早前辛苦儲下的12萬LikeCoin被hacker盜去,當然痛心(見︰一夜間,我失去了所有LikeCoin)。痛定思痛,雖損失無法追回,若能調查到hacker的犯案手法,至少可令大家不再犯上同樣錯誤,造福幣圈。
經過我這一個月以來的明查暗訪,總算推測出hacker的整個犯案流程,希望跟大家分享。以下我將會用時間序來說明。
.2012年︰帳戶名稱和密碼被盜
近年不少科技公司都發生過hacker入侵事件,令server中的用戶名稱和密碼流入hacker手中。我把自己的email放到網站have i been pwned?檢查(怕看英文的話可以用FireFox Moniter),發現原來在2012年中,Dropbox和DISQUS都發生過嚴重的資料外洩事件,而我正是過千萬受害者之一。
原來早在6年前,我的帳戶(登入email和密碼)已經被hacker知悉了。
.2018年10月初︰evernote被入侵
我惟一在電腦上儲存加密貨幣資料的地方,就是在雲端筆記軟件evernote之上。之前提到有兩個acc資料被盜,可是DISQUS是留言版系統,我也沒有把任何帳戶資料放進dropbox裡,為何hacker能進入我的evernote系統?
回想起來,才發現我在evernote使用的帳號,跟DISQUS和dropbox一樣,用戶名稱是同一個電郵,而且密碼也相同。hacker就是利用人類貪方便的心理,猜測用戶使用不同的互聯網服務時,都會使用同一組密碼,於是透過之前盜取的資料,嘗試用來登入evernote。
我猜hacker並不知道這些用戶正在使用甚麼筆記軟件,但規模最大的都是那兩三間,用程式輔助的話,很易就篩選出可入侵的目標對象。
我從evernote的存取記錄得知,10月初有兩個從外國登入的異常記錄,分別來自哥倫比亞和埃賽俄比亞。而根據evernote保安部門的記錄,這兩次都是用正確的密碼登入,即沒有撞密碼的情況。這令我確定hacker一早已從別處拿到我的慣用密碼。
成功登入後,hacker應該把所有內容下載,再從中搜尋有關加密貨幣的資料,例如private key這些由數十個字符組成的字串,應很容易被發現。
.2018年10月尾︰偷取全數LikeCoin
hacker雖然掌握了加密貨幣的資料,卻沒有立即行動,反而是放長線釣大魚,等到帳戶有最多錢時才行動。被盜款當天早上,我曾嘗試把部份LikeCoin轉走,但都因為gas費不足而失敗。不知是否觸動到hacker神經,當晚hacker就把我的LikeCoin全數轉走。
