Как найти что перехватывает сессию браузера со входом 2fa?
Суть проблемы.
На криптобирже категории /b принудительно включили 2fa, при очередном логине прислали на почту 2фа пароль, при вводе хром немного задумался и сайт выдал что ваш 2фа неправильный. Я забил, решил позже разберусь. Спустя время тоже самое. Написал в поддержку- ресетнули.
Сменил пароль, включил нормально 2фа гугла.
Почистил куки/отключил расширения.
При заходе с того же пк с хрома история повторяется - не тот 2фа после паузы.
Зашел с других брауезров с этого же пк - все ок, заходит (без пауз после ввода 2фа).
Зашел с другого пк с хрома - тоже ок (тоже без пауз после ввода 2фа).
Но в дату первой попытки, когда 2фа был выслан на почту - все балансы/деньги были почищены и выведены в течении пары минут.
Видимо что-то перехватывает сессию с хрома и/или у них дыра при логине.
Куда копать?
format С это понятно, но хотелось бы найти причину т.к. это ПО видимо и сейчас перехватывает хромовскую сессию и не дает залогинится. (Точнее дает, но не мне)
maksam07, Все расширения в хроме отключал, в инкогнито режиме тоже пробовал - пауза после ввода 2фа и ошибка - неверный 2фа. Через Chromium при этом спокойно логинится.
Проверить ярлык хрома - чтобы был без парамтеров и прочего (спасибо GavriKos за дополнение).
Проверить автозапуск с помощью Sysinternals Autoruns - удалить из автозапуска постороннее и просканировать антивирусами (VirusTotal в помощь).
Проверить все установленные плагины в хроме.
Провести полное сканирование несколькими разными антивирусами (лучше всеми доступными) с live-системы; из под другой ОС с переносом диска в другой ПК; или хотя бы из безопасного режима.
Если предыдущие пункты не помогли: то проверить сам хром и его бинарные файлы на соответствие оригиналу от разработчиков - тут несколько сложнее, т.к. нужно на другом ПК установить ровно ту же саму версию хрома и сравнить установленные все файлы побайтово.
Дальше - разве что долго и муторно исследовать логи от Sysinternals Procmon во время запуска и работы хрома и, возможно, других приложений в системе.
Установил chrome-beta в соседнем окне в котором все ок, f12 и все стало очевидно - в родном хроме редирект на фишинговый сайт, с одной буквой в отличии. quic по дефолту включенный в основном хроме тоже медвежью услугу оказал, с ним не пускало на настоящий. Все почистил, теперь все ок. VoidVolker, GavriKos в любом случае спасибо!
Простой
Простой
