Mi stanno bucando come un groviera

[il sognatore Jones]

Buonasera, so che non è il luogo adatto ma molti della community lavorano nell'IT e possono essere preparati sull'argomento.

Ieri mi hanno bucato l'account instagram e hanno pubblicato una storia e un post riguardo i bitcoin e cavolate simili. Ho cambiato password e inserito la verifica in 2 passaggi.

Oggi, molto grave, mi hanno bucato Amazon. Password alfanumerica+caratteri speciali 12 cifre. Credo sia impossibile indovinare una password simile e soprattutto due violazioni in 2 giorni non può essere un caso.

Ho effettuato una scansione con Windows Defender e non ha rilevato nulla, idem Malwarebytes. Cosa posso fare? Aiutatemi voi.

Hanno effettuato un acquisto di 90 euro per un buono Google Play inviato su una mail di Proton.

Dovrei formattare? A quale scopo se Windows Defender non ha individuato nulla?

Per completezza vi comunico che qualche giorno fa sono entrato su un sito dalla dubbia affidabilità perché mi serviva un keygen per mIRC (mea culpa).

Non sono solito fare queste cose perché non utilizzo programmi a pagamento e mIRC funziona anche senza acquistarlo, era solo per evitare la seccatura di aspettare 30 secondi. Vabbè... in poche parole ho scaricato un file .exe, l'ho eseguito e non è accaduto nulla. Windows Defender non ha riscontrato nessuna anomalia quindi potrei escludere questa piccola parentesi? Esistono mezzi con cui possono sottrarmi password e credenziali? Utilizzo un programma (pagato) che si chiama SafeInCloud dove tengo in memoria dati di carte VISA, credenziali di social, siti, ecommerce, forum, le credenziali stesse di Microsoft, salvo tutto su questo database, lo utilizzo da 5 anni. E' presente anche su Windows Store e ovviamente acquistato anche lì.

 

[Skills07]

CIao probabilmente se hai installato qualcosa che poteva generare KeyGen e li che ti sono entrati.
Se hanno installato un Keylogger potresti pure scrivere password da 1000 caratteri le avrebbero comunque.
Assurdo che tu non abbia l'autenticazione a due fattori, e se ce l'hai invece stanno facendo tutto dal tuo pc.
Fossi in te quando lo devi usare lo scollegerei dalla rete internet, e mi predisporrerei per fare un formattone generale.
Quel sw che usi x le credenziali ha l'auth in due fattori?

 

[Shadow93]

Hai preso qualche trojan che in primis clona la sessione del browser e programmi (cosi fanno credere al sito o al programma che sei te a loggare dal tuo browser, e non chiede l' autenticazione in due fattori) e ruba le password da essi, come?...

Per completezza vi comunico che qualche giorno fa sono entrato su un sito dalla dubbia affidabilità perché mi serviva un keygen per mIRC (mea culpa).

Vabbè... in poche parole ho scaricato un file .exe, l'ho eseguito e non è accaduto nulla.

ti sei gia dato la risposta
passando al problema:
andando in ordine
se non vuoi formattare
1) scarica la prova della suite total security di un buon antivirus (kasperky o bitdefender ormai le key non costano quasi nulla) e aggiorna le definizioni virus
dopo di che fai una scansione completa al pc eliminando ogni minaccia
per sicurezza farei una scansione con il Rescue Disk (nel mio caso avendo kasperky lo posso creare nella sezione altri strumenti) cosi da non avviare neanche windows, ed essere sicuri che sia pulito ogni singolo byte del pc,
2) Elimina ogni sessione, cache e password dai browser
3) Scarica un password manager (ad esempio keepass o lastpass o kasperky lo ha gia integrato) e usa SOLO questo per generare e archiviare le password (Dovrai segnarti su un foglio da tenere al sicuro e dove ti ricordi solo ma Master Password, che serve per accedere a ogni accensione del pc al database di password altrimenti criptato)
4) Cambia le password usando il password managera indirizzo email, social, conti bangari (paypal, postepay, homebanking ecc) avendo la premura di NON selezionare MAI ricorda password o ricorda sessione, e di NON archiviare MAI password nel browser
5) Attiva ovunque l' autenticazione in due fattori, sia SMS che tramite programma sullo smartphone (ad esempio authy)

se formatti, invece scarichi una suite come nel passo uno, e poi salti ai passi tre in poi
windows defender nonostante nel tempo sia migliorato, ancora non riesce a trovare i virus piu tosti come questo caso, per questo e sempre consigliato andare su antivirus migliori

per l' acquisto non autorizzato devi sentire l' assistenza google, spiegandogli per bene la siutazione
mentre per mirc, non puoi usare un altro irc client free? esempio hydraIRC?

 

[il sognatore Jones]

CIao probabilmente se hai installato qualcosa che poteva generare KeyGen e li che ti sono entrati.
Se hanno installato un Keylogger potresti pure scrivere password da 1000 caratteri le avrebbero comunque.
Assurdo che tu non abbia l'autenticazione a due fattori, e se ce l'hai invece stanno facendo tutto dal tuo pc.
Fossi in te quando lo devi usare lo scollegerei dalla rete internet, e mi predisporrerei per fare un formattone generale.
Quel sw che usi x le credenziali ha l'auth in due fattori?

Ciao Skills. Innanzitutto grazie. Richiede una password di accesso che può essere elusa da uno sblocco biometrico. La password è semplicissima. Il file.db viene salvato su un cloud, Drive nel mio caso. Sto effettuando tutte le scansioni possibili con Windows Defender, Malwarebytes, adesso ne sta facendo una approfondita con strumento di rimozione malware di Windows.
Ho una domanda riguardo i keylogger: non diventano inutili se non digiti password? Non memorizzano i tasti che premi sulla tastiera? Perché io le password non le scrivo più da quando uso il password manager.

Hai preso qualche trojan che in primis clona la sessione del browser e programmi (cosi fanno credere al sito o al programma che sei te a loggare dal tuo browser, e non chiede l' autenticazione in due fattori) e ruba le password da essi, come?...

ti sei gia dato la risposta
passando al problema:
andando in ordine
se non vuoi formattare
1) scarica la prova della suite total security di un buon antivirus (kasperky o bitdefender ormai le key non costano quasi nulla) e aggiorna le definizioni virus
dopo di che fai una scansione completa al pc eliminando ogni minaccia
per sicurezza farei una scansione con il Rescue Disk (nel mio caso avendo kasperky lo posso creare nella sezione altri strumenti) cosi da non avviare neanche windows, ed essere sicuri che sia pulito ogni singolo byte del pc,
2) Elimina ogni sessione, cache e password dai browser
3) Scarica un password manager (ad esempio keepass o lastpass o kasperky lo ha gia integrato) e usa SOLO questo per generare e archiviare le password (Dovrai segnarti su un foglio da tenere al sicuro e dove ti ricordi solo ma Master Password, che serve per accedere a ogni accensione del pc al database di password altrimenti criptato)
4) Cambia le password usando il password managera indirizzo email, social, conti bangari (paypal, postepay, homebanking ecc) avendo la premura di NON selezionare MAI ricorda password o ricorda sessione, e di NON archiviare MAI password nel browser
5) Attiva ovunque l' autenticazione in due fattori, sia SMS che tramite programma sullo smartphone (ad esempio authy)

se formatti, invece scarichi una suite come nel passo uno, e poi salti ai passi tre in poi
windows defender nonostante nel tempo sia migliorato, ancora non riesce a trovare i virus piu tosti come questo caso, per questo e sempre consigliato andare su antivirus migliori

per l' acquisto non autorizzato devi sentire l' assistenza google, spiegandogli per bene la siutazione
mentre per mirc, non puoi usare un altro irc client free? esempio hydraIRC?

Ciao Shadow. Grazie anche a te. Mi sto preparando a formattare facendo un'installazione pulita di Windows 10. Ora, il problema non è l'SSD con l'Os dove c'è poca roba avendo già fatto una installazione pulita pochi mesi fa, il problema sono l'NVMe dove installo steam e i vari giochi di steam e l'ssd dove ho quasi un tera di foto, video tra cui VHS convertite. Non dirmi che devo formattare anche quei dischi, ti prego.

 

[Shadow93]

Ciao Skills. Innanzitutto grazie. Richiede una password di accesso che può essere elusa da uno sblocco biometrico. La password è semplicissima. Il file.db viene salvato su un cloud, Drive nel mio caso. Sto effettuando tutte le scansioni possibili con Windows Defender, Malwarebytes, adesso ne sta facendo una approfondita con strumento di rimozione malware di Windows.

se ti hanno scaricato il file.db, e conoscono la password (essendo semplicissima e anche facile da trovare con un semplice attacco brute o da keylogger), hanno acceso anche a quello
ripeto, in questo caso c'è poco che puo fare windows defender (che esegua gia di suo lo strumento di rimozione malware), se non conosce il viros o non è presente nel database fornito da windows
sfortunatamente questi tipi di virus venogno spesso aggiornati ogni tot tempo per averli sempre funzionanti anche se vengono scovati

 

[il sognatore Jones]

se ti hanno scaricato il file.db, e conoscono la password (essendo semplicissima e anche facile da trovare con un semplice attacco brute o da keylogger), hanno acceso anche a quello
ripeto, in questo caso c'è poco che puo fare windows defender (che esegua gia di suo lo strumento di rimozione malware), se non conosce il viros o non è presente nel database fornito da windows
sfortunatamente questi tipi di virus venogno spesso aggiornati ogni tot tempo per averli sempre funzionanti anche se vengono scovati

ma il db è su Drive, come possono accedere a drive? Avrei ricevuto mail da google, tra l'altro non ho ricevuto nessuna mail di Amazon o Instagram riguardo i due accessi. Stranissima come cosa visto che ogni nuovo accesso viene sempre notificato.
Adesso me ne sto andando in paranoia e mi sorgono dubbi di quando il pc si accendesse da solo ma stiamo parlando di un problema di oltre un mese fa.

 

[Shadow93]

ma il db è su Drive, come possono accedere a drive? Avrei ricevuto mail da google, tra l'altro non ho ricevuto nessuna mail di Amazon o Instagram riguardo i due accessi. Stranissima come cosa visto che ogni nuovo accesso viene sempre notificato.
Adesso me ne sto andando in paranoia e mi sorgono dubbi di quando il pc si accendesse da solo ma stiamo parlando di un problema di oltre un mese fa.

per accedere a drive, gmail ecc... tu inserisci la password ogni volta o hai messo "ricorda pasword"? la password e salvata sul browser?
se sono affermative ne hanno accesso pieno a drive e ogni cosa del tuo account google
perchè come detto, ti clonano la sessione del browser, percio eludono la richiesta di "autenticazione a due fattori" ecc.. e come se tu gli avessi lasciato apera la porta di casa

adesso e ora di rimboccarsi le maniche e mettersi a lavoro, inizia a fare come ti ho detto su

per gli hard disk e ssd, bisogna controllarli
fai cosi
installa la suite, aggiorna ogni database/module fai il rescue disk, e usa quello per fare la scansione di tutto il pc ma ci metterà molto tempo ma sei sicuro di aver fatto le cose per bene cosi
e poi nel caso formatti windows (che non fa mai male) e prosequi con il resto dei passaggi

 

[sp3ctrum]

Esatto, avranno clonato la sessione e poi sono entrati sul drive e preso le password.

 

[il sognatore Jones]

per accedere a drive, gmail ecc... tu inserisci la password ogni volta o hai messo "ricorda pasword"? la password e salvata sul browser?

Sul pc l’account google è sempre connesso. Apro drive e mi trovo già dentro. Ma a me sembra strano che si tratti di attacco su pc. Adesso ho formattato tutto, inclusi gli hard disk supplementari.

 

[Skills07]

Chiaramente se ti clonano la sessione del browser, con cookies etc etc non hanno bisogno di niente

 

[il sognatore Jones]

Chiaramente se ti clonano la sessione del browser, con cookies etc etc non hanno bisogno di niente

E non c’è un modo per scoprire se ti hanno clonato la sessione del browser? Perché a questo punto non servirebbe neppure formattare tutto.

 

[Blume.]

E non c’è un modo per scoprire se ti hanno clonato la sessione del browser? Perché a questo punto non servirebbe neppure formattare tutto.

Qui trovi una guida per come fare una corretta e selettiva scansione del pc prima di formattare (tienila come ultima spiaggia) seguila alla lettera.

 

[il sognatore Jones]

Qui trovi una guida per come fare una corretta e selettiva scansione del pc prima di formattare (tienila come ultima spiaggia) seguila alla lettera.

Ciao Blume. Ormai ho già formattato stanotte. Ho tirato giù tutti e tre i dischi. Tabula rasa. Ma non ho il coraggio di accendere il pc. Se questi hanno accesso alle mie credenziali sono rovinato. Ho cancellato il database del gestore password dal cloud di Google Drive e l’ho passato su iCloud ma non so più di cosa fidarmi perché non ho la più pallida idea di come abbiano agito. Ho paura anche per la carta bancoposta di mia madre che ovviamente è salvata sul gestore password (numero carta, scadenza, cvv), più i conti correnti. È un macello. Ho più di 150 file tra siti, carte, account mail e altra roba. Tra l’altro ieri ho fatto scansione con l’antivirus di Windows, scansione con la versione gratuita di Malwarebytes e non hanno trovato niente. Ma adesso altro problema è il notebook perché io ho fatto tabula rasa sul fisso ma il nb è un clone avendo stesso programma per le password, stesso account Microsoft e stesso browser.
Sul tubo c’è il video di un ragazzo che ha avuto un’esperienza simile e nessuno degli antivirus più blasonati riconosceva il virus.
Magari quell’eseguibile che ho scaricato accedeva al browser e copiava tutte le password e le inviava ad un indirizzo email, magari non è stato quell’eseguibile ma io siti pericolosi non ne giro. Ma la cosa strana è che né Instagram, né Amazon hanno segnalato i nuovi accessi, essendo avvenuti da nuovo dispositivo e soprattutto nuovi ip. È proprio come se questi accessi fossero stati eseguiti dalla mia postazione. Sto sbarellando perché mi trovo di fronte a qualcosa che non conosco ed è più grande di me.
Voglio tentare quella guida sul portatile prima di formattarlo. Ma non capisco perché dopo ogni operazione c’è scritto di allegare il file log alla risposta. A quale risposta? La guida è chiusa e non ci sono risposte

 

[sp3ctrum]

Intanto butta via quel gestore di password e usa Bitwarden, free, cifrato e con database sui loro server, in questo modo nessuno può entrare e avere accesso a quel file.

Smetti di fidarti troppo o solo di windows defender, quello va bene se fai "il bravo" su internet, per altre cose serie devi usare

ADWCleaner
Power Eraser
Rogue Killer
KVRT

Inoltre se ti hanno rubato le password, a loro poco importa se il pc è acceso o spento, l'unico modo per difenderti è appunto, pulizia, scollegare tutti i pc dall'account google e cambio di tutte le password da pc o apparato sicuro.

Inoltre, i dati bancari si salvano a mente, o in un foglio di carta da mettere sotto il materasso.

Numero di carta e cvv perchè li salvi se sono già ben visibili sulla carta stessa?

Ultimo consiglio, usa programmi free e/o a pagamento regolarmente pagati e originali.


Scarica quei programmi che ti ho detto e mettili in una chiavetta e controllati il portatile, accendilo scollegato da internet.
I browser disinstallali e rimettili nuovi.

 

[il sognatore Jones]

Ciao sp3ctrum. Hai perfettamente ragione. Le carte le ho registrate per un fattore di comodità. Quando acquisto al di fuori di Amazon, ad esempio, utilizzo i dati della carta e con safeincloud copio e incollo. Ne hanno parlato tutti bene di questo gestore, anche tom's in una recensione di nemmeno un mese fa. Io lo utilizzo da 5-6 anni. Vorrei solo capire come hanno fatto.
Come browser utilizzo Edge quindi non posso disinstallarlo. Adesso tutti a dirmi "perchè hai collegato il bancomat ad Amazon?" Come se non lo facesse nessuno. In 10 anni di Amazon non è mai successo nulla. Adesso che ci sono caduto come un sacco di patate col cavolo che aggancio carte.