Cos nie tego...

Ktos probowal uzyc karte kredyt. zony 2 miesiace temu. Bank wylapal i anulowal. No to huzia, 3 formaty, wszystkie hasla itd. Zdaza sie widocznie.
Przez ostatni miesiac zaczal przychodzic jakis dziwny spam, na wszystkie moje konta email. Taki normalny, ale nagle przez filtry przedostaje. Bitcoin, dupy, nawolywania do zmian hasla, paczki od DPD itd.

Ale wczoraj juz niepokojaco email zony dostal jakis naprawde dziwny spam klasyka typu "kliknij tutaj 100 napalonych na ciebie czeka"... tylko, ze z dunskim tytulem i zawartoscia. Natomiast "reply-to" e bylo najbardziej niepokojace, bo reply@plotek.pl. Zagladam czesto na gazete.pl, wiec jest to odwiedzana domena, ale nigdy z kompa zony.
To juz dosc specyficzne... zbyt specyficzne. Prawie, ze osobiste.

Mam wszedzie 2FA gdzie moge, wirusow nie widac, wszystko bylo sformatowne. Jakis zhakowany router? Keylogger raczej inaczej by wygladal.
Na serwerze mam tylko jeden port otwarty z Plexem, nawet uPnP wylaczone jest.

:bojesie

niech stara używa normalnych stron porno

Zapisała się do newslettera Plotek.pl i teraz boi się przyznać.

No wlasnie ona z kraju wielkiej pandy, Plotek i dunskie porno nie sa jej silna strona.

Panie kochany, nie próbuj zrozumieć spamu, bo te wszystkie adresy plotki, srotki są ciągnięte z jakiejś listy losowej i nie mają znaczenia.
Pewnie przez chwilę ten format spamu przechodzi przez filtry, bo znaleźli jakąś dziurę, ale to tymczasowe, zanim filtry poprawią.

Tego Bitcoina faktycznie ostatnio dużo się pokazało.

A czy wiecie/podejrzewacie skąd wyciekł numer karty (np. gdzie Żona płaci kartą podając jej numery, a gdzie daje karte do ręki kasjerowi)? Bo jeśli to pociekło z jakiegoś sklepu internetowego, to wielce prawdopodobne że mail pociekł razem z kartą. Stąd nagły wysyp spamu. Kwestia jakości filtrów zależy od dostawcy poczty.

znasz tę stronę? https://haveibeenpwned.com/ może się przydać - sprawdź sobie na niej maila.
Jeśli nie daje Ci to spokoju, sprawdź jeszcze ustawienia routera, czy nie masz tam jakichś 'dziwnych' dnsów. Nie wiem, czy znasz dnsy Twojego dostawcy, ale jeśli tak, to sprawdź czy twój router nie używa innych. Jeśli nie znasz DNSów Twojego dostawcy, a masz zaufanie do gugla, wpisz tam sobie 8.8.8.8. Jeśli bardziej ufasz cloudflare'owi, wpisz tam 1.1.1.1

Możesz też wyzerować router i skonfigurować go od zera, jeśli pobieżne oględziny konfiguracji Cię nie uspokoją.

Sprawdź jaki masz router i wersję softu na nim. Może producent ma nowszą wersję, z łatami bezpieczeństwa?

I jeszcze pytanie, czy wszystkie te podejrzane maile sprawdzasz tak dokładnie tak jak tego? Maila w zasadzie można spreparować całego. Ten Cię trafił mocniej, bo znasz domenę. Może w innych pola reply-to nie były tak dostosowane do Ciebie i Żony, ale też trafiały w duże/znane portale? Jeśli masz możliwość przeglądu historii spamfolderu dalej niż miesiąc wstecz, to zobacz ile spamu Żona dostawała wcześniej.

:avatarek sklepy internetowe nie trzymają numerów kart. A przynajmniej nie powinny

:szatkus true. nie powinny. Ale nie wiemy gdzie karta była użyta - może w jakimś hotelu gdzie pani skrzętnie zapisała to w supertajnym excelu ?

Jeśli ktoś przynajmniej raz próbował posłużyć się numerem karty to dla własnego spokoju najlepiej zmienić kartę.

Watpie, sklepy nie powinny tego przechowywac, a zona bardziej uwaza niz ja. Np. nie placi karta poza Dania, ktora jest dosc bezpieczna, a poza granica zwykle nie tyka niczego bez PayPal. Jesli uwazasz ze Polacy dbaja o swoje pieniadze stereotypowo to pomnoz sobie x10 u Chinki . Sklep tez ciekawy bo ktos kupil paczki do MtG z wysylka zagranice z dunskiego sklepu (praktycznie wszystkie tranzakcje za granica teraz musza byc weryfikowane "tokenem narodowym", czyli taki przypisany do peselu system uwierzytelniania, nie powiem dosc bezpieczny nawet na phishing u starszych).
Moim zdaniem jakis keylogger, bo zona ufa chinskim stronom/programom.

Karta jest automatycznie nie do odblokowania jak bank cos zlapie, wysylaja nowa od razu.

Moj HIBP ma rekordowe statsy, 12 razy pwned na jednym (przez 20lat), 5 na drugim. Zony tylko raz w 2019.

Wlasnie nic nie dostawala wczesniej. Dopiero wczoraj i to do inboxa, czyli przebilo przez filtr. Z dosc "spersonalizowanymi" tresciami. Nie ma najmniejszego powodu by miec spam pornorandki z "plotek.pl" jako domena do odpowiedzi. Paranoja

Ja mam prawie wszystko na routerze poza pfSense. Wszystkie zarowki, gniazdka, kamery i inne IoT sa na izolowanej sieci.

Choc wlasnie zajrzalem na PiHole i mialem zawal serca. Dzis zablokowal 12tys odwolan DNS to ruskiego serwera z jakiegos kompa w domu. Ale po chwili dotarlem do tego ze to niezrotoowany tablet syna, ktory gra tylko w World of Tanks (od ruskow wlasnie).

btw.nie wchodźcie w jakieś biznesy bitcoinowe, które same wam teraz przychodzą na maila. W sumie to w ogóle nie wchodźcie teraz w kryptowaluty nawet na bezpiecznych giełdach/portalach/paypalach. Największe krypto są teraz uczciwie wycenione. Jeśli wzrosną to będzie to bańka spekulacyjna i prawdopodobnie nie będziecie mieli żadnej kontroli co się dzieje z waszymi finansami. Jak "zacznie się rzeź" to nawet nie zauważycie, kiedy oraz jak was wyssą i ostrzyżą jak barany. Już nie jest bezpiecznie.

Wlasnie, zadnych BTC. Tylko GME Rakieta Rakieta Ksiezyc Calujacy sie Faceci.


...zartuje, nienawidze sekty GME.

:markizderetarde
to the moon!

:markizderetarde to z innej mańki: Czy Twoja Żona ma nazwisko, które mogłoby skłonić spamera, do uwiarygodnienia treści domeną .pl?

Treść spamu jest po duńsku z tego co pisałeś wcześniej, treść jest standardowa, ale piszesz że spersonalizowana - a bardzo/martwiąco dokładnie? np. Imię, nazwisko, adresy, miasta? Bo jeśli nie, a Żona ma polskobrzmiące nazwisko, to moim zdaniem not great, not terrible, ale wyjmij z sejfu ten dobry dozymetr ;-)
Masz infrastrukturę do zbierania logów, to obserwuj, ale bez spiny. A to Twoje IoT nie robi podejrzanych ruchów?

I masz backup ważnych danych, no nie?

Nie ma, ma dwuliterowe nazwisko. A spam byl dla mnie chyba "Chce twojego kuta.. Rozpal mnie, poznaj single w twojej okolicy" . Plotek.pl nie pasuje zupelnie.

Cos jakby dostala spam wedle moich ciasteczek, o, tak bym to ujal.

:jez_z_lasu Krypto uczciwie wycenione? Nie wiedziałem że jest za darmo ;-).

:tomcat_tc na Podlasie jeszcze nie dotarły płatności 3D?

:markizderetarde jeśli jesteś pewny że system masz czysty, to bym się skupił bardziej na obserwacji. Jeśli się nie pojawią żadne inne podejrzane maile, to zakładałbym że ten plotek.pl to losowy przypadek.

Ty czasem wchodzisz na plotka, Żona, z tego co mówisz raczej nie
Spam przychodzi na skrzynkę Żony, a nie na Twoje skrzynki
Spam jest po duńsku, a żeby pasował do domeny .pl powinien być po polsku
Wyciek danych (karty) według Twojego opisu faktycznie wskazywałby na problem na komputerze Żony - bo zakładam, że tylko u niej ten numer się pojawia.

W każdym razie, albo wskazywałoby to na infekcję wszystkich komputerów w sieci (wyciętą przez reinstall), albo tylko Żony (zakładając ze się komputerami dzielicie i sobie chodzisz z jej maszyny po polskim Internecie, ale tak samo - reinstall powinien sprawę uciąć)

W pierwszym poście zastanawiasz się nad routerem. Sprawdzić go możesz - zerknij na logi (czy np. nie ma dziur w ciągłości, prób dostania się na router z zewnątrz/wewnątrz z błędnym hasłem, crashy softu), aktywne połączenia z routera, puść na nim AV jeśli się da, ale z opisu wygląda że nic innego podejrzanego w Twojej sieci się nie dzieje ( żadnych dziwnych przekierowań, reklam, ostrzeżeń AV).
Jeśli masz logi połączeń/DNS sprzed kilku miesięcy, to przejrzyj je, czy tam się jakieś podejrzane domeny nie trafiły (porównaj je sobie np. z Pollockiem: https://www.someonewhocares.org/hosts/ )

Jeśli w tej chwili nic Cię w dziennikach nie niepokoi, to innych działań oprócz monitorowania bym nie robił. Jeśli się coś dziwnego dzieje, to trzeba reagować.

Haha. Watek sie zageszcza.

Wyglada, ze jest jakas jesien sredniowiecza ogolnie jesli chodzi o spam, phishing i ransomware wlasnie.
Dostalem teraz spam na gmail po raz pierwszy. Taki gmail ktorego uzywam tylko do oficjalnych urzedow, medycznych, lotow itd. Nie byl nigdy w HIBP.

"I am aware *haslo* is one of your pass. Lets get directly to the point. Not a single person has compensated me to check about you. You may not know me and you are most likely thinking why you are getting this email?" i blabla tam zaplac BTC albo przesle wideo z kamerki jak bijesz Niemca do porno.

Tylko ze to bylo generowane unikalne haslo z KeePass, 10 znakow, duze, male, cyfry i znaki specjalne. Najgorsze, ze nie jest moje, bo potrudzilem sie by sprawdzic wszystkie hasla w managerze. Do tego nie uzywam tego konta do niczego gdzie sie loguje emailem, albo w ogole powiazanym z tym emailem.

:markizderetarde też dostałem niedawno ten spam na gmail (na inną skrzynkę dostaję go co parę dni). Z tym, że u mnie było to (chyba) jakieś słowo, które nic mi nie mówi i na pewno nie jest żadnym z moich haseł.
Po prostu strzelają na ślepo i liczą, że w coś trafią.

PS. jakiś czas temu był na ten temat artykuł na niebezpieczniku. Nawet jeżeli hasło się zgadza, to pochodzi z jakiegoś starego wycieku.

:markizderetarde. Ok to jest klasyczny spam od jakiegoś czasu. Zazwyczaj wrzucają tam hasła z wycieków. Mówisz mail Twój, taki do oficjalnych spraw. Tylko i wyłącznie? Nie komunikowałeś się z kimś innym za pomocą tego maila? Hasło wpisane w mailu wygląda na generowane, wyglądające na losowe, ale nie Twoje? A historycznie? Keepass ma historię zmian ostatnich - można podejrzeć.
A hasło nie należy do kogoś z domowników?

Gmail oferuje w ustawieniach konta przegląd bezpieczeństwa https://support.google.com/accounts/answer/3466521?hl=en
Może ktoś z domowników udostępnił jakiejś lewej apce dostęp do swojego konta? Telefony/Tablety też zerowałeś po akcji z kartą?
https://www.youtube.com/watch?v=aCbfMkh940Q

A powiedz, czy (skoro to mail do spraw oficjalnych) czy jest jakiś portal,z tych oficjalnych, na którym Ty jesteś zarejestrowany z tym mailem, a Żona z tym, na który dostaje spam? Trochę to strzał z biodra, ale może problemu nie masz Ty, tylko ma go Dania?

Logi sprawdzałeś? Masz?

Przejrzalem cala historie. To nie moje haslo, choc pasuje znakami.
Na pewno nie bo loguje sie tylko w jednym miejscu tym emailem. W innych przypadkach loguje sie przez tokena od Googla, bez podawania hasla.
Z drugiej strony moje imie.nazwisko@gmail.com jest zdobycza z 2002 roku. Sa nas setki, i dostaje caly czas spam do innych osob.