8 月 10 日的时候,突然提示 google 账号异常登录,马上查看了下,一台 windows 终端登录了我电脑,立马改密码,踢掉,发现用 google 账号关联登录了几个交易所账号,当时没在意以为是密码泄露。
前两天登录自己的 chrome 插件的 metamask 钱包,晴天霹雳、损失惨重,发现钱包里的 usdt8 月 xx 日被转走了,立即重装了系统。
刚复了下盘,用的 win11 自带杀毒软件,平常也没乱装什么软件,电脑里装了一小部分破解软件。
而且 google 账号保护应该很强,也开启了 2FA 验证(验证码使用了 chrome 的身份验证器扩展和手机 APP )
不知道黑客是怎么登录的,有 3 个怀疑的地方,技术能力有限,大家帮忙分析下。
1 、chrome 扩展。是否装了某些含恶意代码的扩展,获取了钱包、验证码扩展。 问题 1:chrome 扩展是否能获取其他扩展的数据?
2 、路由器小米 AX6000 ,恩山上找了个 openwrt 固件(现在不知道是那个固件),打算重新换个知名点的固件,是否固件中置入了木马,获取了我所有流量。 问题 2:如果有这类木马,能否精准识别钱包数据,或者给电脑植马?。
3 、路由器装了 openclash ,订阅了机场,已经稳定使用了三年了。 问题 3:机场能否精准识别流量?
1
Kinnice 2023-09-08 17:20:06 +08:00
2,3 如果你没安装他们的根证书 ,都不可能
|
2
arfaWong 2023-09-08 17:23:09 +08:00
参考这个 UP 主油管频道被盗的情况
|
3
zzznow 2023-09-08 17:25:15 +08:00
今天刚看到说是浏览器恶意插件可以获取明文密码
|
7
DJCNMHG 2023-09-08 17:59:37 +08:00
“电脑里装了一小部分破解软件”
|
8
aiqinxuancai 2023-09-08 18:05:50 +08:00
很有可能是#2 发的这种,cookie 盗用,你系统里任何在运行的 exe 都可以做到这点。
|
9
hefish 2023-09-08 18:07:49 +08:00
我觉着当时屏幕搞不好都被外人看到了。所以 2FA 才能登上去。
|
10
ReZer0 2023-09-08 18:10:45 +08:00
嗯,大概率 cookie 盗用了,可以绕过 2 次验证的。
|
11
googlefans 2023-09-08 18:32:15 +08:00
我就非常不信任 chrome 的任何插件
|
12
guisheng 2023-09-08 18:50:26 +08:00 via iPhone
我使用 chrome 都不登录账号的。。。
|
14
collo OP |
15
lykhero 2023-09-08 19:48:02 +08:00
有点好奇,像 windows defender 这种,能防止本地的恶意程序进行的 session cookies 盗取么?
|
16
Hyschtaxjh 2023-09-08 20:08:47 +08:00 via iPhone 2
哎 大额资金一定要离线不触网。。
区块链黑森林自救手册 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md |
17
learningman 2023-09-08 20:31:41 +08:00 via Android
@lykhero defender 不怎么做行为审计的,如果你想要你应该装个 360
|
18
MegatronKing 2023-09-08 20:34:02 +08:00
VPN 和 Web 代理之类的,想要精准识别流量很难,虽然安装了 CA 证书能够解密流量,但是痕迹特征太明显,所以基本上不会用 MITM 这种方式。由于 SNI 的存在,代理软件对于你访问了哪些域名还是能够知道的,但这个还不足以黑掉你的账户。
|
19
MatthewLuky 2023-09-08 20:43:09 +08:00 1
我也中招过,和 op 一样的情况,第一时间是发现谷歌账号被锁定了,改完密码重新登陆任然提示设备上有病毒,所有电脑下载火狐查杀发现某个 chrome extension 文件夹提示 TrojanSpy/JS.Stealer.w 病毒,删除后定位到是 Chrome 一个插件 Tree Style Tab 可能被其他病毒篡改了,拿到了 Chrome 上保存的所有密码。
不过我没有直接的经济损失,就是短时间内修改了接近 800 个密码,然后还有申诉解封部分网站账号 |
20
xxbing 2023-09-08 21:12:42 +08:00 1
肯定是机器中了木马. 使用 https://github.com/moonD4rk/HackBrowserData 这种工具导出了所有保存的密码,cookie 和 session
|
21
yinmin 2023-09-08 21:21:21 +08:00 via Android
大概率是 chrome 插件盗窃 cookie 。现在有黑产会伪装成正规企业去投资/收购流行的插件,做免费插件的作者禁不住诱惑就会卖掉。
|
22
justjy 2023-09-08 21:27:55 +08:00
固件和机场无法给你种木马,除非你装了根证书或者用了不加密的协议(如 HTTP, FTP )。大概率是楼主 Session/Cookie 数据被盗,黑客绕过 2FA 直接访问账号了。最好不要再用破解软件了,有可能潜伏着拉取木马远程控制电脑。
|
23
cdlnls 2023-09-08 21:28:02 +08:00
应该是电脑中了木马,有后门,拿到权限之后,导出浏览器上的 cookie 和保存的密码很容易。
|
25
oldshensheep 2023-09-08 21:51:12 +08:00
很明显是中了木马了,MetaMask 就算是拿到本地数据也没用,数据是加密的。一个可能是弱密码,或者你解密之后木马读内存。
4 万 USTD ??? |
26
rabbbit 2023-09-08 21:52:52 +08:00
chrome 都装了哪些扩展?
|
27
amlee 2023-09-08 21:59:28 +08:00
4w USTD ,老哥牛逼哦
|
28
lwjef 2023-09-08 22:22:12 +08:00 via iPhone
先用低价值手段广撒网寻找目标,再用高价值手段实施,所以原因只能说未知。
|
29
8863824 2023-09-08 22:32:43 +08:00
电脑说实话,很不安全,只要哪个软件作恶,后果都不堪设想。最稳妥的办法,还是不要将资金放在上面。
|
30
chxxpeng 2023-09-08 22:59:02 +08:00
是授权出了问题, 还是私钥泄漏? 私钥泄漏一般是 eth 也被盗. 如果只有 usdt 被盗, eth 没被盗, 可能是授权. 授权的话, 平时乱点某个网页, 或者之前授权过被黑的智能合约, 都有可能.
|
31
oIMOo 2023-09-08 23:05:23 +08:00
@xxbing #20 从这个工具的介绍来看,Windows “最安全”的 IE (怀疑是懒得适配了?),然后 macOS 除了 Safari 之外,其他还有额外一步的安全措施。
本来想问多装几个浏览器,每个浏览器做不同的事情能不能隔离开,看了工具发现不行…… |
33
Ericcccccccc 2023-09-08 23:28:31 +08:00
最有可能的就是 chrome 的扩展.
|
34
ltfree 2023-09-08 23:35:09 +08:00
google 关联 metamask 钱包?这是什么操作
|
35
woyuzhuanyiyi 2023-09-09 00:32:32 +08:00
OP 也太粗心了,装着 4 万 U 的钱包电脑上竟然敢装破解软件,安全知识急需加强。重资产设备不说一定要冷钱包吧,至少不安装破解软件,不安装野鸡浏览器插件。又或者可以浏览器多用户,钱包插件的那个用户环境是干净的
|
36
anzu 2023-09-09 01:15:16 +08:00
看了一下 2 楼的视频,大小不到 2MB 的安装文件我是不会直接运行的,相当可疑。如果要一定要运行,断网+沙盘。
另外我登录交易所时会新建无痕窗口并关闭浏览器上所有插件。 |
37
kkk9 2023-09-09 02:14:15 +08:00
> 登录自己的 chrome 插件的 metamask 钱包
看到这里就笑了,OP 先去看下是不是信任了关联网站,并且授予了合约,人家直接操作合约就可以转账了。 几年前的盗 U 合约就是这样运作的。 |
38
artieo 2023-09-09 05:32:59 +08:00
火绒安全,高级防护里面的自定义防护,把谷歌安装目录添加到保护中 C:\Program Files\Google\*,创建读取修改删除都选上,屏蔽火绒上网权限,基本上就没问题了,别乱下一些乱七八糟的东西,火绒驱动 kill 会导致防护所有失效
|
39
collo OP 哎,昨天借酒消愁去了,感谢楼上各位大佬。大学没认真听课,还得补强自己的知识。
|
40
F4NNIU 2023-09-09 11:46:07 +08:00
做好安全,想办法补仓。
|
41
csznet2023 2023-09-09 16:45:20 +08:00
@arfaWong 哥,你知道他这个抓包软件是什么吗
|
42
Cambrian07 2023-09-09 19:34:31 +08:00
建议联系一下 余弦 大佬,可能追回来不太可能,但是最好也搞清楚这次被盗究竟是怎么发生的
|
43
dode 2023-09-09 21:30:53 +08:00
chrome 的身份验证器扩展 是什么东西,看起来不靠谱
|
44
dode 2023-09-09 21:34:13 +08:00
电脑里装了一小部分破解软件 哎
|
45
go233 2023-09-11 09:44:23 +08:00
估计是 chrome 插件的问题
|
46
1d074bfa18d34f6c 2023-09-11 15:42:20 +08:00
4w usdt ? 有没有可能是内鬼?也太精准了吧?
|