Имало едно време. С тези думи започват приказките. Точно като приказка звучи и историята на Наоки Хирошима, потребител, който има щастието да притежава потребителското име “N” в Twitter. Или по-точно е имал. Защо в минало време? Прочетете историята му, публикувана в личния му блог, и ще разберете.
Имах акаунт в Twitter – @N. Да, точно така – само с една буква. Предлагали са ми 50,000 долара за него. Опитвали са се да го крадат. Инструкциите за промяна на паролата ми са редовна гледка в пощенската ми кутия.
Считано от днес обаче, вече не съм собственик на @N. Бях принуден да се откажа от него.
Докато обядвах на 20 януари 2014 г. получих SMS от PayPal, съдържащ еднократен верификационен код. Някой се опитваше да открадне PayPal акаунта ми. Игнорирах и продължих с обяда си.
По-късно същия ден проверих имейла ми, който използва Google Apps през собствения ми домейн (регистриран с GoDaddy /най-големият регистратор на домейни в света, бел. прев./). Открих съобщение, получено от GoDaddy с тема “Потвърждение за промяна на потребителски профил“. Което беше и повече от основателна причина това да е последното такова съобщение.
От: GoDaddy
До: <*****@*****.***> Naoki Hiroshima
Дата: Mon, 20 Jan 2014 12:50:02 -0800
Тема: Account Settings Change Confirmation
Уважаеми naoki hiroshima,
Получавате този имейл, защото потребителските ви настройки са променени спрямо следния клиентски профил:
XXXXXXXX
Промените може да отнемат определено време.
Ако тези промени са осъществени без Вашето знание, молим, влезте в профила си и променете настройките си.
Ако не може да използвате потребителското име и паролата си или ако са осъществени неоторизирани промени, свързани с този домейн, моля свържете се с нас на [email protected] или (480) 505-8877.
С уважение,
GoDaddy
Опитах се да вляза в GoDaddy акаунта ми, но не се получи. Позвъних на GoDaddy и обясних проблема си. Служителят ме помоли да му продиктувам последните 6 цифри от номера на кредитната ми карта като метод на удостоверяване на самоличност.
Не стана, защото информацията за кредитната ми карта вече беше променена от атакувалия ме. Всъщност, цялата ми лична информация беше променена. Нямаше начин да докажа, че съм реалният собственик на този домейн.
Служителят на GoDaddy предложи да попълня молба на сайта на компанията като използвам личната си карта за верификация. Направих го и ми бе съобщено, че трябва да изчакам до 48 часа за отговор. Очаквах, че това ще е достатъчно условие да се докаже самоличността ми и собствеността ми.
Нека опитите започнат
Повечето уебсайтове използват имейл като метод за верификация. Ако имейл акаунтът ви е компрометиран, атакуващият може лесно да промени паролата ви на много други уебсайтове. След като се сдоби с контрол върху домейна ми в GoDaddy, атакуващият де факто управляваше и имейла ми.
Скоро, на база опита от предишни атаки, разбрах, че всъщност истинската цел на нападението беше потребителското име @N в Twitter. Странно, но някой, който не познавам, ми беше изпратил съобщение във Facebook, в което ме приканваше да сменя имейл адреса, свързан с Twitter акаунта.
Приех, че това писмо е изпратено от атакуващия, но все пак смених имейла с такъв, който не бе достъпен за новия собственик на домейна ми.
Атакуващият се опита да промени Twitter паролата ми няколко пъти. След като видя, че няма да получи нито един от имейлите за промяна на паролата заради времето, необходимо за промените в MX записа на домейна ми, той се обърна към други канали. И писа за проблем номер #16134409 в страницата за поддържка на Twitter.
N, Jan 20 01:43 PM:
Twitter име: @n
Имейл: *****@*****.***
Последно влизане: December
Мобилен номер: n/a
Нещо друго?: Не получавам мейлите за промяна на паролата до мейла ми, може ли да ми изпратите такъв имейл ръчно?
От Twitter поискаха повече информация от атакуващия и той се отказа.
В последствие научих, че той е успял да компрометира Facebook профила ми, за да се пазари с мен. Бях ужасен, когато приятелите ми започнаха да ме уведомяват за странно поведение от моя страна във Facebook.
И най-накрая получих имейл от атакуващия. Той се опита да ме изнудва със следното съобщение:
От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 15:55:43 -0800
Тема: Hello.
Видях, че си говорил с мой съучастник. Бих искал да те информирам, че си прав – @N е целта. изглежда изключително неактивен, искам да ти кажа, че твоите GoDaddy домейни вече са мои, само една фалшива поръчка и се връщат към godaddy и никога повече няма да бъдат използвани D:
Виждам, че управляваш доста приятни сайтове, които съм оставил настрана засега. Цялата информация на тях ще остане незасегната. Склонен ли си на компромиси? достъп до @N за 5 минути докато поема управлението срещу твоя godaddy. И помощ при опазването на данните ти.
Малко по-късно получих и отговор от GoDaddy
От: [email protected]
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 17:49:41 -0800
Тема: Update [Incident ID: 21773161] — XXXXX.XXX
За съжаление Domain Services не може да ви помогне с искането за промяна, тъй като в момента не сте регистрант на домейна. Ние като регистратори можем да осъществим подобна промяна само със съгласието на регистриращия. Може да изберете една от следните опции, ако прецените, че има смисъл:
1. Посетете http://who.godaddy.com/и използвате Whois записа на домейна, за да решите проблема с регистриралия го директно.
2. Отидете на http://www.icann.org/dndr/udrp/approved-providers.htmи се свържете с одобрен от ICANN арбитраж.
3. Отидете на долния линк и дайте контакти за правния ви съветник, който да може да изпраща официални документи на GoDaddy: http://www.godaddy.com/agreements/showdoc.aspx?pageid=CIVIL_SUBPOENA
GoDaddy счита случаят за приключен.
Искането ми бе отхвърлено, защото не съм текущият регистратор. GoDaddy попита атакуващият дали е съгласен да промени информацията за потребителския си профил, но не си направиха труда да попитат мен. Бях бесен, че GoDaddy карат истинският собственик да понесе последствията.
Мой колега успя да се свърже с мениджър в GoDaddy. Той се опита да въвлече екипа, работещ за информационната сигурност на компанията, но не последва нищо. Може би защото беше празникът на Мартин Лутър Кинг.
Малко по-късно получих ново писмо от атакуващия.
От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 18:50:16 -0800
Тема: …hello
Ще осъществим ли размяна? акаунтът в godaddy е готов. Паролата е сменена и към него е вързан неутрален имейл.
Попитах мой приятел в Twitter какви са шансовете ми да си върна Twitter акаунта, след като атакуващият поеме контрол. Спомних си какво се случаи с @mat и заключих, че предаването на потребителя може да бъде единствения възможен начин да избегна истинско бедствие. И казах на актуващия:
От: <*****@*****.***> Naoki Hiroshima
До: SOCIAL MEDIA KING
Дата: Понеделник, 20 януари 2014 г. 19:41:17 -0800
Тема: Re: …hello
@N е свободен. Взимай го.
Промених потребителското име от @N на @N_is_stolen за първи път, след като го регистрирах в началото на 2007 г. Довиждане, проблематично име, засега.
Получих отговор.
От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 19:44:02 -0800
Тема: RE: …hello
Благодаря, твоята godaddy парола е: V;Mz,3{;!’g&
ако искаш, мога да ти разкажа как успях да получа достъп до твоя godaddy и как да се защитиш
Атакуващият бързо пое контрол върху потребителското име, а аз си върнах достъпа до моя GoDaddy потребителски профил.
PayPal и GoDaddy помогнаха на атаката
Попитах атакуващия как по-точно е успял да компрометира моя GoDaddy профил и получих този отговор:
От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 19:53:52 -0800
Тема: RE: …hello
– Обадих се на paypal и използвах доста прости тактики за социални инженерство, за да получа последните 4 цифри от номера на кредитната ти карта (може да се предпазиш от това като се обадиш на paypal и да поискаш от служителя им да добави информация към профила ти, че не искаш да се споделя никаква информация за теб по телефона)
– Обадих се на godaddy и им казах, че съм си загубил картата и мога да се сетя за последните 4 цифри от номера ѝ, служителят им ми позволи да опитам да отгатна поредица номера (в твоя случай – 00 до 09) не съм открил начин да засиля сигрността в godaddy, но мога да ти прпоръчам по-сигурна компания – например NameCheap или eNom (не мрежовите решения, а enom.com)
Трудно е да преценя кое е по-шокиращо – фактът, че PayPal е дал на атакуващия последните 4 цифри от номера на кредитната ми карта по телефона или, че GoDaddy е приела тази верификация. От атакуващия получих още информация:
От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 20:00:31 -0800
Тема: RE: …hello
Да, paypal ми ги казаха по телефона (играех го служител), а godaddy ме оставиха да „отгатна“ първите две цифри от номера на картата
Но да отгатнеш 2 цифри не е толкова лесно, нали?
От: SOCIAL MEDIA KING
До: <*****@*****.***> Naoki Hiroshima
Дата: Понеделник, 20 януари 2014 г. 20:09:21 -0800
Тема: RE: …hello
Успях още в първото обаждане, повечето агенти обаче ще продължат да опитват, докато не улучат.
Бил е достатъчно щастлив да трябва да познае само две цифри и е успял с едно обаждане. Всъщност, проблемът е GoDaddy са му позволили да се опитва, докато успее. Звучи като Кевин Митник – въпреки че компаниите трябва да са се поучили от него още около 1995 г.
Избягвайте мейли на собствени домейни за потребителски профили
След като си върнах контрол върху моя GoDaddy акаунт, вече можех да използвам мейла си нормално. Промених мейл адреса, с който използвам услугите на @gmail.com адрес. Използването на Google Apps имейл адрес със собствен домейн изгелжда удобно, но има шанс този домейн да бъде откраднат, ако домейн сървърът бъде компрометиран. Ако използвах @gmail.com имейл адрес за моя Facebook профил, атакуващият нямаше да се сдобие с достъп до моя профил.
Ако използвате Google Apps имейл адрес за профилите си в различни сайтове, препоръчвам да спрете да го правите. Използвайте @gmail.com за профили. Може да използвате по-готиния личен домейн за лични съобщения, но нищо повече.
Освен това, бих добавил използвате по-дълъг TTL (Time To Live) за MX записите. В моя случай той беше 1 час и затова нямах време да получавам мейли от компрометирания домейн, след като съм загубил контрол върху DNS-a. Ако TTL беше седмица, например, щях да имам по-голям шанс да възстановя откраднатите профили.
Използването на двустепенна автентификация е задължително. Може би това е спряло атакуващия от достъп до моя PayPal акаунт. Въпреки че тази ситуация показва как дори и такава защита не помага.