(@bán9000 )

PSA lại: một bài học đắt giá về opsec

Tại thời điểm này, tôi đã xác nhận rằng chính thông tin đăng nhập Google đã gây ra sự xâm phạm này. Một máy Windows không xác định đã có được quyền truy cập khoảng nửa ngày trước cuộc tấn công. Nó cũng giả mạo tên thiết bị, do đó, thông báo về cảnh báo hoạt động mới (xảy ra vào sáng sớm khi tôi đang ngủ) xuất hiện tương tự như các thiết bị tôi thường sử dụng (đó có thể là một canh bạc được tính toán cho một tên thiết bị phổ biến trừ khi tôi bị nhắm mục tiêu cụ thể). ).

Sau khi điều tra sâu hơn, thiết bị này là một VPS được lưu trữ bởi #KaopuCloud với tư cách là nhà cung cấp đám mây biên toàn cầu được chia sẻ giữa các nhóm hacker trên Telegram và trước đây đã được sử dụng cho #phishing và các hoạt động độc hại khác bởi những người dùng chung.

Tôi đã kích hoạt 2FA nhưng người dùng đã vượt qua được. Tôi vẫn chưa xác định chính xác làm thế nào đạt được điều này, nhưng có thể các vectơ tấn công là lừa đảo OAuth, viết kịch bản chéo trang hoặc tấn công trung gian trên một trang web bị xâm nhập, sau đó có thể là #Malware bổ sung. Trên thực tế, có vẻ như gần đây có cuộc tấn công điểm cuối #OAuth đã được báo cáo là chiếm quyền điều khiển phiên cookie của người dùng (https://darkreading.com/cloud-security/Attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Hãy hết sức cẩn thận nếu bạn phải sử dụng Đăng nhập từ Google.

Takeaways:

1. Bitdefender thật tệ, nó không phát hiện được gì trong khi Malwarebytes phát hiện ra một loạt lỗ hổng sau thực tế.

2. Đừng trở nên tự mãn chỉ vì bạn đã di chuyển những con số lớn trong nhiều năm mà không gặp vấn đề gì.

3. Không bao giờ nhập hạt giống, dấu chấm, bất kể bạn đưa ra lý do hợp lý nào cho mình. Không đáng để mạo hiểm, chỉ cần khởi động máy tính và bắt đầu làm mới.

4. Tôi đã dùng xong Chrome, chuyển sang trình duyệt tốt hơn như Brave.

5. Tốt nhất là không bao giờ kết hợp các thiết bị và có một thiết bị riêng biệt cho các hoạt động tiền điện tử.

6. Luôn kiểm tra cảnh báo Hoạt động của Google nếu bạn đang tiếp tục sử dụng các thiết bị hoặc xác thực dựa trên Google.

7. Tắt đồng bộ hóa tiện ích mở rộng. Hoặc chỉ cần tắt thời gian đồng bộ hóa cho máy mật mã bị cô lập của bạn.

8. 2FA rõ ràng không chống đạn được, đừng tự mãn với nó.