem
Skrivet av Zeedarn:

Det är spam. Varit en miljon inlägg om det på forumet, om du söker runt kan du hitta mer information om vad det gäller.

Okej skönt att höra! var ligger dem trådarna?

Permalänk
Medlem

Du kan ju börja med att svara att bitcointransaktiner inte alls är anonyma och att han borde läsa på lite innan han försöker scamma någon

Permalänk
Medlem
Skrivet av bert321:

Det roliga är ju att jag inte ens har en webbkamera till min stationära dator som jag använder.

Enbart detta borde få dig att inse att det är ett bluffmejl som tiotusentals får...

Permalänk
Hedersmedlem
Skrivet av AnnoyingIB:

Du kan ju börja med att svara att bitcointransaktiner inte alls är anonyma och att han borde läsa på lite innan han försöker scamma någon

Svara inte på spam om du inte vill ha mer. Det är ett enkelt sätt att visa att du inte bara tar emot mailen utan även läser dem.

Permalänk
Medlem
Skrivet av Zeedarn:

Det är spam. Varit en miljon inlägg om det på forumet, om du söker runt kan du hitta mer information om vad det gäller.

Men hans virus är ju drivrutinsbaserat!

/s

Permalänk
Medlem

Fått ett helt gäng av dem till jobbet de senaste dagarna. Bara att ignorera.

Permalänk
Medlem

För att få lite sinnesro:

1. Aktivera 2FA (2 faktors autentisering) på din mail. SMS är sämst, osäkrast, trögt och tråkigt att köra.
Välj alltid OTP(one time password), eller push (fråga) eller tom med en hårdvaru Yubikey (värt investeringen på en 500 hundring).
Och sätt ett lagom långt lösenord, en mening eller något i stil som inte är alltför oergonomiskt att lära sig och skriva.

2. Börja använda lösenordshanterare, kör unika lösenord till allt. Och då menar jag inte att du ska rotera password1, password2, password5, utan de ska vara långa 63+ tecken, slumpade eller till sajter som inte stöjdjer 2FA. I värsta fall spara lösenorden i molnet Google(Chrome) eller Firefox konton etc.. eller kör bitwarden, lastpass, 1password, keepass etc... spara i molnet om du kör nån egen lösning.

3. Kolla om dina kring tjänsterna stödjer 2FA, och aktivera det. Epic games, facebook, gmail etc.. alla vettiga stödjer nån form av fler faktors autentisering.

4. Tar inte sajterna/tjänsterna mer än t.ex. 12 teckens lösenord, (Finns ett fåtal kvar) kontakta deras support. påminn dem att lösenord har spelat ut sin roll i det moderna samhället.

5. Sätt inga idiotiska "Reset password questions". "What was the name of your first cat" eller "your mothers maiden name" etc. Allt det där går att samla sig information om man svarat ärligt. Även då bör man kontakta support och påminna dem att deras tjänst är feldesignad.

Det är inte bara användarna som måste ändra sig,, på nåt sätt har vi växt ifrån 'svaga' lösenord

Permalänk
Hedersmedlem
Skrivet av Jimi84:

För att få lite sinnesro:

1. Aktivera 2FA (2 faktors autentisering) på din mail. SMS är sämst, osäkrast, trögt och tråkigt att köra.
Välj alltid OTP(one time password), eller push (fråga) eller tom med en hårdvaru Yubikey (värt investeringen på en 500 hundring).
Och sätt ett lagom långt lösenord, en mening eller något i stil som inte är alltför oergonomiskt att lära sig och skriva.

2. Börja använda lösenordshanterare, kör unika lösenord till allt. Och då menar jag inte att du ska rotera password1, password2, password5, utan de ska vara långa 63+ tecken, slumpade eller till sajter som inte stöjdjer 2FA. I värsta fall spara lösenorden i molnet Google(Chrome) eller Firefox konton etc.. eller kör bitwarden, lastpass, 1password, keepass etc... spara i molnet om du kör nån egen lösning.

3. Kolla om dina kring tjänsterna stödjer 2FA, och aktivera det. Epic games, facebook, gmail etc.. alla vettiga stödjer nån form av fler faktors autentisering.

4. Tar inte sajterna/tjänsterna mer än t.ex. 12 teckens lösenord, (Finns ett fåtal kvar) kontakta deras support. påminn dem att lösenord har spelat ut sin roll i det moderna samhället.

5. Sätt inga idiotiska "Reset password questions". "What was the name of your first cat" eller "your mothers maiden name" etc. Allt det där går att samla sig information om man svarat ärligt. Även då bör man kontakta support och påminna dem att deras tjänst är feldesignad.

Det är inte bara användarna som måste ändra sig,, på nåt sätt har vi växt ifrån 'svaga' lösenord

Håller med på det stora hela, men 63+ tecken är ju bara bisarrt galet löjligt långt... Det gör det bara opraktiskt eftersom det blir hemskt att skriva om man av någon anledning tvingas till det. (Nån form där lösenordshanterare inte finns och paste inte fungerar.)

a-z är 26 tecken, A-Z 26 till, 0-9 10, och säg 15 specialtecken, totalt 77 möjligheter per tecken.
12 tecken ger 77^12 = 4*10^22 möjligheter vilket skulle ta 25 000 år att knäcka vid 50 miljarder hashes/sek, som förstås är brutalt mycket även om det är riktigt rutten säkerhet på sidan. Å andra sidan kan man väl knäcka det med 25 000 datorer på ett år, så lite mer vore väl bra.
16 tecken ger ungefär 10^12 år så långt längre än universums ålder.
24 tecken ger 10^37 år.
Och detta är rätt bäst case om man använder en dator. Med 24 tecken hjälper det förstås inte om man använder 100 miljarder datorer heller eftersom det skulle dra ner från 10^37 till 10^26 år...

... och på en väldesignad site blir det ju långt, långt värre iom att 50 miljarder hashes/sek är rent absurt för något väldesignat.

Dold text
Permalänk
Medlem

Min poäng är att man ska inte inte skriva lösenord, de har spelat ut sin roll. Oavsett, Mhash/sec är ointressant, sätt ett pris på det idag. Vad får man för en 500kr lapp i molnet idag? Jo man kan hyra en del Tesla kort ett par dagar... vad får man för samma peng om ett par år? Jag vill nog inte spekulera. Det kostar lika mycket att kopiera och klistra ett 12 teckens lösenord som ett 128 teckens lösenord.

Om nu Gates och framförallt herr Bill Burr till och med ångrar sig varför är det så stort motstånd? Copy paste fungear intill överallt, Mac och Linux har sällan sånna begräsningar. Vissa av password managers har dessutom autofill. Det är någon märkligt, exklusiv bakåtsträvande (återigen) Microsoftos påhitt att förhindra det clipboard användning.

Permalänk
Medlem

passfras 6 ord med skiljetecken https://www.rempe.us/diceware/#swedish - har också svenska ordlistor.

slumpsekvenser i kreditkorts-format https://www.passwordcard.org/en

minst 12 tkn med stora, små, siffror och symboler, 13 tkn med stora, små och siffror, för bara stora eller små och siffror 15, för enbart siffror 23 st.

Detta för ca 3500 års angreppstid vid 1000 miljarder tester i sekunden vilket man på myndighetsnivåer nådde för flera år sedan

För Windows inloggning är det alltid minst 15 tecken för passord/passfras av historiska skäl (SMB1 och NTLM v.1)

Permalänk
Medlem
Skrivet av Jimi84:

Min poäng är att man ska inte inte skriva lösenord, de har spelat ut sin roll. Oavsett, Mhash/sec är ointressant, sätt ett pris på det idag. Vad får man för en 500kr lapp i molnet idag? Jo man kan hyra en del Tesla kort ett par dagar... vad får man för samma peng om ett par år? Jag vill nog inte spekulera. Det kostar lika mycket att kopiera och klistra ett 12 teckens lösenord som ett 128 teckens lösenord.

Om nu Gates och framförallt herr Bill Burr till och med ångrar sig varför är det så stort motstånd? Copy paste fungear intill överallt, Mac och Linux har sällan sånna begräsningar. Vissa av password managers har dessutom autofill. Det är någon märkligt, exklusiv bakåtsträvande (återigen) Microsoftos påhitt att förhindra det clipboard användning.

Jag kör typ 16 random tecken och det är tillräckligt jobbigt att exempelvis skriva in lösenordet till Netflix med TV-kontrollen. 16 random tecken räcker gott och väl för att skydda sig mot brute-force-attacker och eftersom de är random så går de ju inte att knäcka med en dictionary-attack heller.

Permalänk
Hedersmedlem
Skrivet av Jimi84:

Min poäng är att man ska inte inte skriva lösenord, de har spelat ut sin roll. Oavsett, Mhash/sec är ointressant, sätt ett pris på det idag. Vad får man för en 500kr lapp i molnet idag? Jo man kan hyra en del Tesla kort ett par dagar... vad får man för samma peng om ett par år? Jag vill nog inte spekulera. Det kostar lika mycket att kopiera och klistra ett 12 teckens lösenord som ett 128 teckens lösenord.

Om nu Gates och framförallt herr Bill Burr till och med ångrar sig varför är det så stort motstånd? Copy paste fungear intill överallt, Mac och Linux har sällan sånna begräsningar. Vissa av password managers har dessutom autofill. Det är någon märkligt, exklusiv bakåtsträvande (återigen) Microsoftos påhitt att förhindra det clipboard användning.

När du loggar in på en Smart-TV då, t ex?
Självklart har alla bra managers autofill, och vettiga program tillåter paste. Jag kör med 24 tecken själv för att ha marginal, men över 32 känns mest löjligt nu och rätt många år framåt.

Permalänk
Medlem

På min förra arbetsplats så var det en kvinnlig kollega som fick det här mailet och kom springades till mig (jobbar som IT-Tekniker) och slänger ut sig:
"DET HÄR ÄR JU HELT SJUKT ATT DOM HAR FILMAT MIG, JAG SKA BÖRJA KLISTRA ÖVER KAMERAN PÅ KVÄLLARNA"
Det tog någon sekund innan hon insåg att hon precis berättat för mig att hon myser en hel del själv när lusten faller på, väldigt rolig situation som vi båda skrattade gott åt.

Permalänk
Medlem

Ett råd är att köpa ett skydd för kameran. Jag tror inte risken är jättestor att någon kan starta kameran utan att exempelvis lampan tänds eller så, men de här skydden kostar ju typ ingenting heller och det finns ju ingen anledning att ha en kamera konstant riktad mot en när man använder den max en procent av tiden liksom.

Permalänk
Medlem
Skrivet av Thomas:

När du loggar in på en Smart-TV då, t ex?
Självklart har alla bra managers autofill, och vettiga program tillåter paste. Jag kör med 24 tecken själv för att ha marginal, men över 32 känns mest löjligt nu och rätt många år framåt.

1) Finns det 'säkra' TVs? Mig vetterligen uppdareras de inte. Det enda smarta med dem är att klippa kontakten med världen.

2) Vill man köra botnät kan man väl lika gärna köra 4 teckens lösenord.

3) Om man nu behöver koppla ett USB tangetbord och mata in 64 tecken EN gång är det görbart kan jag tycka. Inte så att man behöver göra det varje gång man ska titta på TV.

Permalänk
Medlem
Skrivet av Jimi84:

1) Finns det 'säkra' TVs? Mig vetterligen uppdareras de inte. Det enda smarta med dem är att klippa kontakten med världen.

Om problemet är att de inte uppdateras så borde de väl i alla fall vara säkra till en början, eller? Min TV får dock uppdateringar fortfarande men när den slutar få det så blir det förstås läge att tänka över saker. Sen är jag och säkert de flesta här ganska petiga med vad man installerar på sin TV, jag valde exempelvis att inte installera Steam-streaming-appen för den kom inte från Valve och så. Men att ha Netflix och alla andra streamingtjänster i teven är en bättre upplevelse på flera sätt, inte minst är bilden i princip alltid bättre än externa enheters men man slipper också ha en extra låda som står och drar ström i onödan.

Citat:

2) Vill man köra botnät kan man väl lika gärna köra 4 teckens lösenord.

16 random tecken är säkert, det skulle ta många miljoner år att knäcka med brute-force och är oknäckbart med dictionaries och liknande. Men det måste ju vara slumpmässigt på riktigt, inte banka på tangentbordet eller liknande för då blir det mönster som försämrar allt rejält.

Citat:

3) Om man nu behöver koppla ett USB tangetbord och mata in 64 tecken EN gång är det görbart kan jag tycka. Inte så att man behöver göra det varje gång man ska titta på TV.

Det är inte jätteofta, men har man en handfull tjänster som man vill använda på flera enheter blir det ändå ganska jobbigt, speciellt om de inte stöder ett vanligt tangentbord utan tvingar en att använda ett klickhjul eller liknande. Men oavsett så räcker 16 tecken väldigt långt.

Sen får man ju tänka på konsekvenserna också. Det är något som ofta tappas bort i diskussioner om lösenord. Man ska aldrig återanvända lösenord, för tjänster där det kan få jobbiga konsekvenser. Om någon hackare kommer åt exempelvis mitt konto på Elgiganten så spelar inte det någon större roll, de kan se min adress och min orderhistorik liksom, inga sparade kreditkort eller liknande, så där är det mer acceptabelt med något mindre säkert. Eller ett exempel från verkligheten igår: Jag installerade Elite Dangerous på min XB, man var tvungen att logga in eller skapa ett konto hos utvecklaren för att kunna spela. Jag skulle kunnat generera ett säkert lösenord dit med lösenordshanteraren i telefonen, kopplat tangentbord till Xboxen och liknande, men jag tyckte inte det var någon större poäng med det, inte så att jag tog 1234 eller något, men ett lösenord som jag använder för liknande saker som är ganska svårknäckt men som jag kommer ihåg även om jag inte kommer ihåg kontot liksom.

Däremot om någon kom åt exempelvis ens MS, Apple eller Google-konto hade det kunnat bli värre konsekvenser, de hade inte kunnat få ut kortuppgifter kanske men kunnat köpa en massa saker och säkert komma åt andra tjänster genom mailåterställning av lösenord och liknande. Så tvåfaktors autentisering på allt sånt.

Värre är det med lösenord som man måste skriva in ofta och/eller måste bytas med jämna mellanrum. Typ lösenordet till jobbdatorn. Jag hade nog kunnat komma ihåg något riktigt kryptiskt men inte för långt, typ "£tTg&8+1faA" men jag hade inte orkat memorera ett nytt liknande var tredje månad. En lösenordshanterare i telefonen hade ju kunnat visa lösenordet för mig, men jag hade ju ändå behövt skriva in det manuellt varje gång jag skulle logga in på datorn, eller på diverse andra tjänster som är kopplade till samma AD. Min jobbtelefon är också nedlåst rätt kraftigt så jag kan inte kopiera saker mellan "jobbdelen" och resten av telefonen, så det hade varit ett väldigt flippande fram och tillbaka för att knappa in alla tecknen. Alltså blir det ett lite simplare lösenord med en "räknare" i slutet så att jag ska slippa lära om det hela tiden. Men hela tanken med att det är säkrare att tvinga byten av lösenord med jämna mellanrum är ju helt felaktig och inget som någon kunnig rekommenderar, inte ens MS sedan rätt många år nu. Det var nog tio år sedan jag pluggade IT-säkerhet men redan då sågs det som katastrof inom den världen.