Skype помогает мошенникам. Как защитить свой аккаунт

Автор: admin. Опубликовано в Bitcoin news

skypehacked

Предисловие

Данный материал посвящён краже нашей рабочей учётной записи Skype. Напомним, что компания Skype на данный момент является лидером в области IP-телефонии и является подразделением корпорации Microsoft. Количество зарегистрированных пользователей Skype на данный момент составляет около 10% населения Земного шара. Определённая часть пользователей применяет Skype не только для личного общения, но и для бизнеса, что делает проблему безопасности и конфиденциальности ещё более актуальной. Тем не менее в безопасности приложения уже неоднократно находились лазейки. Ещё в 2012 году была обнаружена уязвимость, позволяющая угнать любой аккаунт, зная только логин и почтовый ящик, на который был зарегистрирован аккаунт. Уязвимость была устранена, а процесс восстановления пароля и смены почтового ящика несколько усложнили. Более простую форму для восстановления доступа заменили более сложной с большим количеством полей. Однако надёжную систему безопасности так и не реализовали. В статье мы подробно рассмотрим процесс взлома аккаунта, приведём некоторые интересные моменты из переписки со службой поддержки, а также дадим некоторые рекомендации о том, как обезопасить свой аккаунт от взлома.

Как угнали наш аккаунт

Итак, вечером 16.07.2014 на наш почтовый ящик пришло уведомление о том, что счёт Skype пополнен на 0.3 Евро. Мы не придали значения письму, подумав, что произошла какая-то ошибка или же это какой-то бонус от Skype. Например, за длительное пользование платными услугами или что-то в этом роде. На самом же деле всё оказалось не так просто. Уже 18-го числа примерно в час ночи произошёл выход из Skype, а на почту пришли уведомления о смене почтового ящика и пароля. Всё было очевидно – аккаунт угнан. Пароль у нас был очень сложный, состоял из букв верхнего и нижнего регистров, цифр, специальных символов и имел общую длину 20 знаков. На рабочей машине установлено всё необходимое лицензионное программное обеспечение для защиты от вирусов и хакеров. То есть возможность входа с использованием пароля исключена. Остаётся один наиболее очевидный путь взлома – через форму восстановления пароля на сайте Skype.

Форма для восстановления доступа к Skype находится по ссылке. Наши читатели могут с ней ознакомиться самостоятельно. Для восстановления доступа достаточно правильно указать 4-5 полей. Тогда служба поддержки примет вас за реального владельца учётной записи и позволит сменить текущий привязанный почтовый ящик на любой другой. Уже после этого можно будет пройти по ссылке для восстановления пароля и получить доступ к аккаунту. Тут возникает вопрос. А зачем же понадобилось кому-то пополнять наш счёт? Ответ прост. Вероятно, злоумышленники не располагали всеми необходимыми данными, чтобы успешно пройти форму восстановления доступа и решили облегчить себе задачу. В форме есть два пункта, посвящённых последнему платежу на счёт Skype. При этом существуют сервисы, позволяющие пополнить счёт зная только логин Skype и не имея пароля от аккаунта. Например, можно так пополнить Skype через Яндекс-деньги. Таким образом всё что понадобилось для взлома – это знание псевдонима, логина, почтового ящика, пяти логинов из списка контактов, а также данных о последнем платеже, и имя-фамилия на момент регистрации.  Платёж злоумышленники провели сами. Пять логинов можно было легко добыть, добавившись под видом клиентов. Поле «имя и фамилия, которую вы указывали при регистрации» также могло быть заполнено мошенниками верно, так как соответствовало реальному имени и фамилии администратора сайта crypto-money.net. А остальные данные и так находятся в открытом доступе. Получается, что служба поддержки по сути позволяет злоумышленникам беспрепятственно и без существенных затрат завладеть чужой учётной записью вне зависимости от сложности пароля и степени защищённости почтового ящика. В нашем случае ценой взлома были всего 0.3 Евро.

1

Первые попытки вернуть учётную запись

Сразу же после угона учётной записи мы обратились в текстовый чат службы поддержки. Поскольку зайти в аккаунт bomzak было уже не возможно, общались через Skype другого администратора нашего сайта - Ozoddd, указывая в чате, что используется учётная запись приятеля. Кстати, текстовый чат со службой поддержки доступен только на английском языке. Поддержки для русскоязычного населения нет.  Сразу отметим, что общаются операторы поддержки очень вежливо и грамотно. А вот в плане реальной помощи толку от них мало. Предлагают заполнить форму, а в ручном режиме делать ничего не хотят (или не могут). Итак, нам предложили заполнить форму для восстановления доступа. Да-да, именно такую, через которую был украден аккаунт. После заполнения формы по регламенту заявка рассматривается до 24 часов. Разумеется, мы сразу же снова обратились в чат, где нам ответили, что нужно подождать хотя бы 2-3 часа. В чате мы разъяснили, что угнанный аккаунт Skype используется для бизнеса, а безопасность клиентов находится под угрозой. Оператор службы поддержки пообещал в течении нескольких часов заблокировать аккаунт, чтобы обезопасить наших клиентов. Мы объяснили, что такие сроки неприемлемы, поскольку за несколько часов мошенники успеют обмануть несколько людей. В ответ нам пообещали заблокировать аккаунт как можно быстрее. И заверили, что у нас нет поводов для опасений. Мы разместили на сайте объявление об угоне скайпа, указали, чтобы клиенты не вели через него общение и на этом закончили общение с support’ом. В общем вся процедура заняла около 5-ти часов и по заверениям службы поддержки всё, что нам осталось - это просто подождать ответа на форму восстановления.

2

День второй. «Умная» блокировка аккаунтов

На следующий день мы ждали письма с решением проблемы. Как выяснилось, напрасно. Не дождались. Кроме того, нам позвонил на мобильный телефон один из клиентов и сообщил, что только что вёл общение с мошенниками, которые успешно пользуются нашей учётной записью Skype. Получается, в поддержке нас обманули? Аккаунт не заблокировали? Мы тут же обратились в текстовый чат за разъяснениями сложившейся ситуации.

3

 В ответ получили заверения, что наша учётная запись давно заблокирована, и мы может не волноваться. Тем не менее несколькими часами ранее один добросовестный клиент отправил нам по почте переписку с мошенником. Предоставив эту переписку службе поддержки и указав Skype логин клиента, мы получили ответ, который поверг в шок весь коллектив сайта. Support вежливо ответил, что все платные функции Skype уже заблокированы. А именно звонки и смс на мобильные и стационарные номера, пополнения счёта Skype, а также разного рода подписки и пополнение счёта с прикреплённой пластиковой карты. При этом всё что могут злоумышленники – это обмениваться мгновенными сообщениями и совершать звонки внутри Skype. По мнению службы поддержки — это не страшно. Получается, что потратить несколько долларов с нашего счёта Skype на платные звонки мошенники не смогут. И это главное. А то, что они могут договориться о сделке через текстовые сообщения и получить от какого-нибудь из клиентов уже несколько тысяч долларов – это ерунда. Такого маразма со стороны службы поддержки не ожидал ни один из сотрудников нашего сайта.

Попытки разъяснить support’у, что текстовых сообщений хватит для обмана клиентов, к успеху не привели. От ответа на нашу просьбу заблокировать аккаунт полностью на время разбирательства служба поддержки попросту уходила. В это время от клиентов продолжали приходить жалобы, что злоумышленники общаются с ними, используя наш Skype и дают для оплаты совершенно сторонние реквизиты. Один клиент даже попался и отправил мошенникам 1 биткоин. При этом в текстовом чате службы поддержки нас продолжали уверять, что делают всё возможное и нам не стоит волноваться. На вопросы по восстановлению доступа ответили, что не все данные, введённые нами, верны и отправили заполнять форму заново (в четвёртый раз). Заполнили форму, получили очередной ответ о том, что нужно немного подождать.

4

День третий. Безответственность службы поддержки

Итак, на третий день переговоров со службой поддержки ничего кроме повторного заполнения формы нам не предложили. При этом учётная запись оставалась в руках мошенников и блокировать её никто не собирался. Тогда мы решили попробовать предоставить службе поддержки Skype дополнительные данные, которыми не мог располагать никто кроме нас. Мы указали IP, с которых всегда осуществлялся вход в Skype, указали последний пароль, который был до взлома и указали наше реальное местоположение, которое соответствует этим IP. После этого служба поддержки нас обнадёжила, сообщив, что предоставленных данных достаточно для идентификации владельца учётной записи и что мы может перейти к следующему этапу восстановления доступа. Нам было предложено подождать несколько часов, пока придёт письмо на электронную почту. И что же вы думаете пришло на почту? Опять та же форма для восстановления доступа. Мы на всякий случай заполнили её ещё раз и отправили. Ну мало ли, вдруг какая-то формальность. А нет, не формальность. Под следующим этапом support подразумевал именно ту форму для восстановления доступа, которую мы уже заполнили 4 раза. Никакого ответа с решением проблем так и не поступило. Снова обратились в текстовый чат, объяснили ситуацию. Предложили службе поддержки попробовать альтернативные методы. Например, голосовую связь по мобильному телефону, который всё последнее время был указан в личных данных учётной записи Skype. Наше предложение было проигнорировано. После этого мы поинтересовались, как могло так получиться, что злоумышленники без проблем угнали наш аккаунт, а мы уже третий день не можем получить его обратно через ту же форму. Получается, что мошенники лучше нас знают те данные, которые нужно вводить в форме восстановления доступа? Вряд ли. На этот вопрос служба поддержки ответила, что у хакеров есть свои методы для угона аккаунтов, и эти методы не имеют никакого отношения ни к службе поддержки, ни к форме для восстановления доступа. Такое их заявление показалось нам очень сомнительным. Мы задали службе поддержки Skype ещё один вопрос, как могло быть такое, что мы постоянно заходили с украинских IP, а потом резко изменили своё физическое местоположение на Самару (Российская Федерация). По данным службы безопасности сайта crypto-money.net хакеры, взломавшие наш Skype находились всё это время именно в Самаре. Вопросы о местоположении служба поддержки также проигнорировала. В просьбе в ручном режиме вернуть привязку почты, на которую регистрировался Skype нам было отказано. Мы уже даже были согласны отправить службе поддержки сканы своих документов, чтобы подтвердить личность и получить назад свой Skype. Предложение о предоставлении документов службой поддержки было попросту проигнорировано. Получается, что вся роль support’а заключается в том, чтобы общаться с пользователями и присылать им по почте форму восстановления пароля. Никаких полезных действий в ручном режиме служба поддержки не предпринимала.

Восстановление доступа

После безрезультатного общения со службой поддержки мы ещё несколько раз попробовали заполнить форму. В перерывах периодически обращаясь за поддержкой в текстовый чат Skype. И наконец, нам повезло. Пришло письмо с уведомлением, что почта изменена на первоначальную, с которой происходила регистрация учётной записи. Мы сразу же воспользовались формой для смены пароля через почту и вернули доступ в аккаунту. Однако и здесь мы заметили два неприятных момента. Первый – после смены почтового ящика Skype не удалил из личных данных почту мошенников, а лишь отметил её как дополнительную. То есть, если бы в этот момент мошенники не спали (а была глубокая ночь), то вероятно они могли бы опять угнать наш аккаунт.

Кроме того, мы заметили ещё одну странную особенность в форме восстановления доступа. В самом верху формы нужно вводить не настоящие имя и фамилию, которые указаны при регистрации аккаунта, а те, которые указаны на текущий момент. По меньшей мере странный подход. Получается, если вас зовут, например, Вася Пупкин, а мошенник угнал Skypeи подписался «аферист аферистович», то в форме восстановления доступа нужно указывать актуальные данные, то есть вводить имя-фамилию «аферист аферистович».

Отметим также тот факт, что после восстановления доступа к аккаунту мы ещё два дня общались со службой поддержки и заполняли формы, чтобы включить платные функции, которые были заблокированы. Но это уже не так страшно, по крайней мере мы были уже спокойны за наших клиентов. Вот такая вот серьёзная в Skype служба поддержки.

Как защитить свой аккаунт Skype от взлома

Первым делом этот вопрос мы задали службе поддержки, с которой общались на тему восстановления доступа. Ответ был прост и лаконичен: использовать сложные пароли, регулярно их менять и не заходить в Skype из сомнительных сетей. По заверениям support’а над всеми остальными вопросами работают их специалисты и безопасность приложения постоянно совершенствуется.

5

Заявление, конечно, многообещающее, но действительности абсолютно не соответствующее.  

Исходя из нашего личного опыта и опыта других пользователей, для снижения риска угона аккаунта мы можем порекомендовать выполнять следующие предписания.

1. Регистрировать аккаунт Skype на неизвестный никому почтовый ящик. Затем сразу же менять его на другой никому не известный.

2. Указывать при регистрации не известные никому подставные личные данные. Имя, фамилию, год рождения, страну и город. Данные сохранить для себя на случай восстановления.  Затем менять их на любые другие. Пополнить свой аккаунт на любую сумму, данные о платеже обязательно сохранить себе на случай восстановления доступа. Не держать в своём списке контактов сомнительных людей, с которыми не общаетесь.

3. Добавлять людей в свой список контактов только после всех вышеописанных действий.

4. Как советовала поддержка, использовать сложные пароли, регулярно их менять и не входить в свой аккаунт из сомнительных сетей. Это правило актуальны не только для Skype, а и для любого другого личного аккаунта.

5. Не передавать никому и не размещать в общем доступе регистрационные данные, которыми располагаете только вы.

6. Если вы не пополняли счёт Skype, но получили уведомление о пополнении, немедленно обратитесь в службу поддержки.

7. Не принимайте никаких файлов из непроверенных источников, так как эти файлы могут содержать вирусы.

Данные предписания помогут вам уберечь свой аккаунт от угона и защитить конфиденциальность вашей информации. Однако, всё равно не дают 100-процентной гарантии. Кроме того, пользователи, уже имеющие аккаунты Skype не могут выполнить все описанные выше действия и защитить существующий аккаунт. А регистрировать новый мало кто захочет, если в имеющемся уже много контактов. Всё это говорит только об одном. Специалистам Skype и Microsoftнужно срочно предпринять какие-то действия, направленные на усиление безопасности своего продукта. Пользователи не должны при регистрации выдумывать какие-то данные, скрывать их от хакеров и т.п. Аккаунты должны быть надёжно защищены, например, двухфакторной аутентификацией по номеру телефона, временному коду или другим. А пока проблема безопасности не устранена, мы можем лишь посоветовать нашим читателям быть бдительными, выполнять описанные выше рекомендации и пожелать, чтобы их аккаунты не попали в руки хакеров. Что касается наших клиентов, не будет лишним напомнить, что в скайпе ведется только общение, а все данные пересылаются только на почту.

Авторы: BigBobo, Ozoddd
Под редакцией Under Lock