24 апреля 2018-го всего за несколько часов десятки пользователей MyEtherWallet обеднели почти на $150 000 в криптовалюте. Позднее администрация сервиса объявила, что хакерам удалось украсть средства с помощью DNS-атаки. Из пояснений недвусмысленно следует: MEW не при чем, а клиенты сами виноваты в потере монет. Таким образом, разработчики снимают с себя всю ответственность, оставляя пользователя один на один с потенциальным риском снова потерять средства. Выхода нет, или все-таки существует возможность защититься от действий хакеров?
Как работают DNS-атаки?
DNS-серверы представляют собой связующие звенья для всей глобальной сети. Функционал у них примерно такой же, как у телефонной книги, только вместо имен абонентов доменные имена, а вместо телефонных номеров IP-адреса.
Например, вы вводите в строке браузера доменное имя myetherwallet.com. Приложение отправляет запрос на DNS-сервер, который находит соответствующий IP-адрес и сообщает его вашему компьютеру. Получив эти данные, браузер обращается напрямую к серверу MyEtherWallet.
Все просто и логично. Но что будет, если DNS-сервер выдаст в ответ на ваш запрос неверный IP-адрес?
24 апреля 2018-го злоумышленники воспользовались уязвимостью протокола BGP, чтобы получить контроль над трафиком DNS-сервиса Amazon Route 53 и перенаправить его. В ответ на запрос «myetherwallet.com» компьютеры пользователей получали ложные данные: IP-адрес сервера, на котором хакеры заранее развернули клон сайта MEW.
Пользователи думали, что находятся на настоящем myetherwallet.com, и как ни в чем не бывало заходили в свой аккаунт. Так они сами вручали злоумышленникам ключи доступа к своим счетам.
От хакерских атак защитит только бдительность
Посмотрите на адресную строку браузера. Видите слева от доменного имени слово «Защищено» зеленого цвета? Это значит, что безопасность соединения подтверждена наличием у сайта действительного сертификата.
Клон myetherwallet.com использовал самопальный сертификат, подписанный неизвестным органом. В адресной строке вместо зеленого отображался красный маркер, сигнализирующий об опасности. Более того, браузеры пострадавших пользователей криптокошелька не только распознавали проблему, но и уведомляли о ней своих хозяев. При входе на сайт всплывало окошко с сообщением вроде этого: «Сертификат безопасности сайта не является доверенным». Оно сопровождалось вполне конкретной рекомендацией отказаться от дальнейшей работы с сервисом.
Беда в том, что пользователи игнорировали это предупреждение. Они соглашались работать с недействительным сертификатом и заходили в аккаунт на поддельном myetherwallet.com.
Что еще можно сделать?
Если при входе на myetherwallet.com или другой сервис, связанный с вашими финансами, браузер уведомляет вас об отсутствии у сайта надлежащего сертификата, первая рекомендация: не вводите на этой странице логин и пароль. Даже если очень нужно, и дело не терпит отлагательств. Лучше опоздать с переводом криптовалюты, чем вообще лишиться ее.
Далее можно воспользоваться сервисом Whoismydns.com. Он показывает данные DNS-сервера, который ваш компьютер в настоящее время использует для получения искомых IP-адресов, а также сведения о его репутации. В большинстве случаев это будет сервер вашего провайдера.
Пока, к сожалению, нет более эффективных инструментов самозащиты. Однако специалисты ведут работу в этом направлении. Возможно, в скором времени появятся сервисы, которые будут отслеживать DNS-атаки и предупреждать о них пользователей.
Нашли ошибку? Помогите нам: выделите ее и нажмите CTRL+ENTER. Спасибо!
Комментарий (0)