<div dir="ltr"><div class="gmail_default" style="font-family:trebuchet ms,sans-serif">2 factor authentication is a huge step to protecting your account. PS take a picture of the QR code and save the code to type in. Can help in authenticator recovery</div><div class="gmail_default" style="font-family:trebuchet ms,sans-serif"><br></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Jan 16, 2017 at 3:37 PM, Matthew Crews <span dir="ltr"><<a href="mailto:mattcrews@mattcrews.com" target="_blank">mattcrews@mattcrews.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><p dir="ltr">I'll start with the obvious.</p>
<p dir="ltr">1. Change her password. Use something fairly complex and UNIQUE, do not reuse an existing password.</p>
<p dir="ltr">1a. Download a password manager and change ALL passwords. I would ALMOST recommend using this for Google, but Google is one of those services you need to memorize the password for.</p>
<p dir="ltr">2. Enable 2FA. I presume you are using a cell phone that has text messaging support. Enable 2 factor authentication with her Google account, either with SMS or with their authentication app.</p>
<p dir="ltr">3. Enable 2FA. Seriously, if a service has that option, use it </p>
<p dir="ltr">4. Install some virus scanners and look for malware. The most likely reason her account was hacked, besides password reuse, is a drive-by malware install from web advertising.</p>
<p dir="ltr">4a. A full reformat of her PC is recommended. I would use a Linux tool like DD or Shred to completely wipe the HD, boot sector included.</p>
<p dir="ltr">5. Fully update her system. This includes OS updates, software updates, driver updates, etc.</p>
<p dir="ltr">6. install ad-block or similar software, and/or uninstall Flash and Java, to limit or eliminate this attack vecto</p>
<p dir="ltr">7. If your wife is not tech savvy, now would be a good opportunity to teach her general safe practices for surfing the web.</p>
<p dir="ltr">8. Don't exclude the possibility of malware on her smart phone, if she has one. If it's an old Android or iOS phone that no longer received OS updates, I recommend tossing it and buy something that receives them still.<br></p>
<p dir="ltr">Those are the basics.</p>
<br><div class="gmail_quote"><div><div class="h5"><div dir="ltr">On Mon, Jan 16, 2017, 15:25 Mark Phillips <<a href="mailto:mark@phillipsmarketing.biz" target="_blank">mark@phillipsmarketing.biz</a>> wrote:<br></div></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr" class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg">Some missing information - her PC runs Windows, and she only accesses gmail through her browser.<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div></div><div dir="ltr" class="m_3482787674940275959gmail_msg">Mark<br class="m_3482787674940275959gmail_msg"></div><div class="gmail_extra m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"><div class="gmail_quote m_3482787674940275959gmail_msg">On Mon, Jan 16, 2017 at 3:23 PM, Mark Phillips <span dir="ltr" class="m_3482787674940275959gmail_msg"><<a href="mailto:mark@phillipsmarketing.biz" class="m_3482787674940275959gmail_msg" target="_blank">mark@phillipsmarketing.biz</a>></span> wrote:<br class="m_3482787674940275959gmail_msg"><blockquote class="gmail_quote m_3482787674940275959gmail_msg" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr" class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg"><div class="m_3482787674940275959gmail_msg">It looks as if my wife's gmail account was hacked on Jan 9, and I want to see if there is anything else we have to do to clean up the mess. <br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>1. She stopped getting any email on Thursday in this account. We tracked it down to a filter that sent all incoming email to Trash. We deleted the filter.<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>2. A little more digging, and we found a suspicious login from NY on Jan 9. She swears she was not in NY on that day....and, absent any proof to the contrary, I believe her. ;)<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>3. There was a Google Brand account attached to her gmail account, which we deleted. No idea what that is.<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>4. There are several delivery failure emails in her Trash folder like this one:<br class="m_3482787674940275959gmail_msg">Address not found<br class="m_3482787674940275959gmail_msg">Your message wasn't delivered because the domain <a href="http://houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">houston.rr.com</a> couldn't be found. Check for typos or unnecessary spaces and try again.<br class="m_3482787674940275959gmail_msg">The response from the remote server was:<br class="m_3482787674940275959gmail_msg">DNS Error: 10339950 DNS type 'mx' lookup of <a href="http://houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">houston.rr.com</a> responded with code NOERROR 10339950 DNS type 'aaaa' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN 10339950 DNS type 'a' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg">Final-Recipient: rfc822; <a href="mailto:jham003@houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">jham003@houston.rr.com</a><br class="m_3482787674940275959gmail_msg">Action: failed<br class="m_3482787674940275959gmail_msg">Status: 4.0.0<br class="m_3482787674940275959gmail_msg">Diagnostic-Code: smtp; DNS Error: 10339950 DNS type 'mx' lookup of <a href="http://houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">houston.rr.com</a> responded with code NOERROR<br class="m_3482787674940275959gmail_msg"> 10339950 DNS type 'aaaa' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN<br class="m_3482787674940275959gmail_msg"> 10339950 DNS type 'a' lookup of <a href="http://cdptpa-smtpin01.houston.rr.com" class="m_3482787674940275959gmail_msg" target="_blank">cdptpa-smtpin01.houston.rr.com</a><wbr>. responded with code NXDOMAIN<br class="m_3482787674940275959gmail_msg">Last-Attempt-Date: Sat, 14 Jan 2017 14:09:54 -0800 (PST)<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg">---------- Forwarded message ----------<br class="m_3482787674940275959gmail_msg">From: Steven Walls <<a href="mailto:allison@phillipsoasis.com" class="m_3482787674940275959gmail_msg" target="_blank">allison@phillipsoasis.com</a>><br class="m_3482787674940275959gmail_msg">To: Steven Walls <<a href="mailto:wallssteven1@adsolutionpro.us" class="m_3482787674940275959gmail_msg" target="_blank">wallssteven1@adsolutionpro.us</a><wbr>><br class="m_3482787674940275959gmail_msg">Cc: <br class="m_3482787674940275959gmail_msg">Date: Wed, 11 Jan 2017 15:21:41 -0500<br class="m_3482787674940275959gmail_msg">Subject: Apple Inc. is Hiring with an Attractive Pay!!!<br class="m_3482787674940275959gmail_msg">Need weekly pay for driving your car?<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg">Make $ 400 every week for having an AD of Apple Inc. attached to you car<br class="m_3482787674940275959gmail_msg">while you drive.<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg">Reply to find out more.<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg">Steven Walls<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>I assume Mr Walls is the hacker (or his/her alias) and was using her account to send out spam emails. We have changed her password to something a little more obtuse than what she was using....Will have to get her set up with LastPass to keep her honest with her passwords.<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>Anything else we should do?<br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></div>Thanks!<span class="m_3482787674940275959m_-4190091299741324045HOEnZb m_3482787674940275959gmail_msg"><font color="#888888" class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"><br class="m_3482787674940275959gmail_msg"></font></span></div><span class="m_3482787674940275959m_-4190091299741324045HOEnZb m_3482787674940275959gmail_msg"><font color="#888888" class="m_3482787674940275959gmail_msg">Mark<br class="m_3482787674940275959gmail_msg"></font></span></div>
</blockquote></div><br class="m_3482787674940275959gmail_msg"></div></div></div>
------------------------------<wbr>---------------------<br class="m_3482787674940275959gmail_msg">
PLUG-discuss mailing list - <a href="mailto:PLUG-discuss@lists.phxlinux.org" class="m_3482787674940275959gmail_msg" target="_blank">PLUG-discuss@lists.phxlinux.<wbr>org</a><br class="m_3482787674940275959gmail_msg">
To subscribe, unsubscribe, or to change your mail settings:<br class="m_3482787674940275959gmail_msg">
<a href="http://lists.phxlinux.org/mailman/listinfo/plug-discuss" rel="noreferrer" class="m_3482787674940275959gmail_msg" target="_blank">http://lists.phxlinux.org/<wbr>mailman/listinfo/plug-discuss</a></blockquote></div>
<br>------------------------------<wbr>---------------------<br>
PLUG-discuss mailing list - <a href="mailto:PLUG-discuss@lists.phxlinux.org">PLUG-discuss@lists.phxlinux.<wbr>org</a><br>
To subscribe, unsubscribe, or to change your mail settings:<br>
<a href="http://lists.phxlinux.org/mailman/listinfo/plug-discuss" rel="noreferrer" target="_blank">http://lists.phxlinux.org/<wbr>mailman/listinfo/plug-discuss</a><br></blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature">A mouse trap, placed on top of your alarm clock, will prevent you from rolling over and going back to sleep after you hit the snooze button.<br><br>Stephen<br><br></div>
</div>