email was hacked

[griniaris]

Καλησπερα,

Θελω βοηθεια σε κατι που δεν εχω ξαναδει,

Ειναι ενα γραφειο με 5 υπολογιστες.
Ειναι επαγγελματικα και η χρηση ειναι καθαρα online εταιρειων (secure) και MS office με πολυ outlook.

Τα email οπως επισης και ο χωρος ειναι σε αγορασμενο domain σε εταιρεια ανεξαρτητη.
Το αυγουστο λοιπον ηρθαν 2 email στο info και στου ενος χρηστη οτι εχει πεσει θυμα (hack ) κλπ κλπ .
Αλλαξαμε password σε ολους τους λογαριασμους οπως επισης και στη σελιδα διαχειρισης του domain.

Το περιεργο ειναι οτι σαν αποστολεας ηταν η ιδια διευθυνση η δικη μας. πχ. αν εχουμε το info@papadopoulos.gr ...... το email ηρθε με αποστολεα το info@papadopoulos.gr

Σημερα ξαναηρθαν παλι στα ιδια email καποια κειμενα. Τα επισυναπτω.

Κώδικας:

Hello dimitris@

My nickname in darknet is zacharia52.
I'll begin by saying that I hacked this mailbox (please look on 'from' in your header) more than six months ago,
through it I infected your operating system with a virus (trojan) created by me and have been monitoring you for a long time.

Even if you changed the password after that - it does not matter, my virus intercepted all the caching data on your computer
and automatically saved access for me.

I have access to all your accounts, social networks, email, browsing history.
Accordingly, I have the data of all your contacts, files from your computer, photos and videos.

I was most struck by the intimate content sites that you occasionally visit.
You have a very wild imagination, I tell you!

During your pastime and entertainment there, I took screenshot through the camera of your device, synchronizing with what you are watching.
Oh my god! You are so funny and excited!

I think that you do not want all your contacts to get these files, right?
If you are of the same opinion, then I think that $500 is quite a fair price to destroy the dirt I created.

Send the above amount on my bitcoin wallet: 1MN7A7QqQaAVoxV4zdjdrnEHXmjhzcQ4Bq
As soon as the above amount is received, I guarantee that the data will be deleted, I do not need it.

Otherwise, these files and history of visiting sites will get all your contacts from your device.
Also, I'll send to everyone your contact access to your email and access logs, I have carefully saved it!

Since reading this letter you have 48 hours!
After your reading this message, I'll receive an automatic notification that you have seen the letter.

I hope I taught you a good lesson.
Do not be so nonchalant, please visit only to proven resources, and don't enter your passwords anywhere!
Good luck!

οι ερωτησεις μου ειναι 2.

1) Πως γινεται να φαινεται σαν αποστολεας το ιδιο μου το email ? (εκανα 2πλο κλικ στη διευθυνση και οντως δεν με παραπεμπει σε αλλη κρυμμενη )
Αρα γινεται καποιος να στελνει email και να φαινεται οτι τα εστειλα εγω?

2) βασει του κειμενου καταλαβαινω οτι ειναι ενα γενικο μυνημα που απλα "οποιος την πατησει... την πατησε" . Σωστα?
Να ανησυχω για κατι ? Εχει ξανασυναντησει καποιος κατι αναλογο?

Οι υπολογιστες δεν εχουν μπει πουθενα αλλου εκτος απο τραπεζικα σιτε και μεγαλων εταιρειων . fb κλπ κλπ ουτε καν.

Για πειτε αν ξερετε κατι επι του θεματος.

Ευχαριστω,

Υ.Γ. για webcamera που γραφει... μια φορα μονο μπηκε σε εναν υπολογιστη για 1 μερα για σεμιναρια . κανα χρονο πριν και μετα αφαιρεθηκε .

[xaris2335]

από ότι φαίνεται μάλλον έχεις πέσει θύμα απο sextortion scam μήπως μπήκε κάποιος σε σάϊτ με ερωτικό περιεχόμενο;
Εννοείται μην δώσεις λεφτά.
Μάλλον πρέπει να είναι μούφα.
Εδώ θα τσεκάρεις αν όντως έχει χακαριστεί το μέιλ σου.

- - - Updated - - -

Απο ότι φαίνεται μάλλον πρέπει να είναι όλα μπούρδες μην ψαρώνεις

[griniaris]

Αποκλειεται να εχουν μπει σε περιεργα σιτε. αυτο ειναι σιγουρο.

Το ενα απο τα 2 email το βγαζει καθαρο.



Το αλλο το βγαζει κοκκινο (pawned)

Εκανα σκαν και με antivirus και για malware και δεν βρηκε τιποτα.

Κανενα αλλο βημα που πρπει να κανω?

Το ¨καθαρο¨ email..... πως γινεται να μου ερχονται email απο το δικο μου domain?

[xaris2335]

δώσε ένα screenshot απο αυτό που είναι pawned τι λέει;

- - - Updated - - -

Επίσης θα σου συμβούλευα να αλλάξεις κωδικό απο αυτό που έχει χακαριστεί.
εε έχει παραγίνει το κακό με τους χάκερς εδώ πρέπει να επέμβει εισαγγελέας

[griniaris]

δώσε ένα screenshot απο αυτό που είναι pawned τι λέει;

- - - Updated - - -

Επίσης θα σου συμβούλευα να αλλάξεις κωδικό απο αυτό που έχει χακαριστεί.
εε έχει παραγίνει το κακό με τους χάκερς εδώ πρέπει να επέμβει εισαγγελέας

Μπορω να βρω περισσοτερες πληροφοριες?
ΠΧ αυτο το σιτε πως αποφασισζει οτι εχω χακαριστει?

[xaris2335]

Αν κοινοποιήσει κάποια προσωπικά σου δεδομένα πήγαινε στη δίωξη ηλεκτρονικού εγκλήματος και κάνε καταγγελία επίσης πηγαινε και μια βόλτα απο τον εισαγγελέα.

[griniaris]

Δεν υπαρχει κατι να κοινοποιησει.

Απλα φοβαμαι μην πεσω θυμα cryptolocker ή μηπως χασω αρχεια. Η βαση δεδομενων ειναι πολυ σηματικη.

Εχω αντιγραφο εννοειται αλλα για να κανω επαναφορα αν τυχει κατι θα χρειαστουν 3 μερες...... και καθε μερα χαμενη ειναι πολλα λεφτα ζημια.

[xaris2335]

Δυστυχώς πολλές πληροφορίες δεν μπορείς να βρεις. Αν κάνεις κλικ στο 1breached site θα σου πει με ποιο exploit έγινε η επίθεση και κάποιες άλλες πληροφορίες πόσταρε τες εδώ να δουν τα παιδιά που ξέρουν περισσότερα.

- - - Updated - - -

Η καλύτερη τακτική για τα δεδομένα είναι να κρατάς τακτικά Backup.

- - - Updated - - -

Αν είναι να δώσεις λεφτά σε αυτούς τους αλήτες προσέλαβε κάποιον πληροφορικάριο που έχει σπουδάσει ehtical hacking να σου βρει τρόπο να συλλέξετε πληροφορίες απο τον χάκερ, δεν μπορεί κάποια ίχνη σίγουρα θα έχει αφήσει. Εγώ αυτό θα έκανα στη θέση σου.
Αλλιώς απευθύνσου στην εταιρεία πληροφορικής με την οποία συνεργάζεσαι.

- - - Updated - - -

Το συγκεκριμένο σάιτ έχει βάση δεδομένων απο μέιλ που έχουν διαρρεύσει και κυκλοφορούν στο dark net τα οποία και πωλούνται σε bit coin φυσικά.
https://haveibeenpwned.com/About
https://haveibeenpwned.com/Privacy

- - - Updated - - -

Ξέρεις μπορεί να κολλήσεις ransomware ή keyloger ή ιούς και απο τα σάιτ με δωρεάν ποδόσφαιρο.
Ή κατεβάζοντας πειρατικές ταινίες,παιχνίδια,pdf,κτλ.

- - - Updated - - -

και κάτι άλλο καλό είναι να απενεργοποιείς τη web cam όταν δεν τη χρησιμοποιείς.

[akis1009]

Αν δεν έχεις σωστά spam filter ή/και mailserver ή/και spf και εγώ μπορώ να σου στείλω και να υποδύομαι εσένα. Αν δεν έχεις spf , μπορώ να στέλνω και σε άλλους και να υποδύομαι εσένα.
Κατά 90% δεν σας έχουν χακάρει, αλλά στη θέση σου θα διάλεγα έναν καλύτερο mail provider.

PS1 ο εισαγγελέας και η δίωξη ηλεκτρονικού εγκλήματος δεν πρόκειται να ασχοληθούν με ένα απλό phising/spam ή ακόμα και να σε χάκαραν αν δεν έχεις σοβαρή οικονομική ζημιά μετρήσιμη πχ σε λεφτά που σου έφαγαν πάλι δεν θα ασχοληθούν .

PS2. Το haveibeenpwned είναι για 3α site συνήθως και αφορά λογαριασμούς σε site που κάποιος έχει κάνει εγγραφή , και φυσικά ότι δεν είσαι μέσα ή ότι είσαι δεν σημαίνει απολύτως τίποτα για τον mailserver σου (εκτός αν έχεις τα ίδια password παντού).

[sdikr]

Κάποια στιγμή αρκετά παλιά είχες κάποιο λογαριασμό σε κάποια σελίδα, απο αυτή κλέψανε στοιχεία, εκεί βρήκανε το email και κάποιον κωδικό που είχες τότε.
Αν είχες πάντα διαφορετικούς κωδικούς απλά το αγνοείς, δεν είχανε κάποια πρόσβαση στο υπολογιστή σου με κάμερες κλπ
Αν δεν είχες διαφορετικούς κωδικούς τότε θα πρέπει απλά να τους αλλάξεις σε σελίδες που θεωρείς πως είναι σημαντικές για εσένα, αν υπάρχει η επιλογή για two factor auth ακόμα να την ενεργοποιήσεις εχτές.

Shameless link back

[xaris2335]

θα σου πρότεινα να χρησιμοποιήσεις το addon last pass

[rc31]

Το ίδιο email έλαβα και εγώ σήμερα.
Το πρώτο πράγμα που έκανα είναι να δω στα headers τα spf records.
Δεν είχε μέσα του mail server μου άρα είχα μια κλασική περίπτωση spoof Mail.

Είναι πανεύκολο το from να γράφει το email σου ή οποιοδήποτε άλλο email σε όλο τον κόσμο.

Αν όμως τα spf records είναι τα δικά σου τότε όντως σε έχουν χακαρει και χρησιμοποιούν τον server σου.

Οπότε δες στα headers στο email που έλαβες τα spf records.

[akis1009]

Το ίδιο email έλαβα και εγώ σήμερα.
Το πρώτο πράγμα που έκανα είναι να δω στα headers τα spf records.
Δεν είχε μέσα του mail server μου άρα είχα μια κλασική περίπτωση spoof Mail.

Είναι πανεύκολο το from να γράφει το email σου ή οποιοδήποτε άλλο email σε όλο τον κόσμο.

Αν όμως τα spf records είναι τα δικά σου τότε όντως σε έχουν χακαρει και χρησιμοποιούν τον server σου.

Οπότε δες στα headers στο email που έλαβες τα spf records.

Δεν υπάρχουν spf records στα headers, το spf record είναι dns υπηρεσία.
Προφανώς για να τα δέχτηκε ο mailserver σου δεν έχεις καθόλου spf records ή είναι λάθος ρυθμισμένος ο mailserver σου ή κάποιος ενδιάμεσος smtp και δέχεται αποστολή χωρίς authentication.
Μάλλον εννοείς τα From και By headers.

[imitheos]

Παρόμοιο e-mail έλαβα και εγώ στις 01/10 αλλά δεν το άνοιξα καν και το άνοιξα μόλις σήμερα.

@OP Το ότι φαίνεται να στάλθηκε από εσένα μην σε προβληματίζει γιατί είναι πολύ εύκολο να το κάνει κάποιος να φαίνεται έτσι. Παλιά επί εποχές irc ο ένας φίλος έκανε πλάκες στον άλλον με τέτοια e-mails. Δεν υπήρχε άτομο που να μην πήρε e-mail από cia.gov . Χωρίς να δεις όλα τα headers του e-mail φαίνεται ότι στάλθηκε από εσένα.

Το δικό μου λέει τα παρακάτω:

Subject: Delete Message After Reading!
Date: 1 Oct 2018 06:26:32 -0600
X-Mailer: Microsoft Outlook Express 6.00.2600.4393

Hello!
I'm a member of an international hacker group.

As you could probably have guessed, your account foo@gmail.com was hacked, because I sent message you from it.

Ναι εντάξει σε πιστέψαμε ότι όντως το έστειλες από εμένα .

Now I have access to you accounts!
For example, your password for foo@gmail.com is q......24t

Γράφει ένα κωδικό με κάμποσα τυχαία ψηφία.

Within a period from July 7, 2018 to September 23, 2018, you were infected by the virus we've created, through an adult website you've visited.
So far, we have access to your messages, social media accounts, and messengers.
Moreover, we've gotten full damps of these data.

We are aware of your little and big secrets...yeah, you do have them. We saw and recorded your doings on porn websites. Your tastes are so weird, you know..

But the key thing is that sometimes we recorded you with your webcam, syncing the recordings with what you watched!
I think you are not interested show this video to your friends, relatives, and your intimate one...

Ακόμη και να μπήκα σε κάποιο adult site, έχω κλειστά scripts, frames, javascript, κτλ.

Άντε πες ότι κόλλησα όντως ένα ιό από κάποιο 0day που δεν μπορούσε να αποφευχθεί. Με καταγράψανε από την webcam μου και θα στείλουν τα video στους φίλους μου. Ο υπολογιστής δεν είναι λάπτοπ και δεν είχα ποτέ webcam. Με καταγράψανε από το υπερπέραν

Transfer $700 to our Bitcoin wallet: 13DAd45ARMJW6th1cBuY1FwB9beVSzW77R
If you don't know about Bitcoin please input in Google "buy BTC". It's really easy.

I guarantee that after that, we'll erase all your "data"

A timer will start once you read this message. You have 48 hours to pay the above-mentioned amount.

Your data will be erased once the money are transferred.
If they are not, all your messages and videos recorded will be automatically sent to all your contacts found on your devices at the moment of infection.

You should always think about your security.
We hope this case will teach you to keep secrets.
Take care of yourself.

Ε αφού εγγυάται ότι θα σβήσει τα δεδομένα μου δεν έχω λόγο να μην τον πιστέψω. Να του στείλω αμέσως τα 700$.

Ως εδώ όλα καλά. Οι κλασικές μπούρδες που λένε όλα τα spam. Τακτική ΑΠ (Άμα πιάσει). Λες τέτοια να φοβηθεί μήπως και σου τα στείλει.

Ξέροντας ότι χρησιμοποιώ ξεχωριστό κωδικό στο κάθε site και κανένα 2 sites δεν έχουν τον ίδιο κωδικό, μπαίνω έτσι για πλάκα στον password manager του firefox να δω τι κωδικό έχω στο gmail και ο κωδικός του gmail είναι φυσικά τελείως διαφορετικός. Η πλάκα όμως είναι ότι ο κωδικός που γράφουν είναι 100% ίδιος με ένα ηλεκτρονικό κατάστημα από το οποίο ψωνίζω συνέχεια τα τελευταία χρόνια. Με προβληματίζει το γεγονός ότι αυτό που γράφει το e-mail έχει όλα τα γράμματα lowercase ενώ ο κωδικός μου έχει και κεφαλαία γράμματα. Αποκλείεται κάποια υλοποίηση όχι μόνο να μην χρησιμοποιεί hashing και να αποθηκεύει τον κωδικό χύμα αλλά ταυτόχρονα να μετατρέπει όλα τα γράμματα σε πεζά (αν και όλα τα έχουμε δει). Παρόλα αυτά όμως είναι 100% ίδιος οπότε λογικά θα πρέπει να χάκεψαν αυτό το e-shop και να τον πήρανε γιατί δεν χρησιμοποιώ cloud υπηρεσίες και τέτοια οπότε ο κωδικός υπάρχει μόνο στο pc και στο site.

Τους έστειλα πριν 10 λεπτά e-mail και τους ρώτησα αν χρησιμοποιούν κάποιο hashing ή αποθηκεύουν τον κωδικό αυτούσιο ώστε _αν_ φταίει το site να μην πάθει κάποιος άλλος ζημιά που χρησιμοποιεί τον ίδιο κωδικό σε πολλά sites.

[xaris2335]

όλα καλά και ωραία αλλά πως εξηγείς το γεγονός ότι βρέθηκε το μέϊλ του στη βάση δεδομένων του haveibeenpwned για να βρέθηκε πάει να πει πως όντως με κάποιο τρόπο (brute force attack) βρήκαν πρόσβαση στο μέϊλ του.
Το λέω γιατί και σε εμένα έχει συμβεί να είναι pwned το μέϊλ μου.