Как потерять $8 тыс. Биткойнами используя Verizon и Coinbase.com

Всё началось с текстового сообщения от компании Verizon: “У вас имеется номер в сети Verizon и вы только что аутентифицировались альтернативным методом. Не вы? Пожалуйста, звоните нам немедленно на 800-922-0204”.

О Боженьки. В течении секунд я набрал номер и услышал вот что:

“Привет, добро пожаловать в Verizon. Сейчас наши офисы закрыты. Время работы наших отделений с 8 утра до 11 вечера, в рабочие дни”.

Я снова позвонил и несколько раз нажал ноль, чтобы получить помощь от оператора. Ничего. Минутой позже мне пришло сообщение дубликат. Я сделал скриншот и затем опубликовал в Твиттере поддержки Verizon.

Проходила одна тревожная минута за другой пока я пытался дозвониться до Verizon. Я загуглил “линия предотвращения мошенничества Verizon”, чтобы позвонить на горячий номер, но не нашел такового.

11 37 PM

11 38 PM

 

11 40 PM

11 41 PM – Выход из моего аккаунта Gmail

Я в полной темноте.

11 42 PM – сброс пароля Coinbase

Моё сессионное куки не выкидывает меня прочь, так что я наблюдаю происходящее в реальном времени.

11 44 PM – Coinbase подтверждает информацию о новом устройстве

11 44 PM – 1.18 BTC отправлено

11 45 PM – 70.96 LTC отправлено

11 46 PM – 16.03 ETH отправлено

Адьйос, фонд надежды и мечты, 8 тысяч баксов пропали в течении менее 15 минут.

И как только я мог быть таким слепцом?

Перед собственно началом стоит сказать, что да, даааааааааааааа, у меня не было достаточного уровня защиты Gmail аккаунта. Ранее я уже использовал Аутентификатор от Google, в качестве персонального аккаунта и для разных рабочих е-мейлов, но я в определённый момент счёл его не удобным и перестал им пользоваться.

Я об этом очень сожалею и вы безусловно можете сказать: “ХА, ТЫ ЗНАЛ, ЧТО ЭТО ПРИДЁТ ЗА ТОБОЙ ,ЧУВАК, МОИ БИТКОЙНЫ СЕЙЧАС НА ЗАШИФРОВАННОЙ ФЛЕШКЕ В ЗАКРЫТОМ ЯЩИКЕ В СЕКРЕТНОМ ПОДЗЕМНОМ В БУНКЕРЕ ХОЛОДНОГО ХРАНЕНИЯ”. Но в миру живут многие держатели монет и они под риском такой же уязвимости, а по мере того, как присоединяются новички, эта уязвимость создаст ещё больше проблем.

Из всех вещей, которые привели к возникновению этого взлома, Verizon Wireless было тем, к чему я вообще не был подготовлен. После долгих разговоров со службой поддержки пользователей, я узнал, что хакеру не было необходимости предоставлять им мой номер соцстраха или PIN, он заполучил контроль над моим телефонным номером представив оператору простую информацию по платежам. Это взорвало мой мозг и показалось мне безответственным вне всяких разумных рамок, но именно так они и работают. В этом взломе меня больше всего поразило то, с какой скоростью можно воровать в современной криптовалютной экосистеме. Потому что $8 тыс. За 15 минут – быстрее и выгоднее, чем ограбить банк в пригороде.

Почему именно на меня совершили атаку

Самая правдоподобная теория состоит в том, что причиной стал этот твит, который я написал на прошлой неделе про Coinbase.com. Друг моего друга был взломан на Coinbase и он не получал ответа от службы поддержки в течении нескольких дней. В качестве мольбы о помощи, он попросил людей помочь ему выташить слово из Coinbase на Твиттере. Я и помог, запись несколько раз была ретвитнута, и к моей величайшей наивности, я и понятия не имел что вешаю себе на спину листок со словами “Ограбь меня тоже”.

 

И вот, я здесь. Я пытался привлечь внимание людей к Coinbase по поводу мошенничества, у меня появились проблемы, и теперь я пытаюсь получить внимание от Coinbase по поводу мошенничества. Официальный Твиттер поддержки пользователей один раз ответил, затем пришло электронное письмо от бота, с предупреждением о том, что возможно пройдут недели, прежде чем мой вопрос будет решён.

Отчаяние

Я до этого момента никогда не терял такое количество денег. Я вырос в семье, которая особенно консервативно относится к деньгам, и это бьёт на той эмоциональной волне, от которой непросто избавиться. Как и многие другие, я знаю, что есть определённый риск, связанный с криптовалютами, это игра, но чего вы не ожидаете, так это того, что вас ограбят в течении пары секунд при помощи сервиса, у которого дизайн пользовательского интерфейса на сайте лучше, чем у Chase Bank.

Я понятия не имел, смогу ли вернуть какие-то деньги, но выяснил, что одну вещь я точно могу сделать со всей этой ненавистью/грустью – попытаться максимально подробно расписать уязвимости, чтобы другие люди меньше попадались на это.

Вещи, которые мог бы сделать Verizon Wireless

  • Дополнительная предосторожность в отношении любого человека, который звонит и просит “сменить телефоны”. Ведь обычной информации о платежах было достаточно для того, чтобы перенести мой номер, и меня этим положили на лопатки. Просто сумасшествие, что Verizon, и другие компании беспроводной связи, не предприняли никаких реальных усилий для противостояния этому взлому, и что более страшно, на них никто не подаёт в суд за грубую халатность.
  • Сделать срочные текстовые оповещения интерактивными через СМС. Если бы я получил сообщение безопасности, и был в состоянии остановить хакера при помощи текстового ответа, или даже при помощи НЕ ответа, весь этот взлом остановился бы не начавшись. Вместо того, меня попросили “немедленно” позвонить по номеру в Verizon, где на линии не было людей, чтобы ответить.
  • Сделайте Горячую Линию Verizon доступной и видимой для ваших клиентов. У меня ушло 45 минут на раздражение Dming в твиттере, чтобы получить номер телефона, который позволял дозвониться до реального человека из компании Verizon. Если в будущем кто-то будет это искать, то вот номер: 1-(888)-483-7200.
  • Говорите вашим клиентам о том, что произошло с их аккаунтами. Я потратил несколько часов бесед с работниками службы поддержки Verizon, прыгая от Департамента Мошенничества к Юридическому Департаменту, потом к Департаменту Поддержки Пользователей, и так по кругу. Я почти не получил инфиормации от них всех, и они не опубликуют деталей разговора с мошенником, или сделают это только в том случае, если бы я нанял адвоката, котрый бы меня представлял.

Вещи, которые могли бы сделать в Coinbase

О Господи, Coinbase. С чего начать.

  • Сделайте включение Google Autenthicator “требованием” для хранения монет на Coinbase.com. SMS 2FA не идеальна, но обманчиво безопасна, в особенности для новичков.
  • Сделайте горячую линию 24/7, которая будет доступна вашим клиентам. Twitter и e-mail это неправильные механизмы обратной связи в случае, если скорость имеет решающее значение.
  • Значительно уменьшите количество пользователей, которые обслуживаются на вашей бирже до тех пор, пока у вас не будет ресурсов чтобы их покрыть. Вы набрали 400 000 пользователей за 30 дней, ЧЕТЫРЕСТА ТЫСЯЧ, и большинство из этих пользователей абсолютные новички в безопасности.

  • Добавьте базовую защиту от мошенничества на случай, когда кто либо логинится в ваш аккаунт на новом устройстве, которое пытается ликвидировать аккаунт. Промежуток в один час мог остановить этот взлом в самом начале.
  • Сделайте режимы по умолчанию по отправке монет в ваших кошельках значительно более “заботливыми”, когда дело касается новичков
  • Создайте страховку для персональных счетов. Да, эта политика была бы крайне уязвима к мошенничеству, но в этом состоит ваша основная работа, найдите способ.

Наши приоритеты: Быть самыми доверенными: Мы фильтруем каждое принимаемое нами решение, задавая вопрос: “Помогает ли это нам стать тем брендом в отрасли, которому доверяют больше других?”…

Вещи, которые можно сделать, чтобы защитить монеты

Из-за атаки я дозвонился друзьям, с кучей опыта в криптовалютах, и вот их подсказки:

  • Правило номер один: никому не говорить о «Биткойн-клубе». Не говорите в Интернете, в особенности используя своё реальное имя, про свои торги или обмены. Я знаю, что для некоторых это слишком поздно (уж точно – для меня!), и так не должно быть, но так вы менее подпадаете под риск оказаться жертвой. Даже если ваши монеты хорошо защищены.
  • Если хотите сделать пост на реддите, в твиттере, или ещё где, про криптовалюту, используйте псевдоним, далёкий от вас по смыслу.
  • Используйте отдельный, секретный е-мейл для “монетных счетов” и не перенаправляйте оповещения на ваш персональный е-мейл аккаунт.
  • Используйте 2FA – СМС не считается. Я и понятия не имел, насколько лёгкой Verizon и другие операторы сделали процедуру смены телефона в течении нескольких минут, используя базовую информацию. Используйте Gauth или Authy или ещё что либо, поддерживающее TOTP токены; также для вашего аккаунта в Gmail рассмотрите возможность использования устройства FIDO U2F.
  • Если вы настаиваете на том, чтобы ваши деньги оставались на Coinbase.com, то храните их в “хранилище”. Это даст вам определённый промежуток времени в несколько дней перед тем, как ваши монеты вообще начнут двигаться, по крайней мере они не исчезнут немедленно.
  • Позвоните в вашу сотовую компанию и скажите, что, скорее всего, вы являетесь целью мошенников, использующих социальную инженерию. Попросите добавить сложности для осуществления запросов,связанных с вашим номером.
  • Храните ваши монеты на физическом кошельке. Технически, любые деньги, которые имеются у вас на бирже – не ваши, у вас просто имеется долговая расписка от третьей стороны. Лучшая практика для безопасного хранения монет – купить физический кошелек вроде Trezor или Ledger Nano S. Он стоит всего 60-90 баксов и заставит взломщика подтвердить физическим вводом пин-кода (который надо смотреть на устройстве) перевод монет или кражу вашего бэкапа для доступа к кошельку.

Я не отказываюсь от криптовалют

Я присоединился к Coinbase.com в 2015 году, имел разные позиции относительно Биткойна в эти годы, и видел как хайп приходит и уходит. Я думаю, мы приближаемся к точке изгиба в плане принятия но находимся в опасном месте, так как стоимость BTC/ETH взлетает к небесам и нубы появляются на рынке.

Четыреста тысяч человек присоединились к Coinbase за последние тридцать дней. У этой группы необычайно разные интересы относительно безопасности и ожиданий от сервиса, не такие, что были у изначальных пользователей, присоединившихся к Coinbase в 2012 году. Если эта новая группа не защищена в совокупности, судебные иски будут поступать, жизни с точки зрения финансов будут разрушены, а мечта о том, что биткойн со временем достигнет отметки в $50 000, станет туманной фантазией. Посмотрите ветку Coinbase на Reddit если хотите дополнительно почувствовать на вкус, что происходит.

Несмотря на это, я хочу сделать ставку, что Coinbase или кто-то другой, в будущем значительно эволюционирует и разберётся в этом. Множество проблем, приведших к взлому моего аккаунта на Coinbase решаемы при помощи более “заботливого” софта, обнаружения мошенничества и опытной команды поддержки пользователей, доступной 24/7. Прелесть блокчейна в том, что вы можете создавать потребительское предложение на его основе, оперирующее как банк, и оно может существовать по соседству с биржей, ориентированной на клиентов, желающих покупать и продавать огромные, рискованные количества налички каждый день.

Если с вами такого никогда не происходило, то вам будет сложно понять, насколько трудно начинать жить заново с подобным уровнем финансовых потерь. Биткойны, которые у меня были в кошельке в Coinbase, собирались в течении многих лет, а позиции по эфиру и Лайткойну были более свежими. Я виню себя за то, что не посвятил достаточно времени исследованиям по теме безопасности, и я также знаю, что такие открытия невероятно часто совершают и другие. Если не произойдут большие перемены, множество других людей будут ограблены и репутация криптовалют, в общем смысле, пострадает. Единственная вещь, которая имеется для защиты этих новичков – само сообщество крипто-активистов. Позвольте моему огромному сожалению стать предупредительным знаком. Проинформируйте своих друзей. Не доверяйте настройкам по умолчанию в Coinbase. Не думайте, что с вами не случится плохого. Хватит читать эту статью, и уже защитите свои монеты немеделенно.

Сделайте это!

Хватит скроллить.

*UPDATE*

Законодательство. Многие предлагали мне нанять адвоката и поработать план действий против Verizon и Coinbase. Если вы знаете адвоката или фирму, которая в данном случае подходит, пожалуйста, шлите мне DM (открыто). У меня нет достаточного количества ресурсов, чтобы этим заниматься, так что любые общие рекомендации будут кстати.

Общественный судебный иск против Verizon и/или Coinbase.com. Недавно в движение уже привели один такой иск (я читаю о нем сейчас). Если с вами произошла аналогичная ситуация на Coinbase, пришлите мне сообщение, сможем обменяться историями.

Донаты. Вау. Некоторые очень щедрые люди в Биткойн-сообществе попросили адрес для донатов или финансирования иска. Я с благодарностью буду рад принять любую помощь.

LTC: LbZnJ8QWc581bm6iu6STpbKVq9RDv1Yqbd (~$250 USD)

BTC: 188itMZTQx1PcbuCdpjBkdBLUKjJRcdPoj ( ~$280 USD)

Огрооооомное спсибо @BTCXBTDEV:

“Эй Коди, опубликуй свой LTC адрес, чувак, отправлю тебе 10 лайтов в помощь…”

Источник: bitnovosti.com

Partagez votre amour

Laisser un commentaire