Session Hijacking - Wie PC auf Schadcode scannen?

tz1986

Lt. Junior Grade
Registriert
Juli 2008
Beiträge
315
Guten Abend,

es hat mich nun auch zum ersten mal erwischt:
Mein FB Werbekonto wurde übernommen und es wurden in wenigen Stunden über 7000 Euro Werbung in Südamerika geschaltet.
Natürlich habe ich das Ganze schon bei FB gemeldet und werde wahrscheinlich eine Erstattung erhalten.

Nach erster Recherche kommt nur Session Hijacking in Frage, da so ja die 2FA umgangen wird.

Mir ist allerdings nichts seltsames aufgefallen, außer ein paar geschäftliche PDFs habe ich auch nichts geladen und geöffnet.
Es gab nie eine Warnung des Browsers oder Windows Defender.

Wie könnte ich mich infiziert haben?
Lässt sich abschätzen, wie lange der Session Diebstahl her sein kann bzw. wie lange das Cookie aktiv ist?
Sollte/muss ich den PC komplett neu aufsetzen?
Gibt es gute Tools (außer Defender) um den Rechner auf Schadsoftware zu scannen?

Ich nutze ein aktuelles System, Windows 11 sowie die aktuellste Version von Chrome.

Danke!
 
Fast jeder AV Hersteller hat eine ISO im Angebot mir der man das Geraet booten und scannen kann. Ob damit das gefunden werden kann was Du vermeinst zu suchen? Keine Ahnung.

Facebook sagt, dass 2FA umgangen wurde?
 
Vermutlich würde ich wie üblich bei verdacht einfach die Kiste neu installieren bzw. das Backup einspielen.
War den dein Konto auch ausreichend per 2FA gesichert?
 
  • Gefällt mir
Reaktionen: H3llF15H
Die sagen es nicht, aber 2FA läuft über meine Handynummer, und die wurde nicht übernommen. 2FA war natürlich an, ich selbst musste ich die letzten Tage 2-3x selbst per SMS verifizieren. Session Hijacking ist sicher das logischste.
 
Wieso sollte man mit Session Hijacking MFA umgehen können? Genau dafür ist doch MFA gedacht.
 
Meines Wissens nach ist es die einzige Möglichkeit, die 2FA zu umgehen, da ja über die Session ein vorhandener Login simuliert wird. Wenn Email/PW bekannt wird, greift ja immer 2FA und bei Phishing funktioniert das ja auch wunderbar.

Anders kommt man ja nicht in den Account rein, außer man übernimmt die 2FA Methode selbst.

Nun scheint man aber das Session Cookie ohne jegliche Downloads/Schadcode einfach über den Browser stehlen zu können einfach duch Aufruf einer Seite. Daher ja die Frage, ob ich hier überhaupt etwas neu installieren muss?
 
tz1986 schrieb:
Gibt es gute Tools (außer Defender) um den Rechner auf Schadsoftware zu scannen?
z.B. Malwarebytes, Emsisoft Emergency Kit, ESET Online Scanner.
Zukünftig eventuell auch einen vollwertiges Antivirenprogramm einsetzen, nicht den Defender.
 
Für die Zukunft ne kleine Hardware Firewall hinter dein ISP, das schafft Frieden. Für mich ein absoluter Must Have, da ich Trade und dort ordentliche Summen bewege.

https://eu.store.ui.com/eu/en?category=all-unifi-cloud-gateways
https://www.netgate.com/appliances?...e=pfSense+Plus&form_factor=*#compare-products
https://shop.opnsense.com/product/dec675-opnsense-desktop-security-appliance/

pfsense und opnsense lassen sich auch auf einfachen MiniPCs installieren, wenn du keine fertige Lösung magst. Ubiquiti hat mit den runden DreamMaschines/Routern halt auch eine fertige Lösung mit WLAN. Bei den anderen einfach nen AP ranhängen.

Mir ist allerdings nichts seltsames aufgefallen, außer ein paar geschäftliche PDFs habe ich auch nichts geladen und geöffnet. <- In einer PDF kann so manches schlummern :)


Es gab nie eine Warnung des Browsers oder Windows Defender. <- Bei einer guten und gezielten Attacke melden die genau 0!

Wie könnte ich mich infiziert haben? <- Deinen Traffic mal mit Wireshark analysieren, du kannst mir gerne deinen Mitschnitt schicken, also schreib mir ne PN, ich schau mir das an.
 
Zuletzt bearbeitet:
Für mich ist die Firewall nichts besonderes in einer FritzBox. (Jeglich Simple Portforwards und co. also mehr so Layer4 Technik)

Bei oben genannten kannst du einen sauberen GeoBlock einstellen, hast je nach Anbieter noch die möglichkeit direkt Ads, also Werbung vorher schon zu schlucken, bevor sie auf deinen PC auftaucht, hast die möglichkeit auf IDS (intrusion detection system) sowie IPS (intrusion prevention system), Deep Packet Inspection, TLS Inspection, Web Threat Protection.
 
  • Gefällt mir
Reaktionen: interesTED und JumpingCat
Die opnSense kann IP Blocklisten loaden sowie suricata auf den Netzwerkverkehr anwenden. Das geht viel tiefer als die passive nat Firewall
 
  • Gefällt mir
Reaktionen: chr1zZo
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: interesTED
Ganz ehrlich, dann lieber einen Intel ähm Asus NUC. Da gibt es Sicherheitsupdates für BIOS und Support allgemein. Eventuell mit Proxmox oder direkt.

Ich hatte mal so einen einzelnen Mini PC aus China laufen. Der hat dann ein paar mal spontan rebootet und ging nur wieder an.
 
Ich vermute eher, du hast einen wlan hotspot benutzt der eigentlich ein Honeypott war und so Zugriff Mittels man-in-the-middle auf dein Konto hat/hatte
 
Zurück
Oben