09.01.2018 08:15
Siemargl 23 3000 Источник


Новый год начался весело — случилось странное и непривычное – меня взломали. Адрес был на Национальной почтовой службе Мэйл.ру.


Ну взломали и взломали, с кем не бывает но, как говорится, «есть один нюанс».


Самое смешное, что последнее время пришлось немного заниматься вопросами кибербезопасности. Типичная картина «Сапожник без сапог».


Пароль был как пароль, старый и привычный, – цифробуквенная комбинация из 6 знаков, не усиленный.


Пароль для почты не светился и не использовался для других сайтов, ну кроме еще одной большой почтовой службы (на которую много лет уже не смотрю). Пользуюсь исключительно собственными компьютерами/ноутбуком, с телефона на почту не хожу.


Антивирусы, обновления тоже имеются. Вывод — кого то из трех взломали, и надеюсь что меня =)


Пришлось озадачиться вопросом почтовой безопасности, и выяснилось что:


  • Для начала замечу, что очень хороший и удобный журнал безопасности
  • Попыток подбора пароля в журнале не зафиксировано
  • Отсутствует автоматическое детектирование захода в почту с разных стран. Хотя из-за разных операторов страна может неверно определяться по IP-адресу. Вероятнее всего, для анализа нужно создавать какой-никакой искусственный интеллект (ИИ)
  • Хотя за 10минут четыре логина с 4х разных стран (РФ, США, Вьетнам, Бразилия) можно было отдетектировать и самому тупому ИИ
  • Количество писем по логу иногда не соответствует папке отправленных
  • Опасные операции, такие как удаление всех писем, не требуют двухфакторной авторизации (телефон привязан)
  • Ну искусственный интеллект наверное все же есть – блокировка сработала после удаления и очистки входящих =)

Что я потерял – немного. Только веру в безопасность и полдня на смену всех паролей.


Хотя служба техподдержки ожидаемо сказала, что ничего поделать не может (шутка ли, целых 12 часов прошло, какие такие бэкапы), копия почты у меня осталась в Аутлуке.


И маленький штрих. Недавно наблюдал пару сбоев в работе поиска (к которому привык, т.к был отличным) – письмо есть, но даже по адресату не находится. Но это уже совсем мелочь.


Резюмируя, поставил себе вопрос – «А что же с этим всем делать?». Чтобы ситуация не повторилась.


И ответ плохой – «А вы против взлома почти ничего поделать не можете», разве что нужно включать двухфакторную аутентификацию на телефон, причем с этого же телефона ходить на почту нельзя.


Насколько я понимаю, Национальная почтовая служба вполне может подпадать под свеженький N 187-ФЗ "О безопасности критической информационной инфраструктуры Российской Федерации".


Так что самое время открыть дело за недостаточное принятие организационных и технических мер для обеспечения безопасности (халатность) – Ст.11.2


Но на самом деле мне нужна шкурка взломщика – он засветился, как солнышко (не скажу в чем, вдруг он тут тоже Хабр читает =)


Свои ошибки постфактум
  1. Простой пароль
  2. Лень пользоваться двухфакторной аутентификацией
  3. Отсутствие контроля за журналом безопасности
  4. Расслабленность и доверие к настроенной "Системе"
  5. Использование не выделенного браузера для почты (спорно)
  6. Слишком сильная привязка сервисов к одной почте
  7. Полумеры в безопасности недопустимы

Комментарии (23)


  1. iWheelBuy
    09.01.2018 11:23
    #10605878

    “причем с этого же телефона ходить на почту нельзя” — можете подсказать причину, по которой с этого же телефона нельзя?


    1. Free_ze
      09.01.2018 11:46
      #10605958
      +1

      На одном устройстве светятся оба «фактора», из-за чего их смысл сходит на нет.


  1. vp7
    09.01.2018 11:27
    #10605892

    Хотя служба техподдержки ожидаемо сказала, что ничего поделать не может (шутка ли, целых 12 часов прошло, какие такие бэкапы), копия почты у меня осталась в Аутлуке.

    А есть способ полностью забекапить почту с mail.ru?
    Не знаю как сейчас, но раньше у них возникали проблемы с поддержкой IMAP, поэтому в итоге отказался от использования внешнего почтового клиента.


    1. BasilioCat
      09.01.2018 12:37
      #10606068

      IMAPSync никто не отменял, возможно придется подбирать параметры командной строки, чтобы письма не дублировались и имена папок совпадали, но можно на свой (или сторонний) IMAP сервер все письма перелить и в дальнейшем синхронизировать.


  1. caveeagle
    09.01.2018 11:59
    #10606000

    А вы проверяли ваш пароль по базе из этого поста?
    Если что, ваш логин там засвечен.
    Я как раз делаю большое исследования на основе этих данных.


    1. Siemargl Автор
      09.01.2018 13:47
      #10606178

      Это имеет не много смысла.
      Почтовик должен быть защищен от автоподбора и неважно, по какой базе.

      Логин в моей почте не совпадает с хабровским ником.

      Тем не менее, оба подозрительных на взлом е-мейла по базе не пробились.


  1. rub_ak
    09.01.2018 12:26
    #10606052

    Статья не о чем, жалобы на несуществующие проблемы и на отсутствие непонятно кому нужного функционала.


  1. FairyCake
    09.01.2018 13:48
    #10606180
    +1

    Я вам советую проверить новые фильтры в почте. Когда ломанули мой ящик, ставили копию отправки всех писем на левый адрес, чтобы «восстановленные пароли» хватать. Помню, что сильно плевался, когда все пароли по второму кругу менял. :)


    1. Siemargl Автор
      09.01.2018 13:50
      #10606184

      В журнале безопасности записывается сообщение о редактировании фильтров.

      Надо потом перепроверять.


  1. elobachev
    09.01.2018 13:50
    #10606186

    Вы пишете — «Но на самом деле мне нужна шкурка взломщика». Боюсь, у СБ майл.ру нет лицензии на снимание шкурок со взломщиков. Необходимо обратиться в полицию, как не странно это звучит =) Вон, господин Мошков из БСТМ МВД России регулярно рассказывает на различных ИБ тусовках, как страшно жить, а если нет заявления от потерпевшего, то как он догадается что нужно что то делать?


    1. Siemargl Автор
      09.01.2018 13:54
      #10606188

      Да, взлом почты, это статья УК РФ.

      В полиции много лет существует соответствующее отделение — Управление «К»


      1. Samouvazhektra
        09.01.2018 16:31
        #10606542

        А есть реальные кейсы, когда оно помогло в случае угона мыла, или аккаунта в соц.сети?


  1. lostpassword
    09.01.2018 14:09
    #10606216

    нужно включать двухфакторную аутентификацию на телефон
    То есть Вы на важном почтовом ящике её не включили? Включайте)

    В качестве одной из мер можно предложить создать мастер-ящик с рандомным именем, а основной ящик оформить в виде псеводнима (у Mail.Ru функция назвается «Анонимайзер»). Так по крайней мере снизится риск того, что имя ящика найдут простым перебором.


  1. KoMePcAHT
    09.01.2018 14:17
    #10606230

    почему нельзя пользоваться нормальной почтой? gmail например


  1. third112
    09.01.2018 16:50
    #10606588

    В список мер повышения безопасности можно ИМХО добавить ОС повышенной безопасности.


  1. pyrk2142
    09.01.2018 16:54
    #10606608

    Есть очень странное наблюдение, расскажу на примере Mail.ru: служба информационной безопасности шикарная (одна из самых лучших, а общался я много и с ними, и с кучей других служб). Но если что-то случается с обычным пользователем, то общение происходит с техподдержкой, которая в сложных ситуациях не очень помогает. И не ясно, что с этим делать: от обычного сотрудника поддержки нельзя требовать специфичных знаний, ответы из FAQ не гарантируют отсутствие взлома этим же способом, а время безопасника стоит дорого.

    Хотя у других компаний бывают примеры ещё хуже. В какой-то момент украли аккаунт знакомого в одном очень известном белорусском сервисе. Есть серьёзные подозрения, что одним из этапов было использование какой-то достаточно серьёзной уязвимости в сервисе. Были попытки достучаться до поддержки, но заинтересованности именно в уязвимости не было вообще.


  1. Yarique
    09.01.2018 19:21
    #10606984

    Meltdown, Spectre не могут быть причиной? (:


  1. electronus
    09.01.2018 20:00
    #10607030

    Вектор атаки был каков? Кейлоггер в системе? В браузере? Или XSS?
    От правильного ответа на вопрос можно отталкиваться дальше. А так, очень сложно даже предположить что произошло с Вами.


    1. rub_ak
      09.01.2018 20:31
      #10607086

      Очень часто всё намного проще: бывшая(ый), только 4 ip картину портят.


      1. cepera_ang
        09.01.2018 20:39
        #10607102

        Просто взломщик зашёл через Тор, отсюда и IP. А это сейчас каждый второй знает и понимает.


        1. rub_ak
          09.01.2018 20:40
          #10607108

          TOR цепочку и выходную ноду сам просто так, на сколько я знаю, не меняет


  1. cepera_ang
    09.01.2018 20:38
    #10607096
    +1

    Статья отрицательной полезности. Какой-то набор случайных фактов, предположений и размышлений. Автор потерял где-то пароль (судя по содержимому статьи в виде «я занимаюсь кибербезопасностью и даже антивирус обновлён, почему при удалении писем второй фактор, который я не включал не запрашивается?!»), разнылся и просит больших государственных дядек вытереть ему слезы.

    > Так что самое время открыть дело за недостаточное принятие организационных и технических мер для обеспечения безопасности (халатность) – Ст.11.2
    Т.е. наказать автора, за то, что позволил утечь паролю, никогда его не менял и сам же не включил 2FA? Или мэйл.ру за то, что они заблокировали добросовестного взломщика (почему добросовестного? Ну он же знал логин/пароль, может это я сам через Тор зашёл на свою почту и решил почистить входящие от мусора), на основании каких-то непонятных эвристик и не дали ему дальше пользоваться вашей почтой? :)


    1. Siemargl Автор
      09.01.2018 21:22
      #10607174

      Скорее Вы просто не поняли смысл статьи.

      Т.е. я зря не написал в конце все выводы, как в Голливудских фильмах?