Как в mail.ru «заботятся» о безопасности своих пользователей…
Вам знакомо это чувство испуга и полной беспомощности, когда раз за разом вводишь пароль, но сервис его не принимает? Внутри всё холодеет, и краем сознания ты уже понимаешь, что случилось самое страшное — твой пароль угнали, но все равно продолжаешь бесплодные попытки авторизоваться.Не так страшно, если кто-то завладел доступом к твоей почте или даже к страничке в социальной сети. Куда страшнее, если ты не можешь залогиниться в личный кабинет платежной системы или интернет-банка…Я не мог даже подумать, что когда нибудь стану жертвой интернет-мошенничества. Пароли уводят только у неопытных пользователей, которые скачивают все подряд, используют один пароль и не смотрят в адресную строку браузера — считал я.Возможно именно моя самоуверенность и стала причиной не только моральных, но и финансовых потерь.У меня давно есть аккаунт в биткоин-бирже btc-e.com. Хотя я не торгую там уже давно, на моих счетах все равно находились некоторые средства в криптовалюте, которыми я иногда оплачивал различные услуги. Иными словами, я использовал свой аккаунт как bitcoin-кошелек.
Сегодня мне понадобилось опять выполнить перевод, но залогиниться на сайте биржи у меня не получилось. Мой сверхстойкий, 16-символьный пароль не подходил. Ошибиться при вводе я тоже не мог, потому что копировал его из keepass.Я и раньше слышал о случаях взлома аккаунтов, но никогда не воспринимал это всерьез, потому что, во-первых, сумма моих средств не настолько большая, чтобы сильно об этом беспокоиться, а во-вторых, считал себя вполне осмотрительным, а свои пароли достаточно надежными.
Как бы то ни было, я сбрасываю пароль в btc-e, логинюсь туда с новым и обнаруживаю, что все мои счета обнулены.В истории транзакций видно, как со всех моих счетов деньги были обменены на рубли, а вся сумма целиком выведена на чей-то кошелек в Payeer.com.Особенности работы этой биржи таковы, что любой вывод средств требует только единственного подтверждения через письмо, которое отсылается на привязанный email. Я, естественно, ничего не подтверждал — злоумышленник сделал это за меня. Мой почтовый ящик оказался скомпрометирован.
Итак, схема атаки, позволяющая украсть все средства любого клиента биржи такова:
Злоумышленник любым способом получает доступ к электронной почте жертвы Выполняется сброс пароля на вход в аккаунт Деньги со всех счетов обмениваются в одну валюту и делается запрос на вывод всей суммы Запрос подтверждается ссылкой из письма Все письма от биржи удаляются PROFIT! Во всей этой ситуации меня больше всего обескуражила не потеря денег, а факт проникновения в мою электронную почту. Я всегда считал, что мне нечего опасаться, т.к. у меня там сложный и уникальный пароль, который я нигде не светил. Подобрать его было невозможно.В веб-интерфейсе и imap протоколе mail.ru используется SSL, поэтому вариант с перехватом пароля или DNS-спуфингом тоже исключен.Жертвой фишинга я стать не мог, потому что всегда вбиваю адрес сайта mail.ru вручную.
Остается только вариант с трояном, но проверив свои компьютеры антивирусом, я не обнаружил ничего подозрительного. Кроме того, если бы я действительно подхватил трояна, то скорее всего лишился доступа и ко многим другим сервисам.
Чтобы хоть как-то разобраться во всем этом, мне нужны были логи доступа к моей почте за этот период. И тут начинается самое интересное.Все современные почтовые сервисы (например gmail или яндекс.почта) могут показывать пользователю все последние сеансы, сохраняя данные о времени доступа и IP-адресах. Такая информация серьезно могла бы мне помочь.В mail.ru тоже есть такая возможность, но по умолчанию она отключена.
Не беда, подумал я, наверняка можно написать в службу поддержки и получить эту информацию.Стоит начать с того, что обратиться в службу поддержки не так-то просто. Перейдя по соответствующей ссылке, ты обнаруживаешь типичную справку с часто задаваемыми вопросами, среди которых нет ничего похожего на форму для сообщения о факте взлома.Для примера: в яндексе такая форма находится моментально.
С трудом найдя в справке вопрос, который представляет возможность написать в службу поддержки, я изложил всю ситуацию и стал ждать ответа. Ждать понадобилось недолго, уже через час я получил ответ, который был предельно лаконичен и однозначен: «Информацию о том, с каких IP адресов осуществлялся вход в Ваш почтовыйящик, мы можем предоставить только по официальному запросу из уполномоченныхправоохранительных органов.»
Такие роботы в техподдержке — это беда не только mail.ru, но и большинства других крупных компаний, поэтому я их не виню. Создается впечатление, что людей там специально отучают думать, заменяя им инструкциями здравый смысл.Но эта ситуация является просто воплощением такого абсурда.Вы только вдумайтесь: мне отказывают в получении информации по МОЕМУ аккаунту, которая итак была бы мне доступна, просто если бы я поставил галочку в настройках. Вместо этого мне предлагают обращаться в полицию, как будто я требую у них предоставить переписку другого человека.
С одной стороны, я не могу винить mail.ru, потому что такой формат общения саппорта с пользователем — это, к сожалению, стандарт для всей отрасли. Но с другой стороны я не могу промолчать, потому что вы позиционируете себя (в том числе и здесь, на хабре) как модную, молодую и клиенто-ориентированную компанию, а по факту уровень обслуживания у вас мало чем отличается от каких нибудь консервативных банковских организаций.
Мораль всей этой истории такова: не будьте излишне самонадеянны.Регулярно меняйте пароли, используйте двухфакторную авторизацию, не брезгуйте антивирусами.Если у вас почта на mail.ru, то включите там настройку «Сохранять и отображать последние действия в ящике».А для особо критичных сервисов, работающих с вашими деньгами, я вообще советую использовать отдельный почтовый адрес и виртуальную машину, предназначенные только для этой цели.
Не повторяйте моих ошибок.
