(@sell9000 )

PSA 回覆：昂貴的 opsec 課程

目前，我已確認是 Google 登錄導致了此次入侵。在攻擊發生前大約半天，一臺未知的 Windows 機器獲得了訪問權限。它還欺騙了設備名稱，因此新活動警報的通知（發生在我睡覺時的清晨）看起來與我通常使用的設備相似（除非我是被特別針對的，否則這可能是對常見設備名稱的精心策劃的賭博）。

經過進一步調查，該設備是由 #KaopuCloud 託管的 VPS，作爲 Telegram 中的黑客圈共享的全球邊緣雲提供商，過去曾被共享用戶用於 #phishing 和其他惡意活動。

我確實啓用了 2FA，用戶設法繞過了它。我尚未確定具體是如何實現的，但可能的攻擊媒介是 OAuth 網絡釣魚、跨站點腳本或對受感染站點的中間人攻擊，隨後可能還會有額外的 #Malware 。事實上，最近有報道稱 #OAuth endpoint 攻擊劫持了用戶 cookie 會話 (https://darkreading.com/cloud-security/attackers-abuse-google-oauth-endpoint-hijack-user-sessions…)。如果您必須使用從 Google 登錄，請務必小心。

要點：

1. Bitdefender 很爛，它什麼也沒發現，而 Malwarebytes 事後發現了很多漏洞。

2. 不要因爲多年來一直在移動大量數據而沒有出現問題而沾沾自喜。

3. 永遠不要輸入種子，不管你給自己什麼合理的藉口。不值得冒險，只需摧毀計算機並重新開始。

4. 我不再使用 Chrome，而是堅持使用 Brave 等更好的瀏覽器。

5. 最好不要混合使用設備，並且要有一個獨立的設備用於加密活動。

6. 如果您繼續使用基於 Google 的設備或身份驗證，請務必檢查 Google 活動警報。

7. 關閉擴展同步。或者只是關閉獨立加密機器的同步期。

8. 2FA 顯然不是萬無一失的，不要對此掉以輕心。