(@sell9000)
PSA re: o lecție costisitoare de opsec
În acest moment, am confirmat că a fost o autentificare Google care a cauzat acest compromis. O mașină Windows necunoscută a obținut acces cu aproximativ jumătate de zi înainte de atac. De asemenea, a falsificat numele dispozitivului, astfel încât notificarea noii alerte de activitate (care a avut loc dimineața devreme în timp ce dormeam) a părut similară cu dispozitivele pe care le folosesc în mod normal (s-ar putea să fi fost un pariu calculat pentru un nume obișnuit de dispozitiv, cu excepția cazului în care am fost vizat în mod specific ).
După investigații suplimentare, acest dispozitiv este un VPS găzduit de #KaopuCloud , ca furnizor global de cloud edge, care este partajat între cercurile de hackeri din Telegram și a fost folosit în trecut pentru #phishing și alte activități rău intenționate de către utilizatorii partajați.
Am 2FA activat, pe care utilizatorul a reușit să-l ocolească. Încă nu am stabilit exact cum s-a realizat acest lucru, dar posibil ca vectorii de atac au fost phishingul OAuth, scripturile între site-uri sau atacul man-in-the-middle pe un site compromis, urmat de un posibil #Malware suplimentar. a fost raportat că deturnează sesiunea cookie a utilizatorului (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Fiți extrem de atenți dacă trebuie să utilizați Conectare de la Google.
Concluzii:
1. Bitdefender e nasol, nu a prins nimic, în timp ce Malwarebytes a prins o grămadă de vulnerabilități după fapt.
2. Nu deveniți mulțumiți doar pentru că ați mutat cifre mari ani de zile fără probleme.
3. Nu intra niciodată într-o sămânță, punct, indiferent ce scuză rezonabilă ți-ai oferi. Nu merită riscul, doar aruncați computerul și începeți din nou.
4. Am terminat cu Chrome, rămâne cu un browser mai bun precum Brave.
5. De preferință nu amestecați niciodată dispozitive și aveți un dispozitiv izolat pentru activități cripto.
6. Verificați întotdeauna alerta de activitate Google dacă continuați să utilizați dispozitive bazate pe Google sau autentificare.
7. Dezactivați sincronizarea extensiilor. Sau pur și simplu dezactivați perioada de sincronizare pentru mașina dvs. cripto izolată.
8. 2FA în mod clar nu este antiglonț, nu deveniți mulțumiți cu el.