Twój komp jest bezpieczny ? To za mało, zakładaj 2FA. Złodzieje masowo hakują serwisy emailowe

[ShadowOfHarbringer]

Tak jak pisałem wcześniej - definitywnie "coś było na rzeczy". I miałem rację. Niedawno zhakowano konto moderatorowi serwisu /r/btc w taki sposób - odczytując mail resetujący hasło.

Crackerzy i złodzieje masowo włamują się na serwisy wysyłające mass-mailing (duże witryny używają podwykonawców do wysyłania mailingu, nie robią tego sami).

Z pomocą uzyskanych tam dostępów, hakują konta wszystkim, których maile przechodzą przez te serwisy.

Problemem jest przestarzała technologia e-mail, która co prawda ma szyfrowanie dostępne od lat 80-tych, ale nikt go nigdzie nie używa. "I tak to już się żyje na tej wsi".

=============================
EDIT:
Schemat ataku przedstawia się następująco. Każdy email z serwisu typu giełda czy forum musi przejść następujące kroki:

SERWER GIEŁDY -> INTERNET -> SERWIS MASSMAILINGOWY -> INTERNET -> SKRZYNKA E-MAIL UŻYTKOWNIKA.

Jedyne co musi zrobić złodziej, to:
1. Wysłać maila z prośbą o reset hasła (każdy może to zrobić)
2. Zhakować lub podsłuchać którykolwiek z punktów oznaczonych na czerwono
3. ????
4. PROFIT ! Z giełdy znikają pieniądze, chociaż Twoja skrzynka email miała mocne hasło i nie została zhakowana.

Żadne, nawet najmocniejsze hasło ani szyfrowany mail bez GPG typu Protonmail nie ochroni Cię przed tym atakiem. Niektóre serwisy obsługują GPG (jak giełda Kraken na przykład) ale jest to wciąż rzadkość.
=============================

Z powyższego powodu, 2FA na koncie giełd/innych serwisów których używasz to w dzisiejszych czasach to konieczność. Polecam na androida appkę FreeOTP - jest open source i nie jest od google'a.

Uściślenie: Chodzi o zabezpieczenie 2FA na giełdzie/serwisie docelowym którego używamy, a nie zabezpieczenie 2FA na samej skrzynce emailowej. Zabezpiecznie 2FA skrzynki nic nie da, ponieważ atak nie jest na samą skrzynkę, a na pośrednika przed skrzynką.

Więcej informacji:

https://thenextweb.com/hardfork/2018/01 ... olen-hack/
https://gizmodo.com/reddit-email-vulner ... 1821808073
https://news.bitcoin.com/bitcoin-cash-r ... thousands/



Z ciekawostek: m. in. ukradziono konto moderatorowi i innym userom, a także kradziono tipy w Bitcoin Cash z kont userów na reddicie. Zginęły tipy o wartości tysięcy dolarów.

Próbowano też się włamać na moje konto giełdowe i ukraść BitcoinCashe tam zgromadzone, jednak jestem zbyt ostrożny na takie sztuczki i trzymam zero monet na giełdach. Nic mi nie zginęło. Ale było blisko.

[constantine]

(...)
Próbowano też się włamać na moje konto giełdowe i ukraść BitcoinCashe tam zgromadzone, jednak jestem zbyt ostrożny na takie sztuczki i trzymam zero monet na giełdach. Nic mi nie zginęło. Ale było blisko.

"Było blisko" czyli próba resetu hasła?

[Bit-els]

Do serwisów crypto podpinać szyfrowane skrzynki typu protonmail czy tutanota. Hasło stochastyczne, bez możliwości odzyskania na innym mailu (zapisać w 5 miejscach hasło)
I wtedy do takiego maila można raczej odpuścić sobie 2fa. Te serwisy wyraźnie informują- masz hasło, masz dostęp. Kilka prób błędnych i blokada do momentu podania właściwego

[WitoldC]

Kilka prób błędnych i blokada do momentu podania właściwego

Jak to rozumieć, komu mam podać właściwe po blokadzie?

[prezes]

Kilka prób błędnych i blokada do momentu podania właściwego

Czyli że można zastosować brute force attack.

[Aleksiejs]

Osobiście nie bardzo widzę powód żeby nie stosować 2FA, nie jest to ani nic skomplikowanego, ani wymagającego dodatkowych nakładów finansowych, a pozwala zabezpieczyć konto. Jeśli ktoś z tego nie korzysta to znaczy, że jest po prostu leniwy.

[mecenas]

Polecam na androida appkę FreeOTP - jest open source i nie jest od google'a.

FreeOTP obsłuży klucze do Google Authenticator?
Można zastąpić w dowolnym momencie aplikację od google?

[RafaelGrey]

Kilka prób błędnych i blokada do momentu podania właściwego

Czyli że można zastosować brute force attack.

Brutal force po http na serwer to się zejdzie, predzej firewall wytnie taki ruch

[The Real McCoin]

duże witryny używają podwykonawców do wysyłania mailingu, nie robią tego sami

Z tego co widzę to nie tylko oni używają podwykonawców - same napiwki też były obsługiwane przez podwykonawcę, czyli pośrednika.
Kryptowaluty powstały właśnie po to aby nie korzystać z pośredników. Próba "używania" kryptowalut za pomocą pośrednika kończy się często utratą środków.
Bitcoina Cash nie da się używać do napiwków?

[ikswodnal]

Bitcoina Cash nie da się używać do napiwków?

Da się. Tylko niektórzy ze względów ideologicznych nie chcą tego przyjąć do wiadomości. Wielcy tego forum też .
Przypominać nie muszę, ale dzisiaj dzień WOŚP, najłatwiej datek przekazać z portfeli Bitcoin Cash.

[ShadowOfHarbringer]

(...)
Próbowano też się włamać na moje konto giełdowe i ukraść BitcoinCashe tam zgromadzone, jednak jestem zbyt ostrożny na takie sztuczki i trzymam zero monet na giełdach. Nic mi nie zginęło. Ale było blisko.

"Było blisko" czyli próba resetu hasła?

Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.

Mówię poważnie: Nie trzymajcie kasy na giełdach, jeżeli absolutnie nie musicie (biznes, handel). A jeżeli musicie, to warto się ubezpieczyć od hackingu - o ile jest w ogóle takie ubezpieczenie.

duże witryny używają podwykonawców do wysyłania mailingu, nie robią tego sami

Z tego co widzę to nie tylko oni używają podwykonawców - same napiwki też były obsługiwane przez podwykonawcę, czyli pośrednika.

Nie wiem skąd wziąłeś taką informację. Napiwki były wysyłane z użyciem mechanizmów Reddita, nie miały własnych mechanizmów. Boty na reddicie działają całkowicie w oparciu o mechanizmy reddita, nie mają generalnie własnej integracji z userami.

Jakbyś doczytał precyzyjnie, zauważyłbyś że za pomocą tych samych dziur w reddicie shakowano wcześniej konto jednemu z moderatorów /r/btc

Bitcoina Cash nie da się używać do napiwków?

Skąd ten dziwny pomysł ?

Na reddicie obecnie są 3 boty napiwkowe, w tym jeden który wysyła napiwki on-chain: /u/chaintip.

Jest to jednak mniej wygodne, bo user musi sobie skonfigurować adres jeżeli otrzyma napiwek (w przeciwnym razie napiwek odbija się i wraca) + jeszcze to że każdy napiwek trzeba ręcznie wysyłać z klienta. Upierdliwe, ale działa.

Generalnie tego typu serwisy nie służą do płacenia sobie, tylko do rozdawania napiwków innym. Rzecz jasna nie należy tam trzymać większych kwot, są to serwisy scentralizowane typu off-chain.

Off-chain też jak widać jest użyteczny w pewnym ograniczonym zakresie.

[ShadowOfHarbringer]

Polecam na androida appkę FreeOTP - jest open source i nie jest od google'a.

FreeOTP obsłuży klucze do Google Authenticator?
Można zastąpić w dowolnym momencie aplikację od google?

Nie wiem, sprawdź.

Nigdy nie używałem Google Authenticator, FreeOTP to moja pierwsza appka 2FA. Aczkolwiek FreeOTP jest zgodne ze standardami w branży i ma bardzo wysokie noty w sklepie Play. Podejrzewam, że obsłuży.

Generalnie kiedyś odrzucałem całą koncepcję 2FA w stylu "eee tam komu to potrzebne, wystarczy mieć niehakowalnego kompa na Linuksie". Ale widzę teraz że złodzieje przerzucili się na nowe metody i nawet ja muszę mieć 2FA.

Cóż, świat idzie do przodu, złodzieje też.

[ShadowOfHarbringer]

Mam wrażenie, że w ogóle nie przeczytałeś co napisałem tylko wkleiłeś gotową odpowiedź...

Do serwisów crypto podpinać szyfrowane skrzynki typu protonmail czy tutanota. (...) I wtedy do takiego maila można raczej odpuścić sobie 2fa.

Mylisz się. Drastycznie. Sromotnie. Nic to wszystko nie da.

Szyfrowany musiałby być ruch pomiędzy serwerami giełdy czy reddita oraz protonmaila. A ten ruch nie jest w ogóle szyfrowany. Czyli FBI/CIA/NSA/rząd zawsze mogą mieć dostęp.

Dodatkowo, hakowane są też nie same skrzynki email, ale serwisy służące do masowej wysyłki (mass mailing).

Hasło stochastyczne, bez możliwości odzyskania na innym mailu (zapisać w 5 miejscach hasło) Te serwisy wyraźnie informują- masz hasło, masz dostęp. Kilka prób błędnych i blokada do momentu podania właściwego

Nic to wszystko nie daje. Moje hasło jest stochastyczne, nie zostało w ogóle zhakowane.

Zhakowano hasło za pomocą resetu hasła i odczytania linka znajdującego się w emailu.

[mikolajkulczyk]

Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.

Mówię poważnie: Nie trzymajcie kasy na giełdach, jeżeli absolutnie nie musicie (biznes, handel). A jeżeli musicie, to warto się ubezpieczyć od hackingu - o ile jest w ogóle takie ubezpieczenie.

Rozumiem że nie miałeś zabezpieczenia na giełde 2FA ? Jakim cudem zresetowali Tobie hasło ?

[ShadowOfHarbringer]

Gorzej. Reset hasła, zalogowanie się z amerykańskiego IP. Nie ukradziono nic tylko dlatego, że nic tam nie trzymałem.

Mówię poważnie: Nie trzymajcie kasy na giełdach, jeżeli absolutnie nie musicie (biznes, handel). A jeżeli musicie, to warto się ubezpieczyć od hackingu - o ile jest w ogóle takie ubezpieczenie.

Rozumiem że nie miałeś zabezpieczenia na giełde 2FA ? Jakim cudem zresetowali Tobie hasło ?

Nie miałem wtedy 2FA.

Ale nawet włączone 2FA nie ochroni Cię przed hackingiem samej giełdy. Albo przed tym, że twórcy giełdy mogą nagle zwinąć biznes, zmienić nazwiska i osiedlić się na kajmanach.

Od początku istnienia Bitcoina chyba ponad połowa giełd i serwisów albo została zhakowana albo zwinęła się z kasą.

[The Real McCoin]

Crackerzy i złodzieje masowo włamują się na serwisy wysyłające mass-mailing (duże witryny używają podwykonawców do wysyłania mailingu, nie robią tego sami).

Problemem jest przestarzała technologia e-mail, która co prawda ma szyfrowanie dostępne od lat 80-tych, ale nikt go nigdzie nie używa. "I tak to już się żyje na tej wsi".

No to trzeba tutaj wspomnieć o Krakenie.
Kraken używa serwisu mailgun.net do wysyłania poczty, ale umożliwia szyfrowanie PGP poczty. W ustawieniach konta giełdowego można podać swój publiczny PGP i wtedy emaile będą wychodziły zaszyfrowane i żaden pośrednik niczego nie ukradnie.

[ShadowOfHarbringer]

Kraken używa serwisu mailgun.net do wysyłania poczty, ale umożliwia szyfrowanie PGP poczty. W ustawieniach konta giełdowego można podać swój publiczny PGP i wtedy emaile będą wychodziły zaszyfrowane i żaden pośrednik niczego nie ukradnie.

Reddit też używał mailguna z tego co pamiętam.

Po hacku zrezygnowali i przerzucili się na własne serwery.

No ale to co piszesz to dobra opcja. Szkoda, że nie każdy serwis to obsługuje.

Aha, pytanie też czy kraken szyfruje treść maila kluczem u siebie, czy przekazuje ten klucz MailGunowi. Jeżeli przekazuje, to wszystko na nic.

[The Real McCoin]

Nie wiem skąd wziąłeś taką informację. Napiwki były wysyłane z użyciem mechanizmów Reddita, nie miały własnych mechanizmów. Boty na reddicie działają całkowicie w oparciu o mechanizmy reddita, nie mają generalnie własnej integracji z userami.

Jakbyś doczytał precyzyjnie, zauważyłbyś że za pomocą tych samych dziur w reddicie shakowano wcześniej konto jednemu z moderatorów /r/btc

W kryptowalucie nie ma żadnych kont ani haseł do nich, które można by zresetować.
Do kradzieży potrzebne są klucze prywatne.

Dodano po 1 minucie 59 sekundach:

No ale to co piszesz to dobra opcja. Szkoda, że nie każdy serwis to obsługuje.

Taka opcja powinna być na każdej giełdzie, która do przesyłania poczty używa pośredników.

[Bit-els]

@ShadowOfHarbringer, @prezes, @WitoldC, serwisy mailowe po kilku próbach blokują wpisywanie hasła. Do tego hasło 21 znakowe (święta liczba Satoshiego niech będzie z nami po wsze czasy jest nie do zhakowania.

Link do resetu hasła wysłanego przez giełdę nic dac nie może, bo jak hacker wejdzie na maila? Taki proton to nie onet czy nawet gmail. Ustawienia w mailu dajesz takie, że żadnego odzyskiwania hasła. I albo wchodzisz, albo podając błędne nie

[ShadowOfHarbringer]

Nie wiem skąd wziąłeś taką informację. Napiwki były wysyłane z użyciem mechanizmów Reddita, nie miały własnych mechanizmów. Boty na reddicie działają całkowicie w oparciu o mechanizmy reddita, nie mają generalnie własnej integracji z userami.

Jakbyś doczytał precyzyjnie, zauważyłbyś że za pomocą tych samych dziur w reddicie shakowano wcześniej konto jednemu z moderatorów /r/btc

W kryptowalucie nie ma żadnych kont ani haseł do nich, które można by zresetować.
Do kradzieży potrzebne są klucze prywatne.

Człowieku o czym Ty rozmawiasz ?

Weź już wypij tą kawę w końcu, bo dalej ja o niebie a Ty o chlebie.

Zhakowane zostało konto na serwisie reddit.com - podaję to tylko jako przykład, że 2FA jest potrzebne.

Oczywiście - wiem, że każda giełda i każdy serwis powinien mieć obsługę GPG i wszyscy powinniśmy używać GPG na codzień. Wiem to od 15 lat. Ale rzeczywistość jest jaka jest, więc zostało nam tylko 2FA.