(@sell9000 )

PSA: 高価なオペレーション セキュリティの教訓

現時点で、この侵害の原因は Google ログインであることを確認しました。未知の Windows マシンが攻撃の約半日前にアクセスしました。また、デバイス名を偽装していたため、新しいアクティビティ アラートの通知 (私が寝ている早朝に発生) は、私が通常使用しているデバイスに似ていました (特に私が標的にされていない限り、一般的なデバイス名に対する計算された賭けだった可能性があります)。

さらに調査したところ、このデバイスは、Telegram のハッカー サークル間で共有されているグローバル エッジ クラウド プロバイダーである #KaopuCloud がホストする VPS であり、過去には共有ユーザーによる #phishing やその他の悪意のあるアクティビティに使用されていました。

2FA は有効にしていますが、ユーザーはそれを回避できました。これがどのように達成されたのかはまだ正確にはわかりませんが、おそらく攻撃ベクトルは、侵害されたサイトに対する OAuth フィッシング、クロスサイト スクリプティング、または中間者攻撃であり、その後に #Malware がさらに続く可能性があります。実際、どうやら最近、#OAuth endpoint 攻撃がユーザーの Cookie セッションをハイジャックしたと報告されています (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…)。Google からサインインを使用する必要がある場合は、細心の注意を払ってください。

要点:

1. Bitdefender はダメです。何も検出しませんでしたが、Malwarebytes は事後に多数の脆弱性を検出しました。

2. 何年も問題なく大きな数字を動かしていたからといって、油断しないでください。

3. 自分にどんな正当な言い訳をしても、シードは絶対に入力しないでください。リスクに見合う価値はありません。コンピューターを消去して最初からやり直してください。

4. Chrome はもう使いません。Brave のようなもっと良いブラウザを使いましょう。

5. できればデバイスを混在させず、暗号化アクティビティ用に隔離されたデバイスを用意してください。

6. Google ベースのデバイスや認証を引き続き使用している場合は、Google アクティビティ アラートを常に確認してください。

7. 拡張機能の同期をオフにします。または、隔離された暗号化マシンの同期期間をオフにします。

8. 2FA は明らかに完全ではありません。これに甘んじてはいけません。