tiếp theo
9. Tạo thói quen thường xuyên xem xét lại hệ thống an ninh của bạn và thiết lập quy trình vận hành tiêu chuẩn. Những kẻ tấn công có thể không hoạt động và chờ đợi thời điểm thích hợp để tấn công sau khi chờ đợi một thời gian rất dài.
FWIW Tôi có ví phần cứng, cái này không bị xâm phạm. Có, rõ ràng là bạn nên sử dụng ví phần cứng khi có thể. Ngoài ra, đối với những người cáo buộc điều này là để trốn thuế, hãy biết rằng thuế do trộm cắp hoặc hack không còn có thể được khấu trừ kể từ sau năm 2017.
Tổng giá trị cuối cùng là khoảng $677k. Thật không may, người dùng đã bắt đầu Tornado'ing. Tôi có một số manh mối bổ sung về kẻ tấn công nhưng sẽ giữ bí mật vào thời điểm này để tiếp tục xác định danh tính người dùng. Kể từ đó, tôi cũng đã nộp báo cáo cho cảnh sát và báo cáo với CEX rằng một số tiền của tôi mà kẻ tấn công đã gửi cho họ.
Đó là một chặng đường dài nhưng tôi sẵn sàng đưa ra khoản tiền thưởng trị giá 150 nghìn đô la để trả lại tiền mà không đặt câu hỏi và không điều tra thêm. Tôi cũng sẽ xem xét dịch vụ pháp y dựa trên tiền thưởng (dịch vụ trả trước, đừng bận tâm). Một bài học đắt giá, nhưng tôi vẫn ở đây. Một sự lùi lại đau đớn, nhưng chương trình vẫn phải tiếp tục.
Cuộc điều tra trên được thúc đẩy bởi bài đăng này:
(@bán9000
Mới nhận ra rằng tôi đã bị rút 500 nghìn đô la từ nhiều ứng dụng ví 46 giờ trước
Nghĩ rằng tôi đã bị tấn công tiện ích mở rộng, với hai tiện ích mở rộng đáng ngờ xuất hiện trên trình duyệt Chrome của tôi
bố mẹ cảm thấy không ổn
vẫn đang điều tra)
LIVEPSA lại: một bài học đắt giá về opsec
Tại thời điểm này, tôi đã xác nhận rằng chính thông tin đăng nhập Google đã gây ra sự xâm phạm này. Một máy Windows không xác định đã có được quyền truy cập khoảng nửa ngày trước cuộc tấn công. Nó cũng giả mạo tên thiết bị, do đó, thông báo về cảnh báo hoạt động mới (xảy ra vào sáng sớm khi tôi đang ngủ) xuất hiện tương tự như các thiết bị tôi thường sử dụng (đó có thể là một canh bạc được tính toán cho một tên thiết bị phổ biến trừ khi tôi bị nhắm mục tiêu cụ thể). ).
Sau khi điều tra sâu hơn, thiết bị này là một VPS được lưu trữ bởi #KaopuCloud với tư cách là nhà cung cấp đám mây biên toàn cầu được chia sẻ giữa các nhóm hacker trên Telegram và trước đây đã được sử dụng cho #phishing và các hoạt động độc hại khác bởi những người dùng chung.
Tôi đã kích hoạt 2FA nhưng người dùng đã vượt qua được. Tôi vẫn chưa xác định chính xác làm thế nào đạt được điều này, nhưng có thể các vectơ tấn công là lừa đảo OAuth, viết kịch bản chéo trang hoặc tấn công trung gian trên một trang web bị xâm nhập, sau đó có thể là #Malware bổ sung. Trên thực tế, có vẻ như gần đây có cuộc tấn công điểm cuối #OAuth đã được báo cáo là chiếm quyền điều khiển phiên cookie của người dùng (https://darkreading.com/cloud-security/Attackers-abuse-google-oauth-endpoint-hijack-user-sessions…). Hãy hết sức cẩn thận nếu bạn phải sử dụng Đăng nhập từ Google.
Takeaways:
1. Bitdefender thật tệ, nó không phát hiện được gì trong khi Malwarebytes phát hiện ra một loạt lỗ hổng sau thực tế.
2. Đừng trở nên tự mãn chỉ vì bạn đã di chuyển những con số lớn trong nhiều năm mà không gặp vấn đề gì.
3. Không bao giờ nhập hạt giống, dấu chấm, bất kể bạn đưa ra lý do hợp lý nào cho mình. Không đáng để mạo hiểm, chỉ cần khởi động máy tính và bắt đầu làm mới.
4. Tôi đã dùng xong Chrome, chuyển sang trình duyệt tốt hơn như Brave.
5. Tốt nhất là không bao giờ kết hợp các thiết bị và có một thiết bị riêng biệt cho các hoạt động tiền điện tử.
6. Luôn kiểm tra cảnh báo Hoạt động của Google nếu bạn đang tiếp tục sử dụng các thiết bị hoặc xác thực dựa trên Google.
7. Tắt đồng bộ hóa tiện ích mở rộng. Hoặc chỉ cần tắt thời gian đồng bộ hóa cho máy mật mã bị cô lập của bạn.
8. 2FA rõ ràng không chống đạn được, đừng tự mãn với nó.
