Jouduin tietomurron uhriksi.

[khandaras]

Aloitetaan tarina näin. Jouduin tietomurron uhriksi maanantaina 7.8.2023. Töistä päästyäni huomasin puhelimeen tulleen pivo-ilmoituksia ostoista, joita en ollut itse tehnyt. Ensimmäinen reaktio oli ei saatana, äkkiä rahat pois käyttötililtä, tein tämän vielä ollessani työpaikalla. Tarkistin myös sähköpostini, ja sinne oli tullut kuitteja ostoksista joita en ollut itse tehnyt. Minulla on kotona pöytäkone, jota olen pitänyt 24/7 päällä, siellä on mm Plex-media palvelin, jolta välillä töissäkin musiikkia striimaan. Kotiin päästyäni kiireenvilkkaa koneelle katsomaan mitä siellä oikein tapahtuu, selaimessa oli auki jonkinlainen tekstiviestipalvelu ja ulkomainen verkkokauppa, josta ostot oli tehty. Ilmoitusalueelta (vai mikä se nyt windowsissa onkaan alhaalla oikealla kellon vieressä viralliselta nimeltään), huomasin olevan auki Anydesk -etähallinta ohjelmiston. Sellaista en tietenkään koskaan itse tietoisesti asentaisi. Huomasin myös tehtävien hallinnan kautta, että utorrent oli päällä, sitäkään sovellusta ei ole koneella ollut missään vaiheessa minun asentamana.

Tässä vaiheessa tilanteen vakavuus iski. Äkkiä soitto pankkiin, suljettiin verkkopankkitunnukset ja kuoletettiin kortti. Asun yksin, ovet olivat lukossa, ja muilla ei ole avainta asuntooni pääsemiseksi, joten fyysisesti kenenkään ei ole ollut mahdollista päästä koneelle. Lievä paniikki iski tilanteessa, joten ensimmäinen asia joka tuli mieleen, oli vetää windows sileäksi. Käytössä siis Win 11, uusimmat päivitykset jne. Olin siinä uskossa että windowsin defender ja palomuuri olisivat olleet riittävät hoitamaan homman. Windowsin uudelleen asennuksen jälkeen kävin vaihtamassa salasanat jokaikiseen palveluun, jota olen käyttänyt. Tottakai asiasta tein myös rikosilmoituksen, jota tosin ei vielä ole otettu käsittelyyn. Nyt jälkiviisaana olisi voinut windowsin uudelleen asennusta lykätä, jotta hyökkäyksestä olisi mahdollista kaivaa enemmän tietoja esille. Tietokone on ollut kokoajan ihan normi pelikäytössä, ei ole mitään silmiinpistävän epäilyttäviä ohjelmia asennettu, toki useita ohjelmia on tullut asennettua ja poistettua, kun on esim etsinyt sopivaa tuuletinhallinta ohjelmaa jne.

Sain Microsoftin kautta kaiveltua esille tuon tapahtumapäivän hakuhistorian. Tässä siis tapahtumat aikajärjestyksessä alhaalta alkaen, nuo aikaisen aamun tapahtumat ovat siis omaa surffailua ennen töihin lähtöä. Spoilerissa siis pitkälista sivuja joilla tunkeutujat/haittaohjelma on käynyt. Kaikki on tehty siis minun oman selaimen kautta.

Spoileri

DateTime,DeviceId,NavigatedToUrl,PageTitle,SearchTerms

8/7/2023 10:39:37 AM +00:00,g:6966544476804995,"https://www.g2a.com/cart","Buy & Sell Online: PC Games, Software, Gift Cards and More on G2A.COM",

8/7/2023 10:39:37 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/cart/order...3af-bde8-158888a2254b&order_id=92000077997384",www.g2a.com,

8/7/2023 10:39:25 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/0/#inbox",mail.google.com,

8/7/2023 10:39:12 AM +00:00,g:6966544476804995,"https://checkout.pay.g2a.com/method...cko-session-id=sid_joybqsznpolehaeul76ju7kewy",checkout.pay.g2a.com,

8/7/2023 10:39:12 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment/status?...actionId=6efaae3a-0a78-43af-bde8-158888a2254b",www.g2a.com,

8/7/2023 10:39:10 AM +00:00,g:6966544476804995,"https://api.checkout.com/sessions-interceptor/sid_joybqsznpolehaeul76ju7kewy",api.checkout.com,

8/7/2023 10:38:51 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment",www.g2a.com,

8/7/2023 10:38:32 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment/status?...actionId=0eb4892d-ae4c-4f11-bf63-9af006c4e189",www.g2a.com,

8/7/2023 10:38:25 AM +00:00,g:6966544476804995,"https://receive-sms.cc/Finland-Phone-Number/3584573987228",receive-sms.cc,

8/7/2023 10:38:21 AM +00:00,g:6966544476804995,"https://receive-sms.cc/Finland-Phone-Number/",receive-sms.cc,

8/7/2023 10:38:18 AM +00:00,g:6966544476804995,"https://www.google.com/search?q=Cou...69i57j69i58.2966j0j4&sourceid=chrome&ie=UTF-8",www.google.com,

8/7/2023 10:38:03 AM +00:00,g:6966544476804995,"https://www.is.fi/",www.is.fi,

8/7/2023 10:38:00 AM +00:00,g:6966544476804995,"https://whatismyipaddress.com/",whatismyipaddress.com,

8/7/2023 10:38:00 AM +00:00,g:6966544476804995,"http://127.0.0.1:32400/web/index.html#!/",127.0.0.1,

8/7/2023 10:38:00 AM +00:00,g:6966544476804995,"https://ntp.msn.com/edge/ntp?locale=fi&title=Uusi välilehti&dsp=0&sp=Google&startpage=1&PC=U531",ntp.msn.com,

8/7/2023 10:37:38 AM +00:00,g:6966544476804995,"https://whatismyipaddress.com/",whatismyipaddress.com,

8/7/2023 10:37:36 AM +00:00,g:6966544476804995,"https://www.google.com/search?q=my+...512l6j69i60.1681j0j1&sourceid=chrome&ie=UTF-8",www.google.com,

8/7/2023 10:37:16 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/get-key?ha...uQGdtYWlsLmNvbSJ9&sellerName=Ultimate_choices",www.g2a.com,

8/7/2023 10:37:14 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/register?s...oiYWxiZXJ0LmtvcmhvbmVuQGdtYWlsLmNvbSJ9&code=1",www.g2a.com,

8/7/2023 10:36:57 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/get-key?ha...uQGdtYWlsLmNvbSJ9&sellerName=Ultimate_choices",www.g2a.com,

8/7/2023 10:36:51 AM +00:00,g:6966544476804995,"https://checkout.pay.g2a.com/method...cko-session-id=sid_37jlngxsonruziwsobhrtn4yw4",checkout.pay.g2a.com,

8/7/2023 10:36:51 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment/status?...actionId=0eb4892d-ae4c-4f11-bf63-9af006c4e189",www.g2a.com,

8/7/2023 10:36:50 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/register?s...oiYWxiZXJ0LmtvcmhvbmVuQGdtYWlsLmNvbSJ9&code=1",www.g2a.com,

8/7/2023 10:36:49 AM +00:00,g:6966544476804995,"https://api.checkout.com/sessions-interceptor/sid_37jlngxsonruziwsobhrtn4yw4",api.checkout.com,

8/7/2023 10:36:28 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment",www.g2a.com,

8/7/2023 10:36:23 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/cart",www.g2a.com,

8/7/2023 10:36:20 AM +00:00,g:6966544476804995,"https://www.g2a.com/razer-gold-100-usd-razer-key-global-i10000187302114",www.g2a.com,

8/7/2023 10:36:18 AM +00:00,g:6966544476804995,"https://www.g2a.com/razer-gold-100-usd-razer-key-global-i10000187302114",www.g2a.com,

8/7/2023 10:36:10 AM +00:00,g:6966544476804995,"https://www.g2a.com/",www.g2a.com,

8/7/2023 10:35:39 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/cart/order...477-93d0-d95c246cd508&order_id=92000077997251",www.g2a.com,

8/7/2023 10:35:38 AM +00:00,g:6966544476804995,"https://www.g2a.com/cart","Buy & Sell Online: PC Games, Software, Gift Cards and More on G2A.COM",

8/7/2023 10:35:35 AM +00:00,g:6966544476804995,"https://checkout.pay.g2a.com/method...cko-session-id=sid_sdrwzm2njj5urp5foayz7dly3q",checkout.pay.g2a.com,

8/7/2023 10:35:35 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment/status?...actionId=ac1f6065-68a8-4477-93d0-d95c246cd508",www.g2a.com,

8/7/2023 10:35:33 AM +00:00,g:6966544476804995,"https://api.checkout.com/sessions-interceptor/sid_sdrwzm2njj5urp5foayz7dly3q",api.checkout.com,

8/7/2023 10:35:07 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment",www.g2a.com,

8/7/2023 10:35:05 AM +00:00,g:6966544476804995,"https://www.paypal.com/incontext?token=EC-1DW76053P3935250S&useraction=commit",www.paypal.com,

8/7/2023 10:34:53 AM +00:00,g:6966544476804995,"https://www.g2a.com/payment",www.g2a.com,

8/7/2023 10:34:40 AM +00:00,g:6966544476804995,"https://global.bittrex.com/account/register",global.bittrex.com,

8/7/2023 10:34:37 AM +00:00,g:6966544476804995,"https://www.g2a.com/page/cart",www.g2a.com,

8/7/2023 10:34:30 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/1/#search/binance",Hakutulokset - albert.korhonen@gmail.com - Gmail,

8/7/2023 10:34:28 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/1/#search/binance/FMfcgxwLtQKNMVNMQvBmmFwTszQsMQSL",Hakutulokset - albert.korhonen@gmail.com - Gmail,

8/7/2023 10:34:07 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/1/#search/binance",Postilaatikko (19) - albert.korhonen@gmail.com - Gmail,

8/7/2023 10:33:46 AM +00:00,g:6966544476804995,"https://www.g2a.com/razer-gold-100-usd-razer-key-global-i10000187302005",www.g2a.com,

8/7/2023 10:33:44 AM +00:00,g:6966544476804995,"https://www.g2a.com/razer-gold-100-usd-razer-key-global-i10000187302005",www.g2a.com,

8/7/2023 10:33:37 AM +00:00,g:6966544476804995,"https://www.g2a.com/",www.g2a.com,

8/7/2023 10:33:31 AM +00:00,g:6966544476804995,"https://www.amazon.de/-/en/gp/your-account/order-history?ref_=ya_d_c_yo",www.amazon.de,

8/7/2023 10:33:29 AM +00:00,g:6966544476804995,"https://www.amazon.de/-/en/gp/css/homepage.html?ref_=nav_youraccount_btn",www.amazon.de,

8/7/2023 10:33:27 AM +00:00,g:6966544476804995,"https://www.amazon.de/",www.amazon.de,

8/7/2023 10:33:19 AM +00:00,g:6966544476804995,"https://btc-e.com/exchange/ltc_usd",btc-e.com,

8/7/2023 10:33:18 AM +00:00,g:6966544476804995,"https://btc-e.com/exchange/ltc_usd",btc-e.com,

8/7/2023 10:31:54 AM +00:00,g:6966544476804995,"https://accounts.google.com/info/se.../u/1/b/113636756235896026591?pli=1&authuser=1",accounts.google.com,

8/7/2023 10:31:48 AM +00:00,g:6966544476804995,"https://photos.google.com/u/0/?pli=1&pageId=none",photos.google.com,

8/7/2023 10:31:42 AM +00:00,g:6966544476804995,"https://photos.google.com/u/0/search/backup",binance - Google Kuvat,

8/7/2023 10:31:38 AM +00:00,g:6966544476804995,"https://photos.google.com/u/0/search/binance",Kuvat - Google Kuvat,

8/7/2023 10:31:32 AM +00:00,g:6966544476804995,"https://photos.google.com/u/0/?pli=1&pageId=none",photos.google.com,

8/7/2023 10:31:28 AM +00:00,g:6966544476804995,"https://photos.google.com/u/1/?pli=1",2fa - Google Kuvat,

8/7/2023 10:31:24 AM +00:00,g:6966544476804995,"https://photos.google.com/u/1/search/2fa",binance - Google Kuvat,

8/7/2023 10:31:22 AM +00:00,g:6966544476804995,"https://photos.google.com/u/1/search/binance",backup - Google Kuvat,

8/7/2023 10:31:17 AM +00:00,g:6966544476804995,"https://photos.google.com/u/1/search/backup",Kuvat - Google Kuvat,

8/7/2023 10:30:15 AM +00:00,g:6966544476804995,"https://download.anydesk.com/AnyDesk.exe",download.anydesk.com,

8/7/2023 10:30:14 AM +00:00,g:6966544476804995,"https://anydesk.com/en/downloads/windows?dv=win_exe",anydesk.com,

8/7/2023 10:30:12 AM +00:00,g:6966544476804995,"https://anydesk.com/en",anydesk.com,

8/7/2023 10:29:41 AM +00:00,g:6966544476804995,"https://photos.google.com/u/1/?pli=1",photos.google.com,

8/7/2023 10:29:34 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/1/#inbox",Gmail,

8/7/2023 10:29:33 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/1/",mail.google.com,

8/7/2023 10:29:28 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/0/#inbox",Gmail,

8/7/2023 10:29:27 AM +00:00,g:6966544476804995,"https://mail.google.com/mail/u/0/",mail.google.com,

8/7/2023 10:29:12 AM +00:00,g:6966544476804995,"https://accounts.binance.com/en/log...6Ly93d3cuYmluYW5jZS5jb20vZW4vbXkvZGFzaGJvYXJk",Log In | Binance,

8/7/2023 10:29:09 AM +00:00,g:6966544476804995,"https://accounts.binance.com/en/log...6Ly93d3cuYmluYW5jZS5jb20vZW4vbXkvZGFzaGJvYXJk",Bitcoin Exchange | Cryptocurrency Exchange | Binance,

8/7/2023 10:28:59 AM +00:00,g:6966544476804995,"https://accounts.binance.com/en/log...6Ly93d3cuYmluYW5jZS5jb20vZW4vbXkvZGFzaGJvYXJk",accounts.binance.com,

8/7/2023 10:28:53 AM +00:00,g:6966544476804995,"https://www.binance.com/en",www.binance.com,

8/7/2023 10:28:51 AM +00:00,g:6966544476804995,"https://www.cdkeys.com/checkout/cart/",www.cdkeys.com,

8/7/2023 10:28:27 AM +00:00,g:6966544476804995,"https://www.paypal.com/authflow/two...=authContext:c12183acfe7649fe9eb5e508442cbb95",www.paypal.com,

8/7/2023 10:28:23 AM +00:00,g:6966544476804995,"https://www.paypal.com/checkoutnow?...YmxsYnpoZnZxIn19&xcomponent=1&version=5.0.390",www.paypal.com,

8/7/2023 10:28:16 AM +00:00,g:6966544476804995,"https://www.cdkeys.com/?q=pubg",Get up to 90% off best selling video games | CDKeys.com,

8/7/2023 10:28:09 AM +00:00,g:6966544476804995,"https://www.cdkeys.com/",www.cdkeys.com,

8/7/2023 3:26:45 AM +00:00,g:6966544476804995,"https://www.iltalehti.fi/saauutiset/a/e13ab1e5-0c8e-4f80-b646-7d18781a3221",Iltalehti | IL - Suomen suurin uutispalvelu,

8/7/2023 3:26:35 AM +00:00,g:6966544476804995,"https://www.iltalehti.fi/",www.iltalehti.fi,

8/7/2023 3:25:53 AM +00:00,g:6966544476804995,"https://www.is.fi/",www.is.fi,

8/7/2023 3:12:11 AM +00:00,g:6966544476804995,"https://www.youtube.com/",www.youtube.com,

Ilmeisesti siis koneella on ollut jokin haittaohjelma, joka on yrittänyt kirjautua useammalle verkkosivulle ensin, ja sitten koneelle ladattu Anydesk ja otettu etäyhteydellä haltuun. Tässähän on googlekuvia ja sähköpostia myöten käyty kaikki tonkimassa läpi, ja vain luoja tietää mitä tuon etäyhteyden avulla on saatu haettua. Kenties utorrent oli päällä lähettääkseen tietojani hyökkäävälle taholle. Nuo ostot tuolta g2a palvelusta olivat siis Razer Goldia 100 dollarin arvosta kolme kertaa. Tilillä olisi ollut enemmänkin rahaa käytettävissä, onneksi ei kaikki mennyt. Ilmeisesti selaimeen on sitten ollut tallennettuna maksukortin tiedot, jotta nuo ovat onnistuneet. Kuiteissa näkyy maksutapana Google Pay. Koneelle murtautunut taho on todennäkoisesti saanut haltuunsa myös henkilötietoni, koneella ollut CV ja muita dokumentteja tallennettuna. Eli siis identiteettivarkaus myös samalla.

Nyt on tosiaan kaikki salasanat vaihdettu (on muuten yllättävän iso projekti, ei sitä uskoisikaan miten moneen palveluun on tullut vuosien aikana kirjauduttua), Windows asennettu uudestaan, otin F-securen ja malwarebytesin käyttöön, modeemin asetukset tarkistin ja vaihdoin sinnekin salasanan. Selainasetuksista otin opikseni, nyt koneella ei selain aukea ollenkaan ilman salasanaa, ja kaikki tiedot poistetaan joka kerta selaimen sulkemisen yhteydessä. En enää jätä konetta auki ollessani pois kotoa. Nyt odotan että poliisi saa rikosilmoituksen käsiteltyä, jotta voin tehdä pankkiin reklamaation tapauksesta. Minulla harmillisesti oli henkilökortti ja passi menneet vanhaksi muutama kuukausi sitten, joten ei ole mahdollista saada uusia verkkopankkitunnuksia hetkeen. Uusi kortti onneksi tulee viikon sisään.

Kysyisinkin onko foorumilaisilla kokemuksia vastaavasta tai vinkkejä miten jatkossa estää vastaavat tilanteet, tai yleisesti vinkkejä tietoturvan parantamiseksi.

-khandaras

 

[Sulava]

Harmi, että menit jo wipettämään Windowsin, koska nyt menee pitkälti arvailuksi selvittää miten koneelle on päästy käsiksi. Muutama vaihtoehto, miten vastaavissa tapauksissa yleensä päästään sisälle:

1) Asensit vahingossa ohjelmiston, jonka mukana sait haitakkeen koneelle. Näitä on hyvin paljon legittien ohjelmien Googlen haun mainoksissa ja kräkätyissä versioissa. Yleensä lähettävät kaikki salasanat, kirjautumistokenit yms hyökkääjälle ja samalla antavat etäyhteyden.
2) Jokin portti ollut auki julkiverkkoon. Yleensä RDPn kautta päästään sisälle, mutta on myös tapauksia jossa päivittämättömän Plexin kautta on saatu kone haltuun. Muistaakseni esim Lastpass korkattiin juuri devin henkkoht Plexin kautta. Nykyisen asennuksen avoimet portit voit tarkistaa esim GRCn ShieldsUpilla.
3) Joku käytössä ollut sovellus on korkattu ja sitä kautta levitetty haitallista versiota. Tämä varmaan epätodennäköisin, koska en muista ainakaan julkisuudessa olleen viime aikoina tälläistä tapausta.
4) Ohjelmassa ollut haava, jonka kautta hyökkääjä saanut ajettua koodia. Esim Minecraftin BleedingPipe tulee lähiajoilta mieleen.

Salasanat olet jo vaihtanutkin, mutta kannattaa vielä nollata kirjautumiset palveluista joissa se on mahdollista. Salasanan vaihto ei aina kirjaa laitteita ulos, joten hyökkääjä voi päästä pelkällä varastetulla tokenilla sisälle. Ainakin Google, Steam ja Discord tokeneita haitakkeet tykkäävät kaappaavan, joten kannattaa ainakin niiden kirjautumiset nollata.
Selaimen salasanasuojaus tuntuu aika turhalta omalta mielestäni, Nuo on yleensä tavalla tai toisella kierrettävissä, eli aiheuttaa vain pientä päänvaivaa hyökkääjälle.

Spoilerissa muuten näkyy sinun henkilötietoja (esim email), joten kannattaa sensuroida jos et tarkoituksella laittanut niitä näkyville.

 

[Kautium]

Olin siinä uskossa että windowsin defender ja palomuuri olisivat olleet riittävät hoitamaan homman.

Tähän sellainen, että kyllä nämä siihen tarkoitukseen riittäväkin mihin ne on suunniteltu. Vaan jos koneelle asentaa itse jonkin sovelluksen, joka on auki ulkoverkkoon ja antaa sille myös luvan liikennöidä, niin sitten jos siinä sovelluksessa on joku tietoturva-aukko ja sen kautta tulee joku kutsumaton vieras sisään, niin eipä niistä sitten ole mitään apua. Hyökkääjä on sitten asentanut sen Anydeskin ja käytellyt konetta sitä kautta.

Defender torjuu tunnettuja haittaohjelmia ja palomuurilla rajoitetaan yhteyksiä. Mitään erityistä haittaohjelmaa koneessa ei välttämättä ole ollut, tai sitten olet itse antanut jollakin epämääräiselle softalle itse luvan toimia niitä "tuuletinhallintasoftia" tms. testaillessasi ja samaten myös palomuurissa oli sitä kautta portteja todennäköisesti auki. Jos kyse ei ollut jostakin itse asentamastasi ohjelmasta ja Plex-server on tosiaan pyörinyt sinä samassa koneessa ja se ollut auki ulkoverkkoon, niin sitten syyttäisin sitä, mikäli koneessa ei ollut muita vastaavia palveluita.

Rikosilmoitus ei tuossa ikävä kyllä auta, kun ei poliisilla ole resursseja tutkia kaikkia yksityishenkilöiden tapauksia, eikä tuossa ole enää mitään mitä tutkiakaan, kun käyttis on asennettu uusiksi ja sitä kautta käytännössä kaikki jäljet ovat kadonneet.

 

[Algron28]

Eniten nyt itsellä mietityttää miten tässä on rahaa saatu käytettyä? Eikö ole ollut kaksivaiheista tunnistautumista käytössä?

 

[khandaras]

Kiitos vastauksista. Joo, tuon tajusin liian myöhään ettei käyttistä olisi kannattanut pyyhkiä, jonkinlainen paniikki oli päällä tilanteessa. En oletakaan että rikosilmoituksen tekemällä asia millään tavalla ratkeaisi tai tekijää saadaan kiinni, sen tiedän olevan turha toivo, mutta rikosilmoitus on vaatimuksena jotta voi pankille reklamoida luvattomat maksut- Näin kehotettiin pankista tekemään. Sekään ei tietenkään ole tae, että rahoja koskaan saisi takaisin, mutta toimin kuten pankista ohjeistettiin. Kirjautumiset nollasin kaikista palveluista jotka sen antoivat tehdä, useita käyttäjätunnuksia myös poistin kokonaan mikäli sellainen mahdollisuus oli.

Tosiaan mitään niin hämärää softaa ei ole ollut asennettuna, tai annettu käyttölupaa sellaiselle, joka mielestäni selittäisi tuota. Kaikki kuitenkin olleet tällaisiä yleisessä suosiossa olevia softia. Tuuletinhallintasofta oli toki vain esimerkki, itse yleensä kokeilen useampaa sovellusta ennen kuin päätän mitä haluan käyttää. Todennäköisintähän se on että jostain näistä se kuitenkin on tullut. Plex on ollut tottakai päivitettynä uusimpaan versioon, mutta tottakai sieltäkin kautta on ollut mahdollisuus päästä sisään.

Nuo käyttäjätiedot spoilerissa saavat olla näkyvissä, ne ovat "total loss" kuitenkin. Enkä minä tässä nyt ole sanomassa että olisi kenenkään muun kuin itseni vika koko homma.

Kaksivaiheinen tunnistus on käytössä sekä google-tilillä, että microsoft-tilillä, ja pankkiasioimiseen tottakai myös. Ilmeisesti kortin tiedot olivat tallennettuna selaimeen kuitenkin.

 

[Admiral General Aladeen]

Olisi kyllä mielenkiintoista tietää, että mikä on se "pöpö" jonka kautta on tultu sisälle ja asennettu etähallinta, varsinkin jos ei ole kone täynnä piraattipelejä. Tiedän... öhöm... yhden sun toisen joilla koneet pursuaa piraattisoftaa eikä ole vielä tuollaista tapahtunut.
Tarinan opetus taitaa olla ainakin, ettei anneta Googlelle ja selaimille luottokorttitietoja. Rahat on sellaisten salasanojen takana, että vaikka joku saa tietokoneet ja puhelimet hallintaansa, niin tilille ei pääsyä.

 

[jessenic]

Google Pay tarkoittaa Google-tiliin liitettyä pankkikorttia. Ilmeisesti sillä voi kiertää pankin lisävahvistukset, koska Google-tilihän on ehtojen mukaan aina henkilökohtaisessa käytössä?

 

[Hyrava]

Olisi kyllä mielenkiintoista tietää, että mikä on se "pöpö" jonka kautta on tultu sisälle ja asennettu etähallinta, varsinkin jos ei ole kone täynnä piraattipelejä. Tiedän... öhöm... yhden sun toisen joilla koneet pursuaa piraattisoftaa eikä ole vielä tuollaista tapahtunut.
Tarinan opetus taitaa olla ainakin, ettei anneta Googlelle ja selaimille luottokorttitietoja. Rahat on sellaisten salasanojen takana, että vaikka joku saa tietokoneet ja puhelimet hallintaansa, niin tilille ei pääsyä.

Itse veikkaisin jotain selainlaajennusta, pelin modia tai vastaavaa. Noista pelien modeissa olevia haitakkeita on välillä uutisissa ollut.

 

[Leatherman]

Eikös selaimeen tallennettu luottokortti kuitenkin vaadi aina myös sen CVC koodin. Eli vaikka tallentaisi kortin tiedot selaimeen, ei ole mahdollista tehdä ostoksia koska CVC puuttuu. Ja tosiaan, ainakin Nordealla tuntuu olevan 2 vaiheinen vahvistus korttiostoille. G2A ei tue Google pay:ta, niin mietityttää että miten ihmeessä varas on saanut maksutiedot?

Tietoturvasta sen verran että ite käytän Windowsin oman palomuurin jatkeena Malwarebytesin Windows Firewall Controllia, joka siis käytännössä vain muuttaa Windows palomuurin asetuksia. Oletuksena kaikki on blockattu ja kun asennan esim uuden pelin joka yrittää ottaa yhteyttä verkkoon, palomuuri antaa popupin josta voin sen sallia. Mutta mikään ei käytä koneella nettiä ellen ole sitä erikseen sallinut.

 

[Kautium]

Eikös selaimeen tallennettu luottokortti kuitenkin vaadi aina myös sen CVC koodin. Eli vaikka tallentaisi kortin tiedot selaimeen, ei ole mahdollista tehdä ostoksia koska CVC puuttuu. Ja tosiaan, ainakin Nordealla tuntuu olevan 2 vaiheinen vahvistus korttiostoille. G2A ei tue Google pay:ta, niin mietityttää että miten ihmeessä varas on saanut maksutiedot?

Riippuu palvelusta. Osa kysyy ja osa ei.

Minäkin jos nyt tästä avaan esim. Amazonin verkkokaupan, niin sivu aukeaa sellaisenaan kun siellä on vanha sessio voimassa. Siitä sitten vaan kamaa ostoskoriin ja se on kaksi klikkausta ja pakettia tulee viikon päästä ovelle, eikä välissä ole mitään lisätarkistuksia. Jos olisi tunnus talletettuna selaimeen, niin ei haittaisi edes vaikka välissä olisi kirjautumisvaatimus.

Oletettavasti haxorit tietävät entuudestaan kasan palveluita missä on mahdollisimman löyhät tarkistukset ja sitten jos sieltä vielä tilailee digitaalista kamaa, niin ei tarvitse huolehtia toimitusosoitteestakaan. Monilla on lisäksi talletettuna luottokortin tiedot, voimassaoloajat, CVC-koodit sun muut sellaisenaan selväkieliseen tiedostoon, joten peli on aika pitkälti menetetty jos sellaiseen pääsee käsiksi.

 

[Algron28]

Itse olen vähentänyt korttitietojen vääriin käsiin päätymisen vaikutuksia erillisellä kortilla nettiostoksiin yms ja tilillä jossa ei säilytetä rahaa. Toki se lisää vähän vaivaa mutta eipähän pelota että joku tyhjää rahat.

 

[mikajh]

vinkkejä miten jatkossa estää vastaavat tilanteet, tai yleisesti vinkkejä tietoturvan parantamiseksi

Kun huomaa, että jollakin koneella on ehkä jotain hämärää tekeillä, niin ensimmäinen ohje on mitä pikimmin katkaista verkkoyhteydet (piuha irti) ja/tai sammuttaa koko kone (vaikka sitten brutaalisti virtapiuha irrottamalla). Laptop ja wifi tekevät asian hieman hitaammaksi. Sen jälkeen konetta ei saa enää kytkeä verkkoon, varsinkaan internetiin.

Oliko mahdollisesti Windowsin käyttäjätunnuksella Administrator/järjestelmänvalvojan oikat? Jos kyllä, niin se helpottaa suunnattomasti vallatun koneen väärinkäyttöä

 

[Ihmemies MacGyver]

Itse olen vähentänyt korttitietojen vääriin käsiin päätymisen vaikutuksia erillisellä kortilla nettiostoksiin yms ja tilillä jossa ei säilytetä rahaa. Toki se lisää vähän vaivaa mutta eipähän pelota että joku tyhjää rahat.

Joo. Pankkikortit (joilla rahaa) ja tietokoneet mahdollisimman etäällä toisistaan!

Itseltäni tyhjennettiin myös tili jokunen vuosi sitten kun jokin verkkokauppa oli hakkeroitu ja vuoti luottokortti tietoni. Alkoi yhtäkkiä tulla ostoksia ympäri maailmaa.

Vaikka oma tietoturvani on täysin maksimi ja puhelimet menee roskiin kun päivitykset loppuu, niin ulkopuolisiin ei voi silti luottaa.

Nykyään en enää maksa suoraan omilla korteilla, vaan aina jokin Paypal, Klarna tai jokin muu välikäsi... mutta ainahan siinä on riski että nekin hakkeroidaan, mutta ehkä epätodennäköisempää kuin jokin random verkkokauppa.

 

[tkhyla]

Oliko mahdollisesti Windowsin käyttäjätunnuksella Administrator/järjestelmänvalvojan oikat? Jos kyllä, niin se helpottaa suunnattomasti vallatun koneen väärinkäyttöä

Tämä on oikeasti juuri se asia mihin ei vielä panosteta tarpeeksi. Työpaikoilla nämä on paremmin kunnossa mutta omilla henkilökohtaisilla koneilla kotona pidetään admin oikkia normaalilla käyttäjällä.

 

[Obi-Lan]

Piditkö konetta lukittuna kun olit poissa?

 

[jessus]

Tämä on oikeasti juuri se asia mihin ei vielä panosteta tarpeeksi. Työpaikoilla nämä on paremmin kunnossa mutta omilla henkilökohtaisilla koneilla kotona pidetään admin oikkia normaalilla käyttäjällä.

Suosittelen myöskin, että admin-tunnus olisi erillään ja arkikäyttäjällä rajoitetut oikeudet.

Mutta, kyllähän noista Teamvieweristä ja Anydesk ohjelmista on portable-versiot jotka toimii ilman asennusta, adminia tai palomuurin avaamista, eli limited-käyttäjällä pystyy ihan samanlaisen etäkäytön koneelle ja sitten Google Pay toimiin.

 

[escalibur]

Suosittelen myöskin, että admin-tunnus olisi erillään ja arkikäyttäjällä rajoitetut oikeudet.

Mutta, kyllähän noista Teamvieweristä ja Anydesk ohjelmista on portable-versiot jotka toimii ilman asennusta, adminia tai palomuurin avaamista, eli limited-käyttäjällä pystyy ihan samanlaisen etäkäytön koneelle ja sitten Google Pay toimiin.

TeamVieweria ja AnyDeskiä voi rajoittaa, tai ainakin hankaloittaa DNS-suodatuksilla. Esim. ikä-, lapsi- ja ei-teknisille ihmisille tuo voi olla yllättävänkin merkittävä suoja.

 

[user9999]

Saako Windowssissa pakotettua, että softia pystyy asentamaan vain Windows Storesta?
Itsellä on maccejä niin olen pakottanut, että softia pystyy asentamaan vain apps storesta. Jos tuon haluaa muuttaa niin, että onnistuu asennukset myös netistä ladatuille tiedostoille niin vaatii admin tunnukset. En käytä admin tiliä vaan normaalia tiliä. Harvoin tulee mitään uusia softia asennettua.

Kuvassa ladattu Teamviewer netistä ja yritetty ajaa softaa.

Spoileri

Apps Storea olen taas kiristänyt niin, että sieltä ei pysty asentamaan mitään ilman Touch ID, Face ID, pääsykoodia tai salasanaa.

Edit: Jos softan pystyy jostakin syystä ajamaan niin koneen palomuuri estää kyseisen softan liikenteen nettiin eli pitää sallia erikseen.

Spoileri

/SPOILER]

 

[an7i5ankar1]

Saako Windowssissa pakotettua, että softia pystyy asentamaan vain Windows Storesta?
Itsellä on maccejä niin olen pakottanut, että softia pystyy asentamaan vain apps storesta. Jos tuon haluaa muuttaa niin, että onnistuu asennukset myös netistä ladatuille tiedostoille niin vaatii admin tunnukset. En käytä admin tiliä vaan normaalia tiliä. Harvoin tulee mitään uusia softia asennettua.

Kuvassa ladattu Teamviewer netistä ja yritetty ajaa softaa.

Spoileri

Apps Storea olen taas kiristänyt niin, että sieltä ei pysty asentamaan mitään ilman Touch ID, Face ID, pääsykoodia tai salasanaa.

Edit: Jos softan pystyy jostakin syystä ajamaan niin koneen palomuuri estää kyseisen softan liikenteen nettiin eli pitää sallia erikseen.

Spoileri

/SPOILER]

Luulisi että saa, mutta Windows Store on aika suppea jos koneella meinaa jotain hyödyllistä tehdä.

Uusien kotikoneiden mukana tulee usein Windows 11 S, jossa S tarkoittaa moodia jossa vain Storesta pystyy asentamaan ohjelmia. Yleensä ensimmäinen mitä noille markettikoneille pitää tehdä on poistua S-mode tilasta, jotta sinne saa yhtään mitään järkevää asennettua.

Windowsin palomuuri oletuksena blokkaa vain sisäänpäintulevia yhteyksiä, kaikki ulospäinmenevät yhteydet oletuksena sallitaan, eli Teamviewer jne. joille riittää että ohjelma ottaa yhteyttä ulkomaailman serveriin, saa toimimaan heti ilman eri kyselyitä.

Tietoturvan kannalta ideaalitilanne olisi, että käyttäjätili ei olisi ikinä admin, palomuurit olisi kaikki oletuksena suljettu sisään ja ulos ja vain admin-oikeuksilla voi avata palomuurin uudelle ohjelmalle.

 

[user9999]

Luulisi että saa, mutta Windows Store on aika suppea jos koneella meinaa jotain hyödyllistä tehdä.

Ei tuo Applen Apps Store sisällä kaikkia softia mitä tarvitsen. Jos haluan vaikka asentaa Vmware Fusion softan niin imuroin sen vmwaren sivulta ja vaihdan väliaikaiseti App Store --> App Store and identified developers asetukseen. Softan asennus ja sitten vaihdan takaisin tuohon pelkkään App Storeeen.

 

[MrB]

Saako Windowssissa pakotettua, että softia pystyy asentamaan vain Windows Storesta?

Väittäisin että onnistuu. Muistelen että asensin Visual Studio Coden storesta ilman ongelmia. Sitten WSL varten piti kyllä pyytää administratocasteria apuun - siis yhäkin Windows Storesta. Olisiko firmalla joku perussetti whitelistattu tai sitten kun WSL asennus joutuu hipistelemään Winkkarin enablotuja ominaisuuksia, niin sen takia vaati lisää voimaa.

 

[talvensa]

Kahdella asialla pärjää jo pitkälle, user tason tunnukset normikäyttöön kuten täällä on jo mainittu.
Toisena kahden eri koneen käyttö. Toinen viralliseen asiointiin, jossa ei ole kuin välttämättömät ohjelmat asennettuna. Toinen sitten vähän vapaampaan temmeltämiseen verkossa.
Itsellä useampi kone käytössä ja jokainen kaupallisen palomuuri / virussoftan alaisena.
Sama pätee puhelimiin, toinen hoitaa rahaliikennettä jne ja toisella voi surffailla vapaammin. Molemmissa myös tieturvasoftat käytössä.
Omat tietoni vuodettiin nettiin oppilaitoksen kautta reilut kymmenen vuotta sitten. Olin jo aikaisemmin laitoksen tietoturvakäytännöt kyseenalaistanut jolloin sain vain kommentin paikalliselta sählääjältä että joku päivä saan turpaani. Odottelen edelleen.
Tapauksen vuoksi olen salannut kaikki tietoni mitä voin, henkilötunnusta vaan valitettavasti en voi vaihtaa.
Ostan vain yrityksistä netissä johon käy joku tunnettu maksun välittäjä ja josta ei ole pahempaan kritiikkiä kuulunut. Ei siis luottokortin tietojen antamista myyjälle. Klarnan täällä joku mainitsi, ei ikinä, täysin suojaamaton systeemi edelleen, vaikka vuosia ovat aiheesta viranomaishuomattuksia saaneet.
Pitäisikö käteinen raha palauttaa suuremmin käyttöön koska siinä kuluttajan tietoturva on kunnossa?
Ulkomailla matkaillessa ollut aina setelitukko taskussa, myös Suomessa maksan pikkupuljujen ostokset aina käteisellä.
Liioittelua tai sitten ei, tehkööt jokainen omat päätöksensä ja valintansa.

 

[sammy73]

Oliko modeemin jatkeena mitään reititintä? Oliko mikä modeemi käytössä?

 

[HTK12]

Riippuu palvelusta. Osa kysyy ja osa ei.

Minäkin jos nyt tästä avaan esim. Amazonin verkkokaupan, niin sivu aukeaa sellaisenaan kun siellä on vanha sessio voimassa. Siitä sitten vaan kamaa ostoskoriin ja se on kaksi klikkausta ja pakettia tulee viikon päästä ovelle, eikä välissä ole mitään lisätarkistuksia. Jos olisi tunnus talletettuna selaimeen, niin ei haittaisi edes vaikka välissä olisi kirjautumisvaatimus.

Oletettavasti haxorit tietävät entuudestaan kasan palveluita missä on mahdollisimman löyhät tarkistukset ja sitten jos sieltä vielä tilailee digitaalista kamaa, niin ei tarvitse huolehtia toimitusosoitteestakaan. Monilla on lisäksi talletettuna luottokortin tiedot, voimassaoloajat, CVC-koodit sun muut sellaisenaan selväkieliseen tiedostoon, joten peli on aika pitkälti menetetty jos sellaiseen pääsee käsiksi.

Meekö tuo todella näin, että esim. Amazon voi tilata ilman mitään tunnistusta kirjautuneella käyttäjällä? Itse tuossa kun viimeksi tilasin Amazonista, niin kyllä piti Nordea ID-sovelluksella hyväksyä (jos en nyt ihan väärin muista). Samoin kun tankkaan, niin aina pitää Nordea ID:llä se hyväksyä esim. ST1-sovellusta maksamiseen käytettäessä. Vai onko tässä eroja pankkien välillä ja osa ei vaadi tuota tunnistusta kuten Nordea? En nyt ihan heti muista mitä olisin netistä ostanut luottokortilla ilman, että piti Nordea ID-sovelluksella varmentaa.

Tuota en kyllä ymmärrä miksi ne luottokortin tiedot mennään sinne tietokoneelle tallentamaan selväkielisenä. Aivan idioottien touhua.

Nykyään en enää maksa suoraan omilla korteilla, vaan aina jokin Paypal, Klarna tai jokin muu välikäsi... mutta ainahan siinä on riski että nekin hakkeroidaan, mutta ehkä epätodennäköisempää kuin jokin random verkkokauppa.

Siis tietoturva olevinaan maksimit, mutta käytät Klarnaa? Itsellä on kyllä ehdottomassa pannassa Klarna, jos se on ainut maksutapa, niin pitäkööt tunkkinsa. On kyllä tietoturvan irvikuva tuo Klarna. Kuten tuossa todettiin, niin ovat saaneet ties kuinka kauan huomatuksia ja tälläkin foorumilla on tuota käsitelty aika kattavasti.

 

[jessenic]

Meekö tuo todella näin, että esim. Amazon voi tilata ilman mitään tunnistusta kirjautuneella käyttäjällä? Itse tuossa kun viimeksi tilasin Amazonista, niin kyllä piti Nordea ID-sovelluksella hyväksyä (jos en nyt ihan väärin muista). Samoin kun tankkaan, niin aina pitää Nordea ID:llä se hyväksyä esim. ST1-sovellusta maksamiseen käytettäessä. Vai onko tässä eroja pankkien välillä ja osa ei vaadi tuota tunnistusta kuten Nordea? En nyt ihan heti muista mitä olisin netistä ostanut luottokortilla ilman, että piti Nordea ID-sovelluksella varmentaa.

Tuota en kyllä ymmärrä miksi ne luottokortin tiedot mennään sinne tietokoneelle tallentamaan selväkielisenä. Aivan idioottien touhua.



Siis tietoturva olevinaan maksimit, mutta käytät Klarnaa? Itsellä on kyllä ehdottomassa pannassa Klarna, jos se on ainut maksutapa, niin pitäkööt tunkkinsa. On kyllä tietoturvan irvikuva tuo Klarna. Kuten tuossa todettiin, niin ovat saaneet ties kuinka kauan huomatuksia ja tälläkin foorumilla on tuota käsitelty aika kattavasti.

Google Pay ja PayPal mitä olen maksanut niin ei kyllä omasta mielestä ole tarvinnut pankin tunnistusta käyttää kuin rekisteröidessä korttia.

 

[HTK12]

Google Pay ja PayPal mitä olen maksanut niin ei kyllä omasta mielestä ole tarvinnut pankin tunnistusta käyttää kuin rekisteröidessä korttia.

Kirjoitin ehkä hieman epäselvästi, mutta tarkointin luottokortilla maksamista ilman maksunvälityspalvelua kuten Paypal/Google Pay tms. Paypalissa itsellä käytössä kaksivaiheinen tunnistus, joten hyökkääjän pitää saada käyttäjätunnus + salasana tietoonsa sekä mobiililaite hallintaan autentikaattoria varten. Ei yhtä turvallinen kuin tuon Norden ID, mutta lisää kuitenkin melkoisesti haastetta. Google pay:tä ei ole itsellä käytössä, niin en osaa sanoa saako siihen myös 2FA:n

 

[Mco]

Meekö tuo todella näin, että esim. Amazon voi tilata ilman mitään tunnistusta kirjautuneella käyttäjällä? Itse tuossa kun viimeksi tilasin Amazonista, niin kyllä piti Nordea ID-sovelluksella hyväksyä (jos en nyt ihan väärin muista). Samoin kun tankkaan, niin aina pitää Nordea ID:llä se hyväksyä esim. ST1-sovellusta maksamiseen käytettäessä. Vai onko tässä eroja pankkien välillä ja osa ei vaadi tuota tunnistusta kuten Nordea? En nyt ihan heti muista mitä olisin netistä ostanut luottokortilla ilman, että piti Nordea ID-sovelluksella varmentaa.

Ainakaan OP:n Visalla maksettaessa Amazonissa ei ole koskaan tullut kyselyä lisävahvistuksesta. Muissa verkkokaupoissa se tulee melko usein. Itse Amazon-tilillä toki on 2FA käytössä.

 

[Agent_007]

Ainakaan OP:n Visalla maksettaessa Amazonissa ei ole koskaan tullut kyselyä lisävahvistuksesta.

Tuossa SCA:ssa (Strong Customer Authentication), on kasa poikkeuksia, joiden kohdalla vahvistusta ei tarvita. Esim. Euroopan ulkopuolelle menneitä maksuja ne eivät koskeneet (en ole tarkistanut tilannetta vähään aikaan, voi olla että tämä kohta on joiltan osin muuttunut)

SCA Exemptions explained | Checkout.com

SCA exemption allows various transactions to be exempted from Strong Customer Authentication requirements. Checkout.com explains all you need to know.

www.checkout.com

 

[Jumi]

Mulla on ruvennu viime vuosina jokainen (Amazonia en ole käyttäny viime vuosina) nettikauppa ja jopa Steam vaatimaan kirjautumista nettipankkiin ennen maksamista. Näköjään ihan hyvä juttu vaikka aluksi tuntuikin turhalta.

 

[HTK12]

Ainakaan OP:n Visalla maksettaessa Amazonissa ei ole koskaan tullut kyselyä lisävahvistuksesta. Muissa verkkokaupoissa se tulee melko usein. Itse Amazon-tilillä toki on 2FA käytössä.

Näin ulkomuistista sanoisin, että Nordean Masterilla jokaisella kerralla Amazonista tilattaessa pitää vahvistaa ostos Nordea ID:llä.

Mulla on ruvennu viime vuosina jokainen (Amazonia en ole käyttäny viime vuosina) nettikauppa ja jopa Steam vaatimaan kirjautumista nettipankkiin ennen maksamista. Näköjään ihan hyvä juttu vaikka aluksi tuntuikin turhalta.

Itse näkisin tämän erittäin suotavana kehityksenä, niin estäisi huomattavasti aloittajan tapauksen kaltaisia tilanteita.

 

[leffo]

Tuo hyökkäys näyttäisi käyttäneen jonkun sortin sriptiä joka käy läpi erityisiä kohteita ja varmaankin yrittää katsoa jos selaimella on niiden tunnuksia tai kirjauminen voimassa. Erikoinen on tuo //btc-e.com, mikäli oikein ymmärsin niin tuo kryptopörssi ei ole ollut toiminnassa sitten 2017. Erikoista on myös se, että jos tuollainen skripti yrittää käyttää noin vanhaa sivustoa, niin ettei se haitake, joka ajoi tuota sriptiä, ollut kuitenkaan Defenderin tunnistama. Kuitenkin sen luulisi olevan melko vanha, ja täten useimmiten tunnistettu.

Myöskään kovin kehittynyt se ei voinut olla. Vaikka tämä haitake pääsi jotain kautta rellästämään koneella, niin se joutui silti erikseen asentamaan etähallintaa. Toki varmaan yksinkertaisempi viritys on hankalemmin tunnistettavissa. Onkohan tuo pyörinyt selaimessa itsessään?

(tää saattaa jakaa mielipiteitä)
Tuossa tulee mielestäni ilmi että kun tilanteen huomaa, niin sen jälkeen verrattain helpolla saa kaiken pysähtymään, sulkemalla kortit ja verkkopankin. Salasanojen ja sellaisten muuttamisessa menee paljon enemmän aikaa, mutta ne eivät ensisijaisesti kiinnosta noita hyökkääjiä jos niillä ei ole enää mahdollista maksaa mitään tai siirtää mitään rahanarvoista. Ennenkaikkea korttien sulkemiseen päättyy asiakkaan velvollisuudet siitä mitä kortilla on tehty.

Mun mielestä ihan mielenkiintoinen postaus, tälläistä kai tapahtuu säännöllisesti mutta en muista lukeneeni kenenkään omakohtaisesta kokemuksesta aiheesta.

 

[SampoTexaa]

Itse olen vähentänyt korttitietojen vääriin käsiin päätymisen vaikutuksia erillisellä kortilla nettiostoksiin yms ja tilillä jossa ei säilytetä rahaa. Toki se lisää vähän vaivaa mutta eipähän pelota että joku tyhjää rahat.

Itsellä on revolut kortti jossa on snadisti rahaa. Appstore ja muut sitten lyhentelee sieltä. Sieltä myös kertakäyttökortit käytössä. Fyysiset kortit jota käytän esim. kaupoissa on käyttörajoitettu kotimaahan.

Tuli muuten mieleen että onko @khandaras käytössä jotain kotiautomaatio, webcam tai muita jotka tykkää rakennella jotain omia palvelimia verkon sisälle?

edit: Näin aamutuimaan tuli mieleen että mitä jos pöpö on tullut puhelimen (Android?) kautta. Haitake on haistellut mm. vahvistuskoodeja. Kun tyhjennys on alkanut niin haitake blokannut puhelimelta tekstiviestit yms. aktiviteetit ja ohjannut ne lopuksi kotikoneelle jossa on tekstiviesti clientilla hyväksytty mm. pivo vahvistukset

 

[khandaras]

Tännepäs on tullut kivasti vastauksia ja ehdotuksia. Huomaan kyllä että olisin useamman asian voinut tehdän paremmin, ja nyt niin teenkin. Tosiaan käytössä oli vain järjestelmänvalvojatili, eikä erillistä käyttäjätiliä. Olen kenties itselleni uskotellut etten tällaisen kohteeksi joutuisi, mutta kuinkas kävikään. Ei kannata tehdä asioita itselleen helpoksi, sillä tekee saman työn muille helpoksi. Modeemi (eli reititin) on Zyxelin VMG3925, jonka siis aikoinaan on Elisan liittymän mukana saanut. Sen perässä 8-porttinen hallitsematon kytkin. Älykotia löytyy valaistuksen verran, mutta se kytketty niin, ettei toimi kuin lähiverkon kautta. Samassa verkossa kiinni, tv, pleikkari ja NAS, joka myöskin kytketty vain lähiverkossa toimivaksi. Webcam löytyy, joka oli onneksi fyysisesti peitettynä.

Tosiaan lähes kaikki palvelut itselläkin vaatii sen kaksivaiheisen tunnistautumisen, mutta ilmeisesti tuonne g2a on päässyt ostelemaan ilman. En ole edes varma olenko sieltä koskaan mitään ostanut. Puhelin mulla ei ole ollut yhdistettynä koneeseen, toki samaa wlania käyttää. Tapahtumahetkellä tosin puhelin oli töissä mukana, joten samaan aikaan ei kai ole pystynyt sieltä nuuhkimaan? Puhelimella mulla on elisan turvapaketti ollut kokoajan aktiivisena, ja en siihen ole muutenkaan hyvään toviin mitään uutta asentanut. Mainittakoon nyt vielä sekin, että yhtä ainutta piraattipeliä tai softaa ei ole. On niiden kanssa tullut nuorempana säädettyä, nykyään kun työssäkäyvänä rahatilanne on parempi, niin en ole jaksanut säätä kaiken maailman crackien yms kanssa.

Toki se olisi ideaalitilanne, että kaikki sovellukset saisi keskitetysti ja turvallisesti samasta paikasta, mutta se ei taida oikein toimia. Eikös google playstäkin voi ties mitä haittaohjelmia ladata. Suurimmaksi haasteeksi tällä hetkellä osoittautuu se, ettei passi ole voimassa. Poliisille on noin kuukauden jono, ja verkkopankkitunnuksia ei saa ilman. Muistakaa siis uusia ne henkkarit vaikkea mitään reissua olisikaan tiedossa.

Tässä on kummunnut ajatus, parantaisiko suojausta mikäli plex-palveminen siirtäisi eri koneelle, jolla pyörisi esim jokin linux? Sitten windows-kone pelailuun erikseen, jota ei tarvitsisi turhaan pitää päällä.

 

[DiZeX]

Suurimmaksi haasteeksi tällä hetkellä osoittautuu se, ettei passi ole voimassa. Poliisille on noin kuukauden jono, ja verkkopankkitunnuksia ei saa ilman. Muistakaa siis uusia ne henkkarit vaikkea mitään reissua olisikaan tiedossa.

Mikäli haluaa saada passin nopeammin, niin sen kun vaan menee poliisin toimipisteelle ilman ajanvarausta ja odottamalla 0-120min pääsee virkailijan luokse. Olen tehnyt näin kahdesti, ekalla kerralla tarvitsi odotella vain pari minuuttia ja toisella kerralla menikin sitten noin puolitoista tuntia.

 

[=JP=]

Kiinnostaisi tietää, miten siellä on portit auki laitettu modeemissa tuolle Plex serverille ja onko muitakin portteja aukaistu sisään.

 

[escalibur]

Suomesta löytyy vajaat 600 PLEX-palvelinta paljastettuina internetin suuntaan:

Seassa on myös melko vanhoja versioita kaikkineen puutteineen:

Spoileri: Versioerittely

(Teille joille Shodan ei kerro mitään, löydätte aiheesta tuoreen videon kanavallani.)

 

[jad]

Hämmästyttävän suuri osuus noista PLEX:stä on Hetznerin verkossa. Eli siis asennettuna jollekin harraste VPS:lle.

 

[Graag]

Muutama neuvo tuli jo annettujen lisäksi mieleen:

- Pidä aina käteistä lompakossa pari sataa euroa. Jos tapahtuu jotain että maksukorttia ei voi käyttää, niin saa silti ruoat ostettua kunnes asiat on selvitetty pankin kanssa.

- Kannattaa harkita salasanojen hallintaa jollakin salasananhallinta-sovelluksella, joka menee lukkoon kun sitä ei käytä vähään aikaan. Lukituksen voi avata Windows Hellolla, eli on sukkela asia jos on oikeat välineet. Jos passut täytyy olla myös esim. .txt-muodossa, niin ne sitten ihan helvetin hyvään talteen. OneDriven henkilökohtainen säiliö? Se avataan myös Windows Hellolla ja menee automaattisesti lukkoon.

- Ole vainoharhainen, kun lähdet kotoa, lukitse kone vaikka asutkin yksin.

- Rikosilmoituksen olitkin jo tehnyt. Minusta jo mainittujen syiden lisäksi se on tärkeätä tehdä, jotta Poliisilla on ainakin tilastotietoa, että kuinka paljon verkkorikollisuutta on. Tämä voi joskus myötävaikutaa siihen, että Poliisi voi perustella miksi verkkorikollisuuden ehkäisyyn tarvitaan lisää rahulia.

- Itse kannatan sitä, että vähemmän tärkeät TV-härpäkkeet ovat eri verkossa kuin tärkeämmät laitteet kuten tietokoneet. Tällaisen toteuttaminen saattaa edellyttää erillisen palomuurin/reitittimen konfaamista kotiverkkoon. Ja tässä puhutaan edistyneemmästä kehitysasekeleestä. Ensimmäisenä korjaisin sen, että PC:n peruskäyttöä ei tehdä admin-tunnareilla.

 

[Richard]

Hämmästyttävän suuri osuus noista PLEX:stä on Hetznerin verkossa. Eli siis asennettuna jollekin harraste VPS:lle.

Todennäköisesti VPS on VPN ja reverse proxy näille ankeille kotineteille.

 

[HTK12]

Jos passut täytyy olla myös esim. .txt-muodossa, niin ne sitten ihan helvetin hyvään talteen. OneDriven henkilökohtainen säiliö? Se avataan myös Windows Hellolla ja menee automaattisesti lukkoon.

Jos tietoturvaan haluaa panostaa, niin niitä salasanoja ei säilytetä selväkielisenä koneella tekstiedostona. Paperille salasanat, niin silloin niitä ei voi hakkeroida missään olosuhteissa ja silti ne on aina nähtävissä siitä paperista tarvittaessa.

- Itse kannatan sitä, että vähemmän tärkeät TV-härpäkkeet ovat eri verkossa kuin tärkeämmät laitteet kuten tietokoneet. Tällaisen toteuttaminen saattaa edellyttää erillisen palomuurin/reitittimen konfaamista kotiverkkoon. Ja tässä puhutaan edistyneemmästä kehitysasekeleestä. Ensimmäisenä korjaisin sen, että PC:n peruskäyttöä ei tehdä admin-tunnareilla.

Pitkälle pääsee jo sillä, ettei sillä pää pc:llä ajeta mitään palveluita, joihin pääsee suoraan internetistä käsiksi.

Tässä on kummunnut ajatus, parantaisiko suojausta mikäli plex-palveminen siirtäisi eri koneelle, jolla pyörisi esim jokin linux? Sitten windows-kone pelailuun erikseen, jota ei tarvitsisi turhaan pitää päällä.

Ehdottomasti tuollaiset palvelimet joille pääsee sisäverkon ulkopuolelta käsiksi jonnekkin muualle pyörimään kuin sinne pää windossille. Vaikka ihan oma virtuaalkone, jossa ajaa sitä plexiä. Tai proxmox ja container jne. Itsellä useita virtuaalikoneita, esim. kotiautomaatiolle on oma virtuaalikoneensa, jossa pyörii HASS jne. Jos vaikka siinä plex on joku haavoittuvuus, niin hyökkääjä pääsee siihen virtuaalikoneeseen ei sille pääkoneelle. Itsellä ei tosin ole suoraa pääsyä ulkoverkosta millekkään palvelimelle, vaan VPN kautta pitää mennä.

 

[Vepasto]

Tuossa sähköpostiin tupsahti ilmoitus että Google One tarjoaa jatkossa pimeän verkon valvontaa

Google One ‑pakettiisi sisältyy nyt
Dark web ‑raportti
xxxx, voit nyt saada ilmoituksia ja ohjeita, jos henkilökohtaisia tietojasi löytyy pimeästä verkosta. Pimeä verkko on internetin osa, jossa ihmiset voivat piilottaa henkilöllisyytensä ja myydä varastettuja tietoja.

No tottakai päräytin syteemit päälle ja kas, meikäläinen löytyy pimeästä verkosta. Parista paikasta löytyy sähköposti ja salasana.

Onko tämä nyt jotenkin "vaarallisempaa" kuin tavallinen tietomurto/vuoto ? Dark web kuulostaa vaan niin pahaenteiseltä.

 

[escalibur]

Tuossa sähköpostiin tupsahti ilmoitus että Google One tarjoaa jatkossa pimeän verkon valvontaa



No tottakai päräytin syteemit päälle ja kas, meikäläinen löytyy pimeästä verkosta. Parista paikasta löytyy sähköposti ja salasana.

Onko tämä nyt jotenkin "vaarallisempaa" kuin tavallinen tietomurto/vuoto ? Dark web kuulostaa vaan niin pahaenteiseltä.

Kannattaa ottaa haveibeenpwned ilmoituspalvelun käyttöön, salasanahallintatyökalun (olettaen ettet käytä?) ja mahdollisesti Shodaninkin sitten kun sitä taas saa eurolla tai parilla lifetime-lisenssin muodossa. Kanavaltani löytyy näiden esittelyvideot, jos aihe kiinnostaa tarkemmin.

Dark Web tarkoittaa lähinnä TOR-verkkoa jossa on useita foorumeita ja marketteja joissa myydään lähes kaikkea laitonta. Foorumeilla saatetaan kaupata vaikkapa yritysten Admin-tasoisia tunnuksia, pääsykoodeja erilaisiin paikkoihin yms. Marketeissa saatetaan myydä esim Gmail, Youtube, Facebook yms palvelujen selainsessioita, joilla voi kaapata uhrien tunnukset jne jne.

 

[Obi-Lan]

Kannattaa varmistaa ettei se sähköposti ja salasana yhdistelmä ole missään käytössä.

 

[MrB]

Kannattaa ottaa haveibeenpwned ilmoituspalvelun käyttöö

Miten pitkälle tohon kannattaa luottaa? Pistin hakuun vanhan pp.inet.fi osoitteen ja vastauksena nousi 9 vuotoa, joista yksi voisi olla sellainen johon olen itse rekannut tolla osoitteella. mikäänhän ei tietenkään estä että joku muu olisi käyttänyt tuota osoitetta jossakin vahingossa tai tahallaan. Gmail-osoitekin nousi parista vuodosta, mutta siihen lootaan nyt tulee muutenkin enemmän jonkun muun sähköposteja kuin omia kun en sitä ole oikeastaan käyttänyt ikinä mihinkään.

 

[escalibur]

Miten pitkälle tohon kannattaa luottaa? Pistin hakuun vanhan pp.inet.fi osoitteen ja vastauksena nousi 9 vuotoa, joista yksi voisi olla sellainen johon olen itse rekannut tolla osoitteella. mikäänhän ei tietenkään estä että joku muu olisi käyttänyt tuota osoitetta jossakin vahingossa tai tahallaan. Gmail-osoitekin nousi parista vuodosta, mutta siihen lootaan nyt tulee muutenkin enemmän jonkun muun sähköposteja kuin omia kun en sitä ole oikeastaan käyttänyt ikinä mihinkään.

Sanoisin lähes 100%:sti. Sivustolla on listaus mitä tietovuotoja on otettu huomioon ja mistä haun tulokset on saatu. Toki seassa voi olla vääristäviäkin tuloksia, mutta väittäisin että lähes 99% tapauksista pitää paikkaansa. Se mikä on kenenkin tunnuksen taustatarina on taas oma keskustelunsa.

Vuotojen seassa ei siis välttämättä ole saman tunnuksen salasanojakin, vaan kyseessä voi olla pelkästään sähköpostiosoitekin. Niin tai näin, palvelun kautta löytyvien tunnusten salasanat on syytä vaihtaa mikäli ne ovat kuukausia tai vuosia vanhoja ts. salasanahallintatyökalu käyttöön nyt jos koskaan.

 

[Buza]

Monesti ollut mielessä tiputtaa omalla koneella oma tunnus normi useriksi, vaan aina se on jäänyt.
Tämän postauksen luettua ei enää jäänyt. Yllättävän vähän admineja tarvii eikä siinä montaa sekuntia mene kun uac:ssa näpyttelee passun. Kiitos postauksesta, toivottavasti setit selviää.

 

[Jumi]

Minunki tilillä on järjestelmänvalvojan oikeudet, koska joskus vuosia sitten Windows Vistan tai Windows 7 aikoina tuli ties mitä ongelmia kun kokeilin. Ei muistaakseni päässyt edes ProgramFiles hakemistoja katselemaan ku sieltä piti manuaalisesti jotain muuttaa(lisätä peliin modi tai vastaavaa). Sitte oli jotain aivan idioottimaisia ongelmia Visual Studion oli oliko Android Studion kans, ettei pystyny ajamaan itse tekemiään pikku ohjelmia! En tiiä sitte jäikö se tuohon järjestelmänvalvojan oikeuksiin vai Wintoosan omaan virustutkaan, mutta käsittämättömiä ongelmia kummallisissa asioissa. Nyt Windows 10 ja 11 aikana voi olla eri hommat, mutta en ole testannu.

Ois hyvä kuulla kokemuksia miten tuo nykyään toimii. Veikkaan että 99% vetää kokoajan täysillä oikeuksilla.

 

[tkhyla]

Ois hyvä kuulla kokemuksia miten tuo nykyään toimii. Veikkaan että 99% vetää kokoajan täysillä oikeuksilla.

Ei mitään ongelmia. Kuten ylläkin sanottiin niin uac:ssa menee se 5 sekunttia jos tarvitsee johonkin.
Tietoturva kasvaa kuitenkin mittaamattoman paljon kun user account on erotettu admin accountista. Ehtottomasti kaikille erillinen user account jos yhtään välittää ympäristönsä tietoturvasta.

 

[escalibur]

Rajoitetun tilin lisäksi kun konfiguroi esim. AppLockerin käyttöön, niin koneen tietoturvan murtaminen vaatii jo yritystä.

Tein AppLockeristakin videon jos termi ei kerro mitään. Ehdottomasti harkitsemisen arvoinen suoja, oli kyse kotikoneesta taikka yrityksen työasemasta. Työkalu on kaikille ilmainen joilla on Win 10 Pro, tai Win 11 Pro käyttis.

 

[Hyrava]

Ei mitään ongelmia. Kuten ylläkin sanottiin niin uac:ssa menee se 5 sekunttia jos tarvitsee johonkin.
Tietoturva kasvaa kuitenkin mittaamattoman paljon kun user account on erotettu admin accountista. Ehtottomasti kaikille erillinen user account jos yhtään välittää ympäristönsä tietoturvasta.

Juu, nykyään ei ole tuon kanssa juuri ongelmia. Joskus Vista-aikakautena tuo oli kyllä ihan mahdoton kun joka ikinen asia aina herjasi jostain (jolloin sitten tulikin käytettyä admin-tunnaria tuon takia) mutta ainakin seiskassa toimi jo tuhat kertaa paremmin. Win10-aikana ei ole töissä ainakaan häirinnyt niin paljoa että olisi edes kiinnittänyt koko asiaan edes huomiota, ilmeisesti on saatu sovellukset ja käyttis käyttämään oikeuksia järkevästi eikä joka pieruäppi enää tarvitse admin-oikeuksia tms.