(@vendere9000)
PSA riguardo: una costosa lezione di opsec
In questo momento ho confermato che è stato un accesso a Google a causare questo compromesso. Una macchina Windows sconosciuta è riuscita ad accedere circa mezza giornata prima dell'attacco. Ha anche falsificato il nome del dispositivo, quindi la notifica dell'avviso di nuova attività (che si è verificato la mattina presto mentre dormivo) appariva simile ai dispositivi che utilizzo normalmente (potrebbe essere stata una scommessa calcolata per un nome di dispositivo comune a meno che non fossi stato preso di mira specificamente ).
Dopo ulteriori indagini, questo dispositivo è un VPS ospitato da #KaopuCloud come fornitore di cloud edge globale condiviso tra i circoli di hacker in Telegram ed è stato utilizzato in passato per #phishing e altre attività dannose da utenti condivisi.
Ho abilitato 2FA, che l'utente è riuscito a bypassare. Devo ancora determinare esattamente come ciò sia stato ottenuto, ma probabilmente i vettori di attacco sono stati phishing OAuth, cross site scripting o attacco man-in-the-middle a un sito compromesso, seguito da un possibile ulteriore attacco #Malware . In effetti, a quanto pare, recentemente è stato effettuato un attacco #OAuth endpoint è stato segnalato che dirotta la sessione dei cookie dell'utente (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Fai molta attenzione se devi utilizzare Accedi da Google.
Asporto:
1. Bitdefender fa schifo, non ha rilevato nulla mentre Malwarebytes ha rilevato un sacco di vulnerabilità dopo il fatto.
2. Non accontentarti solo perché hai spostato grandi cifre per anni senza problemi.
3. Non inserire mai un seme, punto, non importa quale scusa ragionevole ti dai. Non vale il rischio, basta bombardare il computer e ricominciare da capo.
4. Ho finito con Chrome, resta con un browser migliore come Brave.
5. È preferibile non mischiare mai i dispositivi e disporre di un dispositivo isolato per le attività crittografiche.
6. Controlla sempre l'avviso di attività di Google se continui a utilizzare dispositivi o autenticazione basati su Google.
7. Disattiva la sincronizzazione delle estensioni. Oppure semplicemente disattiva il periodo di sincronizzazione per la tua macchina crittografica isolata.
8. La 2FA chiaramente non è a prova di proiettile, non accontentarti.