Как потерять $8 тыс. Биткойнами используя Verizon и Coinbase.com

Как потерять $8 тыс. Биткойнами используя Verizone и Coinbase.com

Всё началось с текстового сообщения от компании Verizon: “У вас имеется номер в сети Verizon и вы только что аутентифицировались альтернативным методом. Не вы? Пожалуйста, звоните нам немедленно на 800-922-0204”.

О Боженьки. В течении секунд я набрал номер и услышал вот что:

“Привет, добро пожаловать в Verizon. Сейчас наши офисы закрыты. Время работы наших отделений с 8 утра до 11 вечера, в рабочие дни”.

Я снова позвонил и несколько раз нажал ноль, чтобы получить помощь от оператора. Ничего. Минутой позже мне пришло сообщение дубликат. Я сделал скриншот и затем опубликовал в Твиттере поддержки Verizon.

Проходила одна тревожная минута за другой пока я пытался дозвониться до Verizon. Я загуглил “линия предотвращения мошенничества Verizon”, чтобы позвонить на горячий номер, но не нашел такового.

11 37 PM

11 38 PM

 

11 40 PM

11 41 PM – Выход из моего аккаунта Gmail

Я в полной темноте.

11 42 PM – сброс пароля Coinbase

Моё сессионное куки не выкидывает меня прочь, так что я наблюдаю происходящее в реальном времени.

11 44 PM – Coinbase подтверждает информацию о новом устройстве

11 44 PM – 1.18 BTC отправлено

11 45 PM – 70.96 LTC отправлено

11 46 PM – 16.03 ETH отправлено

Адьйос, фонд надежды и мечты, 8 тысяч баксов пропали в течении менее 15 минут.

И как только я мог быть таким слепцом?

Перед собственно началом стоит сказать, что да, даааааааааааааа, у меня не было достаточного уровня защиты Gmail аккаунта. Ранее я уже использовал Аутентификатор от Google, в качестве персонального аккаунта и для разных рабочих е-мейлов, но я в определённый момент счёл его не удобным и перестал им пользоваться.

Я об этом очень сожалею и вы безусловно можете сказать: “ХА, ТЫ ЗНАЛ, ЧТО ЭТО ПРИДЁТ ЗА ТОБОЙ ,ЧУВАК, МОИ БИТКОЙНЫ СЕЙЧАС НА ЗАШИФРОВАННОЙ ФЛЕШКЕ В ЗАКРЫТОМ ЯЩИКЕ В СЕКРЕТНОМ ПОДЗЕМНОМ В БУНКЕРЕ ХОЛОДНОГО ХРАНЕНИЯ”. Но в миру живут многие держатели монет и они под риском такой же уязвимости, а по мере того, как присоединяются новички, эта уязвимость создаст ещё больше проблем.

Из всех вещей, которые привели к возникновению этого взлома, Verizon Wireless было тем, к чему я вообще не был подготовлен. После долгих разговоров со службой поддержки пользователей, я узнал, что хакеру не было необходимости предоставлять им мой номер соцстраха или PIN, он заполучил контроль над моим телефонным номером представив оператору простую информацию по платежам. Это взорвало мой мозг и показалось мне безответственным вне всяких разумных рамок, но именно так они и работают. В этом взломе меня больше всего поразило то, с какой скоростью можно воровать в современной криптовалютной экосистеме. Потому что $8 тыс. За 15 минут – быстрее и выгоднее, чем ограбить банк в пригороде.

Почему именно на меня совершили атаку

Самая правдоподобная теория состоит в том, что причиной стал этот твит, который я написал на прошлой неделе про Coinbase.com. Друг моего друга был взломан на Coinbase и он не получал ответа от службы поддержки в течении нескольких дней. В качестве мольбы о помощи, он попросил людей помочь ему выташить слово из Coinbase на Твиттере. Я и помог, запись несколько раз была ретвитнута, и к моей величайшей наивности, я и понятия не имел что вешаю себе на спину листок со словами “Ограбь меня тоже”.

 

И вот, я здесь. Я пытался привлечь внимание людей к Coinbase по поводу мошенничества, у меня появились проблемы, и теперь я пытаюсь получить внимание от Coinbase по поводу мошенничества. Официальный Твиттер поддержки пользователей один раз ответил, затем пришло электронное письмо от бота, с предупреждением о том, что возможно пройдут недели, прежде чем мой вопрос будет решён.

Отчаяние

Я до этого момента никогда не терял такое количество денег. Я вырос в семье, которая особенно консервативно относится к деньгам, и это бьёт на той эмоциональной волне, от которой непросто избавиться. Как и многие другие, я знаю, что есть определённый риск, связанный с криптовалютами, это игра, но чего вы не ожидаете, так это того, что вас ограбят в течении пары секунд при помощи сервиса, у которого дизайн пользовательского интерфейса на сайте лучше, чем у Chase Bank.

Я понятия не имел, смогу ли вернуть какие-то деньги, но выяснил, что одну вещь я точно могу сделать со всей этой ненавистью/грустью – попытаться максимально подробно расписать уязвимости, чтобы другие люди меньше попадались на это.

Вещи, которые мог бы сделать Verizon Wireless

  • Дополнительная предосторожность в отношении любого человека, который звонит и просит “сменить телефоны”. Ведь обычной информации о платежах было достаточно для того, чтобы перенести мой номер, и меня этим положили на лопатки. Просто сумасшествие, что Verizon, и другие компании беспроводной связи, не предприняли никаких реальных усилий для противостояния этому взлому, и что более страшно, на них никто не подаёт в суд за грубую халатность.
  • Сделать срочные текстовые оповещения интерактивными через СМС. Если бы я получил сообщение безопасности, и был в состоянии остановить хакера при помощи текстового ответа, или даже при помощи НЕ ответа, весь этот взлом остановился бы не начавшись. Вместо того, меня попросили “немедленно” позвонить по номеру в Verizon, где на линии не было людей, чтобы ответить.
  • Сделайте Горячую Линию Verizon доступной и видимой для ваших клиентов. У меня ушло 45 минут на раздражение Dming в твиттере, чтобы получить номер телефона, который позволял дозвониться до реального человека из компании Verizon. Если в будущем кто-то будет это искать, то вот номер: 1-(888)-483-7200.
  • Говорите вашим клиентам о том, что произошло с их аккаунтами. Я потратил несколько часов бесед с работниками службы поддержки Verizon, прыгая от Департамента Мошенничества к Юридическому Департаменту, потом к Департаменту Поддержки Пользователей, и так по кругу. Я почти не получил инфиормации от них всех, и они не опубликуют деталей разговора с мошенником, или сделают это только в том случае, если бы я нанял адвоката, котрый бы меня представлял.

Вещи, которые могли бы сделать в Coinbase

О Господи, Coinbase. С чего начать.

  • Сделайте включение Google Autenthicator “требованием” для хранения монет на Coinbase.com. SMS 2FA не идеальна, но обманчиво безопасна, в особенности для новичков.
  • Сделайте горячую линию 24/7, которая будет доступна вашим клиентам. Twitter и e-mail это неправильные механизмы обратной связи в случае, если скорость имеет решающее значение.
  • Значительно уменьшите количество пользователей, которые обслуживаются на вашей бирже до тех пор, пока у вас не будет ресурсов чтобы их покрыть. Вы набрали 400 000 пользователей за 30 дней, ЧЕТЫРЕСТА ТЫСЯЧ, и большинство из этих пользователей абсолютные новички в безопасности.

  • Добавьте базовую защиту от мошенничества на случай, когда кто либо логинится в ваш аккаунт на новом устройстве, которое пытается ликвидировать аккаунт. Промежуток в один час мог остановить этот взлом в самом начале.
  • Сделайте режимы по умолчанию по отправке монет в ваших кошельках значительно более “заботливыми”, когда дело касается новичков
  • Создайте страховку для персональных счетов. Да, эта политика была бы крайне уязвима к мошенничеству, но в этом состоит ваша основная работа, найдите способ.

Наши приоритеты: Быть самыми доверенными: Мы фильтруем каждое принимаемое нами решение, задавая вопрос: “Помогает ли это нам стать тем брендом в отрасли, которому доверяют больше других?”…

Вещи, которые можно сделать, чтобы защитить монеты

Из-за атаки я дозвонился друзьям, с кучей опыта в криптовалютах, и вот их подсказки:

  • Правило номер один: никому не говорить о “Биткойн-клубе”. Не говорите в Интернете, в особенности используя своё реальное имя, про свои торги или обмены. Я знаю, что для некоторых это слишком поздно (уж точно – для меня!), и так не должно быть, но так вы менее подпадаете под риск оказаться жертвой. Даже если ваши монеты хорошо защищены.
  • Если хотите сделать пост на реддите, в твиттере, или ещё где, про криптовалюту, используйте псевдоним, далёкий от вас по смыслу.
  • Используйте отдельный, секретный е-мейл для “монетных счетов” и не перенаправляйте оповещения на ваш персональный е-мейл аккаунт.
  • Используйте 2FA – СМС не считается. Я и понятия не имел, насколько лёгкой Verizon и другие операторы сделали процедуру смены телефона в течении нескольких минут, используя базовую информацию. Используйте Gauth или Authy или ещё что либо, поддерживающее TOTP токены; также для вашего аккаунта в Gmail рассмотрите возможность использования устройства FIDO U2F.
  • Если вы настаиваете на том, чтобы ваши деньги оставались на Coinbase.com, то храните их в “хранилище”. Это даст вам определённый промежуток времени в несколько дней перед тем, как ваши монеты вообще начнут двигаться, по крайней мере они не исчезнут немедленно.
  • Позвоните в вашу сотовую компанию и скажите, что, скорее всего, вы являетесь целью мошенников, использующих социальную инженерию. Попросите добавить сложности для осуществления запросов,связанных с вашим номером.
  • Храните ваши монеты на физическом кошельке. Технически, любые деньги, которые имеются у вас на бирже – не ваши, у вас просто имеется долговая расписка от третьей стороны. Лучшая практика для безопасного хранения монет – купить физический кошелек вроде Trezor или Ledger Nano S. Он стоит всего 60-90 баксов и заставит взломщика подтвердить физическим вводом пин-кода (который надо смотреть на устройстве) перевод монет или кражу вашего бэкапа для доступа к кошельку.

Я не отказываюсь от криптовалют

Я присоединился к Coinbase.com в 2015 году, имел разные позиции относительно Биткойна в эти годы, и видел как хайп приходит и уходит. Я думаю, мы приближаемся к точке изгиба в плане принятия но находимся в опасном месте, так как стоимость BTC/ETH взлетает к небесам и нубы появляются на рынке.

Четыреста тысяч человек присоединились к Coinbase за последние тридцать дней. У этой группы необычайно разные интересы относительно безопасности и ожиданий от сервиса, не такие, что были у изначальных пользователей, присоединившихся к Coinbase в 2012 году. Если эта новая группа не защищена в совокупности, судебные иски будут поступать, жизни с точки зрения финансов будут разрушены, а мечта о том, что биткойн со временем достигнет отметки в $50 000, станет туманной фантазией. Посмотрите ветку Coinbase на Reddit если хотите дополнительно почувствовать на вкус, что происходит.

Несмотря на это, я хочу сделать ставку, что Coinbase или кто-то другой, в будущем значительно эволюционирует и разберётся в этом. Множество проблем, приведших к взлому моего аккаунта на Coinbase решаемы при помощи более “заботливого” софта, обнаружения мошенничества и опытной команды поддержки пользователей, доступной 24/7. Прелесть блокчейна в том, что вы можете создавать потребительское предложение на его основе, оперирующее как банк, и оно может существовать по соседству с биржей, ориентированной на клиентов, желающих покупать и продавать огромные, рискованные количества налички каждый день.

Если с вами такого никогда не происходило, то вам будет сложно понять, насколько трудно начинать жить заново с подобным уровнем финансовых потерь. Биткойны, которые у меня были в кошельке в Coinbase, собирались в течении многих лет, а позиции по эфиру и Лайткойну были более свежими. Я виню себя за то, что не посвятил достаточно времени исследованиям по теме безопасности, и я также знаю, что такие открытия невероятно часто совершают и другие. Если не произойдут большие перемены, множество других людей будут ограблены и репутация криптовалют, в общем смысле, пострадает. Единственная вещь, которая имеется для защиты этих новичков – само сообщество крипто-активистов. Позвольте моему огромному сожалению стать предупредительным знаком. Проинформируйте своих друзей. Не доверяйте настройкам по умолчанию в Coinbase. Не думайте, что с вами не случится плохого. Хватит читать эту статью, и уже защитите свои монеты немеделенно.

Сделайте это!

Хватит скроллить.

*UPDATE*

Законодательство. Многие предлагали мне нанять адвоката и поработать план действий против Verizon и Coinbase. Если вы знаете адвоката или фирму, которая в данном случае подходит, пожалуйста, шлите мне DM (открыто). У меня нет достаточного количества ресурсов, чтобы этим заниматься, так что любые общие рекомендации будут кстати.

Общественный судебный иск против Verizon и/или Coinbase.com. Недавно в движение уже привели один такой иск (я читаю о нем сейчас). Если с вами произошла аналогичная ситуация на Coinbase, пришлите мне сообщение, сможем обменяться историями.

Донаты. Вау. Некоторые очень щедрые люди в Биткойн-сообществе попросили адрес для донатов или финансирования иска. Я с благодарностью буду рад принять любую помощь.

LTC: LbZnJ8QWc581bm6iu6STpbKVq9RDv1Yqbd (~$250 USD)

BTC: 188itMZTQx1PcbuCdpjBkdBLUKjJRcdPoj ( ~$280 USD)

Огрооооомное спсибо @BTCXBTDEV:

“Эй Коди, опубликуй свой LTC адрес, чувак, отправлю тебе 10 лайтов в помощь…”


Источник



Categories: Безопасность, Криминал, Происшествия, Сервисы

Tags: , ,

13 replies

  1. смена номера телефона по телефону?

  2. Чето не понятно, он что меняют номер телефона в аккаунте без подтверждения по СМС?
    Еще способ, который хорошо помогает, но иногда даже и мешает. Это разрешение на операции вывода, после смены реквизитов на которые выводят только через 30 дней, если это не банковский перевод с указанием ФИО. Не удобно, но тут даже вернувшись с отпуска успеешь вернуть доступ к аккаунту.

  3. Ну как бы очевидно,что если у тебя на счету в районе 5 битков и выше,лучше молчать в тряпочку и не светиться со своим именем ,ником,номером телефона . И да,откуда его номер то узнали?

    А кстати в плане телефона , оптимально купить Nokia 3310 , и пусть на него СМС с кодами приходят))

    • По стандартам связи 3310 не даст возможности открыть текстовое сообщение в полном его размере, данное устройство даже USSD-команды не позволит корректно просматривать. Поверьте, знаю, о чём говорю.

  4. Кому деньги дороги всё заранее продумывает. Таких истории со взломами/кидками просто миллионы, но каждый пишет новую после того как взломали его. Но как мы знаем умный учится на чужих ошибках, а дурак на своих – поэтому все кому нужно давно приняли все необходимые меры защиты, а кому не нужно всё равно их не поставит пока не взломают лично его.

  5. “1. Вы не знаете что такое приватный ключь.
    2. Вы не знаете как защитить свой приватный ключь.
    …”

    Еще вы не знаете, что “ключ” пишется без мягкого знака. Поздравляю со сдачей ЕГЭ.

  6. Самая правдоподобная теория состоит в том, что причиной стал этот твит, который я написал на прошлой неделе про Coinbase.com. Друг моего друга был взломан на Coinbase и он не получал ответа от службы поддержки в течении нескольких дней. В качестве мольбы о помощи, он попросил людей помочь ему выташить слово из Coinbase на Твиттере. Я и помог, запись несколько раз была ретвитнута, и к моей величайшей наивности, я и понятия не имел что вешаю себе на спину листок со словами “Ограбь меня тоже”.

    Недоволен работой Coinbase, пишет об этом в твиттер, но продолжает хранить там криптовалюту.

  7. Когда вы не владеете своими крипто-коинами:
    1. Вы не знаете что такое приватный ключь.
    2. Вы не знаете как защитить свой приватный ключь.
    3. Вы не знаете владеете ли вы своим приватным ключем единолично.

  8. Лох не мамонт – не вымрет…

Trackbacks

  1. Как потерять $8 тыс. Биткойнами используя Verizone и Coinbase.com
  2. BitKey раскрывает вселенную Биткойна | Заработок онлайн доступный каждому

Поделитесь своими мыслями

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s