2014年10月21日早上,帕塔普戴维斯发现3000美元被盗。前一天晚上,他大约12点上床睡觉。一天晚上,黑客攻破了他设置的所有安全防护。就在戴维斯熟睡的时候,黑客摧毁了他大部分的网络生活:两个邮箱账号,手机,Twitter,双因素认证,还有最重要的,——比特币钱包。
戴维斯非常谨慎。他的密码很强,从不点击虚假链接。对于Gmial邮箱等服务,他使用双因素认证来保证邮箱的安全性,所以当他从其他电脑登录邮箱时,必须输入短信认证中的6位密码。他用比特币赚了一些钱,放进了三个受保护的钱包,分别是比特币基地、比特邮票和BTC-E。戴维斯还为比特币基地和BTC-E使用双因素认证,以确保账户安全。只要他想登录这些账号,就必须使用双因素认证APP进行认证。
除了比特币,戴维斯在其他方面和普通用户没什么区别。戴维斯是一名程序员。他把时间花在编写视频教学软件和其他琐碎的任务上。他喜欢周末在洛斯阿拉莫斯的斜坡上滑雪。这是他在阿尔伯克基的第十年。去年,他刚满40岁。
在黑客攻击后,戴维斯花了整整一周的时间跟踪攻击是如何发生的,将登录账户和客服的信息拼接起来得到了The verge。然而,我们仍然不知道这一切是如何实现的,也不知道黑客是谁。但是通过拼接信息,我们知道这一切是如何实现的,以及我们数字生活中的一些弱点。
邮件。计算机输出缩微胶片
一切都是从戴维斯的邮箱开始的。当他第一次登录他的邮箱时,他发现Partpa@gmail.com已经被注册了,所以他选择使用mailbox,并设置了Partpa@mail.com,这更容易记住。
10月21日凌晨2点以后,这个链接就断了。有人闯入了Davis的mail.com账户并停止了攻击。突然,一个新的手机号码链接到这个账户——,一个在佛罗里达州注册的Android设备,一个新的备用email——swagger@mailinator.com,这是我们知道的最好的反映黑客个人信息的东西。
这个简单的攻击暂且称之为Eve吧。
夏娃是怎么做到的?我们还不确定。然而,似乎它使用脚本来锁定Mail.com密码重置页面的弱点。我们知道这个脚本确实存在。几个月来,用户一直在黑客论坛上出售这种可以重置Mail.com特定用户密码的脚本。攻击戴维斯账号的脚本病毒是很老的版本,价格是每个账号5美元。我们仍然不知道它是如何工作的,也不知道它是否仍在使用,但它确实是Eve所需要的。无需任何身份验证,它就可以将Davis的密码设置为自己的字符串密码。
ATT
Eve的下一步是掌握Partap的电话号码。它没有戴维斯的ATT密码,但它可以假装忘记,然后使用partap@mail.com收到的电子邮件中的链接重置它。Eve要求客户服务代表将Davis的号码转接到长滩的号码。严格来说,客服部门应该加强呼叫转移的安全性,使用更多的认证信息,而不仅仅是一封邮件。但是面对这种烦人的客户,客服往往会让步,客户满意度永远比安全重要。
呼叫转移完成后,所有Davis语音呼叫都可以转移到Eve。戴维斯仍然可以接收短信和电子邮件,但每个电话都直接打给了攻击者。戴维斯直到两天后才注意到,因为他的老板抱怨他不接电话。
谷歌和AUTHY
接下来,伊夫瞄准了戴维斯的谷歌账户。专家告诉你,双因素认证是对抗黑客的最好保护。黑客可能会得到你的密码,小偷可能会偷你的手机,但很难两全其美。手机是一个有独立系统的物理硬件,但人们总想取代它,他们想取代所有的服务。每天都要重置帐户,双因素服务最终看起来更像是有另一个帐户要攻击。
戴维斯没有设置谷歌认证应用的安全选项,但他已经有了双因素认证。每次他用新电脑登录,谷歌都会给他发一个确认码来确认他的身份。呼叫转移没有办法获取戴维斯的短信,但Eve有后门:得益于Google的强大功能,可以通过呼叫转移申请接受语音确认码。
Authy应该很难攻击。它是一个类似于Authenticator的APP,一直没有离开过戴维斯的手机。然而,通过mail.com和语音接收到的新确认码,伊芙轻松地在她的手机上重置了Authy。凌晨三点刚过,Authy的账户就被Eve控制了。
Eve用同样的招数骗了Google:只要他有Davis的邮箱和手机,双因素验证就不能用了。在这一点上,伊芙可以比戴维斯更容易地控制自己的网络生活。伊芙掌握了戴维斯除短信之外的所有数字生活。
CoinBase
3点19分,伊芙用Authy和Mail.com重设了Davis的比特币基地账户。3点55分,伊芙将戴维斯账户里的余额(约3600美元)全部转账。他分别在30分钟、20分钟、5分钟后分三批转账。之后,钱在空巢账户里消失了。我们也无法知道他的下落。黑客只花了一个半小时就入侵了戴维斯的邮箱账户,盗取了钱财。
Authy可能知道出事了。所以客服会严密监控所有的可疑行为,虽然他们的监控是非常谨慎的,重置为不在状态的账户会被标记。但是对于诈骗中心俄罗斯和乌克兰来说,这样的迹象太多了,以至于Eve无法被严密监控。但Eve给比特币基地的IP更有可能来自加拿大。他们会阻止他吗?现代安全系统,如谷歌的ReCAPTCHA,经常做类似的工作,并在获得足够的证据后冻结账户。但是比特币基地和Authy获得的证据还不足以冻结Partap的账户。
BTC-E和BITSTAMP
当戴维斯醒来时,他注意到的第一件事是,他的Gmail帐户莫名其妙地被注销了。密码已被更改,他无法再次登录该帐户。当他重新进入账户时,受到了严重的打击:coinbase账户空了,所有的钱都被转走了;电子邮件被盗;所有的客服部门都无法确认他的身份信息。
另外两个钱包呢?里面有价值2500美元的比特币。比特币基地账户不受广告保护。但当戴维斯检查这两个账户时,他发现它们仍然完好无损。BTC E使用48小时后重置密码,让用户证明他们的身份和恢复他们的帐户。BITSTAMP有一个更简单的保护措施:当Eve重置Davis的密码时,它会要求Eve出示她的驾照照片。虽然伊芙已经得到了所有的信息,但是还有一些信息他没有得到。戴维斯,剩下的2500美元比特币非常安全。
推特
发作开始已经2个月了,戴维斯又回到了生活中。最后一个黑客黑了戴维斯的推特账号,最后发现的黑客痕迹是推特账号。推特账号被黑了几个星期,Eve插入了新的图片,抹去了戴维斯的所有痕迹。攻击发生几天后,他发布了攻击Xfinity账号的图片,并标记了另一个操作。这个账号不是戴维斯的,是另一个人的。他已经用@Partap的身份攻击了另一个目标。
谁是背后的攻击者?戴维斯花了几个星期跟踪他,浪费了整个下午打客服电话,却没有得到任何有效信息。根据账户记录,Eve的IP地址在加拿大,但他可能用Torhuozhe VPN来掩盖行踪。他的电话号码真的是长滩,安卓手机是加州的,手机大概是一次性的。所以,我们只能得到很少的信息,没有踪迹,让伊芙带着钱飞走。
伊芙为什么选择帕塔普戴维斯?因为他知道一些关于钱包的信息。他为什么花这么多时间去查账户?一开始,他首先攻击的是邮箱账户,所以我们可以想象他在某个场合下载比特币的用户名单中发现了戴维斯的名字。戴维斯的名字也可能出现在设备供应商或比特币零售商中。信息泄露是非常普遍的现象。
戴维斯现在更谨慎了,他放弃使用Mail.com的邮箱,他的生活发生了很大的变化。比特币基地拒绝了戴维斯的赔偿要求,因为他们认为公司的安全措施没有漏洞。于是戴维斯写信给联邦调查局,但是联邦调查局对这个案子不感兴趣。他还不断通过电话重置账户。其实这个世界并不安全。黑客攻击无处不在。网络越发达,维护账户安全越困难。
最重要的是,重置密码非常容易。Eve利用这个漏洞一次又一次的攻击。一种并不复杂的算法最终阻止了Eve的入侵:一种让客户等待48小时才能确认身份信息的服务。在技术层面上,这是一个很简单的操作,但是成本很高。其实公司也不容易:不断向用户妥协,让用户使用方便,让盈利风险小。有些人的账户可能会被盗,但数百万用户可以继续使用账户,没有服务问题。在安全和便利的斗争中,安全是一种武器。
作者大卫