[Help] Sécurité: je viens d'etre hacké sur Amazon/Gmail

Hello la zone.

Ce soir je rentre du taf et j’ouvre mon gmail: petit bandeau rouge « vos emails sont actuellement transférés sur [uneadresseinconnue]@outlook.fr et supprimés de votre boite mail ».

Je fouille ma corbeille et je découvre qu’un petit fils de pute s’est fait renvoyer mes mails, ce qui lui a permis de modifier mon MDP Amazon et accéder à mon compte, sur lequel il a commandé un Iphone XS et un Samsung S10+ à se faire livrer dans un Amazon locker du 91 en prime.

Fort heureusement, Amazon a détecté la manoeuvre fumeuse et à annulé la commande et désactivé le compte.

J’ai bien sur modifié mes mots de passe sur Amazon et activé l’authentification 2 étapes. Mais il me reste quelques questions.

La première est évidement: comment a-t-il pu mettre en place un transfert de mail alors qu’il n’a PAS accéder à mon compte Gmail. Google ne signale aucune activité sur un poste inconnu et je n’ai réçu aucune notification de connection à mon compte Google (d’ailleurs s’il avait eu l’accès il n’aurait pas eu besoin de transférer les mails vers son adresse) et comment empecher cela d’arriver à nouveau ??

Le premier mail que j’ai reçu (3h20 du matin) était un mail de paypal indiquant « vous avez ajouté une carte finissant par 9998 à votre compte ». Or c’est effectivement mon numéro de carte bleue. Et c’est ensuite que j’ai reçu le code de confirmation Amazon pour réinitialisé le mot de passe (qui a ensuite permis l’accès à mon compte Amazon). Pourquoi et comment a-t-il fait ça ??

Dernière question: Quelle est la conduite à tenir maintenant ? je ne pense pas porter plainte, mais je pense quand même contacter Amazon pour lever le doute demain. Sachant que j’ai une adresse mail chez outlook, est-ce que ça pourrait servir ?

Je précise que j’ai l’authentification 2 facteurs chez Google mais pas chez amazon ni chez Paypal (enfin je viens de l’activer mais je ne l’avais pas). J’ai des mots de passe complexes et différents chez tout le monde (gérés par 1password). Paypal et Google n’ont détecté aucune activité suspecte et ne m’ont informé d’aucune connection ni changement de mot de passe ou autre. Seulement l’ajout d’une CB (la mienne et qui était normallement déjà inscrite) sur mon compte Paypal…

Merci pour votre aide… je flippe un peu là tout de suite.

Selon toi, est ce que quelqu’un aurait pu accéder physiquement à un de tes devices ?
Ce qui me met la puce à l’oreille c’est que Gmail n’a détecté aucune connexion louche.

1 J'aime

Il exise un lien entre ton compte paypal et amazon ? As tu regardé les activités récentes sur ton compte google (hint : une session mal fermée sur un poste ?)

J’ai pas compris si le premier mail venait de paypall (avant le reroutage de tes mails) ou après

Idem, je me suis dit la meme chose, quelqu’un a du accéder à un device déjà connecté…D’autant plus que j’ai de la famille dans le 91, donc j’ai pu me connecté là bas (pas chez ma famille hein :stuck_out_tongue: )

Mais dans mon activité google, il n’indique aucune connexion en dehors des 4 appareils qui sont actuellement chez moi…(en alsace). Et aucune connexion récente ou cette nuit, pas de session ouverte ailleurs etc… j’ai fait plusieurs fois le check-up…

Pas à ma connaissance… d’ailleurs je viens meme de remarquer qu’Amazon ne propose pas le paiement par Paypal ?

La clef, c’est l’accès à tes mails. Comme dit par @fabiouchka et @SirAkuse, regarde du coté d’un accès physique (tel déverrouillé, effraction chez toi) ou d’une session laissée ouverte quelque part (boulot ? gare ?). C’est à partir de la qu’il a pu recuperer le reste je pense.

Tient nous au courant en tout cas, ca serait vraiment interessant de comprendre le cheminement pour l’eviter à l’avenir !

Tu t’es pas connecté à un wifi public ? Tu aurais pu te faire snifer par là

Je ne sais pas exactement à quelle heure le transfert de mail a été mis en place.

Ce que je sais c’est que à 3h20 il y a un mail de Paypal m’indiquant que ma CB (réelle) venait d’etre enregistrer sur mon compte Paypal (alors qu’elle y est depuis longtemps). Et ce mail est le premier que je n’ai pas reçu (je crois). Donc c’est le premier après la mise en place du transfert.

Je suis aussi d’accord avec ça…mais j’ai beau retourner Google dans tout les sens, il ne m’indique aucune connexion ou accès en dehors de mes 4 appareils ni maintenant ni dans les dernières heures…

J’ai vraiment l’impression que le transfert de mail a été mis en place par quelqu’un qui n’a pas eu accès à ma boite (genre mise en place d’un transfert à distance.

Et oui, je trouve la manoeuvre assez sophistiquée et intéréssante à décortiquer…

Je pense pas que ce soit possible. Par contre, s’il a eut accès un bref instant, il a pu creer une regle de forward automatique. Ca te mets un bandeau pendant 30 jours pour te prevenir que tout les mails sont envoyés sur une adresse tierce. Je le sais parce que j’ai fais ca pour le compte mail de ma fille quand je lui en ai créé un (elle l’utilise pas, c’etait pour moi).

Mais s’il a fait ca pendant la nuit, tu as pu voir le bandeau qu’a ta connexion suivante, et pendant ce temps, le forward fonctionne. Peut etre une connexion wifi piratée ?

A 3h28 j’ai cette activité:

C’est la seul activité sur mon compte Google pour la nuit mais ça prouve en effet qu’il y a eu un accès à mon Gmail dans ce créneau…

@fabiouchka et @Ben Sniffer le wifi je veux bien, ça permet de voir sur quel site on va, les textes qu’on poste etc… … mais récupérer un mdp par ce biais ?? j’ai pas particulièrement confiance en Google, mais je doute qu’ils envoient les mdp en clair…?

Revoque les appareils de confiance dans Google. Change le mot de passe google. Tu as defini une adresse de récupération quelque part ?

Déjà fait…

L’adresse de récupération c’est un vieux compte mail chez free…je pense qu’il est temps de la changer…

Il y a aussi un problème au niveau de la question secrète: le nom de jeune fille de ma mère… toute sa famille est dans le 91 (où devait etre livrés les iphone)… si c’est un hack « social » (voire même un abus d’un proche) il est possible d’avoir cette information facilement.

Je vais changer cette question secrète…

Edit: bon, il se trouve que la question secrète ne permet plus d’accéder au compte Google, je l’ai donc simplement désactivée.

Est-ce que l’hypothèse d’une cochonnerie installée n’est pas à envisager ?

Je l’envisage…mais je ne vois pas vraiment quoi. (comme toujours dans ce genre de cas :stuck_out_tongue: )

Et encore une fois, ça n’explique pas comment il a pu outrepasser la double authentification (si le hack a bien eu lieu via Google)

Un trojan sur ton pc et acces à distance à ton desktop. Il était allumé ?

Faudrait que je vérifie mais cette nuit je l’avais coupé il me semble…

Je vais voir si je trouve l’info…

Mais si on part sur un trojan, il y a mon téléphone qui était bien sur allumé. (à voir si on peut mettre en place un forwarding via l’appli gmail)

Si je dis pas de connerie (ça m’arrive souvent, donc a vérifier), le OAuth de google c’est pas vraiment de « l’authentication » comme d’autres 2FA mais de « l’authorization » qui fonctionne via des tokens. AMA, tes problèmes viennent de là.

Bon, d’après « eventvwr.exe » l’ordi était bien allumé cette nuit…

Je trouve bien un peu d’activité vers les 3h-4h du matin, mais j’arrive pas trop à distinguer si c’est une activité anormal par rapport au reste du temps.

En fait je sais pas trop quoi et où chercher dans l’observateur d’evenement.

Tu imites un mail Amazon vers [uneadresseinconnue]@outlook.fr qui confirme la commande et tu te pointes à l’Amazon locker avec une batte

5 J'aimes

Tu as des . dans ton adresse gmail? Pas forcément lié, mais mon adresse gmail c’est xx.abcdef@gmail Et je reçois souvent des emails adressés à xxabcdef@gmail (donc sans le point). Donc quelqu’un a créé un email sans le point, et je reçois ses emails.

Après je n’ai jamais cherché à voir si je pouvais accéder son mail comme ça, avec mon login…