Alors tu as authentification en deux étapes mis en place pour renforcer la sécurité de votre compte de messagerie (vous le faites, non ?). Mais à quand remonte la dernière fois que vous avez examiné attentivement la sécurité de l’adresse e-mail de récupération de votre boîte de réception ? C’est peut-être le maillon le plus faible de votre chaîne de sécurité de messagerie, comme en témoigne l’histoire suivante d’un professionnel de l’informatique qui a vu deux de ses comptes de messagerie liés récemment piratés dans le but de voler son identité Twitter.
Plus tôt cette semaine, j’ai entendu de Chris Blake, un lecteur de longue date de BreachTrace du Royaume-Uni. Blake m’a contacté parce que j’avais récemment écrit sur un personnage intéressé par la brèche chez le fournisseur britannique de téléphonie et de haut débit Parle parle: un individu utilisant le pseudo Twitter »@Craintif“.
Blake a ensuite expliqué comment ce même compte Fearful lui avait appartenu pendant un certain temps jusqu’en mai 2015, lorsqu’une attaque d’ingénierie sociale élaborée contre son fournisseur de services Internet (FAI) a permis à l’occupant actuel du compte de le lui retirer.
Le 11 mai, Blake a reçu un SMS sur son mobile indiquant que le mot de passe de son compte Microsoft Outlook avait été modifié. Une minute plus tard, il a reçu un autre SMS de Microsoft indiquant que son authentification à deux facteurs (codes de connexion envoyés par SMS à son téléphone) avait été supprimée. Après cela, il ne pouvait plus se connecter à son compte Outlook car quelqu’un avait changé son mot de passe et supprimé son adresse e-mail de récupération (en la remplaçant par un compte yopmail.com gratuit et jetable).
Quelques minutes plus tard, quelqu’un a tweeté le message de son compte : « Ce compte Twitter est officiellement géré par Elliott G. » Le tweet précédent mentionne Blake par son nom et est une réponse à une demande adressée au Microsoft Store avant que le compte ne soit ouvert. L’alias du compte @Fearful de Blake a été changé en « Glubz ».
Blake a déclaré qu’il avait fallu un certain temps pour comprendre comment le mécréant avait piraté ses comptes Twitter et Outlook. Il s’avère que l’adresse e-mail de récupération qu’il avait fournie pour son compte Outlook était une adresse e-mail de son FAI local, et l’attaquant a exécuté la première étape du piratage en incitant un employé du service client du FAI à rediriger ses messages.
L’agresseur, apparemment une autre personne avec un accent britannique, a appelé le FAI de Blake en se faisant passer pour Blake et a déclaré qu’il avait été exclu de sa boîte de réception. Le FAI pourrait-il modifier les paramètres du système de nom de domaine (DNS) sur son domaine et le compte de messagerie associé ?
Selon Blake, une enquête sur l’incident chez le FAI montre que le représentant du service client a demandé à l’appelant de vérifier toutes les autres adresses e-mail associées au compte FAI de Blake, et après un certain temps d’attente, l’employé du support en a lu quelques-unes. Quelques secondes plus tard, l’attaquant a envoyé un e-mail à la personne de soutien qui a usurpé l’une de ces adresses e-mail. Après cela, le FAI de Blake s’est conformé à la demande, en modifiant les paramètres DNS de son compte pour les paramètres que l’appelant a fournis pour un compte sur Nomcheaphosting.com.
OG EST UNE CHOSE
Avec tous les accès à d’autres comptes que sa boîte de réception offre, l’attaquant dans ce cas aurait pu faire de sérieux dégâts et coûter beaucoup d’argent à Blake. Alors pourquoi n’était-il intéressé que par le compte Twitter de Blake ?
Les noms d’utilisateur courts sont en quelque sorte un symbole de prestige ou de statut pour de nombreux jeunes, et certains sont prêts à payer des sommes d’argent surprenantes pour eux. Connus sous le nom de « OG » (abréviation de « original » et aussi de « gangster original ») dans certains cercles en ligne, il peut s’agir de noms d’utilisateur pour pratiquement n’importe quel service, des comptes de messagerie des fournisseurs de messagerie Web aux services de médias sociaux tels que Instagram, Snapchat, Twitter et Youtube. Les personnes qui traitent des comptes OG les apprécient car elles peuvent donner l’impression que le titulaire du compte a été un adepte précoce et avisé du service avant qu’il ne devienne populaire et avant que tous les noms d’utilisateur courts ne soient pris.
« Je n’avais même pas réalisé que c’était une chose jusqu’à ce que tout cela se produise », a déclaré Blake à propos de la demande de comptes OG. « Ce n’est que le lendemain du piratage de mes comptes de messagerie que j’ai réalisé que c’était vraiment mon compte Twitter qu’il recherchait. »
Il se trouve que le gars qui squatte actuellement le compte Twitter @Fearful de Blake – un jeune hacker en herbe qui utilise le surnom de « Glubz » – vend très publiquement des comptes OG piratés. Dans la capture d’écran ci-dessous, on peut voir Glubz sur le script kiddie-la communauté en ligne conviviale Hackforums faisant la promotion de son « OG Store », dans lequel il vend des « Snapchats », des comptes de messagerie et des « Youtubes » pour 10 à 40 $ chacun, payables via Bitcoin ou PayPal. Le bas du message comprend un lien vers le site personnel de Glubz — elliottg[dot]net (également hébergé sur Namecheaphosting.com).
Glubz sur les Hackforums vendant « OG », a piraté des comptes avec des noms d’utilisateur courts sur des sites de réseaux sociaux populaires.
Voici Glubz sur un autre forum convivial pour les script-kiddie (Forumkorner) répondant à l’une des dizaines de demandes d’autres membres pour offrir sa meilleure évaluation du prix du marché pour divers comptes OG piratés.
Glubz évalue des comptes OG piratés dans divers services.
QUI EST GLUBZ ?
Blake a déclaré qu’il lui avait fallu environ cinq minutes pour trouver qui et où vivait son agresseur virtuel. Il s’est avéré que l’enfant n’était pas loin de Blake – dans une ville britannique à quelques dizaines de kilomètres seulement.
La recherche de « Glubz » sur Google fait apparaître un compte Instagram et Snapchat du même nom. La plupart des photos qui étaient jusqu’à récemment sur Instagram de Glubz sont des photos d’archives, mais quelques-unes semblent avoir été prises à partir d’un téléphone portable. Heureusement, les mêmes photos sont archivées ici. L’un d’eux montre à quoi ressemble la cour avant et la rue devant la maison de Glubz, vues à travers ses stores.
Le compte personnel OG Youtube de Glubz est, naturellement, juste « Ty », (sans doute également détourné). Dans l’un de ses tutoriels sur la façon de « pirater » des trucs, Glubz explique une astuce qu’il a apprise pour déterminer le pays dans lequel un compte Yahoo! compte de messagerie a été créé. Dans sa vidéo, Glubz passe en revue le processus de réinitialisation du mot de passe pour l’un de ses comptes – [email protected] – qui montre que les deux derniers chiffres de son téléphone portable sont « 19 ».
Glubz a également eu une entrée à l’ancien skipaste.org, un site qui cherchait à documenter les pseudonymes connus, les adresses et autres informations de contact sur les jeunes script kids (d’où « dérapage ») qui s’imaginent être de bien meilleurs hackers qu’ils ne le sont en réalité. Cette entrée a identifié Glubz comme un jeune de 16 ans Elliott Gunton de Norwich, Royaume-Uni Bien sûr, l’entrée Skidpaste montre un numéro de téléphone portable pour Gunton qui se termine par « 19 ». Tirez la liste Google Street View pour l’adresse de Norwich dans l’entrée Skidpaste de Glubz, et on peut voir la rue illustrée sur la photo Instagram de Glubz.
Mardi, la police de Londres mentionné ils avaient arrêté un quatrième individu en lien avec le piratage de TalkTalk – un garçon de 16 ans de Norwich. Joint par message direct sur Twitter, Glubz (@Fearful) s’est montré évasif et n’a ni confirmé ni nié son arrestation. Entre-temps, La page Twitter « favoris » de Fearful est un mélange de moqueries de prison et de tweets de personnes lui souhaitant bonne chance pour sa libération sous caution.
Retour au début de cet article : Prenez une minute pour vérifier et réfléchir à la sécurité de votre boîte de réception. Si vous ne savez pas si votre fournisseur propose une authentification en deux étapes, consultez TwoFactorAuth.org.
Mais tout aussi important, envisagez de mettre en place les mêmes protections sur le compte de messagerie que vous utilisez comme adresse e-mail de récupération. Si votre adresse e-mail de récupération est un compte qui vous a été fourni par votre FAI, envisagez peut-être de le remplacer par un service qui offre une authentification en deux étapes et qui peut ne pas être si facile à obtenir au téléphone. Je parle ici d’expérience, en tant que personne qui a eu sa propre boîte de réception compromise à cause d’un appel d’ingénierie sociale à son propre FAI.
Mise à jour à 12h51 HE : Comme d’autres l’ont mentionné dans les commentaires ici, ce n’est pas pour rien qu’une attaque d’ingénierie sociale contre le FAI de Blake rappelle le récent piratage présumé de la boîte de réception du directeur de la CIA, John Brennan. Lors de cet incident, les attaquants ont appelé Verizon pour réinitialiser le mot de passe de Brennan. filaire.com tombe en panne comment cette attaque a réussi.