Hijack'et maskin?

[gamenius]

Hei

Min far har en Mac som var litt ustabil. Jeg hadde tenkt å oppdatere den til OS X 10.10, så jeg tok den hjem og gjorde meg klar til å reinstallere den. Jeg tok noen sikkerhetskopier og da oppdaget jeg at disken hans var smekk full. Når jeg letet etter store filer fant jeg ingen, så det så ut til at den var full men filene skjult. Jeg slettet da hele maskinen og reisntallerte den, med nye passord osv. Etter det har maskinen kjørt bra i flere uker, men i dag ringte pappa og fortalte at han hadde fått en telefon der vedkommende, som snakket engelsk, spurte om han han satt forran maskinen. Pappa lurte på hvordan det, og fikk til svar at den som ringte skulle ta kontroll over maskinen om 10 minutter og låse den. Pappa ble sur og la på, for så å bli oppringt igjen og utskjelt. Vedkommende ville selvsagt ikke fortelle hvem han var osv. Pappa slo av maskinen og ringte meg. Jeg ba han om å trekke ut ledningene, både til nett og strøm, det samme med mammas maskin.

Jeg har ikke rukket å se på maskinen, men vil gjerne ha noen tips til hva jeg bør gjøre, ikke gjøre, og hva jeg bør tenke på.

Er det mulig at vedkommende har lagt igjen en fil blant pappas filer (Office-, bilde-, film-filer e.l.) som har blitt sikkerhetskopiert og dermed åpner en "bakdør" etter reinstallasjon? Hvis så, hvordan finner jeg den?

[Valotunk]

http://www.tek.no/artikler/her-prover-w ... oss/136521

http://www.dinside.no/893527/slik-svind ... -microsoft

http://www.ranablad.no/Politiet_advarer ... 28301.html

http://www.vg.no/nyheter/innenriks/data ... /10058049/

Og sånn kan vi fortsette i det uendelige...

[gamenius]

OK så dette er mest sansynlig bare noen som forsøkte å lure faderen til å oppgi informasjon?

Men han ville ikke si hva han het, hvor han ringte fra eller att han skulle hjelpe, kun at han sperre maskinen. Hadde jeg vært der ville jeg nok latt det gå litt lengre for å se hva som skjedde.

[Valotunk]

Dette er svindlere ja.

De opptrer på varierte og mer eller mindre kreative måter. Og mange biter på, dessverre.

[T.B.Hansen]

Denne typen svindel retter seg mot Windows-brukere. Jeg kan ikke se at det har noen sammenheng med tilstanden til Mac'en til trådsterters far...

De svært få gangene det er avslørt trusler mot Mac-brukere, har det ført til sensasjonsoppslag i media — selv om det ikke har rammet noen, eller til nød noen få brukere. Har man ikke lest slike sensasjonsoppslag, kan man trygt gå ut fra at det ikke finnes noen trussel. Selv om man skulle finne et slikt sensasjonsoppslag, kan man ta det rolig om man ikke har satt seg selv i en spesielt utsatt posisjon. Feilene/truslene oppdages typisk av folk som leter etter dem (ofte i håp om å selge programvare brukere tror kan beskytte mot slike farer) — ikke av vanlige brukere. Apple har reagert raskt på alle slike farer, ved å sende ut automatiske oppdateringer som enten retter feilen, eller stenger av de funksjonene som utsetter OS'et for fare inntil feilen kan utbedres.

Det finnes flere grunner til at en disk kan bli full uten at mengden av synlige dokumenter forklarer dette — søk på forumet, så finner du det du trenger. Vanlige årsaker er at programmer oppretter midlertidige filer som normalt slettes når programmet avsluttes, eller at Time Machine ikke finner backup-disken og derfor lagrer på den inerne disken.

En full disk gjør at Mac OS fungerer dårlig; dette har å gjøre med hvordan OSet virker. Det finnes langt enklere måter å løse disse problemene på, enn å slette disken å installere alt på nytt. Det siste er i prinsippet ikke nødvendig i Mac OS — men noen synes av en eller annen grunn at det er enklere enn å lete etter og rette en konkret feil.

[Valotunk]

De retter seg ikke utelukkende mot Windows brukere. Det finnes en rekke eksempler på hvor Mac brukere er blitt oppringt fra "Microsoft og Windows Support", og det er også tilfeller hvor de oppgir at de ringer fra "Mac Support".

http://www.vg.no/nyheter/innenriks/data ... /10058049/

http://www.dagen.no/Meninger/%C2%ABHei_ ... 2%BB-55991

http://www.bt.no/nyheter/okonomi/Her-dr ... 77715.html

Noen sammenheng med tilstanden til trådstarters Mac har det derimot ikke. Problemene der har nok helt andre årsaker og oppringingen er nok relativt tilfeldig.

[gamenius]

Som sagt oppga ikke denne personen noe annet enn "sett deg forran maskinen så skal jeg låse den". Han forsøkte ikke å utgi seg for noe annet enn nettopp en som skulle gjøre j...skap. For meg er det en ny vri, eller noen som faktisk kan gjøre det?

[Mjøndalen]

Hei!

Om du får slike oppringninger - snakk så godt du bare kan på kinesisk/japansk - og etter kun 10-15 sekunder - så legger de på. Funker fint hver gang for meg (og jeg kan ikke ett eneste ord asiatisk)

[olavl]

Følgende forslag:

1. Scanne for malware/Trojaner. Dette er viktig å gjøre før du booter fra maskina. Så det enkleste er å gjøre det fra annen maskin.

- Har du backup'en liggende fortsatt, så kan du forsøke å scanne denne med ein virus scanner. Her er det fleire varianter å velge i. Sophos som eg har installert på en del mac'er scanner TM bundler (om det er det du har brukt).

- Har du ikkje backup'en tilgjengelig. Hent inn igjen maskina og ta kopi av disken via Carbon Copy Cloner, Superduper eller tilsvarende til annen disk du har ledig. Scan denne.

- Er den gammel nok til at du kan bruke Target mode med FireWire, så sparer du kopiering. Boot direkte til targetmode og scan.

EDIT: I nøden spiser fanden fluer. Om ikkje annet, så scan etter å ha installert scanner på sjølve maskina. Om det er den enkle sorten (billig => meir kjappe penger), så finner du problemet også på denne måten.

2. Om du har tid, så kan du også analysere nettverkstrafikk inn/ut av maskinen. Dette er der verktøy for i Mac OS. Bruk terminal. Stikkord her er lsof og netstat. Og, kommandoen man er din venn... Lag noen enkle skripter som kjøreer med jamne mellomrom og henter ut koblinger inn/ut av maskinen. Desse må du då analysere (hvor kobles det til, protokoller i bruk mv). ER trafikken du ser å forvente osv. Tar litt tid, og om ikkje malware utvikler har tatt seg til til å sikre seg "stealth modus", så finner du det sikkert.

Så, ein tanke på tampen. Kan det tenkes at det peronen i andre enden truer med er wipe via iCloud/apple id? Sjekk om denne er kompromitert? -Bytte passord mv.


my2c,

Olav

[Peteru]

Olav har gode råd, men som andre skriver, er det helst et windowsbruker-fenomen. Sånne telefoner skal man hale ut, jatte med, late som du ikke finner maskina, finner påknappen, holde foredrag om yndlingssporten din, innlede et foredrag om offsideregelen, i lys av siste Brannkamp, til slutt legger de på…

Jeg er ikke urolig for virus/malware på Mac’en. Det tror jeg heller ikke faren til trådstarter behøver å være.

[gamenius]

Hei alle sammen

Har jobbet en del med maskinen og så klarer min far, til tross for att han har fått spørsmålet flere ganger, å komme på at det var en "fra Windows" som hadde ringt. Var ikke helt bli da. Så dette var mao. det "gamle" Windows-trikset.

Beklager det, men det var jo lærerikt.