Анатомия взлома: Как хакер взломал все аккаунты пользователя, включая SMS-авторизацию от Google

Ранним утром 21 октября 2014 года мексиканец Партап Дэвис лишился $3000. Он закончил играть в World of Tanks около двух часов ночи, и за то время, пока Дэвис спал, неизвестный хакер взломал абсолютно все принадлежащие ему аккаунты. Когда Дэвис проснулся, он обнаружил, что хакер получил доступ к его двум e-mail адресам, телефону, Twitter-аккаунту, двухфакторной авторизации в Google и, что самое главное, к Bitcoin-кошелькам. После взлома он связался с западным изданием The Verge: вместе они восстановили последовательность действий хакера и составили список наибольших уязвимостей современных онлайн-сервисов.

Дэвис был продвинутым пользователем и очень внимательно относился к вопросам своей онлайн-безопасности. Он выбирал сложные пароли и не кликал по вирусным ссылкам. Более того, он использовал двухфакторную авторизацию в Gmail и при каждом заходе в почту с нового компьютера вводил шестизначный код, который приходил ему в виде SMS-сообщения на мобильный телефон. Свои средства он хранил на трех защищенных bitcoin-кошельках, которые находились на Coinbase, Bitstamp и BTC-E. Для них он также использовал двухфакторную авторизацию на основе приложения для смартфона Authy.

Во всем остальном Дэвис был обычным интернет-пользователем. Он зарабатывал на жизнь программированием, создавал ПО для обучающих видеопрограмм и часто брал фриланс-заказы. На выходных он любил кататься на сноуборде, исследуя окрестности возле Лос Аламос. На момент написания статьи он прожил в своем родном городке Альбукерке десять лет, и в прошлом году ему исполнилось 40.

Дэвис потратил несколько недель, чтобы разобраться, как его смогли взломать. На протяжении всего этого времени он по крупицам собирал информацию про источник его злоключений.

MAIL.COM

Взлом начался с электронной почты Дэвиса. Когда он создавал свой первый в жизни email-аккаунт, то обнаружил что [email protected] уже занят, поэтому он зарегистрировал себе адрес [email protected] и настроил с него пересылку на менее запоминающийся gmail-адрес. 21 октября в два часа ночи кто-то получил доступ к аккаунту Дэвиса на mail.com и отключил пересылку писем. В то же время, к аккаунту был привязан новый телефонный номер, зарегистрированный во Флориде и новый запасной email [email protected]. К слову это единственная вещь, которую мы знаем про хакера, которую в дальнейшем будем называть Ева.

Каким образом Ева смогла это сделать? Мы не можем утверждать наверняка, но, скорее всего, она использовала скрипт, с помощью которого можно было сбросить пользовательский пароль на Mail.com. Этот скрипт точно существует и на протяжении нескольких месяцев его можно было купить на Hackforum. Стоимость сброса пароля для одного аккаунта на тот момент стоила всего $5 и это было именно то, что в чем нуждалась Ева. Так или иначе, ей удалось обойти двухфакторную авторизацию и заменить пароль Дэвиса на свой собственный.

AT&T

Следующей целью Евы было получить контроль над телефонным номером Дэвиса. У нее не было пароля к его акканту на AT&T и поэтому она запросила новый пароль на электронную почту, к которой у нее уже был доступ. Сразу после этого, она связалась со службой поддержки и попросила включить переадресацию всех входящих звонков на ее номер в Лонг Бич. Откровенно говоря, техподдержка должна была запросить у клиента больше деталей для такой операции, но AT&T оказалось достаточно подтверждения по электронной почте. К слову, это довольно распространенное явление, когда в компаниях пренебрегают базовыми правилами безопасности, стремясь успокоить разгневанного клиента. Спустя несколько минут все входящие звонки оказались под контролем Евы — Дэвис все еще получал SMS и электронную почту, но звонки шли напрямую к хакеру. Дэвис понял, что произошло, только два дня спустя, когда шеф спросил, почему он уже несколько дней не поднимает трубку.

Google и двухфакторная авторизация

После взлома первого почтового ящика и телефона, Ева взялась за Google-аккаунт Дэвиса. По словам экспертов, двухфакторная авторизация — это лучшая защита от разного рода хакерских атак. Взломщику недостаточно украсть пароль, ему придется получить физический доступ к телефону жертвы и это достаточно непростая задача.

Эта система отлично работала бы в случае привязки к физическому устройству, но люди постоянно меняют телефоны и поэтому двухфакторная авторизация — это еще один сервис для взлома и не более того. У Дэвиса не было установлено приложение Google Authenticator, которое дает дополнительную защиту и для авторизации он вводил коды из SMS. Переадресация звонков не относилась к SMS, но Еве удалось и тут найти лазейку. В Google существует специальная возможность, позволяющая людям с плохим зрением заказать телефонный звонок и отдиктовку кода роботом.

Взломать Authy оказалось несколько сложнее. Но Еве удалось переустановить приложение на свой телефон и авторизоваться в нем с помощью письма на ранее взломанную почту и нового кода подтверждения, который она получила через голосовой звонок. Около трех часов утра аккаунт на Authy оказался под контролем Евы. Точно таким же способом ей удалось обмануть и Google — у нее был доступ к телефону Дэвиса и его запасному адресу — Google попросту не заметил разницы между двумя пользователями. В итоге, к полуночи она знала про онлайн-жизнь Дэвиса не меньше, чем он сам.

Bitcoin-кошелек на Coinbase

Около трех часов ночи, с помощью Authy и почты на Mail.com, Ева изменила пароль к Bitcoin-кошельку Дэвиса на Coinbase. А уже в 3.55 она перевела около $3600 на свой аккаунт. Деньги были выведены со счета за три транзакции — одна спустя минут 30 после получения доступа к счету, еще одна через 20 минут, и еще одна через 5 минут. Для того, чтобы полностью обчистить кошелек, ей понадобилось менее полутора часов — всего за 90 минут деньги Дэвиса были переведены на серию фиктивных счетов и были потеряны для него навсегда.

По идее, Authy мог заметить неладное. Сервис постоянно следит за фишинговой активностью и смена пароля посреди ночи должна была насторожить службу поддержки. Но деньги были переведены на внешне нормальные счета, которые ранее не были замечены в мошеннических схемах и не были связаны с Россией или Украиной. Теоретически внезапная смена IP-адреса с Мексики на Канаду могла быть достаточным основанием для заморозки перевода. Другие системы безопасности, такие как Google ReCAPTCHA, суммируют множество подобных мелких факторов и блокируют аккаунт, если их становится слишком много. Но Coinbase и Authy не видели всю картину и поэтому у них не было достаточных оснований для заморозки аккаунта Партапа.

Bitcoin-кошельки на BTC-e и BITSTAMP

Когда Дэвис проснулся, то сразу же обнаружил, что ему нужно заново зайти в свой Gmail-аккаунт. У него не получилось залогиниться с помощью своего пароля и ему пришлось использовать процедуру его восстановления. После того, как он вернул доступ, то оценил объем нанесенного ему ущерба и начал восстанавливать пароли к другим сервисам. Когда же Дэвис, наконец, добрался до кошелька на Coinbase, то обнаружил, что тот пуст. Впоследствии он потратил много часов за перепиской и телефонными звонками с техподдержкой сервиса, чтобы доказать им, что он реальный владелец аккаунта.

Дэвис также хранил $2500 на двух других кошельках с менее разрекламированной системой безопасности. Но BTC-e заморозил аккаунт на 48 часов после смены пароля, а администрация Bitstamp попросила Дэвиса отправить им скан-копию его водительских прав. У Евы не оказалось этой информации и $2500 остались на счетах мексиканца.

TWITTER

Дэвис смог вернуться к нормальной жизни только спустя два месяца после взлома. Его Twitter-аккаунт оставался под контролем Евы еще несколько недель. У Дэвиса был довольно ценный адрес @Partap и Ева постаралась сделать все, чтобы ее жертва не смогла восстановить доступ. Она заменила аватар, разместила там скриншот взломанного аккаунта на Xfinity и впоследствии использовала этот Twitter для публикации результатов об успешных атаках.

Так кто же скрывался за псевдонимом Ева? Дэвис потратил множество недель за разговорами с техподдержкой всевозможных серсисов, но не смог приблизиться к взломщику ни на шаг. Согласно логам, компьютер Евы заходил в сеть с канадского IP-адреса, но этот блок адресов относился либо к сети Tor, либо к одному из множества анонимных VPN. Номер телефона был привязан к Android-телефону из калифорнийского города Лонг Бич, но само устройство, скорее всего, было украдено. Было еще несколько подобных микроулик, но ни одна из них не оказалась достаточной для поиска злоумышленника.

Почему Ева выбрала для взлома Партапа Дэвиса? Скорее всего, она знала, что у него есть деньги на Bitcoin кошельках. Иначе зачем бы она потратила столько времени на взлом его аккаунтов? Первым делом Ева взломала электронную почту Дэвиса, поэтому можно предположить, что она увидела этот адрес в списке Bitcoin-кошельков где-то в интернете. Списки пользователей Coinbase можно найти на просторах интернета, но email Дэвиса не фигурирует ни в одном из них. Возможно, это была утечка непосредственно от Coinbase, но доказать или подтвердить эти вещи практически невозможно.

Сейчас Дэвис более внимательно следит за сохранностью своих кошельков, он отказался от почты на mail.com, но по большому счету, в его жизни мало что изменилось. К сожалению, ему не удалось вернуть украденные средства. Если раньше Coinbase возмещал ущерб от подобных атак, тот в этот раз они отказались компенсировать ущерб. В компании заявили, что их вины в этом нет и вся ответственность лежит на пользователе. Он также обратился за помощью в ФБР, но единичный взлом биткоин-кошелька не заинтересовал службу федеральной безопасности.

Что еще он мог сделать? Он не может перестать пользоваться телефоном и запретить взломщикам в следующий раз украсть пароль к своему аккаунту. Способов взлома очень много и чем крупнее сервис, тем сложнее его защитить. К сожалению, сбросить пароль — это достаточно тривиальная задача и Ева это доказала. Ее удалось остановить только с помощью достаточно простого и не очень технологического метода — заморозки аккаунта на 48 часов после смены пароля. Это очень легко реализовать технически, но достаточно неудобно для пользователей. Поэтому компаниям приходится балансировать между удобством сервиса и его фактической защищенностью. Фактически, от слабой защищенности страдают единицы, в то время как миллионы других используют сервисы без сучка и задоринки. В борьбе между безопасностью и удобствами, обычно проигрывает первая.