continuação
Atualização sobre o roubo #hack e lições adicionais de opsec aprendidas:
Agora confirmei ainda mais que o vetor de ataque de desvio #2FA era um ataque man in the middle. Recebi um e-mail da plataforma de busca de empregos Even informando que eles receberam uma solicitação para excluir minha conta em 14 dias. Eu estava na cama naquele momento e fazia isso do meu telefone por meio do aplicativo Gmail para celular.
Eu não usava o Even há muito tempo e não me importo com isso, mas obviamente achei incomum, pois não fiz tal pedido. Por precaução de segurança, eu queria saber quem fez tal solicitação e verificar se o Even tinha registros de acesso, então toquei no meu telefone.
Como não usei o Even desde sempre, não me lembrei da minha senha, então naturalmente escolhi Fazer login com o Google. Levei-me ao Even e não consegui encontrar um log de solicitação. Como eu sabia que meus logins antigos já estavam na darkweb, imaginei que alguém deveria ter entrado no meu Even e então habilitei o 2FA.
Honestamente, eu não me importava muito com o Even, mesmo que ele fosse excluído, e pensei que fosse apenas um hacker amador brincando com um login antigo de algum antigo vazamento de banco de dados exposto.
Acontece que o e-mail do Even foi um ataque de phishing #spoofed . O link do Even que toquei no aplicativo Gmail era um link da web sul-coreano com script, que por sua vez me direcionou para algum site falso do Even, que capturou meu Login com o Google e, em seguida, me direcionou para o site real do Even. Eles sequestraram o cookie de sessão, permitindo-lhes ignorar o 2FA, depois acessaram minha conta do Google e abusaram da sincronização do navegador.
Outras lições gerais de opsec aprendidas:
1. O aplicativo Gmail para celular não mostrará o e-mail verdadeiro do remetente ou URLs de link por padrão, o que é uma grande falha de opsec. Evite tocar em links móveis em seu cliente de e-mail móvel.
2. Evite usar o Login com o Google ou outros recursos do #oAuth . A conveniência não vale a pena devido à facilidade dos ataques de phishing para contornar o 2FA. Mesmo que não seja devido ao clique em um link de phishing, um site normal pode ser comprometido sem culpa sua. As expectativas da segurança 2FA baixaram minha guarda.
LIVE9. Crie o hábito de revisar regularmente sua segurança e estabelecer um procedimento operacional padrão. Os atacantes podem permanecer inativos e esperar o momento certo para atacar depois de esperar muito tempo.
FWIW, eu tenho uma carteira de hardware, ela não foi comprometida. Sim, você deve usar carteiras de hardware quando puder, obviamente. Além disso, para aqueles que alegam que isso é para sonegar impostos, saibam que os impostos provenientes de roubo ou hacks não podem mais ser deduzidos desde 2017.
A contagem final é de cerca de US$ 677 mil. Infelizmente, o usuário começou o Tornado'ing. Tenho algumas pistas adicionais sobre o invasor, mas vou mantê-las discretas neste momento para continuar a determinar a identidade do usuário. Desde então, também apresentei um boletim de ocorrência policial e relatei aos CEXs que alguns dos meus fundos foram enviados pelo invasor.
É um tiro no escuro, mas estou disposto a oferecer uma recompensa de US$ 150 mil pela devolução dos fundos, sem perguntas e sem investigações adicionais. Eu também consideraria um serviço forense baseado em recompensas (serviços de pagamento antecipado, não se preocupe). Uma lição cara, mas ainda estou aqui. Um retrocesso doloroso, mas o show deve continuar.
A investigação acima foi motivada por esta postagem:
(@sell9000
Acabei de perceber que gastei US$ 500 mil de vários aplicativos de carteira há 46 horas
Acho que fui atacado por uma extensão, com duas extensões suspeitas que apareceram no meu navegador Chrome
não me sinto bem família
ainda investigando)