FR EN DE ES IT PT
Naviguer dans les forums 
Trackers Ankama

Hack... Avec Ankama Shield actif..

Par T-rexdfs#9945 - ANCIEN ABONNÉ - 18 Juin 2021 - 09:37:39
AnkaTracker ReplyTracker

Bonjour, je suis un ancien joueur qui a repris Dofus cette année. Grâce à des amis motivés, j'ai repris goût aux challenges de Dofus et me suis donné comme objectif de monter une équipe compétitive en Kolizéum...

Hier soir je prends ma CB et paye pour 30 € d'abonnements à Dofus, tout en allant dans ma banque récupéré quelques clés de donjon...

A ce moment là un certain [The-F*liciti] me parle d'une potion offerte par Ankama qui permet de choisir un apparat, j'arrive sur le site, l'URL me semble suspecte mais le lien est sécurisé, je vois des commentaires, je ne me méfie pas assez pensant que c'est juste un site évènement proposé par Dofus. Et voilà.

S'en suit des déconnexion à répétitions, je n'ai même pas le message qui me dit que j'ai déconnecté quelqu'un mais juste : "La connexion avec le serveur a été perdu" Comme si j'avais des problèmes de connexion... Et quand je me reconnecte le hackeur se bat pour valider son échange...

J'ai peur, mais je me rappelle que j'ai Ankama Shield d'actif et que sans mon mail, et sans que je ne valide une demande de Shield à cette heure, je risque rien.

Monumentale erreur... PERDU ! Perdu, et reperdu...

Le fameux Shield, qui m'est demandé chaque fois que je redémarre ma box, chaque fois que je réactive ma connexion, qui m'agace parfois à m'empêcher de m'abonner rapidement, ne m'a servi A RIEN lors de mon hack en live...

Je suis dégoûté... Car en plus je venais juste de payer pour 30 € d'abonnement, je revenais de Temporis, hyper motivé à réussir les donjons sur Offi, tout ça pour me faire hacker moins de 3 heures après...

Personne n'a su m'expliquer comment le Shield a été outrepassé, et même sur les sites d'Ankama il est écrit que si la personne accède à votre email, ou désactive votre Shield d'une façon ou d'une autre c'est perdu : CA N'A PAS ETE LE CAS !

J'ai envoyé un ticket au support, et ayant déjà été victimes de hack à l'époque où le shield n'existait pas, j'apprends à mes dépens que le shield n'a rien changé...

0 -1
Réponse acceptée par l'équipe Ankama

Bonjour,
Nous vous rappelons de ne JAMAIS donner vos identifiants à qui que ce soit et qu'il est préférable d'utiliser des mots de passe différents sur diverses plates-formes pour éviter de permettre à la personne malveillante un accès à tous vos réseaux (email, réseaux sociaux, boutiques en ligne...)
Je vous renvoie vers la FAQ du support concernant le phishing, ce que c'est et comment s'en protéger.
Je vois que tu as déjà envoyé un ticket au support, c'est un très bon réflexe, même si il est rare qu'ils puissent faire plus dans ces situations que de te rendre ton accès.
Navrée que cette mésaventure te soit arrivée.

Voir le message dans son contexte
Réactions 18
Score : 565

Je te dirai bien de mettre la double protection, shield peut protéger mais les hackeurs pas ceux à qui tu donnes le mdp (qui est bien sur interdit ou peu conseillé) passe souvent par internet et trouve le moyen d'avoir accès à ta boite mail. Il est cependant plus difficile avec authenticator mais ça ne fait que réduire les risques mais le risque n'est pas de 0%

Il me semble que ces mesures n'affirment pas non plus le fait qu'avec ces protections on se fera jamais hack. Cela reste un risque présent malgré la protection mais réduit quand même.

1 0
Score : 10

Je pensais que ça bloquait au moins quelqu'un avec tes identifiants dofus de faire quoique ce soit de dommageable à ton compte... J'avais moins peur hier quand je me suis rappelé que j'avais le Shield, et aujourd'hui je suis encore plus dégoûté...

0 -1
Score : 386

"Le meilleur anti-virus c'est soi même"  je comprend la "trahison" que tu ressens vis à vis du faux sentiment de sécurité que tu pensais avoir, cela dit tu aurais dû comprendre que 1, si qqun fais un très joli site de pishing c'est pas pour rien 2,si vous vous êtes battu à reco c'était pas pour le fun et qu'il avait bel et bien une idée derrière la tête autre que de gaspiller tes k dans les zaaps. 

Tu aurais du changer ton mot de passe au plus vite au lieu d'aller faire autre chose l'esprit leger, même en imaginant que le shield te protegerais... 

0 -1
Score : 10

C'est mon tout premier compte et il est vieux... J'ai donc oublié la réponse secrète que j'avais mise à 11 ans (je suis même sûr de m'en rappeler mais de l'avoir écrite avec une ortographe de débille..)

Et je me disais que le temps que ma rép secrète et mon mdp soient changés, le Shield me protègerait tant que ma boîte mail est safe... Résultat mon mdp mail était changé, ma boîte mail était plus que safe, aucun message d'intrusion, rien, mais c'est passé. :/

Je n'étais pas au courant de ces techniques de hack avec faux site, et évidemment en arrivant sur le forum aujourd'hui pour poster mon message, je vois un gros message expliquant la fameuse technique que je me suis prise hier, dégoûté...

0 -1
Score : 10

[Doublon]

0 -1

Bonjour,
Nous vous rappelons de ne JAMAIS donner vos identifiants à qui que ce soit et qu'il est préférable d'utiliser des mots de passe différents sur diverses plates-formes pour éviter de permettre à la personne malveillante un accès à tous vos réseaux (email, réseaux sociaux, boutiques en ligne...)
Je vous renvoie vers la FAQ du support concernant le phishing, ce que c'est et comment s'en protéger.
Je vois que tu as déjà envoyé un ticket au support, c'est un très bon réflexe, même si il est rare qu'ils puissent faire plus dans ces situations que de te rendre ton accès.
Navrée que cette mésaventure te soit arrivée.

Score : 10

Je verrais ce qu'il en ressort et j'espère sincèrement que les méthodes de compensations/sanctions d'Ankama ont évoluées entre mon dernier hack et celui-ci, le pire étant que ça tombe juste après que j'ai acheté pour 30 € d'abonnement... Merci quand même pour votre rappel.

0 0
Score : -15712

Tu sais, le shield et l'authentificator sont absolument inutile, leur seul utilité est le bonus 5% drop/xp smile.

Quand un mec te hack, protection ou pas, tout est désactivé. Que tu ne l'ai ou pas c'est du pareil ou même.

0 -3
Score : 10

Si je n'avais pas eu le Shield, et que je m'étais fait hack de la sorte, je me dirais "Pu*ain, si j'avais activé le shield j'en serais pas là..."

Mais justement, j'ai le shield d'activé, alors si même avec le shield les hackers motivés peuvent passer au travers, je ne vois pas quoi faire de plus...

  • Changé mon mdp toutes les semaines ?
  • Recevoir une alerte chaque fois que quelqu'un se connecte sur Dofus avec mes identifiants ?
  • Rendre les échanges impossibles pendant 48h si le lieu de connexion n'a jamais été utilisé auparavant ?
  • Choisir des objets à lié à mon compte ?

Je ne sais pas ce qu'il y aurait à faire de plus que le shield, ayant été hacké avant l'existence de cette méthode, je pensais que c'était la défense ultime tant qu'on avait une boîte mail sécurisée... C'est déprimant..
0 0
Score : 2745

Je suis désolé pour toi mais au bout d'un moment ton compte est "vieux" et tu te fais avoir par le premier mp que même un poisson rouge arriverait à déjouer, estime toi heureux que ça soit arrivé sur Dofus et pas sur quelque chose de plus grave... Au moins tu apprendras, un mal pour un bien. 

C'est pourtant pas compliqué le concept de ne JAMAIS mettre ton mdp quelqu'il soit nul part sauf évidemment le site officiel du dit mdp. (et pas de "ça y ressemblait" la vérification est facile si t'es attentif).

Bon courage et fais plus attention à l'avenir. 

1 0
Score : 10

Mon compte est vieux, à part sur Temporis V je n'avais pas joué à Dofus depuis plusieurs années. J'ai littéralement appris l'existence de cette technique de hack par mimétisme du site Dofus hier, car je n'allais jamais sur le forum voir ce fameux post épinglé qui parle de cette technique. Je ne te dis pas la claque sur le front que je me suis mise, en me disant que si j'avais vu ce post épinglé quelques heures avant, j'aurais été un peu plus méfiant.

La seule chose qui trahissait ce site après coup est l'url, et le fait que mes identifiants n'y étaient pas préenregistrées. Voilà ce qui aurait dû me mettre la puce à l'oreille, et me faire vérifier, mais le design identique du site, les commentaires style forum Dofus en dessous de l'article, avec un (faux) modérateur d'Ankama qui répondait à une question, ont bien baissés ma vigilance.

On verra si à 3 heures du matin, en tapant Kralamansion sur Google tu ne clique pas sur le 1er lien, arrive sur www.dofus-event.com, qui ressemble en tout point à un site d'Ankama, a en plus un https, et ne tente pas de rentrer tes ID. (Cet item existe bel et bien et ce site n'était pas celui où j'ai été hacké, c'est juste à titre d'exemple, premier lien des résultats Google, et site identique à Dofus)

Je ne me suis jamais fait phisher de ma vie à part aujourd'hui. Je suis quelqu'un de méfiant mais la copie était bien faite et je me suis dit que cet URL différent était un des autres nombreux sites d'Ankama ou un site d'event. Evidemment après coup je me sens bête et c'est facile de supposer que je suis un idiot.

J'ai crée ce sujet pour me plaindre mais surtout pour savoir comment j'ai pu me faire hack avec Ankama Shield, les brimades, je me les fais déjà..

0 -1
Score : 1278

Quand tu t'es connecté sur le site avec tes identifiants ca ta pas demandé de saisir un autre code reçu dans ta boite mail ?

0 0
Score : 22681

Comment ils ont fait:

Quand tu as entré tes ID sur le site de phishing, ils t'ont dis "nous vous avons envoyé un mail, entré le code pour recevoir votre cadeau". 
T'as bien recu un code mais c'est pas de la part du site de phishing, c'est un vrai mail d'Ankama pour  désactivé le shield vu qu'ils viennent de se connecter sur le site Dofus avec ton compte.
Tu leur donne et hop , ils sont l'acces complet à ton compte.

Le shield fonctionne correctement, le hackeur à eu acces au code pour le faire sauter, donc il l'a fait sauter.

Comme toujours, les meilleurs protections ne suffisent pas quand la faille est devant l'écran.

1 0
Score : -15712

 

T-rexdfs#9945|18/06/2021 - 17:43:02
Si je n'avais pas eu le Shield, et que je m'étais fait hack de la sorte, je me dirais "Pu*ain, si j'avais activé le shield j'en serais pas là..."

Mais justement, j'ai le shield d'activé, alors si même avec le shield les hackers motivés peuvent passer au travers, je ne vois pas quoi faire de plus...
  • Changé mon mdp toutes les semaines ?
  • Recevoir une alerte chaque fois que quelqu'un se connecte sur Dofus avec mes identifiants ?
  • Rendre les échanges impossibles pendant 48h si le lieu de connexion n'a jamais été utilisé auparavant ?
  • Choisir des objets à lié à mon compte ?

Je ne sais pas ce qu'il y aurait à faire de plus que le shield, ayant été hacké avant l'existence de cette méthode, je pensais que c'était la défense ultime tant qu'on avait une boîte mail sécurisée... C'est déprimant..



Refaire un tout nouveau compte et un tout nouvel email malheureusement ( ce qui est important professionnellement parlant , le mec pourrait avoir des infos plus graves que tes IP dofus, même si a mon avis il ne peut rien en faire, si il t'as hack dofus et qu'il a clairement ton e-mail, il a peut etre vu tes mails bancaire etc.... - encore une fois je ne pense pas qu'il puisse en faire quelquechose - ).

Mais voila c'est plus sur. Et tu met ta nouvelle adresse mail sur ta banque, tes autres sites/jeu / CV etc, tu la met partout, ça sera ta nouvelle adresse x) .
0 0
Score : 22681

Ca sert à rien de le faire paniquer.

Ceux qui hack via phishing sont des Jean-Dylan, pas des génies de l'informatique. 
Y a littéralement aucun moyen que le mec est eu accès à son adresse mail. Vu comment j'insulte leurs ancetres sur 3 générations quand ils me mp, ca feraient bien longtemps qu'on m'aurait hack mon adresse mail sauf que c'est pas le cas parce que si ils ont pas les logs + le delock du shield, ils font rien.

Je me rappel d'un mec qui à subit la meme chose que l'auteur sauf qu'il n'a pas donné le code du shield. Le voleur s'est connecté, à déséquiper son perso et à tout mit en havre-sac. Quand le propriétaire s'est reco, il l'a fait chanter en lui disant que si il donnait son delock du shield, il lui rendrait tout, ce qui tiens absolument pas debout. Le propriétaire à pas accepter et il a retrouver son stuff intact en cherchant de quoi se restuff.  

Du coup, non ils n'ont pas acces à l'adresse mail. Si il pouvait, ce gugusse aurait plus de compte et pire encore, les voleurs s'amuseraient à revoler les meme mec en boucles. Spolier alerte: C'est jamais arriver.

J'ai expliquer au dessus comment ils ont fait.

Du coup pour l'auteur:

- Change ton mot de passe.
- Clear ton shield histoire que plus personne est accès a ton compte puis reenregistre ton pc.
- Redemarre ta box pour changer ton IP si tu as une IP dynamique au cas où Jean-Dylan aurait que ca a faire que de te DDOS pour te faire chier (mais il le ferra pas parce qu'il y a 0 interet vu qu'il a plus acces à ton compte).

T'inquiete pas que si les mecs pouvait hack des adresses mails, etc sans aucune info (parce que l'adresse mail est caché quand tu va dans "mon compte"), simplement avec une adresse IP, c'est pas des stuffs sur un jeu vidéo qu'ils voleraient.

PS: Authentificator, c'est mieux.

1 0
Score : 22681

 

elcina#8069|19/06/2021 - 08:57:05
Le mieux reste de mettre les deux (j'ai même été surprise qu'on puisse mettre les deux maintenant)

Pourquoi mettre les deux, si par malchance quelqu'un trouve tes logs que le mec spam pour se co, il se co sur ton compte, bien sur ça va faire des decos reco intempestif mais le mec a juste à faire un truc (je ne sais plus si tu es co sur le site dans mon compte tu peux directement changer le mot de passe sans passer par mail ou tel) Si c'est le cas il a juste spammé la deco reco de la personne puis en parallèle se co sur le site ankama et changer le mot de passe, ensuite le gars ne captant pas de suite que son mdp a été changé il va continuer à débloquer authenticator puis le gars va se co et ne sera plus déco du compte.
Mais là si tu as le shield ça bloque aussi le problème il se co mais ne peut rien recup donc double protection très efficace si tu t'assures de pas transmettre le code shield egalement.

Bien sur... pour l'authenticator faut vraiment que le gars soit vénère pour te hack en spammant la connexion etc... mais il y en a qu'ils se font quand même hack avec authenticator donc bon je pense que ce n'est pas impossible




Ha oui? Ca doit etre nouveau depuis que le shield est devenu obligatoire parce qu'avant, c'etait pas possible.

Par contre, tu peux pas changer le mdp sans information tel que le mail ou le numéro de téléphone donc ce genre de scénario n'existe pas. Sauf si il à acces à la réponse secrete mais encore une fois, faut y aller.

En soit, c'est "simple" de hack sous authentificator: Suffit que le mec te DDOS comme pour le hack sous shield. Et là, toi tu te dis "bha merde Dofousse a encore crash (parce que Dofus qui te deco pour rien, on a l'habitude)", tu te reco, tu désactive l'authentificator et c'est seulement là que tu te rend compte que tu as plus internet mais trop tard, tu as deja ouvert l'acces.

Mais dans le cadre où tu utilise les protections normalement, y a aucun risque de hack. Y a des gens sur Dofus qui se balade avec des milliards voir des dizaines de milliards de kamas, si c'etait si simple de se faire hack, aucun ne montrerai sa fortune, pourtant les gros riches n'ont pas de soucis questions de ça. 

Le probleme avec le phishing, c'est qu'il n'y a pas de sécurité vraiment efficace puisque le but est de faire croire à la personne que tout va bien et qu'il est au bon endroit. Meme avec 5 sécurités différentes, si la cible pense etre sur le bon site, aucune le protegera.

Faut juste se dire que si c'est trop beau, ca sent mauvais.
Dans le cas de l'auteur: Un mec random le mp quand il passe à la banque (donc mp pour aucune raison apparente) pour lui dire d'aller récuperer un objet. C'est vachement sympa, peut etre meme un peu trop...

Les trucs qui peuvent sauver:

- Le cadenas gris/vert/rose à point bleu: Ca sert à rien. Il est là c'est cool on s'en fout, il est pas là, c'est cool on s'en fout aussi. C'est pas une preuve de "site officiel" (meme si de maniere général, c'est mieux pour un site de l'avoir. Je me rappel qu'a sa sortie, Minecraft n'avais pas ça et pourtant): Ca veut simplement dire que les donnés sensibles (Carte bancaire par exemple) seront cryptées est impossible à utiliser par celui qui possede le site. 

- L'anti-phishing de Dofus: Impossible d'écrire un lien dans le chat sans etre bloqué par la page avec le Roublard qui vous prévient que nous n'etes pas sur un site d'Ankama: Youtube, Facebook, QuelquechoseHub: Tout est bloqué. Si on vous dit d'aller taper "potion tentacule ktoul" sur google au lieu de vous link le site, c'est pour eviter qu'on vous prévienne. Si vous avez un doute, une fois sur le site, copier-coller le lien et envoyer le à celui avec qui vous discutez puis cliquer dessus. Si vous avez acces direct au site: Pas de probleme, c'est bien Ankama, Si le Roublard apparait, insulter lui sa daronne.

- L'encyclopédie: Elle réunie tout les objets du jeu: Existant ou ne pouvant plus etre obtenue mais toujours présent dans la base de donnée. Si l'item dont on vous parle n'est pas dans l'encyclopédie, il n'existe pas.
2 0
Réagir à ce sujet