Вчера еще один день моей рабочей недели...

Вчера еще один день моей рабочей недели был пущен коту под хвост. В районе 14.00 дня в своем мыле на bigmir. net (там стоит мыло от gmail) я замечаю письма из панели сайтов, Сапы, панели доменов на ru-tld и ряда других сервисов и ПП со ссылками на смену паролей ко всему этому делу. Причем темы писем не выделены жирным, они УЖЕ ПРОСМОТРЕНЫ. Я в панике, различные нехорошие мыслишки со всех сторон штормят голову, мешая сосредоточиться и что-то предпринять. Не могу понять, есть у злоумышленника доступ к мылу или нет, и если есть, то почему я все еще залогинен в своем мыле. По глупости и неопытности у меня на мыле хранилась целая папка с ярлыком “данные регистрации”, где были логины, пароли и вся-вся-вся подноготная моей сетевой жизни. Открываю уже прочитанное кем-то мыло от самого сокровенного – панели доменов, где хранится большое количество сайтов, и читаю интересную переписку с саппортом хостинга якобы от моего имени, где злоумышленник просит саппорт сменить пароль от CPanel, мол сам он по каким-то идиотским причинам сделать этого не может. Мигом несусь туда, меняю пароль, в еще открытом тикете объясняю саппорту, что переписку веду не я, а кто-то от моего имени и прошу их не менять никаких паролей, потому что я контролирую свое мыло и сам могу это сделать, прошу связаться со мной по аське для разъяснения ситуации. На всякий пожарный быстро меняю мыло, за которым числится WMID.

Перехожу к следующему письму, в котором пришла ссылка на смену пароля в Sape, логинюсь и вижу, что полностью удалены все мои проекты в панелях оптимизатора и вебмастера. Охуевшими глазами наблюдая как ящик наполняется мейлами, которые я не читал, но которые уже отмечены просмотренными, вижу сообщение от аськи “Ваша учетная запись используется на другом компьютере”. Пытаюсь снова залогиниться, злоумышленник делает то же самое. После такой игры в дрючку аська выдает мне “слишком много подключений, попробуйте позже”.

Вчера еще один день моей рабочей недели...

Аська остается под контролем злоумышленника. По всей видимости он использовал один из паролей, которые нашел на моем мыле, и тот подошел к аське (вот такой вот я идиот). А злоумышленник ожидал теперь, что хостер свяжется с ним по аське. Охуеваю дальше. Хочу вернуться в мыло глянуть, что он там такого еще натворил, но не могу зайти на bigmir. net. В голове проносится сценарий фильма “Крепкий орешек 4″, начинаю подозревать атаку через локальную сеть с предварительным сливом содержимого моего винчестера. Звоню к провайдеру, он говорит, что, оказывается, у них ведутся технические работы, и невозможность достучаться до бигмира и ряда других сайтов, в том числе и сервисов аськи, типа нормальное явление, нужно подождать.

Вчера еще один день моей рабочей недели...

Здорово совпало! Жду… Жду… Жду… Минут через 45 звонит провайдер и говорит, что все исправили. Первым делом восстанавливаю контроль над аськой через смену пароля на icq. com. Захожу на почту и вижу что новых е-мейлов с просьбой сменить пароль не приходило (или они приходили, но он их удалил). Решаю попробовать сменить пароль к мылу: при этой попытке бигмир тебя в начале вылогинит и попросит залогиниться снова, а после входа ты сразу переходишь к редактированию профиля. После логаута понимаю, что мой пароль к почте больше не подходит, и я ею больше не владею. Восстановить ее не получается, т. к. ответ на секретный вопрос почему-то оказывается неверным, хотя я в нем и уверен. У злоумышленника оказывается полный контроль над моим мылом и вся папочка с логинами и паролями к ПП, панелям доменов и сайтов и еще много чему. Несусь на бигмир в надежде, что сидят они в Киеве, чтобы найти их телефон и постараться вернуть себе мыло.

Вчера еще один день моей рабочей недели...

При звонке в службу поддержки объясняю ситуацию. Мне сообщают, что скорее всего моя почта была угнана днем ранее около 20.00, что злоумышленник сменил все данные, включая и секретный вопрос и ответ на него, и что теперь, чтобы доказать, что мыло мое, я должен написать им письмо с указанием всех данных, которые я вводил 4 года назад, когда регистрировал себе это мыло. С тех пор, естественно, я, во-первых, много чего забыл, во-вторых, много раз все менял. После нескольких попыток подбора и где-то получаса звонков к бигмиру я выспрашиваю, что, оказывается, можно было сразу же попросить их заблокировать мое мыло, пока настоящий владелец не предъявит все данные на него. Вот это был полный ппц. Пока злоумышленник уводил с мыла все данные, я общался с вежливым саппортом, пытаясь вспомнить данные четырехлетней давности, и саппорт мне даже не сообщил о возможности заблочить мое мыло, пока я сам об этом не спросил. Здорово! Худо-бедно заблочили мыло, на следующий день я отослал к ним сканы своих паспортных данных, которые, естественно, совпадали с тем, что я вводил при регистрации мыла, и на том вопрос и решили. Контроль над мылом был восстановлен, данные от всех ПП, все логины, пароли и подобную информацию с мыла я удалил и больше их никогда там держать не буду.

Вчера еще один день моей рабочей недели...

Сменил порядка 50 паролей. Всюду использовал сложные комбинации, а хранить собираюсь исключительно в голове и на листочке. Где это возможно было, поставил блокировку доступа по IP. Просканил комп несколькими прогами в поисках троянов, в том числе и mailware, поудалял кучу кейгенов и крэков от греха подальше и поставил себе фаервол. Как бы странно это не звучало, но после попыток увести домены из панели в ру-тлд и сменить пароли от панели сайтов и Сапы злоумышленник, видимо, больше ничего не предпринимал. Наверное удивился, когда завладев моим мылом понял, что я тоже до сих пор залогинен (он мог понять это из переписки с хостером, где он представился мною, а я тут же это опроверг, он тоже читал тот тикет), и решил бросить это дело. Я проверил все данные во всех ПП, где работаю, посмотрел, чтобы не были сменены кошельки для выплат и т. п. Все осталось нетронутым. Даже из Сапы, где на счету было около 5$ ничего не уводил (все равно не успел бы, заявка обрабатывается несколько дней), а только удалил, пидарас маленький, все проекты.

Вчера еще один день моей рабочей недели...

Выяснил айпишник, которым пользовался злоумышленник: 87.103.209.226. Перейдите на него по http-протоколу и скажите мне, че за гавно там установлено, и где это находится? По сути это происшествие обошлось мне только в кучу нервов и два дня работы: день на всю заварушку и день на восстановление нервов. Финансово я никак не пострадал, хотя есть знакомые, которым подобные взломы обходились в несколько сотен вечнозеленых. Даже проекты в Сапе в обеих панелях саппорт уже восстановил. Ёбаный хакер, если ты это читаешь, а я знаю, что скорее всего ты будешь это читать, можешь потренировать свою правую руку еще раз! На большее ты пока не годен! Теперь у меня осталось всего 2 вопроса: как увели мое мыло и зачем это кому-нибудь было надо? Для справки:

    врагов в оффлайне нет, в онлайне вроде тоже не должно быть; заработки в интернете не настолько велики, чтобы привлечь столько внимания, все заработанное выводится почти сразу, и я на него живу; доступа к локальной машине нет ни у кого кроме меня; стоял НОД32, отдельного фаервола не было; пароль к мылу был уникальным, то есть нигде больше не повторялся; я не первый год в сети и не идиот, чтобы попадаться на фишинги или качать себе на машину и своими же руками запускать трояны

Выводы:

1. Если живете активной сетевой жизнью, то на машине как минимум должны стоять связка firewall+antivirus+последние обновления винды. 2. Доступ к рабочей машине всегда должен быть только у вас. Даже когда я переехал в отдельную квартиру, я все равно не стал убирать пароль со своего компа, чтобы не расслабляться, и это, я считаю, хорошая привычка. 3. Постоянные финстрипы – прямая дорога стать мишенью мошенников. Но как бы там ни было, я все равно буду продолжать их публиковать до конца этого года, так как, еще раз повторю, все значительные суммы с кипера сразу же выводятся на карту, где до пользования ими я еще успеваю наварить небольшой процент на депозите. В 2011 уже традиция финстрипов, пожалуй, будет прервана, но не столько из-за боязни стать мишенью мошенников, сколько из-за боязни стать мишенью налоговой . Украинские налоговики, чувствую, тоже скоро полезут в инет. 4. Не храните никаких важных данных на мыле, иначе вы сами показываете мошеннику, где и что у вас можно украсть, и не верьте, когда кто-то утверждает, что какое-то мыло нельзя взломать. Практика показала обратное. 5. Взломать сложно только то мыло, о существовании которого никто не знает: используем одно нигде и никогда непаленое мыло для регистраций на сайтах, а другое афишируем как свое основное и с него ведем рабочие переписки. 6. Пароли должны быть сложными и храниться только на бумажке в зашифрованном виде. Никаких desktop-программ или, не дай Бог, онлайн-сервисов. Ну, вот и все. Кто что обо всем этом думает? Все еще долечиваю нервы Ваш Перспективный блоггер http://blogto4ka. ru Если вам понравилась моя статья, пожалуйста, сделайте ее ретвит!

Понравилась статья? Получай обновления и будь всегда в курсе событий!
Подпишись на RSS или
blog comments powered by Disqus