Как в mail.ru «заботятся» о безопасности своих пользователей…

в 16:59, , рубрики: bitcoin, mail.ru, информационная безопасность, Криптовалюты, платежные системы, служба поддержки

Вам знакомо это чувство испуга и полной беспомощности, когда раз за разом вводишь пароль, но сервис его не принимает?
Внутри всё холодеет, и краем сознания ты уже понимаешь, что случилось самое страшное — твой пароль угнали, но все равно продолжаешь бесплодные попытки авторизоваться.
Не так страшно, если кто-то завладел доступом к твоей почте или даже к страничке в социальной сети. Куда страшнее, если ты не можешь залогиниться в личный кабинет платежной системы или интернет-банка…

Я не мог даже подумать, что когда нибудь стану жертвой интернет-мошенничества. Пароли уводят только у неопытных пользователей, которые скачивают все подряд, используют один пароль и не смотрят в адресную строку браузера — считал я.
Возможно именно моя самоуверенность и стала причиной не только моральных, но и финансовых потерь.

У меня давно есть аккаунт в биткоин-бирже btc-e.com. Хотя я не торгую там уже давно, на моих счетах все равно находились некоторые средства в криптовалюте, которыми я иногда оплачивал различные услуги. Иными словами, я использовал свой аккаунт как bitcoin-кошелек.

Сегодня мне понадобилось опять выполнить перевод, но залогиниться на сайте биржи у меня не получилось. Мой сверхстойкий, 16-символьный пароль не подходил. Ошибиться при вводе я тоже не мог, потому что копировал его из keepass.
Я и раньше слышал о случаях взлома аккаунтов, но никогда не воспринимал это всерьез, потому что, во-первых, сумма моих средств не настолько большая, чтобы сильно об этом беспокоиться, а во-вторых, считал себя вполне осмотрительным, а свои пароли достаточно надежными.

Как бы то ни было, я сбрасываю пароль в btc-e, логинюсь туда с новым и обнаруживаю, что все мои счета обнулены.
В истории транзакций видно, как со всех моих счетов деньги были обменены на рубли, а вся сумма целиком выведена на чей-то кошелек в Payeer.com.
Особенности работы этой биржи таковы, что любой вывод средств требует только единственного подтверждения через письмо, которое отсылается на привязанный email. Я, естественно, ничего не подтверждал — злоумышленник сделал это за меня. Мой почтовый ящик оказался скомпрометирован.

Итак, схема атаки, позволяющая украсть все средства любого клиента биржи такова:

  1. Злоумышленник любым способом получает доступ к электронной почте жертвы
  2. Выполняется сброс пароля на вход в аккаунт
  3. Деньги со всех счетов обмениваются в одну валюту и делается запрос на вывод всей суммы
  4. Запрос подтверждается ссылкой из письма
  5. Все письма от биржи удаляются
  6. PROFIT!

Во всей этой ситуации меня больше всего обескуражила не потеря денег, а факт проникновения в мою электронную почту. Я всегда считал, что мне нечего опасаться, т.к. у меня там сложный и уникальный пароль, который я нигде не светил. Подобрать его было невозможно.
В веб-интерфейсе и imap протоколе mail.ru используется SSL, поэтому вариант с перехватом пароля или DNS-спуфингом тоже исключен.
Жертвой фишинга я стать не мог, потому что всегда вбиваю адрес сайта mail.ru вручную.

Остается только вариант с трояном, но проверив свои компьютеры антивирусом, я не обнаружил ничего подозрительного. Кроме того, если бы я действительно подхватил трояна, то скорее всего лишился доступа и ко многим другим сервисам.

Чтобы хоть как-то разобраться во всем этом, мне нужны были логи доступа к моей почте за этот период. И тут начинается самое интересное.
Все современные почтовые сервисы (например gmail или яндекс.почта) могут показывать пользователю все последние сеансы, сохраняя данные о времени доступа и IP-адресах. Такая информация серьезно могла бы мне помочь.
В mail.ru тоже есть такая возможность, но по умолчанию она отключена.

Не беда, подумал я, наверняка можно написать в службу поддержки и получить эту информацию.
Стоит начать с того, что обратиться в службу поддержки не так-то просто. Перейдя по соответствующей ссылке, ты обнаруживаешь типичную справку с часто задаваемыми вопросами, среди которых нет ничего похожего на форму для сообщения о факте взлома.
Для примера: в яндексе такая форма находится моментально.

С трудом найдя в справке вопрос, который представляет возможность написать в службу поддержки, я изложил всю ситуацию и стал ждать ответа. Ждать понадобилось недолго, уже через час я получил ответ, который был предельно лаконичен и однозначен:
«Информацию о том, с каких IP адресов осуществлялся вход в Ваш почтовый
ящик, мы можем предоставить только по официальному запросу из уполномоченных
правоохранительных органов.»

Такие роботы в техподдержке — это беда не только mail.ru, но и большинства других крупных компаний, поэтому я их не виню. Создается впечатление, что людей там специально отучают думать, заменяя им инструкциями здравый смысл.
Но эта ситуация является просто воплощением такого абсурда.
Вы только вдумайтесь: мне отказывают в получении информации по МОЕМУ аккаунту, которая итак была бы мне доступна, просто если бы я поставил галочку в настройках. Вместо этого мне предлагают обращаться в полицию, как будто я требую у них предоставить переписку другого человека.

С одной стороны, я не могу винить mail.ru, потому что такой формат общения саппорта с пользователем — это, к сожалению, стандарт для всей отрасли. Но с другой стороны я не могу промолчать, потому что вы позиционируете себя (в том числе и здесь, на хабре) как модную, молодую и клиенто-ориентированную компанию, а по факту уровень обслуживания у вас мало чем отличается от каких нибудь консервативных банковских организаций.

Мораль всей этой истории такова: не будьте излишне самонадеянны.
Регулярно меняйте пароли, используйте двухфакторную авторизацию, не брезгуйте антивирусами.
Если у вас почта на mail.ru, то включите там настройку «Сохранять и отображать последние действия в ящике».
А для особо критичных сервисов, работающих с вашими деньгами, я вообще советую использовать отдельный почтовый адрес и виртуальную машину, предназначенные только для этой цели.

Не повторяйте моих ошибок.

Автор: sindrom

Источник

* - обязательные к заполнению поля


https://ajax.googleapis.com/ajax/libs/jquery/3.4.1/jquery.min.js