Пользователь Coinbase Шон Кунс опубликовал в своем блоге на Medium подробный рассказ о том, как стал жертвой мошенничества. Злоумышленник, личность которого до сих пор не удалось установить, перевел все средства из его кошелька на Coinbase, действуя через дубликат SIM-карты.
Замена SIM-карты – стандартная услуга мобильных операторов. Запросы на создание дубликата поступают от пользователей регулярно: при смене мобильного устройства или оператора многие предпочитают сохранить старый номер. Автор предполагает, что мошенник получил доступ к его личной информации где-то в Сети и воспользовался этим, чтобы отправить запрос на выпуск новой SIM-карты, не возбуждая никаких подозрений у персонала. За последний год подобная схема взлома стала стремительно набирать популярность.
Перехватив контроль над телефонным номером и располагая некоторым количеством информации о жертве, злоумышленник без труда сумел войти в связанный аккаунт на сервисах Google и закрыть его от владельца. Для этого ему достаточно было выбрать опцию «Забыли пароль?», после чего система выслала код подтверждения на указанный в профиле номер и предложила сменить данные для аутентификации.
Доступ к электронной почте предоставил мошеннику еще больше возможностей для взлома личных аккаунтов – большинство сервисов позволяет менять пароли по «волшебной ссылке», которая отправляется на почту по запросу. В данном случае его внимание было сосредоточено на получении доступа к криптокошельку.
План-схема атаки, воссозданная автором
«С таким наивным отношением к собственной безопасности я, пожалуй, заслуживал того, чтобы меня взломали», – признает Шон Курс в своем посте. Анализируя случившееся, он подчеркивает, что не только пренебрегал базовыми мерами защиты своих аккаунтов до инцидента, но и недостаточно быстро реагировал на тревожные сигналы, когда атака уже началась.
Мошенник начал действовать поздним вечером, вероятно, в расчете на то, что до утра пользователь не сумеет связаться с мобильным оператором. Шон заметил на экране сообщение о том, что SIM-карта отсутствует, но не придал этому большого значения, решив, что она была повреждена при падении телефона. В течение часа был перехвачен контроль над почтой. За ночь взломщик поменял пароли на Coinbase и нескольких других сервисах; при этом он последовательно удалял все письма с верификационными ссылками. Из-за этой предосторожности, получив утром новую SIM-карту в салоне и восстановив доступ к почте, автор статьи не обнаружил факта взлома других аккаунтов и не предпринял необходимых действий. Тем же вечером атака повторилась, за ночь мошенник в несколько приемов опустошил кошелек. Сумма ущерба составила 100 тыс. долларов в криптовалюте; вернуть эти деньги, по всей видимости, не удастся.
Автор статьи пострадал не только материально – на электронной почте и связанных аккаунтах хранилась масса личной информации, утечка которой делает его более открытым для атак в будущем. Однако он сделал для себя выводы и намерен в дальнейшем лучше заботиться о защите своего онлайн-пространства. Читателям он советует не использовать телефон в качестве основного метода восстановления пароля на Google, а отдать предпочтение тем, которые предполагают применение материальных объектов. Например, можно воспользоваться Google Authenticator, чтобы привязать пароль к конкретному устройству, или YubiKey, который проводит аутентификацию через прикосновение USB-ключа, зарегистрированного на конкретного пользователя. Актуальными также остаются и самые базовые правила безопасности: не оставлять личную информацию на открытых площадках, иметь отдельный, предельно защищенный адрес для финансовых транзакций и хранить пароли в оффлайн-менеджере.
