продолжение
9. Возьмите за привычку регулярно проверять свою безопасность и установить стандартный порядок действий. Злоумышленники могут оставаться в бездействии и ждать подходящего момента для удара после очень долгого ожидания.
Кстати, у меня есть аппаратный кошелек, он не был скомпрометирован. Да, очевидно, вам следует использовать аппаратные кошельки, когда это возможно. Кроме того, те, кто утверждает, что это делается для уклонения от уплаты налогов, знайте, что налоги за кражу или взломы больше не могут быть вычтены с 2017 года.
Окончательная сумма составляет около 677 тысяч долларов. К сожалению, пользователь начал торнадо. У меня есть некоторые дополнительные сведения о злоумышленнике, но пока я буду хранить их в тайне, чтобы продолжить определение личности пользователя. С тех пор я также подал заявление в полицию и сообщил CEX, что злоумышленник переправил им часть моих средств.
Это маловероятно, но я готов предложить награду в 150 тысяч долларов за возврат средств, без вопросов и дальнейшего расследования. Я бы также рассмотрел услугу криминалистической экспертизы за вознаграждение (услуги с предоплатой, не беспокойтесь). Дорогой урок, но я все еще здесь. Болезненная неудача, но шоу должно продолжаться.
Вышеупомянутое расследование было вызвано этим сообщением:
(@sell9000
Только что понял, что 46 часов назад у меня было слито 500 тысяч долларов из нескольких приложений-кошельков.
Думаю, на меня напали на расширение: в моем браузере Chrome появилось два подозрительных расширения.
нехорошо себя чувствую, чувак
все еще расследую)
LIVEPSA: дорогой урок оперативной безопасности
На данный момент я подтвердил, что причиной компрометации стал вход в систему Google. Неизвестная машина с Windows получила доступ примерно за полдня до атаки. Он также подделывал имя устройства, поэтому уведомление о новом оповещении об активности (которое возникло рано утром, когда я спал) выглядело похожим на устройства, которые я обычно использую (возможно, это была рассчитанная игра с общим именем устройства, если только меня специально не преследовали). ).
После дальнейшего расследования выяснилось, что это устройство представляет собой VPS, размещенный на сервере #KaopuCloud в качестве глобального поставщика периферийных облаков, который используется хакерскими кругами в Telegram и в прошлом использовался для #phishing и других вредоносных действий общими пользователями.
У меня включена 2FA, которую пользователю удалось обойти. Мне еще предстоит точно определить, как это было достигнуто, но, возможно, векторами атаки были фишинг OAuth, межсайтовый скриптинг или атака «человек посередине» на скомпрометированный сайт, за которой, возможно, последовал дополнительный #Malware . На самом деле, по-видимому, недавно произошла атака на конечную точку #OAuth . сообщалось о перехвате пользовательского сеанса cookie (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Будьте предельно осторожны, если вам придется использовать «Войти через Google».
Выводы:
1. Bitdefender — отстой, он ничего не обнаружил, в то время как Malwarebytes обнаружил кучу уязвимостей постфактум.
2. Не успокаивайтесь только потому, что вы годами без проблем перемещали большие суммы.
3. Никогда не вводите семя и точку, независимо от того, какое разумное оправдание вы себе даете. Не стоит рисковать, просто взорвите компьютер ядерной бомбой и начните все сначала.
4. Я закончил с Chrome, придерживаюсь более лучшего браузера, такого как Brave.
5. Желательно никогда не смешивать устройства и иметь изолированное устройство для криптографической деятельности.
6. Всегда проверяйте оповещение об активности Google, если вы продолжаете использовать устройства или аутентификацию на базе Google.
7. Отключите синхронизацию расширений. Или просто отключите период синхронизации для вашей изолированной криптомашины.
8. 2FA явно не надежен, не успокаивайтесь на этом.
