turpinājums
Atjauninājums par #hack zādzību un papildu opsec mācībām:
Tagad esmu vēl vairāk apstiprinājis, ka #2FA apvedceļa uzbrukuma vektors bija vīrietis vidū uzbrukumā. Es biju saņēmis e-pasta ziņojumu no Indeed darba meklēšanas platformas, kurā mani informēja, ka viņi ir saņēmuši pieprasījumu dzēst manu kontu 14 dienu laikā. Es tajā laikā gulēju un darīju to no sava tālruņa, izmantojot mobilo Gmail lietotni.
Es nebiju lietojis Indeed mūžīgi un man tas nerūp, bet acīmredzot man tas likās neparasti, jo es neizteicu šādu pieprasījumu. Drošības apsvērumu dēļ es vēlējos uzzināt, kurš ir iesniedzis šādu pieprasījumu, un vēlējos pārbaudīt, vai Indeed ir piekļuves žurnāli, tāpēc es pieskāros tam savā tālrunī.
Tā kā es neizmantoju Indeed mūžīgi, es neatcerējos savu paroli tik dabiski, ka izvēlējos Pierakstīties ar Google. Tas aizveda mani uz Indeed, un es nevarēju atrast pieprasījumu žurnālu. Tā kā es zināju, ka mani vecie pieteikumvārdi jau bija tumšajā tīklā, es sapratu, ka kāds ir iekļuvis manā Indeed, un tāpēc es turpināju iespējot 2FA.
Godīgi sakot, es par Indeed neinteresējos pat tad, ja tas tika izdzēsts, un domāju, ka tas ir tikai kāds īss vaļasprieka hakeris, kas sajaucas ar vecu pieteikumvārdu no kādas vecas atklātas datu bāzes noplūdes.
Izrādās, ka Indeed e-pasts bija #spoofed pikšķerēšanas uzbrukums. Saite Indeed, kurai pieskāros Gmail lietotnē, bija skripta Dienvidkorejas tīmekļa saite, kas savukārt novirzīja mani uz kādu viltotu vietni Indeed, kas tvēra manu pierakstīšanos ar Google un pēc tam novirzīja mani uz īsto Indeed vietni. Viņi nolaupīja sesijas sīkfailu, ļaujot viņiem apiet 2FA, pēc tam piekļuva manam Google kontam un ļaunprātīgi izmantoja pārlūkprogrammas sinhronizāciju.
Citas vispārējās opsec mācības:
1. Mobile Gmail lietotne pēc noklusējuma neparādīs sūtītāja patieso e-pasta ziņojumu vai saišu vietrāžus URL, kas ir liels opsec trūkums. Mobilajā e-pasta klientā nepieskarieties mobilajām saitēm.
2. Neizmantojiet funkciju Pierakstīties ar Google vai citas #oAuth funkcijas. Ērtības nav tā vērtas, jo ir viegli pikšķerēšanas uzbrukumi, lai apietu 2FA. Pat ja tas var nebūt iemesls noklikšķināšanai uz pikšķerēšanas saites, parastā vietne var tikt apdraudēta bez jūsu vainas. Cerības uz 2FA drošību mani pievīla.
LIVE9. Izveidojiet ieradumu regulāri pārskatīt savu drošību un izveidot standarta darbības procedūru. Uzbrucēji pēc ļoti ilgas gaidīšanas var palikt miera stāvoklī un gaidīt īsto brīdi, lai uzbruktu.
FWIW Man ir aparatūras maciņš, tas netika apdraudēts. Jā, protams, jums vajadzētu izmantot aparatūras makus, kad vien iespējams. Tiem, kuri apgalvo, ka tas ir par izvairīšanos no nodokļiem, ziniet, ka nodokļus no zādzībām vai uzlaušanas vairs nevar atskaitīt kopš 2017. gada.
Galīgā summa ir aptuveni 677 000 USD. Diemžēl lietotājs ir sācis Tornado'ing. Man ir dažas papildu norādes par uzbrucēju, taču šobrīd es to paturēšu diskrētu, lai varētu turpināt noteikt lietotāja identitāti. Kopš tā laika esmu arī iesniedzis policijas ziņojumu un ziņojis CEX, ka uzbrucējs tos ir nosūtījis.
Tas ir tālu, bet es esmu gatavs piedāvāt $ 150 000 atlīdzību par līdzekļu atgriešanu, bez jautājumiem un bez turpmākas izmeklēšanas. Es apsvērtu arī uz prēmijām balstītu kriminālistikas pakalpojumu (apmaksāti avansa pakalpojumi, neuztraucieties). Dārga nodarbība, bet es joprojām esmu šeit. Sāpīga atkāpe, bet izrādei ir jāturpina.
Iepriekš minēto izmeklēšanu pamudināja šī ziņa:
(@pārdod9000
Tikko sapratu, ka pirms 46 stundām no vairākām maka lietotnēm esmu iztērējis 500 000 $
Domāju, ka man ir uzbrukts paplašinājums ar diviem aizdomīgiem paplašinājumiem, kas parādījās manā Chrome pārlūkprogrammā
nejūtas labi fam
joprojām izmeklē)