Jak ztratit bitcoiny v hodnotě 8 000 $ za 15 minut s Verizon a Coinbase.com

Začíná to textovou zprávou od Verizona

23:31

Ach jo. Za pár sekund zavolám číslo a získám to.

"Ahoj, vítejte ve Verizonu." Naše kanceláře jsou nyní zavřené. Naše pracovní doba je ve všední dny od 8 do 23 hodin ... “

Znovu volám a opakovaně poklepávám na nulu, abych se pokusil získat operátora. Žádné kostky. O minutu později dostanu duplicitní textovou zprávu.

Snímek obrazovky a pípání na podporu Verizon.

Když se pokouším dosáhnout Verizonu, uplynou neuvěřitelně úzkostné minuty. Hledám číslo „Verizonova linka pro prevenci podvodů“ a hledám číslo, na které bych mohl volat, a nic nedostanu.

ŽÁDNÝ TELEFONNÍ ČÍSLO KDYKOLI NADÁLE

23:37

23:38

23:40

23:41 - Gmail se odhlásí.

Jsem úplně ve tmě.

23:42 - obnovení hesla Coinbase

Můj soubor cookie relace mě zatím nevykopne, takže to sleduji v reálném čase.

23:34 - Potvrzení nového zařízení Coinbase

23:44 - odesláno 1,18 BTC

23:45 - posláno 70,96 LTC

23:46 - posláno 16,03 ETH

Fond naděje a snů Adios - 8 000 $ + je pryč za 15 minut.

Hacker tyto e-maily odstranil, ale Google je obnovil

Jak jsem byl na Zemi tak slepý?

Než začneme, stojí za to zmínit, že ano, yesssssssssssssssssssssss, neměl jsem dostatečnou ochranu kolem svého účtu Gmail. Google Authenticator jsem již dříve používal pro svůj osobní účet a pro různé pracovní e-maily, ale přestal jsem jej používat v určitém okamžiku z pohodlí. Hluboce lituji, že to uděláte, a můžete určitě říci: „HA, MÁTE TO TOTO PŘIJÍM DO VAŠEHO ROZDĚLENÍ, MŮJ BITCOIN JE NA ENTRYPOVANÉM TYPU BĚHEM V TAJNÉ NÁKLADNÍ SKLADOVACÍ ZAŘÍZENÍ.“ Existuje však mnoho diváků mincí s podobným zařízením. zranitelnost, a jak se připojí více nováčků, tato zranitelnost se stane jen problémem.

Ze všech věcí, které klesly ve faktorech, které vedly k tomuto hacku, je Verizon Wireless tím, na co jsem byl masivně nepřipravený. Po dlouhém rozhovoru s pracovníky zákaznických služeb jsem se dozvěděl, že hacker jim nemusel dát své číslo PIN nebo číslo sociálního zabezpečení a byl schopen získat souhlas s převzetím mého mobilního telefonu pomocí jednoduchých fakturačních údajů. To mi vyhodilo mysl a zdálo se, že je nedbalé ze všech možných důvodů, ale to je to, co dělají. Hlavní věc, která mě zasáhla hackem, byla rychlost extrakce v současném ekosystému kryptoměny. 8 000 USD za 15 minut je rychlejší a lukrativnější než okrádání příměstské banky.

Proč jsem byl zaměřen

Nejlepší pracovní teorií, proč jsem byl zaměřen, byl tento tweet, který jsem udělal minulý týden o Coinbase.com. Přítel přítele byl hacknut na Coinbase a on neslyšel zpět od nikoho v Coinbasesově podpůrném týmu několik dní. Jako žádost o pomoc požádal lidi, aby pomohli dostat slovo na Twitteru. Udělal jsem to, dostal jsem RTD parta, a k mé neuvěřitelné naivitě jsem netušil, že v podstatě připevňuji záda „Rob me too“.

A teď jsem tady. Snažil jsem se někomu pomoci upoutat pozornost Coinbase na podvod, dostal jsem podráždění a nyní se snažím upoutat pozornost Coinbase.com na podvod. Oficiální twitter Coinbase Support odpověděl jednou, poté mu zaslal e-mail s odhalením, že by mohlo trvat týdny, než dostanu jednu odpověď na svou otázku.

Zoufalství

Nikdy předtím jsem nikde v blízkosti tohoto měřítka neztratil peníze. Vyrostl jsem v rodině, která je obzvláště konzervativní, pokud jde o peníze, a to zasahuje na emocionální úrovni, kterou je těžké třást. Stejně jako mnozí vím, že existuje mnoho rizik, pokud jde o kryptoměnu, je to hazard, ale jedna věc, kterou neočekáváte, je, že bude okradena v sekundách na webu s čistším designem uživatelského rozhraní než Chase Bank .

Nemám ponětí, jestli budu schopen získat z těchto peněz nějaké peníze, ale zjistím, že jediné, co mohu udělat s tímto pocitem vzteku / smutku, je pokusit se rozbalit zranitelnost, aby ostatní byli méně zašroubovaní.

Věci, které může Verizon Wireless udělat

  • Přidejte další vrstvy kontroly všem volajícím a žádajícím o „přepínání telefonů“. K přenosu mého čísla stačily obecné fakturační údaje, a tím jsem byl na podlahu. Je šílené, že Verizon a další bezdrátové společnosti nevyvinuli skutečné úsilí, aby tomuto hacku čelily, a ještě šílenější je, že nebyli žalováni za hrubou nedbalost.
  • Umožněte okamžitou textovou výstrahu pomocí SMS. Kdybych obdržel původní upozornění a byl bych schopen textovou odpověď zastavit, nebo dokonce zpoždění, celý hack by se zastavil v jeho stopách. Místo toho mi bylo řečeno, aby „okamžitě“ zavolal na Verizona číslo, na které nikdo neodpověděl.
  • Zajistěte, aby byla horká linka Verizon Fraud dostupná a viditelná pro vaše zákazníky. Trvalo 45 minut rozzuřeného Twitteru DMing, než jsem byl schopen získat číslo, které jsem potřeboval pro kontaktování skutečné osoby ve Verizonu. Pro kohokoli, kdo to v budoucnu hledá, je číslo 1- (888) 483–7200.
  • Řekněte zákazníkovi, co se stalo s jejich účtem. Strávil jsem několik hodin s tím, že podpora Verizon byla odrazena z oddělení podvodů do právního oddělení do oddělení podpory spotřebitelů. Od kohokoli jsem dostal jen velmi málo, podrobnosti hovoru nezveřejnili, ledaže bych najal právníka, který by mě zastupoval.

Co může Coinbase.com udělat

Drahý Bože Coinbase. Kde dokonce začneme.

  • Zajistěte, aby Google Authenticator byl * požadavkem * pro ukládání jakýchkoli mincí na Coinbase.com. SMS 2FA je rozbitá, ale klamavě bezpečná, zejména pro nové uživatele.
  • Poskytněte svým zákazníkům horkou linku 24–7 pro podvody. Twitter a e-mail jsou nefunkční mechanismy reakce, pokud je rychlost nezbytná.
  • Výrazně omezte počet nových uživatelů, které přijímáte na své burze, dokud nemáte zdroje podpory, které by je pokryly. Za 30 dní jste získali 400 000 uživatelů, ČTYŘI HUNDRED THOUSAND, a mnozí z těchto uživatelů jsou z hlediska zabezpečení mimořádně noví.
  • Pokud se někdo přihlásí k účtu na novém zařízení, zaveďte základní ochranu proti podvodům a poté se pokuste účet zlikvidovat. Jednu hodinu zpoždění mohl zastavit tento hack v jeho stopách.
  • Nastavit výchozí režimy pro převod mincí pro nové uživatele výrazně paternalističtější.
  • Vytvořte pojistku pro osobní účty. Ano, tato politika by byla velmi citlivá na podvody, ale toto je vaše hlavní kompetence, najít cestu.

Věci, které můžete udělat pro zajištění vašich mincí

Po útoku jsem oslovil přátele se spoustou zkušeností s kryptoměnou a to jsou jejich tipy.

  • Nemluvte o bitcoinovém klubu. Nemluvte veřejně online se svou skutečnou identitou o svých obchodech nebo burzách. Vím, že je pro některé příliš pozdě (určitě pro mě!), A nemělo by to tak být, ale díky tomu je méně cíl. I když jsou vaše mince správně zajištěny.
  • Pokud se chystáte přispívat na reddit, twitter atd. O kryptoměně, použijte daleko odstraněný pseudonym.
  • Pro své účty s mincemi použijte samostatný, tajný e-mail a neposílejte upozornění na svůj osobní e-mailový účet.
  • Použít 2FA - SMS se nepočítá. Netušil jsem, jak snadné Verizon a další znesnadní lidem, aby během několika minut přejeli telefonem se základními informacemi. Ujistěte se, že používáte GAuth nebo Authy nebo něco jiného, ​​co podporuje tokeny TOTP; zvažte také zařízení FIDO U2F pro svůj účet Gmail.
  • Pokud trváte na ponechání svých peněz na coinbase.com, uložte je do jejich „trezoru“. Tím získáte vyrovnávací paměť na pár dní, než se dotkne kteréhokoli z vašich věcí, alespoň to nebude okamžitě pryč.
  • Zavolejte společnosti mobilních telefonů a řekněte jim, že budete pravděpodobně zaměřeni na sociální inženýrství. Požádejte o podrobnější kontrolu při podávání žádostí.
  • Uložte své mince na fyzickou peněženku. Technicky žádné peníze, které máte na burze, nejsou vaše - jednoduše máte IOU od protistrany. Doporučenou praxí pro zajištění bezpečnosti vašich mincí je hardwarová peněženka, jako je Ledger Nano S. Jedná se pouze o 60 USD. Znamená to, že někdo bude muset fyzicky zadat PIN a potvrdit transakci nebo ukrást záložní semeno, aby získal přístup k vašim penězům.

Nevzdávám se krypto

Připojil jsem se k Coinbase.com v roce 2015, během let jsem měl různé pozice BTC a viděl jsem humbuk přicházet a odcházet. Myslím, že se blížíme ke skutečnému inflexnímu bodu s adopcí, ale jsme na nebezpečném místě, protože náklady na střela BTC / ETH a nooby zasáhly trh.

Za posledních třicet dní se k Coinbase.com připojilo 400 lidí. Tato skupina má nesmírně odlišné bezpečnostní potřeby a očekávání než původní 400 000, kteří se připojili k Coinbase v roce 2012. Pokud tato nová skupina není agregovaně chráněna, budou létat soudy, finanční životy budou zničeny a sen, že bitcoiny nakonec zasáhnou 50 000 $, bude stát se matnou fantazií. Podívejte se na redakci Coinbase, pokud chcete další chuť toho, co se děje.

Přesto jsem ochoten se vsadit, že Coinbase nebo někdo jiný se bude výrazně vyvíjet a nakonec na to přijde. Mnoho problémů, které vedou k mému hackování na Coinbase, lze řešit pomocí paternalističtějšího softwaru, detekce podvodů a dosažitelného týmu podpory adeptů, který je dosažitelný 24–7. Krása blockchainu spočívá v tom, že si navíc můžete vytvořit spotřebitelskou nabídku, která funguje mnohem více jako banka a může existovat vedle burzy vhodné pro někoho, kdo každý den kupuje a prodává obrovské a riskantní částky.

Je těžké pochopit, jak brutální je začít s touto rychlou finanční ztrátou, pokud jste tam nebyli sami. BTC, který jsem měl v Coinbase, se shromažďoval v průběhu let a pozice ETH a LTC byly novější. Obviňuji se za to, že nevykonávám dostatečný výzkum v oblasti bezpečnosti, a také vím, že tyto otvory jsou pro ostatní neuvěřitelně běžné. Pokud k velkým změnám nedojde, je pravděpodobné, že bude mnoho lidí okradeno a pověst kryptoměn obecně se zhorší. Jedinou věcí, která skutečně chrání tyto nováčky, je samotná kryptoměnná komunita. Prosím, nechte mé velké utrpení být varovným signálem. Informujte své přátele. Nevěřte výchozím hodnotám Coinbase. Nemyslete si, že se vám to nestane. Přestaňte číst a zabezpečte si své mince hned teď.

Udělej to.

Přestaň rolovat.

*Aktualizace*

Právní. Mnozí mě povzbudili, abych našel právníka, který by pracoval s některými možnostmi proti Verizon a Coinbase. Pokud víte o nějakém lagerovi nebo firmě, která by mohla být dobrá, střílejte mi DM (moje DM jsou otevřené). Nemám mnoho zdrojů k tomu, abych se toho věnoval, takže by mi mohla pomoci jakákoli obecná rada.

Soudní žaloba proti Verizon a / nebo CoinBase.com. Zdá se, že již existuje soudní proces (dozví se o něm více). Pokud vás také podobná situace v CoinBase ovlivnila, napište mi, abychom mohli sdílet příběhy.

Dary. Wow. Někteří velmi velkorysí lidé v bitcoinové komunitě se zeptali na darování špičkové nádoby nebo pomoc při financování soudního řízení. To je od vás úžasné a nesmírně si ho vážíme.

LTC: LbZnJ8QWc581bm6iu6STpbKVq9RDv1Yqbd (v současné době ~ 250 USD)

ETH: 0x6877Ae8e428E0A989Aac250A1D09f98463277AbA (aktuálně $ 40USD)

BTC: 188itMZTQx1PcbuCdpjBkdBLUKjJRcdPoj (v současné době ~ 280 USD)

Hugggge díky @BTCXBTDEV.