Как у нас украли Instagram на 200 000 подписчиков

4 часа утра. Вам приходит сообщение: “Я взломал твой аккаунт в Instagram, дай мне знать, будешь ли ты платить за возврат аккаунта”. Бизнес-аккаунт вашего клиента на 200 000 подписчиков. Вы еще спите, но декабрьский день у вас будет очень жаркий.

Меня зовут Евгений, занимаюсь маркетингом и управлением разработкой в магазине товаров для хобби, руковожу performance-маркетингом в Datmark.

Так было со мной почти месяц назад. Проснувшись, я даже не придал особого значения сообщению. У всех аккаунтов, где у меня был доступ, подключена 2-факторная авторизация. Казалось, беспокоиться не о чем.

Сообщение от нового владельца аккаунта

Я стал проверять все аккаунты, к которым у меня был доступ, и в один из них действительно не смог войти.

Недавно уже была подобная ситуация с одним из клиентских аккаунтов - Instagram полностью убрал видимость аккаунта, якобы удалил. После обращения в поддержку аккаунт восстановили. Все заняло несколько часов. Facebook(Meta) заблокировал аккаунт по ошибке. Особой тревоги в текущей ситуации у меня не было. Зря.

Я стал проверять email, куда был привязан недоступный аккаунт… Тогда до меня дошел весь масштаб проблемы. В письме было указано, что в аккаунте включена 2-факторная авторизация. Только она и до этого работала, а письмо было на турецком.

Сообщение о подключении 2-факторной авторизации на турецком

Теперь уже сомнений не было. Аккаунт увели. Некий турок с американским номером.

Мне было сложно представить, сколько денег было вложено в подписную базу аккаунта. Ботов мы не крутили.

Что было дальше?

Был целый день переписки и созвонов с поддержкой Фейсбука.

Примерное содержание первого разговора: “Да, мы видим, что аккаунт был перепривязан к другому номеру телефона, но уже переведен в личный аккаунт. С личными аккаунтами поддержка не работает. Мы, конечно, посмотрим, что можно сделать, но скорее всего аккаунт утерян навсегда”.

Далее в переписке нам рекомендовали подключить нашего менеджера по рекламному аккаунту, возможно ее участие как-то поможет.

Не буду вдаваться во все детали переписки и звонков, но в итоге аккаунт нам вернули, перепривязав его к новой почте. Далее мы уже самостоятельно восстановили все функции. Взломщик не удалил подписчиков из аккаунта.

Факторы, которые повлияли на возврат аккаунта:

  • Подключенная 2-факторная авторизация. Да, если у она включена аккаунт могут украсть. Однако о ее наличии меня спросили несколько раз;
  • Рекламный аккаунт должен быть связан с Instagram-аккаунтом;
  • На рекламном аккаунте должен быть стабильный расход средств. Площадке невыгодно терять рекламодателя, поэтому вам помогут активнее;
  • Хотя бы раз в месяц переписывайтесь или созванивайтесь с вашим менеджером по рекламному аккаунту. Консультацию по телефону предлагают даже на низком расходе. Менеджер сможет лишний раз подтвердить, что Instagram-аккаунт был в вашем управлении;
  • Не паникуйте и всегда будьте на связи. В Facebook(Meta) нельзя позвонить, только написать, но почти все вопросы со мной решались по входящему звонку. Звонили с разных номеров из Великобритании, отвечайте на эти звонки.

Финал

Для меня это был очень жаркий день. Рад, что благополучно разрешилось.

Видимо 2-факторная авторизация уже не спасает аккаунт от взлома. Скачивайте и подключайте специальное приложение для аутентификации. Возможно оно надежнее.

Функция в разделе "Безопасность" настроек вашего Instagram
Так выглядит включенное приложение

Желаю вам не попадать в нашу ситуацию. Считаю, что нам просто повезло.

0
29 комментариев
Написать комментарий...
Alex Shokhin

Вопрос знатокам: Как увели аккаунт?

Ответить
Развернуть ветку
Невероятный Блондин

У него 2FA через смс стояла, при этом видим что сам номер от аккаунта у него торчит жопой на улицу (входящее в вацап на скриншоте).
Здесь вероятно перехват смс или шпион программа

Чувак был зациклен на названии “2FA”, а не на принципе действия

Подтверждение входа по смс уже давно считается ненадежным способом защиты.

Ответить
Развернуть ветку
Дмитрий Воробьёв

Классическая MITM-атака, которую предваряет фишинг.
Видимо заходили в веб-версию инстаграм. Там все и случилось.

Ответить
Развернуть ветку
Евгений Глав
Автор

Да, может быть кто-то знает ответ)

Ответить
Развернуть ветку
Игорь Петрашевский

Почту мож вскрыли? Кукис угнали?

Ответить
Развернуть ветку
Евгений Глав
Автор

Не, с этим нет проблем, чтобы почту угнать нужно еще через одну 2-факторную пройти. Исходя из комментариев скорее всего перехват смс для входа.

Ответить
Развернуть ветку
Игорь Петрашевский

Для смс андроид, рутованный айфон, винда с модемом?
Логично предположить, что смс угоняли на конечной точке.
Но тогда бы все аккаунты угнали. Видимо, знали что-то типа ответов на контрольные вопросы

Ответить
Развернуть ветку
Vadim Agrest

Может быть, это просто самореклама автора темы как маркетолога и чего-то там ещё.

Ответить
Развернуть ветку
Евгений Глав
Автор

Это один из поводов публикации, вы правы, но не отменяет, что ситуация имела место быть. Вас что-то смущает в истории? Нужны пруфы?)

Ответить
Развернуть ветку
Николай Кандинский

Скорее всего просто реклама приложения. Причём, вполне возможно, через который будут уводить аккаунты тех, кто его установит

Ответить
Развернуть ветку
Евгений Глав
Автор

О каком именно приложении идёт речь? Если вы про то, что в конце материала, то зайдите в раздел Безопасность своего instagram, скрины именно оттуда. Приложение instagram само рекомендует включить дополнительный вариант аутентификации плюсом к 2-факторной через смс.

Ответить
Развернуть ветку
Zojka

В интернете до сих пор варварские порядки, а уже пора законодательно обеспечивать защиту рабочего места в интернете так же, как в реальности. Боюсь, это произойдёт очень нескоро, а пока ответственность у пользователя исключительно односторонняя :(

Ответить
Развернуть ветку
Валерия Валериева

А что за менеджер по рекламному аккаунту? До фб при надобности-то не допишешься, а тут просто так раз в месяц

Ответить
Развернуть ветку
Евгений Глав
Автор

Почти в каждом кабинете, где работаю, выскакивает такой попап. Ссылка на запись https://www.facebook.com/business/m/facebook-marketing-expert, правда сейчас там пишут, что недоступно, но бывает, что есть запись. и в принципе после 1 созвона можно в формате email-переписки вести диалог с менеджером.

Ответить
Развернуть ветку
Валерия Валериева

Впервые вижу, очень интересно) спасибо, я поищу на своих

Ответить
Развернуть ветку
Миша Магадан
Видимо 2-факторная авторизация уже не спасает аккаунт от взлома.

а что значит эта двухфакторность? для входа приходит пароль на телефон? или на почту?

Ответить
Развернуть ветку
Sandy

можно и так. раньше приложения для двухфакторной были надежнее всего, где код генерируется и меняется со временем. но говорят и их уже ломают. но они все еще надежнее почты и телефона.

Ответить
Развернуть ветку
Миша Магадан

имхо, если привязать аккаунт (счет в банке и др) к номеру телефона, симку вставить в кнопочный, то взломать эту двухфакторку сложновато (а без участия опсоса невозможно, я думаю)

Ответить
Развернуть ветку
Sandy

почитай про уязвимость протокола ss7. если есть что увести, уведут в два счета.

Ответить
Развернуть ветку
Sandy

А чего минус то? Я все по делу сказал. Про ss7 можно и на vc почитать

Ответить
Развернуть ветку
Миша Магадан

спасибо, прочитал, просветился немного, но, говорят, что не всё так страшно
цитата с хабра:
Примерно также выглядят и страшилки на тему SS7, потому что перед злоумышленником стоит несколько серьезных проблем.

Во-первых, надо иметь узкоспециализированный софт для работы с этим протоколом, который пока в свободном доступе не был замечен. Многочисленные “продажи” таких программ в Даркнете — были фейковыми, для выманивания денег из школоты, с завлекалочками типа “Хочешь узнать, что пишет в Телеге твоя подружка?”.

Во-вторых, надо найти узкоспециализированного профессионала, который согласится участвовать в подобном мероприятии.

В-третьих, требуется получить доступ к оборудованию провайдера, что тоже не так легко. Надо или взломать его удаленно, или подкупить сотрудника компании, или найти оператора, который, официально, за вознаграждение, подключит хакеров к своей сети SS7. По слухам, африканские компании предоставляют такие услуги за несколько тысяч долларов, но это только слухи.

Тем более, даже если удастся договориться с провайдером, который даст вам доступ в свою SS7 сеть и выделит GT (Global Title, заголовок для маршрутизации сигнальных сообщений), надо чтобы он официально зарегистрировал злоумышленника как свой новый NE (Network Element) и обновил эту информацию у своих роуминг-партнеров, которые должны будут внести его в White List. Если же просто взломать серверы оператора, то максимум что получится сделать — организовать локальную DDoS атаку, без перехвата информации.

Все это выглядит намного сложнее, чем в горячих статьях уровня “Все пропало!”. Более того, как только станет известна информация, что кто-то подобным образом перехватил код авторизации, то его GT будет моментально забанен всеми операторами, а с “африканским помощником” могут разорвать сотрудничество. Потому, не каждый провайдер согласится рискнуть своей репутацией предоставив хакерам доступ в свою сеть для такого мошенничества, по крайней мере — не за тысячи долларов.

По сути, этот способ взлома доступен только спецслужбам, или может быть проделан в лабораторных условиях, по предварительной договоренности с жертвой и, может быть даже, с мобильными операторами. Более того, хоть сотовые компании и не спешат обновлять оборудование, они все равно стараются защитить свои сети и пользователей. Например, в ответ на хакерский запрос, могут выдавать не реальный IMSI абонента, а с несколькими измененными цифрами или временный, взятый из специального пула идентификаторов, созданного с целью защиты от подобного перехвата. Потому что операторы обычно заворачивают такие обращения на себя и сами занимаются доставкой СМС, не выдавая критичные данные на сторону. И это только один из способов противодействия

Ответить
Развернуть ветку
Sandy

штош, сложно или нет, при мне человек проделовал трюки с подобным ПО с андроидовского телефена через терминал еще 10 лет назад и к спецслужбам отношения не имел (имел отношение к мошенникам как раз таки). вопрос желания. если кто-то знает, что у вас там ценного и маржа выше заморочек, он это сделает.

Ответить
Развернуть ветку
Миша Магадан

вот именно, что 10 лет назад, с того времени много воды утекло, а спецслужбы не любят, когда любой желающий может послушать любой телефон, пусть и с помощью африканцев, так что, думаю, этот путь сейчас закрыт. Это, конечно, не исключает, что есть другие пути, но, полагаю, что использовать их, чтобы тырить аккаунт с 200к подписчиков, нерационально.

Ответить
Развернуть ветку
Sandy

дыра в ss7 как была так и есть. операторы в развитых странах как могут прикрывают ее, но вот как раз странам третьего мира пофигу. через них и заходят. вы думаете, как происходит подмена номера, когда звонят с номеров банков из мест не столь отдаленных? через ту же дыру ss7. просто выгоднее массово социнжинирить людей, чем разводить конкретного толстосума. поэтому всем спектром возможностей пользуются именно спецслужбы. обычным мошенникам достаточно простых механик. так что перехватить смс для двухфакторки это посложнее подмены номера звонящего, но в целом решается доступностью "специалиста".

Ответить
Развернуть ветку
Alex Shokhin

Я не могу понять что это. Брут был бы заметен. Троян на стороне владельца доступа к аккаунту? Это сколько приложений удаленно и незаметно надо ломать. Уязвимость на стороне инсты? Тогда нахрен ему эта мелочь по 200к, брал бы что-то солиднее или базу продавал. Перехват через АТС, как ФСБ делает?

Может знает кто? Или просто кто-то на фишинге пароль ввёл разок?))

Ответить
Развернуть ветку
Isuzu Dzanarnoghno

Так это самое интересное. Даже если пароль перехватили фишингом или трояном, то как узнали код в СМС?

Ответить
Развернуть ветку
Дарья Сазанова

Двухфакторную аутентификацию можно отключить, используя 6-значные одноразовые пароли, которые видно в приложении. Не было никаких смс.

Ответить
Развернуть ветку
Евгений Глав
Автор

Почти в каждом кабинете, где работаю, выскакивает такой попап. Ссылка на запись https://www.facebook.com/business/m/facebook-marketing-expert, правда сейчас там пишут, что недоступно, но бывает, что есть запись. и в принципе после 1 созвона можно в формате email-переписки вести диалог с менеджером.

Ответить
Развернуть ветку
Dilovar Dilovar

Кто накрутит падписчик

Ответить
Развернуть ветку
26 комментариев
Раскрывать всегда