В канун Рождества неизвестные хакеры преподнесли Брайану Кребсу очень своеобразный подарок: злоумышленники сумели дважды скомпрометировать его PayPal аккаунт и попытались перевести деньги террористу ДАИШ. Однако известный журналист и исследователь пострадал не в результате взлома, просто работа службы поддержки PayPal оставляет желать лучшего.
Имя Брайана Кребса (Brian Krebs) хорошо известно как в среде специалистов в области информационной безопасности, так и в хакерских кругах. Бывший журналист The Washington Post многие годы специализируется на проведении частных расследований, а затем изобличает в своем блоге хакерские группы и отдельных индивидов, распутывает сложнейшие схемы атак и пишет о том, о чем другие предпочитают помалкивать.
Кребсу регулярно угрожают, и его не раз пытались подставить. К примеру, однажды журналисту домой прислали наркотики, купленные в даркнете. Хакерский андеграунд имеет на Кребса большой зуб и время от времени пытается ему отомстить. Из-за этого практически любые личные данные Брайана Кребса можно легко найти в сети, — за информацией о нем охотились прицельно.
Очередную месть обиженные хакеры осуществили в канун Рождества. Злоумышленники сумели дважды перехватить управление над PayPal аккаунтом Брайана Кребса, и виной тому – халатность специалистов технической поддержки платежной системы.
«Атакующим понадобилось просто позвонить в поддержку PayPal и притвориться мной, продиктовав оператору последние четыре цифры номера социального страхования и последние четыре цифры номера моей старой банковской карты. И для них сбросили пароль», — пишет Брайан Кребс в блоге Krebs on security.
Таким образом хакеры сумели изменить email аккаунта Кребса на собственный, о чем журналист узнал, получив уведомление по почте. Кребс отреагировал оперативно – он сразу же залогинился в PayPal с древнего компьютера, сменил пароль, вернул свой email-адрес на место и удалил почту злоумышленников.
Затем Кребс связался с PayPal и поинтересовался у сотрудника службы поддержки, каким образом злоумышленники смогли провернуть такое, а также спросил, какие шаги ему следует предпринять дальше. Сотрудник службы поддержки ответил, что атакующие проникли в аккаунт, использовав легитимные логин и пароль Кребса, а также заверил журналиста, что он уже сделал всё, что мог. Кроме того, специалист пообещал, что компания будет фиксировать любую подозрительную активность, связанную с аккаунтом Кребса, так что тот может расслабиться.
Полчаса спустя Кребс вновь проверил почту и обнаружил, что тот же самый email снова сделали адресом по умолчанию для его PayPal аккаунта. К сожалению, на этот раз сообщение застало журналиста вне дома. К тому времени, когда Кребс добрался до компьютера, злоумышленники успели поменять пароль и удалили его настоящий email вообще.
«Вот он — обещанный мониторинг подозрительной активности от PayPal, — пишет Кребс. — Компания даже не заметила, что email-адрес мошенников был добавлен к аккаунту второй раз».
Вскоре после этого аккаунт Кребса был заблокирован. Дело в том, что атакующие якобы попытались скомпрометировать журналиста и предприняли попытку перевести некую сумму на счет британца Джунаида Хусейна (Junaid Hussain). Хусейн aka TriCk был экспертом в области информационной безопасности и горячо поддерживал запрещенную на территории РФ организацию ДАИШ. Предположительно, именно Хусейн был основателем хакерской группы «Киберхалифат». Также он подозревался во взломе твиттера Пентагона, а в 2012 году отсидел полгода за взлом адресной книги премьер министра Великобритании (тогда этот пост занимал Тони Блэр). В августе текущего года хакер был ликвидирован американским беспилотником где-то на севере Сирии.
Кребс вновь связался с PayPal, но на этот раз настоял на разговоре с кем-нибудь, рангом выше обычного сотрудника технической поддержки. Супервайзер, с которым соединили Кребса, подтвердил то, о чем уже догадался сам журналист: злоумышленники не взламывали его длинный и сложный пароль, они задействовали примитивную социальную инженерию и дважды звонили в службу поддержки, представляясь Кребсом. Так как хакеры располагали информацией о номере социального страхования журналиста и номерах его банковских карт, никаких проблем у них не возникло.
В ходе беседы, Кребс поинтересовался у сотрудника компании, почему PayPal фактически не защищает своих пользователей и не может, к примеру, присылать SMS с кодом подтверждения на телефон, или генерировать такой код посредством мобильного приложения. Сотрудник ответил, что компания не располагает технологиями мобильной аутентификации, но в таких случаях может предложить клиенту, сделать фотокопию или скан водительских прав и прислать этот документ по почте. Нет, не по электронной.
В блоге Кребс отмечает, что с таким подходом PayPal застряла где-то в прошлом веке и, очевидно, не знает о том, что существует множество сервисов, при помощи которых можно с легкостью подделать сканы любых документов, включая водительские права, паспорта, банковскую информацию и так далее.
Хотя PayPal предлагает своим клиентам специальные аппаратные токены для защиты аккаунтов, это едва ли помогает. «Токены безопасности вряд ли приносят PayPal какую-то пользу, если одновременно с этим компания позволяет ворам сбрасывать пароли по телефону, просто используя четыре последние цифры номера социального страхования», — пишет Кребс.
Фото: Daniel Rosenbaum/New York Times