Пережив недавно небольшой security-испуг — мне пришла SMS с кодом «Гугла» вида G-******, я отправился искать, что это может значить. Не знаю, как у вас, а у меня это уже не первый случай, правда, после этого обычно больше ничего не происходит. Понятно, что это какой-то код авторизации, но понять, случайно пришла SMS или намеренно, и куда именно пытались попасть злоумышленники, в сам аккаунт или какой-то привязанный к нему сервис? Хотя я и подозреваю, что это была попытка взлома, какова именно схема взлома, «Гугл» мне не подсказал — а, значит, какие узкие места мне надо застраховать, я так и не понял. В итоге, прочитав форумы, проверив все авторизованные устройства, и сменив пароль, я вынужден был успокоиться.

Зато в процессе поисков я нашёл то, чего не искал: пример угона «Инстаграма» (запрещённого в РФ сервиса, признанного экстремистским) в 2015 году, используя дыры в поддержке Apple и Amazon. Кейс показывает пример простоты взлома при наличии знаний алгоритмов работы поддержки сторонних сервисов. Этот конкретный пример сегодня уже безопасен для публикации, но принцип в основе угона сохраняет актуальность.

Ранее я уже писал, что хакеры не могут залезать в любые ваши аккаунты по щелчку пальцев, но только если вы придерживаетесь 15 базовых правил безопасности. Вот, как однажды я взломал аккаунт жертвы Instagram (дело было в далеком 2015), которая этих правил не придерживалась:

1. В профиле жертвы Instagram была ссылка на её личный сайт.

2. На сайте я обнаружил Gmail адрес.

3. Я начал процесс восстановления пароля к Gmail.

4. Gmail сообщил мне Apple-овский email, привязанный к ящику, куда отправит ссылку для восстановления.

5. Мне нужно было взломать Apple-овский ящик, для этого я позвонил в тех.поддержку AppleCare, где они попросили у меня имя, адрес и 4 цифры кредитки.

6. Адрес жертвы я смог узнать, пробив владельца сайта через публично доступную информацию о доменах whois.

7. Для определения цифр кредитки, я позвонил в поддержку сайта, который точно знал кредитку жертвы — Amazon. Там я попросил добавить новую кредитку(свою фейковую), представившись владельцем, у меня спросили адрес, имя и email — все это уже было мне известно

8. Далее я снова позвонил в Amazon, попросил восстановить доступ к аккаунту, у меня попросили имя, адрес и номер кредитной карты - я сообщил номер фейковой кредитки, и мне предоставили доступ ????

9. А аккаунте Amazon я нашел настоящую кредитку жертвы, после чего опять позвонил в AppleCare, сообщив им то, что они так хотели - имя, адрес и 4 цифры кредитки.

10. Получив доступ к почте Apple, я восстановил пароль от Gmail, а получив доступ к Gmail, я восстановил доступ к Instagram.

Какие правила нарушила жертва? Не использовала двухфакторную аутентификацию, разгласила о себе слишком много информации в публичном доступе, не пользовалась виртуальными картами(одна на каждый сайт!). О тех.поддержке сайтов вообще молчу - фишинг будет работать всегда.

Telegram-канал Персональная безопасность

Главная проблема видна сразу: одни и те же фрагменты информации о нас сохранены в самых разных местах интернета. Замени Apple на «Мэйл.ру», а «Амазон» на «Озон» — и станет понятно, что выводы из этого кейса более, чем актуальны. Современные протоколы безопасности крупнейших сервисов постоянно улучшаются, но тут и проблема-то оказалась в том, что какие-то ключевые для взлома более защищённых сервисов данные могут быть записаны в открытом виде в каких-то менее защищённых местах.

Совет использовать двухфакторную аутентификацию общеизвестен, и скорее всего большинство людей от его применения сейчас останавливает скорее лень, чем неосведомлённость об этом.

Cлабость техподдержки Apple и Amazon в этом сценарии просто возмутительна. Но это важный аргумент за то, чтобы не сохранять данные карт ни на каких сервисах. Многие боятся, скорее, что сервис спишет что-нибудь лишнее. А надо бояться того, что эти данные могут стать звеном в цепочке взлома чего-то более существенного. Там, где привязка карты — важный вопрос удобства (сервисы подписки или регулярно используемые сервисы типа такси) — нужно использовать виртуальные карты.

Благо (и это редкое преимущество для российского пользователя) благодаря Системе быстрых переводов, перекидывать деньги между счетами в разных российских банков не стоит ни копейки, а завести виртуальную карту можно везде бесплатно.

Взлом любого сервиса доставки даст сегодня более точный адрес, чем whois может в принципе — вплоть до квартиры.

То, что однажды попало в Интернет, остается там навсегда, а значит, если вы налево и направо разбрасывали в Интернете свои настоящие данные, на вас уже накопился приличный компромат, который может быть использован против вас хакерами и мошенниками и недоброжелателями.

Все наши враги начинают охоту за нами с анализа наших публичных данных — то, что мы сами о себе рассказали и опубликовали в сети. Например, ваш невинный ник, использованный в онлайн‑игре или на форуме, вы также могли использовать в далеком прошлом на сайте с объявлениями. Таким образом у охотника за вами первый шаг трансформируется во второй — он нашел вас на другом сайте по нику, а у этого ника на забытом вами сайте был «засвечен» номер телефона. Далее снежный ком нарастает: второй шаг переходит в третий — охотник пробивает владельца номера телефона по слитым базам или через услуги в даркнете. На четвертом шаге уже известно ваше настоящее имя и место жительства, а дальнейшее развитие событий зависит уже от намерений злоумышленника.

Чтобы избежать такого развития событий, заведите себе привычку использовать уникальные логины/ники/имена/аватары и почтовые адреса при регистрации на каждом новом сайте. Существует масса сервисов вроде этого, позволяющего вам получать временный почтовый ящик для регистрации на каждом левом сайте, чтобы не палиться лишний раз. Также не используйте на сайтах, где вы предпочли бы остаться анонимным, данные, которые вы уже связали с собой где‑то ранее: ссылки на ваши блоги и соцсети, аватары, ники и даже пол.

  • Чем меньше данных вы о себе сохраняете в профилях и настройках различных сервисов, тем меньше шансов вы оставляете кому‑то в будущем вам навредить.

  • Не доверяйте одни и те же данные разным сервисам: используйте виртуальные карты, дополнительные или одноразовые адреса email, заведите вторую симку для спама и регистраций, не привязывайте аккаунты к соцсетям.

P. S. «Гуглу», да и другим сервисам, бы на самом деле стоило в SMS с кодами указывать контекст: с какого сервиса и/или с какими целями их запрашивают. Так делают банковские сервисы, указывая не только сумму, но и часто назначение транзакции. Учитывая, как много сейчас завязано на всякие глобальные сервисы типа Гугла, «Яндекса», «Мэйл.ру», им всем нужно принимать банковские стандарты оповещений: ведь через доступ к ним банковские счета пользователей, а то и что похуже, могут оказаться от злоумышленника на расстоянии протянутой руки.

Комментарии (10)


  1. john_samilin
    11.04.2023 11:34
    +1

    Мне еще нравится фича в почтах, которая называется "алиасы". Генеришь себе бесконечное количество новых адресов, которые можно в случае чего смело удалять, обрубая канал поступления спама


  1. Obormottt
    11.04.2023 11:34

    и чем двухфакторка поможет в описанной выше ситуации?


    1. ReaderReader
      11.04.2023 11:34

      Чтобы получить доступ к аккаунту Амазон со стороны поддержки (например, для привязки новой карты) работник поддержки Амазон должен ввести у себя в системе код подтверждения, который придет на привязанный к адресу мобильный. Таким образом при включенной двухфакторной аутентификации в описанной схеме все застопорилось бы в п.7


      1. Obormottt
        11.04.2023 11:34

        подозреваю, что при неподключенных смс этот код должен бы приходить на подключенный емейл.


        1. ReaderReader
          11.04.2023 11:34

          Нет. Я сейчас специально проверил. Для доступа к аккаунту через поддержку есть только один вариант двухфакторной аутентификации: через СМС.
          Для доступа к аккаунту через экран входа двухфакторная аутентификация через приложение (Google Authenticator и т.п.)


  1. alex1478
    11.04.2023 11:34
    +2

    пришла SMS с кодом «Гугла» вида G-****** \

    Тоже часто приходят такие смски


  1. Mingun
    11.04.2023 11:34

    То есть нас пытаются убедить, что поддержка AppleCare честно хлопала ушами? Прям так и вижу:
    — Ваше имя?
    Ой, подождите, сейчас уточню и перезвоню? Ладно, имя уже знаем
    — Где живете?
    — Подождите 5 мин, запамятовал…
    — Последние 4 цифры кредитки
    — Я попозже перезвоню, лады?

    — Ваше имя?
    — фгфыр
    — Где живете?
    — бапаыпыва
    — Последние 4 цифры кредитки
    — Ух, вот, видите — я — это я


    Вы приняты


    1. rocambole
      11.04.2023 11:34

      Ну, только если вы робот) Человек всегда может сказать: "Простите, у меня кот сосиску тырит, я вам перезвоню".


  1. Genkaggg2
    11.04.2023 11:34
    +1

    Угон аккаунта в Instagram - это процесс, когда злоумышленник получает доступ к вашей учетной записи и начинает управлять ею без вашего разрешения. Это может произойти, если вы предоставили свои логин и пароль кому-то другому, использовали общедоступный Wi-Fi или нажали на подозрительную ссылку в сообщении или электронной почте.

    Чтобы избежать угона аккаунта в Instagram, следуйте этим советам:

    1. Никогда не предоставляйте свои данные для входа в аккаунт другим людям.

    2. Используйте надежные пароли и не используйте один и тот же пароль для всех своих аккаунтов.

    3. Не подключайтесь к общедоступным Wi-Fi сетям без необходимости.

    4. Не нажимайте на подозрительные ссылки в сообщениях или электронной почте.

    5. Включите двухфакторную аутентификацию для дополнительной защиты вашей учетной записи.

    Если ваш аккаунт был украден, немедленно свяжитесь с службой поддержки Instagram и сообщите о проблеме. Они могут помочь восстановить ваш аккаунт и защитить его от дальнейших атак.


  1. XanderBass
    11.04.2023 11:34
    +2

    после чего опять позвонил в AppleCare

    Забавно. То есть хотите сказать, что в AppleCare никто не заподозрил, что обращался явно не хозяин учётной записи? Четыре цифры кредитки человек может не помнить (у некоторых людей совсем плохо с памятью), но уж имя-то и адрес любой человек помнит.