Около полуночи, 11 августа, самопровозглашённый полуночник Джеред Кенна работал у себя дома, в Меделлин, Колумбия, когда вдруг получил уведомление, что на 2-х его e-mail аккаунтах были изменены пароли. Он пытался создать новые пароли самостоятельно, заставляя e-mail сервисы высылать ему сообщения с кодом — но они так и не пришли.
“Так что, я позвонил в компанию чтобы убедиться, что не забыл оплатить свой телефонный счёт, а они сказали, мы не обслуживаем ваш номер. Вы перенесли свой номер в другую компанию”. Хакер подделал идентификационные данные личности и перевёл его телефонный номер из ведения корпорации T-Mobile к поставщику услуг, известному под названием Bandwidth, подсоединённому к Google Voice аккаунту, принадлежащему хакеру. Как только все звонки и СМС-сообщения Кенны стали переадресовываться хакеру, он сменил пароли от почтовых аккаунтов, так как код подтверждения смены пароля пришёл к нему (или, технически, на номер Кенны, который недавно оказался во владении хакера). В течении первых 7 минут после того, как Кенна утратил доступ к своему первому аккаунту, он также потерял более 30 других, включая аккаунты в двух банках, PayPal, двух биткойн сервисах — и, что самое важное, был потерян аккаунт в Windows, который является ключом к его компьютеру.
Подобные события могут нанести сильный удар по чьей-то жизни, однако для Кенны всё оказалось ещё хуже. “Я ранний биткойнер”, говорит он. “Не думаю, что к этому стоит что-то добавить”.
Кенна в биткойне настолько давно, что помнит, как подключал компьютер к сети и видел лишь 4 других компьютера, поддерживавших её. Сегодня, таких компьютеров существует более 5000. Компьютеры, поддерживающие сеть, вовлечены в соревнование за право найти блок и выиграть биткойны каждые 10 минут. В ранние дни, сумма составляла 50 BTC, сегодня это — 12,5 BTC. Кенна вспоминает что, в определённый момент, когда он получал “всего лишь” 50 биткойнов в день, он перестал поддерживать сеть, думая, что овчинка не стоит выделки. В сегодняшних ценах, он отказывался от $40k ежедневно.
Несмотря на то, что у него были некоторые биткойны в онлайн-сервисах, частично из-за того, что его бизнес принимает платежи в биткойнах, он хранил почти все свои монеты на зашифрованном жёстком диске. “Это было моим фондом на чёрный день, в стиле никогда-не-продам-пока-не-достигнет-миллиарда-за-монету”, говорит он. Кенна держал монеты в оффлайн на протяжении прошедших нескольких лет, но подсоединил то устройство к сети для перемещения монет в более безопасное место и продажи некоторой их части. Несмотря на то, что монеты были заблокированы 30-ти значным паролем, хакеры всё равно вывели их. А в отличии от транзакции с использованием банковской карты, Биткойн-платёж нельзя отменить.
Когда у него спросили, сколько биткойнов Кенна потерял, он засмеялся. Подтвердил лишь, что это были миллионы и миллионы долларов. “Я был одним из первых людей, которые вообще что-то делали в Биткойне, и теперь у меня нет биткойнов, о которых можно было бы поговорить”, – комментирует Кенна. “У меня осталось около 60 монет, что является мизером в сравнении с потерянным, малой крохой”.
Плюс, он до сих пор не смог вернуть себе телефонный номер (T-Mobile отказывается обсуждать индивидуальные клиентские проблемы).
В более сильной волне биткойн мошенников, которые бьют по каждому, от обычных людей, и до целых госпиталей, опыт Кенны выглядит каплей в море других недавних взломов высокопрофильных игроков криптовалютной индустрии, вроде вечурных капиталистов, предпринимателей, исполнителей высшего звена, и других, чей номер телефона был взломан, некоторые при этом потеряли деньги, некоторым достались угрозы и шантаж, а один человек даже подвергся физической опасности.
Эти опыты — часть более масштабного тренда. В январе 2013 года, Федеральная Комиссия по Торговле (FTC, Federal Trade Commission) получила 1038 отчётов о таких инцидентах, что составляет 3,2% от всего объема отчётов про “кражи личности” за месяц. В январе 2016, поступили документы о 2658 случаях взлома, что составило 6,3% от всех полученных отчётов. Были даже инциденты с вовлечением в кражу личности всех 4-х главных мобильных операторов США.
Довольно сложно точно оценивать количество криптовалютных взломов, однако Coinbase, самая популярная в США криптовалютная биржа, говорит об увеличении в 2 раза количества взломов среди их клиентов, в период с ноября по декабрь. В индустрии, жертвами подобного взлома пали — венчурный капиталист Адам Дрейпер, Брок Пирс, Бо Шень и Стив Уотерхаус, неназванный исполнительный директор в Coinbase, Мика Уинкельспехт из Gem, бывший управляющий Bitfury Майкл Голомб, ранний биткойн предприниматель Чарли Шрем, майнер Джоби Уикс, разработчик Джоель Диетз, шестеро партнёров децентрализованной платформы предсказаний Augur, база данных форума Эфириума, и другие, кто отказался называться с целью уберечься от новых хакерских атак.
В то время, как многие из них не потеряли много финансов, потери Кенны стоят среди самых масштабных. У Шеня украли 300 000 токенов Augur REP, плюс неоглашённое количество биткойна и других криптовалют. Уикс потерял около 100 000 долларов биткойнами, а также вклады в менее известные криптовалюты вроде Эфириума, Ripple и Monero. Ко всему прочему, его друзья коллективно отдали хакеру, притворявшемуся Уиксом и просящему срочно занять ему деньги, около 50 000 долларов биткойнами. (Уикс рассказал о криптовалюте множеству людей, раздавая биткойны годами в количестве, примерно равном 1000 биткойнов, так что его друзья хорошо подкованы в отправке криптовалюты друг другу). Кенна и другие жертвы также сказали, что хакеры атаковали их друзей и крали биткойны и другие виртуальные валюты.
Однако, брешь в безопасности, которая используется в данном случае, не распространяется исключительно на крупных игроков криптовалютной индустрии — они становятся первыми жертвами просто потому, что биткойн транзакции нельзя отменить. Дыры в безопасности, которые нравятся хакерам, могут быть использованы против любого, кто имеет телефонный номер для управления безопасностью в таких сервисах как банки, Google, iCloud, PayPal, Dropbox, Evernote, Facebook, Twitter, и многих других. Хакеры прорывались к банковским счетам и пытались совершать переводы на сторонние счета; использовали кредитные карты для платежей; вламывались в аккаунты Dropbox с важными файлами: сканами паспорта, данными кредитных карт и налоговой отчётности; шантажировали жертв при помощи инкриминирующей информации, найденной в личной переписке.
Пирс, венчурный инвестор из Blockchain Capital, недавно также подвергся взлому телефонного номера. Он сказал, что передал оператору T-Mobile через службу поддержки, что “проблема расширится от пяти клиентов до пятиста. Это будет эпидемия, и вам небходимо подумать обо мне как об огне в угольной шахте”.
Телефон как ваша “виртуальная личность”
Защищаю аккаунт… -Давай помогу.
Во всех случаях вроде того, что произошёл с Кенной, хакерам не потребовалось никакого специализированного компьютерного знания. Телефонный номер — ключ. А способ, с помощью которого можно заполучить контроль над ним — позвонить оператору колл-центра мобильной связи и попасть на человека, плохо понимающего в аспектах безопасности. Затем, хакер может использовать широко распространенное средство безопасности, называемое двух-факторная аутентификация (2FA). Вроде как, если вы логинитесь на сайте с использованием кода, отправляемого в СМС, или иногда — при помощи телефонного звонка, это должно добавить ещё один уровень безопасности помимо вашего пароля, так как вам необходимо ввести код, полученный сторонним способом. Все отлично, если вы владеете своим телефоном. Но если он был переадресован на устройство хакера, то код отправляется напрямую ему, давая доступ к e-mail, банковским счетам, криптовалюте, аккаунтам в соцсетях и так далее.
Прошедшим летом, Национальный Институт Стандартов и Технологий (NIST), который устанавливает стандарты безопасности для федерального правительства, “отверг”, или же показал, что, скорее всего, удалит поддержку 2FA через СМС в качестве меры безопасности. В то время, как уровень безопасности для приватного сектора куда более низкий, чем тот, каким обладает правительство, Пол Грасси, младший советник по стандартам и технологиям в NIST, утверждает, что СМС-ки “никогда реально не доказывали факт владения телефоном, потому как вы можете переадресовать ваши текстовые сообщения так, чтобы получать их на e-mail, или на ваш Verizon веб-сайт, при помощи одного лишь пароля. На самом деле не было никакого доказательства в виде двойного фактора”.
Хуже всего, это если у хакера изначально нет вашего пароля, но процесс восстановления пароля реализован при помощи СМС. Затем, хакер может сбросить пароль при помощи вашего телефонного номера — это выглядит как однофакторная аутентификация.
Однако 2FA с использованием СМС стало повсеместным делом из-за своей доступности. “Не у всех есть смартфоны. Некоторые люди предпочитают классику”, говорит исследователь Android Джон Сойер. “Если Google отключит сервис 2FA через СМС, то все обладатели старых телефонов лишатся этой функции. Таким образом что хуже — убрать двухфакторную авторизацию или же оставить ту, что можно взломать”? (На конец 2016, согласно рыночным исследованиям мобильной индустрии под авторством фирмы CCS Insight, во всём мире будут использоваться 2,56 млрд. не-смартфонов и 3,6 млрд смартфонов).
Вот именно поэтому Google предлагает сервис 2FA с помощью СМС — это метод, который даст большинству пользователей дополнительный уровень безопасности. Компания также предлагает пользователям опции более высокой степени безопасности, вроде приложения под названием Google Authenticator, которое случайным образом генерирует коды на “hardware” устройствах типа Yubikeys, для пользователей с высокими рисками (хотя кто-то мог бы возразить, что эти методы должны использоваться всеми пользователями, которые управляют любой важной информацией, вроде банковских счетов с e-mail адресами их владельцев).
Даже криптовалютные компании, которые могли бы попасть в категорию высокого риска, продолжают использовать аутентификацию через СМС (хотя, они предоставляют также и более безопасные опции). Филипп Мартин, директор по безопасности Coinbase, фирмы, известной своей безопасностью, ответил по почте, что “Сервисом Coinbase пользуются около пяти миллионов пользователей из 32 стран, включая “развивающиеся”. Печальный факт в том, что у большинства пользователей нет технической альтернативы СМС-кам. У них нет либо смартфона, либо технической осведомлённости и знаний для использования более утончённых технологий. Учитывая такие ограничения, мы думаем что любая двухфакторная аутентификация лучше, чем её полное отсутствие”. Другой Биткойн стартап, также известный хорошей безопасностью и ростом числа клиентов на развивающихся рынках, Xapo, использует двухфакторную аутентификацию через СМС, но планирует в скором времени выключить эту функцию. (Оба сервиса предлагают другие меры безопасности, которые предотвратили кражу биткойнов у пользователей с телефонами).
Джесси Пауэлл, гендиректор американской биржи Kraken, написал исчерпывающий пост в блоге о том, как уберечь себя от взлома телефонного номера, и обвиняет телекомы в небезопасном хранении номеров вопреки тому факту, что они служат главным элементом безопасности в столь многих сервисах, включая e-mail. “Телекомы не ведут себя с вашим номером так, как если бы это был банковский счёт, однако именно так и должны обстоять дела. Если вы что-то запросите, не показав документы или не предоставив пароль, они не должны помогать вам”, – говорит он. “Но они ставят удобство пользователей в приоритет, остальное вторично”.
Он утверждает, что такое отношение повышает риски в особенности в отношении людей, владеющих криптовалютой. “Для людей в Биткойне создаётся совершенно другой уровень угрозы”, – утверждает Пауэлл. Средний человек может потерять доступ к фото или личной информации, или быть в состоянии попросить банк отменить транзакции по кредитной карте. “Но для людей в Биткойн-сфере, существуют некоторые реальные последствия”, – говорит он. “Теперь мы все в Интернете ценности, а уж тут мы имеем дело с реальными деньгами”.
Хакеры выбирают оружие: “Социальная инженерия”
Чтобы прорваться через представителя сервиса, хакеры обычно применяют то, что называется социальной инженерией, её используют в 66% всех хакерских атак. Расширенная версия продемонстрирована в данном видео (начинается примерно на 1:55), где женщина с ребенком, плачущим за кадром (на самом деле это просто аудиозапись с Ютуба) утверждает, что она недавно выскочила замуж за принца, но не знает, какой именно e-mail нужен для логина в аккаунт её любимого. Затем она получила доступ и сменила почту и пароль, что лишило жертву всяческого контроля.
“Когда люди думают о хакерах, они думают о ком-то, взламывающем ваш копьютер при помощи приложений. На самом деле, в современном мире все работает не так”, – говорит Крис Хэднеги, главный человеко-хакер в Social-Engineer, фирме, котора обучает компании бороться с атаками социальных инженеров.
Хэднеги говорит, что при помощи LinkedIn, Facebook, Twitter и FourSquare “Я могу очень точно создать психологический портрет — что вы едите, какую музыку слушаете, ваша рабочая история, история отношений, я узнаю достаточно о вас для того, чтобы общаться под вашим именем с любыми сервисами и их операторами”. Дни рождения очень легко раскрываются на сайтах вроде Facebook, а год рождения можно подсмотреть на LinkedIn, таким образом, хакер, использующий социальную инженерию, может использовать эту информацию для звонка к мобильному оператору и сказать, что забыл пароль от аккаунта, но зато предоставить дату рождения, телефонный номер, адрес или даже последние 4 цифры Номера СоцСтрахования (Social Security Number, или SSN), так как он все шире используется в США для иденификации людей и смены пароля, рассказывает Хаднеги.
Он также замечает что, за последние два года, хакеры усилили использование телефонных номеров для проникновения, потому как возможность “подделать” линию — сделать вид, что вы позвонили с другого номера — стала широко доступна.
“Вы можете сделать это бесплатно, используя большинство VoIP провайдеров, а способов проверки подлинности номера нет”, – говорит он. “Я могу взять тот номер, с которого вы меня набираете, и через минуту перезвонить вам с такого же номера. Если это ваш настоящий номер и вы не установили пин-код, я также смогу позвонить в службу голосовых сообщений вашего оператора и сразу же получить доступ к записям. Я могу позвонить вам из Белого Дома. Я могу подделать любой номер в мире”.
Во взломе телефона исполнительного директора Gem, Мики Винкельшпехта, настойчивый хакер звонил в T-Mobile шесть раз за один день, пытаясь притворяться им. Пять раз хакеру отказали в доступе к аккаунту, однако шестой оператор позволил ему войти и переадресовать вызовы на другой телефон. “В этом нет вины потребителей”, – говорит он. “Я использовал менеджер паролей, случайные пароли, двухфакторку — расскажите мне о чём угодно, и я воспользуюсь этим”. Винкельшпехт, который не потерял ни копейки денег, говорит, что мог использовать все меры предосторожности, какие только существуют в мире, и всё равно оказаться жертвой, потому как “достаточно, чтобы всего один человек в колл-центре совершил ошибку и скомпрометировал вашу цифровую личность”.
Опыт Стива Уотерхауса, бывшего партнёра в фирме венчурных инвестиций в блокчейн и криптовалюты Pantera Capital, показывает, как просто можно заниматься социальной инженерией, если разговариваешь с агентом колл-центра, искренне желающим помочь. Два месяца назад взломщики перенесли этот номер на оператора Bandwidth. Когда недавно он вернул себе номер, он позвонил провайдеру Verizon для того, чтобы включить международные звонки. Представитель Службы Поддержки попросил назвать секретный пароль, “И я ответил, подождите-ка, ой, дайте вспомнить, у меня есть несколько бизнесов и разных аккаунтов, а парень сразу такой, а, не волнуйтесь об этом, просто скажите последние четыре цифры вашего SSN. Я сказал тогда, “Ого, в чём же тогда смысл пароля”? А он, типа, “Ну, знаете, эта…” А я отвечаю, “Можно ли мне перенести номер в ведение другого оператора”? На самом деле я не хотел никуда переносить номер, – это была проверка. А он такой, “Да, нет проблем, куда вы хотите его перенести”? Я отвечаю ему, “Разве у меня не включена опция блокировки переноса, а он говорит, подождите, посмотрю в заметках. А там нет места для них, заметки похоронены в завалах из бумаг с заметками о звонках других клиентов. И он отвечает, “Ах да, такое с вами случалось, да. Ух вау, у вас установлен повышенный уровень безопасности! Вот дерь&о, кто-то должен бы написать об этом в самом начале заметки”. Я ответил ему, “Офигеть, значит всё просто случайно. Если мне удастся попасть на правильного человека, я смогу перенести чужой номер куда угодно”. А он типа, “Конечно же нет, вы не можете”. Я подумал, что как по мне – это точно не похоже на безопасность”. (Verizon отказались обсуждать детали проблем индивидуальных клиентов).
У хакеров есть множество возможностей получить личную информацию. Хакер Уотерхауса вообще писал ему сообщения притворяясь, что он — его друг, и пишет о нём и его жене пост в блоге, и хотел бы узнать, где они встретились — это информация, необходимая для ответа на секретный вопрос. Хакер исполнительного директора Coinbase пытался писать сообщения другим директорам чтобы изменить пароль ящика e-mail. Один хакер сказал своей жертве, что только что набрал номер онлайн-ритейлера и притворился им, а затем сказал, что не уверен, какой именно адрес и номер телефона он указал в заявке, таким образом, он получил доступ к этой информации и затем использовал её для контакта с мобильным оператором. (Очень красиво, но вранье в данном случае: к ритэёлеру уже больше года не обращался никто, кто бы назвался именем этого клиента).
Некоторые хакеры стали охотиться за любимыми людьми своих жертв, с целью получить доступ к телефону или просто взломать аккаунт а затем шантажировать жертву. Например, Пирс предпринял экстренные меры безопасности — его номера не значится рядом с именем, но он записан вместе с именем девушки, с которой у него личные отношения. В начале декабря, мужик, притворявшийся Пирсом, позвонил в T-Mobile с запросом о её номере аккаунта. У неё был пароль на аккаунте, который звонящий обязан предоставить перед тем, как кто-либо сможет получить доступ к счёту, но она говорит, что представитель T-Mobile сообщил начальству, что позабыл об этом важном шаге. Через несколько дней, кто-то, кто представился Пирсом, позвонил в T-Mobile, предоставил имя владельца аккаунта и последние 4 цифры её SSN номера, после чего перенёс номер Пирса в базу мобильного оператора Sprint.
Хакер стал охотиться за телефонным номером невесты Чарли Шрема, известного биткойн-предпринимателя. В июле прошлого года, когда он переписывался с ней по телефону, она упомянула, что её Google аккаунт однажды перестал работать, а затем в течении нескольких минут телефон выключился намертво. Шрем пытался залогиниться в её компьютер, Mac, но появилось сообщение, что компьютер был заявлен как украденный и полностью очищен. Хакер, скорее всего, сбросил её iCloud пароль при помощи СМС кода, а затем заявил, что Mac украден и удаленно очистил его. После того, хакер написал самому Шрему, делая вид, что он — его подружка, и выпрашивал 50 биткойнов, а затем ещё и Apple ID.
(с) Чарли Шрем, сообщения от “подружки”
Регуляторы оставляют безопасность на усмотрение операторов
В ранних 2000-х, Федеральная Комиссия по Коммуникациям ввела правило о соблюдении приватности, обязывающее операторов переносить номера при получении правильного запроса, чтобы предотвратить возможность держать клиентов “заложниками” их сервиса. Для того, чтобы инициировать перенос, новый оператор должен получить телефонный номер, номер счёта, почтовый индекс и секретный пароль — если пользователь решил таковой использовать.
Что касается подтверждения и защиты личности, “У операторов имеются обязанности по закону о защите пользовательской информации, и недавний указ Федеральной Комиссии относительно приватности усилил правила защиты пользовательских данных”, – сказал Марк Вигфилд, пресс-секретарь Федеральной Комиссии по Коммуникациям, в e-mail переписке. Несмотря на то, что правила якобы используются в первую очередь Интернет-компаниями, они также касаются и сотовых операторов, хотя не нацелены специально на предотвращение взломов. Федкомиссия предлагает свод правил, которым операторы могут следовать ради защиты персональных данных клиентов, вроде “внедрение самых свежих и актуальных для индустрии, процедур” и “отличных инструментов аутентификации пользователя”, но выбор конкретного решения предоставляется, собственно, компаниям.
Sprint, Verizone и T-Mobile отказались давать комментарии для данной статьи, то же сделал и Административный Центр Переноса Номеров (Number Portability Administration Carrier, или NPAC), который управляет системой переноса. Джон Мариньо, вице президент по технологиям и кибербезопасности в организации мобильной индустрии CTIA, выпустил заявение в e-mail рассылке, что “все наши участники считают приватность и безопасность клиентов своим самым высоким приоритетом. У всех имеются обширные протоколы безопасности и процедуры, защищающие персональную информацию и данные пользователей и помогающие отвечать расширяющемуся ландшафту отрасли безопасности”. Бла бла бла бла бла.
Правила Федеральной Комиссии не обязывают операторов предлагать услуги по “заморозке переносов”, и не похоже, чтобы попытки сделать это увенчались успехом. И Уотерхаус и Уикс сказали своим операторам (Verizone и T-Mobile соответственно) записывать аккаунты, на которые проводилась атака и блокировать запросы на перенос номера. Ничего не было сделано для того, чтобы предотвратить взломы. (Номер под управлением Google Voice, на удивление, может быть заблокирован, после чего его нельзя будет переносить).
Кто такие хакеры?
Некоторые люди общались со своими хакерами, даже по телефону. В то время, как множество IP-адресов вели к Филиппинам, большинство из тех, кто общался со своими хакерами по телефону, утверждали, что голос напоминал американского мужчину, около 20 лет. Одна жертва говорила, что хакер был с Филиппин. Другая говорит, что хакер притворялся, что он из России, но точно был носителем английского языка, использующим Google Translate (он писал настоящему русскому). Но большинство жертв согласны в том, что это не хакер-одиночка — но команда из нескольких команд — видимо, именно так они могут взламывать так много аккаунтов в такие короткие сроки после того, как удастся взломать номер.
Как только они взломали аккаунт, они начинают охотно высылать данные жертвы её контактам. Голомб, бывший исполнительный директор Bitfury, рассказывает, что как только хакер пробрался в его Dropbox, Голомб смог заметить, что кто-то с Филиппин ищет в его папках по ключевым словам вроде “bitcoin” и “wallets”, а также имена исполнительных директоров и людей из совета директоров, которые могли бы иметь какие-то данные относительно банковских счетов компании. Некоторые жертвы рассказывали, что хакер, беседуя с ними, упоминал свою причастность к атакам на людей из проекта Эфириум, а это вторая по популярности криптовалюта после Биткойна. ФБР занимается расследованием преступлений, но отказались прокомментировать.
Несмотря на то, что Кенна имеет свои версии насчет личностей взломщиков, всё, что он мог бы сказать, это то, что они “очень утончённые и весьма организованные. Это такой тип людей, которые, если бы были на другой стороне, то я бы их нанял за секунду. Они очень хороши в том, что называется “быть преступником”.
Что же касается его финансовых потерь, он говорит,
“Очевидно, что ничего хорошего в этом не было, однако было какое-то ощущение освобождения. Впервые за последние шесть лет, я почувствовал, что никто не может украть мои биткойны”, – тихо смеется он. “В прошлом, были люди, угрожавшие моей семье, люди, которые присылали мне фотографии дома матери, вымогали биткойны, и всё в таком духе. Так что, если честно, количество попыток, которые я пережил, когда хотели украсть всё — угроз людям, которые мне дороги, и попытки взлома, и DDOS атаки, и шантаж, и взлом сторонних людей для того, чтобы добраться до меня — чувствую, тот факт, что всё это осталось в прошлом, означает приближение финала. Но это, чёрт возьми, не значит, что я доволен”.
Update 1
Данный пост обновлен чтобы сообщить, что Coinbase предлагает более удобные опции, чем 2FA через СМС, и что были случаи взлома телефонов клиентов Coinbase и Xapo, но их монеты не пострадали, так как эти компании ввели дополнительные меры предосторожности, помимо 2FA.
Update 2
Статья была снова обновлена чтобы сообщить, что форум Эфириума был взломан точно таким способом.
Источник: Forbes
Источник
Оставить комментарий