Mandei o portátil para RMA e hackearam-me as contas de e-mail

[fire_rainbow]

Boas,

Isto vai ser longo.

Ontem, por volta das 18h, recebi uma notificação no telemóvel em como a password da minha conta gmail tinha sido alterada.
Ora, de seguida fui tentar fazer login, para perceber o que se passa, e deparei-me um erro na password, o que achei estranho. Tentei então fazer recuperação da password e foi aí que percebi que o e-mail de recuperação, telefone e app authenticator, foram todos trocados.
Percebi então que tinha sido hackeado.
Tendo em conta que tenho 2FA, não estava a conseguir perceber como é que alguém teve acesso ao meu e-mail sem ter os códigos da authenticator app (2FA).

Pensei muito, a ver se me lembrava se tinha vendido algum device que pudesse ter lá alguma informação que pudessem ter utilizado para fazer login (sabe-se lá como).
Foi então que me lembrei que no início da semana, enviei o portátil para RMA .

Eu não queria acreditar que tivessem hackeado a minha conta do portátil, à qual eu até tinha ativo o bitlocker, no entanto tinha um simples PIN de 4 dígitos.

Comecei a pensar se tinha instalado algo que não devia no portátil que estou a utilizar, enquanto o outro foi para RMA, mas não, não instalei nada mesmo.
Ora, já a ver a vida a andar para trás, passado uma hora e pouco consegui recuperar acesso pois uma das funcionalidades da recuperação do gmail, é enviar código de recuperação para e-mails anteriormente adicionados, e foi isso que fiz e consegui alterar tudo de volta.
Recebi o código de recuperação no meu outro e-mail, que era um e-mail antigo, nunca utilizado para nada e só recebia spam, ou seja, um velho e-mail da sapo.

E é aqui que finalmente percebi que foi, garantidamente, alguém a aceder ao meu portátil que foi para RMA. Porquê?
Ora, o e-mail do sapo só tinha o login feito em 1 device apenas, e era exatamente no portátil que foi enviado para RMA. Em mais nenhum lado eu tinha login feito naquele e-mail.
Depois, para confirmar, ainda mais, que foi através do portátil de RMA, eu fui ver a atividade no Google Account e aparece as horas, o dispositivo e o que foi alterado, onde consegui ver tudo o que essa pessoa fez. E na parte do dispositivo dizia "Este dispositivo", como se fosse do portátil que tenho aqui à minha frente.

A razão de dizer "Este dispositivo", é bem simples, ou seja, eu clonei o HDD do outro portátil e restaurei neste portátil que tenho aqui à minha frente, ou seja, os portáteis ficaram com "identidades" iguais em tudo, incluindo o nome do portátil que era exatamente igual.
Após recuperar o email do gmail, fui alterar todas as passwords de todos os sites onde tinha login criado, que apareciam no chrome e são sincronizadas entre todos os devices.
Alterei e-mails, códigos de utilizador e matrizes das apps de acesso ao banco, e criei uma nova wallet de ETH para onde enviei tudo para lá.

Com isto, onde o portátil estava ontem às 18h, irá indicar se foi alguém da loja, alguma outra empresa de reparações (que possa ter contrato com a loja ou marca), ou foi na própria marca.

Hoje de manhã, fui ao site da loja, procurar os contactos e percebi que só recebem telefonemas nos dias úteis, então fui à área de RMA da loja e enviei uma grande mensagem a perguntar onde estava o meu portátil e onde esteve ontem por volta das 18h e que quero ele de volta já, arranjado ou não.
Agora, o meu receio é que da mesma forma que eu recuperei o e-mail, utilizando o mecanismo da google que envia códigos para e-mails anteriormente adicionados, quem me garante que a pessoa em questão não vai fazer o mesmo? recuperar o e-mail utilizando o e-mail dele anteriormente adicionado.

Pralém de e-mail, também funciona dessa forma com os números de telemóvel.
O máximo que pude fazer foi, adicionar um e-mail de recuperação novo e um número de telemóvel novo e de seguida trocar por outro e-mail e telemóvel, de forma a que o anterior e-mail seja o primeiro que alterei, mas não sei se vai funcionar.

O que recomendam como próximos passos? Devo reportar à polícia? E alguma outra forma de proteger a 100% a minha conta e que não permita ele recuperar o acesso? Já ando paranoico com isto.

 

[daddydj]

Boas,

Isto vai ser longo.

Ontem, por volta das 18h, recebi uma notificação no telemóvel em como a password da minha conta gmail tinha sido alterada.
Ora, de seguida fui tentar fazer login, para perceber o que se passa, e deparei-me um erro na password, o que achei estranho. Tentei então fazer recuperação da password e foi aí que percebi que o e-mail de recuperação, telefone e app authenticator, foram todos trocados.
Percebi então que tinha sido hackeado.
Tendo em conta que tenho 2FA, não estava a conseguir perceber como é que alguém teve acesso ao meu e-mail sem ter os códigos da authenticator app (2FA).

Pensei muito, a ver se me lembrava se tinha vendido algum device que pudesse ter lá alguma informação que pudessem ter utilizado para fazer login (sabe-se lá como).
Foi então que me lembrei que no início da semana, enviei o portátil para RMA para uma das maiores lojas Nacionais (se quiserem saber o nome, peçam por PM).
Eu não queria acreditar que tivessem hackeado a minha conta do portátil, à qual eu até tinha ativo o bitlocker, no entanto tinha um simples PIN de 4 dígitos.

Comecei a pensar se tinha instalado algo que não devia no portátil que estou a utilizar, enquanto o outro foi para RMA, mas não, não instalei nada mesmo.
Ora, já a ver a vida a andar para trás, passado uma hora e pouco consegui recuperar acesso pois uma das funcionalidades da recuperação do gmail, é enviar código de recuperação para e-mails anteriormente adicionados, e foi isso que fiz e consegui alterar tudo de volta.
Recebi o código de recuperação no meu outro e-mail, que era um e-mail antigo, nunca utilizado para nada e só recebia spam, ou seja, um velho e-mail da sapo.

E é aqui que finalmente percebi que foi, garantidamente, alguém a aceder ao meu portátil que foi para RMA. Porquê?
Ora, o e-mail do sapo só tinha o login feito em 1 device apenas, e era exatamente no portátil que foi enviado para RMA. Em mais nenhum lado eu tinha login feito naquele e-mail.
Depois, para confirmar, ainda mais, que foi através do portátil de RMA, eu fui ver a atividade no Google Account e aparece as horas, o dispositivo e o que foi alterado, onde consegui ver tudo o que essa pessoa fez. E na parte do dispositivo dizia "Este dispositivo", como se fosse do portátil que tenho aqui à minha frente.

A razão de dizer "Este dispositivo", é bem simples, ou seja, eu clonei o HDD do outro portátil e restaurei neste portátil que tenho aqui à minha frente, ou seja, os portáteis ficaram com "identidades" iguais em tudo, incluindo o nome do portátil que era exatamente igual.
Após recuperar o email do gmail, fui alterar todas as passwords de todos os sites onde tinha login criado, que apareciam no chrome e são sincronizadas entre todos os devices.
Alterei e-mails, códigos de utilizador e matrizes das apps de acesso ao banco, e criei uma nova wallet de ETH para onde enviei tudo para lá.

Com isto, onde o portátil estava ontem às 18h, irá indicar se foi alguém da loja, alguma outra empresa de reparações (que possa ter contrato com a loja ou marca), ou foi na própria marca.

Hoje de manhã, fui ao site da loja, procurar os contactos e percebi que só recebem telefonemas nos dias úteis, então fui à área de RMA da loja e enviei uma grande mensagem a perguntar onde estava o meu portátil e onde esteve ontem por volta das 18h e que quero ele de volta já, arranjado ou não.
Agora, o meu receio é que da mesma forma que eu recuperei o e-mail, utilizando o mecanismo da google que envia códigos para e-mails anteriormente adicionados, quem me garante que a pessoa em questão não vai fazer o mesmo? recuperar o e-mail utilizando o e-mail dele anteriormente adicionado.

Pralém de e-mail, também funciona dessa forma com os números de telemóvel.
O máximo que pude fazer foi, adicionar um e-mail de recuperação novo e um número de telemóvel novo e de seguida trocar por outro e-mail e telemóvel, de forma a que o anterior e-mail seja o primeiro que alterei, mas não sei se vai funcionar.

O que recomendam como próximos passos? Devo reportar à polícia? E alguma outra forma de proteger a 100% a minha conta e que não permita ele recuperar o acesso? Já ando paranoico com isto.

Na minha opinião era fazer queixa e depois de saberes quem realmente fez isso era expor essa loja/empresa ao máximo. Isso é completamente escandaloso isso acontecer e a pessoa que fez isso devia ser seriamente castigada nem que tivesses de ir a tribunal. Nem me estou a imaginar a isso me acontecer. Acho que me deslocava logo ao local onde tivesse o portatil ou loja e arranjava-a lá a barracada com a policia metida ao barulho. Isso que te fizeram na minha opinião é crime.

 

[macinblack20]

Também acho que o que fizeram é crime, e isso deve ser reportado às autoridades compententes:
https://www.policiajudiciaria.pt/unc3t/

Tens o contacto telefónico, expõe a tua situação e vê o que te indicam para fazer.

 

[josp]

A razão de dizer "Este dispositivo", é bem simples, ou seja, eu clonei o HDD do outro portátil e restaurei neste portátil que tenho aqui à minha frente, ou seja, os portáteis ficaram com "identidades" iguais em tudo, incluindo o nome do portátil que era exatamente igual.

Tens a certeza desta parte?

Se acederes aqui, só te aparece um computador?

 

[Volume9]

Polícia já. Se aconteceu contigo seguramente aconteceu com outros.

 

[news_js]

Que estranho. Mas tinhas bitlocker com senha de acesso logo no arranque do PC ou seguia logo para a senha da conta do Windows?

Quanto à conta do Google, não terás colocado esse computador como seguro, evitando o código de verificação da app autenticadora?

 

[fire_rainbow]

Tens a certeza desta parte?

Se acederes aqui, só te aparece um computador?

Aparecem várias sessões, até repetidas para o meu PC.
Deixo os logs em baixo.

Que estranho. Mas tinhas bitlocker com senha de acesso logo no arranque do PC ou seguia logo para a senha da conta do Windows?

Quanto à conta do Google, não terás colocado esse computador como seguro, evitando o código de verificação da app autenticadora?

Tinha bitlocker e apenas um PIN de 4 dígitos, mas pelo que percebi, a desencriptação só é feita após inserir o PIN correto, a não ser que tenha percebido mal.

É bem capaz do portátil estar adicionado como seguro, mas segundo os logs, a primeira vez que ele entrou na conta do gmail, não inseriu os códigos de 2FA, o que indica que foi num browser já logado. A mesma coisa para o email do sapo, onde apenas estava logado ali naquele portátil.

O e-mail utilizado foi: [email protected]
O número telefone foi: 8 (991) 272-32-65

Após pesquisar de onde o número é, fui dar com Moscovo, Rússia.
Dá para perceber que ele estava a usar VPN no Iphone 7, a apontar para a Ucrânia e VPN num outro portátil, a apontar para a Indonésia.

Deixo os logs em baixo.
Reparem que a primeira entrada no log é logo a alteração do telemóvel, ou seja, antes de sequer fazer login.

Como podem verificar, aparece "Este dispositivo" e obviamente que não fui eu.

EDIT: Ali no log das 20:39 coloquei Hacker, mas fui eu.

 

[nelsondac]

Acredito mais que quem está a ver o portátil tenha instalado algo que tenha feito isso (enviado dados para fora da rede)

Algum brute force ou assim ou bitlocker, daqueles que parecem mesmo de confiança.
Acho muito reboscado estarem a usar VPN e cenas.

Contudo, também deves ter aí algo relacionado com o IP.
Penso que no Gmail consegues forçar o logout nesse dispositivo.
Nem que instales um outro browser no teu computador só para ter acesso ao e-mail a partir de um dispositivo diferente.

Contudo. Polícia, livro de reclamações, tudo!
Numa primeira fase, nem queria saber quem foi. A responsabilidade é da loja, a loja que seja responsabilizada e que chame a responsabilidade à justiça.

PS: vê também se não foi o "colonador" que usaste para o disco que te deixou ai um spywarezinho. .

 

[news_js]

Mas esse pin era do boot do computador ou era da conta do Windows? É que se pode ter o bitlocker sem senha de entrada, confiando apenas na senha do Windows.

Como o @nelsondac disse, o mais provável é que tenham instalado alguma ferramenta pirata (com presente) para reparar o computador. Típico nos serviços técnicos de "meia tigela"...

 

[fire_rainbow]

Acredito mais que quem está a ver o portátil tenha instalado algo que tenha feito isso (enviado dados para fora da rede)

Algum brute force ou assim ou bitlocker, daqueles que parecem mesmo de confiança.
Acho muito reboscado estarem a usar VPN e cenas.

Contudo, também deves ter aí algo relacionado com o IP.
Penso que no Gmail consegues forçar o logout nesse dispositivo.
Nem que instales um outro browser no teu computador só para ter acesso ao e-mail a partir de um dispositivo diferente.

Contudo. Polícia, livro de reclamações, tudo!
Numa primeira fase, nem queria saber quem foi. A responsabilidade é da loja, a loja que seja responsabilizada e que chame a responsabilidade à justiça.

PS: vê também se não foi o "colonador" que usaste para o disco que te deixou ai um spywarezinho. .

Eu gostava antes de obter resposta por parte da loja, pois não quero estar a culpablizá-los se o problema é na empresa de reparação ou na marca ou sei lá onde o portátil foi parar.

O que é que a polícia faz neste caso? A minha confiança na justiça portuguesa é zero literalmente.

O colonador do disco é o Macrium Reflect, zero problemas desde que o uso há anos.

A partir do momento que o portátil foi esta semana para reparar e nunca na vida fui "hackeado", acho que dá para perceber plenamente, tendo em conta as provas, que alguém teve acesso ao PC e foi lá que fez estas trafulhices todas.

Mas esse pin era do boot do computador ou era da conta do Windows? É que se pode ter o bitlocker sem senha de entrada, confiando apenas na senha do Windows.

Como o @nelsondac disse, o mais provável é que tenham instalado alguma ferramenta pirata (com presente) para reparar o computador. Típico nos serviços técnicos de "meia tigela"...

Só mesmo PIN da conta do Windows.

De quer serve instalar essa ferramenta pirata se o PC ainda está com eles? Eles ainda têm o PC.

 

[cRaZyzMaN]

Foste hacked e não foi a loja.

 

[nelsondac]

Já agora, qual foi o problema que levou o portátil para RMA?

 

[fire_rainbow]

Já agora, qual foi o problema que levou o portátil para RMA?

As ventoinhas estavam todas lixadas e faziam uma barulheira insuportável.
O portátil nem 1 mês tinha e já tinha esse problema.

 

[afm]

Clonaste o disco, e portatil que foi para RMA foi formatado ou foi com tudo que era teu?

 

[nelsondac]

Problema das ventoinhas... pode não ser relavante, mas pode. (o gajo já te estar a espiar dados e enviar para cloud, usa CPU, aquece e as ventoinhas fazem o seu trabalho)

Excesso de confiança. Acho que estás a confiar demasiado no que tens e que tomaste todas as medidas. Não duvido, mas azares acontecem.

Devias ter formatado o portatil antes de enviares para RMA. Mesmo sendo o problema de ventoinhas, nunca fiando. Para RMA os discos vão sempre o mais limpos possivel, o suficiente para se mostrar o problema. Caso seja possivel, claro.

Isso de teres usado o mesmo dispositivo também me soa mal, sinceramente. Não sei como o fizeste, e sem querer assustar, eu verificava bem esse sistema que estás a usar agora se não está comprometido. Mesmo migrando o chrome para outro computador, tenho ideia que há validações por MacAddress (por exemplo) que verificam se consegue aceder a credenciais ou não.
O utilitario de clone de discos parece seguro, mas nunca fiando.

Vê também o software do telemovel, o software dos realme/xiaomi nunca foram famosos por serem seguros e livres de "bloatware".

De resto, fala com a loja, policia mesmo que não seja relacionado com a loja. Fica sempre registado...
E falar também na loja, para validarem os processos de reparação deles.

Volto a sublinhar, nunca fiar em tudo o que é digital. e continuo a acreditar que isso foi obra de um bot, apanhou os dados há coisa de 2 semanas e só agora entrou ao ataque.

Fiquei sem perceber a historia do teu email da sapo, se o acesso foi do teu IP então o problema é em tua casa e não remoto. Mas tinhas o portatil há menos de 1 mês...
Quando compraste o portatil, a primeira coisa que fizeste foi formata-lo ?

 

[fire_rainbow]

Clonaste o disco, e portatil que foi para RMA foi formatado ou foi com tudo que era teu?

Clonei o HDD do outro portátil e coloquei no portátil que tenho aqui, no entanto o HDD, do portátil que foi para RMA, não foi formatado e foi tal e qual como quando foi clonado.

Problema das ventoinhas... pode não ser relavante, mas pode. (o gajo já te estar a espiar dados e enviar para cloud, usa CPU, aquece e as ventoinhas fazem o seu trabalho)

Excesso de confiança. Acho que estás a confiar demasiado no que tens e que tomaste todas as medidas. Não duvido, mas azares acontecem.

Devias ter formatado o portatil antes de enviares para RMA. Mesmo sendo o problema de ventoinhas, nunca fiando. Para RMA os discos vão sempre o mais limpos possivel, o suficiente para se mostrar o problema. Caso seja possivel, claro.

Isso de teres usado o mesmo dispositivo também me soa mal, sinceramente. Não sei como o fizeste, e sem querer assustar, eu verificava bem esse sistema que estás a usar agora se não está comprometido. Mesmo migrando o chrome para outro computador, tenho ideia que há validações por MacAddress (por exemplo) que verificam se consegue aceder a credenciais ou não.
O utilitario de clone de discos parece seguro, mas nunca fiando.

Vê também o software do telemovel, o software dos realme/xiaomi nunca foram famosos por serem seguros e livres de "bloatware".

De resto, fala com a loja, policia mesmo que não seja relacionado com a loja. Fica sempre registado...
E falar também na loja, para validarem os processos de reparação deles.

Volto a sublinhar, nunca fiar em tudo o que é digital. e continuo a acreditar que isso foi obra de um bot, apanhou os dados há coisa de 2 semanas e só agora entrou ao ataque.

Fiquei sem perceber a historia do teu email da sapo, se o acesso foi do teu IP então o problema é em tua casa e não remoto. Mas tinhas o portatil há menos de 1 mês...
Quando compraste o portatil, a primeira coisa que fizeste foi formata-lo ?

A teoria do ter malware aqui no PC não faz sentido, pois o único sítio onde tinha o login feito no email do sapo, foi no portátil que foi para RMA e no meu aqui. Em cima disto, o fato de aparecer, nos logs, "este dispositivo" quando eu vejo os logs do "hacker", significa que ele estava num dispositivo com a mesma identidade que o meu portátil, daí a parte do clone ser o responsável por isso.

Tenho mais de 25 anos de experiência com PCs, sei bem o que faço, o que instalo e protejo-me muito bem.

Quando fiz o clone para este portátil, tudo funcionava 5* em termos de estar tudo loggado corretamente, mesmo sendo outro portátil.
Em relação à polícia, vou esperar até a loja responder. Imagino que hoje não vão responder. Não sei se ficaram assustados com o tamanho da mensagem e das ameaças que fiz. Segunda-feira de manhã vou telefonar logo e exigir saber onde está o portátil, e onde estava às 18H de Sexta-feira. Aí saberemos onde tiveram acesso ao meu portátil, se foi na loja, empresa de reparações ou marca.

 

[cRaZyzMaN]

Clonei o HDD do outro portátil e coloquei no portátil que tenho aqui, no entanto o HDD, do portátil que foi para RMA, não foi formatado e foi tal e qual como quando foi clonado.



A teoria do ter malware aqui no PC não faz sentido, pois o único sítio onde tinha o login feito no email do sapo, foi no portátil que foi para RMA e no meu aqui. Em cima disto, o fato de aparecer, nos logs, "este dispositivo" quando eu vejo os logs do "hacker", significa que ele estava num dispositivo com a mesma identidade que o meu portátil, daí a parte do clone ser o responsável por isso.

Tenho mais de 25 anos de experiência com PCs, sei bem o que faço, o que instalo e protejo-me muito bem.

Quando fiz o clone para este portátil, tudo funcionava 5* em termos de estar tudo loggado corretamente, mesmo sendo outro portátil.
Em relação à polícia, vou esperar até a loja responder. Imagino que hoje não vão responder. Não sei se ficaram assustados com o tamanho da mensagem e das ameaças que fiz. Segunda-feira de manhã vou telefonar logo e exigir saber onde está o portátil, e onde estava às 18H de Sexta-feira. Aí saberemos onde tiveram acesso ao meu portátil, se foi na loja, empresa de reparações ou marca.

e depois cais na botnet russa, não é por seres experiente que não falha

 

[afm]

Clonei o HDD do outro portátil e coloquei no portátil que tenho aqui, no entanto o HDD, do portátil que foi para RMA, não foi formatado e foi tal e qual como quando foi clonado.


Tenho mais de 25 anos de experiência com PCs, sei bem o que faço, o que instalo e protejo-me muito bem.

Com 25 anos de expriencia em PCs, eu nunca mandava um portatil meu, para lado nenhum sem ser formatado e bem formatado, todos conhecemos o "unformat"

Espero que resolvas da melhor maneira e que a pessoa que tenha feito isso seja punida, o minimo que a loja devia fazer era despedir o artista.

 

[news_js]

Por curiosidade, que ferramenta para clonagem usaste? Foi instalada no Windows? Compraste a aplicação ou usaste uma versão grátis?

 

[fire_rainbow]

Por curiosidade, que ferramenta para clonagem usaste? Foi instalada no Windows? Compraste a aplicação ou usaste uma versão grátis?

Usei Macrium Reflect, versão grátis. Sim, foi no Windows.