Если вам есть, что сказать сообществу профессионалов ИБ и ИТ – заведите здесь свой блог

[Перевод] Киберубийство

Аватар пользователя merced2001
Автор: Агеев Артем, itsec.pro
(0)
()

3 августа человек по имени Mat Honan в течении часа потерял всю информацию со своего макбука, айфона и айпада. Кроме того его аккаунты gmail и twitter были удалены (и полностью очищены) и была скомпрометирована часть служебной информации (твиттер электронного издания Gizmodo, где Мэт работал).
О том как это произошло Мэт написал в статье на Wired, которую я и хотел бы тут перевести, т.к. считаю это событие знаковым.

Началось всё с того, что хакерская группа, куда входил в том числе 19 летний хакер с ником Phobia, заинтересовалась 3х буквенным аккаунтом Мэта на твиттере - @mat.


Из профиля аккаунта в твиттере они дальше узнали персональный сайт Мэта, откуда вытащили его email - mhonan@gmail.com.

Логично было предположить, что именно этот ящик использовался и для привязки аккаунта на твиттере. Кроме того на персональной страничке Мэта были указаны его проекты (Мэт журналист). Whois одного из проектов выдал информацию о домашнем адресе Мэта - 1559B Sloat Blvd, San Francisco.


Далее хакер Phobia полез на страничку Google с формой восстановления пароля, откуда узнал второй email адрес Мэта - m••••n@me.com.

Мэт не включил 2х факторную аутентификацию в Гугле (по его словам, это была одна из его ошибок), поэтому Гугл сразу предложил использовать второй емаил для восстановления пароля, предварительно "спрятав" часть букв в названии мыла за звездочками. Большинство людей используют одинаковые логины при регистрации разных мыл/аккаунтов, поэтому нетрудно было догадаться, что второй ящик Мэта - mhonan@me.com

Ящики на me.com - это по совместительству еще и AppleID -  идентификатор, используемый для совершения покупок в магазине AppStore, резервного копирования и управления всеми айдевайсами (айфон, айпад, макбук и т.д.) через облако iCloud и т.д.

Дабы восстановить пароль к аккаунту @me.com через звонок в тех.поддержку Apple, необходимо знать:
  • адрес почты @me.com;
  • billing address - адрес проживания;
  • последние 4 цифры кредитной карты, привязанной к AppleID.

Первые два пункта хакер уже знал. Осталось узнать последние 4ре цифры кредитки, и в этом ему помог Amazon. 

Хакер позвонил в техподдержку Амазона, представился Мэтом и сказал, что хочет привязать к аккаунту еще одну кредитную карту (номер фальшивой кредитки он предварительно сгенерировал на одном из сайтов). Все что нужно знать для этого - ФИО, мыло и адрес. Далее он повесил трубку и перезвонил еще раз, но уже с другим запросом - он "забыл пароль от аккаунта" и хотел бы привязать ещё один ящик для восстановления пароля. Всё, что нужно знать в таком случае - ФИО, адрес и номер свежедобавленной кредитной карты (!)

Теперь осталось зайти на страничку Амазона и посмотреть последние 4 цифры привязанной старым хозяином кредитной карты. Бинго!

Примечательно, что такую информацию как ФИО, домашний адрес, телефон и номер карты знает любой курьер, который хоть раз привозил вам домой заказы из интернет-магазина. 

Узнав AppleID, хакер получил доступ к iCloud. Кстати используя софт Elcomsoft'а, он мог бы вытянуть из всех айдевайсов Мэта все письма, фотографии, смс, контакты, заметки, календари и файлы различных приложений. Но вместо этого он отформатировал память айфона, айпада и макбука, уничтожив все документы, личные фотографии и переписку за несколько лет жизни Мэта + заблокировал пинкодом доступ к устройствам.

Восстановив пароль от гмыла на почту AppleID, хакер удалил аккаунт почты Google, сбросив через него предварительно пароль от твиттера. Перед тем как удалить аккаунт на твиттере, хакер оставил сообщение, ради которого всё и затевалось.
Вот и всё. Конечно, если бы Мэт был объектом целенаправленной атаки - у него могли бы увести деньги из онлаин-банка, уволить его с работы из-за отправленного от его имени письма или твита, обнародовать конфиденциальную информацию с его макбука и многое многое другое. Но Мэту "повезло" - хакеров интересовало только красивое имя его аккаунта.

Мэт Хонан потратил несколько часов на то, чтобы частично восстановить то, что он потерял. Ему даже вернули аккаунт на твиттере. Сейчас он занят тем, что пытается восстановить фотографии новорождённой дочери с телефона. Очень надеюсь, что ему это удастся. 

А нам с вами стоит лишний раз сделать оффлаин бэкап, включить 2х факторную аутентификацию в Гугле, фейсбуке и везде где есть, и завести специальный ящик с уникальным паролем, который использовать только для восстановления паролей с других  аккаунтов.... ну и надеяться, что аккаунт на твиттере вида 4rt3m никого не заинтересует =)


Total votes: 0
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.