Mindigis úgy voltam vele, hogy „amit fel lehet törni, azt fel is törik”, „miért pont az én cuccaimat akarná feltörni bárki”, illetve, hogy „a digitális világban minden begépelt karakter letárolódhat valahol ahol nem akarjuk, még ha nem is sejtjük”.
Ezen gondolatok mentén mindig szépen elhessegettem magam attól, hogy rendes bonyolult, és rendszeresen cserélt jelszavaim legyenek, mert „jól van, hagyjál már ezzel”.
Volt idő, amikor simán egy excel táblában tartottam a jelszavaimat a számítógépen, úgy, hogy egy részük ki volt csillagozva – manuálisan.
Régen úgy gondolkodtam, hogy kellenek a francnak bonyolult jelszavak. Az embernek kell egy kis sokkhatás, egy negatív élmény, hogy átgondoljon dolgokat – nem történt ez máshogy nálam sem a jelszavaimmal kapcsolatosan.
Aztán később jött a meglepetés
Na aztán történt egy dolog, ami „kicsit” megsürgette, hogy óvintézkedéseket, mondhatni egyáltalán bármilyen intézkedéseket vezessek be a jelszavaim kezelését, és a netes jelenlétemet illetően: elkezdtem rendszeresen megkapni egy levelet a spam mappámba az e-mail fiókomba, többfelé szövegezéssel, de majdnem mindig ugyanazt a levelet, ami több, mint furcsa volt:
Úgy nézett ki a levél, mintha magamtól kaptam volna, leírta, hogy minden piszkos titkommal [például hogy milyen dolgokat csinálok a laptopom előtt ülve] tisztában van valaki (a küldő), hónapok óta figyelnek, és utaljak át x száz dollárt biotinban ha nem akarom, hogy ki legyek teregetve. Eddig még elment egy viccnek is az egész, hisz ha az amivel zsarolnak a levélben annak nem volt realitása, nyilvánvaló volt, hogy egy kamu levélről van szó.
Amikor viszont megláttam a levélben AZT a (korábbi) jelszavamat, amit régen használtam számos helyen az online éterben…
Na ez bef*satott azért.
Ez a jelszó az volt, „unrealt”. No miért is? Egy kétezres évek közepén internetező, egyébként Unreal Tournamentet játszó srác annak idején tökéletes ötletnek találta, egy ilyen jó bonyolult, kitalálhatatlan jelszó megadását!
Ez a jelszó aztán évekkel később is kísért különböző kombinációkban, később már csak a lényegtelenebb helyeken – ahol nem lenne baj ha ellopnák a jelszavam.
Tudtam, hogy ez most mar nem jelszavam sehol (vagy semmi olyan helyen, ami még gondot okozhatna), de az volt a dermesztő, hogy még három korábbi, másik jelszavam is megkaptam ugyanígy hasonló e-mailekben, amelyeknek átszámozott, változtatott verzióját viszont meg mindig használom/használtam: Mintha Most „Unrealt_17”-et használtam volna.
Bármennyire is tudtam, hogy irreális, agyaltam, hogy ha valakinek tényleg van telepítve hátsó kiskapu programja (backdoor) az én számítógépemhez történő észrevétlen hozzáféréshez – mert valami olyanba másztam be bele neten, amibe nem kellett volna (annak ellenére hogy Kaspersky Internet Security-t használok évek óta), akkor nyilvánvalóan teljesen mindegy hogy mit csinálok, és elkezdek-e most jelszavakat megváltoztatni, mert ez a valaki ugyanúgy le tud nyúlni mindent, mert latja h mit változtatok, ki tudja, h mit rögzít abból, amit csinálok, hova klikkelek.
Bonyolultak voltak már az elmúlt években a jelszavaim, félreértés ne essék, de akkor is durva volt hogy az egyik ilyen „egyszerűbb” és már nem használt jelszót valaki csak így elküldi nekem.
Azért volt nyugtató tényező is
Habár tényként kezelhető, hogy ha fenyegetnek x hetes határidővel egy régi jelszavammal, majd megjön még húsz alakommal a hasonló levél, kicsit más tartalommal, akkor nem lehet valós a fenyegetés – nyilvánvalóan. Na de egy darabig ráparáztam az egészre, és ez pont elég volt, hogy átgondoljam a továbbiakat.
Tájékozódni kezdtem: data leak
Keresgéltem, olvasgattam a témában született angol „szakirodalomban”, kiderült, hogy ez a cucc az un. „i hacked your mailbox more than six months ago” scam, más néven a „bitcoin extortion scam„, ami okos, de gonosz emberek trükkös pénzszerzési kísérlete.
Néha olvasni lehet olyanokról, hogy ilyen-olyan cégeknél történt nagy adatlopás, adatszivárgás, (data leakage / leak) ahol illetéktelenek kezébe kerülhettek felhasználói adatok, ezért változtassunk jelszót, stb, de valahogy ezeket sosem veszi az ember komolyan, egészen addig nem, amíg az ember A, vagy meg nem szívja valahogy b, vagy ténylegesen egy olyan oldalon történik a data leak, amit nap, mint nap használ.
Ki ne emlékezne a frappeningre, amikor nemcsak hogy a a jelszavak adatbázisa kapott léket, hanem a felhasználók tartalmai is. Kemény. (Itt azért mondjuk visszakanyarodnék az előző cikkben említett felvetésre, miszerint nem valószínű hogy te vagy a kínai hackerek célpontja, mivel nem te vagy az ország első embere – ha mégis akkor nem szóltam semmit! :D)
(Szóval nekem szerintem életemben 1-2 eset volt eddig, mikor egy ilyen data-leak miatt változtattam jelszót konkrétan.)
Elképzelhetően az történt, hogy egy weboldalon, ahol nekem hozzáférésem volt (felhasználónév, jelszó), történt egy adatszivárgás, és gonosz hackerek ellopták a felhasználók adatait, majd ezeket közzétették nyilvánosan / eladták, stb.
És igen, ezért nem szabad mindenhova ugyanazt a jelszót megadnod. Mert ha mindenhol ugyanaz a jelszavad, akkor egy ilyen jelszó ellopódását követően igen nagy problémák elé nézhetsz, hisz nem csak rajtad múlik, hogy a jelszavad ellopódhat-e, ahogy azt a példa mutatja.
Az ellopott jelszó adatbázis összes e-mail címére elküldték vélhetően a scam-levelet, és mivel a „féltve őrzött” jelszavak is benne voltak az adatszivárgásban, nagyon jó hitelességet tudott kölcsönözni az egyébként orbitális nagy kamu e-mailnek. És nyilván van néhány % madár, aki tényleg fizet a kamu zsarolásra, ez már megint az „ésszel netezünk”-e című rész…
De képzeld el, hogy ha csak 5000 e-mail címre küldték ki ezt a mailt, és csak 1% fizeti ki a megnevezett 890 dollárnak a felét… Az már több, mint $20k. Nem rossz mellékes kereset. Ezt persze nem azért írtam, hogy most állj neki Te is scam-et gyártani, ráadásul elkéstél, van már olyan honfitársunk aki kiaknázta az ebben rejlő lehetőségeket. Olvass tovább.
Híres data-leakek
A teljesség igénye nélkül, csak hogy néhány híresebbet említsek: ha az e-mail címeddel a következő időpontok előtt hozzáféréssel rendelkeztél az alábbi oldalakon, akkor Neked lophatták már el az oda tartozó felhasználónév-jelszó párosaidat.
- 000webhost.com – ingyenes tárhelyszolgáltató – 2015
- imesh.com – zeneletöltő alkalmazás – 2013
- linkedin.com – social networking portál – 2016
- MyFitnessPal – kaja tracker és fitness mobilapp – 2018
- MyHeritage.com – családfa-szerkesztő portál – 2017
Honnan lehet tudni, hogy te is leak áldozata lettél-e?
Később találtam több weblapot, (itt egy példaképp: https://haveibeenpwned.com/) ahol az e-mail címed megadásával meg lehet nézni, hogy a Te e-mail címed a nagy ismert adatszivárgásokban konkrétan részt vett-e, és azt is kilistázza hogy melyikben. (Angol tudás hasznos lehet).
Mit lehet tenni, ha „kiszivárogtál”?
A jövőd érdekében azt teheted, hogy
- odafigyelsz a jelszavaid kezelésére
- hosszú és bonyolult, lehetőség szerűen véletlenül generált, írásjeleket, számokat, kis- és nagybetűket tartalmazó jelszavakat használsz
- gyakran változtatod őket
- kettős azonosítást kapcsold be ahol lehetséges,
- nem netezel ismeretlen, más tulajdonában lévő eszközökön,
- böngészőt inkognitó módban használod
- ahol lehet bekapcsolod az értesítéseket a gyanús bejelentkezési kísérletekről
Amikor legutóbb ellopták fizikailag a mobiltelefonom egy fesztiválon (igen ilyen is volt), tiszta rossz érzésem volt, amikor az egyik legjobb barátom telefonjával (tehát egy megbízható eszközzel) kellett belépnem a saját jelszavaimmal, megadnom jelszavaimat néhány weboldalon, – azért hogy a saját dolgaimat le tudjam tiltani az ő eszközéről vezérelve.
Az ellen viszont nem fog senki megvédeni, ha hülyeséget csinálsz, mert nem vagy elég elővigyázatos. Netezz ésszel, és biztonságban vagy.
Ami történt, megtörtént
Ha a data leakben benne voltál, akkor az e-mail címed már bekerült ezekbe az „adathalmazokba”. Én az aktuális, egyedi domaines e-mail címem ekkor már több, mint 10+ éve használtam aktívan, el voltam hűlve, mikor 13(!) különböző leak-adatbázisban szerepelt.
Számomra sokkoló volt látni.
Mivel így olyan adatbázisokba került az e-mail címem, ahonnan kiirtani lehetetlen lett, nem volt más megoldás, e-mail címet váltottam, ezt követően pedig egy, az eddigieknél sokkal szigorúbb rendszert állítottam fel a jelszavaim kezelésére, ami egyébként sokkal kényelmesebb is lett, jelszó-kezelő alkalmazás(ok)at kezdtem használni. (Róluk regényt lehetne írni egy külön bejegyzésben.)
Ha egy hasonló szituval nem tudsz együtt élni, akkor számodra sincs más megoldás: e-mail címet kell váltanod. Akár több e-mail fiókot is érdemes használni párhuzamosan, és átgondolni, hogy hova melyikkel regisztrálsz.
Annak ellenére, hogy ennyi intézkedést bevezettem, mégis sikerült azért például bankkártya-szám lopásba futnom, csak hogy tisztázzuk. Szóval nem gyűzöm ismételni, hogy ésszel kell netezni.
A bitcoin scam magyar változata
Én még annak idején angolul kaptam meg az e-mailt, de néhány héttel ezelőtt már egész jó magyar fordításban is elkezdett a dolog közeledni (egy ismerősöm mutatta) – ebben már 1450 USD-t kellett volna azért fizetni, hogy megváltsuk a zsaroló hallgatását.
Szia! Észrevetted, hogy küldtem neked egy e-mailt a te fiókodból? Igen, ez azt jelenti, hogy teljes hozzáférésem van a készülékedhez.
Az elmúlt pár hónapban folyamatosan figyeltelek. Még mindig azon töprengsz, hogy ez hogyan lehetséges? Nos, a gépedet megfertőzte egy féregprogram, ami egy általad megtekintett felnőtt weboldalról származik. Lehet, hogy nem egészen érted, hogy mi is ez, de mindjárt elmagyarázom.
Ennek a trójai vírusnak a segítségével, teljes hozzáférést szereztem a számítógéped és egyéb eszközeid felett. Lényegében ez az jelenti, hogy bármikor láthatom, hogy mit csinálsz a képernyődön a kamerád és a mikrofonod bekapcsolásával, anélkül, hogy neked erről sejtésed is lenne.
Emellett, hozzáférésem van még az elérhetőségeidhez és ismerőseid teljes listájához.
Joggal kérdezheted, hogy mindez hogyan lehetséges, hiszen van antivírus program a gépeden, miért nem kaptál erről semmiféle figyelmeztetést.
Nos, a válasz egyszerű: az én féregprogramom olyan meghajtókat használ, ahol néhány óránként állandóan újrafrissíti magát, így felfedezhetetlen marad, és ezért nem jelez az antivírusod.
Van rólad egy videófelvételem, ahogy éppen kényezteted magad a képernyő bal felén, a jobb felén pedig a videó látható, amire maszturbáltál.
És a legrosszabb még csak most következik: egyetlen kattintással meg tudom osztani ezt a videót az összes közösségi felületeden, valamint el tudom küldeni az összes ismerősödnek e-mailben és messengeren.
Hogy ez ne történjen meg, mindössze annyit kell tenned, hogy átutalsz nekem bitcoint 1450 USD értékben a Bitcoin címemre. (Ha esetleg gőzöd se lenne arról, hogyan kell bitcoint küldeni, csak keress rá egy böngészőben a “bitcoin vásárlás” kifejezésre).
A bitcoin címem (BTC Wallet) a következő: 1HKcmTtwaFXsW2wUzmNZ8GhA46Sz6NWaWi
Mihelyst megkapom a visszaigazolást arról, hogy fizettél, rögtön törlöm is a videót, és utána soha többé nem fogsz hallani felőlem. Van rá 2 napod (48 órád), hogy teljesítsd az átutalást. Az óra onnantól számítva ketyeg, hogy megnyitottad ezt az e-mailt.
Feljelentéssel próbálkozni teljesen hiábavaló, mivel sem ezt az e-mailt, sem a bitcoin azonosítómat nem lehet visszaköveteni. Már elég rég óta dolgozom ezen az ügyön, úgyhogy semmi esélyt sem hagytam a hibázásra. Ha véletlenül azzal próbálkoznál, hogy megoszd ezt az üzenetet bárkivel is, azon nyomban szétküldöm a videódat a fentiekben leírtak szerint.
Mi történt még ez után?
Megnéztem a Snowden c. filmet, majd rendeltem ilyet, és azóta le van ragasztva az összes eszközömön az összes webkamera – akkor is ha a lelkiismeretem tiszta. Az ördög sosem alszik. 🙂