Hackerzy zadzwonili do niego z prawdziwego numeru Google oraz wysłali maila z prawdziwego adresu Google, ostrzegając o zhackowanym koncie. Okradli go na blisko 2000000PLN ($450000)

Zaczęło się od telefonu od Google. „Ktoś zalogował się na Twoje konto z terytorium Niemiec”. Szybkie sprawdzenie dzwoniącego numeru +1 (650) 203-0000 wskazało na prawdziwy numer Google (numer używany przez Google Assistant).

Ofiara w tym samym czasie otrzymała maila z domeny google[.]com z informacją, że będzie się kontaktować konsultant. Na jednym wydechu od razu dopowiem, że to fałszywy mail, wysłany za pomocą Google Formsów (tworząc formularz można wygenerować odpowiednią notyfikację, która przychodzi do ofiary właśnie z oficjalnej domeny Google.

Wracając do rozmowy telefonicznej – konsultant miłym głosem poinformował o ataku hackerskim, dodając że nie ma się czego obawiać, bo właśnie ten temat „rozwiązujemy”. Poprosił ofiarę o zaakceptowanie potwierdzenia na jej telefonie, które umożliwi odzyskanie konta od hackerów.

Akceptując prośbę ofiara dała dostęp atakującym do swojego konta Google oraz przy okazji dostęp do Google Photos. W fotkach ofiara miała zdjęcie poufnego kodu (seed phrase), umożliwiającego dostęp do jej portfela kryptowalut. Kurtyna. Konto zostało błyskawicznie oczyszczone. $450000 wyparowało (portfel kryptowalut Exodus).

Wisienka na torcie – atakujący zalogowali się też do konta ofiary na giełdzie Coinbase i to mimo skonfigurowanego dwuczynnikowego uwierzytelnienia. Jak to możliwe? No więc ofiara miała zsynchronizowane kody z Google Authenticatora z jej (przejętym) kontem google’owym. Więc atakujący mieli też dostęp do kodów.

Paka wniosków/rekomendacji:

• Atakujący coraz częściej stosują zaawansowane techniki podszywania się pod instytucje / firmy (wspomniany w poście numer telefonu asystenta Google, wysyłanie maili z domeny google[.]com).

W razie wątpliwości rozłącz się z dzwoniącym i sam zadzwoń pod konkretny numer instytucji. Nie wierz w ciemno w informacje, które do Ciebie dotarły – tylko na podstawie adresu nadawcy (on czasem również może być sfałszowany)

• Jeśli używasz Google Authenticatora, pamiętaj że synchronizacja kodów w chmurze jest wygodna (możliwość łatwego przeniesienia Authenticatora ma inne urządzenie), ale jeśli ktoś uzyska dostęp do Twojego konta Google – game over.

• Pamiętaj o silnym zabezpieczeniu Twojego głównego konta pocztowego (silne hasło, najlepiej sprzętowy klucz 2FA)

• Czytaj o tego typu scamach, ostrzegaj znajomych. Wyrobi to w Tobie naturalną podejrzliwość (jak szczepionka)

• Bądź szczególnie czujny w momencie gdy ktoś informuje Cię o „problemie bezpieczeństwa” / „ataku hackerskim” na Twoje konto

Na koniec link do aktualnych rekomendacji Google w kontekście walki ze scamem.

~Michał Sajdak