Předvánoční příběh se šťastným koncem

Pokud stále ještě tápete při odpovědi na otázku, „proč bych se měl zajímat o bezpečnost mých on-line účtů“, hledáte tipy, co udělat pro lepší bezpečnost vašich on-line účtů, nebo jste právě zjistili, že se někdo vašich on-line účtů zmocnil, pak je následující text určený právě vám.

Zdroj: memegenrator.net

Nepropadejte panice

Druhý krok při řešení krádeže vašich on-line účtů souzní s doporučením ze známého Stopařova průvodce po Galaxii. V mém konkrétním případě se na mne obrátili moji známí, jejichž dospělému synovi někdo ukradl e-mail a herní účty na čtyřech různých službách. Důvodů k panice měli hned několik, her na účtech bylo za více než dvě stě tisíc, syn je navíc dlouhodobě vážně nemocný a hry jsou pro něj místem, kam utíká ve chvílích, kdy mu jeho nemoc způsobuje velké bolesti.

Velmi záhy se ukázalo, že to nebude tak horké, jak to na začátku vypadalo. První věcí, kterou jsme zjistili, bylo to, že útočník byl buď amatér nebo značně pohodlný a proto v dotčeném mailboxu nezměnil heslo. To bylo velké štěstí, protože majitel účtů podcenil důležitost opatření z kroku číslo jedna a pravděpodobně by se tak ke svému e-mailu už nikdy nedostal. Rychle jsme tedy změnili heslo k tomuto mailboxu a to z jiného počítače, než z toho, který uživatel běžně používal. Tím jsme útočníkovi zabránili v dalším přístupu k mailboxu a použitím jiného počítače jsme se zároveň ochránili pro případ, že by k úniku hesla došlo přes napadení uživatelova počítače škodlivým kódem. Co se útočníkovi naopak bohužel podařilo byla změna hesla a kontaktního e-mailu u všech herních služeb.

Postupujte systematicky

V třetím kroku jsme začali mapovat škody. A opět jsme měli štěstí. Útočník udělal další chybu. Sice smazal všechny e-mailové zprávy, ale už je nesmazal ze složky koš. Díky tomu jsme celkem snadno získali přístup k dvěma ze čtyř napadených účtů.

Jak je vidět z obrázku výše, Rockstar games s možností útoku na účet vyloženě počítá. Pokud by ale útočník změnil heslo k mailboxu, moc by to původnímu majiteli účtu Rockstar Games nepomohlo. Takto jsme ale byli rádi, že stačilo potvrdit, že e-mail byl změněn bez našeho vědomí a účet se přenastavil na původní e-mail a zároveň nám přišla do původního mailboxu zpráva, kde bylo třeba kliknutím potvrdit, že máme do schránky přístup. To nás zároveň přeneslo na stránku, kde bylo možné provést i reset hesla u daného účtu.

Podobný způsob obnovy využívá i služba EA Games, která také nabízí možnost vrátit zpátky e-mailovou adresu, která byla na účtu naposledy nastavena pouze kliknutím na odkaz ve zprávě, zaslané na původní adresu.

U EA ale bohužel útočník nastavil vlastní bezpečnostní otázku, takže účet je aktuálně ve stavu, kdy k němu může původní uživatel přistupovat, kontaktní e-mail směřuje do původního mailboxu, ale nemůže měnit některá důležitá bezpečnostní opatření, jako je 2FA autorizace. Zatím se nám bohužel nepodařilo toto nastavení zvrátit, ale snad se to uživateli nakonec podaří.

Buďte trpělivý

Čtvrtý krok je daný tím, že firmy, které tyto platformy provozují, musí nejspíš denně řešit celou řadu takovýchto útoků (v roce 2015 bylo každý měsíc ukradeno v platformě kolem 77 000 účtů) a proto se nelze divit, že jsou jejich podpory přetížené a zároveň velmi opatrné.

V našem případě se to projevilo v případě Ubisoftu, kde jsme si museli na prvotní odpověď tři dny počkat. Pak už stačilo poslat vyfocený produktový kód z obalu jedné z her a během dalšího dne byl účet vrácen původnímu majiteli. V tomto případě mi vadilo pouze to, že se nám nepodařilo najít možnost kontaktovat technickou podporu bez předchozího zaregistrování nového účtu, který jsem si tedy založil jen za účelem této jednorázové komunikace.

A to nejlepší nakonec. Komunikace s podporou Steam se trochu vlekla. Nejprve jsme opět v uživatelově koši našli patřičnou zprávu.

Na odkazované stránce jsme pak provedli blokaci účtu, přičemž nám byl vygenerován kód, který jsme měli později použít k opětovnému odblokování účtu. Na to nicméně nedošlo, neboť další krok byl zahájení komunikace s technickou podporou kvůli navrácení účtu do rukou původního uživatele.

Popsal jsem tedy problém, přiložil fotku aktivačního klíče z jedné z her a vše poslal. Zároveň jsem rovnou upozornil, že si nejsem jistý, zda posílám klíč ke hře, která je v platformě Steam skutečně registrována a že prosím o info, pokud tomu tak není, abych mohl případně poslat jinou. Také jsem rovnou přiznal, že celou věc řeším za jiného uživatele, který skoro vůbec neumí anglicky. Odpověď přišla poměrně rychle, avšak moc nám nepomohla.

Zeptal jsem se tedy, zda podpora skutečně pečlivě četla můj e-mail, upozornil, že jsem aktivační klíč již poslal a že případně prosím o informaci, zda jej kontrolovali a mám případně zajistit jiný. Zatímco první řešitel měl tendenci přehodit problém zpět na uživatele, další se rozhodl se jej zbavit definitivně.

Upozornil jsem tedy opět technickou podporu Steamu, že uživatel neumí anglicky, ale že svou žádost o pomoc může formulovat česky, pokud s tím nemají problém. V případě, že by to problém byl, jsem je požádal, aby celou situaci zkusili konzultovat se svým nadřízeným, zda by nám neporadil jiný postup. Zároveň jsem od uživatele získal klíč ke hře, o které si byl zcela jistý, že ji v systému Steam registroval. Kromě fotografie klíče jsem přiložil i fotografii účtenky, kterou si uživatel naštěstí při nákupu hry uschoval. Po této poslední zprávě jsme již dostali pozitivní reakci.

Účet byl podporou odblokován a na e-mailovou adresu uživatele dorazili poslední zbývající instrukce.Myslete na bezpečnost při všem, co děláte.

Nejspíš jste si všimli, že v celém řetězci chyběl krok číslo jedna. Ano, v našem případě přišel krok číslo jedna až jako krok poslední, protože uživatel žil až do těchto událostí v přesvědčení, že jemu se nic stát nemůže a nic kromě her, o které nikdo nestojí, nemá. Jeho nově nabytá zkušenost ho málem stála více než dvě stě tisíc, vy ale máte tu výhodu, že jste četli tento příběh a proto se pro vás následující stane krokem číslo jedna.

Není úplně jasné, jakým způsobem se útočníci k uživatelovu heslu dostali, ale situaci jim jistě usnadnila jeho „slovníkovitost“, tedy to že vypadalo nějak jako „autobus666“, ale také to, že bylo na všech účtech použito to stejné. Pak stačil únik z jedné jediné služby, nebo jeho zadání na phishingové stránce či napadení uživatelova počítače nějakým malware a bylo hotovo.

Naopak je jasné, že pokud by býval útočník byl chytřejší a změnil heslo k původní e-mailové schránce, uživatel by se ke svým původním herním účtům již nedostal (nebo možná ano, díky účtenkám a aktivačním kódům, ale s většími problémy), neboť neměl nastavenou žádnou možnost, jak se ke své schránce dostat, pokud dojde k jejímu odcizení.

Jako preventivní opatření jsem tedy doporučil uživateli zjistit na jeho e-mailové schránce možnosti jejího většího zabezpečení. E-mailová schránka je velmi důležitá, neboť obvykle umožňuje právě resetování hesel do ostatních služeb, které s vámi přes ni komunikují. Seznam sice nenabízí dvoufaktorovou autentizaci, ale je možné propojit používanou adresu s konkrétním telefonním číslem. Pokud pak dojde k únosu účtu, můžete si pomocí tohoto telefonního čísla nechat zaslat nové heslo.

Kromě toho je potřeba vyvarovat se používání stejných hesel na všech službách. Nekontroloval jsem to na všech platformách, ale minimálně služby EA i Steam umožňují využít dvoufaktorovou autentizaci.
Kromě výše zmíněného je třeba dbát i na stále omílané věci, jako neklikat na podezřelé odkazy, nezadávat přihlašovací údaje na jiných stránkách, než patřících originální službě, pravidelně aktualizovat používaný software nebo nestahovat podezřelé soubory. V tomto specifickém případě se pak ukázalo, že pokud uživatel zcela rezignuje na bezpečnost, může ho ještě zachránit, pokud má k dispozici aspoň originální klíče k hrám a doklady o jejich zakoupení.

Osobně doufám, že pro většinu čtenářů tohoto blogu jsou všechna tato doporučení denním chlebem, pokud ale máte ve svém okolí někoho, kdo stále ještě nezná odpověď na základní otázku života vesmíru a vůbec „proč bych se měl zajímat o bezpečnost mých on-line účtů“, zkuste mu poslat odkaz na tento blogpost. Jen ho připravte na to, že odpověď není tak triviální jako 42.

Autor:

Komentáře (2)

  1. říká:

    Hry za 200.000 Kč? To jako vážně?

Zanechte komentář

Všechny údaje jsou povinné. E-mail nebude zobrazen.