Zamów książkę sekuraka o bezpieczeństwo aplikacji www!

Włamanie na konto Google i YouTube skutkujące ich przejęciem. Wg relacji atakujący wyłączyli również 2FA.

05 kwietnia 2022, 09:09 | W biegu | komentarzy 15
Tym razem publikujemy w zasadzie bez cenzury, chociaż z lekką korektą, wpis podesłany nam przez Mateusza. Jeśli macie pytania / ew. może coś nie jest jasne w całej „akcji” – piszcie w komentarzach

17 stycznia 2022 roku, około godziny 17:20 moje Konto Google zostało zhakowane. Ktoś:

  • wyłączył wszystkie zabezpieczenia (w tym dwuetapową weryfikację, którą później ponownie uruchomił na własnych zasadach), 
  • zmienił hasło, 
  • usunął pytanie pomocnicze, 
  • wylogował mnie ze wszystkich urządzeń.

Zabrał też mój kanał na YouTube „TheAnteriss”, zmienił jego avatar, logo, nazwę na „Ethereum Foundation” i uruchomił na nim podejrzany stream o kryptowalutach (namawiający do wpłacania pieniędzy, które mają być rzekomo podwojone i odesłane – typowe oszustwo związane z kryptowalutami). 

W identycznej sytuacji był tydzień wcześniej raper Zeamsone, a w lipcu poprzedniego roku kanał „Uwaga! Naukowy Bełkot”, u nich włamywacz puszczał podobną transmisję. Co ciekawe, moje filmy były dalej dostępne, ale główna strona kanału ich nie wyświetlała, została zresetowana (trzeba było wejść w zakładkę “Filmy”, aby mieć do nich dostęp). 

Numer telefonu powiązany z adresem e-mail został zmieniony, a więc z ustawionego przeze mnie (mojego) telefonu nie mogłem odzyskać dostępu do konta. Zmieniony został także adres pomocniczej skrzynki pocztowej na „fuller_elmers_71@mail.ru”, sugerujący rosyjskie pochodzenie hakera (taką samą informację daje telefoniczny kod kraju nowego numeru telefonu przypisanego do konta). 

Mimo że miałem ciągle dostęp do kilku urządzeń, z którymi byłem połączony Gmailem, to za ich pomocą i tak nie dało się udowodnić, że to konto należy do mnie. Nadal posiadałem pierwszą wiadomość  e-mail z czasu utworzenia konta 1 czerwca 2012 (dostałem ją na podany wówczas pomocniczy adres poczty elektronicznej) oraz podany w nim kod weryfikacyjny, który – jak się okazało – już jest nieaktualny, ponieważ był to przestarzały system weryfikacji i został wycofany ze względu na… wykradanie e-maili z innych programów pocztowych niż Gmail (czyli tych gorzej zabezpieczonych). 

Formularz odzyskiwania Konta Google dawał mi takie opcje: 

  • odzyskiwanie za pomocą numeru telefonu przypisanego do konta lub pomocniczego adresu poczty elektronicznej (a te haker zmienił), 
  • wpisanie 8-cyfrowego kodu zapasowego (nie posiadałem go) lub 
  • potwierdzenie przez kod wysłany na e-maila, który został zhackowany (dziwne, że miałem podać kod wysłany na e-maila do odzyskania dostępu do tej samej skrzynki pocztowej).

Na Koncie Google zapisane były moje dane osobowe typu: imię, nazwisko, miejsce zamieszkania itd., a na telefonie miałem dostęp do wiadomości e-mail sprzed włamania, ale jak się dowiedziałem, nie może to posłużyć do weryfikacji z powodu szyfrowania danych i brak wglądu pracowników Google do treści korespondencji na koncie. 

Sprawę najpierw zgłosiłem na forum Google oraz na znalezione w Internecie e-maile supportów, ale za każdym razem byłem odsyłany na stronę przeprowadzającą odzyskiwanie konta w sposób zautomatyzowany, który w moim przypadku nie działał – opisałem to powyżej. 

Następnie mój znajomy Wojciech (któremu bardzo dziękuję) odezwał się do Ministerstwa Cyfryzacji, które przekazało incydent dalej poprzez CERT NASK. Okazało się, że niestety CERT Polska nie ma wpływu na procedury postępowania Google w tego typu sprawach. Praktycznie wszystkie przypadki naruszające bezpieczeństwo w sieci Internet wyczerpują znamiona przestępstw określonych w obowiązującym w Polsce prawie. W szczególności mają tu zastosowanie artykuły 267–269 oraz artykuł 287 kodeksu karnego. 

Zazwyczaj przestępstwa te nie są ścigane z oskarżenia publicznego (z urzędu), lecz na wniosek pokrzywdzonego, więc bez oficjalnego zgłoszenia policja nie rozpocznie śledztwa. W tym celu należy we właściwej Komendzie Rejonowej Policji lub Prokuraturze Rejonowej złożyć “Wniosek o wszczęcie postępowania przygotowawczego przez organy ścigania”, zawierający między innymi rodzaj i wysokość poniesionej szkody oraz dowody. Policja w takich przypadkach wysyła prośbę do Google o podanie adresu IP, z którego przejęto konto zarejestrowane przez Google, ale niestety… bez numerów portu IP, a zazwyczaj trop adresu prowadzi do Rosji i wtedy znalezienie sprawcy oraz ukaranie go staje się praktycznie niewykonalne. 

Moją ostatnią i jak się później okazało, jedyną deską ratunku okazał się Twitter. Zamieściłem tam  post opisujący mój problem, oznaczyłem na nim profil @TeamYouTube, a po niedługim czasie ktoś z tego zespołu odezwał się w komentarzu i z jego inicjatywy rozpoczęliśmy konwersację w prywatnych wiadomościach. 

W międzyczasie moje Konto Google zostało tymczasowo wyłączone z powodu podejrzanych działań, a scamowy stream zablokowany (wcześniej). Dostałem link do formularza, który wypełniłem i podałem sporo prywatnych informacji na temat mojego zhakowanego kanału YouTube. Wysłałem go 19 stycznia o 3 w nocy, odzew polskiego supportu YouTube miał miejsce o 14:27 (pozdrawiam i przy okazji bardzo dziękuję pani Paulinie), a link do odzyskania konta został wysłany o 18:01. 

Po odzyskaniu kontroli nad moim kontem (otrzymałem “zapasowy adres e-mail”,  który służył do komunikacji w sprawie przejęcia mojego konta, a potem w jednej z wiadomości: link do odzyskania konta Google. Kliknąłem w niego i mogłem za jego pomocą zresetować hasło oraz w konsekwencji – odzyskać konto, a powiązany z nim kanał YouTube wrócił już automatycznie) dokładnie zabezpieczyłem wszystkie profile za pomocą klucza U2F, zmieniłem hasła oraz wyczyściłem wszystkie urządzenia, robiąc format systemu i aktualizując ochronę antywirusową. 

Długo zastanawiałem się, jak mogło dojść do złamania zabezpieczeń i ogólnie całej tej sytuacji. W Internecie możemy przeczytać, że „Grupa Analizy Zagrożeń Google (TAG, Threat Analysis Group) przypisuje ataki tego typu grupie hakerów zwerbowanych na rosyjskojęzycznym forum, które sprzedaje zhakowane kanały YouTube temu, kto zaoferuje najwyższą cenę. Nowy raport udostępniony przez Google TAG zwraca uwagę na trwającą kampanię phishingową skierowaną przeciwko twórcom YouTube’a, która zazwyczaj skutkuje przejęciem i sprzedażą kanałów, w których emitowane są oszustwa związane z kryptowalutami.

Duża liczba przejętych kanałów została zmieniona na potrzeby transmisji na żywo promujących oszustwa związane z kryptowalutami. Na rynkach handlu kontami ceny przejętych kanałów wahały się od 3 do 4000 USD, w zależności od liczby subskrybentów”.

Podobno konta YouTube zostały zhakowane przy użyciu złośliwego oprogramowania do kradzieży plików cookie, fałszywego oprogramowania skonfigurowanego do uruchamiania się na komputerze ofiary bez wykrycia. TAG poinformował również, że hakerzy zmieniali nazwy, zdjęcia profilowe i zawartość kanałów YouTube, aby podszywać się pod duże firmy zajmujące się technologią lub giełdą kryptowalut.

Według Google, „atakujący transmitował na żywo filmy obiecujące rozdawanie kryptowalut w zamian za początkowy wkład”. Jako środek zaradczy firma zainwestowała w narzędzia do wykrywania i blokowania e-maili phishingowych i socjotechnicznych, kradzieży plików cookie i transmisji na żywo mających znamiona oszustw kryptograficznych.

Ponad 3,1 miliona (3 117 548) adresów e-mail użytkowników wyciekło podobno z witryny CoinMarketCap śledzącej ceny kryptowalut.

Jak donosi Cointelegraph, Have I Been Pwned – strona poświęcona śledzeniu włamań online – odkryła, że zhakowane adresy e-mail są wymieniane i sprzedawane online na różnych forach hakerskich. Gdy cel ataku uruchomi fałszywe oprogramowanie, uruchamia się złośliwy program kradnący pliki cookie przeglądarki z komputera ofiary i przesyłający je na serwery dowodzenia i kontroli aktora. Chociaż ten typ złośliwego oprogramowania można skonfigurować tak, aby był trwały na komputerze ofiary, aktorzy ci uruchamiają wszelkie złośliwe oprogramowanie w trybie nietrwałym jako technikę „smash-and-grab”. Dzieje się tak,  jeśli złośliwy plik nie zostanie wykryty podczas wykonywania, na zainfekowanym hoście będzie mniej artefaktów, a zatem produkty zabezpieczające nie powiadomią użytkownika o włamaniu w przeszłości.

Większość obserwowanych szkodliwych programów potrafiła kraść zarówno hasła użytkowników, jak i pliki cookie. Niektóre próbki wykorzystywały kilka technik przeciwdziałania piaskownicy, w tym powiększone pliki, zaszyfrowane archiwum i maskowanie IP pobierania. Zaobserwowano, że kilka z nich wyświetlało fałszywy komunikat o błędzie, który wymagał kliknięcia przez użytkownika, aby kontynuować wykonanie”. 

Starego hasła używałem od dłuższego czasu na różnych portalach, ale z modyfikacjami: znaki specjalne, duże litery itp. Z pomocą strony Haveibeenpwned.com dowiedziałem się, że wyciekło ono aż 5 razy w latach 2013–2022 z portali/aplikacji: Adobe, Bitly, PDL Customer, Cit0day, GeniusU. Zbadałem również Gmaila pod kątem aktywności i wygląda na to, że haker używał prawdopodobnie VPS, działał (chyba) z mojego komputera, a potem zalogował się przez swój, korzystając z przeglądarki Firefox.

IP logowania wskazuje usługi dostawcy internetu „Lexell Michał Szydłowski” (VPN na Polskę z Rosji) – włamywacz musiał zmienić lokalizację na Polskę, aby zalogować się na konto, bo Google ma zabezpieczenia przed próbą logowania z innych państw.

Ciekawostką jest, że gdy hacker już przejął moje konto, to kolejne (dwa) logowania były realizowane poprzez kod zapasowy, a przed włamaniem żadnego podejrzanego logowania nie było – to potwierdza tezę o zdalnym korzystaniu z mojego komputera. Drugie IP prowadzi do lokalizacji Kalifornia, Stany Zjednoczone, która oczywiście jest fałszywa (zmieniona przez VPN). 

W takim wypadku odnalezienie go jest niemożliwe. Pozostaje jedynie wyciągnąć lekcję na przyszłość i nigdy już nie dopuścić do takich wydarzeń. 

Warto tu na marginesie wspomnieć, że VPN jest “od prywatności”, a nie “od bycia anonimowym” w sieci. VPN-u używa się, żeby ukryć swoją tożsamość przed innymi użytkownikami, ale nie przed policją. Jest on używany najczęściej po to, żeby można było wejść na stronę, która jest np. zablokowana w danym kraju. Wielu (o ile nie większość) dostawców VPN-ów przechowuje logi, czyli jeśli łączymy się przez VPN, to jego dostawca ma nasze IP, bo żądanie przechodzi bezpośrednio od komputera (np. hakera) do serwera dostawcy. Na polecenie policji dostawca VPN-u może nawet śledzić poczynania z konkretnego adresu IP. Z perspektywy hakera, VPN jest więc bezużyteczny. Można zaryzykować twierdzenie, że 99% dostawców VPN nie narazi swojej firmy i sprowokowania problemów prawnych, żeby specjalnie ukryć użytkownika swojego produktu przed policją (szczególnie gdy VPN jest darmowy lub tani). 

W moim przypadku haker używał VPN-u, żeby transmitować lub też przesyłać ogromną ilość danych. Nie da się być w pełni anonimowym, może udaje się to 98%. Gdyby atakujący mnie hacker używał tora, tails, whonix, proxychains, to faktycznie znalezienie go graniczyłoby z cudem. Ale prędkość przesyłu danych jest wtedy bardzo ograniczona i w takich warunkach ciężko cokolwiek zrobić (dodanie dłuższego filmu na YouTube zajęłoby kilka dni, jak nie tygodni). 

Na koniec jeszcze raz bardzo dziękuję widzom kanału za czujność, moim przyjaciołom (Patryk, Karolina, Myślimir, Nina) oraz kuzynowi Kamilowi za wsparcie, znajomym i użytkownikom grupy sekurak dającym mi cenne rady oraz wszystkim, których tutaj nie wymieniłem, a którzy w jakiś sposób pomogli, żeby ta historia zakończyła się szczęśliwie.

Dobre praktyki

Jak się zabezpieczyć przed takim atakiem?

1. STOSOWAĆ RÓŻNE HASŁA DO KONT (trudne) – najlepiej wygenerować je za pomocą menedżera haseł. Jedyne zabezpieczenie, które należy zapamiętać, będzie hasłem do tej aplikacji.

2. NAJLEPIEJ ZAOPATRZYĆ SIĘ W DWA KLUCZE U2F (główny, z którego będziemy korzystać na co dzień, oraz zapasowy, schowany w bezpiecznym miejscu). Mniej skutecznym sposobem będzie zastosowanie zwykłego zabezpieczenia 2FA.

3. WŁĄCZYĆ “OCHRONĘ ZAAWANSOWANĄ”.

4. ODPIĄĆ OD KONTA TELEFON I E-MAIL ZAPASOWY.

5. WYŁĄCZYĆ PYTANIA PRZYPOMINAJĄCE HASŁA.

6. ZABEZPIECZYĆ URZĄDZENIA DOBRYM ANTYWIRUSEM.

7. NIE KLIKAĆ W PODEJRZANE LINKI, PLIKI, E-MAILE, ROZSZERZENIA (możemy je przeskanować na tej stronie: virustotal.com).

8. NIE PODAWAĆ NIKOMU DANYCH DO KONTA.

9. SPRAWDZIĆ, CZY NASZE HASŁO CZASEM NIE WYCIEKŁO (pod adresem: https://haveibeenpwned.com).

10. UWAŻAĆ NA PUBLICZNE SIECI WI-FI.

11. AKTUALIZOWAĆ SYSTEM OPERACYJNY I APLIKACJE.

12. KORZYSTAĆ Z VPN-a.

13. UŻYWAĆ SPRAWDZONYCH APLIKACJI/PRZEGLĄDAREK.

Co zrobić, kiedy już się padło ofiarą takiego ataku?

  1. Nie panikować, ale działać szybko. Spróbować od razu zmienić hasło na koncie oraz włączyć weryfikację dwuetapową, jeżeli jeszcze mamy do niego dostęp na jakimś urządzeniu (sprawdzić wszystkie, z których korzystamy). 
  2. Jeżeli całkowicie stracimy kontrolę nad kontem, to wejść pod ten link: https://support.google.com/accounts/answer/6294825 i postępować według instrukcji.
  3. Jeżeli używaliśmy na innych stronach tego samego hasła, które zostało złamane, to natychmiast je tam zmienić.
  4. W przypadku posiadania na koncie ważnych danych, np. do karty kredytowej – zadzwonić do obsługi klienta swojego banku i poinformować o zaistniałej sytuacji, zablokować kartę i płatności online na czas rozwiązywania sytuacji.
  5. Próbować skontaktować się z supportem wszelkimi możliwymi sposobami (media społecznościowe, np. Twitter, e-maile, telefon).

~Mateusz Karbowy

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. yfgy

    Jaką mamy gwarancję, że wpisanie hasła na haveibeenpwned nie dodaje go do czyjejś listy?

    Odpowiedz
    • nie ma takiej gwarancji, podobnie jak logujesz się nie wiem… do banku, też nie ma gwarancji że hasło nie dodaje się do „jakiejś listy” ;-)

      bardziej serio – hibp ma bdb reputację, potwierdzoną latami

      Odpowiedz
    • zakius

      możesz podejrzeć ruch, OIDP jest hashowane lokalnie, wysyłana jest pierwsza część hasha, API zwraca wszystkie pasujące i lokalnie jest sprawdzane, czy wygenerowany hash występuje na liście

      Odpowiedz
  2. juzek

    > Dobre praktyki
    > Jak się zabezpieczyć przed takim atakiem?

    Czyli ktoś, kto nie zadbał o bezpieczeństwo swojego konta, miał hasło typu „kasia1” jednakowe do wszystkich kont i dał się zfiszować, będzie teraz dawał innym porady jak się zabezpieczyć. Urocze, doprawdy, milordzie.

    Odpowiedz
  3. Jan

    @Sekurak czy ochrona zaawansowana google w tym wypadku również zapobiegła by przejęciu konta ?

    Mam też pytanie dlaczego po włączeniu ochrony zaawansowanej google zalecacie usunąć numer telefonu oraz pomocniczy adres email. Czy jest jakiś scenariusz przy którym dostęp do nr tel i pomocniczego adresu email umożliwi dostęp do konta google z aktywną ochroną zaawansowaną google ?

    Ja np jako pomocniczy adres email stosuje inny adres z google z ochroną zaawansowaną.

    I jeszcze jedno pytanie, czy testowaliście kiedyś logowanie za pomocą kodu przy włączonej ochronie zaawansowanej google ? Mam tutaj na myśli stronę https://g(.)co/sc gdzie możemy np na telefonie potwierdzić kluczem U2F, że to my się logujemy a na komputerze wpisać już tylko sam kod. Czy to nie jest najsłabszy element ochrony zaawansowanej ?

    Odpowiedz
  4. czytelnik

    W całym tekście jest strasznie duży wypychaczy, więc mniej więcej od połowy tylko przeglądałem go pobieżnie. Mechanizm ataku tego typu był już opisywany przez youtuberów związanych z itsec, których samemu ktoś próbował naciągnąć. Zwykle dostają jakąś fałszywą ofertę współpracy i link/załącznik ostatecznie skutkujący instalacją RATa. Nie widzę w tekście informacji o tym, czy ofiara postawiła system od nowa. Jeśli nie, to cała zabawa może niedługo niestety być do powtórki.

    Co do zaleceń, z większością nie sposób się zgodzić, ale o dwóch warto podyskutować:

    >7. NIE KLIKAĆ W PODEJRZANE LINKI, PLIKI, E-MAILE, ROZSZERZENIA (możemy je przeskanować na tej stronie: virustotal.com).

    Przestępcy też skanują swoje malware najpierw na virustotal. Zwykle w pierwszych godzinach fali ataków VT pokazuje zero lub prawie zero. Może to dać złudne poczucie bezpieczeństwa. Plik może także ograniczać się do pobrania faktycznego malware z serwera. Warto też ostrzec osoby nietechniczne, że wrzucenie czegoś na VT oznacza, że dany plik będzie dostępny potem dla całej rzeszy ludzi.

    >12. KORZYSTAĆ Z VPN-a.

    W przypadku komercyjnych VPNów to może być miecz obosieczny. Większości popularnych stron ma już TLS z HSTSem, więc ataki MITM dokładające np. złośliwe ramki mają małe szanse powodzenia. Za to systemy zabezpieczeń banków i dostawców poczty mają problem ze zrobieniem profilu użytkownika, szczególnie jeśli ktoś ma komputer stacjonarny ze stałym IP. Osoby, do których kierowany jest ten tekst raczej nie będą w stanie postawić własnego VPNa.

    Do samych zaleceń dodałbym 14, zachęcające do używania konta zwykłego użytkownika i nie klikania w UAC jak popadnie. Zawsze taki RAT będzie miał wtedy mniejsze możliwości.

    Fajnie, że coś takiego opublikowaliście, może kogoś uczuli na bezpieczeństwo konta Google. Szczególnie fragment o braku wpływu polskich organów na Google powinien otworzyć ludziom oczy.

    W przypadku hostingu z własną domeną dochodzą też fajne rzeczy jak catch all pozwalający na faktyczne tworzenie oddzielnych adresów dla każdego sklepu/dostawcy i namierzanie wycieków danych.

    Odpowiedz
  5. Artur

    Ale takie coś jest możliwe tylko jeśli gość miał trojana na telefonie. Pewnie miał i nadal ma na wszystkich urządzeniach.

    Odpowiedz
  6. emc

    Pytanie do dobrych praktyk punkt 4 i 5, nie kumam dlaczego nie powinno się tego używać?

    Odpowiedz
  7. P

    W artykule zawarta jest sugestia, czy wręcz informacja, że atakujący przejęli kontrolę nad komputerem. Z jednej strony zostało wspomniane o wycieku haseł, z drugiej strony o przejęciu komputera. Czy wiadomo jest, jak do tego doszło? W jaki sposób umieścili na komputerze złośliwe oprogramowanie?

    Odpowiedz
  8. M.

    ” a po niedługim czasie ktoś z tego zespołu odezwał się w komentarzu i z jego inicjatywy rozpoczęliśmy konwersację w prywatnych wiadomościach. ”

    Fikcja – pomagałem odzyskiwać kilka kont niezależnie od próby kontaktu nikt z Google nawet nie odpisał, nie mówiąc o zainteresowaniu się sprawą. Ktoś przejął konto to załóż sobie drugie. Widać tylko duże konta mogą oczekiwać pomocy.

    Odpowiedz
  9. Łukasz

    Czy jeśli konto byłoby zabezpieczone kluczem u2f, to sposób z kradzieżą ciasteczek by się nie powiódł? Bo z tego co rozumiem ofiara miała włączona weryfikację dwuetapową, ale inna niż klucz u2f.

    Odpowiedz
    • as

      Prawdopodobnie nie. Klucz u2f nie zabezpieczy przed kradzieżą ciasteczek. Ewentualnie (prawdopodobnie nie) może by zapobiegło zmianie drugiego czynnika uwierzytelniania (trzeba by było sprawdzić jakie są procedury), ale nawet wtedy sporo szkód dałoby się wyrządzić.

      Odpowiedz
  10. zakius

    zastanawia mnie, w jaki sposób udało się tyle dodatkowych akcji wykonać
    token z przeglądarki to jedno, ale przy wejściu do ustawień zabezpieczeń na każdym kroku są dodatkowe weryfikacje…

    Odpowiedz
  11. Michał

    Właśnie spotkało mnie dokładnie to samo. Jak przejść do magicznego etapu „Dostałem link do formularza, który wypełniłem i podałem sporo prywatnych informacji na temat mojego zhakowanego kanału YouTube. ” ??

    Odpowiedz
    • Kamil

      Jestem w takiej samej sytuacji, nawet nie wiem co mam zrobić.

      Odpowiedz

Odpowiedz