Discord-Hack auf neuem Niveau

[Instanto]

Habe heute eine... schlechte Erfahrung gemacht. Unvermittelt schrieb mich jemand bei Discord an. Kenne die Person durchaus und war auch nicht verwundert, dass diese angeblich einen "IT" Kurs belegt und wissen will, was ich von seinem Projekt halte.
Rückblickend, war der Discord-Link zu seiner "Ping Pong 2D.exe" eine große rote Flagge eigentlich, aber was macht man nicht alles für seine Discord-bros? Ich also auf die fremde .exe geklickt.

Ja, steinigt mich.

Scheint aber auf Discord beschränkt zu sein, habe trotzdem Malwarbytes laufen lassen, PC zurückgesetzt, Passwörter geändert etc. 2FA war und ist eingerichtet, aber wurde anscheinend easy peasy umgangen.

Das Früchtchen hat sich erstmal selber ein 99 $ gift geschenkt, bevor ich Paypal abschnüren konnte. Jetzt warte ich darauf, was der Discord Support sagt. Im Moment sind alle betroffenen Accounts wohl glockt.

Solltet ihr also so eine ähnliche Nachricht unvermittelt bekommen, auf Deutsch oder Englisch, fallt nicht darauf herein!

 

[coxon]

Danke für die Info.

 

[madmax2010]

Identitaetsdiebstahl / Social Engineering funktionieren halt noch immer am besten.
Keine Exploits oder sicherheitsluecken notwendig.
Erzahl leuten davon. Nutz 2 faktor Authentifizierung. Ja, auch bei paypal. Vertrete Datenschutz. "Ich habe nichts zu verbergen" Fuehrt nur zu Social Credit Systemen un Identitaetsdiebstahl.

 

[|Moppel|]

Ist bei PayPal nicht 2FA obligat?

 

[madmax2010]

Leider nein.

 

[PC295]

Die Masche ist schon uralt und gibt es in ähnlicher Form auch auf anderen Platformen.

Die Bezeichnung "Discord-Hack" ist hier auch völlig unpassend, den hier wird weder ein Leck ausgenutzt noch gilt der "Angriff" Discord selbst.

 

[Instanto]

Du hast prinzipiell natürlich Recht, @PC295, aber trotzdem findet der "Hack" ja auf Discord statt und ich bin nicht der einzige betroffene, wobei mir die Größenordnung aktuell nicht klar ist. Spannend ist halt auch, ich wurde auf English angeschrieben, andere aus meiner Freundesliste aber auf Deutsch.

 

[ApeHunter]

Ist bei PayPal nicht 2FA obligat?

Soweit ich weiß hat PayPal nichtmal ein praktikables 2FA. Mir will es immer nur SMS dafür anbieten, was mangels zuverlässigem Empfang nichts nützt.

 

[PC295]

Möglicherweise wurden durch Ausführen der Datei, die Nachricht an deine Kontakte weitergeleitet und du hast die Nachricht deswegen bekommen, weil der genannte Kontakt bereits so eine Nachricht erhalten hat und den Anhang geöffnet hat.

 

[Instanto]

Mit Sicherheit wurde die Nachricht weitergeleitet. Trotzdem ist es ja schon next level, dass die Sprache angepasst wird. Oder nicht? Ich kenne das so, dass eigentlich einfach English oder was was auch immer das Zielland ist ausgewählt wird. Gerade wenn Social Engineering genutzt werden soll, musst du ja ein ausgeklügeltes Skript haben.. Ich hoffe der Discord support meldet sich bald..

 

[Fujiyama]

Bei Schädlingsbefall sollte die ganze Möhre platt gemacht werden.

 

[coasterblog]

trotzdem findet der "Hack" ja auf Discord statt

Das macht es immer noch nicht zu einem Discord Hack.

Ich habe hier rein geklickt weil ich es genau deswegen wissen wollte was da los ist, aber wie ich sehe ist das falsch und deine Beschreibung irreführend.

aber was macht man nicht alles für seine Discord-bros?

Sowas nicht! Zumal mich kein "bro" darum bitten würde

 

[Chreeps]

Soweit ich weiß hat PayPal nichtmal ein praktikables 2FA. Mir will es immer nur SMS dafür anbieten, was mangels zuverlässigem Empfang nichts nützt.

Ich habe es im AndOTP. Es gibt also die Möglichkeit des klassischen 2FA mit automatischen Keys

 

[-Razzer-]

Sehe hier auch keinen Discord Hack - der Link koennte genauso gut hier im Forum gepostet sein koennen, das macht es aber noch lange nicht zu einem Computerbase Hack ?!

Hast du kein Antiviren Tool aktiv?

 

[madmax2010]

Soweit ich weiß hat PayPal nichtmal ein praktikables 2FA. Mir will es immer nur SMS dafür anbieten, was mangels zuverlässigem Empfang nichts nützt.

FIDO leider nicht, aber TOTP Haben sie.

Hast du kein Antiviren Tool aktiv?

Musste kurz ueberlegen. Aber der war gut

 

[Instanto]

Da hier die 2FA von Discord umgangen wird per Javascript, halte ich es sehr wohl für einen Hack.

Ich gehe hier mal von mir selbst aus, ich bin bisher nie auf phishing oder sonst irgendwelche Versuche hereingefallen und weiß es eigentlich auch besser, auf fremde executables zu klicken. Leider kommen aber eben auch oft Leute zu mir, die gerade meine Meinung zu etwas wissen wollen, daher war ich nicht besonders auf der Hut. Bleibt mein Fehler, aber da ich sonst nicht leichgläubig bin, will ich andere vor dem selben Fehler bewahren.

 

[coasterblog]

halte ich es sehr wohl für einen Hack.

Es ist aber trotz allem kein Discord-Hack!

Dass du warnst ist absolut ok, dass du einen Fehler einsiehst ist viel wert denn das machen die wenigsten Betroffenen. Aber bitte, Discord hat damit nichts zu tun - es war nur die genutzte Plattform.

 

[TheDarkness]

Soweit ich weiß hat PayPal nichtmal ein praktikables 2FA. Mir will es immer nur SMS dafür anbieten, was mangels zuverlässigem Empfang nichts nützt.

Bei PayPal geht doch 2FA per (zbs.) Google Authenticator.
Bringt aber nix wenn man zbs. den PC als Trusted Device hat und die Schadsoftware direkt über seinen eigenen Rechner die Bestellung tätigt.

Allgemein kann man sich das Geld aber (meistens) von PayPal zurück holen. Die haben ja extra die Auswahlmöglichkeit von unberechtigtem Zugriff.

PS: Ist übrigens kein Hack sondern einfach Malware. Nen Hack wäre es, wenn man zbs. schon Opfer wird sobald man die Nachricht nur anguckt. Beim runterladen und ausführen einer .exe ist es einfach nur normales phishing und da ist nichts neu. Solche Art von Nachrichten hatte ich schon vor Jahren zuhauf.
Auch glaube ich nicht, dass 2FA von Discord umgangen wird -> zumindest wurde schon im 4. Semester IT gelehrt wie man ein clientseitiges umgehen kryptografisch unmöglich macht. Ist um einiges wahrscheinlicher, dass Discord beim Bekannten bereits im Hintergrund lief und die Schadsoftware bei ihm das eben ausgenutzt hat. Wenn man schon eingeloggt ist, bringt auch 2FA nix.

 

[PC295]

Da hier die 2FA von Discord umgangen wird per Javascript, halte ich es sehr wohl für einen Hack.

Wenn du während des Ausführen der Datei eingeloggt warst, dann wäre ja 2FA nicht notwendig...

 

[madmax2010]

Da hier die 2FA von Discord umgangen wird per Javascript,

Wie und wo wurde das getan? Sehe icht, dass er zugriff auf dein Discord Konto hatte.
Was fuer 2Fa nutzt du? Wie kommst du auf JS?

halte ich es sehr wohl für einen Hack.

es ist ein hack, aber halt User- und nicht Serverseitig.