Анатомия взлома: детальный анализ ночного цифрового грабежа

cloud_security-090914
Ранним утром 21 октября 2014 года Партап Дейвис (Partap Davis) потерял 3 000 долларов. Он отправился спать около 2-х часов ночи у себя дома в Альбукерке, Нью Мехико, после длинной сессии игры в «Мир Танков». Пока он спал, хакер обошел всю онлайн-систему безопасности, кропотливо созданную Дейвисом. Когда тот проснулся утром, почти вся его «онлайн-жизнь» была скомпрометирована: 2 почтовых аккаунта, его телефон, его Твиттер, его двухфакторный аутентификатор, и, что самое важное, его Биткойн-кошельки.

Когда дело доходит до цифровой безопасности, Дейвис всегда внимателен. Он выбирал сложные пароли и не нажимал на скам-ссылки. Он использовал двухфакторную аутентификацию на Gmail, так что, если приходилось заходить с чужого компьютера в почту, всегда нужно было вводить 6 цифр пароля, присылаемого по смс. Он заработал некоторые деньги на росте курса Биткойна и держал их в криптовалюте на трех разных онлайн-кошельках с помощью Coinbase, Bitstamp и BTC-E. Он также использовал «двухфактор» на аккаунтах в Coinbase и BTC-E. Каждый раз, как он заходил полюбоваться своими богатствами, приходилось использовать приложение Authy, двухфакторный аутентификатор на смартфоне.

Кроме наличия биткойн-кубышки, Дейвис ничем особо не отличался от обычного пользователя Интернета. Он зарабатывает на жизнь написанием программ, разделяя время между созданием ПО, образовательных видеороликов и некоторыми другими видами фриланс-работ. На выходных он занимается сноубордингом, исследуя горы вокруг Лос-Аламоса. В Альбукерке он живет уже 10-й год; в прошлом году ему исполнилось 40 лет.

После взлома Дейвис потратил несколько недель, пытаясь отследить, каким же именно образом была произведена атака, собирая вместе кусочки паззла из логов посещений и неохотных ответов служб поддержки различных сервисов. По пути, он сотрудничал с изданием The Verge, которое добавило несколько кусочков в его паззл. Мы до сих пор не знаем точно, что произошло — точнее, не знаем, кто это сделал — но уже есть достаточно информации о том, как это было сделано, и точки взлома вырисовывают картину самых заметных слабых мест в нашей цифровой жизни.

MAIL.COM

Все началось с электронной почты Дейвиса. Когда он впервые создавал себе почту, то столкнулся с тем, что Gmail аккаунт partap@gmail.com уже занят, так что пришлось выбрать вместо этого аккаунт на mail.com, который затем переадресовал все входящие письма на менее запоминающийся адрес в Gmail.

Около 2-х часов ночи 21 октября данная связь была прервана. Кто-то взломал адрес на mail.com и остановил переадресацию писем. Внезапно появился новый привязанный к адресу телефонный номер — «одноразовый» предоплаченный андроид-смартфон, с флоридским номером (подобные можно купить в любом супермаркете за 20 баксов наличкой). Также появился новый адрес электронной почты для восстановления пароля, одноразовый е-мейл swagger@mailinator.com. Пока что это единственная зацепка, которая имеется относительно хакера.

Для удобства повествования давайте назовем хакера… ну, скажем, Ева.

Как Ева смогла взломать почту? Нельзя сказать наверняка, но мы можем предполагать, что она использовала скрипт, направленный на уязвимость в страничке восстановления пароля на mail.com. Мы знаем, что подобный скрипт реально существовал. На протяжении нескольких месяцев пользователи сайта Hackforum продавали доступ к скрипту для сброса специфических паролей на аккаунтах в mail.com. На момент, когда Дейвиса атаковали, это был уже довольно старый эксплойт, и текущая цена взлома составляла 5 долларов за адрес. Не понятно, как именно работал эксплойт и был ли он обезврежен на протяжении прошедших месяцев, но он сделал именно то, что было необходимо Еве. Без всякой аутентификации она смогла поменять пароль Дейвиса на свой собственный.

AT&T

Ее следующим шагом стало преодоление защиты по телефонному номеру. У нее не было пароля от его AT&T аккаунта, так что она просто сделала вид, что забыла пароль, и после минутного разговора со службой поддержки, телефонная компания выслала защищенную ссылку на почту partap@mail.com для его изменения. Захватив управление аккаунтом AT&T, Ева обратилась в службу поддержки с просьбой переадресовывать все входящие звонки на ее флоридский номер. Строго говоря, должно быть как-то побольше защитных мер для установки переадресации звонков, и в этом уж точно не должен участвовать один только адрес электронной почты. Но когда поддержка сталкивается с разгневанным клиентом, зачастую она сдает позиции ради удовлетворения желаний клиента вопреки всем строгим правилам безопасности.

Как только переадресация была настроена, все голосовые звонки Дейвиса стали приходить Еве. Дейвис все еще получал свои смс-ки, однако звонки переадресовывались прямиком к хакеру. Дейвис даже не подозревал о произошедшем на протяжении двух последующих дней, пока его босс не задал ему нагоняй по поводу того, что он не берет трубку.

Google и Authy

Далее Ева положила глаз на аккаунт Дейвиса в Google. Любой эксперт скажет вам, что использование двухфакторной аутентификаций — лучшая защита от хакерской атаки. Хакер может получить ваш пароль, а вор — украсть телефон, но довольно сложно сделать и то, и другое одновременно. Пока телефон у вас в руках, всё работает. Но люди имеют привычку постоянно менять телефоны, и одновременно они ожидают, что можно будет также легко перенести свои сервисы. Аккаунты постоянно нуждаются в переносах, и двухфакторные сервисы в итоге заканчивают тем, что взламывается очередной аккаунт.

Дейвис не устанавливал Аутентификатор от Google, являющийся более надежным, но у него все таки была включена «двухфакторка» — Google высылал ему новый пароль каждый раз, как он заходил с нового компьютера. Переадресация звонков не работала на смс-ки, но у Евы был запасной ход: благодаря «функциям доступности» Google она могла попросить код подтверждения в аудио формате через вызов на номер Дейвиса, соответственно переадресованный к ней.

Authy оказался более крепким орешком. Это приложение вроде Аутентификатора, которое не покидало телефон Дейвиса. Но Ева попросту «перенесла» приложение в свой телефон, используя ящик на Mail.com. Ей снова отправили звуковой вариант пароля телефонным звонком.

Пара минут в районе 3-х часов ночи, и аккаунт Authy оказался в руках хакера.

Этот трюк сработал точно так же, как с Google: пока у нее имелся доступ к почте Дейвиса и его «телефону», «двухфактор» не смог увидеть разницы между ними. На тот момент Ева получила больше контроля над онлайн-жизнью Дейвиса, чем имел он сам. Кроме смс-сообщений, все цифровые ниточки теперь вели исключительно к Еве.

Coinbase

В 03:19 ночи Ева изменила пароль в аккаунте на Coinbase при помощи почты на mail.com и Authy. В 3:55 она перевела весь биткойн-баланс (стоимостью примерно в 3 600 долларов на тот момент) на свой собственный свежеоткрытый счет Coinbase. Оттуда она вскоре сделала 3 вывода — один через 30 минут после того как счет был открыт, и еще один через 20 минут, и затем последний через 5 минут. После этого деньги исчезли в целом вихре фиктивных биткойн-счетов, специально чтобы скрыть следы (видимо, использовался миксер). Менее чем через 90 минут после того как аккаунт Дейвиса был скомпрометирован, его деньги уже отправились на все четыре стороны.

В службе Authy, возможно, могли бы догадаться, что происходит. Данный сервис следит за подозрительным поведением, и хотя они не раскрывают, что именно отслеживается, возможно, что сброс пароля на счете через телефонный номер из другого региона, да еще и посреди ночи, мог бы поднять небольшую тревогу. Однако номер был не из известных мест с высокой концентрацией мошенников вроде Нигерии, России или Украины. Казалось более подозрительным, когда Ева зашла на Coinbase с канадского IP адреса (видимо, через TOR). Могли ли они ее тогда остановить? Современные защитные системы вроде Google ReCAPTCHA обычно так и срабатывают, сопоставляя мелкие происшествия до тех пор, пока не появится достаточная уверенность, что нужно заблокировать аккаунт — но Coinbase и Authy по отдельности видели только часть общей картины, в результате чего не собрали достаточно доказательств необходимости заморозить счет Партапа.

BTC-E и Bitstamp

Когда Дейвис проснулся, первым, что он заметил, было странное отключение соединения с его аккаунтом в Gmail. Пароль поменялся, зайти назад не вышло. Как только он таки смог снова зайти в почту, то не поверил своим глазам… Он увидел недавние письма, которые подробно указывали на объем потерянного. Когда он, наконец, смог зайти в свой аккаунт на Coinbase, то обнаружил его пустым. Ева смогла поживиться 10 биткойнами, что равнялось 3 000 долларам на тот момент. Пришлось в течение нескольких часов общаться по телефону со службой поддержки, прежде чем удалось восстановить доступ к своему счету и доказать, что он — настоящий Партап Дейвис. Он отправил скан своей водительской лицензии как доказательство.

Что насчет других двух кошельков? На них находились биткойны на сумму в 2 500 долларов, при этом у них не было разрекламированных средств защиты, как у Coinbase. Но когда Дейвис проверил аккаунты, они оба все еще были под его контролем. Биржа BTC-E наложила временное ограничение на 48 часов для вывода средств после смены хакером пароля, давая возможность доказать, что именно он хочет снять средства, а также по необходимости восстановить аккаунт. Bitstamp в плане защиты оказались еще проще: когда Ева отправила письмо с просьбой сменить токен аутентификации Дейвиса, они попросили прислать картинку с водительским удостоверением. Несмотря на все ухищрения Евы, такой информации у нее не оказалось. Последние биткойны Дейвиса на сумму в 2 500 долларов остались в безопасности.

Твиттер

Уже прошло 2 месяца с момента атаки, Дейвис вернулся к своей обычной жизни. Последний след вторжения — его аккаунт в Twitter, который оставался взломанным неделями после взлома всех остальных аккаунтов. @Partap — короткий, запоминающийся ник, что делает его в некотором роде ценным, так что Ева продолжает его внаглую удерживать, вставив туда новую картинку и уничтожив все следы присутствия Дейвиса. Через несколько дней после атаки она выложила там скриншот взломанного аккаунта Xfinity, тем самым похваставшись тем, что достала еще одну жертву. Этот аккаунт не принадлежит Дейвису, но он принадлежит сторонней персоне. Видимо, Ева уже перешла к атаке другой цели, используя @partap в качестве одноразового инструмента для последующего грабежа, как в физическом мире грабители используют украденную тачку для того, чтобы «оторваться» от копов.

Так кто же стоял за атакой?

Дейвис потратил недели после случая, пытаясь напасть на ее след — целые дни провел в разговорах со «специалистами» из служб поддержки — но не приблизился к разгадке ни на шаг. Согласно логам посещений, компьютер Евы присоединялся к его аккаунтам из целого блока канадских IP адресов, она могла использовать TOR или VPN для прикрытия. Ее телефонный номер, скорее всего, был просто временным. Осталось всего несколько следов, но каждый весьма быстро заканчивается.

Где бы Ева сейчас ни была, ей удалось скрыться.

Почему она выбрала именно Партапа Дейвиса? Она заранее знала о наличии биткойн-кошельков, это точно. Зачем бы ей еще понадобилось тратить столько времени на взлом всех его социальных аккаунтов? Она также начала именно с почты на mail.com, так что можно сделать вывод, что каким-то образом она получила доступ к спискам биткойн-пользователей, в которых числилась и почта Дейвиса. Некоторые утекшие базы данных клиентов Coinbase плавают в безграничных просторах Интернета, но найти там имя или почту Дейвиса мне не удалось. Возможно, его персональные данные оказались в публичном доступе благодаря производителю майнинг-оборудования или Биткойн ритейлеру. Сегодня утечки информации — обыденное дело, большинство из них вообще происходят в тайне от широкой публики.

Дейвис теперь ведет себя еще осторожнее с биткойнами и отказался от использования аккаунта на mail.com — но, с другой стороны, в его жизни ничего кардинально не поменялось. Иногда Coinbase соглашается выплатить компенсацию жертвам хакерских атак, но в данном конкретном случае они отказали, так как система безопасности компании оказалась непричастна к случившемуся. Партап также отправил заявление в ФБР, но Бюро не выказало заинтересованности в единичной краже биткойнов. Что еще можно сделать? Он не может перестать использовать телефон или отказаться от возможности сброса пароля. У всех у нас есть много различных аккаунтов, так что всегда можно найти путь для вторжения. В мире безопасности такое называют площадью атаки. Чем больше данная площадь, тем сложнее ее защищать.

Что самое важное, сбросить пароли и обойти двухфакторку сейчас достаточно легко, как показали многочисленные выходки Евы. Когда сервис наконец остановил ее, он сделал это не при помощи сложных алгоритмов или причудливой биометрики. Вместо этого один сервис просто попросил клиента подождать 48 часов перед подтверждением смены пароля. На техническом уровне это простая фишка, но весьма дорогая в плане возможного недовольства клиентов. Компании постоянно балансируют между довольно узкими рисками компрометации и широкими выгодами от удобства пользователей. Несколько человек могут запросто потерять контроль над своими аккаунтами, но миллионы других смогут продолжать использовать сервис без особых проблем. В битве между безопасностью и удобством, удобство пока имеет более высокий приоритет.

Автор: Russell Brandom

Источник: The Verge



Categories: Econmag, Безопасность, Важное, Криминал, Происшествия, Сервисы

Tags: , , , , ,

Leave a Reply

23 Комментарий на "Анатомия взлома: детальный анализ ночного цифрового грабежа"

Notify of
avatar
trackback
Почему я зашортил эфир и закупился биткойном – Bit•Новости

[…] состоит в том, что гибкость всегда означает широкую площадь атаки. Код Эфириума, опубликованный на блокчейне, может […]

trackback
Используем безопасно Интернет и Bitcoin | Bit•Новости

[…] — главное, что спасает вас и ваши финансы в Сети, что бы там ни говорили про двух-факторную аутентификац…. Товарищ по ссылке построил идеальную Империю […]

trackback
Утопическая теория, встряхнувшая Кремниевую Долину | Bit•Новости

[…] капиталисты клянутся, что их новые приложения “изменят мир”, на самом деле они чаще всего говорят о какой-то […]

Анонимно
Гость

Начитался я вот этого
Последняя версия uTorrent втихомолку устанавливает майнер биткоинов http://geektimes.ru/post/246878
Как крадут деньги, которых нет. Или кое-что новенькое о криптовалютах http://habrahabr.ru/company/group-ib/blog/252963/
Вот что будет, если установить топ-10 программ с Download.com http://habrahabr.ru/post/247927/

и думаю, что в перспективе хакеры подменят оф. дистрибутив какой-нибудь популярной проги или сама команда популярной проги выкатит квази-апдейт с вором и потом скажет «простите, нас взломали».

outslder
Гость

Для дураков. Кто ж на виндовс деньги хранит? Для биткойна существует линукс, да и кошельки на флешках, + бумага. Хакеры всегда писали вирусы на винду, с чего бы им останавливаться? Криптовалюты — определенно в тренде, раз такое происходит. Умные люди просто не попадаются, это как в жизни. Нет ведь полиции, которая контролирует, кто станет завтра частью криптовалютного мира — мошенник, или талантливый человек.

Sandy
Гость

Ну и, опять же, деньги в кошельке Coinbase. Хранил бы у себя — вероятно целее бы были.

Кстати, «на кошельке» (а не «в кошельке») — это что, уже устоявшееся выражение? Ухо не царапает? А так же «в течении».

Гость

Вообще, красиво написано.
Как будто фильм посмотрел. В виде сценария надо кому-нибудь послать.

Анонимно
Гость

Аттачментом c расширением scr или jar, например.

arvicco
Администратор

И со встроенным троянчиком-биткоедом, я полагаю? 😉

Анонимно
Гость

По ходу, описанный пострадавший домохозяйкой не был. Что он сделал неправильно?

outslder
Гость

А по статье не понятно, что он сделал неправильно? Ну ежели так… Я внизу в комментарии уже отписал свое мнение, если интересна моя версия.

Анонимно
Гость

Прекрасно сдаланная скрытая реклама BTC-E

Анонимно
Гость

Меня на BTC-E хакнули на 10битков год назад. Судя по всему хакнули владельцы одного из пулов на котором я копал — вот так то…

Теперь только 2FA на почте, код доступа через GoogleAuth на смартфоне, вход только по списку «белых ip» — все остальные ip — идут лесом.. + постоянно добавляю 1 новый ip или удаляю недавно добавленный — что дает money hold на 72 часа…

outslder
Гость

Да и бирже бтс-е Я, если честно, не особо доверяю в свете данных о Тони Лентино и Тадасе Каспутисе.

http://bitnovosti.com/?s=%D0%9A%D0%B0%D1%81%D0%BF%D1%83%D1%82%D0%B8%D1%81&x=0&y=0

outslder
Гость
Я не пишу статьи на заказ по рекламе. Считаю, как и редакция издания, честность в мире криптовалют важным аспектом (а тем более у нас, в СНГ, где индекс хакерства и кибер-преступности лидирует по многим оценкам). Поэтому, никто из авторов заказуху не катает, мы же не «новости-мейл-ру» «цензор-нет» или «россия-24». Я ранее уже это писал и еще раз подчеркиваю: никаких коммерческих статей от меня лично нет, Я не продаюсь ни за каки деньги. За других авторов могу сказать, что они очень интересные и порядочные люди. Возможно, в далеком будущем будут официальные пресс релизы, но это лишь мое предположение, мое личное мнение,… Read more »
Юрий
Гость

Почему везде написано mail.com, имеется ввиду gmail.com ?

tema
Гость

Конечно же нет http://www.mail.com

Анонимно
Гость

Да уж, домохозяйкам пока лучше с пластиком или с символическими объёмами.

outslder
Гость

Так в том то и дело, что он не домохозяйка. С каких пор промах одного человека означает промах всех? Его глупость была в том, то он гнался за понтами, т.е. не хотел обычную почту, а хотел «красивую», за что и поплатился. Так как вся его система аутентификации была основана на ящике mail.com, а не gmail.com. Если бы он создавал изначально ящик на gmail, вряд ли хакеру удалось бы его так запросто взломать эксплойтом за 5 баксов.

Анонимно
Гость

Эксплойт — не эксплойт, крыса — не крыса, но список крякнутых солидных битко-бизнесов впечатляет. По памяти: MtGox, Bitcoinica, Vircurex, Btc-e (через LR), Bter, Bitstamp. Пора энциклопедию издавать. И главное: нет гарантий непоимения любого интернет-юзера или конторы через очередную «0-day vulnerability». Вот что я хотел сказать.
К 2FA. 1). На хабре была статья о неожиданном перевыпуске симки в каком-то Мухосранске. 2). Фальшивые базовые станции c man-in-the-middle.

vlad
Гость

да где то читал о смене симки по доверенности
Сбер переходит на биометрию- хакерам станет интереснее жить

Евгений
Гость

А в чем отличие mail.com от gmail.com ( именно в свете вашей фразы)?

Alex
Гость

Для mail.com был эксплойт для сброса пароля без авторизации, а для gmail. — нет такого. С этого эксплойта все и началось.

wpDiscuz