Hur blev jag hackad?

Den 5.mars fick jag en epost om att ett av mina Microsoft epost/konto hade fått ny återställningsadress, och när jag 2 sekunder efter försökte logga inn så var självklart passordet också ändrat. Passordet var långt men hadde bara gemener, versaler och nummer, inga specialtecken alltså. Jag använder också samma passord på några speltjänster (det är mer av en familjekonto till barnen för just speltjänster). Ingen av speltjänsterna har blivit berörda. Kontot är knutet till min egen domän, ingen av dom andra kontoen knutet till samma tjänst (typ microsoft365 family med 5-6 konton) är (av allt att döma) påverkade.

Samma dag blev båda av mina Reddit-konton låsta efter at bottar hadde postat massa spam där. Dom hadde ingen koppling til Microsoft-kontot, och använder Gmail som konto/autentisering (altså loggar inn via Gmail, inte Gmail-epost som kontonamn).

Idag blev också mitt Facebook-konto hackat (och direkt spärrat). Mitt passord var typ fMnRQ42#65w5b9@v@s.

Den 5.mars bodde jag på ett hotell i Storbritannien och var tvungen att använda deres WiFi i en kort period för att sända några jobb-mail. Utöver att konton beskreven över är lagt till min Outlook, samt att passordet är registrerat i LastPass tror jag inte att jag har någon annan koppling till den på min laptop.

Nu börjar jag bli lite svettig. Vad kan ha hänt här?

Passordet til Lastpass är bytt, bara så det är sagt. Utöver den barnkonton har jag i stort sett bara 20+ tecken långa passord som är slump-genererade av LastPass med specialtecken.

//LD

Microsoft-kontot hadde inte det. Nu ska jag inte säga det med 100% säkerhet men tror jag har det på dom Gmail-kontona (som enbart blev använt til Reddit-profilerna). Dom var heller inte innloggede någonstans.

Lite osäker, men det var legit från Microsoft.

Ja, bytte då det hände.

//LD

Nej, det var legit, legit. När jag skulle kolla kontot i desktop-Outlook så fick jag pop-up på att jag skulle skriva in passordet där innan jag klickat på linken. I eposten står också vilken address som har blivit borttagen, som en "phisher" ju inte skulle veta. Microsoft har till slut också själva bekräftat detta när rapporterat det till dom.

Men absolut, i övrigt är jag enig med dig, största sannsynligheten att jag blir hackat är nog att jag skulle klicka på något sånt i ett ouppmärksamt tillfälle. På telefon syns det ju inte så tydlig när man maskar en epost med något som ser legit ut. Dom eposterna blir ju bara bättre och bättre (säkert med hjälp av KI).

Microsoft är för övrigt totalt värdelösa på att ordna upp i sådant här. Allt från deras tekniska lösning på nätet som vill att man ska logga inn på kontot som just har blivit hackat, till att man sitter i timmar (!) i en chat-tjänst (som i sig själv är komplicerad att komma till) som sen tar ännu en timma att få rapportera saken, till at dom inte gör en skit med det efteråt.

//LD

Är detta typ samma sak? Hur skydda sig? I "gamla dagar" kopplade man upp sig okritiskt till vilket som helst WiFi, men dels på grund av jobb och dels på grund av hur stort tryck det är på den här fronten, så har blivit relativt försiktig med det. Min första tanke var ju att hade hänt något i samband med det. Det känns dock som om dom fått tillgång på min dator så skulle det hänt mer än övertagning av några oviktiga konton. Jag har sjukt mycket som inte skal ut till några obehöriga i min OneDrive för exempel.

//LD

När det kommer til Facebook-kontot så fick jag en epost från Facebook klockan 09:56 om att någon lagt till en epost-adress till kontot.
Klockan 10:03 får jag en ny epost om at ännu en epost är lagt till (samma lokasjon i Hanoi, och samma enhet). På detta tidspunkt måste ju dom ha haft tillgång på kontot. Är det verkligen troligt att dom suttit på detta i snart en månad innom dom agerar? Eller kan det ha blivit hackat idag när jag bara suttit på mitt kablade nätverk på hemmakontor?
Klockan 10:04 får jag en epost från Facebook som säger att dom låst kontot och att ingen kan logga in.
Klockan 15:17 får jag en epost som säger att någon har använt (den andra) eposten som blev lagt till idag samt en kod för att logga inn. Dom skriver då att dom tar kontakt för att dom tror "att någon försöker hacka ditt konto", vilket ju ser sjukt konstig ut.

För övrigt; varför har en av världens största webbsidor - och troligen mest utsatta sidan för kontostöld - det mest phishing-liknande epost-kontot man kan tänka sig (security@facebookmail.com) och i tillegg alltid uppfordrar till at "klicka här". Borde det inte vara bättre att sådana eposter aldrig innehöll en länk att klicka på, men bara en referens till at gå till "modersidan" och fixa problemet?

//LD

Alltså, just nu är man ju lite paranoid. Möjligheterna för - och professionaliteten till - hackarna blir ju större för varje dag.

Idag kom det en ny e-posten från Facebook som frågar om jag just har loggat in "i närheten av Jakarta". Och igår kom det en epost men då stod det att någon "loggat in på mitt konta med en kod". Bägge dessa kommer alltså EFTER att Facebook har spärrat kontot (och berättat det för mig). Vilket självklart är extremt misstänksamt i sig själv. Men när jag tänker mig om kan jag ju fortfarande "logga in", det är bara att jag kommer till en sida som säger att jag är blockerad (testade nu och fick exakt samma epost från FB bara att det står Oslo, där jag bor).

Men jag klarar inte att se ett enda spår av att det inte skulle komma från Facebook. I tillägg ser e-posten pixel för pixel ut som den som kommer från Facebook och skriven på perfekt norska.

Från email header:

Authentication-Results: spf=pass (sender IP is 66.220.144.146)
smtp.mailfrom=facebookmail.com; dkim=pass (signature was verified)
header.d=facebookmail.com;dmarc=pass action=none
header.from=facebookmail.com;compauth=pass reason=100
Received-SPF: Pass (protection.outlook.com: domain of facebookmail.com

och...

X-Sender-IP: 66.220.144.146
X-SID-PRA: SECURITY@FACEBOOKMAIL.COM
X-SID-Result: PASS

DNS checker på IP:

https://dnschecker.org/ip-whois-lookup.php?query=66.220.144.1...

Och när jag checkar URL i knappen i e-posten (som uppmanar att rapportera om det inte var mig) på https://easydmarc.com/tools/phishing-url så får jag "URL Status: Clean".

Så då kvarstår frågan hur dom klarat att hacka ett 20 tecken långt passord av tillfälliga bokstäver, nummer och många specialtecken. Har inte varit på några osäkrade nätverk i år förutom den 5.mars. Känns lite konstigt att dom skulle hacka Reddit, och ett av (väldigt många) e-postkontor den 5.mars (som dom gjorde, oavsett hur och var det hände) men inte göra något med Facebook-kontot fören igår (och nu är det ju tydligen full aktivitet i syd-öst Asien!).

Det är också konstigt att bägge Reddit-konton använder Gmail-login separata adresser, och Google har inte rapporterat ett pip om att några konstiga inloggningar har hänt. Ingen passord eller återställningskonton har ändrats på dom - vilket får mig att tro att dom faktiskt inte har loggat in på Reddit via hackade Gmail-konton men på något annat vis. Det tog också mer äv vecka innan jag upptäckte det med Reddit. Och dom spärrade kontona i löpet av 1 dag tror jag (efter att bottar postat typ 100 kommentarer av extremt dålig kvalitet).

Inga spår av at epost-kontot hos MS har använts en enda gång. Microsoft kan inte återskapa det, så fick besked idag att det är raderat.

//LD

Jag använder både Avast och Malwarebytes. Ingen av dom har protesterat om något fuffens, och vid scan får jag "clean" från bägge.

Det här är en jobb-PC. Förutom att jag är inloggad på några privata sidor/tjänster så används den i stort sett till något privat - och i vart fall inte dom exempel som du hänvisar till.

//LD