История как мошенник использовал социальную инженерию и дыры в системах безопасности PayPal и GoDaddy, чтобы угнать однобуквенный аккаунт в Twitter у его владельца. Оригинал истории на Medium.
У меня был аккаунт в Twitter с редким юзернеймом — @N. Ага, всего одна буква. Как-то мне предлагали продать аккаунт за $50 000. Много раз его пытались украсть. Мне регулярно приходят письма от Twitter для сброса пароля. Сейчас аккаунт уже не принадлежит мне. Мошенник шантажом заставил передать к нему доступ.
20 января 2014 года за завтраком мне пришло смс с кодом подтверждения от PayPal. Кто-то пытался войти в мой аккаунт. Я проигнорировал сообщение и продолжил есть.
Чуть позже я проверил почту на собственном домене, который я купил у GoDaddy и подключил к Google Apps. Последнее письмо было от GoDaddy с темой «Настройки вашего аккаунта изменены». Не удивительно, что именно это письмо было последним.
От кого: GoDaddy
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 12:50:02 −0800
Тема: Настройки вашего аккаунта изменены
Уважаемый Наоки Хиросима,
Вы получили это письмо, потому что настройки для следующих аккаунтов были изменены:
XXXXXXXX
Изменения скоро отобразятся в аккаунте.
Если изменения внесли без вашего разрешения, пожалуйста, войдите в ваш аккаунт и поменяйте настройки безопасности.
Если не можете войти в аккаунт или кто-то изменил в нём настройки доменных имён, пожалуйста, свяжитесь со службой поддержки: support@godaddy.com или (480) 505-8877.
Обращаем ваше внимание, что для всех аккаунтов действуют общие Правила пользования.
С уважением,
GoDaddy
Я попытался войти в аккаунт с GoDaddy, но не смог. Тогда я позвонил им и объяснил ситуацию. Для верификации работник службы поддержки попросил назвать шесть последних цифр моей банковской карты. Это не сработало, потому что хакер уже поменял карту в аккаунте, как и всю другую информацию. Я уже не мог доказать, что именно я — настоящий владелец доменного имени.
Работник GoDaddy предложил написать письмо в отдел жалоб и приложить к нему фото документов. Я написал письмо и получил уведомление, что получу ответ в течение 48 часов. Мне показалось, что этого времени будет достаточно, чтобы поддержка подтвердила мою личность и вернула аккаунт.
Да начнётся шантаж
Большинство сайтов использует для сброса паролей электронную почту. Если мошенник взломает почту, он легко сможет получить доступ и к другим аккаунтам. Получив доступ к моему домену с GoDaddy, мошенник смог управлять его почтой.
Вспомнив предыдущие атаки, я понял, что цель мошенника — мой юзернейм в Twitter. Любопытно, что в это время мне на Facebook написал незнакомец и предупредил, что почту в аккаунте Twitter лучше сменить. Сначала я подумал, что это и есть тот мошенник, но почту всё равно поменял. Теперь в аккаунте Twitter была почта, к которой у мошенника не было доступа.
Мошенник несколько раз попытался сбросить мой пароль от Twitter, но не получил никаких писем. Тогда он написал в поддержку письмо:
Дата: 20, Янв 01:43
Twitter юзернейм: @n
Эл. почта: *****@*****.***
Последний вход в систему: Декабрь
Телефон (необязательно): —
Комментарий (необязательно): Не приходит письмо для сброса пароля на почту. Вы не могли бы выслать его вручную?
Поддержка Twitter потребовала предоставить больше информации, после чего мошенник отступил.
Позже я узнал, что мошенник также взломал мой аккаунт на Фейсбуке. Об этом мне сказали друзья — они заметили нетипичную активность с моего профиля.
В конце концов мошенник всё-таки прислал письмо, в котором сразу начал меня шантажировать:
От кого: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 15:55:43 −0800
Тема: Привет.
Вы уже общались с моим сообщником, просто хочу сказать, что вы были правы, @N был целью атаки. всё равно вы совсем не используете этот аккаунт, кстати, ваши доменные имена в аккаунте GoDaddy под моим контролем, одна случайная сделка и GoDaddy навсегда заберёт их себе D:
Я заметил у вас несколько неплохих сайтов, их я пока не трогал, все данные на сайтах остаются, как были. Не хотите заключить сделку? освободите юзернейм @N на 5 минут, а я верну доступ к аккаунту GoDaddy и расскажу, как защитить ваши данные в будущем?
Сразу после этого я получил ответ от GoDaddy:
От кого: change@godaddy.com
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 17:49:41 −0800
Тема: Новый ответ [Обращение № 21773161] — XXXXX.XXX
К сожалению, мы не можем выполнить ваши требования, потому что доменное имя зарегистрировано на другого человека. Как регистратор мы имеем право менять информацию на домене только с согласия владельца. Если вы захотите оспорить права на домен, воспользуйтесь такими опциями:
1. Перейдите на http://who.godaddy.com/, посмотрите контакты владельца и свяжитесь с ним напрямую, чтобы решить вопрос.
2. Перейдите на http://www.icann.org/dndr/udrp/approved-providers.htm и найдите контакты арбитражного органа, одобренного ICANN.
3. Передайте эту ссылку вашему адвокату, если он захочет отправить нам какие-то юридические документы: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA
С этого момента GoDaddy считает вопрос закрытым.
Мою жалобу не стали рассматривать, потому что «доменное имя зарегистрировано на другого человека». GoDaddy спросили мошенника, можно ли поменять информацию в аккаунте, хотя когда мошенник менял информацию чуть раньше, никто не спрашивал моего разрешения. Я был в ярости от того, что GoDaddy обернули всё против настоящего владельца.
Мой приятель с работы дал мне контакты одного из менеджеров GoDaddy. Менеджер попытался подключить отдел безопасности, но ничего не вышло. Наверное, потому что у всех был выходной в честь дня Мартина Лютера Кинга.
Позже я получил ещё одно письмо от мошенника:
От кого: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 18:50:16 −0800
Тема: …привет
Так что, вы будете менять юзернейм? я уже подготовил аккаунт GoDaddy к передаче. Сменил пароль и привязал к аккаунту нейтральную почту.
Я узнал у друга, который работает в Twitter, будут ли у меня шансы вернуть юзернейм, если я выполню требования мошенника. Я вспомнил случай с аккаунтом @mat и подумал, что выполнить требования мошенника может быть единственным правильным способом. Тогда я ответил мошеннику:
От кого: <*****@*****.***> Наоки Хиросима
Кому: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Дата: Пн, 20 Янв 2014 19:41:17 −0800
Тема: Re: …привет
Я освободил @N. Можешь забирать.
Я сменил юзернейм с @N на @N_is_stolen впервые с момента, когда занял его в 2007. Пришлось попрощаться с проблематичным юзернеймом. Надеюсь, только на время.
Вот что ответил мошенник:
От кого: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 19:44:02 −0800
Тема: RE: …привет
Большое спасибо, пароль от аккаунта GoDaddy: V;Mz,3{;!’g&
если хотите, могу в деталях рассказать, как я смог получить доступ в аккаунт GoDaddy, и как вам защититься в будущем
Мошенник быстро занял юзернейм, а я получил свой аккаунт с GoDaddy обратно.
PayPal и GoDaddy позволили хакеру украсть аккаунты
Я попросил мошенника рассказать, как он взломал мой аккаунт в GoDaddy, и вот что получил в ответ:
От кого: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 19:53:52 −0800
Тема: RE: …привет
— Я позвонил в PayPal и при помощи обычной социальной инженерии узнал последние четыре цифры вашей карты (этого можно избежать, если позвонить в PayPal и попросить поддержку сделать в аккаунте пометку — никогда не разглашать данные по телефону)
— Я позвонил в GoDaddy и сказал, что потерял карту, но помню последние четыре цифры. Потом сотрудник поддержки спросил две первых цифры карты и подсказал диапазон цифр (00-09 в вашем случае). Я не нашёл способа усилить безопасность в аккаунте GoDaddy, но могу посоветовать более надёжного регистратора: NameCheap или eNom (не Network Solutions, а enom.com)
Трудно сказать, что шокировало меня больше — то, что PayPal выдал мошеннику четыре последних цифры моей карты по телефону, или что для GoDaddy этой информации оказалось достаточно, чтобы провести верификацию. Когда я переспросил мошенника, действительно ли всё было так просто, он ответил:
От кого: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 20:00:31 −0800
Тема: RE: …привет
Да paypal сказали цифры по телефону (я притворился сотрудником компании), а godaddy помогли угадать первые две цифры карты
Но ведь угадать даже две цифры не так-то просто, верно?
От кого: КОРОЛЬ СОЦИАЛЬНЫХ СЕТЕЙ
Кому: <*****@*****.***> Наоки Хиросима
Дата: Пн, 20 Янв 2014 20:09:21 −0800
Тема: RE: …привет
Я угадал с первого раза, но другие хакеры обычно просто звонят до тех пор, пока не угадают цифры
Ему повезло, что пришлось угадывать всего две цифры и получилось угадать с первого раза. Суть в том, что GoDaddy позволили бы ему пытаться до тех пор, пока он не угадает цифры. Бред.
Когда ко мне вернулся аккаунт с GoDaddy, я снова получил доступ к доменной почте. После этого я сменил почту в некоторых других аккаунтах на Gmail-адрес. Почта на домене, конечно, выглядит неплохо, но если хакер получит доступ к домену, он сможет контролировать и почту. Если бы я использовал Gmail-адрес для Фейсбука, мошенник не смог бы взломать мой аккаунт.
Чем закончилась история
Когда Наоки сообщил о мошеннике, Twitter отказался возвращать аккаунт, закрыл его и открыл внутреннее расследование. Месяц спустя, компания вернула аккаунт владельцу.
Как Наоки мог помешать мошеннику угнать аккаунт
Мошенник смог добиться своего из-за плохих правил верификации в PayPal и GoDaddy. От такого не получится защититься, разве что — не пользоваться услугами этих компаний. Но есть несколько способов самому улучшить безопасность своих аккаунтов:
1. Не использовать доменную почту на важных сайтах. Хакер взломал аккаунт с доменом, подключил почту к своим серверам и смог получать письма для сброса паролей на других аккаунтах. Лучше привязывать к аккаунтам почту вроде Gmail, а доменную использовать для общения.
2. Использовать длинный TTL для MX записей. TTL — это время жизни настроек на домене. Если TTL для настроек почты длится 60 минут, хакер начнёт получать письма на свой сервер уже через час. Если всё же используете доменную почту, установите TTL подольше — например, сутки или неделю.
3. Включить двухфакторную аутентификацию везде, где есть такая опция. Это единственная причина, по которой хакер не попал в аккаунт PayPal. Без неё мошенник смог бы украсть не только аккаунт в Twitter, но и деньги. А ещё мошенник не попал бы в аккаунт с GoDaddy, если двухфакторная аутентификация была бы включена и для него.
С уважением,
Антон Ткачев
Отдел любви к клиентам SSL.com.ua
