Пережив недавно небольшой security-испуг — мне пришла SMS с кодом «Гугла» вида G-******, я отправился искать, что это может значить. Не знаю, как у вас, а у меня это уже не первый случай, правда, после этого обычно больше ничего не происходит. Понятно, что это какой-то код авторизации, но понять, случайно пришла SMS или намеренно, и куда именно пытались попасть злоумышленники, в сам аккаунт или какой-то привязанный к нему сервис? Хотя я и подозреваю, что это была попытка взлома, какова именно схема взлома, «Гугл» мне не подсказал — а, значит, какие узкие места мне надо застраховать, я так и не понял. В итоге, прочитав форумы, проверив все авторизованные устройства, и сменив пароль, я вынужден был успокоиться.
Зато в процессе поисков я нашёл то, чего не искал: пример угона «Инстаграма» (запрещённого в РФ сервиса, признанного экстремистским) в 2015 году, используя дыры в поддержке Apple и Amazon. Кейс показывает пример простоты взлома при наличии знаний алгоритмов работы поддержки сторонних сервисов. Этот конкретный пример сегодня уже безопасен для публикации, но принцип в основе угона сохраняет актуальность.
Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности. Вот, как однажды я взломал аккаунт жертвы Instagram (дело было в далеком 2015), которая этих правил не придерживалась:
1. В профиле жертвы Instagram была ссылка на её личный сайт.
2. На сайте я обнаружил Gmail адрес.
3. Я начал процесс восстановления пароля к Gmail.
4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления.
5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.
6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois.
7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы — Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email — все это уже было мне известно
8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ ?
9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.
10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.
Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда.
Telegram-канал Персональная безопасность
Главная проблема видна сразу: одни и те же фрагменты информации о нас сохранены в самых разных местах интернета. Замени Apple на «Мэйл.ру», а «Амазон» на «Озон» — и станет понятно, что выводы из этого кейса более, чем актуальны. Современные протоколы безопасности крупнейших сервисов постоянно улучшаются, но тут и проблема-то оказалась в том, что какие-то ключевые для взлома более защищённых сервисов данные могут быть записаны в открытом виде в каких-то менее защищённых местах.
Совет использовать двухфакторную аутентификацию общеизвестен, и скорее всего большинство людей от его применения сейчас останавливает скорее лень, чем неосведомлённость об этом.
Cлабость техподдержки Apple и Amazon в этом сценарии просто возмутительна. Но это важный аргумент за то, чтобы не сохранять данные карт ни на каких сервисах. Многие боятся, скорее, что сервис спишет что-нибудь лишнее. А надо бояться того, что эти данные могут стать звеном в цепочке взлома чего-то более существенного. Там, где привязка карты — важный вопрос удобства (сервисы подписки или регулярно используемые сервисы типа такси) — нужно использовать виртуальные карты.
Благо (и это редкое преимущество для российского пользователя) благодаря Системе быстрых переводов, перекидывать деньги между счетами в разных российских банков не стоит ни копейки, а завести виртуальную карту можно везде бесплатно.
Взлом любого сервиса доставки даст сегодня более точный адрес, чем whois может в принципе — вплоть до квартиры. Сервисы кто звонил найдут любые номера телефонов.
То, что однажды попало в Интернет, остается там навсегда, а значит, если вы налево и направо разбрасывали в Интернете свои настоящие данные, на вас уже накопился приличный компромат, который может быть использован против вас хакерами и мошенниками и недоброжелателями.
Все наши враги начинают охоту за нами с анализа наших публичных данных — то, что мы сами о себе рассказали и опубликовали в сети. Например, ваш невинный ник, использованный в онлайн‑игре или на форуме, вы также могли использовать в далеком прошлом на сайте с объявлениями. Таким образом у охотника за вами первый шаг трансформируется во второй — он нашел вас на другом сайте по нику, а у этого ника на забытом вами сайте был «засвечен» номер телефона. Далее снежный ком нарастает: второй шаг переходит в третий — охотник пробивает владельца номера телефона по слитым базам или через услуги в даркнете. На четвертом шаге уже известно ваше настоящее имя и место жительства, а дальнейшее развитие событий зависит уже от намерений злоумышленника.
Чтобы избежать такого развития событий, заведите себе привычку использовать уникальные логины/ники/имена/аватары и почтовые адреса при регистрации на каждом новом сайте. Существует масса сервисов вроде этого, позволяющего вам получать временный почтовый ящик для регистрации на каждом левом сайте, чтобы не палиться лишний раз. Также не используйте на сайтах, где вы предпочли бы остаться анонимным, данные, которые вы уже связали с собой где‑то ранее: ссылки на ваши блоги и соцсети, аватары, ники и даже пол.
Чем меньше данных вы о себе сохраняете в профилях и настройках различных сервисов, тем меньше шансов вы оставляете кому‑то в будущем вам навредить.
Не доверяйте одни и те же данные разным сервисам: используйте виртуальные карты, дополнительные или одноразовые адреса email, заведите вторую симку для спама и регистраций, не привязывайте аккаунты к соцсетям.
P. S. «Гуглу», да и другим сервисам, бы на самом деле стоило в SMS с кодами указывать контекст: с какого сервиса и/или с какими целями их запрашивают. Так делают банковские сервисы, указывая не только сумму, но и часто назначение транзакции. Учитывая, как много сейчас завязано на всякие глобальные сервисы типа Гугла, «Яндекса», «Мэйл.ру», им всем нужно принимать банковские стандарты оповещений: ведь через доступ к ним банковские счета пользователей, а то и что похуже, могут оказаться от злоумышленника на расстоянии протянутой руки.