suite
9. Prenez l’habitude de revoir régulièrement votre sécurité et d’établir une procédure opérationnelle standard. Les attaquants peuvent rester inactifs et attendre le bon moment pour frapper après avoir attendu très longtemps.
FWIW J'ai un portefeuille matériel, celui-ci n'a pas été compromis. Oui, vous devriez évidemment utiliser des portefeuilles matériels lorsque vous le pouvez. Aussi, à ceux qui prétendent qu’il s’agit d’une évasion fiscale, sachez que les taxes provenant du vol ou du piratage ne peuvent plus être déduites depuis après 2017.
Le décompte final est d’environ 677 000 $. Malheureusement, l'utilisateur a commencé à utiliser Tornado. J'ai quelques indices supplémentaires sur l'attaquant, mais je les garderai discrets pour le moment afin de continuer à déterminer l'identité de l'utilisateur. Depuis, j'ai également déposé un rapport de police et signalé aux CEX que l'attaquant leur avait envoyé une partie de mes fonds.
C'est loin d'être possible, mais je suis prêt à offrir une prime de 150 000 $ pour le retour des fonds, sans poser de questions et sans enquête plus approfondie. J'envisagerais également un service médico-légal basé sur des primes (services payants à l'avance, ne vous embêtez pas). Une leçon coûteuse, mais je suis toujours là. Un revers douloureux, mais le spectacle doit continuer.
L'enquête ci-dessus a été motivée par ce message :
(@sell9000
Je viens de réaliser que j'ai perdu 500 000 $ de plusieurs applications de portefeuille il y a 46 heures.
Je pense que j'ai été attaqué par une extension, avec deux extensions suspectes apparues sur mon navigateur Chrome
je ne me sens pas bien, ma famille
toujours en train d'enquêter)
LIVEMessage d'intérêt public concernant : une leçon d'opsec coûteuse
À l'heure actuelle, j'ai confirmé que c'est une connexion Google qui a provoqué ce compromis. Une machine Windows inconnue a obtenu l'accès environ une demi-journée avant l'attaque. Il a également usurpé le nom de l'appareil, de sorte que la notification de la nouvelle alerte d'activité (qui s'est produite tôt le matin pendant que je dormais) semblait similaire à celle des appareils que j'utilise habituellement (il s'agissait peut-être d'un pari calculé pour un nom d'appareil commun, à moins que j'étais spécifiquement ciblé). ).
Après une enquête plus approfondie, cet appareil est un VPS hébergé par #KaopuCloud en tant que fournisseur mondial de cloud computing partagé entre les cercles de pirates informatiques de Telegram et a été utilisé dans le passé pour #phishing et d'autres activités malveillantes par des utilisateurs partagés.
J'ai activé 2FA, que l'utilisateur a réussi à contourner. Je n'ai pas encore déterminé exactement comment cela a été réalisé, mais les vecteurs d'attaque pourraient être le phishing OAuth, le cross site scripting ou l'attaque de l'homme du milieu sur un site compromis, suivis d'un éventuel #Malware supplémentaire. En fait, apparemment, #OAuth attaque de point de terminaison récemment a été signalé pour détourner la session de cookie de l'utilisateur (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Soyez extrêmement prudent si vous devez utiliser la connexion depuis Google.
À retenir :
1. Bitdefender est nul, il n'a rien détecté alors que Malwarebytes a détecté un tas de vulnérabilités après coup.
2. Ne soyez pas complaisant simplement parce que vous avez déplacé de gros chiffres pendant des années sans problème.
3. N'entrez jamais dans une graine, point final, quelle que soit l'excuse raisonnable que vous vous donnez. Cela ne vaut pas le risque, il suffit de détruire l'ordinateur et de recommencer à zéro.
4. J'en ai fini avec Chrome, restez avec un meilleur navigateur comme Brave.
5. De préférence, ne mélangez jamais les appareils et disposez d’un appareil isolé pour les activités de cryptographie.
6. Vérifiez toujours l'alerte d'activité Google si vous continuez à utiliser des appareils basés sur Google ou l'authentification.
7. Désactivez la synchronisation des extensions. Ou désactivez simplement la période de synchronisation pour votre machine cryptographique isolée.
8. La 2FA n’est clairement pas à l’épreuve des balles, ne vous en contentez pas.