Sie sind nicht angemeldet.

Lieber Besucher, herzlich willkommen bei: GentooForum.de. Falls dies Ihr erster Besuch auf dieser Seite ist, lesen Sie sich bitte die Hilfe durch. Dort wird Ihnen die Bedienung dieser Seite näher erläutert. Darüber hinaus sollten Sie sich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutzen Sie das Registrierungsformular, um sich zu registrieren oder informieren Sie sich ausführlich über den Registrierungsvorgang. Falls Sie sich bereits zu einem früheren Zeitpunkt registriert haben, können Sie sich hier anmelden.

1

17.01.2016, 14:32

Facebookaccount wurde gehacked, bitte um Hilfe!

Hallo Leute,

der Facebookaccount meiner Frau war einige Zeit deaktiviert. Vor einer Woche hat sie ihn wieder aktiviert. Emailadresse geändert. Alte GMX wegeworfen und durch eine der meinen ersetzt. Gestern bekam ich dann komische Facebookmails. War eindeutig Spam. Tatsächlich kamen diese aber von ihrem Facebookaccount. Sie sagte mir dann heute erst das ihr Account gehacked wurde. Nett.... also versuchte ich der Sache nach zu gehen.

In dieser Zeit war sie nur mit ihrem Notebook in Facebook. Kein Handy oder Android, auch nicht bei Freunden bekannten oder auswärts. Die Sicherheitsstandards hier sind extrem hoch. Alles läuft über einen Proxy der alles filtert. Auch mit IPS und DLP Erkennung. Es wurde jede Menge blockiert. Ist aber auch ganz normal im heutigen Internet. Nichts auffälliges bei den bösen Seiten.

Auch sind auf ihrem Notebook kein Java und kein Wine installiert. Jdownloader ist drauf, seit kurzem, hab ich auch. Das kanns aber wohl nicht sein. Ist keine böse Anwendung. Nur in Java programmiert, benötigt aber kein. Gerät auf aktuellem Stand. Das was ich gefunden habe und mir Sorgen macht:

CHROME APPS! Sie verwendet (so wie ich auch) Chromium als Webbrowser. Sie weis das sie Apps nur vom Chromestore installieren darf. Aber auch da muss man bei der Auswahl der Apps sorgfältig umgehen. Und lesen was so eine App alles darf. Das weis sie auch. Sie hat dann den "youtube2mp3" downloader installiert. Dieser convertiert online. Ich hab auch gesagt das ich das nicht tun würde. Man weis ja nicht. Avconf wollte sie dann nichts davon wissen, auch nicht von Audacity... (Screenshot von youtube2mp3) im Anhang. Das Programm schaut aber nicht so blöd aus. Zumindest findet man nix böses. Das Verhalten auf Facebook war dann so das Mails ausgesendet wurden und sämtlich Freunde per Chat auch. Aber nur die, mit dem man selten bis nie schreibt. Keine von denen mit den man täglich communiziert.

Hier noch der Link der glaub ich bösen App, bitte nicht installieren:

Quellcode

1
 https://chrome.google.com/webstore/detail/fome-he/dnkojjeefpgjdbaolcdgabemhghchnmg?utm_source=chrome-app-launcher-info-dialog


Event haben sich aber diese Dinge daraus resultiert: "Fome He" (eine App die im Vordergrund nix tut, aber wohl im Hintergrund). Hab die App schon gemeldet. Diese schein ach das java API search installiert zu haben. So irgendwie vermute ich mal das der Hacker an das Passwort gekommen ist.

Jetzt hab ich ein überdrüberpassworte generiert. Und ohne Keylogger oder Quantencomputer wohl nicht hackbar. Hoffentlich. Emailadresse geändert. Natürlich alles auf nem anderern Gerät, und .cache/... gelöscht.

Verwendung fand das ganz anscheinden zur Werbung von Pornos. Wenn man in Google "kamoncu.club" eingibt kommt man auch zu den Facebookspamseiten. Die Domain gibt es. https://who.is/whois/kamoncu.club

BTW: Im Anhang auch noch ein Bildchen von der Spamliste auf ihrer Facebookseite... wie kann ich diese Unterseiten löschen, bekomme einfach nicht gelöscht. Auch eine die ich anlege nicht.

Ein paar Tipps wären sehr hilfreich. War noch nie in so einer Situation. Nervt ein wenig. Weil ich nicht genau weis wie das passieren konnte.



lg
boospy
»boospy« hat folgende Dateien angehängt:
  • spamprogramm.png (72,7 kB - 5 mal heruntergeladen - zuletzt: 25.01.2016, 09:23)
  • youtube2mp3.png (399,95 kB - 6 mal heruntergeladen - zuletzt: 25.01.2016, 09:23)
  • java.png (25,29 kB - 6 mal heruntergeladen - zuletzt: 25.01.2016, 09:23)
  • Spamliste.png (53,28 kB - 8 mal heruntergeladen - zuletzt: 25.01.2016, 09:23)
Gentoo Can Do!
>>>> boospy@jabber.ccc.de <<<<
Wiki auf: http://deepdoc.at

Dieser Beitrag wurde bereits 4 mal editiert, zuletzt von »boospy« (17.01.2016, 20:11)


2

17.01.2016, 20:11

Mittlerweile haben wir den Verursacher gefunden. Es war ein Link von einem ihrer Facebookfreunde. Sie hat dann dort angeklickt und genau eine Minute Später ist dann das erste Mail reingekommen. Hier der Link, ACHTUNG bitte nur eine gesicherten Umgebung testen:

Quellcode

1
http://www.facebook.com/l.php?u=http%3A%2F%2Fnlpt0p8gdt6oba0nli5n.fordmens.club%2F2a6kcfuavkl96vu05ugh1o1vx77rni&h=IAQETMRSX


Die Frage die ich mich jetzt stelle, wie geht sowas, und was hat es mit dieser ominösen App im Chromium zu tun, auch mit dem Javazeugs, das sie nicht installiert hat.

lg
boospy
Gentoo Can Do!
>>>> boospy@jabber.ccc.de <<<<
Wiki auf: http://deepdoc.at

3

18.01.2016, 11:53

Die Frage die ich mich jetzt stelle, wie geht sowas

Willkommen in der neuen schönen Web2 Welt! Da kannst Du Dich lokal absichern wie Du magst, aber vieles spielt sich inzwischen in der Cloud ab auf die man keinen Einfluss hat. Und dort wohnen inzwischen auch Viren, die sich jedoch nicht mehr von PC zu PC sondern von Account zu Account in der Cloud verbreiten. (Suche mal nach "Facebook Virus", dann wird Dir klarer was ich meine).

Wie es genau funktioniert hat kann ich nicht sagen, eine Vermutung habe ich jedoch schon. Facebook ist ja ein Vorreiter in der Integration zu anderen Plattformen und anscheinend wurde es Dir hier zum Verhängnis. Ich habe die URL mal geprüft:

Quellcode

1
http://www.facebook.com/l.php?u=http://XXXX&h=YYYY
Bei so aufgebauten URL handelt es sich um einen Redirekt von Facebook auf eine andere Seite "XXXX". Wenn ich manuell solch ein Link aufbaue, bekomme ich eine Zwischenseite "Du verlässt Facebook" mit dem Hinweis dass diese Zwischenseite kommt weil der Link "nicht für mich" generiert wurde ("YYYY" passt nicht). Das bedeutet im Umkehrschluss für mich dass wenn der Link für mich wäre und ich bei Facebook angemeldet, wäre ich automatisch auf die Dubiose Seite weitergeleitet die dann auch eine gültige Facebook-Session über irgend eine Facebook-API bekommt und damit mit meinem Account dann machen kann was sie will. So ungefähr stelle ich es mir vor.
Auch wenn Open-Source kostenlos ist, ist sie nicht umsonst. Dein Preis ist Dein Engagement und Mitarbeit an OS-Projekten.
Wenn Du keinen Preis bezahlen willst, bist Du die Ware. Und das ist nicht Open Source, geschweigedenn frei.