1. MAIL.COM
2. AT & T
3. Google і Authy
4. Coinbase
5. BTC-E і Bitstamp
6. Твіттер
7. Так хто ж стояв за атакою?

Рано вранці 21 жовтня 2014 року Партап Дейвіс (Partap Davis) втратив 3 000 доларів. Він пішов спати близько 2-ї години ночі у себе вдома в Альбукерке, Нью Мехіко, після довгої сесії гри в «Світ Танків». Поки він спав, хакер обійшов всю онлайн-систему безпеки, копітку Дейвісом. Коли той прокинувся вранці, майже вся його «онлайн-життя» була скомпрометована: 2 поштових аккаунта, його телефон, його Твіттер, його двохфакторну аутентифікатор, і, що найважливіше, його біткойнов-гаманці.

Коли справа доходить до цифрової безпеки, Дейвіс завжди уважний. Він вибирав складні паролі і не натискав на скам-посилання. Він використовував двухфакторную аутентифікацію на Gmail, так що, якщо доводилося заходити з чужого комп'ютера в пошту, завжди потрібно було вводити 6 цифр пароля, присилається по смс. Він заробив деякі гроші на зростанні курсу біткойнов і тримав їх у криптовалюта на трьох різних онлайн-гаманцях за допомогою Coinbase, Bitstamp і BTC-E. Він також використовував «двухфактор» на акаунтах в Coinbase і BTC-E. Кожен раз, як він заходив помилуватися своїми багатствами, доводилося використовувати додаток Authy, двохфакторну аутентифікатор на смартфоні.

Крім наявності біткойн-кубушки, Дейвіс нічим особливо не відрізнявся від звичайного користувача Інтернету. Він заробляє на життя написанням програм, розділяючи час між створенням ПО, освітніх відеороликів і деякими іншими видами фріланс-робіт. На вихідних він займається сноубордом, досліджуючи гори навколо Лос-Аламоса. В Альбукерке він живе вже 10-й рік; в минулому році йому виповнилося 40 років.

Після злому Дейвіс витратив кілька тижнів, намагаючись відстежити, яким же саме чином була проведена атака, збираючи разом шматочки пазла з логів відвідувань і неохочих відповідей служб підтримки різних сервісів. По дорозі, він співпрацював з виданням The Verge, яке додало кілька шматочків в його паззл. Ми до цих пір не знаємо точно, що сталося - точніше, не знаємо, хто це зробив - але вже є достатньо інформації про те, як це було зроблено, і точки злому вимальовують картину найпомітніших слабких місць в нашій цифрової життя.

MAIL.COM

Все почалося з електронної пошти Дейвіса. Коли він вперше створював собі пошту, то зіткнувся з тим, що Gmail акаунт [email protected] вже зайнятий, так що довелося вибрати замість цього аккаунт на mail.com, який потім переадресував всі вхідні листи на менш запам'ятовується адресу в Gmail.

Близько 2-х годин ночі 21 жовтня дана зв'язок була перервана. Хтось зламав адреса на mail.com і зупинив переадресацію листів. Раптово з'явився новий прив'язаний до адреси телефонний номер - «одноразовий» передплачений андроїд-смартфон, з флоридським номером (подібні можна купити в будь-якому супермаркеті за 20 баксів готівкою). Також з'явився новий адресу електронної пошти для відновлення пароля, одноразовий е-мейл [email protected] . Поки що це єдина зачіпка, яка є відносно хакера.

Для зручності оповідання давайте назвемо хакера ... ну, скажімо, Єва.

Як Єва змогла зламати пошту? Не можна сказати напевно, але ми можемо припускати, що вона використовувала скрипт, спрямований на вразливість в сторінці відновлення пароля на mail.com. Ми знаємо, що подібний скрипт реально існував. Протягом декількох місяців користувачі сайту Hackforum продавали доступ до скрипту для скидання специфічних паролів на акаунтах в mail.com. На момент, коли Дейвіса атакували, це був вже досить старий експлойт, і поточна ціна злому становила 5 доларів за адресу. Не зрозуміло, як саме працював експлойт і чи був він знешкоджений протягом минулих місяців, але він зробив саме те, що було необхідно Єві. Без будь-якої аутентифікації вона змогла поміняти пароль Дейвіса на свій власний.

AT & T

Її наступним кроком стало подолання захисту за телефонним номером. У неї не було пароля від його AT & T аккаунта, так що вона просто зробила вигляд, що забула пароль, і після хвилинної розмови з представником, телефонна компанія вислала захищену посилання на пошту [email protected] для його зміни. Захопивши управління аккаунтом AT & T, Єва звернулася в службу підтримки з проханням переадресовувати всі вхідні дзвінки на її флоридский номер. Строго кажучи, має бути якось побільше захисних заходів для установки переадресації дзвінків, і в цьому вже точно не повинен брати участь один тільки адресу електронної пошти. Але коли підтримка стикається з розгніваним клієнтом, часто вона здає позиції заради задоволення бажань клієнта всупереч всім строгим правилам безпеки.

Як тільки переадресація була налаштована, все голосові дзвінки Дейвіса стали приходити Єві. Дейвіс все ще отримував свої смс-ки, однак дзвінки переадресовувалися прямо до хакеру. Дейвіс навіть не підозрював про те, що сталося протягом двох наступних днів, поки його бос не задав йому прочухана з приводу того, що він не бере трубку.

Google і Authy

Далі Єва поклала око на аккаунт Дейвіса в Google. Будь-який експерт скаже вам, що використання двофакторної аутентифікації - кращий захист від хакерської атаки. Хакер може отримати ваш пароль, а злодій - вкрасти телефон, але досить складно зробити і те, і інше одночасно. Поки телефон у вас в руках, все працює. Але люди мають звичку постійно міняти телефони, і одночасно вони очікують, що можна буде також легко перенести свої сервіси. Акаунти постійно потребують перенесення, і двохфакторну сервіси в результаті закінчують тим, що зламуються черговий аккаунт.

Дейвіс не встановлював Аутентифікатор від Google, який є більш надійним, але у нього все таки була включена «двухфакторка» - Google висилав йому новий пароль кожного разу, як він заходив з нового комп'ютера. Переадресація дзвінків не працювала на смс-ки, але у Єви був запасним входом: завдяки «функцій доступності» Google вона могла попросити код підтвердження в аудіо форматі через виклик на номер Дейвіса, відповідно переадресований до неї.

Authy виявився міцнішим горішком. Ця програма на зразок аутентифікатор, яке не покидало телефон Дейвіса. Але Єва просто «перенесла» додаток в свій телефон, використовуючи ящик на Mail.com. Їй знову відправили звуковий варіант пароля телефонним дзвінком.

Пара хвилин в районі 3-ї години ночі, і аккаунт Authy виявився в руках хакера.

Цей трюк спрацював точно так же, як з Google: поки у неї був доступ до пошти Дейвіса і його «телефону», «двухфактор» не зміг побачити різниці між ними. На той момент Єва отримала більше контролю над онлайн-життям Дейвіса, ніж мав він сам. Крім смс-повідомлень, всі цифрові ниточки тепер вели виключно до Єви.

Coinbase

В 3:19 ночі Єва змінила пароль в обліковий запис на Coinbase за допомогою пошти на mail.com і Authy. о 3:55 вона перевела весь біткойн-баланс (вартістю приблизно в 3 600 доларів на той момент) на свій власний щойновідкрита рахунок Coinbase. Звідти вона незабаром зробила 3 ​​виведення - один через 30 хвилин після того як рахунок був відкритий, і ще один через 20 хвилин, і потім останній через 5 хвилин. Після цього гроші зникли в цілому вихорі фіктивних біткойн-рахунків, спеціально щоб приховати сліди (мабуть, використовувався міксер ). Менш ніж через 90 хвилин після того як акаунт Дейвіса був скомпрометований, його гроші вже вирушили на всі чотири сторони.

У службі Authy, можливо, могли б здогадатися, що відбувається. Даний сервіс стежить за підозрілою поведінкою, і хоча вони не розкривають, що саме відстежується, можливо, що скидання пароля на рахунку через телефонний номер з іншого регіону, та ще й посеред ночі, міг би підняти невелику тривогу. Однак номер був не з відомих місць з високою концентрацією шахраїв на кшталт Нігерії, Росії або України. Здавалося більш підозрілим, коли Єва зайшла на Coinbase з канадського IP адреси (мабуть, через TOR). Чи могли вони її тоді зупинити? Сучасні захисні системи на кшталт Google ReCAPTCHA зазвичай так і спрацьовують, зіставляючи дрібні події до тих пір, поки не з'явиться достатня впевненість, що потрібно заблокувати аккаунт - але Coinbase і Authy окремо бачили тільки частина загальної картини, в результаті чтого не зібрали достатньо доказів необхідності заморозити рахунок Партапа.

BTC-E і Bitstamp

Коли Дейвіс прокинувся, першим, що він помітив, було дивне відключення з'єднання з його членством в Gmail. Пароль змінився, зайти назад не вийшло. Як тільки він таки зміг знову зайти в пошту, то не повірив своїм очам ... Він побачив недавні листи, які детально вказували на обсяг втраченого. Коли він, нарешті, зміг зайти в свій аккаунт на Coinbase, то виявив його порожнім. Єва змогла поживитися 10 біткойнов, що дорівнювало 3 000 доларів на той момент. Довелося протягом декількох годин спілкуватися по телефону з представником, перш ніж вдалося відновити доступ до свого рахунку і довести, що він - справжній Партап Дейвіс. Він відправив скан своєї водійської ліцензії як доказ.

Що щодо інших двох гаманців? На них знаходилися біткойни на суму в 2 500 доларів, при цьому у них не було розрекламованих засобів захисту, як у Coinbase. Але коли Дейвіс перевірив акаунти, вони обидва все ще були під його контролем. Біржа BTC-E наклала тимчасове обмеження на 48 годин для виведення коштів після зміни хакером пароля, даючи можливість довести, що саме він хоче зняти кошти, а також в разі потреби відновити акаунт. Bitstamp в плані захисту виявилися ще простіше: коли Єва відправила лист з проханням змінити токен аутентифікації Дейвіса, вони попросили надіслати картинку з водійським посвідченням. Незважаючи на всі хитрощі Єви, такої інформації у неї не виявилося. Останні біткойни Дейвіса на суму в 2 500 доларів залишилися в безпеці.

Твіттер

Вже пройшло 2 місяці з моменту атаки, Дейвіс повернувся до свого звичайного життя. Останній слід вторгнення - його аккаунт в Twitter, який залишався зламаним тижнями після злому всіх інших акаунтів. @Partap - короткий, що запам'ятовується нік, що робить його в деякому роді цінним, так що Єва продовжує його нахабно утримувати, вставивши туди нову картинку і знищивши всі сліди присутності Дейвіса. Через кілька днів після атаки вона виклала там скріншот зламаного облікового запису Xfinity, тим самим похвалившись тим, що дістала ще одну жертву. Цей обліковий запис не належить Дейвісу, але він належить сторонньої персони. Мабуть, Єва вже перейшла до атаки іншої мети, використовуючи @partap як одноразовий інструмент для подальшого пограбування, як у фізичному світі грабіжники використовують вкрадену тачку для того, щоб «відірватися» від копів.

Так хто ж стояв за атакою?

Дейвіс витратив тижні після випадку, намагаючись напасти на її слід - цілі дні провів у розмовах з «фахівцями» з служб підтримки - але не наблизився до розгадки ні на крок. Згідно логам відвідувань, комп'ютер Єви приєднувався до його акаунтів з цілого блоку канадських IP адрес, вона могла використовувати TOR або VPN для прикриття. Її телефонний номер, швидше за все, був просто тимчасовим. Залишилося всього кілька слідів, але кожен вельми швидко закінчується.

Де б Єва зараз не була, їй вдалося втекти.

Чому вона вибрала саме Партапа Дейвіса? Вона заздалегідь знала про наявність біткойн-гаманців, це точно. Навіщо б їй ще знадобилося витрачати стільки часу на злам всіх його соціальних акаунтів? Вона також почала саме з пошти на mail.com, так що можна зробити висновок, що якимось чином вона отримала доступ до списків біткойн-користувачів, в яких значилася і пошта Дейвіса. Деякі витекли бази даних клієнтів Coinbase плавають в безмежних просторах Інтернету, але знайти там ім'я або пошту Дейвіса мені не вдалося. Можливо, його персональні дані виявилися в публічному доступі завдяки виробнику Майнінг-обладнання або біткойнов ритейлеру. Сьогодні витоку інформації - буденна справа, більшість з них взагалі відбуваються в таємниці від широкої публіки.

Дейвіс тепер поводиться ще обережніше з біткойнов і відмовився від використання облікового запису на mail.com - але, з іншого боку, в його житті нічого кардинально не змінилося. Іноді Coinbase погоджується виплатити компенсацію жертвам хакерських атак, але в даному конкретному випадку вони відмовили, так як система безпеки компанії виявилася непричетна до того, що трапилося. Партап також відправив заяву в ФБР, але Бюро не виявив зацікавленості в одиничної крадіжці біткойнов. Що ще можна зробити? Він не може перестати використовувати телефон або відмовитися від можливості скидання пароля. У всіх у нас є багато різних акаунтів, так що завжди можна знайти шлях для вторгнення. У світі безпеки таке називають площею атаки. Чим більше дана площа, тим складніше її захищати.

Що найважливіше, скинути паролі і обійти двухфакторку зараз досить легко, як показали численні витівки Єви. Коли сервіс нарешті зупинив її, він зробив це не за допомогою складних алгоритмів або химерної біометрії. Замість цього один сервіс просто попросив клієнта почекати 48 годин перед підтвердженням зміни пароля. На технічному рівні це проста фішка, але надто дорога в плані можливого невдоволення клієнтів. Компанії постійно балансують між досить вузькими ризиками компрометації і широкими вигодами від зручності користувачів. Кілька людей можуть запросто втратити контроль над своїми акаунтами, але мільйони інших зможуть продовжувати використовувати сервіс без особливих проблем. У битві між безпекою та зручністю, зручність поки має більш високий пріоритет.

Автор: Russell Brandom

джерело: The Verge

Related