Janna_Vasilyevna
Опытный user
- Регистрация
- 12 Июл 2020
- Сообщения
- 691
- Реакции
- 6
Это история не про простых ребят и службы безопастности Сбербанка. А намного более продуманная многоходовочка, где взломщикам еще и повезло.
Преамбула: 3 Апреля в РБК вышла статья: "Эксперты обнаружили утечку данных полумиллиарда пользователей Facebook". Предполагаю, что это связано, но будете сами решать, когда прочитаете пост. Дело было год назад.
буду часто писать БМ - для тех, кто не знает = Бизнес менеджер - грубо говоря, главный аккаунт одной компании, в котором может быть куча подаккаунтов.
ЧАСТЬ 1: ВЗЛОМ
Началось все с того, что в 9 утра вижу нестандартного размера списания с карты + звонка от партнера по бизнесу: о том, что он не может зайти ни в один БМ и делать что-то с рекламой. Тоже пробую - вижу супер ограниченный доступ во все БМ и то без возможности что-то делать. В админах, какие-то вьетнамские имена.
Что произошло: у моей жены, аккаунт Facebook, которой использовался нами для бизнеса. Раньше, у нее был сайт, домен и почта. Она был фотографом, но через лет 10 ей надоело заниматься этим профессионально Для простоты назовем домен мояжена.com. На домене была почта: foto@мояжена.com - не photo, а именно foto. Нигде эта почта не светилась. Она забила на домен лет 5 назад, если не больше, так как использовала другой. Но почту с ФБ не отвязала.
В общем, эти кадры, скорее всего, взяли эту (или какую-то другую) базу данных, о которой я писал выше. В базе были логинамы в ФБ. Отсортировали ее на кастомные домены (без мейл ру, гугл ком и тд, проверили их регистрацию и начали свободные на себя регать. Дальше взломщики сделали следующее:
1) Создали на себя почту
2) Купили прокси нашего города: (Ее инстаграм постил в ФБ, так что они видели локацию).
3) Восстановили пароль через эту почту, используя прокси.
4) Проверили, все что есть на ее аккаунте и бинго, думаю сами чуть не охренели, что им сказочно повезло, что у нас куча БМ и рекламы. Это не мог быть заказной взлом - никто понятия не имел, что она добавлена в БМ и вообще как у нас устроена вся система рекламы.
5) Забрали у нас право администририрования БМ'ов + аккаунтов, почему-то микро доступ остался.
5) Переименовали ее в ХЗ Какое-то имя, удалили все что было на странице. Сделали пост о любви к запрещенной не только в России террористической организации и пожаловались на ее страницу. Видимо, терроризм дает более быстрый бан.
Так как они все делали в ночное для нас время, оперативной связи с ФБ не было. Можно было только забанить карту. Когда я ее банил, они разогнали рекламу уже до примерно 1к руб в минуту. Так как 10к списывалось каждые 10 минут.
ЧАСТЬ 2: БОРЬБА С ЭТИМ ВСЕМ МЯСОМ, ВОССТАНОВЛЕНИЕ ДОСТУПОВ.
Когда чат поддержки ФБ начал работать, я описал ситуацию и запустил процесс переписок и звонков с Facebook, который длился месяц. Нам восстанавливали доступы, возвращали списания - да Facebook возвращает деньги, списанные при взломе, если все очевидно. Переписок было прям дохрена. Но все деньги вернули, все долги списали.
ЧАСТЬ 3: КАК НЕ ПОПАСТЬ НА ТАКОЕ.
В этом году вроде так быстро БМ угнать уже нельзя. ФБ поставил какое-то ограничение 1-2 недели, вроде - чтоб так за день не утащись. Но угнать сам личный ФБ аккаунт можно, особенно, если вы не так часто пользуетесь.
Я лично недавно покупал ФБ аккаунт, думал просто реалистичный созданный кем-то. Оказалось, его просто увели. Когда я вводил почту и пароль, ФБ попросил у меня угадать 5 друзей. Было не сложно - я через свой аккаунт вводил имена и за 10 минут нашел всех 5 человек с похожими фото. Аккаунт я вернул владельцу - нашел ее по фото, в сети был ее телефон. Она удивилась, зачем я ей его возвращал))).
То есть, чтобы избежать угона:
1) Ставим двухфакторную аутентификацию через телефон на ваш актуальный номер. Конечно, могут угнать и номер через салон связи, но вы должны очень кому-то лично нужны. Слишком очень нужны и у кого-то должны быть ресурсы это сделать.
2) Ставим двухфакторную себе на почту. Удаляем все неактуальные почты.
3) Не качаем на телефон всякую хрень, не открываем левые смс, особенно, если у вас Андроид, потому что в случае взлома телефона, ломать можно все остальное.
4) Если вы хотите супер секьюрити - покупателе отдельный телефон для двухфакторки, который никто не знает вообще. Но раз в месяц звоните себе на телефон с него на 10 секунд, чтобы не потерять номер. Используете только для кодов безопасности. Не открываете другие СМС и не отвечаете ни на какие звонки.
5) Используете актуальные ваши данные в почте и вопросы безопастности.
ЧАСТЬ 4: МИНИ РАССЛЕДОВАНИЕ
Когда мы восстановили доступ, вся реклама этих гадов была в наших рекламных аккаунтах. Самое забавное, что это реально оказались въетнамские гребаные арбитражныки. Которые, рекламировали все подряд: салоны красоты, какие-то гаджеты и т.д. именно на въетнам.
Сначала, я думал, что объявления делали владельцы магазинов - что они все свое рекламировали. Но написав где-то 10 таким кадрам, я понял, что они тупо размещали объявления через какую-то местную биржу.
Писал в Facebook, скидывал страницы тех, кто контролировал наши Бизнес менеджеры. Самое забавное, что ИХ НЕ ЗАБЛОКИРОВАЛИ - WHAAAAAAAT?)))) Да, Facebook понес потери, но не фига не заблочил. Я юмора не понял, но сделать ничего не смог.
Happy end))) Надеюсь кому-то полезно.
Преамбула: 3 Апреля в РБК вышла статья: "Эксперты обнаружили утечку данных полумиллиарда пользователей Facebook". Предполагаю, что это связано, но будете сами решать, когда прочитаете пост. Дело было год назад.
буду часто писать БМ - для тех, кто не знает = Бизнес менеджер - грубо говоря, главный аккаунт одной компании, в котором может быть куча подаккаунтов.
ЧАСТЬ 1: ВЗЛОМ
Началось все с того, что в 9 утра вижу нестандартного размера списания с карты + звонка от партнера по бизнесу: о том, что он не может зайти ни в один БМ и делать что-то с рекламой. Тоже пробую - вижу супер ограниченный доступ во все БМ и то без возможности что-то делать. В админах, какие-то вьетнамские имена.
Что произошло: у моей жены, аккаунт Facebook, которой использовался нами для бизнеса. Раньше, у нее был сайт, домен и почта. Она был фотографом, но через лет 10 ей надоело заниматься этим профессионально Для простоты назовем домен мояжена.com. На домене была почта: foto@мояжена.com - не photo, а именно foto. Нигде эта почта не светилась. Она забила на домен лет 5 назад, если не больше, так как использовала другой. Но почту с ФБ не отвязала.
В общем, эти кадры, скорее всего, взяли эту (или какую-то другую) базу данных, о которой я писал выше. В базе были логинамы в ФБ. Отсортировали ее на кастомные домены (без мейл ру, гугл ком и тд, проверили их регистрацию и начали свободные на себя регать. Дальше взломщики сделали следующее:
1) Создали на себя почту
2) Купили прокси нашего города: (Ее инстаграм постил в ФБ, так что они видели локацию).
3) Восстановили пароль через эту почту, используя прокси.
4) Проверили, все что есть на ее аккаунте и бинго, думаю сами чуть не охренели, что им сказочно повезло, что у нас куча БМ и рекламы. Это не мог быть заказной взлом - никто понятия не имел, что она добавлена в БМ и вообще как у нас устроена вся система рекламы.
5) Забрали у нас право администририрования БМ'ов + аккаунтов, почему-то микро доступ остался.
5) Переименовали ее в ХЗ Какое-то имя, удалили все что было на странице. Сделали пост о любви к запрещенной не только в России террористической организации и пожаловались на ее страницу. Видимо, терроризм дает более быстрый бан.
Так как они все делали в ночное для нас время, оперативной связи с ФБ не было. Можно было только забанить карту. Когда я ее банил, они разогнали рекламу уже до примерно 1к руб в минуту. Так как 10к списывалось каждые 10 минут.
ЧАСТЬ 2: БОРЬБА С ЭТИМ ВСЕМ МЯСОМ, ВОССТАНОВЛЕНИЕ ДОСТУПОВ.
Когда чат поддержки ФБ начал работать, я описал ситуацию и запустил процесс переписок и звонков с Facebook, который длился месяц. Нам восстанавливали доступы, возвращали списания - да Facebook возвращает деньги, списанные при взломе, если все очевидно. Переписок было прям дохрена. Но все деньги вернули, все долги списали.
ЧАСТЬ 3: КАК НЕ ПОПАСТЬ НА ТАКОЕ.
В этом году вроде так быстро БМ угнать уже нельзя. ФБ поставил какое-то ограничение 1-2 недели, вроде - чтоб так за день не утащись. Но угнать сам личный ФБ аккаунт можно, особенно, если вы не так часто пользуетесь.
Я лично недавно покупал ФБ аккаунт, думал просто реалистичный созданный кем-то. Оказалось, его просто увели. Когда я вводил почту и пароль, ФБ попросил у меня угадать 5 друзей. Было не сложно - я через свой аккаунт вводил имена и за 10 минут нашел всех 5 человек с похожими фото. Аккаунт я вернул владельцу - нашел ее по фото, в сети был ее телефон. Она удивилась, зачем я ей его возвращал))).
То есть, чтобы избежать угона:
1) Ставим двухфакторную аутентификацию через телефон на ваш актуальный номер. Конечно, могут угнать и номер через салон связи, но вы должны очень кому-то лично нужны. Слишком очень нужны и у кого-то должны быть ресурсы это сделать.
2) Ставим двухфакторную себе на почту. Удаляем все неактуальные почты.
3) Не качаем на телефон всякую хрень, не открываем левые смс, особенно, если у вас Андроид, потому что в случае взлома телефона, ломать можно все остальное.
4) Если вы хотите супер секьюрити - покупателе отдельный телефон для двухфакторки, который никто не знает вообще. Но раз в месяц звоните себе на телефон с него на 10 секунд, чтобы не потерять номер. Используете только для кодов безопасности. Не открываете другие СМС и не отвечаете ни на какие звонки.
5) Используете актуальные ваши данные в почте и вопросы безопастности.
ЧАСТЬ 4: МИНИ РАССЛЕДОВАНИЕ
Когда мы восстановили доступ, вся реклама этих гадов была в наших рекламных аккаунтах. Самое забавное, что это реально оказались въетнамские гребаные арбитражныки. Которые, рекламировали все подряд: салоны красоты, какие-то гаджеты и т.д. именно на въетнам.
Сначала, я думал, что объявления делали владельцы магазинов - что они все свое рекламировали. Но написав где-то 10 таким кадрам, я понял, что они тупо размещали объявления через какую-то местную биржу.
Писал в Facebook, скидывал страницы тех, кто контролировал наши Бизнес менеджеры. Самое забавное, что ИХ НЕ ЗАБЛОКИРОВАЛИ - WHAAAAAAAT?)))) Да, Facebook понес потери, но не фига не заблочил. Я юмора не понял, но сделать ничего не смог.
Happy end))) Надеюсь кому-то полезно.
