Keylogger

dat weet ik ook.
maar het is toch eigenaardig als ik al 7 verschillende computers heb gebruik met 7 verschillende netwerken.


Groetjes,
Mitchell

start: https://support.google.com/mail/checklist/2986618


en dan: https://productforums.google.com/forum/#!forum/gmail-nl

mail naar abuse@gmail.com , en al je (7??) werkstations scannen.

Of je gmail.com via een proxyserver benadert, bedoel je? Controleer in je browser het SSL/TLS-certificaat dat gmail.com meldt door op het slotje in de adresbalk te klikken. Dat moet van Google zijn. Maar het is erg onwaarschijnlijk dat dat op 7 computers op 7 netwerken fout gaat.

Maar doe je wel alles vanaf andere computers om uit te sluiten dat het aan je desktop ligt? Als je op een andere computer je wachtwoord wijzigt en dat vervolgens vanaf je desktop gebruikt om je e-mail te checken kan het toch door een keylogger op die machine verklaard worden. Ik vermoed dat je dat wel door hebt, maar ik vraag het toch maar even voor de zekerheid.

Als het niet aan de afzonderlijke machines kan liggen moet het liggen aan iets dat al die benaderingen met elkaar gemeen hebben, en dan lijkt er iets met de account zelf aan de hand te zijn. Is er misschien een e-mailmachtiging ingesteld?
https://support.google.com/mail/answer/138350?hl=nl

Heb je deze checklist afgewerkt?
https://support.google.com/mail/checklist/2986618
Wie weet staan daar dingen in die je op ideeën brengen over wat er fout gaat.

Waarschijnlijk slachtoffer van een "spoofer", een Chinese inbreker, lees dit eens: http://zaufanatrzeciastrona.pl/post/chinczycy-probuja-wlamywac-sie-do-skrzynek-gmail-polakow/ - vertaal met google translate.
En dit gebeurt volgens jouw verhaal nu ook in Nederland,

luntrus

Los nog hiervan, wat heeft iemand eraan om het e-mail account van iemand anders te gebruiken?
Verspillen hackers zo graag hun tijd?

Google gebruikt statistieken om bij te houden welke devices en jij zoal gebruikt om je email account te benaderen en vanaf welke locaties (IP-adres, geo locatie). Als je geen 2-factor authentication gebruikt, dan is Google wat strenger in het detecteren van verdacht gedrag dan wanneer je wel 2-factor authentication gebruikt.
Ik heb zelf 2 gmail accounts, eentje met en eentje zonder 2-factor authentication. Beide op mijn telefoon ingesteld en binnen Nederland werkt dat prima. Ga ik echter naar het buitenland (recent nog in Duitsland en Frankrijk geweest), dan blokkeert Google de toegang tot account die geen 2-factor authentication heeft. Daarvan krijg je een mailtje en je kan vervolgens aangeven of het wel of niet je eigen device is geweest vanwaar je probeerde aan te loggen. In mijn geval herkende ik beide situaties, dus aangegeven dat het onterechte blokkades waren. Mocht ik nog een keer op diezelfde locatie komen, dan zal Google niet meer de login blokkeren.

Onderin gmail kun je kijken welke andere sessies actief zijn, die zijn denk ik wel interessant hier.

Check daarna of je niet iets van TOR of proxy gebruikt, want dan kun jij zelf natuurlijk gewoon in China uitkomen.
Pak daarna inderdaad iets van een mobieltje, liefst even non-jailbroken iOS (minste kans op zooi).
Ga naar https://gmail.com (echt expliciet zelf https:// typen, check het certificaat of het van google is).
Schakel dan two-factor authentication in.
Reset daarna je wachtwoorden, inclusief het verwijderen van alle voorgaande sessies.
Reset ook je 'secret' wachtwoord (je weet wel, die zin om je wachtwoord te kunnen resetten).
Dat kan ook nog wel eens een mailadres zijn tegenwoordig, pas die dan ook aan.

Check ook even je mailbox (in, uit, spam etc.) op vreemde activiteit, en reset al (ja echt al) je andere wachtwoorden.
Grote kans dat als iemand in je mail heeft gezeten dat hij toegang heeft tot al je andere zaken.

Dit zou ik niet doen, wie weet wat het automatisch abuse-systeem van jouw email-adres vindt!
Voor hetzelfde geld wordt jij geblokkeerd, ik heb al gekkere dingen zien gebeuren na een abuse-melding ;)

http://www.google.com/landing/2step/#tab=how-it-works

Upnp toevallig aan?
http://www.zdnet.com/homeland-security-disable-upnp-as-tens-of-millions-at-risk-7000010512/

Ik ben Pools, en van die vertaling klopt niet heel erg veel.

Lijkt me niet de reden als het vanuit verschillende lans optreed. Ik vond recent wel een handige tool om de UPnP tabel van een router uit te lezen: http://upnp-portmapper.sourceforge.net Dan zie je welke software met de forwards aan het knoeien gaat.

Het is geschreven in Java, dus werkt het op elk OS waar Java 6 of hoger op staat. Ik had zelf al een mac-only tool, maar deze werk net zo mooi en op alle os-en. Vooral handig op routers waar de router deze tabel niet laat zien. (de meeste routers)

Je kunt ook de 2 stappen authenticatie aanzetten: https://www.google.com/landing/2step/ Dan heb je in ieder geval geen last meer van mensen die alleen je wachtwoord weten te achterhalen. (zoals al eerder gezegd trouwens)

Wat fijn dat je ons verteld wat er niet aan klopt aan de vertaling, en wat de vertaling wel juist zou maken!

Ah ja, de wat-kan-nou-gebeuren-attitude. Dit is een gevaarlijke en helaas typische manier van denken; omdat jij niet kan bedenken hoe de inlog-gegevens van een account kunnen worden misbruikt ga je er gemakshalve van uit dat anderen dat ook niet kunnen.

Er bestaat een levendige ondergrondse handel in inlog-gegevens waarbij een account gemiddeld enkele dollars opbrengt.
Het loont ten eerste dus om aan deze gegevens te komen. Vervolgens worden de accounts gebruikt op manieren die alleen beperkt worden door de kennis en creativiteit van degene die daar iets mee wil doen.

Een klassiek voorbeeld is spam. Jouw account wordt niet alleen gebruikt om spam te versturen (ja, spam loont) maar ook aan de inlog-gegevens van je contacten te komen. Een manier om dat te doen is door je contacten een link naar een malafide website te sturen via jouw account. Op de website wordt een XSRF (Cross Site Request Forgery)* uitgevoerd die een kwetsbare browser van het slachtoffer forceert om de inlog-gegevens (de authenticatie-cookie op je computer) van de mail-account te versturen naar de aanvaller. Zo lang je bent ingelogd op je (mail) account-en wie sluit zijn account tegenwoordig nog af-kan de aanvaller zich met de gekaapte inlog-gegevens toegang verschaffen tot je account (op deze manier kan de aanvaller overigens ook erachter komen op welke andere accounts je op dat moment bent ingelogd)**

Een dergelijk scenario kan ook worden gebruikt om op de malafide website een drive-by download uit te voeren die op de computer van het slachtoffer een trojan installeerd waarmee de aanvaller (door bijvoorbeeld de UPnP-functie van je router te gebruiken) zich toegang tot je computer kan verschaffen. Vervolgens wordt je computer toegevoegd aan een botnet waarmee-ik noem maar wat-DDoS-aanvallen worden uitgevoerd.

Zie voor meer achtergrond de blog van Brian Krebbs.***

*http://en.wikipedia.org/wiki/Cross-site_request_forgery
**http://blog.whitehatsec.com/i-know-what-websites-you-are-logged-in-to-login-detection-via-csrf/
*** http://krebsonsecurity.com/2013/06/the-value-of-a-hacked-email-account/

Beste,

eerst en vooral wil ik jullie allemaal bedanken voor de snelle reacties!
Ik heb authenticatie in 2 stappen van google aangezet. bedankt voor de Tip.
Ik wou graag weten of dit IP-adres: 27.156.195.131 (waarmee er word geprobeerd ingelogd te worden)een proxy server is.
en neen ik heb om mijn netwerken geen proxy server ingesteld.
Momenteel krijg ik geen mails meer van verdachte login.


groetjes,
Mitchell

Hier zit waarschijnlijk je probleem. Ik heb het idee dat Google het niet leuk vindt als je via verschillende IP adressen inlogt. (Bij game platform Steam is dit ook zo). Als je slechts één computer met een vast IP adres gebruikt, dan zal Google uiteindelijk denk ik wel stoppen met klagen.

Staar je ook niet blind op het Chinese IP adres! Ik heb volgens mij wel eens ergens gelezen dat vanwege de schaarste aan IPv4 adressen, hierin steeds meer een handel gaat ontstaan.

Succes met Gmail! Vergeet ook niet dat als het wel een keylogger is hier, je vaak wachtwoorden voor andere accounts kan resetten via je Gmail. Dit is een groter gevaar dan wat ik verder hier heb gelezen (spam/DOS). Vooral als je ook nog een creditcard hebt gekoppeld aan die accounts.

"Door Anoniem: Los nog hiervan, wat heeft iemand eraan om het e-mail account van iemand anders te gebruiken?
Verspillen hackers zo graag hun tijd?"

In email archieven zijn vaak interessante zaken te vinden voor hackers, zoals credentials voor andere websites. Ook worden inlog/wachtwoord combinaties vaak hergebruikt, waar de hacker ook handig gebruik van kan maken. Wat ze willen ? Nou, je bankrekening plunderen, spullen bestellen op jouw naam, informatie stelen, en ga zo maar door.

"Staar je ook niet blind op het Chinese IP adres! Ik heb volgens mij wel eens ergens gelezen dat vanwege de schaarste aan IPv4 adressen, hierin steeds meer een handel gaat ontstaan."

Wat heeft handel in IPv4 adressen te maken met deze discussie ? Het is en blijft een IP in het Chinanet Fujisan Province Network, dat kan zich niet zomaar verplaatsen ergens anders naartoe.

"Als je slechts één computer met een vast IP adres gebruikt, dan zal Google uiteindelijk denk ik wel stoppen met klagen."

Tja, het gaat hier om onbekende derden die zich vanuit China toegang verschaffen tot een email account. Het lijkt me toch dat je zo'n probleem wil verhelpen. Wat jij voorstelt is je kop in het zand steken en kijken hoe je van totaal terechte waarschuwingen af kunt komen.

Indien jij last hebt van computer virussen, probeer je de problemen dan op te lossen, of zet je je virus scanner uit ''om van de irritante meldingen af te zijn'' ? ;)

"27.156.195.131"

Het IP komt niet voor op public proxy lijsten van de laatste 12 maanden, en staat ook niet bekend als bijvoorbeeld een TOR exit node.

Account beëindigen en een nieuw account nemen is waarschijnlijk makkelijker dan de boel proberen uit te zoeken.
Maakt het de kwaadwillende(n) ook gelijk onmogelijk om via jouw account nog rottigheid uit te halen.

Zie bijvoorbeeld http://webwereld.nl/cloud/82863-microsoft-vs-door-ipv4-adressen-heen:(lokaal is hier in de VS, waar de IPv4 adressen op zijn).

Zie link hierboven. De toegang hoeft helemaal niet vanuit China te zijn gekomen. En de registratie van de locaties van IPv4 adressen zal alleen maar onnauwkeuriger worden totdat iedereen over is op IPv6. Voor domein namen geldt verder net zoiets. Vooral de eigenaar van .com domeinen klopt vaak niet (tenminste, dat was vroeger zo).