Анатомия взлома: детальный анализ ночного цифрового грабежа
Ранним утром, 21 октября 2014 года, Партап Дейвис (Partap Davis) потерял 3 000 долларов. Он отправился спать около 2-х часов ночи у себя дома в Альбукерке, Нью Мехико, после длинной сессии игры в «Мир Танков». Пока он спал, хакер обошел всю онлайн систему безопасности, кропотливо созданную Дейвисом. Когда тот проснулся утром, почти вся его «онлайн жизнь» была скомпрометирована: 2 почтовых аккаунта, его телефон, его Твиттер, его двухфакторный аутентификатор, и, что самое важное, его Биткойн кошельки.Когда дело доходит до цифровой безопасности, Дейвис всегда внимателен. Он выбирал сложные пароли и не нажимал на скам-ссылки. Он использовал двухфакторную аутентификацию на Gmail, так что если приходилось заходить с чужого компьютера в почту, всегда нужно было вводить 6 цифр пароля, присылаемого по смс. Он заработал некоторые деньги на росте курса Биткойна и держал их в криптовалюте на трех разных онлайн-кошельках с помощью Coinbase, Bitstamp и BTC-E. Он также использовал «двухфактор» на аккаунтах в Coinbase и BTC-E. Каждый раз, как он заходил полюбоваться своими богатствами, приходилось использовать приложение Authy, двухфакторный аутентификатор на смартфоне.
Кроме наличия биткойн-кубышки, Дейвис ничем особо не отличался от обычного пользователя Интернета. Он зарабатывает на жизнь написанием программ, разделяя время между созданием ПО, образовательных видеороликов и некоторыми другими видами фриланс-работ. На выходных он занимается сноубордингом, исследуя горы вокруг Лос-Аламоса. В Альбукерке он живет уже 10-й год; в прошлом году ему исполнилось 40 лет.
После взлома, Дейвис потратил несколько недель, пытаясь отследить, каким же именно образом была произведена атака, собирая вместе кусочки паззла из логов посещений и неохотных ответов служб поддержки различных сервисов. По пути, он сотрудничал с изданием The Verge, которое добавило несколько кусочков в его паззл. Мы до сих пор не знаем точно, что произошло — точнее, не знаем кто это сделал — но уже есть достаточно информации о том, как это было сделано, и точки взлома вырисовывают картину самых заметных слабых мест в нашей цифровой жизни.
MAIL.COMВсе началось с электронной почты Дейвиса. Когда он впервые создавал себе почту, то столкнулся с тем, что Gmail аккаунт partap @ gmail.com уже занят, так что пришлось выбрать вместо этого аккаунт на mail.com, который затем переадресовал все входящие письма на менее запоминающийся адрес в Gmail.
Около 2-х часов ночи 21 октября данная связь была прервана. Кто-то взломал адрес на mail.com и остановил переадресацию писем. Внезапно появился новый привязанный к адресу телефонный номер — «одноразовый» предоплаченный андроид-смартфон, с флоридским номером (подобные можно купить в любом супермаркете за 20 баксов наличкой). Также появился новый адрес электронной почты для восстановления пароля, одноразовый е-мейл swagger @ mailinator.com. Пока что, это единственная зацепка, которая имеется относительно хакера.
Для удобства повествования, давайте назовем хакера… ну, скажем, Ева.
Как Ева смогла взломать почту? Нельзя сказать наверняка, но мы можем предполагать, что она использовала скрипт, направленный на уязвимость в страничке восстановления пароля на mail.com. Мы знаем, что подобный скрипт реально существовал. На протяжении нескольких месяцев пользователи сайта Hackforum продавали доступ к скрипту для сброса специфических паролей на аккаунтах в mail.com. На момент, когда Дейвиса атаковали, это был уже довольно старый эксплойт, и текущая цена взлома составляла 5 долларов за адрес. Не понятно, как именно работал эксплойт и был ли он обезврежен на протяжении прошедших месяцев, но он сделал именно то, что было необходимо Еве. Без всякой аутентификации она смогла поменять пароль Дейвиса на свой собственный.
AT&TЕе следующим шагом стало преодоление защиты по телефонному номеру. У нее не было пароля от его AT&T аккаунта, так что она просто сделала вид, что забыла пароль, и после минутного разговора со службой поддержки, телефонная компания выслала защищенную ссылку на почту
partap@mail.com для его изменения. Захватив управление аккаунтом AT&T, Ева обратилась в службу поддержки с просьбой переадресовывать все входящие звонки на ее флоридский номер. Строго говоря, должно быть как-то побольше защитных мер для установки переадресации звонков, и в этом уж точно не должен участвовать один только адрес электронной почты. Но когда поддержка сталкивается с разгневанным клиентом, зачастую она сдает позиции ради удовлетворения желаний клиента вопреки всем строгим правилам безопасности.
Как только переадресация была настроена, все голосовые звонки Дейвиса стали приходить Еве. Дейвис все еще получал свои смс-ки, однако звонки переадресовывались прямиком к хакеру. Дейвис даже не подозревал о произошедшем на протяжении двух последующих дней, пока его босс не задал ему нагоняй по поводу того, что он не берет трубку.
Google и AuthyДалее, Ева положила глаз на аккаунт Дейвиса в Google. Любой эксперт скажет вам, что использование двухфакторной аутентификаций — лучшая защита от хакерской атаки. Хакер может получить ваш пароль, а вор — украсть телефон, но довольно сложно сделать и то и другое одновременно. Пока телефон у вас в руках, всё работает. Но люди имеют привычку постоянно менять телефоны, и одновременно они ожидают что можно будет также легко перенести свои сервисы. Аккаунты постоянно нуждаются в переносах и двухфакторные сервисы в итоге заканчивают тем, что взламывается очередной аккаунт.
Дейвис не устанавливал Аутентификатор от Google, являющийся более надежным, но у него все таки была включена «двухфакторка» — Google высылал ему новый пароль каждый раз, как он заходил с нового компьютера. Переадресация звонков не работала на смс-ки, но у Евы был запасной ход: благодаря «функциям доступности» Google она могла попросить код подтверждения в аудио формате через вызов на номер Дейвиса, соответственно переадресованный к ней.
Authy оказался более крепким орешком. Это приложение, вроде Аутентификатора, которое не покидало телефон Дейвиса. Но Ева попросту «перенесла» приложение в свой телефон, используя ящик на Mail.com. Ей снова отправили звуковой вариант пароля телефонным звонком.
Пара минут в районе 3-х часов ночи, и аккаунт Authy оказался в руках хакера.
Этот трюк сработал точно так же, как с Google: пока у нее имелся доступ к почте Дейвиса и его «телефону», «двухфактор» не смог увидеть разницы между ними. На тот момент Ева получила больше контроля над онлайн жизнью Дейвиса, чем имел он сам. Кроме смс-сообщений, все цифровые ниточки теперь вели исключительно к Еве.
CoinbaseВ 03:19 ночи Ева изменила пароль в аккаунте на Coinbase при помощи почты на mail.com и Authy. В 3:55, она перевела весь биткойн-баланс (стоимостью примерно в 3 600 долларов на тот момент) на свой собственный свежеоткрытый счет Coinbase. Оттуда она вскоре сделала 3 вывода — один через 30 минут после того, как счет был открыт, и еще один через 20 минут, и затем последний через 5 минут. После этого, деньги исчезли в целом вихре фиктивных биткойн-счетов, специально чтобы скрыть следы (видимо, использовался миксер). Менее, чем через 90 минут после того, как аккаунт Дейвиса был скомпрометирован, его деньги уже отправились на все четыре стороны.
В службе Authy, возможно, могли бы догадаться, что происходит. Данный сервис следит за подозрительным поведением, и хотя они не раскрывают, что именно отслеживается, возможно что сброс пароля на счете через телефонный номер из другого региона, да еще и посреди ночи, мог бы поднять небольшую тревогу. Однако номер был не из известных мест с высокой концентрацией мошенников вроде Нигерии, России или Украины. Казалось более подозрительным, когда Ева зашла на Coinbase с канадского IP адреса (видимо, через TOR). Могли ли они ее тогда остановить? Современные защитные системы вроде Google ReCAPTCHA обычно так и срабатывают, сопоставляя мелкие происшествия до тех пор, пока не появится достаточная уверенность что нужно заблокировать аккаунт — но Coinbase и Authy по отдельности видели только часть общей картины, в результате чего не собрали достаточно доказательств необходимости заморозить счет Партапа.
BTC-E и BitstampКогда Дейвис проснулся, первым что он заметил было странное отключение соединения с его аккаунтом в Gmail. Пароль поменялся, зайти назад не вышло. Как только он таки смог снова зайти в почту, то не поверил своим глазам… Он увидел недавние письма, которые подробно указывали на объем потерянного. Когда он наконец смог зайти в свой аккаунт на Coinbase то обнаружил его пустым. Ева смогла поживиться 10 биткойнами, что равнялось 3 000 долларам на тот момент. Пришлось в течении нескольких часов общаться по телефону со службой поддержки, прежде чем удалось восстановить доступ к своему счету и доказать, что он — настоящий Партап Дейвис. Он отправил скан своей водительской лицензии как доказательство.
Что насчет других двух кошельков? На них находились биткойны на сумму в 2 500 долларов, при этом у них не было разрекламированных средств защиты, как у Coinbase. Но когда Дейвис проверил аккаунты, они оба все еще были под его контролем. Биржа BTC-E наложила временное ограничение на 48 часов для вывода средств после смены хакером пароля, давая возможность доказать что именно он хочет снять средства а также по необходимости восстановить аккаунт. Bitstamp в плане защиты оказались еще проще: когда Ева отправила письмо с просьбой сменить токен аутентификации Дейвиса, они попросили прислать картинку с водительским удостоверением. Несмотря на все ухищрения Евы, такой информации у нее не оказалось. Последние биткойны Дейвиса на сумму в 2 500 долларов остались в безопасности.
ТвиттерУже прошло 2 месяца с момента атаки, Дейвис вернулся к своей обычной жизни. Последний след вторжения — его аккаунт в Twitter, который оставался взломанным неделями после взлома всех остальных аккаунтов. @Partap — короткий, запоминающийся ник, что делает его в некотором роде ценным, так что Ева продолжает его внаглую удерживать, вставив туда новую картинку и уничтожив все следы присутствия Дейвиса. Через несколько дней после атаки она выложила там скриншот взломанного аккаунта Xfinity, тем самым похваставшись тем, что достала еще одну жертву. Этот аккаунт не принадлежит Дейвису, но он принадлежит сторонней персоне. Видимо, Ева уже перешла к атаке другой цели, используя @partap в качестве одноразового инструмента для последующего грабежа, как в физическом мире грабители используют украденную тачку для того, чтобы «оторваться» от копов.
Так кто же стоял за атакой?Дейвис потратил недели после случая, пытаясь напасть на ее след — целые дни провел в разговорах со «специалистами» из служб поддержки — но не приблизился к разгадке ни на шаг. Согласно логам посещений, компьютер Евы присоединялся к его аккаунтам из целого блока канадских IP адресов, она могла использовать TOR или VPN для прикрытия. Ее телефонный номер, скорее всего, был просто временным. Осталось всего несколько следов, но каждый весьма быстро заканчивается.
Где бы Ева сейчас ни была, ей удалось скрыться.продолжение -
http://bitnovosti.com/2015/03/16/hack-anatomy-night-theft/