被盗号了,请问有没有可能通过 VPN 截取同样线路用户的 cookie?
freeduke 2021-07-27 13:37:11 +08:00 via iPhone 2052 次点击这是一个创建于 1589 天前的主题,其中的信息可能已经有所发展或是发生改变。
上周开始莫名其妙收到了各种账号的验证邮件,有的要修改密码。有的要修改邮箱。而且我确定不是我自己的操作,后来结论是我被盗号了。
最为丧心病狂的是,我的 google 账号早已开启了二步验证,按道理即便知道密码,也无法登录成果,会卡在二步验证上,但是我直接收到邮件说二步验证被关闭、手机号被删除…
这波操作秀到飞起,Google 里保存了我各种网站的自动填写密码,我估计其后的各种登录也是这个原因。
后来各种排查,电脑里没有用什么奇怪的软件,倒是为了 google 经常挂某个酸酸乳,收费的。
想问下各路大神,要是多人同时用一条线的 ssr,别人是否有可能获取到你的浏览器 cookie ?
因为暴力破解或者获得密码都没法解释对方如何绕过两步验证,我猜到唯一的可能是浏览器的 cookie 被获得了,然后代理出去又是一个 ip,google 就会认为是同一个电脑?
这种盗号有没有什么防范的可能?
 | 1 imdong 2021-07-27 13:44:17 +08:00 同线路其他人可能性不大,但服务端上还是有可能的。 不过我倒还真不清楚 https 会不会被服务端捕捉。 |
 | 2 learningman 2021-07-27 15:15:03 +08:00  1 https 是安全的,检查下你自己电脑上是不是有病毒吧,或者导入了来历不明的 CA ? |
 | 3 qq316107934 2021-07-27 15:16:18 +08:00 话说二部验证关闭不需要手机验证的吗... 或者一些其他验证 |
 | 4 leloext 2021-07-27 15:21:08 +08:00 1 顶 2 楼+1,另外有没有在路由器上面安装去广告的东东,特别是去 https 广告的。 |
 | 5 freeduke OP 谢谢各位!我再查查,这条网有公网 ip,路由也比较特别,说不准真是理由上的事儿。 |
| 6 freeduke div class="badge op">OP 2021-07-27 15:33:00 +08:00 via iPhone @qq316107934 这也是我很纳闷的一点,按照道理关闭二次验证应该先通过验证才行,或者像你说的有短信验证码,但对方就是做到了… |
 | 7 MengiNo 2021-07-27 15:38:05 +08:00 via Android @freeduke 微软苹果谷歌这种国际品牌的两步都是 n 选 2,只要你掌握 密码 + 邮箱 或 短信 或 两步验证器 或 恢复码 或 手机系统级验证 或 硬件加密器 或 .... 中的任意一个就属于通过。 |
 | 9 Kahnn 2021-07-27 15:45:28 +08:00 没可能,https 就是防范这种攻击的,但是如果你的酸酸乳客户端有什么猫腻,或者电脑上有些什么软件就不一定 |
 | 10 0TSH60F7J2rVkg8t 2021-07-27 15:50:36 +08:00 排查下你浏览器的插件和扩展 |
| 11 MengiNo 2021-07-27 16:27:30 +08:00 via Android @jalen 正常登录流程是 账号 + 密码 + n 选 1, 如果忘了密码要重置密码就是 账号 + n 选 2 。所以说白了就是 n 选 2,只是密码作为最常用的缺省选项罢了。并不是 密码 + 1 = 2FA,是 n 选 2 = MFA,各项资料的权重完全相等的。而国内厂家基本只认短信,其他信息几乎形同虚设,一言不合就要人脸、手持身份证,脸都不要了。 |
| 13 freeduke OP 初步查了一下路由器,发现之前开过一个远程桌面的端口映射到公网,虽然端口号换了,但桌面电脑的登录密码很简单,说不定是从这里被搞的,现在还不能 100%确定…… steam 、任天堂、PlayStation 账号的密码都暴露了,收到了修改邮箱密码的验证 email,不过都有二步验证,暂时没有损失。 还是想不明白 Google 账号怎么能绕过二步验证直接删手机、关二步。 |
| 15 freeduke OP @ahhui 感谢提醒,浏览器的插件扩展应该没问题,我的 chrome 插件全都是官方商店的,没有装过第三方的。不过还是感谢你~ |
 | 16 xxb 2021-07-28 13:07:41 +08:00 via iPhone 如果黑客能登录你的桌面电脑,一切都在你电脑上操作,二步验证也防不住了 |
| 17 freeduke OP 查了下 Windows 自带的 Log,子项有个 Security,前几天确实有很多“Failure”的登录,看明细都是尝试用 Administrator 账号登录,这些应该都是网上扫端口的 bot 干的。 直接删掉了路由器的本机远程端口的映射,开了一天果然只有三四个“Failure”登录,这估计是内部服务之类的。 Windows 远程登录端口暴露在外网导致的密码泄露基本坐实。 也想通过这个事件提醒大家,自己开远程桌面到公网,改端口基本没什么卵用,迟早会被扫到,切记一定一定要设个强的登录密码! Administrator 账号也要关闭掉。 |
Select Language