V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
freeduke
V2EX  ›  问与答

被盗号了,请问有没有可能通过 VPN 截取同样线路用户的 cookie?

  •  
  •   freeduke · 2021-07-27 13:37:11 +08:00 via iPhone · 1643 次点击
    这是一个创建于 1244 天前的主题,其中的信息可能已经有所发展或是发生改变。

    上周开始莫名其妙收到了各种账号的验证邮件,有的要修改密码。有的要修改邮箱。而且我确定不是我自己的操作,后来结论是我被盗号了。

    最为丧心病狂的是,我的 google 账号早已开启了二步验证,按道理即便知道密码,也无法登录成果,会卡在二步验证上,但是我直接收到邮件说二步验证被关闭、手机号被删除…

    https://www.hualigs.cn/image/60ff974166c6c.jpg

    这波操作秀到飞起,Google 里保存了我各种网站的自动填写密码,我估计其后的各种登录也是这个原因。

    后来各种排查,电脑里没有用什么奇怪的软件,倒是为了 google 经常挂某个酸酸乳,收费的。

    想问下各路大神,要是多人同时用一条线的 ssr,别人是否有可能获取到你的浏览器 cookie ?

    因为暴力破解或者获得密码都没法解释对方如何绕过两步验证,我猜到唯一的可能是浏览器的 cookie 被获得了,然后代理出去又是一个 ip,google 就会认为是同一个电脑?

    这种盗号有没有什么防范的可能?

    18 条回复    2021-07-28 23:35:37 +08:00
    imdong
        1
    imdong  
       2021-07-27 13:44:17 +08:00
    同线路其他人可能性不大,但服务端上还是有可能的。

    不过我倒还真不清楚 https 会不会被服务端捕捉。
    learningman
        2
    learningman  
       2021-07-27 15:15:03 +08:00   ❤️ 1
    https 是安全的,检查下你自己电脑上是不是有病毒吧,或者导入了来历不明的 CA ?
    qq316107934
        3
    qq316107934  
       2021-07-27 15:16:18 +08:00
    话说二部验证关闭不需要手机验证的吗... 或者一些其他验证
    leloext
        4
    leloext  
       2021-07-27 15:21:08 +08:00   ❤️ 1
    顶 2 楼+1,另外有没有在路由器上面安装去广告的东东,特别是去 https 广告的。
    freeduke
        5
    freeduke  
    OP
       2021-07-27 15:23:02 +08:00 via iPhone
    谢谢各位!我再查查,这条网有公网 ip,路由也比较特别,说不准真是理由上的事儿。
    freeduke
        6
    freeduke  
    OP
       2021-07-27 15:33:00 +08:00 via iPhone
    @qq316107934 这也是我很纳闷的一点,按照道理关闭二次验证应该先通过验证才行,或者像你说的有短信验证码,但对方就是做到了…
    MengiNo
        7
    MengiNo  
       2021-07-27 15:38:05 +08:00 via Android
    @freeduke 微软苹果谷歌这种国际品牌的两步都是 n 选 2,只要你掌握 密码 + 邮箱 或 短信 或 两步验证器 或 恢复码 或 手机系统级验证 或 硬件加密器 或 .... 中的任意一个就属于通过。
    jalen
        8
    jalen  
       2021-07-27 15:44:59 +08:00
    @MengiNo #7 不是 [邮箱和密码] 再加二次验证吗?
    Kahnn
        9
    Kahnn  
       2021-07-27 15:45:28 +08:00
    没可能,https 就是防范这种攻击的,但是如果你的酸酸乳客户端有什么猫腻,或者电脑上有些什么软件就不一定
    0TSH60F7J2rVkg8t
        10
    0TSH60F7J2rVkg8t  
       2021-07-27 15:50:36 +08:00
    排查下你浏览器的插件和扩展
    MengiNo
        11
    MengiNo  
       2021-07-27 16:27:30 +08:00 via Android
    @jalen 正常登录流程是 账号 + 密码 + n 选 1, 如果忘了密码要重置密码就是 账号 + n 选 2 。所以说白了就是 n 选 2,只是密码作为最常用的缺省选项罢了。并不是 密码 + 1 = 2FA,是 n 选 2 = MFA,各项资料的权重完全相等的。而国内厂家基本只认短信,其他信息几乎形同虚设,一言不合就要人脸、手持身份证,脸都不要了。
    pabupa
        12
    pabupa  
       2021-07-27 17:01:47 +08:00
    @ahhui 扩展能改左上角的🔒标吗?
    freeduke
        13
    freeduke  
    OP
       2021-07-27 19:06:37 +08:00
    初步查了一下路由器,发现之前开过一个远程桌面的端口映射到公网,虽然端口号换了,但桌面电脑的登录密码很简单,说不定是从这里被搞的,现在还不能 100%确定……

    steam 、任天堂、PlayStation 账号的密码都暴露了,收到了修改邮箱密码的验证 email,不过都有二步验证,暂时没有损失。

    还是想不明白 Google 账号怎么能绕过二步验证直接删手机、关二步。
    freeduke
        14
    freeduke  
    OP
       2021-07-27 19:07:22 +08:00
    @leloext 谢谢提醒,查路由器还真查出来点东西。如楼上。
    freeduke
        15
    freeduke  
    OP
       2021-07-27 19:09:27 +08:00
    @ahhui 感谢提醒,浏览器的插件扩展应该没问题,我的 chrome 插件全都是官方商店的,没有装过第三方的。不过还是感谢你~
    xxb
        16
    xxb  
       2021-07-28 13:07:41 +08:00 via iPhone
    如果黑客能登录你的桌面电脑,一切都在你电脑上操作,二步验证也防不住了
    freeduke
        17
    freeduke  
    OP
       2021-07-28 17:40:31 +08:00
    查了下 Windows 自带的 Log,子项有个 Security,前几天确实有很多“Failure”的登录,看明细都是尝试用 Administrator 账号登录,这些应该都是网上扫端口的 bot 干的。

    直接删掉了路由器的本机远程端口的映射,开了一天果然只有三四个“Failure”登录,这估计是内部服务之类的。

    Windows 远程登录端口暴露在外网导致的密码泄露基本坐实。

    也想通过这个事件提醒大家,自己开远程桌面到公网,改端口基本没什么卵用,迟早会被扫到,切记一定一定要设个强的登录密码! Administrator 账号也要关闭掉。
    leloext
        18
    leloext  
       2021-07-28 23:35:37 +08:00
    @freeduke 真没想到是这个,请问转发是设了数字比较大的高位端口吗?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2698 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 08:30 · PVG 16:30 · LAX 00:30 · JFK 03:30
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.