(@sell9000 )
PSA zu: eine teure Opsec-Lektion
Zu diesem Zeitpunkt habe ich bestätigt, dass dieser Angriff durch eine Google-Anmeldung verursacht wurde. Ein unbekannter Windows-Rechner verschaffte sich etwa einen halben Tag vor dem Angriff Zugriff. Außerdem wurde der Gerätename gefälscht, sodass die Benachrichtigung über die neue Aktivitätswarnung (die am frühen Morgen erfolgte, während ich schlief) ähnlich aussah wie bei Geräten, die ich normalerweise verwende (es könnte ein kalkuliertes Risiko für einen gängigen Gerätenamen gewesen sein, es sei denn, ich wurde gezielt ins Visier genommen).
Bei weiterer Untersuchung stellt sich heraus, dass es sich bei diesem Gerät um einen VPS handelt, der von #KaopuCloud als globalem Edge-Cloud-Anbieter gehostet wird, der in Hackerkreisen in Telegram gemeinsam genutzt wird und in der Vergangenheit für #phishing und andere bösartige Aktivitäten von gemeinsamen Benutzern verwendet wurde.
Ich habe 2FA aktiviert, was der Benutzer umgehen konnte. Ich muss noch genau herausfinden, wie dies erreicht wurde, aber mögliche Angriffsvektoren waren OAuth-Phishing, Cross-Site-Scripting oder ein Man-in-the-Middle-Angriff auf eine kompromittierte Site, gefolgt von möglicherweise zusätzlichen #Malware . Tatsächlich wurde kürzlich offenbar ein #OAuth -Endpoint-Angriff gemeldet, der die Cookie-Sitzung eines Benutzers kapert (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Seien Sie äußerst vorsichtig, wenn Sie sich über Google anmelden müssen.
Fazit:
1. Bitdefender ist Mist, es hat nichts entdeckt, während Malwarebytes im Nachhinein eine Reihe von Schwachstellen entdeckt hat.
2. Geben Sie sich nicht zufrieden, nur weil Sie jahrelang große Zahlen ohne Probleme bewegt haben.
3. Geben Sie niemals einen Seed ein, Punkt, egal, welche vernünftige Entschuldigung Sie sich einfallen lassen. Das Risiko ist es nicht wert, zerstören Sie einfach den Computer und beginnen Sie von vorne.
4. Ich bin mit Chrome fertig, bleib bei einem besseren Browser wie Brave.
5. Mischen Sie möglichst nie Geräte und verwenden Sie ein isoliertes Gerät für Kryptoaktivitäten.
6. Überprüfen Sie immer die Google-Aktivitätswarnung, wenn Sie weiterhin Google-basierte Geräte oder Authentifizierung verwenden.
7. Deaktivieren Sie die Erweiterungssynchronisierung. Oder deaktivieren Sie einfach die Synchronisierungsdauer für Ihre isolierte Kryptomaschine.
8. 2FA ist eindeutig nicht narrensicher, seien Sie nicht selbstgefällig.