Привет.
Утро воскресенья у меня началось с того, что один из наших читателей написал: кажется, у вас угнали YouTube-канал. Залез посмотреть, что происходит, и действительно, вместо наших видео совсем другие ролики, название канала изменилось.
В течение нескольких часов все изменилось повторно, канал менялся на глазах.
Доступ к каналу имело всего три человека, безопасность была выстроена по рекомендациям Google — привязан дополнительный адрес почты, номер телефона, включена двухфакторная авторизация. Ничто не помогло от того, что случилось дальше, и это не тот сервис, которого ждешь от Google как от огромной IT-корпорации.
В 8.14 утра воскресенья злоумышленники начали получать доступ к нашему каналу, время выбрано неслучайно, высока вероятность, что мы не заметим изменений и не успеем отреагировать, что, собственно, и произошло. Вначале взломщики добавили электронный ключ для авторизации на канале. Вошли на новом устройстве. Изменили номер телефона, привязанного к аккаунту. Затем изменили привязанный дополнительный адрес почты.
Идеальная последовательность действий, характерная для пособия о том, как украсть аккаунт на YouTube. Если вбить в поиске от Google нечто подобное, то вы найдете множество инструкций, какие-то подробные, какие-то менее тщательно составленные. Но с ними справится и школьник.
Как нас взломали — социальный аспект
Я не знаю, как приставить другим людям свою голову, а заодно научить простым правилам цифровой гигиены. Обычная массовая рассылка на личный адрес почты сотрудника, в которой от лица компании предлагают сделать интеграцию, разместить обзор новых наушников и так далее. Мышеловка устроена очень просто — вам предлагают какие-то плюшки. При этом создано доменное имя, которое находится в зоне RU, перекликается с именем компании. Что интересно, сами письма написаны безграмотно, на компанию они никак не похожи, человек неизвестен и далее по списку. В каком измененном сознании нужно быть, чтобы жать на ссылку в таком письме и заполнять форму заказа, я не знаю. Представить, что сотрудники компании общаются в почте в выходной день и ближе к полуночи, я тоже не могу.
Более того, с компаниями никогда и никаких форм не заполняется, что тоже должно насторожить. Но нет, вот они, наушники, а значит, жмем на ссылку. Пример письма — ниже.
«Анна Логинова» <[email protected]>:
Реклама новых наушников от компании Tecno, наушники BiMax.
Наушники беспроводные, имеют стандарт BlueTooth 5.0 , и так же имеют время автономной работы до 50 часов в режиме ожидания.
Насчет спама, мы проводим рассылки по блоггерам, поэтому есть риск попасть в спам, но мы особо не проверяем это.
Вы знаете, что меня убило? Сотрудник отдал незнакомой “девушке” все свои личные данные — номер телефона, где он живет и так далее. Мы тут про пожилых людей пишем, что их обманывают мошенники, а тут впору задуматься о молодых.
Сотрудник у нас упорный, он добивается своего, более того, дальше общение идет очень мило.
ТЗ размером в 750 МБ?
С расширением pdf.scr
Ничем не открывается, даже если убрать scr.
В ответ он получает:
Нам нет смысла рассылать вирус, мы честная компания, лидирующая в сегменте бюджетных гаджетов, моя почта может подтвердить что я имею прямое отношение к компании Tecno
Расширение мы не меняли, возможно это какой то баг, я сейчас смотрю и у меня все хорошо.
Пароль мы накладываем так как многие компании ФО сканируют файлы, и иногда бывает что выкладывают в публичный доступ файлы ( вспомнить тот же метабокс )
Пришлите пожалуйста скриншот проблемы, я отправлю тех. поддержке, и мы постараемся выявить и по возможности устранить причину возникновения данной проблемы.
В этот момент можно было десять раз включить голову, сменить все пароли и так далее, но нет — упорство, попытки открыть файл и последнее письмо вот такого рода:
00:29, 4 декабря 2022 г., «Анна Логинова» <[email protected]>:
Странно, у меня такого нет, я отправлю всю информацию тех. поддержке.
И уведомлю вас как выясниться в чем проблема.
Думаю нужно действительно поспать, завтра с утра отправлю скриншот того как файл выглядит у меня, и ответ от тех. поддержки.
Не думаю что что-то страшное, но тех. поддержка скажет точно.
Доброй ночи.
Что тут сказать? У меня просто нет слов, лексика исключительно нецензурная. Я правда не знаю, что это, ретроградный Меркурий, пятна на Солнце или что-то еще. Как можно было сделать вот это все?
Понятно, что никакого отношения к компании Tecno эти мошенники не имели. Они просто создали левый сайт, купили домен и начали разводить людей. Не имей сто рублей, а имей сто друзей — в декабре съезжу в Нижний Новгород, попробую понять, что двигало этими деятелями искусства взлома и шантажа (вымогали деньги в течение дня, причем очень глупо и тупо — но это отдельная история, возможно, когда-то про нее расскажу).
Защита от Google — странный цикл, из которого не вырваться
Вкалываешь, работаешь, записываешь десятки видео ежемесячно. Следуешь рекомендациям Google, создаешь запасной почтовый адрес, добавляешь номер телефона, но все это не работает! Воры просто меняют эти настройки за несколько минут, ты не можешь войти в свой аккаунт.
Форма входа в аккаунт зациклена, она предлагает одни и те же решения — вставить аппаратный ключ (его добавили злоумышленники), ввести 8-значный код (он также у них), проверить почту (ту, что украли). Идеальная история. Никакой обратной связи с YouTube или Google нет, в сотнях материалов в сети описан один и тот же алгоритм действий. Но он не работает, так как мне не предлагают ввести информацию, которая была ранее.
Последовательность действий воров настолько типична, что можно просто установить ограничения, ведь такие операции вызывают вопросы. Тут не нужны AI-алгоритмы, просто надо понимать, что все это выглядит как кража аккаунта. И таких историй ежедневно происходят сотни. Поставьте, в конце концов, ограничения на смену номера телефона, установите интервал в сутки, предупреждайте владельца аккаунта об этом. Текущий вариант предупреждения не дает ровным счетом ничего, вы просто узнаете, что кто-то сменил номер телефона или почту, но сделать с этим ничего нельзя (тот самый замкнутый цикл вопросов по кругу).
Среди прочитанных десятков материалов нашел единственный полезный совет — обратиться в Twitter к команде YouTube, там отвечают быстро. Несмотря на воскресенье, получил быстрый ответ.
В личной переписке мне посоветовали пройти ровно те же шаги, что уже были предприняты и не помогли. Затем попросили заполнить форму, на этом все снова вернулось в цикл. Затем мне открыли форму и привязали возможность ответов к конкретному почтовому адресу, появился шанс что-то указать. Личного менеджера на YouTube у нас не было, так что этот путь также был закрыт.
В конечном итоге, подняв на уши всех, кого только возможно, мы вопрос решили — получили обратно доступ, архив нашего канала начал восстанавливаться. Пишу эти строчки и смотрю, как на канале десятками появляются видео, которые воры с него удалили. Возможно, что к моменту, когда вы будете читать этот текст, канал полностью восстановится.
Ситуация — прекрасный урок лично для меня, а также для всех причастных, выводы сделать уже можно. Со своей стороны приложу максимальные усилия, чтобы сама система защиты аккаунтов в Google изменилась и не было возможности вот так легко их красть, даже когда человек делает для этого максимум возможного. Мы отделались испугом средней тяжести, и ситуация разрешилась довольно быстро. Эмоций в это воскресенье получено множество.
Из хорошего отмечу, что огромное число людей не злорадствовали, а предлагали любую помощь, которая может понадобиться. И это очень ценно, спасибо вам за это. Мы справились с этой ситуацией, а значит, стали немного умнее и сильнее.
P.S. Принудительные занятия по цифровой гигиене внутри нашего коллектива отныне будут обязательными. Со сдачей зачетов, объяснением своих действий и тому подобным. Чтобы не было ситуации, когда сам сапожник вдруг оказался без сапог. И еще раз спасибо за поддержку. Желающие подписаться на наш канал могут его найти вот тут.
UPD: утром, 5-го декабря, канал был закрыт YouTube из-за жалоб на контент. Будем разбираться и продолжим работать над восстановлением канала.
GrishaTav_SE, Сотрудник был с дырявой головой.
Сейчас подумалось. Любопытно, что если бы это был мой канал и мой сотрудник, то меня бы больше взбесил даже не сам угон канала, а тупизна сотрудника. Это фейспалмище! Уровень девочки-секретарши, в понимании которой «цифровая гигиена» — это протирать антисептиком экран смартфона от отпечатков пальцев. Но таких девочек не пускают в админку каналов. А если кто пускает, то сам себе злобный буратино.
Можно простить раззвиздяйство, невнимательность, другие косяки, вызванные недисциплинированностью. Но вот тупизну сложнее всего простить.
Хорошо то, что хорошо кончается!
Все как обычно, самое слабое звено в защите сидит перед монитором.
Металл — forever!
>стали немного умнее и сильнее.
Я бы видео складывал в отдельное от гугла лукошко и озаботился освоением альтернативных площадок, а то время такое, снесут канал за нарушение правил мира основанного на правилах и как звать не спросят.
Home_sweet_home, Друг покупает или продает? 🙂
Я так понимаю, винда? А почему касперский не стоял, дабы проверять всё запускаемое?
мимoпроходил, По ходу, в отдельное лукошко они таки ж складывают. Иначе, откуда бы они восстанавливали видео?
Недавно пытался восстановить доступ к резервному аккаунту гугла, т.к. вспомнил, что закрыл договор на номер телефона, привязанный к нему. Знаю пароль, есть доступ к резервной почте, но форма восстановления кидает по кругу и все сводится к вводу кода из смс (уже нн могу получить), либо недостаточно информации для восстановления. Зачем тогда резервная почта?
Вот кстати аппаратный ключик, давно хотел себе такой взять, но блин у нас хз что с ценами происходит… совершенно не адекватные на тебе юбики, остальные от известных брендов тупо не привозят даже. Какая то странная ситуация в РФ с ними, и это до кризиса текущего 🙁
Присоединяюсь к поздравлениям, с победой!
(На Яндексе в похожей ситуации я акк восстановить не сумел)
BenderUnit, У меня такой сотрудник был. Получил письмо от компании «Бенилюкс». Там запароленный файл «Договор на подпись» и т.д. Притом, в контрагентах никогда не было таких названий. Итог: шифровальщик. Бэкапы, конечно, решают.
GrishaTav_SE, Вы наверное хотели что-то рассказать про массовые сливы непристойных фото знаменитостей с айфон? 😉
Как обычно, главная дыра в безопасности — это неосознанные люди, которые не включают голову.
iAndroid, Главное отличие Эппла в том, что дыры затыкаются, а все эти ваши виндовсы как были дырявыми, так и остаются. Ну и, опять же, изначально порочная политика винды и ведроида, когда по умолчанию можно все, а чтобы грамотно настроить безопасность, нужен проф админ.
Алексей Саблин, именно
Boaz, знаете, я тут не могу ничего сказать, я не могу понять мотивацию, ни вчера, ни сегодня.
ReadAir, как видите все можно менять без подтверждения на телефон, работает именно так
Так и не понял, что помогло восстановить доступ? Из рассказа вас всё время отправляли на стандартную форму, а потом по каким-то "схемам" вы добились результата.
В чате тоже есть люди с угонами, да и себе на будущее хотелось бы рабочую инструкцию
EldarMurtazin, Да было шоком вчера и ромео и мобайл ревив видеть стримы металлики. Политика я правильно понимаю Эльдар одна- вы сами закупаете для тестов апппараты все, ну магазины дают на обзор, но с производителями не связаны? Эльдар а можно вопрос почему на миллионы жалоб Самсунг клал на РФ. Запись разговоров не запрещена плееры все в Гугле почитал умерли. И как так нас все записывают мы не можем угрозы в свой адрес записать. Слабо от Текно поставить диктафон к себе.Владелец Эс 7 от Самсунг с 2018 года.
Надеюсь это был сотрудник-гуманитарий, а не технический специалист, который потом эти наушники должен был тестировать?
А вообще, с авторизациями интересно. Есть надежный способ — TOTP, одноразовые краткосрочные пароли. Но мы, боясь его самостоятельно потерять, вносим в защиту ослабления — номера телефонов, резервные почтовые ящики, секретные вопросы. Ведь на самом деле это не дополнительная защита, а увеличение количества векторов атаки. Где суммарная надежность равна самому слабому звену.
Забавно видеть, как угнали канал издания, которое чуть ли не каждую неделю всех учит цифровой безопасности и гигиене))
ReadAir, Рассылка поиходит по факту входа. Т.е., когда уже поздно метаться.
Вконтакте и Телеграм умнее устроены — там есть владелец канала, а есть просто админы. Пока не взломаешь владельца, фиг уведешь канал, так как только у владельца есть суперполномочия. А взломанный админ максимум может только напакостить, пока это не заметит владелец и вышвырнет админа из управления каналом.
Не оправдываю сотрудника, но вот личный пример как это может быть. У друга жена, молодая. Они все естественно в курсе про мошенников , которые разводят по телефону , те самые сотрудники сбера. У пары 3-месячный ребенок, у девушки на протяжении этих 3 месяцев сон сбитый, а тут еще поход в магазин. И все составляющие сложились в единый пазл: недосып, волокита в магазине, ребенок на руках. Мозг отключился. итог: хорошо что на карте было мало денег, а вот кредит оформить на 90к и угнать эти деньги удалось. Это при том . что она сообщала свои сомнения мужу, но достучаться не удалось. К чему я , защита от таких вещей, и как вариант в данной статье, цифровая гигиена, это должно быть уже на автомате. То есть что-то выбивается хотя бы от внутреннего шаблона. или послать подальше или дать посмотреть другому лицу , чтобы оценить со стороны и подтвердить опровергнуть сомнения
Radikk, Даже не представляю что нужно сказать по телефону человеку чтобы тот взял кредит и отдал его тебе. Как можно отдать код СМС — понимаю. А кредит — нет. Совсем. Фантазии не хватает. При этом про такое слышу не впервые. Но как люди это делают — абсолютно непонятно.
Master Dan, Интересная практика! Жаль, неприменима для мелкого бизнеса.
ReadAir, У знакомого также угнали гугл-аккаунт без всяких подтверждений, так мало того, еще умудрились на Али закупиться, т.к. была привязка к Али через Гугл-аккаунт.
Евгений Вильдяев, Видимо двух факторки таки не было , сами скачали вирус — воры украли пароль , зашли и все поменяли , изи
Ютуб-канал восстановили. Но на вкладке "О канале" стоит страна "Соединенные штаты". Это изначально так было или происки врагов? И "Соединенные штаты" чего если что? )))
Евгений Вильдяев, Не надо никуда "входить". Клиент ужё "вошёл" в Хроме — для того вирус на стороне клиента и запускается, чтобы воспользоваться этим. Почему ютуб годами игнорит собственную 2хфакторку — вопрос.
MOPO3, Так кто виноват, сотрудник или секретарь? Как по описанию, виновных вообще нет и премии лишать не за что.
superboss, Канал самого Романа подвергся тем же изменениям (а сейчас и вовсе исчез), что наводит на определенные мысли.
Lecron, Вот реально нужно физический ключ взять и самое то будет… но блин 2пак Юбиков за 90 баксов у нас превращается в… а, ну теперь превращается в "Товара временно нет в наличии", но до кризиса превращалось в 6000 рублей за штуку. С такими ценами далеко не каждый даже задумываться начнет про них, а ведь пора бы.
Хотя могло быть и хуже, наш майл ру допустим тупо убрал возможность подцепить TOTP почему то, остались аппаратные ключи вроде как, внешний считыватель пальца и смс. А ведь казалось бы одноразовые пароли это максимально простой способ и намного проще заставить человека поставить приложение на мобилу чем допустим физический ключ или считыватель пальца внешний… я не уверен что даже видел их, но не искал. В общем хз, но я бы сказал что у нас и люди сами не интересуются безопасностью данных и никто даже не пытается продвигать это.
А сейчас ведь еще и время идеальной бы было… вокруг враги, ЦРУ следит за тобой, позаботься о безопасности и купи аппаратный ключ — вот тебе и миллионы клиентов 🙂
superboss, бренд TECNO (вот так пишется) — это ко мне.
Kos, >> Усложнив процедуру смены пароля итд вы получите неслыханный геморрой с неквалифицированными пользователями
В одном из постов я предложил галочку "всегда требовать двухфакторную авторизацию". Если ее по умолчанию отключить, для глобального большинства получим легкий доступ как сейчас; если пользователь собственноручно включит, отличную защиту для понимающих.
Опять что ли Вильдяева на работу взяли?
GrishaTav_SE, Понятия не имею.
Kos, Удивительно, что так не было сделано. Дать троим полный доступ к архиву это вверх наивной доверчивости и даже безалаберности в делах.
sergei tsybulnik, Много шума об канале с 380 тыс подписчиками, если честно.
GrishaTav_SE, Примите успокоительное. Вам оно показано.
V_N, тесно, узко, давит)
Даа, спасибо! Информирован- значит вооружён!
Pavel, То, что Вы этого не представляете, не означает, что этого не может быть.
Мне знакомая рассказывала. Сама очень разумная и логичная женщина.
Всего лишь продиктовав код подтверждения и не посмотрев, что еще написано в push-уведомлении, она отдала контроль над онлайн-банком мошенникам, а те взяли онлайн кредит и перевели деньги на свои счета.
Теперь представляете, как это возможно?