Як mail.ru «дбають» про безпеку своїх користувачів...

Вам знайоме це почуття переляку і повної безпорадності, коли раз за разом вводиш пароль, але сервіс його не приймає?
Всередині все холоне, і краєм свідомості ти вже розумієш, що сталося найстрашніше — твій пароль викрали, але все одно продовжуєш безплідні спроби авторизуватись.
Не так страшно, якщо хтось заволодів доступом до твоєї поштою або навіть сторінці в соціальній мережі. Куди страшніше, якщо ти не можеш залогуватися в особистий кабінет платіжної системи або інтернет-банку…

Я не міг навіть подумати, що коли-небудь стану жертвою інтернет-шахрайства. Паролі ведуть тільки у недосвідчених користувачів, які скачують все підряд, використовують один пароль і не дивляться в адресний рядок браузера — вважав я.
Можливо саме моя самовпевненість стала причиною не тільки моральних, але і фінансових втрат.

У мене давно є аккаунт в биткоин-біржі btc-e.com. Хоча я не торгую там вже давно, на моїх рахунках все одно знаходилися деякі кошти в криптовалюте, якими я іноді оплачував різні послуги. Іншими словами, я використовував свій аккаунт як bitcoin-гаманець.

Сьогодні мені знадобилося знову виконати переклад, але залогуватися на сайті біржі у мене не вийшло. Мій надстійкий, 16-символьний пароль не підходив. Помилитися при введенні я теж не міг, тому що копіював його з keepass.
Я і раніше чув про випадки злому акаунтів, але ніколи не сприймав це серйозно, тому що, по-перше, сума моїх коштів не настільки велика, щоб сильно про це турбуватися, а по-друге, вважав себе цілком обачним, а свої паролі достатньо надійними.

Як би те ні було, я скидаю пароль btc-e, логинюсь туди з новим і виявляю, що всі мої рахунки обнулені.
В історії транзакцій видно, як з усіх моїх рахунків гроші були замінені на карбованці, а вся сума цілком виведена на чийсь гаманець в Payeer.com.
Особливості роботи цієї біржі такі, що будь-виведення коштів вимагає тільки єдине підтвердження через листа, що відсилається на прив'язаний email. Я, природно, нічого не підтверджував — зловмисник зробив це за мене. Мій поштовий ящик виявився скомпрометований.

Отже, схема атаки, що дозволяє вкрасти всі засоби будь-якого клієнта біржі така:
  1. Зловмисник будь-яким способом отримує доступ до електронної пошти жертви
  2. Виконується скидання пароля на вхід в обліковий запис
  3. Гроші з усіх рахунків обмінюються одну валюту і робиться запит на виведення всієї суми
  4. Запит підтверджується посиланням із листа
  5. Всі листи від біржі видаляються
  6. PROFIT!


У всій цій ситуації мене найбільше здивувала не втрата грошей, а факт проникнення в мою електронну пошту. Я завжди вважав, що мені нема чого боятися, оскільки у мене там складний і унікальний пароль, який я ніде не світив. Підібрати його було неможливо.
У веб-інтерфейсі і imap протоколі mail.ru використовується SSL, тому варіант з перехоплення пароля або DNS-спуфингом теж виключений.
Жертвою фішингу я стати не міг, бо завжди вбиваю адреса сайту mail.ru вручну.

Залишається тільки варіант з трояном, але перевіривши свої комп'ютери антивірусом, я не виявив нічого підозрілого. Крім того, якщо б я дійсно підхопив трояна, то швидше за все позбувся доступу і до багатьох інших сервісів.

Щоб хоч якось розібратися в цьому, мені потрібні були логи доступу до моєї поштою за цей період. І тут починається найцікавіше.
Всі сучасні поштові сервіси (наприклад gmail або яндекс.пошта) можуть показувати користувачеві всі останні сеанси, зберігаючи дані про час доступу і IP-адреси. Така інформація серйозно могла б мені допомогти.
В mail.ru теж є така можливість, але за замовчанням вона відключена.

Не біда, подумав я, напевно можна написати в службу підтримки та отримати цю інформацію.
Варто почати з того, що звернутися в службу підтримки не так-то просто. Перейшовши по посилання, ти виявляєш типову довідку з запитаннями, серед яких немає нічого схожого на форму для повідомлення про факт злому.
Для прикладу: в яндексі така форма знаходиться моментально.

Насилу знайшовши в довідці питання, який представляє можливість написати в службу підтримки, я виклав всю ситуацію і став чекати відповіді. Чекати знадобилося недовго, вже через годину я отримав відповідь, який був гранично лаконічний і однозначна:
«Інформацію про те, з яких IP адрес здійснювався вхід в Ваш поштовий
ящик, ми можемо надати тільки за офіційним запитом з уповноважених
правоохоронних органів.»


Такі роботи в техпідтримку — це біда не тільки mail.ru, але і більшості інших великих компаній, тому я їх не звинувачую. Створюється враження, що людей там спеціально відучують думати, замінюючи їм інструкціями здоровий глузд.
Але ця ситуація є просто втіленням такого абсурду.
Ви тільки вдумайтеся: мені відмовляють в отриманні інформації щодо МОГО аккаунту, яка тепер була б мені доступна, просто якщо б я поставив галочку в налаштуваннях. Замість цього мені пропонують звертатися в поліцію, як ніби я вимагаю у них надати листування іншої людини.

З одного боку, я не можу звинувачувати mail.ru, тому що такий формат спілкування саппорта з користувачем — це, на жаль, стандарт для всієї галузі. Але з іншого боку я не можу промовчати, тому що ви позиціонуєте себе (в тому числі і тут, на хабре) як модну, молоду і клієнто-орієнтовану компанію, а за фактом рівень обслуговування у вас мало чим відрізняється від яких небудь консервативних банківських організацій.

Мораль цієї історії така: не будьте занадто самовпевненими.
Регулярно міняйте паролі, використовуйте двофакторну авторизацію, не гидуйте антивірусами.
Якщо у вас пошта mail.ru, то включіть там налаштування «Зберігати і відображати останні дії в ящику».
А для особливо критичних сервісів, що працюють з вашими грошима, я взагалі раджу використовувати окрему поштову адресу та віртуальну машину, призначені тільки для цієї мети.

Не повторюйте моїх помилок.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.