pokračování
9. Zvykněte si pravidelně kontrolovat své zabezpečení a stanovit standardní operační postup. Útočníci mohou po velmi dlouhé době zůstat nečinní a čekat na správný okamžik k útoku.
FWIW Mám hardwarovou peněženku, ta nebyla ohrožena. Ano, samozřejmě byste měli používat hardwarové peněženky, když můžete. Také pro ty, kteří tvrdí, že jde o vyhýbat se daním, vězte, že od roku 2017 již nelze odečítat daně z krádeží nebo hackování.
Konečný výsledek je asi 677 tisíc dolarů. Bohužel uživatel spustil Tornado'ing. Mám nějaké další stopy o útočníkovi, ale v tuto chvíli je ponechám v tajnosti, abychom mohli pokračovat v určování identity uživatele. Od té doby jsem také podal policejní hlášení a nahlásil CEX, že některé z mých prostředků jim útočník poslal.
Je to běh na dlouhou trať, ale jsem ochoten nabídnout odměnu 150 000 $ za vrácení prostředků, žádné otázky a žádné další vyšetřování. Zvažoval bych také forenzní službu založenou na odměnách (platba předem, neobtěžujte se). Drahá lekce, ale pořád jsem tady. Bolestný výpadek, ale show musí pokračovat.
Výše uvedené vyšetřování podnítil tento příspěvek:
(@prodej 9000
Právě jsem si uvědomil, že jsem před 46 hodinami dostal 500 000 $ z více aplikací peněženky
Myslím, že jsem byl napaden rozšířením se dvěma podezřelými rozšířeními, která se objevila v mém prohlížeči Chrome
necítí se dobře fam
stále vyšetřujeme)
LIVEPSA re: drahá lekce opsec
V tuto chvíli jsem potvrdil, že tento kompromis způsobilo přihlášení Google. Neznámý stroj s Windows získal přístup zhruba půl dne před útokem. Zfalšoval také název zařízení, takže oznámení o upozornění na novou aktivitu (které se objevilo brzy ráno, když jsem spal) vypadalo podobně jako u zařízení, která běžně používám (může to být vypočítaný hazard s běžným názvem zařízení, pokud jsem nebyl konkrétně zaměřen ).
Po dalším vyšetřování je toto zařízení VPS hostované #KaopuCloud jako globálním poskytovatelem cloudu na okrajích, které je sdíleno mezi hackerskými kruhy v Telegramu a v minulosti bylo používáno pro #phishing a další škodlivé aktivity sdílenými uživateli.
Mám povolené 2FA, které se uživateli podařilo obejít. Ještě jsem přesně nezjistil, jak toho bylo dosaženo, ale možnými vektory útoku byly phishing OAuth, skriptování mezi weby nebo útok typu man-in-the-middle na kompromitovaném webu, po kterém následovalo možné další #Malware . Ve skutečnosti zřejmě nedávno #OAuth útok na koncový bod bylo nahlášeno, že unesl uživatelskou relaci cookie (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Buďte velmi opatrní, pokud musíte použít Přihlášení z Google.
S sebou:
1. Bitdefender je na hovno, nezachytil nic, zatímco Malwarebytes následně zachytil spoustu zranitelností.
2. Nebuďte samolibí jen proto, že jste léta bez problémů pohybovali velkými postavami.
3. Nikdy nezadávejte semeno, tečka, bez ohledu na to, jakou rozumnou výmluvu si poskytnete. Nestojí za to riskovat, prostě nabijte počítač a začněte znovu.
4. S Chromem jsem skončil, zůstaňte u lepšího prohlížeče, jako je Brave.
5. Nejlépe nikdy nemíchejte zařízení a mějte izolované zařízení pro krypto aktivity.
6. Pokud nadále používáte zařízení nebo ověřování Google, vždy zkontrolujte upozornění na Aktivitu Google.
7. Vypněte synchronizaci rozšíření. Nebo prostě vypněte období synchronizace pro váš izolovaný krypto stroj.
8. 2FA zjevně není neprůstřelná, nenechte se s ní uspokojit.