Wraz ze wzrostem wartości bitcoinów wzrasta też zainteresowanie hakerów serwisami, obracającymi tą walutą. Po serii ataków na giełdy BTC przyszedł czas na kradzież z serwisu pośredniczącego w realizacji płatności BTC, BitInstant.com.
W naszym serwisie opisywaliśmy już trzy kolejne udane ataki na giełdę Bitcoinica (atak na firmę hostingową, firmowy serwer pocztowy oraz wyciek hasła do jednego z portfeli). Jak widzicie, choć nie jest prosto ukraść bitcoiny komuś, kto stara się je przed kradzieżą zabezpieczyć, to złodzieje wymyślają różne kreatywne sposoby pozbawienia ofiary nadmiaru waluty. Także atak na serwis BitInstant.com okazał się być dość kreatywny – choć przyniósł mniejsze plony.
BitInstant zniknął z sieci w ostatni czwartek, by powrócić niedawno z wyjaśnieniem i opisem incydentu. Wszystko zaczęło się już jakiś czas temu, gdy tajemniczy włamywacz próbował zaatakować dowolne konto, powiązane z serwisem. Korzystając z różnych sztuczek próbował dostać się na konta email, zarówno służbowe, jak i prywatne pracowników serwisu, próbował dobrać się do ich kont w firmie hostingowej czy tez do różnych kont, które firma posiadała na giełdach BTC. Wszystkie próby – aż do zeszłego tygodnia – były bezskuteczne.
W czwartek atakującemu udało się znaleźć słaby punkt w systemie. Okazała się nim być firma Site5, odpowiedzialna za rejestrację domeny BitInstant.com. Atakujący znalazł w sieci panieńskie nazwisko matki oraz miejsce urodzenia założyciela serwisu i wykorzystując adres email łudząco podobny do oryginalnego, przekonał zarządzającego domeną do dodania nowego konta do panelu sterowania – i zdefiniowania go jako domyślne. Mimo iż właściciele szybko zorientowali się w sytuacji i wycofali zmiany, to atakujący wprowadził je ponownie i przekierował wpisy DNS serwisu do innego dostawcy.
Nowa konfiguracja wskazywała na serwery DNS niemieckiej firmy hetzner.de i ukraińską firmę hostingową ukraine.com.ua. Poczta przychodząca serwisu została przekierowana do serwera smtp.parkside.at. W ten sposób atakujący uniemożliwił chwilowo właścicielom odzyskanie kontroli nad serwisem i uzyskał dostęp do ich nowej poczty. Na szczęście prawie wszystkie konta na licznych giełdach BTC był zabezpieczone za pomocą dwuskładnikowego uwierzytelnienia, co znacząco ograniczyło straty serwisu. Dzięki przechwyceniu poczty elektronicznej serwisu atakującemu udało się ukraść 333 BTC z konta na giełdzie VirWox. Jak twierdzą właściciele, nie została również ujawniona treść ich korespondencji, ponieważ korzystają z szyfrowania PGP.
Powyższa historia niesie ze sobą kilka istotnych wniosków. Po pierwsze, nigdy nie wiesz, jakie słabe punkty znajdzie atakujący u Twoich usługodawców. Ryzyko to można obniżać korzystając z renomowanych dostawców, jednak nawet oni czasem dają się oszukać. Druga ważna nauka to wartość dwuskladnikowego uwierzytelnienia. Gdyby nie klucze Yubikey czy hasła jednorazowe, zabezpieczające konta na innych giełdach, straty firmy mogłyby być o wiele większe. A prawda trzecia jest taka, że jak będą chcieli się włamać, to się włamią – trzeba przyjąć takie założenie i opracować strategię redukcji potencjalnych strat z tym związanych.
Komentarze
powinni zgłosić kradzież na policję z prośbą o wyśledzenie złodzieja .
Haha… Dobry żart, już widzę jak ktoś zgłasza się, że ukradli mu bitcoiny – szczególnie że mogły być efektem lewych dochodów;)