Обход 2FA на Binance и потеря 200000$

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что попросту не беспокоится о своей безопасности: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. В данной статье я расскажу о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной бирже Binance. Первые реакция и мысли после взлома от жертвы можете увидеть здесь.

С помощью социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого можно скачать отсюда, а оригинальный файл которым осуществлялось заражение здесь. Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.

16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через лоадер первичного вируса успешный и незаметный вход на саму биржу.

Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA авторизации через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (в основном графику) и как оказалось на многих хакерских форумах почти сразу начали появляться предложения о "выводе" денег с балансов через данную уязвимость. Зайдя в Google и просто введя фразу "обход 2FA Binance" можно встретить действительно огромный выбор исполнителей.

И сам взлом как и кража средств была проведена очень простым и ироничным способом: хакер разместил NFT по цене 193000$ и просто купил его с аккаунта жертвы у самого себя. Для этого на бирже нет абсолютно никаких ограничений, подтверждений и попросту механизмов защиты. Дальше по словам BInance деньги были выведены с биржи, а сам аккаунт как они предполагают был "взломан". Сразу же возникает вопрос как хакер обходил на чужом аккаунте всё те-же двухфакторные авторизации. Может аккаунты оформлены на поддельные документы и биржа не желает признать что её "верификация" не более чем "пук в муку"?

По некоторым данным доход биржи за год составил 200 млрд $ и как я считаю они не имеют права на такие глупые ошибки в своей политике безопасности. Ведь решение просто лежит на поверхности:

  • Для NFT должен быть отдельный счет, перевод средств на который только через 2FA (и за отсутствие данного решения бирже и их специалистам по безопасности по моему мнению должно быть стыдно)

  • Если обнаруживается 2 одинаковые активные сессии - последняя должна сбрасываться, а на первой должно появится уведомление об этом.

  • PIN для авторизации с новых IP на WEB-интерфейсе. Даже для активной сессии.

Моё мнение: Binance обязаны компенсировать все украденные деньги по простой причине: это не вина пользователя. Да, пользователь подхватил вирус, но, пользователь был уверен что вывод без 2FA не возможен. Это именно дыра в их безопасности. Потому Binance обязаны извинится за долгое отсутствие реакции, а так-же немедленно исправить данную уязвимость пересмотрев те дыры услуги по которым предоставляют все кому не лень. Что мешает бирже с такими доходами просто взять и "воспользоваться" услугами этих хакеров, чтобы обнаружить проблемы в безопасности и исправить? Я думаю это говорит о многом.

Доверяйте, но проверяйте.

Только зарегистрированные пользователи могут участвовать в опросе. Войдите, пожалуйста.
Должны ли Binance возместить украденные деньги?
60% Да 3
40% Нет 2
Проголосовали 5 пользователей. Воздержались 0 пользователей.
Источник: https://habr.com/ru/post/574306/


Интересные статьи

Интересные статьи

В 1С-Битрикс: Управление сайтом (как и в Битрикс24) десятки, если не сотни настраиваемых типов данных (или сущностей): инфоблоки, пользователи, заказы, склады, форумы, блоги и т.д. Стр...
Мы в JSOC CERT ежедневно сталкиваемся с событиями из разных песочниц, которые функционируют в составе AntiAPT-решений наших заказчиков и пропускают через себя тысячи файлов из web- и почтового тр...
Каждый лишний элемент на сайте — это кнопка «Не купить», каждая непонятность или трудность, с которой сталкивается клиент — это крестик, закрывающий в браузере вкладку с вашим интернет-магазином.
Бизнес-смыслы появились в Битриксе в начале 2016 года, но мало кто понимает, как их правильно использовать для удобной настройки интернет-магазинов.
В 1С Битрикс есть специальные сущности под названием “Информационные блоки, сокращенно (инфоблоки)“, я думаю каждый с ними знаком, но не каждый понимает, что это такое и для чего они нужны