Hacket. Hjelp

[AnonymBruker]

Jeg er hacket på facebook og instagram. Hvordan kan jeg få tilgang til kontoene mine igjen? Er det i det hele tatt mulig? Jeg har varslet begge stedene om at jeg er hacket. 

Anonymkode: 4d8ec...ea7

[AnonymBruker]

Aner ikke hva du bør gjøre, men synes det er utrolig at det fortsatt finnes folk som ikke bruker 2-faktor autentisering i 2024… 🙄

Anonymkode: 50b9c...ecf

[AnonymBruker]

Du kan få vennene dine til å rapportere profilene dine. Også setter du på to faktor autentisering når du får tilgang til de igjen.

Anonymkode: 5b6c5...567

[likestilling]

AnonymBruker skrev (På 20.6.2024 den 23.29):

Aner ikke hva du bør gjøre, men synes det er utrolig at det fortsatt finnes folk som ikke bruker 2-faktor autentisering i 2024… 🙄

Anonymkode: 50b9c...ecf

2FA er ikke så trygt som du gjerne tror. Oftere enn å vite passordet, stjeler de en session cookie som fullstendig går forbi 2FA.

Til TS, aner ikke hva du skal gjøre annet enn å prøve "recovery", men det er nesten umulig å få hjelp av noen av disse internasjonale gigantene. Spesielt gjelder dette gratistjenester.

 

2FA høres flott ut i teorien, men siden man har veldig begrensede forsøk på å gjette passord i praksis, må de enten vite det eller du må ha brukt et elendig passord. Om man f.eks. har "fiskebollemaskin" som passord hjelper 2FA lite, siden de uansett bruker phishing eller trojaner som stjeler cookies. Falsk trygghet i 2024.

Da EA ble hacket var det noen som hadde klart å få tak i en session og kom seg forbi 2FA på den måten.

[AnonymBruker]

10 hours ago, likestilling said:

2FA er ikke så trygt som du gjerne tror. Oftere enn å vite passordet, stjeler de en session cookie som fullstendig går forbi 2FA.

Til TS, aner ikke hva du skal gjøre annet enn å prøve "recovery", men det er nesten umulig å få hjelp av noen av disse internasjonale gigantene. Spesielt gjelder dette gratistjenester.

 

2FA høres flott ut i teorien, men siden man har veldig begrensede forsøk på å gjette passord i praksis, må de enten vite det eller du må ha brukt et elendig passord. Om man f.eks. har "fiskebollemaskin" som passord hjelper 2FA lite, siden de uansett bruker phishing eller trojaner som stjeler cookies. Falsk trygghet i 2024.

Da EA ble hacket var det noen som hadde klart å få tak i en session og kom seg forbi 2FA på den måten.

Men du, det er bedre å ha på to trinns verifisering enn ikke. For mennesker som ikke forstår IT uttrykk og ikke henger med på dagens IT-verden, så blir det for meget det du skriver.

Ikke skrem for mye heller.... 

Anonymkode: 1f931...3d7

[Snublefot62]

likestilling skrev (10 timer siden):

2FA er ikke så trygt som du gjerne tror. Oftere enn å vite passordet, stjeler de en session cookie som fullstendig går forbi 2FA.

Til TS, aner ikke hva du skal gjøre annet enn å prøve "recovery", men det er nesten umulig å få hjelp av noen av disse internasjonale gigantene. Spesielt gjelder dette gratistjenester.

 

2FA høres flott ut i teorien, men siden man har veldig begrensede forsøk på å gjette passord i praksis, må de enten vite det eller du må ha brukt et elendig passord. Om man f.eks. har "fiskebollemaskin" som passord hjelper 2FA lite, siden de uansett bruker phishing eller trojaner som stjeler cookies. Falsk trygghet i 2024.

Da EA ble hacket var det noen som hadde klart å få tak i en session og kom seg forbi 2FA på den måten.

MFA er ingen magisk kur som løser alle sikkerhetsutfordringer nei.

Men det vil uansett være bedre for 99% av brukerene å ha MFA aktivert, enn å skremme de til å tenke det er bortkastet og alt håp er ute.

For å oppnå det du beskriver (session stealing) så må man enten ha implementert en dårlig sikkerhet hos leverandøren (det kan ikke brukeren noe for) eller så bruker man et usikkert nett eller har malware på PC'en. Og på lik linje med å oppfordre folk til å aktivere MFA så handler det om å bevisstgjøre brukere på å bruke sikre nett, ikke installere alt man kommer over på mobilen/pcen og sikre kontoen med MFA.

Og jeg synes det er spesielt at du mener at MFA ikke hjelper når det gjelder dårlige passord. Det er kanskje det tilfelle hvor MFA hjelper best, når man har dårlig passord eller passord er på avveie.

[Snublefot62]

AnonymBruker skrev (På 20.6.2024 den 23.24):

Jeg er hacket på facebook og instagram. Hvordan kan jeg få tilgang til kontoene mine igjen? Er det i det hele tatt mulig? Jeg har varslet begge stedene om at jeg er hacket. 

Anonymkode: 4d8ec...ea7

Dessverre lite å gjøre. Er mange som opplever det samme og sliter med å få tak i noen som kan hjelpe. Facebook/Instagram er blitt så store at de ikke lenger håndterer direkte henvendelser og de har laget et system hvor du må via via via masse hjelpeartikler og forslag før du forhåpentligvis gir opp og ikke plager de.

Det enkleste du kan gjøre er å ta et valg om du vil fortsette å bruke Facebook eller ikke. Og om du velger å fortsette så må du vurdere om det er et alternativ å opprette en ny konto. Når du har opprettet ny konto så må du sørge for å rapportere den gamle og gjerne få noen andre venner til å gjøre det samme, så vil det omsider bli skjult og det er kun den nye kontoen som folk finner.

[Bigote]

On 6/20/2024 at 11:29 PM, AnonymBruker said:

Aner ikke hva du bør gjøre, men synes det er utrolig at det fortsatt finnes folk som ikke bruker 2-faktor autentisering i 2024…  

Anonymkode: 50b9c...ecf

Prøver du å strø salt i såret, prøver du å tøffe deg eller er du genuint opptatt av å hjelpe TS? Slik du formulerer deg er det   vanskelig å si.

Bedrevitere...

Til TS: Det er nok vanskelig å få tilgang, dessverre. Om du ikke hadde TFA så gir minsker dette risikoen for å bli hacket selv om det ikke er skuddsikkert.

[likestilling]

Snublefot62 skrev (2 timer siden):

MFA er ingen magisk kur som løser alle sikkerhetsutfordringer nei.

Men det vil uansett være bedre for 99% av brukerene å ha MFA aktivert, enn å skremme de til å tenke det er bortkastet og alt håp er ute.

For å oppnå det du beskriver (session stealing) så må man enten ha implementert en dårlig sikkerhet hos leverandøren (det kan ikke brukeren noe for) eller så bruker man et usikkert nett eller har malware på PC'en. Og på lik linje med å oppfordre folk til å aktivere MFA så handler det om å bevisstgjøre brukere på å bruke sikre nett, ikke installere alt man kommer over på mobilen/pcen og sikre kontoen med MFA.

Og jeg synes det er spesielt at du mener at MFA ikke hjelper når det gjelder dårlige passord. Det er kanskje det tilfelle hvor MFA hjelper best, når man har dårlig passord eller passord er på avveie.

Det er det motsatte av det jeg sier. "fiskebollemaskin" er et ganske bra passord med god entropi. Om passordet ditt er "password" bør du selvsagt ha 2FA, men i praksis er det umulig å bruteforce passord med mindre man vet hash-funksjon + hash siden man ikke har uendelig forsøk.

Det varierer også hvor bra sider har implementert MFA, men på alt for mange kan man endre passord etc. uten å vite det originale passordet eller ha tilgang til 2FA. Jeg kjenner ikke til Meta her men tipper de er i den bedre enden av skalaen.

Poenget er ikke å skremme brukere fra å bruke MFA, men å opplyse om at det ikke er en så sikker løsning som mange tror. Om man blir hacket i utgangspunktet så er det 99% fra usikkert nett eller malware, eventuelt gjenbruk av passord.

"Hadde du bare brukt 2FA hadde dette aldri skjedd" er feil. Det er veldig lite sannsynlig at vedkommende er hacket ved at noen har gjettet et passord.

Dessverre er det mange sider som gir veldig lite informasjon til bruker om innloggede sessions også, men hos f.eks. google har man relativt god oversikt og de har implementert ting bra. MFA har selvsagt noe for seg, men i mange tilfeller hjelper det lite.

[AnonymBruker]

Her er dine gjøremål som bør gjennomføres kjapp:

- varsle om hacking til plattformen det gjelder

- varsle venner og familie om hendelsen 

- dersom du har brukt passordet flere ganger og hos andre plattformer, så må du endre passordene dine

- identifiser hvordan dette kunne skje og vurder hva du kan gjøre å beskytte deg fremover

- vurder en passord database som er offline og open source

- vurder en krypto token f.eks. yubikey som forener noe du vet, med noe du har, med noe du er (3FA).

likestilling skrev (14 timer siden):

2FA er ikke så trygt som du gjerne tror. Oftere enn å vite passordet, stjeler de en session cookie som fullstendig går forbi 2FA.

Men da gjelder det kun så lenge session cookie er gyldig. Ts kan enkelt logge seg inn og logge ut alle enheter dvs. negere alle enheter om det er tilfelle.

2FA hos tech plattformer beskytter også mot uønskete endringer av f.eks. epost adresser. Her kan angriperen kanskje få tak i en sesjon men ikke overta identiteten for godt, da du ikke får endret passord eller epost med 2FA.

The Doctor

Anonymkode: c2d93...722

[AnonymBruker]

AnonymBruker skrev (27 minutter siden):

Men da gjelder det kun så lenge session cookie er gyldig. Ts kan enkelt logge seg inn og logge ut alle enheter dvs. negere alle enheter om det er tilfelle.

2FA hos tech plattformer beskytter også mot uønskete endringer av f.eks. epost adresser. Her kan angriperen kanskje få tak i en sesjon men ikke overta identiteten for godt, da du ikke får endret passord eller epost med 2FA.

The Doctor

Anonymkode: c2d93...722

Det varierer i hvilken grad du får oversikt over aktive sessions. I mange tilfeller kan disse vare nærmest evig og man får ikke invalidere dem manuelt. Steam er et eksempel som ikke er gode på dette, og problemet er ofte at man ikke vet at skaden er gjort før det er for sent.

Om de starter med å ha tilgang til e-post kan de i mange tilfeller kjøre "recovery" på den aktuelle kontoen og noen sider (på overraskende "høyt nivå") har måter der hackere kan fjerne all recovery og "nullstille" konto uten å noen gang vite passord eller ha tilgang til 2FA. Microsoft har helt idiotisk system for "recovery" og det er mulig å stjele en konto for godt via dette om man har tilgang til recovery e-post. Da hjelper det ikke om man får tilbake den e-posten, siden de allerede har byttet all informasjon hos Microsoft.

For all del, 2FA er bedre enn ikke 2FA. Poenget er at folk bør være klar over at 2FA kan omgås, og ikke tro at det er en perfekt løsning.

De fleste har en eller annen ordning for folk som skulle miste 2FA også og denne kan utnyttes med forskjellige typer "recovery".

Anonymkode: 74edb...860

[VendigoBlå]

likestilling skrev (4 timer siden):

Poenget er ikke å skremme brukere fra å bruke MFA, men å opplyse om at det ikke er en så sikker løsning som mange tror. Om man blir hacket i utgangspunktet så er det 99% fra usikkert nett eller malware, eventuelt gjenbruk av passord.

Phising med falske innloggings sider er ganske vanlige måter å gi fra seg passordet sitt på. Av alt som jeg har sett gjennom livet så virker det som phising er den metoden som flest mister passordet på, 

[likestilling]

VendigoBlå skrev (2 minutter siden):

Phising med falske innloggings sider er ganske vanlige måter å gi fra seg passordet sitt på. Av alt som jeg har sett gjennom livet så virker det som phising er den metoden som flest mister passordet på, 

Med phishing kan man også omgå 2FA ved å lage en falsk session...

En annen vanlig metode er gjenbruk av passord. At noen skal klare å gjette et "ok" passord trenger man egentlig ikke å bekymre seg for.

 

[VendigoBlå]

likestilling skrev (32 minutter siden):

Med phishing kan man også omgå 2FA ved å lage en falsk session...

En annen vanlig metode er gjenbruk av passord. At noen skal klare å gjette et "ok" passord trenger man egentlig ikke å bekymre seg for.

 

At det er mulig å omgå 2fa med phising er ikke noe jeg er uenig i. Jeg var uenig i påstanden om at mistede passord kommer primært fra malware og usikkert nett.

Litt usikker på hva du legger i usikkert nett, men jeg går utifra at du snakker om at ting sendes ukryptert og at noen snapper opp kommunikasjonen. 

Jeg vil anta at mistede passord primært kommer fra phising og gjenbruk, og at malware og usikkert nett er grunnlag for kun en liten del av de mistede passordene.  

Jeg vil også si at idag med https som standard over alt så burde det være tilnærmet 0 passord som går tapt til usikkert nett.