3. Keylogger umgehen - wie ?

Keylogger umgehen - wie ?

  • F

    Guten Tag,
    heute Abend will ich mit einem Kumpel anfangen wieder die Seidenstraße zu spielen (SilkRoad). Da sind oft auch "Hacker" beliebt und unterwegs und wenn mein Account einen gewissen Stand erreicht hat und den Wert hat "gehackt" zu werden, müsste ich mir doch gerne eine kleine Sicherheit verschaffen. Richtig gehackt kann dein Passwort doch eig. nicht, da das Passwort doch auf einer SQL-Datenbank (oder anderes) auf dem Server des Spiels liegt und man doch schon ziemlich ein Profi sein muss da dran zu kommen, bzw. wer macht sich die Mühe. Also hab ich gehört sowas machen die "Hacker" eher über einen Keylogger, den sie dir auf den PC schleusen. Nun hab ich mir gedacht, bau ich mir ein Programm wenn mein Account gut ist. Z.B. das die Tastendrücke _simuliert_. Fängt der Keylogger auch diesen simulierten Tastendruck ab ? Wenn ja, was würdet ihr raten ?

    Mit freundlichen Grüßen : FreakY

    0
  • V

    FreakY<3Cpp schrieb:

    Fängt der Keylogger auch diesen simulierten Tastendruck ab ?

    nein, mein keylogger benutzt nur GetAsyncKeyState().

    0
  • J

    ich hab keine grosse ahnung, interessiert mich aber auch.
    evtl. selbst nen hook installieren und CallNextHookEx nicht aufrufen (tastendruck nicht weiterleiten)?

    mfg,
    julian

    0
  • V

    Wenn das alles so einfach wäre, wäre kein Einwahl, Email oder Sontige Zugansgberechtigung mehr sicher.
    Leute die natürlich Anwendung von irgendwelchen fremden Leuten starten, brauchen sich auch nicht darüber wundern wenn jemand Zugriff auf das System hat.

    0
  • F

    Wie kriegt man dann sonst das Passwort raus?

    0
  • B

    Vitamin-C schrieb:

    Leute die natürlich Anwendung von irgendwelchen fremden Leuten starten, brauchen sich auch nicht darüber wundern wenn jemand Zugriff auf das System hat.

    Klar. Was ist das denn für ein unsicheres System, dass ich nicht selbst bestimmen kann, wer meine Eingaben mitloggt? Ist meiner Meinung nach "by Design" einfach falsch und unsicher.

    0
  • S

    FreakY<3Cpp schrieb:

    Wie kriegt man dann sonst das Passwort raus?

    Das einfachste ist eine "FanSeite" des Spiels zu machen, mit Forum oder Downloadbereich oder sonstwas wo sich die Benutzer anmelden müssen.

    Dann einfach diese Benutzername/EMail Adresse und Passwörter nehmen und damit versuchen sich ins Spiel einzuloggen.

    Klappt vorallem dann viel zu gut wenn man sich in dem Spiel mit EMail Adresse identifizieren muss...

    im Prinzip bauen fast alle effektiven Angriffsmethoden darauf auf dass du dem angreifer freiwillig dein Passwort gibst...

    0
  • V

    und der andere angriff ist, einen trojanischen bot zu bauen.

    0
  • V

    Es gibt viele Methoden, mal ein Szenario am Rande.

    Laut Statistik haben 35% aller User nur ein Passwort mit dem Sie sich fast überall anmelden, das heisst aus gut Deustch.
    Das jemand das gleiche Passwort für ein Forum nimmt, sowohl auch für die Einwahl ins Internet(DSL Zugangs Passwort).

    Die Passwörter werden zwar in guten Forensystemen Hash Einweg verschlüsselt, für einen Boardadmin mit etwas PHP Kenntnissen ist es kein Problem das Passwort bei Login im Klartext mitzuloggen.

    Dann meldet sich der jemand noch mit seiner T-Online Mailadresse an und schon hat man Zugang zum Kundencenter.

    0
  • ?

    Ich würde mich nie irgendwo anmelden und dort das selbe Passwort wie in der angegebenen Mail-Adresse nutzen. Der Betreiber muss ja noch nicht einmal böse Absichten haben, aber ein potentieller Dieb würde natürlich zuerst einmal die Passwörter (insofern sie Klartext sind) bei den angegebenen Mail Accounts testen.
    Und selbst wenn sie gehasht wurden lohnt sich ein Wörterbuchangriff, da viel zu viele Leute einfach keine Rücksicht auf die Wahl ihrer Passwörter nehmen (oder keine Vorstellung davon haben wie viele Kombinationen ein aktueller Prozessor pro Minute durchtesten kann).

    0
  • ?

    Tippgeber schrieb:

    Ich würde mich nie irgendwo anmelden und dort das selbe Passwort wie in der angegebenen Mail-Adresse nutzen. Der Betreiber muss ja noch nicht einmal böse Absichten haben, aber ein potentieller Dieb würde natürlich zuerst einmal die Passwörter (insofern sie Klartext sind) bei den angegebenen Mail Accounts testen.
    Und selbst wenn sie gehasht wurden lohnt sich ein Wörterbuchangriff, da viel zu viele Leute einfach keine Rücksicht auf die Wahl ihrer Passwörter nehmen (oder keine Vorstellung davon haben wie viele Kombinationen ein aktueller Prozessor pro Minute durchtesten kann).

    Kurz: mit sehr wenig Arbeit kannst du dein System so unattraktiv machen, dass sich die potentielle Diebe einfach einen anderen aussuchen werden.

    Ach ja es spart sogar Zeit, wenn man nicht jede .exe aufmacht! 💡

    0
  • V

    Ein grosser Sicherheitssoftware Anbieter hatte vor einigen Monaten diese Analyse durchgefüht und dabei kam eben raus, das viele Leute für mehrere Anwendungen das selbe Passwort nehmen.

    Wenn ich ährlich bin, hatte ich vor Jahren zu Beginn meiner Datex-P Online Kariere auch ein Passwort aus meinen Namen und dem Geburtstags kürzeln.
    Ich hatte mir diese dumme Angewohnheit dann aber auch sehr schnell wieder abgewöhnt, allerdings war die Gefahr in diesen Jahren auch noch nicht ganz so gross wie heutzutage.

    0
  • ?

    halte ich für ein gerücht. Ich habe seit schätzungsweise 8 Jahren dasselbe (Im übrigen einfache, nur aus Buchstaben bestehende) Passwort für alle meine Accounts und sonstige Dienste und mir wurde noch NIE irgendwas "gehacked" oder wie auch immer geknackt. Also ich halte diese Hysterie für vollends übertrieben, das führt nur dazu, daß Leute sich unmenschlich komplizierte Passwörter ausdenken, die sie dann vergessen und sich selbst aussperren.

    0
  • F

    Wenn das meistens nur über Seiten geht und was weiss ich, wie kommts das 2 Accounts von SilkRoad meiner Kumpels gehackt wurde ? Und die haben sich nirgends regestriert oder so ...

    0
  • V

    Es geht im Grunde nur darum wie jemand schon kurz angemerkt hatte, das viele unauthentifizierte Zugriffe durch freiwillige und dumme Übermittlung des eigenen Passwortes erfolgen und nicht durch irgendwelche bösen Trojaner.

    0
  • ?

    FreakY<3Cpp schrieb:

    Wenn das meistens nur über Seiten geht und was weiss ich, wie kommts das 2 Accounts von SilkRoad meiner Kumpels gehackt wurde ? Und die haben sich nirgends regestriert oder so ...

    Dann wüde ich mal ne Mail an den Serverbetreiber schicken. Weil einer seiner Admins korrupt ist und heimlich User-Accounts verkauft. Meine Fresse nochmal.

    Shade Of Mine schrieb:

    im Prinzip bauen fast alle effektiven Angriffsmethoden darauf auf dass du dem angreifer freiwillig dein Passwort gibst...

    0
Log in to reply