Просыпаюсь утром, а за окном светит солнце. Разминаюсь, ставлю чайник…
Беру ноутбук, открываю почту и вижу странное сообщение от обеспокоенного товарища.
Содержание следующее:
У тебя там хакнули скайп или украли iPad, выпрашивают 10к типа в долг. Я скинул, но с протекцией, хорошо что стал проверять аттестат. Кошель этого мошенника вообще 2 дня назад зареган.
Пытаюсь авторизоваться в Skype, не пускает. Быстро сбрасываю пароль через почту, захожу и вижу тонну разосланных сообщений от моего имени. Мошенник писал моим друзьям и партнерам поздно вечером, когда бдительность спит.
Очень большой недостаток скайпа в плане безопасности – это возможность одновременного использования на нескольких компьютерах. Я думаю, что мошенник просто дождался, когда я благополучно закончу свой рабочий день и уступлю ему место. 🙂
Так как дело шло к полуночи, ему удалось связаться лишь с двумя десятками людей, большинство из которых были чужими и денег не дали.
Но одного человека он все же кинул, причем основательно, на 20000 рублей. Это один из моих ключевых клиентов, отношения у нас, так сказать, доверительные.
Укороченный диалог:
[22:45:29] Вадим: привет, слушай, у меня к тебе проcьба
[22:46:46] Вадим: у тебя есть деньги на электронном кошельке одолжить? яндекс или киви, или может на карточке с интернет-банком?
[22:48:17] Кирилл: А сколько нужно?
[22:48:34] Вадим: 10 000 рублей
[22:50:43] Кирилл: ок. не вопрос.
[22:57:44] Кирилл: перевел.
[22:58:34] Вадим: пришли
[22:58:38] Вадим: спасибо огромное
[22:58:44] Вадим: через дня 3-4 верну
Мудак увидел, что друг мой податлив и решил проявить упорство:
[23:14:13] Вадим: капец, слушай — а ты на киви не можешь перевести?
[23:29:41] Кирилл: а еще нужно столько же чтоли?
[23:32:53] Кирилл: ну ок. А че там у тебя за жесть?
[23:32:57] Кирилл: давай реквизиты
[23:33:13] Вадим: 9645309771
[23:34:55] Кирилл: Перевел.
[23:35:04] Вадим: спасибо
[23:35:23] Вадим: есть за что, поверь
[23:35:42] Вадим: не подвел, Кирилл, реально большое тебе спасибо
[23:36:15] Кирилл: Рад помочь, чесн слово, для тебя не жалко…
Вот так выглядит дружеская услуга. Кошельки мошенника заблокированы следующим утром, в милицию написано заявление. Говорят, что сегодня есть все шансы поймать мошенника. Посмотрим, но терзают меня смутные сомнения.
У меня есть одно слово-паразит – капец. Если кто не знает, это как пи**ец, но когда все еще не так плохо. Мошенник его употребил, и клиент мой повелся. Здесь нужно понимать, что этот клиент настолько увлечен собственной безопасностью, что использует почтовое шифрование и VPN. Вывод – мошенник меня подсиживал с умом, историю изучить не постеснялся.
Как же взломали?
В один прекрасный день на моем iMac стал вылетать скайп примерно через 5 секунд после запуска. Я начал гуглить проблему и нашел на буржуйском Apple-форуме решение в виде установки более ранней версии программы. Установил, все работает, отлично.
Как потом оказалось, в старых версиях был серьезный баг, который позволял угнать аккаунт жертвы зная только адрес ее почты. Для мошенника алгоритм такой:
- Регистрируем новый аккаунт Skype на мыло жертвы. Будет выдавать ошибку, что эта почта уже используется, внимание не обращаем;
- Логинимся в скайп-клиент со своими свежесозданными данными;
- Удаляем куки, идем на страницу восстановления пароля Skype и вбиваем мыло жертвы;
- В скайп придет сообщение со ссылкой на смену пароля, переходим по ней;
- Видим логины, зарегистрированные на эту почту. Выбираем логин жертвы, меняем на него пароль;
- Успех. Теперь вы единственный владелец аккаунта.
Подробно процедура описана на Хабре. Чтобы обезопасить себя вам нужно:
- Обновить Skype до последней версии;
- Зарегистрировать новую никому неизвестную почту и сделать ее основной через сайт Skype. У мошенника не будет не единого шанса, так как адрес почты – это основа взлома, а знаете его только вы.
Как обезопаситься в целом?
Как обычно, проблему начинаешь осознавать когда уже припекло. Я принципиально пересмотрел свое отношение к безопасности, теперь у меня все привязано к телефону.
Я не знаю как дела у Mail.ru и Яндекс.Почты, а вот в Gmail привязка работает четко. Каждый логин — SMS, теперь только так. Про WebMoney я уже молчу, нужно использовать SMS-подтверждение не только для авторизации, но и для каждого перевода.
Порнуху нужно смотреть на достоверных сайтах типа Redtube, а не бегать по сомнительным закоулкам. А вообще хорошо, что нынче весь контент собран ВКонтакте, больше не приходится собирать вирусню в онлайн-кинотеатрах. Впрочем, про последнюю XSS-уязвимость ВКонтакте я слышал всего несколько месяцев назад. Аккаунты все еще угоняют, правда, куда реже.
Вам желаю не попадать в такие передряги, а мошенник пусть горит в аду. Ему это еще аукнется ранней импотенцией.