Dałem się zhakować!

Dzisiaj mam dla Was mrożącą krew w żyłach historię z morałem. Wszystko zaczęło się 11 grudnia 2015 w godzinach popołudniowych. Siedziałem w domu, pracując z klientem na Skypie omawiając jakieś szczegóły projektu po angielsku. W pewnym momencie dostałem powiadomienie na telefon. Napisała do mnie bliska mi osoba. Wiadomość wyglądała tak:

Pisała ze swojego konta, nie był to podrobiony profil. Rozmawialiśmy 2-3 dni wcześniej i te wiadomości wyświetlały się normalnie wyżej. Ot sierota – pomyślałem – zapomniała hasła. Jako że byłem zajęty, a całość rozgrywała się w okresie świątecznym ułożyłem sobie w głowie historię. Pewnie jest to  przelew za prezenty na święta – inny niż osoba pisząca odbiorca i tytuł numeryczny, jakby numer zamówienia. Nie zastanawiając się za długo zrobiłem jedną ręką przelew, napisałem, że nie chcę tych 550 zł tylko niech odda mi tyle ile przelałem i pracowałem dalej.

Cztery dni później.

Wstałem rano, wziąłem prysznic i coś mnie olśniło – chyba zostałem oszukany. Wysłałem sms-a o treści: Hej, nie pożyczałeś ode mnie żadnych pieniędzy, prawda? Odebrałem telefon, moje obawy się potwierdziły. Tego samego dnia pojechaliśmy na policję, złożylismy zeznania i pozostało czekać na rozwój zdarzeń.

Co tu się odpierdzieliło?!

W skrócie: przez swoją naiwność straciłem 510 zł, policja – jak się można domyślić – nic nie mogła zrobić, więc sprawę umorzono.  Jak wyglądał atak?

  1. Bliska mi osoba miała hasło, które było zdrobnieniem imienia.
  2. Nie miała włączonej weryfikacji dwuetapowej – jeśli też nie masz to jest idealny moment żeby to włączyć.
  3. Atakujący zalogował się na nieswoje konto, przejrzał historię rozmów i odezwał się do kilku osób – w tym do mnie.
  4. Normalnie rozmawiał – nie była to jedna wiadomość – po drugiej stronie na pewno był człowiek.
  5. Wysłał wiadomość z numerem konta, które prawdopodobnie było podpięte pod jakąś kartę prepaid.
  6. Usunął historię logowań i wiadomości z konta osoby, z którego pisał – u mnie zostały.

Co ja zrobiłem nie tak?

  1. Nie zweryfikowałem, że osoba, z którą piszę jest autentyczna – powinienem wykorzystać inny kanał komunikacji, telefon, inny komunikator, cokolwiek.
  2. Nie przeczytałem dokładnie wiadomości – podwójne wykrzykniki, styl pisania – totalnie nie pasuje do osoby, która jest właścicielem konta.

Sam zabezpieczam swoje konta jak tylko mogę, tutaj to zawiódł mój mózg. Potwierdziło się powiedzenie, że najsłabszym ogniwem każdego, nawet najlepiej zabezpieczonego systemu jest człowiek. Możesz mieć najlepiej zabezpieczone konto na świecie, a mimo to możesz paść ofiarą socjotechniki tak jak ja.

Co było dalej?

Aby ostrzec innych opublikowałem swoją historię na facebooku, zbierając hektolitry hejtu. Założyłem grupę Oszukani 510, do której cały czas dołączają niestety kolejne ofiary tego oszustwa – w chwili wpisania tego wpisu jest tam 260 osób. Poza tym występowałem w lokalnych mediach zwiększając świadomość na temat bezpieczeństwa w sieci (nawet nazwali mnie programistą w telewizji! :D)

 

Zbliża się okres świątecznego szaleństwa, więc mam do Was ogromną prośbę: uważajcie na siebie i włączcie dwuetapową weryfikację, bo mieć 510 zł, a nie mieć 510 zł to już 1020 zł 😉