- MAIL.COM
- AT & T
- Google і двухфакторная авторизація
- Bitcoin-гаманець на Coinbase
- Bitcoin-гаманці на BTC-e і BITSTAMP
16 Марта, 2015 року, 19:30
28413
Рано вранці 21 жовтня 2014 року мексиканець Партап Девіс позбувся $ 3000.. Він закінчив грати в World of Tanks близько другої години ночі, і за той час, поки Девіс спав, невідомий хакер зламав абсолютно всі належні йому акаунти. Коли Девіс прокинувся, то побачив, що хакер отримав доступ до його двом e-mail адресами, телефону, Twitter-аккаунту, двухфакторной авторизації в Google і, що найголовніше, до Bitcoin-гаманцях. Після злому він зв'язався із західним виданням The Verge : Разом вони відновили послідовність дій хакера і склали список найбільших вразливостей сучасних онлайн-сервісів.
Девіс був просунутим користувачем і дуже уважно ставився до питань своєї онлайн-безпеки. Він вибирав складні паролі і не кликав по вірусним посиланнях. Більш того, він використовував двухфакторную авторизацію в Gmail і при кожному заході в пошту з нового комп'ютера вводив шестизначний код, який приходив йому в вигляді SMS-повідомлення на мобільний телефон. Свої кошти він зберігав на трьох захищених bitcoin-гаманцях, які перебували на Coinbase, Bitstamp і BTC-E. Для них він також використовував двухфакторную авторизацію на основі програми для смартфона Authy.
У всьому іншому Девіс був звичайним інтернет-користувачем. Він заробляв на життя програмуванням, створював ПО для навчальних відеопрограм і часто брав фріланс-замовлення. На вихідних він любив кататися на сноуборді, досліджуючи околиці біля Лос Аламос. На момент написання статті він прожив в своєму рідному містечку Альбукерке десять років, і в минулому році йому виповнилося 40.
Девіс витратив кілька тижнів, щоб розібратися, як його змогли зламати. Протягом усього цього часу він по крупицях збирав інформацію про джерело його пригод.
MAIL.COM
Злом почався з електронної пошти Девіса. Коли він створював свій перший в житті email-акаунт, то виявив що [email protected] вже зайнятий, тому він зареєстрував собі адресу [email protected] і налаштував з нього пересилку на менш запам'ятовується gmail-адреса. 21 жовтня о другій годині ночі хтось отримав доступ до аккаунту Девіса на mail.com і відключив пересилку листів. У той же час, до аккаунту був прив'язаний новий телефонний номер, зареєстрований у Флориді і новий запасний email [email protected]. До слова це єдина річ, яку ми знаємо про хакера, яку в подальшому будемо називати Єва.
Яким чином Єва змогла це зробити? Ми не можемо стверджувати напевно, але, швидше за все, вона використовувала скрипт, за допомогою якого можна було скинути пароль користувача на Mail.com. Цей скрипт точно існує і на протязі декількох місяців його можна було купити на Hackforum. Вартість скидання пароля для одного аккаунта на той момент коштувала всього $ 5 і це було саме те, що в чому мала потребу Єва. Так чи інакше, їй вдалося обійти двухфакторную авторизацію і замінити пароль Девіса на свій власний.
AT & T
Наступною метою Єви було отримати контроль над телефонним номером Девіса. У неї не було пароля до його акканту на AT & T і тому вона запросила новий пароль на електронну пошту, до якої у неї вже був доступ. Відразу після цього, вона зв'язалася зі службою підтримки і попросила включити переадресацію всіх вхідних дзвінків на її номер в Лонг Біч. Відверто кажучи, техпідтримка повинна була вимагати у клієнта більше деталей для такої операції, але AT & T виявилося досить підтвердження по електронній пошті. До слова, це досить поширене явище, коли в компаніях нехтують базовими правилами безпеки, прагнучи заспокоїти розгніваного клієнта. Через кілька хвилин всі вхідні дзвінки виявилися під контролем Єви - Девіс все ще отримував SMS і електронну пошту, але дзвінки йшли безпосередньо до хакеру. Девіс зрозумів, що сталося, тільки два дні по тому, коли шеф запитав, чому він уже кілька днів не піднімає трубку.
Google і двухфакторная авторизація
Після злому першої поштової скриньки і телефону, Єва взялася за Google-аккаунт Девіса. За словами експертів, двофакторна авторизація - це найкращий захист від різного роду хакерських атак. Взломщику недостатньо вкрасти пароль, йому доведеться отримати фізичний доступ до телефону жертви і це досить непросте завдання.
Ця система відмінно працювала б в разі прив'язки до фізичного пристрою, але люди постійно змінюють телефони і тому двухфакторная авторизація - це ще один сервіс для злому і не більше того. У Девіса не було встановлено додаток Google Authenticator, яке дає додатковий захист і для авторизації він вводив коди з SMS. Переадресація дзвінків не ставилася до SMS, але Єві вдалося і тут знайти лазівку. У Google існує спеціальна можливість, що дозволяє людям з поганим зором замовити телефонний дзвінок і отдіктовку коду роботом.
Зламати Authy виявилося трохи складніше. Але Єві вдалося перевстановити додаток на свій телефон і авторизуватися в ньому за допомогою листа на раніше зламану пошту і нового коду підтвердження, який вона отримала через голосовий дзвінок. Близько третьої години ранку аккаунт на Authy виявився під контролем Єви. Точно таким же способом їй вдалося обдурити і Google - у неї був доступ до телефону Девіса і його запасному адресою - Google просто не помітив різниці між двома користувачами. У підсумку, до півночі вона знала про онлайн-життя Девіса не менш, ніж він сам.
Bitcoin-гаманець на Coinbase
Близько третьої години ночі, за допомогою Authy і пошти на Mail.com, Єва змінила пароль до Bitcoin-гаманцю Девіса на Coinbase. А вже о 3.55 вона перевела близько $ 3600. на свій аккаунт. Гроші були виведені з рахунку за три транзакції - одна через хвилин 30 після отримання доступу до рахунку, ще одна через 20 хвилин, і ще одна через 5 хвилин. Для того, щоб повністю обчистити гаманець, їй знадобилося менше півтори години - всього за 90 хвилин гроші Девіса були переведені на серію фіктивних рахунків і були втрачені для нього назавжди.
За ідеєю, Authy міг помітити недобре. Сервіс постійно стежить за фішинговою активністю і зміна пароля посеред ночі повинна була насторожити службу підтримки. Але гроші були переведені на зовні нормальні рахунку, які раніше не були помічені в шахрайських схемах і не були пов'язані з Росією або Україною. Теоретично раптова зміна IP-адреси з Мексики на Канаду могла бути достатньою підставою для заморозки перекладу. Інші системи безпеки, такі як Google ReCAPTCHA, підсумовують безліч подібних дрібних факторів і блокують аккаунт, якщо їх стає занадто багато. Але Coinbase і Authy не бачили всю картину і тому у них не було достатніх підстав для заморозки аккаунта Партапа.
Bitcoin-гаманці на BTC-e і BITSTAMP
Коли Девіс прокинувся, то відразу ж виявив, що йому потрібно заново зайти в свій Gmail-акаунт. У нього не вийшло залогінитися за допомогою свого пароля і йому довелося використовувати спроможні відновити реєстр. Після того, як він повернув доступ, то оцінив обсяг завданої йому шкоди і почав відновлювати паролі до інших сервісів. Коли ж Девіс, нарешті, дістався до гаманця на Coinbase, то виявив, що той порожній. Згодом він витратив багато годин за листуванням і телефонними дзвінками з техподдержкой сервісу, щоб довести їм, що він реальний власник аккаунта.
Девіс також зберігав $ 2500. на двох інших гаманцях з менш розрекламованої системою безпеки. Але BTC-e заморозив акаунт на 48 годин після зміни пароля, а адміністрація Bitstamp попросила Девіса відправити їм скан-копію його водійських прав. У Єви не виявилося цієї інформації і $ 2500. залишилися на рахунках мексиканця.
Девіс зміг повернутися до нормального життя тільки через два місяці після злому. Його Twitter-аккаунт залишався під контролем Єви ще кілька тижнів. У Девіса був досить цінний адреса @Partap і Єва постаралася зробити все, щоб її жертва не змогла відновити доступ. Вона замінила аватар, розмістила там скріншот зламаного облікового запису на Xfinity і згодом використовувала цей Twitter для публікації результатів про успішні атаки.
Так хто ж переховувався за псевдонімом Єва? Девіс витратив безліч тижнів за розмовами з техподдержкой всіляких серсіс, але не зміг наблизитися до зломщикові ні на крок. Згідно логам, комп'ютер Єви заходив в мережу з канадського IP-адреси, але цей блок адрес ставився або до мережі Tor, або до одного з безлічі анонімних VPN. Номер телефону був прив'язаний до Android-телефону з каліфорнійського міста Лонг Біч, але сам пристрій, швидше за все, було вкрадено. Було ще кілька подібних мікроулік, але жодна з них не виявилася достатньою для пошуку зловмисника.
Чому Єва вибрала для злому Партапа Девіса? Швидше за все, вона знала, що у нього є гроші на Bitcoin гаманцях. Інакше навіщо б вона витратила стільки часу на злам його акаунтів? Насамперед Єва зламала електронну пошту Девіса, тому можна припустити, що вона побачила цю адресу в списку Bitcoin-гаманців десь в інтернеті. Списки користувачів Coinbase можна знайти на просторах інтернету, але email Девіса не фігурує ні в одному з них. Можливо, це був витік безпосередньо від Coinbase, але довести або підтвердити ці речі практично неможливо.
Зараз Девіс більш уважно стежить за збереженням своїх гаманців, він відмовився від пошти на mail.com, але за великим рахунком, в його житті мало що змінилося. На жаль, йому не вдалося повернути вкрадені кошти. Якщо раніше Coinbase відшкодовував збитки від подібних атак, той в цей раз вони відмовилися компенсувати збитки. У компанії заявили, що їх провини в цьому немає і вся відповідальність лежить на користувача. Він також звернувся за допомогою в ФБР, але одиничний злом біткоіни-гаманця не зацікавив службу федеральної безпеки.
Що ще він міг зробити? Він не може перестати користуватися телефоном і заборонити хакерам в наступний раз вкрасти пароль до свого аккаунту. Способів злому дуже багато і чим більше сервіс, тим складніше його захистити. На жаль, скинути пароль - це досить тривіальна задача і Єва це довела. Її вдалося зупинити тільки за допомогою досить простого і не дуже технологічного методу - заморозки аккаунта на 48 годин після зміни пароля. Це дуже легко реалізувати технічно, але досить незручно для користувачів. Тому компаніям доводиться балансувати між зручністю сервісу і його фактичної захищеністю. Фактично, від слабкої захищеності страждають одиниці, в той час як мільйони інших використовують сервіси без сучка і задирки. У боротьбі між безпекою та зручностями, зазвичай програє перша.
Помітили помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.
Яким чином Єва змогла це зробити?Так хто ж переховувався за псевдонімом Єва?
Чому Єва вибрала для злому Партапа Девіса?
Інакше навіщо б вона витратила стільки часу на злам його акаунтів?
Що ще він міг зробити?
Помітили помилку?