Совсем недавно многие обладатели биткоинов и других криптовалют подверглись нападению хакеров. Злоумышленники используют уязвимость одной из самых распространенных систем защиты, которой пользуются не только те, кто зарабатывает и инвестирует в виртуальные деньги, но и пользователи самых популярных интернет-сервисов.
Чуть позже полуночи 11 августа Джеред Кенна работал в своем доме в городе Медельин, Колумбия, когда вдруг получил уведомления о смене паролей на двух своих почтовых ящиках. Он пробовал установить новые пароли, отправив почтовому сервису запрос на получение кодов в текстовых сообщениях, но так и не получил их.
«Я позвонил телефонному оператору, чтобы проверить, не забыл ли я оплатить счет, но мне сказали, что мой телефон у них не зарегистрирован. Якобы я перевел свой номер на другую компанию», – рассказывает Кенна. Какой-то хакер подделал его личность и перенес номер телефона с оператора T-Mobile на компанию Bandwidth, связанную с аккаунтом в Google Voice, принадлежащим хакеру.
После того, как все звонки и сообщения на номер Кенны были перенаправлены на хакера (или хакеров), он поменял пароли от почтовых адресов при помощи кодов, отправленных в СМС. Спустя семь минут после взлома первого аккаунта Кенна потерял доступ еще к 30, среди которых были два банковских счета, PayPal, два сервиса биткоинов – и, что самое страшное, аккаунт Windows, то есть оказался полностью отрезан от управления собственным компьютером.
И хотя это обернулось бы бедой для любого, для Кенны это несло особенно катастрофические последствия. «Я занимаюсь биткоинами почти с самого их появления, – говорит он. – Не думаю, что нужно говорить что-то еще».
Кенна добывает биткоины так давно, что помнит, как включал компьютер и был одним из всего лишь пяти человек в сети. Теперь в сеть выходят больше 5000 компьютеров. Примерно раз в десять минут компьютеры, составляющие сеть, конкурируют за получение биткоинов. Раньше за один раз можно было получить 50 биткоинов, теперь всего 12,5. Кенна вспоминает, что в какой-то момент перестал этим заниматься, потому что и 50 битконов было для него слишком мало. По нынешнему курсу он отказывался от $40 тысяч в день.
Хотя часть его биткоинов хранилась в онлайн-сервисах – в основном потому, что его компании принимают биткоины в качестве оплаты – почти все свои накопления Кенна хранил на защищенном жестком диске. «По сути, это был мой неприкосновенный запас, который я бы стал использовать только в крайнем случае», – признается он. Последние несколько лет Кенна не подключал его к сети, но совсем недавно подключил устройство к интернету, чтобы перенести биткоины в более безопасное место, а часть их них продать.
Хакерам удалось украсть деньги несмотря на пароль из 30 символов. И в отличие от транзакций с кредитными картами, перевод криптовалюты отменить нельзя.
В ответ на вопрос, сколько биткоинов у него украли, Кенна смеется. Он только подтверждает, что в пересчете на доллары он потерял миллионы. «Я был одним из первых людей в мире, кто начал работать с биткоинами, – говорит он. – Сейчас у меня осталось около 60 биткоинов, и это ничтожная часто того, что было». К тому же, он так и не смог получить свой телефонный номер назад. (В T-Mobile отказались обсуждать личные дела клиентов.)
Случай Кенны – всего лишь один из целой волны атак на биткоин-хранилища, которые задели всех – от обычных людей до больниц, в том числе специалистов высокого уровня, таких как венчурные инвесторы, предприниматели, топ-менеджеры и другие. У этих людей были украдены телефонные номера, некоторые понесли финансовые потери, кому-то угрожали, кого-то шантажировали, а одного человека даже подвергли физической опасности.
Опыт этих людей – часть более широкой тенденции. В январе 2013 года Федеральная торговая комиссия США получила 1038 заявлений о подобных инцидентах, то есть 3,2% всех сообщений о кражах личных данных, полученных организацией за тот месяц. К январю 2016 года задокументировано уже 2658 таких случаев – 6,3% от всех подобных заявлений. Инциденты затронули абонентов всех четырех крупнейших операторов страны.
Хотя отследить количество таких краж достаточно трудно, крупнейшая в США биржа криптовалют Coinbase сообщает, что ожидает двукратного увеличения подобных случаев среди клиентов за период с ноября по декабрь. Среди жертв атак – венчурные инвесторы Адам Дрэйпер, Брок Пирс, Бо Шен и Стив Уотерхауз, неназванный топ-менеджер Coinbase, гендиректор Gem Мика Винкельспехт, бывший руководитель компании Bitfury Майкл Голомб, один из первых добытчиков биткоина и предприниматель Чарли Шрем, обладатель биткоинов Джоби Уикс, разработчик Джоэл Дитц, шесть партнеров платформы децентрализованных прогнозов Augur, база данных форума Ethereum и другие люди, которые пожелали остаться неназванными во избежание повторения атак.
Большинство жертв атак не понесли финансовых потерь, но у некоторых все же украли деньги, а размер самых крупных убытков примерно соответствует потерям Кенны. У Шена украли токены Augur REP на сумму $300 тысяч, а также определенное количество биткоинов и других криптовалют. Уикс потерял биткоины на сумму около $100 тысяч, а также полностью лишился накоплений в других, менее известных криптовалютах, таких как Ether, Ripple и Monero.
Кроме того, хакер выдал себя за Уикса и одолжил у его друзей еще $50 тысяч в криптовалютах. (За недавние годы Уикс открыл мир криптовалют для многих знакомых, раздав, по его словам, около 1000 биткоинов, так что эти люди уже научились пересылать деньги в интернете.)
Кенна и другие жертвы также подтвердили, что злоумышленники обращались к их друзьям с просьбой переслать им биткоины или другие виртуальные деньги. Однако уязвимости в защите, которые использовали организаторы этих атак, несут угрозу не только обладателям криптовалют – просто они пострадали первыми, потому что такие транзакции нельзя отменить.
Лазейка, которую нашли эти хакеры, может быть использована против любого, кто использует свой номер телефона для защиты аккаунтов в таких популярных сервисах, как Google, iCloud, нескольких популярных банках, PayPal, Dropbox, Evernote, Facebook, Twitter и многих других. Хакеры взламывали банковские счета и пытались совершить денежные переводы, использовали кредитные карты для оплаты, проникали в аккаунты в Dropbox, где хранились копии паспортов, данные кредитных карт и налоговые реквизиты, и шантажировали жертв, используя конфиденциальную информацию из их почтовых ящиков.
Пирс, инвестор компании Blockchain Capital, чей номер был украден в прошлый вторник, сказал своему менеджеру по услугам T-Mobile: «От пяти клиентов это перейдет на 500. Начнется настоящая эпидемия, и мой случай вы должны использовать так же, как использовали канареек в угольных шахтах».
Номер телефона как удостоверение личности
Во всех случаях, как тот, что произошел с Кенной, хакерам даже не нужно было обладать какими-то особенными компьютерными навыками. Ключ ко всему – ваш номер телефона. Заполучить его можно, если найти неосторожного специалиста по безопасности в компании-операторе связи. Затем хакер через СМС использует распространенную меру безопасности под названием двухфакторная аутентификация (2FA). Предполагается, что вход в аккаунт с помощью 2FA через СМС добавит еще один уровень защиты поверх вашего пароля, так как вам нужно будет вводить еще и код, полученный в сообщении (или через телефонный звонок). Все это хорошо, но только если вы владеете собственным номером телефона. Однако если злоумышленники перенесли ваш номер на свое устройство, код приходит напрямую им, и они получают доступ к вашей почте, банковским счетам, криптовалюте, аккаунтам в Facebook, Twitter и других сервисах.
Летом прошлого года Национальный институт стандартов и технологий США (NIST), который задает стандарты безопасности для федерального правительства, «не рекомендовал», то есть объявил о прекращении поддержки двухфакторной аутентификации через СМС в качестве меры защиты. Несмотря на то, что федеральные учреждения требуют более высокого уровня защиты в сравнении с аккаунтами частных лиц, старший советник NIST по технологиям и стандартам Пол Грасси заявил, что СМС «никогда не позволяли доказать владение телефоном, поскольку сообщения можно переадресовать, получить по электронной почте или просмотреть на веб-сайте оператора, имея лишь пароль. Эти сообщения никогда не были вторым уровнем защиты».
Хуже всего, если хакер не заполучил пароль, но в процедуре его восстановления используется СМС. Тогда ваш пароль можно изменить, используя лишь номер телефона.
Тем не менее двухфакторная аутентификация так широко распространена благодаря удобству использования. «Не у всех есть смартфон, кто-то все еще ходит с обычным телефоном, – говорит специалист по безопасности Android Джон Сойер, – если Google откажется от двухфакторной аутентификации через СМС, все обладатели кнопочных телефонов окажутся в пролете. Так что хуже – 2FA, которую можно взломать, или полное ее отсутствие?» Кстати, по прогнозу компании CCS Insight, изучающей рынок мобильных устройств, к концу года в мире будут использоваться 2,56 млрд обычных телефонов и 3,6 млрд смартфонов.
В Google говорят, что оставляют 2FA через СМС именно по этой причине – из стремления предоставить как можно большему количеству пользователей дополнительный уровень защиты. Также компания предлагает и другие варианты защиты, такие как приложение Google Authenticator, которое генерирует случайные коды, или аппаратные устройства, такие как Yubikeys, для тех, кому стандартных средств недостаточно (хотя эти методы есть смысл использовать всем, кто взаимодействует с важными личными данными, такими как банковские счета и электронная почта).
Двухфакторную аутентификацию через СМС до сих пор используют даже компании, работающие с криптовалютой, которые, казалось бы, входят в группу повышенного риска. На вопрос о том, почему в Coinbase, известной своим высоким уровнем защиты, до сих пор разрешают использовать 2FA через СМС (хотя доступны и более серьезные средства защиты), директор по безопасности компании Филипп Мартин ответил: «База пользователей Coinbase насчитывает около пяти миллионов пользователей из 32 стран, в том числе развивающихся.
К сожалению, у многих пользователей нет лучшей технической альтернативы СМС-сообщениям, поскольку они не располагают смартфоном или техническими навыками и знаниями, без которых не получится использовать более сложные техники. Учитывая эти ограничения, наша позиция такова, что любой тип двухфакторной аутентификации лучше полного ее отсутствия».
Xapo – еще один биткоин-стартап, который славится высоким уровнем защиты и постоянно наращивает базу клиентов, в том числе на развивающихся рынках, тоже поддерживает 2FA через СМС, но планирует вскоре отказаться от этой технологии. В обоих этих сервисах доступны и другие меры защиты, которые помогли сохранить сбережения людям, у которых тоже украли телефонные номера.
Джесси Пауэлл, генеральный директор американской биржи Kraken, написавший обширный пост в блоге о том, как защитить свой телефонный номер, осуждает сотовых операторов за то, что они должным образом не защищают номера своих абонентов, хотя те являются основой защиты огромного количества сервисов, в том числе электронной почты. «[Телекоммуникационные] компании не относятся к номерам телефонов, как к банковским счетам абонентов, хотя должны. Они не должны помогать людям, которые обращаются к ним, не имея на руках паспорта или пин-кода, – считает он. – Вместо этого они ставят удобство превыше всего остального».
Пауэлл уверен, что из-за такого отношения особому риску подвергаются владельцы криптовалюты. «Обладатели биткоинов рискуют намного сильнее», – заявляет он. Обычный пользователь может лишиться доступа к личным фотографиям или другим данным, он может обратиться в банк и отменить операцию по кредитной карте. «Однако для тех, кто работает с биткоинами, последствия будут куда более серьезными, – говорит он. – Телефонные компании не делают сервис для людей, управляющих миллионами долларов. Они делают бизнес на продукте для широкого круга пользователей».
Шен из Fenbushi Capital описывает различие между уровнем безопасности, которого пока достаточно для работы в обычной сети, и уровнем, необходимым тем, кто работает с криптовалютой. «По-моему, большая часть нынешних популярных сервисов, таких как Google, Yahoo, Facebook или Amazon обеспечивают достаточный уровень защиты для интернета данных, – говорит он. – Однако мы переходим к интернету ценностей, в котором работают реальные деньги».
Излюбленное оружие хакеров – психологическая атака
Чтобы обнаружить уязвимого сотрудника службы поддержки, хакеры часто используют приемы так называемой социальной инженерии, на которую приходится 66% всех атак. Наглядная демонстрация этого метода показана на видео (начинается с 1:55), на котором женщина на фоне детского плача (что в действительности – всего лишь запись с YouTube) прикидывается молодой женой, которая не знает почтовый адрес от аккаунта ее мужа. Сотрудник компании по ее просьбе меняет адрес и пароль, лишая доступа к аккаунту его законного владельца.
«Когда люди задумываются о хакерах, они представляют, как кто-то взламывает их компьютер с помощью специального ПО, однако в действительности сейчас все происходит иначе», – рассказывает Крис Хаднаги, глава отдела психологических атак в компании Social-Engineer, которая помогает другим компаниям противостоять приемам социальной инженерии.
По словам Хаднаги, с помощью LinkedIn, Facebook, Twitter и Foursquare он может «составить очень точный психологический портрет и оценить, что вы любите есть, какую музыку слушаете, где вы работали, с кем были в отношениях – то есть выдать себя за вас в большинстве сервисов и компаний, услугами которых вы пользуетесь».
Дату рождения легко узнать, к примеру, на Facebook, а год рождения можно узнать на LinkedIn, так что хакер, вооружившись приемами социальной инженерии, может позвонить телефонному оператору и заявить, что забыл пин-код от аккаунта, и подтвердить свою личность с помощью даты рождения, номера телефона и адреса для смены пароля, отмечает Хаднаги. Он также рассказал, что в последние пару лет хакеры все чаще используют для атак телефонные номера, поскольку «имитировать» линию – то есть сделать так, будто вы звоните с другого номера – стало просто как никогда.
«Сделать это можно бесплатно с помощью большинства сервисов IP-телефонии, и нет никакой возможности проверить это, – говорит он. – Я могу взять номер, с которого вы мне звонили, и через минуту позвонить вам с того же номера. Если это ваш номер, и у вас не установлен пин-код, я могу позвонить с него и войти в вашу голосовую почту. Я могу позвонить вам из Белого дома. Подделать можно абсолютно любой номер».
При взломе Мики Винкельспехта, генерального директора и основателя биткоин-компании Gem, хакер звонил в T-Mobile шесть раз за день, пытаясь выдать себя за жертву. Пять раз в доступе к аккаунту ему отказывали, но шестой по счету сотрудник поддался и разрешил перевести линию на другой номер. «Клиенты не виноваты. Вина лежит на операторах, которые не следуют правильной процедуре аутентификации, – говорит Винкельспехт. – Я использовал менеджер паролей, случайные пароли, 2FA – что угодно».
Винкельспехт, который в итоге не понес финансовых потерь, уверен, что мог принять хоть все возможные меры предосторожности и все равно оказаться жертвой из-за того, что «всего один сотрудник колл-центра может совершить ошибку и поставить под удар все ваши личные данные в сети».
Случай Стива Уотерхауза, бывшего партнера фирмы по торговле и инвестициям в криптовалюты Pantera Capital, показывает, как легко для хакера, владеющего приемами социальной инженерии, получить желаемое, если он попадет на достаточно сговорчивого сотрудника службы поддержки.
Два месяца назад злоумышленники переадресовали номер Уотерхауза на оператора Bandwidth. Недавно он получил свой номер назад и позвонил в службу поддержки Verizon, чтобы снова подключить международные звонки. Сотрудник колл-центра спросил пин-код от аккаунта.
«Я попросил подождать, потому что у меня несколько компаний и аккаунтов. Парень ответил: «Да не волнуйтесь, просто назовите последние четыре цифры номера социального страхования». Я сказал: «Стоп, но в чем тогда вообще смысл пароля?» Он отвечает: «Ну, вы же сами все понимаете». Тогда я спросил, можно ли перенести мой номер. На самом деле мне это было не нужно – просто решил проверить. Он ответил, что без проблем, на какой номер нужно сделать переадресацию? Я говорю, что включил блокировку переадресации, если мне не изменяет память. Парень сказал подождать, потому что ему нужно было проверить записи. А там не было соответствующего поля, она была скрыта под множеством записей от других сотрудников. Тут он сказал, что действительно, это со мной уже случалось. Да, говорю, безопасность у вас на высоте. Слышу в ответ: «Наверное, кто-то должен был вывести это в начало вашей записи». Я говорю, прекрасно, то есть у вас это дело случая. Если я попадаю на нужного человека, то могу настроить переадресацию, а он отвечал, нет, ни в коем случае. Я понял, что это совсем не похоже на высокий уровень безопасности». (В Verizon отказались обсуждать частные случаи клиентов.)
Хакеры могут завладеть личной информацией несколькими способами. Изначально хакер написал Уотерхаузу сообщение, в котором заявил, что пишет статью в блог о нем и его жене, и ему нужно было узнать, где они познакомились – именно в этом заключается один из секретных вопросов Уотерхауза.
Взломщик одного из топ-менеджеров Coinbase отправлял его коллегам сообщения с просьбой сменить его пароль. Один хакер рассказал своей цели, что позвонил в один онлайн-магазин, представился этим человеком и попросил уточнить адрес и номер телефона, чтобы затем использовать эти данные в разговоре с телефонным оператором. (Такой прием легко осуществить, но в конкретном случае этого не было: указанный магазин ответил, что более года не имел никаких контактов с этим клиентом.)
Несколько хакеров преследовали людей, близких к целям, чтобы получить доступ к их номерам телефона или просто взломать аккаунты этих людей, а затем выйти на цель. К примеру, Пирс в целях безопасности оформил номер телефона не на себя, а на свою любимую. 9 декабря человек, который выдавал себя за Пирса, позвонил в T-Mobile и попросил предоставить номер ее счета. У девушки был установлен пароль, который должен назвать любой человек, пожелавший получить доступ к ее аккаунту, однако, по ее словам, в T-Mobile ей сообщили, что их представитель попросту забыл об этом шаге. 13 декабря некто, представившись Пирсом, назвал имя владелицы аккаунта и последние четыре цифры ее номера социального страхования, а затем настроил переадресацию с номера Пирса на оператора Sprint.
Еще один хакер завладел телефонным номером невесты Шрема. В июле прошлого года, пока пара разговаривала по телефону, девушка заметила, что ее аккаунт Gmail перестал работать, а затем через несколько минут отключился ее телефон. Шрем пытался подключиться к ее ноутбуку Mac, но оказалось, что кто-то сообщил о краже устройства и удалил с него все данные. Судя по всему, хакер сменил пароль от iCloud при помощи СМС, а затем пометил его украденным и на расстоянии удалил все данные. Затем хакер в текстовом сообщении представился невестой Шрема и попросил его переслать 50 биткоинов.
Закон позволяет операторам самим заботиться о безопасности
В начале 2000-х годов Федеральная комиссия по связи США (FCC) обязала сотовых операторов переносить номера абонентов в другие сети при получении запроса, чтобы освободить клиентов от привязанности к конкретному оператору. Для начала переноса новому оператору нужно было знать номер телефона, номер аккаунта, почтовый индекс и пароль, если клиент захотел его установить.
Что касается подтверждения и защиты личности, «операторы обязаны защищать данные клиентов, а в недавнем приказе об обеспечении конфиденциальности правила FCC о защите сведений клиентов стали еще жестче», сообщил по электронной почте представитель Комиссии Марк Уигфилд.
Несмотря на то, что упомянутые правила относятся в первую очередь к сетям широкополосного доступа в интернет, они относятся и к сотовым операторам, хотя о защите от краж телефонных номеров ничего конкретно не сообщается. FCC дает определенные указания о том, как операторы должны защищать данные пользователей, например «внедрять современные и самые устойчивые методики» и «надежные средства аутентификации пользователей», но конкретные способы обеспечения безопасности остаются на усмотрение каждой компании.
Представители Sprint, Verizon и T-Mobile отказались комментировать данную тему, то же самое и с организацией «Административный оператор переноса номеров» (NPAC), которая отвечает за систему смены операторов с сохранением номеров. Джон Марино, вице-президент ассоциации компаний в области сотовой связи CTIA, ответил в письме: «Все члены нашей ассоциации считают обеспечение безопасности наших пользователей вопросом высочайшей важности. Каждая компания использует продвинутые процедуры и протоколы, которые позволяют защищать личные данные клиентов и оперативно реагировать на возникающие угрозы».
Правила FCC не обязывают операторов предлагать возможность «блокировки переноса», и непохоже, что попытки заставить их предлагать такую услугу будут иметь эффект. И Уотерхауз, и Уикс обращались к своим провайдерам (Verizon и T-Mobile соответственно) с просьбой фиксировать в аккаунте попытки взлома и не разрешать перенос номера. Это никак не помогло предотвратить кражу данных. Тем не менее номер, заданный в Google Voice, можно заблокировать и запретить перенос на другого оператора.
Хакеры: кто они?
Кому-то из жертв удалось пообщаться с хакерами, некоторым даже по телефону. Хотя в основном IP-адреса указывали на Филиппины, большинство жертв сходятся во мнении, что по голосу хакеры были похожи на американцев в возрасте 20 или чуть больше лет.
Один из пострадавших заявил, что «его» хакер был филиппинцем. Еще один человек рассказал, что хакер выдавал себя за русского, хотя, очевидно, был англоязычным пользователем, который общался через Google Translate. (Он написал человеку, чей родной язык – русский.) Однако большинство жертв согласны с тем, что имели дело не с одиночкой, а с командой или даже несколькими командами хакеров. По крайней мере, это объясняет то, что они могли захватить сразу так много аккаунтов после кражи телефонного номера.
Похоже, что после взлома аккаунта хакеры прочесывали данные жертвы в поисках контактов других людей. Голомб, бывший топ-менеджер Bitfury, рассказал, что, когда злоумышленники получили доступ к его Dropbox, кто-то с Филиппин стал искать среди файлов такие слова, как «биткоины», «кошельки» и имена других менеджеров и членов совета директоров Bitfury, особенно тех, кто мог знать реквизиты для входа в аккаунты компании. Несколько пострадавших узнали от хакеров, что их целью были люди, связанные с Ethereum – второй по популярности криптовалютой после биткоинов. Расследованием этих преступлений занимается ФБР, однако его представители отказались комментировать дело.
Хотя у Кенны определенно есть свои идеи насчет того, кто мог стоять за этими атаками, на эту тему он говорит только одно: «Они очень хорошо подготовлены и организованы. Если бы наши с ними пути пересеклись в других обстоятельствах, я бы без сомнений взял их на работу. Они невероятно хороши в том, чтобы нарушать закон».
О своих финансовых потерях он говорит другое: «Разумеется, я этому не рад, но все же теперь я чувствую в каком-то смысле облегчение. Впервые за шесть лет я уверен, что никто не украдет мои биткоины». Он негромко смеется. «Раньше моей семье угрожали, люди присылали фотографии дома моей матери, вымогая биткоины и все такое. Поэтому, учитывая, сколько раз у меня пытались все украсть – сколько раз дорогим мне людям угрожали, пытались взломать меня и моих близких, устраивали DDOS-атаки, шантажировали – тот факт, что с этим покончено, в каком-то смысле даже радует. Но это, конечно, не значит, что я счастлив от того, что случилось».
Все что не попало на сайт, Вы узнаете у нас в Facebook. Подписывайтесь!