Когда речь заходит про безопасность обычный пользователь интуитивно доверяет самым популярным сервисам настолько, что попросту не беспокоится о своей безопасности: даже если речь идёт про деньги и многие годы потраченного времени на их зарабатывание. В данной статье я расскажу о недавнем взломе известного в русском сегменте среди крипто-трейдеров блогере на самой популярной бирже Binance. Первые реакция и мысли после взлома от жертвы можете увидеть здесь.
С помощью социальной инженерии блогер был заражён вирусом REDLINE распакованный код которого можно скачать отсюда, а оригинальный файл которым осуществлялось заражение здесь. Подключение вирус вёл по данным IP: 80.85.139.166:40955 и 188.119.113.239:39889. Оба IP принадлежат хостинг-провайдеру и находятся в ДЦ Нидерланд.
16 августа ночью была осуществлена кража сессии авторизации на Binance из браузера с ноутбука жертвы и исходя из логов IP на бирже (отсутствуют сторонние IP) вероятней всего с помощью backconnect-proxy установленном на компьютер жертвы через лоадер первичного вируса успешный и незаметный вход на саму биржу.
Для многих кража логинов и паролей и даже активных сессий из браузера не кажется чем-то существенным благодаря присутствию на бирже 2FA авторизации через ввод SMS/E-Mail кодов. Ведь действительно: каждый раз для вывода средств или перевода их кому либо Вам потребуется данное подтверждение. Но, с недавних пор на бирже появился NFT-market где люди могут покупать и продавать цифровые товары (в основном графику) и как оказалось на многих хакерских форумах почти сразу начали появляться предложения о "выводе" денег с балансов через данную уязвимость. Зайдя в Google и просто введя фразу "обход 2FA Binance" можно встретить действительно огромный выбор исполнителей.
И сам взлом как и кража средств была проведена очень простым и ироничным способом: хакер разместил NFT по цене 193000$ и просто купил его с аккаунта жертвы у самого себя. Для этого на бирже нет абсолютно никаких ограничений, подтверждений и попросту механизмов защиты. Дальше по словам BInance деньги были выведены с биржи, а сам аккаунт как они предполагают был "взломан". Сразу же возникает вопрос как хакер обходил на чужом аккаунте всё те-же двухфакторные авторизации. Может аккаунты оформлены на поддельные документы и биржа не желает признать что её "верификация" не более чем "пук в муку"?
По некоторым данным доход биржи за год составил 200 млрд $ и как я считаю они не имеют права на такие глупые ошибки в своей политике безопасности. Ведь решение просто лежит на поверхности:
Для NFT должен быть отдельный счет, перевод средств на который только через 2FA (и за отсутствие данного решения бирже и их специалистам по безопасности по моему мнению должно быть стыдно)
Если обнаруживается 2 одинаковые активные сессии - последняя должна сбрасываться, а на первой должно появится уведомление об этом.
PIN для авторизации с новых IP на WEB-интерфейсе. Даже для активной сессии.
Моё мнение: Binance обязаны компенсировать все украденные деньги по простой причине: это не вина пользователя. Да, пользователь подхватил вирус, но, пользователь был уверен что вывод без 2FA не возможен. Это именно дыра в их безопасности. Потому Binance обязаны извинится за долгое отсутствие реакции, а так-же немедленно исправить данную уязвимость пересмотрев те дыры услуги по которым предоставляют все кому не лень. Что мешает бирже с такими доходами просто взять и "воспользоваться" услугами этих хакеров, чтобы обнаружить проблемы в безопасности и исправить? Я думаю это говорит о многом.
Доверяйте, но проверяйте.