Крик души админа blogto4ka.ru

Дуэль с хакером

Вчера еще один день моей рабочей недели был пущен коту под хвост. В районе 14.00 дня в своем мыле на bigmir.net (там стоит мыло от gmail) я замечаю письма из панели сайтов, Сапы, панели доменов на ru-tld и ряда других сервисов и ПП со ссылками на смену паролей ко всему этому делу. Причем темы писем не выделены жирным, они УЖЕ ПРОСМОТРЕНЫ.

Я в панике, различные нехорошие мыслишки со всех сторон штормят голову, мешая сосредоточиться и что-то предпринять. Не могу понять, есть у злоумышленника доступ к мылу или нет, и если есть, то почему я все еще залогинен в своем мыле. По глупости и неопытности у меня на мыле хранилась целая папка с ярлыком «данные регистрации», где были логины, пароли и вся-вся-вся подноготная моей сетевой жизни.

Открываю уже прочитанное кем-то мыло от самого сокровенного — панели доменов, где хранится большое количество сайтов, и читаю интересную переписку с саппортом хостинга якобы от моего имени, где злоумышленник просит саппорт сменить пароль от CPanel, мол сам он по каким-то идиотским причинам сделать этого не может. Мигом несусь туда, меняю пароль, в еще открытом тикете объясняю саппорту, что переписку веду не я, а кто-то от моего имени и прошу их не менять никаких паролей, потому что я контролирую свое мыло и сам могу это сделать, прошу связаться со мной по аське для разъяснения ситуации.

На всякий пожарный быстро меняю мыло, за которым числится WMID. Перехожу к следующему письму, в котором пришла ссылка на смену пароля в Sape, логинюсь и вижу, что полностью удалены все мои проекты в панелях оптимизатора и вебмастера.

О**евшими глазами наблюдая как ящик наполняется мейлами, которые я не читал, но которые уже отмечены просмотренными, вижу сообщение от аськи «Ваша учетная запись используется на другом компьютере». Пытаюсь снова залогиниться, злоумышленник делает то же самое. После такой игры в дрючку аська выдает мне «слишком много подключений, попробуйте позже». Аська остается под контролем злоумышленника. По всей видимости он использовал один из паролей, которые нашел на моем мыле, и тот подошел к аське (вот такой вот я идиот). А злоумышленник ожидал теперь, что хостер свяжется с ним по аське.

О**еваю дальше. Хочу вернуться в мыло глянуть, что он там такого еще натворил, но не могу зайти на bigmir.net. В голове проносится сценарий фильма «Крепкий орешек 4», начинаю подозревать атаку через локальную сеть с предварительным сливом содержимого моего винчестера. Звоню к провайдеру, он говорит, что, оказывается, у них ведутся технические работы, и невозможность достучаться до бигмира и ряда других сайтов, в том числе и сервисов аськи, типа нормальное явление, нужно подождать. Здорово совпало!

Жду… Жду… Жду… Минут через 45 звонит провайдер и говорит, что все исправили. Первым делом восстанавливаю контроль над аськой через смену пароля на icq.com. Захожу на почту и вижу что новых е-мейлов с просьбой сменить пароль не приходило (или они приходили, но он их удалил). Решаю попробовать сменить пароль к мылу: при этой попытке бигмир тебя в начале вылогинит и попросит залогиниться снова, а после входа ты сразу переходишь к редактированию профиля. После логаута понимаю, что мой пароль к почте больше не подходит, и я ею больше не владею. Восстановить ее не получается, т.к. ответ на секретный вопрос почему-то оказывается неверным, хотя я в нем и уверен. У злоумышленника оказывается полный контроль над моим мылом и вся папочка с логинами и паролями к ПП, панелям доменов и сайтов и еще много чему.

Несусь на бигмир в надежде, что сидят они в Киеве, чтобы найти их телефон и постараться вернуть себе мыло. При звонке в службу поддержки объясняю ситуацию. Мне сообщают, что скорее всего моя почта была угнана днем ранее около 20.00, что злоумышленник сменил все данные, включая и секретный вопрос и ответ на него, и что теперь, чтобы доказать, что мыло мое, я должен написать им письмо с указанием всех данных, которые я вводил 4 года назад, когда регистрировал себе это мыло. С тех пор, естественно, я, во-первых, много чего забыл, во-вторых, много раз все менял.

После нескольких попыток подбора и где-то получаса звонков к бигмиру я выспрашиваю, что, оказывается, можно было сразу же попросить их заблокировать мое мыло, пока настоящий владелец не предъявит все данные на него. Вот это был полный ппц. Пока злоумышленник уводил с мыла все данные, я общался с вежливым саппортом, пытаясь вспомнить данные четырехлетней давности, и саппорт мне даже не сообщил о возможности заблочить мое мыло, пока я сам об этом не спросил. Здорово!

Худо-бедно заблочили мыло, на следующий день я отослал к ним сканы своих паспортных данных, которые, естественно, совпадали с тем, что я вводил при регистрации мыла, и на том вопрос и решили. Контроль над мылом был восстановлен, данные от всех ПП, все логины, пароли и подобную информацию с мыла я удалил и больше их никогда там держать не буду. Сменил порядка 50 паролей. Всюду использовал сложные комбинации, а хранить собираюсь исключительно в голове и на листочке. Где это возможно было, поставил блокировку доступа по IP. Просканил комп несколькими прогами в поисках троянов, в том числе и mailware, поудалял кучу кейгенов и крэков от греха подальше и поставил себе фаервол.

Как бы странно это не звучало, но после попыток увести домены из панели в ру-тлд и сменить пароли от панели сайтов и Сапы злоумышленник, видимо, больше ничего не предпринимал. Наверное удивился, когда завладев моим мылом понял, что я тоже до сих пор залогинен (он мог понять это из переписки с хостером, где он представился мною, а я тут же это опроверг, он тоже читал тот тикет), и решил бросить это дело. Я проверил все данные во всех ПП, где работаю, посмотрел, чтобы не были сменены кошельки для выплат и т.п. Все осталось нетронутым. Даже из Сапы, где на счету было около 5$ ничего не уводил (все равно не успел бы, заявка обрабатывается несколько дней), а только удалил, пидарас маленький, все проекты.

Выяснил айпишник, которым пользовался злоумышленник: 87.103.209.226. Перейдите на него по http-протоколу и скажите мне, че за гавно там установлено, и где это находится?

По сути это происшествие обошлось мне только в кучу нервов и два дня работы: день на всю заварушку и день на восстановление нервов. Финансово я никак не пострадал, хотя есть знакомые, которым подобные взломы обходились в несколько сотен вечнозеленых. Даже проекты в Сапе в обеих панелях саппорт уже восстановил.

*баный хакер, если ты это читаешь, а я знаю, что скорее всего ты будешь это читать, можешь потренировать свою правую руку еще раз! На большее ты пока не годен!

Теперь у меня осталось всего 2 вопроса: как увели мое мыло и зачем это кому-нибудь было надо?

Для справки:

врагов в оффлайне нет, в онлайне вроде тоже не должно быть;
заработки в интернете не настолько велики, чтобы привлечь столько внимания, все заработанное выводится почти сразу, и я на него живу;
доступа к локальной машине нет ни у кого кроме меня;
стоял НОД32, отдельного фаервола не было;
пароль к мылу был уникальным, то есть нигде больше не повторялся;
я не первый год в сети и не идиот, чтобы попадаться на фишинги или качать себе на машину и своими же руками запускать трояны

Выводы:

1. Если живете активной сетевой жизнью, то на машине как минимум должны стоять связка firewall+antivirus+последние обновления винды.

2. Доступ к рабочей машине всегда должен быть только у вас. Даже когда я переехал в отдельную квартиру, я все равно не стал убирать пароль со своего компа, чтобы не расслабляться, и это, я считаю, хорошая привычка.

3. Постоянные финстрипы — прямая дорога стать мишенью мошенников. Но как бы там ни было, я все равно буду продолжать их публиковать до конца этого года, так как, еще раз повторю, все значительные суммы с кипера сразу же выводятся на карту, где до пользования ими я еще успеваю наварить небольшой процент на депозите. В 2011 уже традиция финстрипов, пожалуй, будет прервана, но не столько из-за боязни стать мишенью мошенников, сколько из-за боязни стать мишенью налоговой 🙂 . Украинские налоговики, чувствую, тоже скоро полезут в инет.

4. Не храните никаких важных данных на мыле, иначе вы сами показываете мошеннику, где и что у вас можно украсть, и не верьте, когда кто-то утверждает, что какое-то мыло нельзя взломать. Практика показала обратное.

5. Взломать сложно только то мыло, о существовании которого никто не знает: используем одно нигде и никогда непаленое мыло для регистраций на сайтах, а другое афишируем как свое основное и с него ведем рабочие переписки.

6. Пароли должны быть сложными и храниться только на бумажке в зашифрованном виде. Никаких desktop-программ или, не дай Бог, онлайн-сервисов.

Ну, вот и все. Кто что обо всем этом думает?

Все еще долечиваю нервы
Ваш Перспективный блоггер

blogto4ka.ru

If you found an error, highlight it and press Shift + Enter or click here to inform us.

Author: master

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *