devamı
9. Güvenliğinizi düzenli olarak gözden geçirmeyi ve standart bir çalışma prosedürü oluşturmayı alışkanlık haline getirin. Saldırganlar çok uzun bir süre bekledikten sonra hareketsiz kalabilir ve saldırmak için doğru anı bekleyebilirler.
FWIW Bir donanım cüzdanım var, bu tehlikeye atılmadı. Evet, elbette mümkün olduğunda donanım cüzdanlarını kullanmalısınız. Ayrıca bunun vergiden kaçmak olduğunu iddia edenler şunu bilsinler ki, hırsızlık veya hacklemelerden kaynaklanan vergiler 2017 yılından itibaren artık kesilemiyor.
Son rakam yaklaşık 677 bin dolar. Ne yazık ki kullanıcı Tornado'ya başladı. Saldırganla ilgili bazı ek ipuçlarım var ancak kullanıcı kimliğini belirlemeye devam etmek adına bunu şimdilik gizli tutacağım. Ayrıca o zamandan beri bir polis raporu hazırladım ve CEX'lere, saldırganın gönderdiği fonların bir kısmını onlara bildirdim.
Uzak bir ihtimal ama hiçbir soru sorulmadan ve daha fazla soruşturma yapılmadan fonların iadesi karşılığında 150 bin dolarlık bir ödül teklif etmeye hazırım. Ayrıca ödüle dayalı bir adli tıp hizmetini de düşünürdüm (ön ödemeli hizmetler, zahmet etmeyin). Pahalı bir ders ama hâlâ buradayım. Acı verici bir gerileme ama gösterinin devam etmesi gerekiyor.
Yukarıdaki soruşturma şu gönderiyle başlatıldı:
(@sell9000
46 saat önce birden fazla cüzdan uygulamasından 500 bin dolar çektiğimi az önce fark ettim
Chrome tarayıcımda görünen iki şüpheli uzantıyla uzantı saldırısına uğradığımı düşünüyorum
kendimi iyi hissetmiyorum ailem
hala araştırıyorum)
LIVEPSA yeniden: Pahalı bir Opsec dersi
Şu anda, bu uzlaşmaya neden olanın bir Google girişi olduğunu doğruladım. Bilinmeyen bir Windows makinesi, saldırıdan yaklaşık yarım gün önce erişim sağladı. Ayrıca cihaz adını da taklit etti, bu nedenle yeni etkinlik uyarısının bildirimi (sabah erken saatlerde ben uyurken gerçekleşti) normalde kullandığım cihazlara benzer görünüyordu (özellikle hedef alınmadığım sürece ortak bir cihaz adı için hesaplanmış bir kumar olabilirdi) ).
Daha ayrıntılı bir araştırma sonucunda bu cihazın, Telegram'daki hacker çevreleri arasında paylaşılan küresel bir uç bulut sağlayıcısı olarak #KaopuCloud tarafından barındırılan bir VPS olduğu ve geçmişte #phishing ve paylaşılan kullanıcılar tarafından diğer kötü amaçlı faaliyetler için kullanıldığı ortaya çıktı.
Kullanıcının atlamayı başardığı 2FA'yı etkinleştirdim. Bunun tam olarak nasıl başarıldığını henüz belirlemedim ancak saldırı vektörleri muhtemelen OAuth kimlik avı, siteler arası komut dosyası oluşturma veya güvenliği ihlal edilmiş bir siteye yapılan ortadaki adam saldırısı ve ardından olası ek #Malware saldırısıydı. Aslında, görünüşe göre son zamanlarda #OAuth uç nokta saldırısı gerçekleşti. Kullanıcının çerez oturumunu ele geçirdiği bildirildi (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Google'dan Oturum Açma özelliğini kullanmanız gerekiyorsa son derece dikkatli olun.
Çıkarımlar:
1. Bitdefender berbat, Malwarebytes olaydan sonra bir sürü güvenlik açığı yakalarken hiçbir şey yakalayamadı.
2. Yıllarca büyük rakamları sorunsuzca taşıdınız diye rehavete kapılmayın.
3. Kendinize hangi makul mazeretinizi sunarsanız gösterin asla bir tohuma girmeyin. Riske değmez, sadece bilgisayarı kapatıp yeniden başlayın.
4. Chrome'la işim bitti, Brave gibi daha iyi bir tarayıcıyla devam edin.
5. Tercihen cihazları asla karıştırmayın ve kripto faaliyetleri için izole edilmiş bir cihaz bulundurun.
6. Google tabanlı cihazları veya kimlik doğrulamayı kullanmaya devam ediyorsanız her zaman Google Etkinlik uyarısını kontrol edin.
7. Uzantı senkronizasyonunu kapatın. Veya izole edilmiş kripto makineniz için senkronizasyon süresini kapatın.
8. 2FA kesinlikle kurşun geçirmez değildir, bu konuda rehavete kapılmayın.
