Varovný příběh: Jak přes telefon přijít o internetové účty

Máte ke svému Twitteru, Facebooku a dalším internetovým službám silná hesla, která střežíte v hlavě? Nemusí to stačit. Slabá místa internetových služeb jsou totiž i mimo internet.
Varovný příběh: Jak přes telefon přijít o internetové účty

Naoki Hiroshima je vývojář žijící v Americe, který stojí za službami Cocoyon nebo Echofon. Jakožto člověk z internetové branže brzy zaznamenal nástup Twitteru a díky tomu si registroval exkluzivní jednopísmenové jméno @N. Po sedmi letech o něj přišel a The Next Web zveřejnil podivuhodný příběh, jak se to stalo. Novému majiteli stačil jednoduchý telefonní hack.

Za Twitterem přes doménu

O unikátní jméno na Twitteru byl Naoki Hiroshima opakovaně žádán z různých koutů světa, dokonce dostal nabídku na odkup za 50 tisíc dolarů. A samozřejmě se setkával s různými pokusy o útoky. Proto celkem pečlivě dbal na zabezpečení, měl silné heslo a správné nastavení pro jeho obnovu. Ani to ale nakonec nestačilo.

Klepněte pro větší obrázek 
Ukradený účet. Co může nový majitel chtít udělat s exkluzivním názvem? Asi chvíli počkat až opadne humbuk a pak draze prodat. Původnímu majiteli nabízeli až 50 tisíc dolarů (cca milion korun)

Před týdnem dostal SMS zprávu od PayPalu s ověřovacím kódem. Pomyslel si, že se jen někdo pokusil přihlásit k jeho účtu na PayPalu, ale zajištění zafungovalo. Netřeba nic akutně řešit. Později tentýž den mu ale přišel e-mail od registrátora domény s potvrzením změny údajů k účtu. To už zbystřil, protože doména je součást jeho byznysu a provozuje na ni e-mail prostřednictvím Google Apps.

Doménu měl registrovanou u amerického registrátora GoDaddy, tak hned zavolal na linku podpory a chtěl situaci zkontrolovat. K ověření jeho totožnosti bylo požadováno posledních šest čísel z kreditní karty a v tom přišlo překvapení – čísla nesouhlasí. Pak už bylo jasno. Někdo se dostal k doméně a mohl tak upravit osobní údaje majitele i její doménové záznamy. Tím přesměruje existující e-mailovou adresu původně spravovanou skrze Google Apps do jiné služby a bude moci přijímat e-maily. Hned se tak může pustit do pokusů o změnu „zapomenutého“ hesla v různých službách. 

Naoki Hiroshima měl pochopitelně řadu webových služeb registrovanou skrze svůj e-mail. Včetně svého vzácného Twitteru. K tomu se ale útočník vinou chyby v MX záznamu hned nedostal a účet na Twitteru tak zůstal prozatím zachráněn. Útočník se sice záhy dostal k účtu na Facebooku, ale o ten mu nešlo.

Když nejde hack, třeba zabere vydírání

Útočník záhy pochopil, že promarnil příležitost a že se k vysněnému účtu na Twitteru svým fíglem už nedostane, kontaktoval proto Naoki Hiroshimu a začal vyjednávat – opravdu chtěl jen jméno na Twitteru , které byl proto ochoten vyměnit za přístup k ukradené doméně. S doménou by útočník mohl nadělat více škody, e-maily byl potřeba pro práci hned a registrátor GoDaddy si na prověření situace vzal 48 hodin, proto Hiroshima na riskantní směnu přistoupil. Měl štěstí alespoň v tom, že vyděrač své slovo dodržel a ke směně došlo.

Klepněte pro větší obrázek
Naoki Hiroshima dal přednost doméně, svůj účet na Twitteru přejmenoval na „N_je_ukradeno“ 

Teď už má Naoki Hiroshima účet s názvem @N_is_stolen, nicméně vzhledem k jeho reputaci a především aktuálními mediálnímu zájmu je naděje, že se do hry vloží přímo samotný Twitter a uvede věci do pořádku. Pozornost se nyní ale zaměřuje na způsob, který útočník využil – nezdráhal se totiž Naokimu prozradit, jak se k doméně dostal. Nejprve zavolal na zákaznickou linku PayPalu a zkoušel „konverzační hacking“ – tzn. spojit se s živým operátorem a s ním řešit ověření totožnosti za účelem změny přístupových údajů. Nebylo to prý nijak těžké a získal tak díky tomu od operátora poslední čtyři číslice ke kreditce. To byl začátek.

Z doménového výpisu snadno zjistil, kde je registrovaná. Pokračoval proto telefonátem na GoDaddy a zkoušel to podobně. Už znal poslední čtyři čísla kreditky, což je v Americe hojně využívaný prvek k ověření. Na GoDaddy potřeboval posledních šest, což znamená hádání dvou číslic, tedy sto pokusů. Opět ale stačilo operátora trochu „ukecat“ tím, že kreditku ztratil, zapsané číslo zrovna po ruce nidke nemá a z hlavy si pamatuje jen poslední čtyři čísla. Povedlo se, pak už stačilo nahlásit změnu veškerých údajů včetně čísla nové kreditky.

Klepněte pro větší obrázek
Registrátor jako každý jiný, včetně těch českých. Kontaktní telefonní linka s nonstop provozem nechybí

Z příběhu vyplývající ponaučení je jasné – nespoléhejte se jen na silné heslo na internetu a pamatujte, že u mnohých služeb se lze ke změně uživatelského účtu dostat telefonicky. A to může být slabé místo. V PayPalu a GoDaddy nyní prověřují, kde došlo k selhání, ale dá se čekat, že vina padne na operátory zákaznických linek. Podobná rizika jsou ale bezesporu i u nás. 

Naoki Hiroshima pak přímo doporučuje neregistrovat si internetové služby přes e-mail na vlastní doméně. Je to další teoretická cesta, jak se k účtu dostat. Kdyby nepoužíval Google Apps, ale jen samotný Gmail, útočník by se k jeho e-mailu nedostal. Dále doporučuje nebrat na lehkou váhu všeobecná doporučení zabezpečení týkající se silného hesla či dvoufázového přihlašování. 

Diskuze (15) Další článek: Tak už i pračky: Samsung představil chytrou pračku s Wi-Fi a Androidem

Témata článku: Web, Bezpečnost, Twitter, Mobilní telefon, Účet, Proto, Silné heslo, Poslední číslo, Přístupový údaj, Vina, Příběh, Jednoduchý telefon, Slabé místo, Silná doména, Telefon, PayPal, Poslední pokus, Hack, Tel


Určitě si přečtěte

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

Budoucnost elektroniky: čeští vědci stojí za revolučním čipem, který nemá ve světě obdoby

** Čeští vědci pod vedením Tomáše Jungwirtha vyvíjí nový typ revolučního paměťového čipu ** Zatímco v současnosti elektronika pracuje s elektrony, v budoucnu to budou spiny elektronů ** Čipy budou moci být klidně i 1 000x rychlejší a úspornější

Karel Javůrek | 32

Alan Turing: Genius, který matematicky stvořil počítač

Alan Turing: Genius, který matematicky stvořil počítač

Řešením matematického problému se dostal k modelu teoretického stroje, který nese jeho jméno a je základem logiky univerzálních počítačů.

Pavel Tronner | 56

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

Apple: naše mapy budou nejlepší na světě. Tajně jsme na nich pracovali několik let

** Apple odhalil své plány na zcela nové mapy ** Několik let pracuje na nových mapách, které by měly předběhnout konkurenci ** Objeví se s příchodem iOS 12 pro vybrané státy

Karel Javůrek | 50

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

Sex a rozmnožování při mezihvězdné cestě: Kolik lidí je potřeba pro let k Proximě Centauri?

** Vědci spočítali, jak velká by musela být posádka pro vícegenerační let k nejbližší hvězdné soustavě ** Proxima Centauri se nachází 4,3 světelných let od nás ** Za současných technologií bychom k ní letěli 6300 let

Petr Kubala | 53

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

15 věcí, které umí Windows 10, ale možná o nich vůbec nevíte

** Systém Windows 10 umí spoustu užitečných drobností ** O mnoha praktických funkcích pravděpodobně ani nevíte ** Poznejte užitečné tipy, které se vám mohou hodit každý den

Vladislav Kluska | 36


Aktuální číslo časopisu Computer

Velký test 18 bezdrátových sluchátek

Vše o přechodu na DVB-T2

Procesory AMD opět porážejí Intel

7 NVMe M.2 SSD v přímém souboji