Adatbiztonság 

Egy traumatizáló kibertámadás, amely felfedte a központosított identitás buktatóit

8 Megtekintés ,
     

Nemrégiben egy, az Apple ID azonosítómat érintő kifinomult támadás célpontjává váltam, ami jelentős érzelmi és pénzügyi áldozatokat követelt tőlem. Technológiai vállalkozói múltamnak köszönhetően tisztában voltam a többfaktoros hitelesítés fontosságával, a SIM-csere figyelmeztető jeleit észlelve pedig más óvintézkedéseket is tettem. Ezen éberség ellenére tavaly, egy januári estén merész támadás áldozatává váltam, ami fájdalmasan megmutatta, hogy ilyesmi bárkivel megtörténhet.

Az Apple ID-m azóta megvan, amióta feltalálták. Azóta több tízezer – talán több százezer – dollár értékben vásároltam szoftvereket, filmeket, tévéműsorokat, hardvereket. Hirtelen 15 000 bejelentkezési kísérletről kaptam értesítést. Én folyamatosan nyomtam a „nem engedélyezem, nem engedélyezem, nem engedélyezem” választ.

Aztán felhívott valaki, aki azt állította, hogy az Apple technikai részlegénél dolgozik. Részletes információval rendelkeztek arról, hogy hány készülékem van, és mikor használtam őket utoljára – még azt is tudták, hogy honnan érkeztek a bejelentkezési kísérletek. Sok gyanútlan áldozat hihetőnek találná ezt a hívást, de nekem valami nem stimmelt. Azt mondta: „Küldök egy kódot” – mire én azt válaszoltam: „Nem fogom odaadni”.

Ezt követően kódokat küldtek a telefonomra – pontosan ugyanarról a számról, amelyet az Apple korábban is használt az ellenőrző kódok küldésénél. Úgy döntöttem, hogy közvetlenül az Apple-t hívom fel, hogy a végére járjak a dolognak, de a rémálom csak most kezdődött. A támadónak sikerült hozzáférnie a fiókomhoz.

Elmagyaráztam, hogy mi történt, de az Apple munkatársa lényegében így reagált: „Fogadd el a veszteségedet”. Tudtam, hogy az Apple ID-m potenciálisan örökre elveszett. Ez nem jelenti azt, hogy nem voltak nagyobb dolgok is a háttérben. Voltak NFT-im és művészeti alkotásaim, amelyeket két évig őriztem. Hozzáférésem volt egy csomó vállalati számlához, brókerszámlákhoz – mindenféle dologhoz. És a beszélgetőtársam csak azt ismételgette: „Fogadd el a helyzetet, fogadd el a veszteséged”.

Versenyfutásban voltam az idővel, hogy megvédjem a vagyonomat. Elkezdtem a fiat valutámat biztonságos helyre átvinni, de a kriptóimat már átutalták egy olyan tárcába, amelyet nem tudtam ellenőrizni, és azt felszámolták. Ezután kaptam egy névtelen hívást egy ismeretlentől, aki egy balsejtelmű üzenetet küldött: „Ellenőrizd a Telegramodat.”

A Telegramon tényleg voltak üzenetek, amelyekben azt írták, hogy visszakapom az Apple ID azonosítómat és az eszközeimet, ha átadom három másik személy telefonszámát és e-mail címét. Én azonban ezt visszautasítottam, és közöltem a támadóval, hogy rossz emberrel kezdett.

Elkezdtem tweetelni a helyzetről, erre a hacker bepánikolt. Azzal fenyegetőzött, hogy kiszivárogtatja a négy hónapos kislányom képeit, ezért töröltem a tweetet.

A további üzenetekben azt írták, hogy visszakapom az Apple ID azonosítómat, ha 48 órán keresztül nem posztolok az interneten. De három nappal később a támadó újra jelentkezett, és akkor már 50 000 dollárt követelt.

„Általában olyan embereket keresek, akiknek viszonyuk van, valami rosszat követtek el, vagy érzékeny információkkal rendelkeznek, amikért megzsarolom őket” – mondta nekem a kiberbűnöző.

A terror hónapjai

Az ezt követő három hónapban a támadó megpróbált megzsarolni és terrorizálni engem – a helyzet okozta stresszt el kellett titkolnom a feleségem és a lányom előtt. A helyzetet tovább rontotta, hogy csökkentették az Amex és a Chase pénzfelvételi limiteimet, ezért zuhant a hitelminősítésem.

Ez nem riasztott vissza, folytattam az üzenetváltást és a telefonálgatást azzal a férfival, aki ellopta a személyazonosságomat, és sikerült minderről egy gigabájtnyi bizonyítékot összegyűjtenem.

A bűnöző már a bűnüldöző szervek radarján volt, miután vádat emeltek ellene SIM-csere miatt – és a nyomozók hamarosan rájöttek, hogy ez csak a jéghegy csúcsa. Mivel a lopott pénzeszközöket a Cash App és a Venmo alkalmazáson használták, a nyomozók össze tudták kötni az információkat, és azonosítani tudtak engem, mint áldozatot. Amikor egy FBI-ügynök felhívott, részletes személyleírást tudtam adni a keresett személyről – és ez elég volt ahhoz, hogy elfogatóparancsot kapjanak. Elmentek és betörtek a házába. A fickó benne volt az Apple ID-fiókomban.

Én voltam az egyetlen áldozat, aki nem félt megszólalni, és aki írásbeli nyilatkozatot tett a bíróságnak. E szavak ereje vezetett oda, hogy a bíró megduplázta a büntetést nyolc évre, feltételes szabadlábra helyezés nélkül, annak ellenére, hogy a hacker bűnösnek vallotta magát, és elárulta társait. A szövetségi ügy folyamatban van, így egy ideig még börtönben lesz.

Védd meg a digitális identitásodat!

Ez volt életem egyik legtraumatikusabb élménye. Eközben világszerte több millió ember függ továbbra is az Apple ID azonosítójától, nem is sejtve, milyen károkat okozhat egy esetleges hackertámadás. Vegyék el a társadalombiztosítási számomat, de ne vegyék el a digitális személyazonosságomat! Csak akkor jöttem rá, hogy az Apple az én digitális személyazonosságom, amikor már túl késő volt.

A digitális identitás lesz a Web3 alapja. Ezek nélkül nem tudjuk ellenőrizni, hogy kivel beszélünk. Társadalmi és civilizációs kommunikációs rendszerünk jelenleg zavarba ejtő. A valódi digitális identitás lehetővé teszi, hogy saját kezünkbe vegyük adataink és megoldásaink felügyeletét. Mostantól átvehetem az orvosomtól az információkat, és tárolhatom őket a saját tárhelyemen. Meg tudom védeni a pénzügyi adataimat. Mindent magamnál tarthatok.

Szeretném, ha ez soha többé nem történne meg senkivel. Szeretném megosztani a következő hasznos tippeket:

  • Tarts szigorú időbeosztást és készíts nagyon pontos jegyzeteket.
  • Győződj meg róla, hogy a bűnüldöző hatósági tisztviselő, akivel beszélsz, jegyzetel is.
  • Írd le a hívás dátumát és időpontját, valamint a nevüket és az adataikat
  • Vedd fel a kapcsolatot a helyi rendőrséggel, és mondd el nekik, mi történt veled

Miután megtapasztaltam a romboló hatását annak, hogy egy szempillantás alatt ellopták a digitális életemet, azóta úgy gondolom, hogy erre csak egy megoldás létezik: a decentralizált identitás, ahol a személyes adatokat teljesen titkosítják, és azokat biztonságos tárcában tárolják.