Как из миллионера не превратиться в бомжа

Вступление

Предречь

Начало

Меня зовут Александр, и последние годы я жил той жизнью, о которой многие мечтают. Путешествовал по миру, ни в чём себе не отказывал, поддерживал своих родных и мог позволить себе не беспокоиться о будущем. К тридцати годам я достиг уровня финансовой независимости, при которой мог бы выйти на пенсию и жить спокойно. Карьера в IT, а именно работа как Senior DevOps с уклоном на кибербезопасность, и успешные инвестиции в криптовалюту позволили мне стать миллионером.

Моя криптовалютная подушка надежно росла на протяжении многих лет: я накапливал биткоины и держал их в кошельке MetaMask, при этом использовал сложную систему защиты, разбивая приватный ключ на три части и сохраняя их на разных устройствах и в разных системах. Это казалось надежной стратегией.

Но весной 2024 года я потерял всё — из моего MetaMask, который я считал «холодным», так как в нём не был авторизован, были выведены все активы на сумму 726 000 $. Среди них были и токены Stobox, которые могли бы принести мне еще миллионы. Приобрести токены STBU этой перспективной монеты можно по этой ссылке. Это были все мои накопления за годы, проведённые в ИТ (2013— текущий  год).

В этой статье я расскажу не только о том, через что мне пришлось пройти, но и о критических уязвимостях, которые всё ещё могут оставить людей без денег. Эта информация станет предостережением для всех, кто считает криптовалютные средства полностью защищенными только благодаря технологиям. Игнорирование этих фактов может привести к той же беде, особенно для тех, кто держит свои сбережения в крипте.

Моя история — это не просто рассказ о выдуманных потерях, а о реальной безопасности, которую стоит воспринимать серьёзно всем кто держит свои средства в интернете, на крипто кошельках и других "безопасных" сервисах.

Первые серьёзные проблемы

Первое, что начало настораживать, произошло еще в конце 2023 года. Я начал замечать подозрительные входы в мой Google-аккаунт. Вначале я не придавал этому особого значения, решив, что это могла быть моя бывшая девушка, у которой, возможно, остался доступ. Помню, что когда-то заходил в аккаунт с ее устройства, и она теоретически могла воспользоваться этим доступом. Чтобы подстраховаться, я молча завершил все активные сессии, сменил пароли, перегенерировал двухфакторную аутентификацию и обновил ключи безопасности. Тогда я решил, что это решит проблему, и продолжил жить спокойно.

Однако уже в начале 2024 года ситуация снова повторилась. Я заметил, что в аккаунте начали происходить странные вещи: в настройки безопасности были внесены изменения, которые я сам не делал. Никаких уведомлений о входах я не получал, что показалось мне еще более странным. Мне следовало бы проверить все сторонние приложения, которые имели доступ к аккаунту, но тогда я не думал, что ситуация настолько серьезная.

Всё это привело к еще большему беспокойству, когда в марте 2024 года я начал замечать, что мой MacBook начинает зависать на самых обычных задачах. Вещи, которые раньше проходили гладко, вдруг начали вызывать сбои. Затем стало ещё хуже: окна на экране стали сами собой двигаться, приложения открывались и закрывались без моего участия.

Спустя ещё месяц похожие вещи начали происходить и на моих телефонах. На тот момент у меня были iPhone 13 Pro Max с почти новой батареей (99% износа) и Samsung Galaxy S24 Ultra — оба устройства всегда работали отлично. Но вдруг и они стали вести себя странно: приложения могли запуститься сами собой, экраны иногда реагировали так, словно кто-то нажимал на них за меня… Словно кто-то другой управлял ими, и я больше не мог контролировать собственные гаджеты.

Восстановление симки и первые подозрения

В конце апреля — начале мая моя украинская сим-карта внезапно перестала подключаться к сети. На этот номер были привязаны мой украинский банковский аккаунт, Google-аккаунт, Samsung account, Apple ID и Telegram. Я начал каждый день писать своему оператору, пытаясь выяснить, в чём дело, но оператор уверял меня, что с номером всё в порядке. Говорили, что иногда зарубежные операторы могут блокировать такие подключения, и это вполне обычное явление.

Но я начал подозревать, что кто-то мог восстановить мою симку без моего ведома. Поскольку моя сим-карта не была привязана к паспорту, это сделать было сравнительно легко: достаточно было узнать часто вызываемые номера и несколько крупных пополнений, которые можно сделать самому. Оператор мог поверить, что перед ним настоящий владелец номера, и выдать новую сим-карту злоумышленнику.

В это время начали происходить ещё более странные вещи. В моём Google-аккаунте оказались отключены синхронизация и уведомления, что выглядело очень подозрительно. Пуш-уведомления для важных приложений были заблокированы, и, как я понял позже, злоумышленники, возможно, установили софт, который перехватывал мои уведомления и SMS, не позволяя мне получать предупреждения о подозрительных входах в аккаунты.

Осознание ситуации

Когда я понял, что кто-то контролирует мои устройства, первым делом я скачал Malwarebytes и CleanMyMac, чтобы проверить MacBook на наличие вредоносного ПО. Но каждый раз, когда я его загрузил, всплывало странное окно, не характерное для настоящего приложения. Окно требовало загрузки «дополнительной локализации», отказаться от которой было невозможно. У меня и так компьютер на английском, из русского только раскладка. Я понял, что, вероятно, столкнулся с поддельными версиями программного обеспечения, пристроенными злоумышленниками, и они ничего не находили. Файл hosts, который отвечает за всякие плохие редиректы, проверял чуть ли не каждый час.

После этого я решил провести полный сброс устройств — Factory Reset with Recovery, что глубже, чем обычный сброс через настройки. Но и это не помогало. Я доходил до абсурда, выполняя несколько таких сбросов в день, но как только устройства загружались, всё возвращалось на круги своя - по умолчанию устанавливались куча странных пакетов без ярлыков. В отчаянии я начал звонить в поддержку Samsung и Apple, объясняя, что мои устройства взломаны и кто-то имеет к ним удаленный доступ даже после смены моих Google и Apple аккаунтов. Но каждый раз мне отвечали, что это невозможно и что я просто параноик.

Отчаянные попытки зафиксировать доказательства

Когда я окончательно понял, что мои устройства контролируются, я решил попытаться зафиксировать происходящее на видео. Однако, как только я начинал запись экрана или снимал видео на телефон, иногда всё подозрительное сразу прекращалось. Но самое интересное что после завершения записи файлы всегда по умолчанию исчезали из галереи. Сделать фото либо скриншот - оно по умолчанию сотрется, не успев даже загрузиться в облако. У меня не было ни единого шанса запечатлеть, как мои устройства «живут своей жизнью», и доказать кому-то, что они действительно взломаны.

На тот момент я был в Малайзии и практически не имел там знакомых, чтобы поделиться своими подозрениями и получить поддержку. Когда я всё же пытался говорить о происходящем с некоторыми технически подкованными людьми, которые могли понять проблему, все мои попытки зафиксировать что-то продолжали пропадать. Позже я понял, что мои звонки и любое общение также мониторили. Даже когда телефон просто лежал, оказалось, что кто-то слушал каждое слово. (Понял по процессам, подключив телефон через специальную утилиту ADB для дебага и диагностики).

Я дошёл до того, что начал обращаться в Apple и Samsung, прося сотрудников стоять за моей спиной и наблюдать за странным поведением устройств. Поначалу меня игнорировали, но к концу рабочего дня, проведенного в магазине Apple, мне удалось показать, как телефон или компьютер сами по себе начинают реагировать на команды, особенно когда я работал с паролями, банками или копеечными криптовалютными транзакциями. Сотрудники видели это своими глазами, но в ответ мне сказали, что проблема, скорее всего, связана с сенсором, а почему всё стирается — проблема не очевидна, и надо сдать устройства на диагностику.

В Apple утверждали, что подобное поведение невозможно из-за якобы высокой защиты их устройств. В то же время сотрудники Samsung отнеслись чуть серьёзнее и посоветовали обратиться в MCMC — комиссию по связи и мультимедиа в Малайзии. Я поехал в другой город, чтобы попасть туда, но меня перенаправили в киберполицию, оформив дополнительно заявку от моего имени через сайт. Там провели собственную диагностику в течение нескольких часов, после чего заявили, что ничего не могут сделать, и отправили в отдел полиции по месту преступления.

Что говорят другие

Цепочка событий

Блокировка счетов

В начале 2024 года начали происходить события, которые привели к череде серьёзных проблем, шаг за шагом лишая меня доступа к моим средствам. Сначала я заметил, что мой Wise счёт был заблокирован без объяснений. После того как я обратился в службу поддержки, мне не предоставили чётких ответов. Вскоре следом были заморожены и другие счета: сначала Revolut, а затем и украинский PrivatBank и Monobank. Это оставило меня практически без доступа к моим деньгам.

Я несколько раз отправлял Revolut документы для подтверждения источника средств — в первый раз после регистрации, а затем ещё перед самой блокировкой. В итоге Revolut вернул мне деньги, но Wise, без всяких объяснений, оставил их замороженными.

Чувство беспомощности усиливалось с каждым днём. Оставшись без надежных способов для обналичивания средств, я был вынужден полагаться на GCash — филиппинский электронный кошелек с ограничениями и высокими комиссиями. Он позволял проводить хотя бы минимальные транзакции, но этого было недостаточно, чтобы поддерживать стабильное финансовое положение. Я всё больше ощущал, что кто-то намеренно блокирует мои финансовые пути, оставляя меня в отчаянной ситуации и лишая меня уверенности в завтрашнем дне.

Потеря работы

К концу мая моя жизнь стала превращаться в полный хаос. Проблемы с устройствами и заблокированные счета начали отражаться и на моей работе. Как только я садился за работу, мои устройства начинали вести себя странно: кто-то перезагружал компьютер удалённо, интернет-соединение на всех устройствах блокировалось, и мне приходилось тратить больше времени на устранение этих проблем, чем на выполнение реальных задач.

Моя продуктивность сильно упала. Каждый рабочий день превращался в борьбу с неведомым противником, который блокировал меня буквально на каждом шагу. В какой-то момент голова уже не справлялась с происходящим — я был измотан как морально, так и физически, пытаясь справиться с этой бесконечной атакой. Я даже не додумался пойти работать в компьютерный клуб, чтобы хоть как-то выйти на связь. Мой кругозор сузился, и идеи о том, как продолжить работать, просто не приходили.

В конечном итоге, я не мог продолжать выполнять задачи и был вынужден оставить работу. Ощущение полной потери контроля над своей жизнью стало буквально удушающим. Я пытался понять, кто и зачем пытается уничтожить всё, что я строил годами, но ответа не находил. Это было не просто вторжение в личное пространство, а методичное уничтожение всех средств к существованию.

Потеря ВСЕХ моих средств

Рано или поздно, так или иначе, пришлось бы открывать свой «холодный кошелек», находясь без работы такое длительное время. Открыв его, я с ужасом увидел исходящие транзакции, которые я не совершал. Я обновил кошелек, надеясь, что это просто ошибка, попробовал открыть портфолио кошелька, но снова увидел те же исходящие переводы. Закрыв кошелёк, я пытался убедить себя, что это какой-то сбой и что со временем всё восстановится… [Тут неделя тумана и непонимания, кто ты, зачем и почему].. Через 8 дней я проверил кошелек с товарищем, который и подсказал место, где скупают всю технику, дабы удостовериться наверняка. Но реальность оказалась неизменной — баланс всё так же был пуст. Осознание того, что мои последние сбережения исчезли, оставило чувство полной беспомощности. На этом моменте казалось, что моя жизнь рухнула классная.

Инвестиции

В период с 2013 по 2016 год, когда я работал системным администратором в компании Hostlife [ТОЧКА] net и жил с родителями, я регулярно закупался биткоинами, вкладывая в них 99 % своей зарплаты. Тогда мне было 19–23 года, и я надеялся, что эти инвестиции станут надежной финансовой подушкой. В начале 2024 года я продал биткоины по курсу 43 000 -  54,000 и оставил их в отдельном кошельке MetaMask в долларах. Моя секретная фраза для доступа состояла из 15 слов, которые я разбил на три части и хранил в трёх разных мессенджерах - Telegram, Viber и WhatsApp. Справедливости ради, я был авторизован только в Телеграмме.

Кроме того, я сделал бэкап фразы в Google Фото. Это было просто фото для обложки альбома, на которой изображен лес. Но эта фотография с измененными EXIF-метатегами, созданная так, чтобы выглядеть как обычное фото 2000-го года. В мета тегах этого снимка был записан мой секретник, и я считал, что это обеспечит максимальную безопасность.

Я думал, что мои 700 гигабайт контента, собранных с 2014 года, никому не нужны и кто обратит внимание на фото обложку для музыкального диска, внутри которого спрятан бэкап, а в итоге, скорее всего, это всё было попросту распарсено программами. На тот момент я считал, что такой способ хранения был абсолютно безопасным, ведь кто додумается смотреть в метатеги изображения, но реальность показала обратное.

Когда я уже окончательно осознал и пережил потерю, я не мог понять, как это произошло. Вся моя система безопасности, которую я считал надежной, оказалась бессильной перед этим взломом.

Я пытался осознать, как злоумышленникам удалось собрать все три части приватного ключа с разных мессенджеров, сложить воедино в правильном порядке и получить доступ к кошельку. Вопросов больше, чем ответов. Все мои накопления, которые я считал защищенными, исчезли в одно мгновение, и вернуть их было уже невозможно.

Этот момент стал для меня кульминацией всего ужаса, через который мне пришлось пройти. В один миг я потерял годы усилий и всё то, что должно было обеспечить мне стабильность и безопасность в будущем. Оставалось только смотреть на пустой баланс и пытаться смириться с тем, что эти средства больше мне не принадлежат.

Потеря контроля над устройствами. Mobile Device Management

Продолжая свое собственное расследование, я начал всё чаще обращаться в службу поддержки, чтобы получить хоть какие-то ответы на странное поведение моего телефона. Настойчивость дала результат: специалисты подтвердили, что мой телефон был заэнролен в систему удаленного управления Samsung Knox Manage. Это означало, что кто-то зарегистрировал мое устройство в корпоративной системе, позволяющей удалённый контроль, как если бы это был служебный телефон. Специалисты Samsung посоветовали обратиться туда, где был куплен телефон. Но путь из Малайзии в Лондон, через весь мир, требовал значительных затрат и времени, что сделало этот вариант почти невозможным.

Но на этом проблемы с телефоном не закончились. Когда я решил узнать рыночную стоимость устройства для его продажи, [ПЛОХИЕ ПАРНИ] каким-то образом сделали его «кредитным» в системе Samsung. Телефон вдруг оказался зарегистрированным как приобретенный через Samsung Finance Credit с обязательным ежемесячным платежом. Если я не оплачу «кредит», устройство автоматически блокируется с помощью Samsung Knox Guard. Я пытался снять это ограничение через ADB (Android Debug Bridge), но, хотя мне и удавалось снять блокировку, статус «кредитного телефона» сохранялся. В итоге стоимость телефона на рынке упала настолько, что его можно было продать только на запчасти за 50 долларов, поскольку для полноценного использования он больше не подходил.

Параллельно я продолжал обращаться в Apple, посещал Apple Store и звонил, отчаянно пытаясь донести, что мои устройства взломаны и кто-то имеет удаленный доступ. Я объяснял, что даже полная переустановка с очисткой диска не помогает. В какой-то момент стало ясно, что Apple в Малайзии не намерены мне помогать. Я решил попробовать связаться с Apple в США и пополнил счёт Skype, чтобы начать звонки. К счастью, звонки оказались бесплатными (toll-free) и спустя неделю настойчивых попыток один сотрудник Apple подтвердил по серийным номерам, что мои устройства были заэнролены в систему Apple Business Manager. Получается, мой MacBook 2019 года, который я покупал за 4999$, сразу после его выхода, и iPhone 13 Pro Max, теперь «принадлежат» какой-то компании.

Mobile Device Management, или MDM, — это система управления корпоративными устройствами. Она позволяет компании-владельцу контролировать устройство удаленно, устанавливать политики, определяющие, что разрешено, а что запрещено, устанавливать или удалять приложения, перезагружать устройство и даже следить за экраном пользователя. Функции MDM варьируются в зависимости от провайдера и тарифа, но контроль компании может быть почти полным. Для того чтобы зарегистрировать устройство в MDM, нужна подтверждённая компания с физическим адресом, но злоумышленники, разумеется, могли создать фальшивую компанию, чтобы обойти это требование.

(На скриншоте RemoteManagement.framework unauthorized MDM enrollment, который говорит, что мой Макбук уже добавлен в Apple Business Manager - MDM от компании Apple)

Когда у меня наконец были доказательства того, что мои устройства заэнролены в MDM, я снова пошёл в представительства Samsung и Apple вместе с чеками, чтобы показать, что устройства были добавлены в систему удаленно и без моего ведома. Но ни Samsung, ни Apple не смогли мне помочь. Они утверждали, что удалённо подключить устройство к MDM невозможно и что мне нужно обращаться по месту покупки для решения вопроса. Я показывал технические материалы, объясняющие удалённое подключение к MDM, но получал лишь отговорки вроде: «Я не проверял этот материал, да и он был опубликован несколько лет назад, возможно, баг уже исправлен. Обратитесь в официальное представительство». Казалось, что каждый новый шаг только больше подтверждал мое бессилие перед этой системой.

Финансовая дыра или начало кредитной ямы.

Время шло, а я продолжал своё собственное расследование, пытаясь понять, что же происходит и как мне вернуть контроль над своей жизнью. Периодически заходил в киберполицию, чтобы узнать, нет ли новостей, но, к сожалению, ничего нового они мне не сообщали. Так незаметно подошли май и июнь, июль, а вместе с ними — иссякающий баланс. Жизнь в Куала-Лумпуре обходилась мне недешево: аренда квартиры в 1200$ и примерно столько же на еду и прочие расходы. Конечно, можно было бы жить и дешевле, но до этого момента я зарабатывал достаточно, чтобы позволить себе такой комфорт.

Когда средства начали подходить к нулю, я вынужден был обратиться за помощью к маме. Она зарабатывает всего 330 $ в месяц, а я уже «взял» у неё более 2000$. Затем мне пришлось просить помощи у друзей и знакомых. Но, к моему удивлению, самые близкие люди, которым я когда-то помогал, и даже родственники, теперь отказывались выручить меня в трудный момент. Кум, которому я перевёл 300 долларов, находясь уже сам в беде, до сих пор игнорирует мои сообщения, и на мои просьбы о помощи иногда отвечает лишь его «оператор» в Telegram, объясняя, что он якобы на войне и сможет выйти на связь через пару недель. Эти недели прошли, но ответа так и не последовало.

Когда деньги окончательно закончились, я понял, что это конец для меня начало чего-то нового. Я обратился к коллегам, надеясь найти временную подработку, чтобы хотя бы свести концы с концами. Сергей,[ИМЯ КОТОРОГО ИЗМЕНЕНО], помог мне устроиться на проект, за который я получил около 2000 $. Этих денег хватило на месяц жизни в Куала-Лумпуре, но старые долги так и оставались неоплаченными.

Параллельно я начал искать постоянную работу, но осознал, что для этого мне нужно разобраться с моим MacBook, который продолжал странно себя вести. Меня всё больше беспокоило, что, войдя в инфраструктуру какого-то проекта с миллионами на счетах, я могу поставить под угрозу данные компании. Я притормозил с поиском работы и сконцентрировался на попытках решить проблемы с устройством, но каждый день уходил впустую, а денег на жизнь оставалось всё меньше.

Продажа девайсов или последний вдох утопающего

В какой-то момент я понял, что ситуация с моими устройствами зашла слишком далеко, и единственный выход — избавиться от них. Но перед тем как окончательно расстаться с ними, я решил попробовать ещё одну попытку: я взял свои девайсы в компьютерный клуб, чтобы провести проверку и, возможно, зафиксировать все аномалии. Как оказалось, это была очередная ошибка — я случайно заразил все компьютеры клуба через уязвимость под названием PrintNightmare exploit.

Оказалось, что [ПЛОХИЕ ПАРНИ] использовали мой MacBook для своих целей, как хотели. Через удалённое подключение они играли, рендерили и майнили, используя вычислительную мощность моего ноутбука, в то время как им выводилась уже готовая картинка. Картинка выводилась на несколько дисплеев с помощью X.Org Server. Пример в магазине техники: картинка телевизора раскидана на целую стойку экранов. Мощность моего компьютера уже была использована на все 200%, а мне нужно было ещё как-то работать. От таких нагрузок компьютер просто сам перезагружался, зависал, отключался интернет и просто отказывался функционировать.

Мой Мак часто включался сам по себе, даже если я его выключал и оставлял в спокойном состоянии. Бывало, что ночью я просыпался и слышал, как MacBook гудит, как истребитель, и нагревается до такой степени, что мне было страшно, как бы не начался пожар. Диагностика перед продажей подтвердила худшие опасения: батарея была буквально расплавлена, а оперативная память «потекла» — правда, это, к счастью, не повлияло на её работоспособность.

Наконец, я решил продать свои устройства: MacBook, который когда-то покупал за 4999 $ (Core i9, 32GB RAM, 1TB SSD), iPhone 13 Pro Max на 1TB (с изношенной до 66% батареей), и Samsung Galaxy S24 Ultra тоже на 1TB — всё это ушло за 1200 $. Цены оказались настолько низкими, потому что на каждом устройстве были проблемы. Samsung числился кредитным устройством (как это проверяли «барыги», я уже не пытался понять), батарея iPhone была серьезно изношена, а MacBook Pro 2019 был зарегистрирован в MDM, что также снизило его стоимость.

Всё это стало последней каплей. Со слезами на глазах я продал свои устройства за копейки, понимая, что больше не могу ими пользоваться. 1200 $, которые я получил, стали моими последними деньгами.

Тайланд: вынужденная остановка на Пхукете

В попытке найти способ добраться домой, быть «поближе к своим», я покупаю билет по маршруту Куала-Лумпур – Стамбул – Варшава у Qatar Airways, не самый дешевый, но зато почти прямой рейс и от одной из лучших авиакомпаний. Полёт одной линией должен был сделать дорогу проще. Однако накануне рейса в аэропорту я уснул и проснулся всего за 80 минут до вылета, хотя гейт закрывается за 60 минут.

Через пять минут я уже был на стойке регистрации, но там меня остановили и попросили показать визу в Польшу. Я объяснил, что у меня украинский паспорт и виза для въезда в Европу не нужна. Также добавил, что в Украине идет война, и единственный способ добраться домой — это через Польшу, откуда я смогу сесть на автобус, ведь самолёты в Украине сейчас попросту не летают из-за войны.

Процесс затянулся: сотрудники долго созванивались между собой. Наконец, из-за кулис вышел супервайзер и сообщил, что гейт уже закрыт, и я больше не могу попасть на рейс. Если есть жалобы на сотрудников, сказали мне, можно звонить на горячую линию. На этом всё. Конец.

После неудачи с вылетом я провел в аэропорту еще сутки, пытаясь решить, что делать дальше, и осознавая, что осталось 300$, а у меня нет ни компьютера, ни телефона... В какой-то момент меня осенило, что и виза, которая давала мне право находиться в Малайзии, завтра заканчивается, и без штрафа я вообще отсюда не улечу. Так я и решил брать самый дешевый билет на самое ближайшее время - так я и оказался в Тайланде.

Пхукет

Оказавшись на Пхукете и лишившись возможности вылететь в Европу, я понял, что пора снова браться за работу и восстанавливать свое финансовое положение.

На последние деньги, которые оставались от проданной техники, и немного занятых у знакомых средств, я решил купить новый ноутбук. Родные уже был и так в долгах из-за меня, а друзья, которые уже что-то и заняли, перестали отвечать на просьбу еще одолжить.

Работая старшим девопсом, мне требовался мощный ноутбук, способный справляться с высокими нагрузками и сложными задачами. Я выбрал ноутбук без бренда и имени, но с топовыми характеристиками, которые мне показались подходящими. Решив, что теперь смогу полноценно работать, я начал искать проекты с почасовой оплатой.

Однако спустя некоторое время я заметил, что с ноутбуком что-то не так. Он начал странно зависать, и многие приложения работали с перебоями. Сначала я списал это на моральное истощение и решил, что мои нервы просто не выдерживают. Но позже выяснилось, что дело было не в моей усталости: все характеристики ноутбука, которые я видел при покупке, были всего лишь «захардкожены» — прописаны так, чтобы обманывать пользователя до тех пор, пока не переустановишь операционную систему. В реальности же там стояло дешевое оборудование, которое не тянуло даже базовые задачи.

К тому же, даже микрофон в ноутбуке оказался практически нерабочим: посторонний шум был настолько сильным, что нормально разговаривать было невозможно. Во время видеозвонка изображение выглядело темным, а звук был настолько слабым и искаженным, что провести полноценную е-встречу оказалось нереально. Получив вместо качественного инструмента поддельное устройство с такими недостатками, я вновь оказался на грани отчаяния, теряя последние силы и надежду.

Осознание потерь и переоценка ценностей

Прошло несколько дней, а я всё сидел на пляже под звездным небом, все еще переваривая то, что произошло. Лишиться всего, что я строил годами, — это был удар, который сломал бы, наверное, любого. Осознание того, что деньги, накопления, которые я с такой заботой хранил и которые были моей защитой, просто исчезли, оставляло после себя лишь пустоту.

Мне пришлось посмотреть на реальность в лицо: назад пути не было. Не оставалось никаких шансов вернуть то, что утрачено, и это было как падение в пропасть, из которой нет выхода. Я понимал, что либо останусь в этом состоянии пустоты и страха, либо … начну с нуля, но уже без привычного ощущения безопасности, которое раньше давали мне накопления и работа.

В тот момент я чувствовал, как рассыпается всё, что было для меня важным, и что мне предстоит сделать выбор. Либо я останусь привязанным к прошлому, тем самым оставляя себя навсегда в этой боли и утрате, либо решусь двигаться дальше, не оглядываясь. В этом была горькая правда: иногда, чтобы выжить, нужно отпустить всё, что удерживало, и смириться с тем, что ничего нельзя вернуть.

Эти мысли были невыносимыми, но я чувствовал, что это — единственный способ освободиться. Это была как финальная точка, либо конец всему, или начало чего-то нового. И, хоть внутри оставалась боль от потерь, я наконец начал чувствовать странное чувство спокойствия. Пусть это был выбор от безысходности, но он дал мне шанс на новую жизнь — жизнь без привязанностей к прошлому и без страха перед будущим.

Технические детали

Уязвимость Printer Spooler и начальные подозрения.

Первым серьезным звоночком, который привел к заражению моих устройств, стала уязвимость под названием Printer Spooler (с недавних пор это не только ОС Виндовс уязвимость). Если объяснять проще, Printer Spooler — это служба, которая управляет печатью на устройствах, подключенных к сети. Проблема в том, что через неё можно получить доступ к устройствам практически в любой сети, даже если это собственная сеть, но локальный трафик не контролируется фаерволом.

Клиент с юзер-агентом принтера пытается подключиться к вашему iPhone, Mac или Android. Если у вас нет фаервола и вы не следите за своей локальной сетью, ваш девайс предоставит ему доступ, потому что он считает принтер безопасным. Если попали в среду с Windows, можно воспользоваться уязвимостью squirrel.exe для повышения привилегий — я несколько раз встречал этот процесс, хотя в списке установленных программ его не было. Это, судя по всему, позволяет получить доступ к системе с правами рута. У меня никогда не было устройства с Windows, но я «принёс» это как раз туда — сеть компьютерных клубов Orange Esport и RedSea Esport которая объединена в локальную сеть с помощью VPN. Так я и заразил все компьютеры в городе. ༎ຶ‿༎ຶ

Если хотите узнать подробнее о том, как работает уязвимость Printer Spooler и что собой представляет PrintNightmare, ниже, в разделе контактов, я оставляю ссылку на свой телеграм-канал, в котором можно более подробно об этом почитать.

Уязвимость Printer Sub-System

В ходе расследования я осознал, что взломщики не только получили доступ к моим устройствам, но и использовали их для гораздо более масштабной атаки. Одной из самых тревожных находок стала установка дополнительной операционной системы рядом с основным Android. Обычно мобильные контейнеры применяются для безопасного хранения корпоративных данных, но в моем случае они использовались с совершенно другой целью.

Все началось с того, что рядом с основной системой был установлен контейнер, который включал так называемую Printer Sub-System, созданную пакетом com.samsung.android.appseparation. Этот компонент обычно предназначен для изоляции приложений и данных; однако в данном случае он стал инструментом для скрытой эксплуатации моего устройства — полное описание пакета ниже. Система представляла собой контейнер, в котором содержался, помимо прочего, RIL (Radio Interface Layer) — радиоинтерфейс, который обеспечивает связь и передачу данных на телефоне. Тот компонент, из-за которого телефон становился телефоном. Этот контейнер позволял хранить различные данные и предоставлять доступ к настройкам устройства — еще одна полноценная копия операционной системы.

На данный момент, на момент написания этой статьи, Android и iOS хранят Wi-Fi пароли в незашифрованном виде, и их можно достать прямо из терминала либо файлового менеджера, если устройство рутировано, что позволило контейнеру легко подключиться к моей Wi-Fi сети, а затем склонировать её (используя режим трансмиттера). Таким образом, доступ в мою локальную сеть был возможен без ведома роутера. Они получили контроль над моим интернет-соединением, что даже привело к потере работы, так как я не мог полноценно использовать интернет.

Система была обнаружена случайно: один из телефонов разрядился, и, подключив его к другому устройству, я открыл терминал и применил знания на практике. Если хотите понять, как такие контейнеры работают в компьютерной среде и почему это представляет риск, я оставляю ссылку на статью, где подробно объясняется роль контейнеров в безопасности системы и как злоумышленники могут использовать их для перехвата данных. Копии этих ссылок есть у меня в телеграм канале.

Проверка на подсистему

Продолжаю с описанием следующего блока, раскрывая процессы и приложения, которые я обнаружил на своих устройствах, с пояснениями и ссылками в соответствующем разделе: ссылки.

# Устанавливаем Samsung Nice Catch чтобы отлавливать, какие настройки в телефоне меняются и что это триггерит. Можно использовать любой другой софт.

# Устанавливаем ADB -  Android Debug Bridge.

# Подключаемся

>> adb device
>> adb shell

# Здесь мы проверяем от какого юзера запущено все. Это системный юзер.

>> ps aux | grep talkback

# Удаляем пакет для всех юзеров, включая данные самого пакета.

>> pm uninstall --user 0 -k com.samsung.android.accessibility.talkback

# Получаем алерт от Samsung Nice Catch что TalkBack  установлен и включен.

Открываем настройки телефона и идем в "Accessibility". При открытии получаем ошибку, что "TalkBack" не установлен и "Accessibility" не возможно запустить без него. При поиске "TalkBack" его находит, но при попытке открыть — все та же ошибка, что этого пакета нет в системе.

# Рутируем телефон.

## Хочу подчеркнуть, что я получил рут-права на устройстве только после того, как инцидент уже произошел. Поэтому не стоит утверждать, что получение рут-прав стало причиной уязвимости или снизило безопасность устройства.

# Возможно, рут даже не нужен и shell было бы достаточно. Пишу как я делал.

>> ADB root

# Смотрим от какого юзера запущен наш TalkBack.

>> ps aux | grep talkback

# Ищем все процессы, запущенные от имени пользователя xprinter.

>> ps -xU xprinter

Система вывела список процессов от пользователя xprinter. Случайно заметил процесс с флагом --com.sec.spp.push.permission.token  – это пакет системного приложения Samsung, отвечающего за управление push-уведомлениями. Когда я проверил пермишены этого пакета, обнаружил токен (фото ниже). Так я понял, что на моём устройстве была эксплуатирована уязвимость, которая, на момент написания этого текста, все еще не устранена. Для просмотра пермишенов я воспользовался Package Manager.

Список пакетов

Ниже приведен список пакетов, которые я обнаружил в системе. Они могут выполнять различные функции, и хотя любой из них потенциально может быть вирусом, это не обязательно означает, что он таковым является. Вполне возможно, это оригинальные пакеты.

package:com.samsung.android.appseparation - относится к функции, используемой в устройствах Samsung для изоляции приложений и данных. Эта технология, известная как "App Separation" или "Secure Folder", позволяет пользователям безопасно хранить и управлять чувствительной информацией, изолируя ее от основной операционной системы и других приложений.

В контексте взлома этот пакет может быть использован злоумышленниками для создания скрытых контейнеров, которые позволяют им управлять приложениями и данными без ведома пользователя, что делает его потенциально опасным инструментом при несанкционированном доступе к устройству.

package:com.samsung.android.knox.enrollment - Пакет относится к приложениям и сервисам Samsung Knox, системы безопасности, разработанной Samsung для защиты данных на мобильных устройствах. Этот пакет отвечает за процесс энроллинга устройств, то есть их добавления в управляемую корпоративную среду. Обычно этот процесс включает регистрацию устройства в системе управления мобильными устройствами  с помощью Serial Number (MDM), что позволяет организациям обеспечивать контроль и управление безопасностью данных на устройствах сотрудников.

Еще бросилось в глаза package:com.samsung.android.knox.containercore - это легитимный пакет для управления контейнерами и многозадачностью в среде Samsung Knox. Он управляет изоляцией приложений в контейнерах, что помогает разделять рабочую и личную среду на одном устройстве.

package:com.samsung.android.accessibility.talkback - это компонент системы Android, предназначенный для улучшения доступности устройства для людей с нарушениями зрения, предоставляя голосовые подсказки и управление с помощью жестов. Однако в контексте взлома этот пакет может быть использован для обхода систем безопасности, таких как экраны блокировки. Злоумышленники могут эксплуатировать уязвимости в интерфейсе доступности, позволяя себе скрытые манипуляции с устройством, активацию скрытых функций или изменение системных настроек. Это открывает возможности для несанкционированного доступа к данным или обхода защиты устройства.

package:com.android.printrspooler - служба для управления печатью на устройстве, ответственная за выполнение задач печати. В данном случае эта программа могла быть изменена или использована для выполнения вредоносных функций, хотя сам пакет может быть легитимным.

package:com.samsung.android.knox.attestation - инструмент для проверки подлинности устройств Knox. В нем может находиться сертификат безопасности, что указывает на его легитимность. Однако, наличие не валидного сертификата, неожиданно появляющегося в системе каждый раз после перезагрузки, вызывало у меня подозрения и могло быть признаком того, что приложение установлено неофициально.

Самой настоящей находкой оказался пакет с названием package:com.pam.android.craxsrat.ctool. После небольшого исследования я узнал, что CraxSRAT - это утилита для удаленного доступа андроид, который позволяет следить за действиями на устройстве, управлять файлами и даже включать микрофон и камеру. Осознание того, что кто-то мог наблюдать за мной и слушать через мои собственные устройства, окончательно подтвердило серьезность, и в то же время абсурдность, всего происходящего.

package:com.knox.vpn.proxyhandler - Пакет для управления VPN и прокси на устройствах Knox. Он помогает обеспечить защиту и конфиденциальность данных, передаваемых через интернет.

package:swift.microsoft.keyboard - Вспомогательное приложение для клавиатуры. Вернее, предустановленная клавиатура от Майкрософт, которую нельзя удалить. Описание уязвимости ниже.

package:com.samsung.android.knox.kpecore - Компонент платформы Knox Platform for Enterprise (KPE), который обеспечивает безопасность для корпоративных данных.

package:com.samsung.android.knox.pushmanager - это системный пакет, который используется в рамках платформы безопасности Knox для управления push-уведомлениями. Этот пакет отвечает за доставку push-уведомлений в защищенные приложения Knox.

package:com.samsung.android.knox.app.networkfilter - Фильтр сетевого трафика, который регулирует доступ к сетевым ресурсам. Если этот фильтр скомпрометирован каким-то образом, трафик может быть направлен на сторонние сервера или подвергаться анализу, что у меня и было, скорее всего.

package:com.samsung.android.knox.mpos - Пакет для платформы мобильных платежей. Обеспечивает безопасность мобильных платежей.

package:com.samsung.android.knox.analytics.uploader - Служба для отправки аналитических данных с устройства на сервера Samsung. Трекер за вами со стороны Samsung.

package:com.samsung.android.knox.zt.framework - просто системный компонент для защиты корпоративных данных.

package:com.android.systemui.accessibility.accessibilitymenu - это компонент пользовательского интерфейса Android, связанный с доступностью. Он отвечает за отображение меню доступности, которое позволяет пользователям с ограниченными возможностями получить доступ к различным функциям и настройкам, упрощая навигацию и взаимодействие с устройством. К этому относится TalkBack, которым озвучивали все мои вводимые пароли.

package:com.sec.spp - является системным компонентом, встроенным в устройства Samsung на базе Android. Этот пакет относится к службам, связанным с печатью или поддержкой некоторых подключений, например, Smart Print Protocol (SPP) от Samsung. Он обеспечивает взаимодействие и менеджмент между телефоном и принтером

package:com.elite - искал серебро, а нашел золото. Этот apk я сдампил и он у меня в избранных теперь хранится. Открыв AndroidManifest.xml, я нашел сам вирус, источник, где скачать вирус для удаленного доступа телефона находится у меня в телеграм канале, а здесь держите лого.

При более детальном изучении установленных пакетов я случайно наткнулся на весьма любопытный канал, где объясняются принципы их работы и предлагаются к продаже или скачиванию вирусы для Android. Рекламы ему делать не собираюсь, но для наглядности покажу несколько скриншотов.

В телеграм канале, котором можно купить вирусы размещены файлы и описания, связанные с вредоносными программами. Один из постов предлагает скачать вирус XWorm-RAT.zip, представляющий собой новую версию RAT (Remote Access Trojan для андроид), с перечислением функций, таких как управление файлами, извлечение данных, скрытое управление устройством, снятие скриншотов, запись голоса и другие действия, характерные для удалённого контроля над устройствами. Справа видны категории канала, включающие разделы Stealers, RATS, Crypters и другие вредоносные инструменты.

TalkBack

Как я уже упоминал, в этом контейнере я обнаружил вторую копию TalkBack. Обычно эта программа предназначена для помощи людям с ограниченными возможностями, озвучивая информацию на экране. Однако в моём случае TalkBack озвучивал пароли и личные данные, которые я вводил на устройстве, передавая их через dbus: --address=android:path=/run/user/${PID}/at-freedesktop.org-api/output.json

Список доказательств

Мне удалось сохранить большую часть доказательства по этому кейсу, но владелец проекта, над которым я работал, удаляя конфиденциальные данные из нашего диалога, затронув и эти файлы. Теперь мне приходится восстанавливать их по крупицам. Поэтому иногда я ссылаюсь на внешние источники, чтобы подтвердить свои слова, так как не все личные файлы сохранились. Процесс их восстановления еще продолжается, так как они разбросаны по множеству диалогов. Чтобы не пропустить важные обновления, подписывайтесь на мой канал, где я ежедневно выкладываю новую информацию.

Ожидание и реальность

В сервисном центре Samsung в Low Yat Plaza, Куала-Лумпур, Малайзия, после ожидания ответа от официального представительства более 14 дней мне сообщили, что, если бы проблема действительно была серьезной, Samsung уже дал бы комментарий.

Кроме того, сотрудники центра указали, что ситуация считается неактуальной и посоветовали обратиться в место покупки устройства — в Лондон.

Тем не менее, я хотел бы получить официальные разъяснения от представительства в Украине и Великобритании/Малайзии - английская версия этого материала уже в процессе написания, а чтобы не пропустить ее выход, советую подписаться на мой телеграм канал, в котором я также рассказываю о безопасности. При необходимости готов предоставить серийный номер устройства. Один из них указан здесь, но это младшая модель S23, приобретённая в Украине. Мой же S24 был куплен в Лондоне. Эти устройства никогда не пересекались и не использовались в общих аккаунтах. Мои контакты.

Дисклеймер

Все, что здесь описано, — это мои личные наблюдения и опыт. Я не вдавался в детали того, как именно всё должно функционировать, и не могу утверждать, что оно работало в тот момент не так, как предполагалось. Я не Android-разработчик: моя специализация — DevSecOps, работа с инфраструктурой, развертывание её с акцентом на безопасность. Мне было достаточно того факта, что рядом с Android функционировала другая операционная система. Находясь за границей, без средств, я просто не имел возможности глубже разбираться в этом. Я делюсь тем, что знаю на поверхностном уровне и подкрепляю свои выводы ссылками и доказательствами, которые удалось сохранить.

Реквизиты

Ссылки

Непосредственно ссылки на материалы и краткие комментарии от меня, которые будут полезны для понимания  ситуации.

https://duo.com/labs/research/mdm-me-maybe  - Статья от известной компании Duo Labs, которая исследует риски, связанные с использованием систем управления мобильными устройствами (MDM). В ней описывается, как злоумышленники могут использовать уязвимости MDM, чтобы удалённо контролировать устройства. MDM, который обычно используется в корпоративных целях для управления рабочими телефонами, позволяет администраторам устанавливать приложения, ограничивать доступ к данным и даже следить за устройством. Исследование объясняет, что если MDM-конфигурации будут скомпрометированы, злоумышленники могут получить доступ к личным данным устройства, устанавливать вредоносные программы и полностью управлять устройством жертвы, что создаёт значительные риски для безопасности.

https://github.com/nemo-wq/PrintNightmare-CVE-2021-34527 - В контексте proof of concept (PoC) на данном репозитории представлен, который демонстрирует использование уязвимости для выполнения атаки, например, получения удалённого доступа или выполнения команд на уязвимой системе. PoC позволяет исследователям безопасности и системным администраторам тестировать эту уязвимость на своих системах с целью защиты или обнаружения.

PrintNightmare стала известной после того, как она была раскрыта в июле 2021 года, и многие патчи и обновления были выпущены для её исправления. Но, как показывает моя история, уязвимость всё еще эксплуатируется, несмотря на установленные все обновления.

https://www.ysoft.com/safeq/blog/windows-print-spooler-vulnerability/ - Статья на сайте описывает уязвимость в службе Windows Print Spooler, которая использовалась для управления печатью в Windows. Эта уязвимость позволяет злоумышленникам выполнять произвольный код на уязвимых системах, получая таким образом несанкционированный доступ к устройству или сети. Уязвимость получила широкую огласку после серии атак, и Microsoft выпустила обновления безопасности для её устранения.

Важно отметить, что, хотя изначально уязвимость была связана с Windows, её последствия выходят за рамки одной операционной системы. Похожие проблемы обнаружены и в других экосистемах печати, включая оборудование и программное обеспечение, используемое в корпоративных сетях. В последние годы аналогичные уязвимости в системах печати были выявлены и в других операционных системах, что подчёркивает необходимость уделять внимание безопасности всей печатной инфраструктуры, а не только Windows.

https://www.nowsecure.com/blog/2017/06/16/remote-code-execution-as-system-user-on-samsung-phones/ - Статья описывает, как специалисты нашли уязвимость на некоторых телефонах Samsung, которая позволяет злоумышленникам удаленно управлять устройством. Эта проблема дает возможность другим людям запускать команды на телефоне так, как будто они — его главный пользователь. Это значит, что они могут получить доступ к личным данным и настройкам. Уязвимость связана с тем, как система Samsung обрабатывает определенные команды, и позволяет хакерам использовать эти слабости для своих целей, если они подключены к одной сети с устройством.

https://xdaforums.com/t/com-sec-spp-permission-token-remote-code-execution-backdoor-on-samsung-apps.4574955/  - XDA Forum — это популярный форум для разработчиков и энтузиастов, с ежедневной аудиторией более 5 миллионов, которые занимаются изменением и улучшением мобильных устройств на базе Android. На этом сайте пользователи обсуждают технические темы, такие как прошивки, модификации, настройки, приложения, а также делятся руководствами по настройке и устранению проблем на смартфонах и планшетах.  В этом обсуждении объясняется, что устройства Samsung имеют скрытую уязвимость, связанную с пакетом com.sec.spp.permission. Эта уязвимость может быть использована как "черный ход" (backdoor), позволяющий хакерам получать доступ к устройству и выполнять на нем команды удаленно, как главный пользователь. По сути, это дает злоумышленникам возможность обходить защиту устройства Knox и управлять данными, приложениями и настройками, что ставит под угрозу конфиденциальность и безопасность пользователя.

https://www.sygnia.co/threat-reports-and-advisories/demystifying-the-print-nightmare-vulnerability/ - На этой странице рассказывается о уязвимости, называемой "PrintNightmare" позволяющая злоумышленникам получить несанкционированный доступ к компьютерам и телефоны через службы печати для принтеров.

https://cve.mitre.org/cgi-bin/cvename.cgi?name=2023-42570 - описание уязвимости с идентификатором CVE-2023-42570 в базе данных уязвимостей CVE (Common Vulnerabilities and Exposures). Этот ресурс публикует подробную информацию о различных уязвимостях, обнаруженных в программном обеспечении.

В частности, запись CVE-2023-42570 содержит описание проблемы, её потенциальные риски, затронутые версии программ или устройств, а также возможные способы защиты или устранения этой уязвимости. Обычно, но не в этом материале, указывается, как злоумышленники могут использовать эту уязвимость, чтобы нанести вред, и часто приводится информация о наличии обновлений или патчей, выпущенных производителем для защиты пользователей.

Данный отчет создан компанией Mitre Corporation, которая занимается изучением уязвимостей, киберугроз и проводит собственные исследования в области компьютерной безопасности. Спонсируется средствами федерального бюджета сразу шестью институтами США.

https://nvd.nist.gov/vuln/detail/CVE-2023-42570 - Та же самая язвимость на сайте национального института стандартов и технологий. На данном сайте есть также список программного обеспечания с упомянанием версии, которое позволяет злоумышленникам обойти защиту и выполнять вредоносные действия. Обращаю внимание на государстваенный домен .gov

https://vuldb.com/?id.246920 - Та же информация, но чтобы получить доступ, нужно зарегистрироваться на сайте. Я советую этот сайт, потому что на нем можно подписаться на уведомления о всех уязвимостях, которые могут касаться, будь то Apple, Samsung или Phillips, устройства. Это поможет быть в курсе и защитить свою информацию.

https://r2.community.samsung.com/t5/Others/CERT-IN-Advisory-alert-by-government/td-p/15115521?src=ShareByUserCM - На сайте сообщается о том, что правительство Индии, в частности Министерство электроники и информационных технологий, выпустило предупреждение о серьезной уязвимости, затрагивающей устройства Samsung.

Эта уязвимость может позволить злоумышленникам получить доступ к личным данным пользователей и выполнить вредоносные действия.

https://r2.community.samsung.com/t5/Secure-Folder/Hacking-in-samsung-galaxy-devices/td-p/15122268  На этом форуме пользователь делится своим опытом, описывая, что у него возникли проблемы с безопасностью на устройствах Samsung Galaxy. Он говорит, что встроенную защиту под названием Knox Guard можно обойти, и ссылается на предупреждение от правительства Индии о потенциальной уязвимости.

Пользователь также упоминает, что в это время у него начали происходить несанкционированные попытки входа в его аккаунты. Это вызывает у него беспокойство, и он делится этой информацией, чтобы другие могли быть осторожнее и следить за безопасностью своих устройств. Дата создания 12-16-2023 11:25 PM - именно в эти даты у меня были первые точечные взломы моих аккаунтов.

https://security.samsungmobile.com/securityUpdate.smsb?year=2023&month=12 - На официальном сайте Samsung действительно указано, что уязвимости были исправлены, и они выпустили обновления безопасности, включая последние патчи для Samsung S24 всех версий. В зараженном устройстве установлены все обновления, однако, несмотря на это, уязвимость на устройстве все еще проявляется, что вызывает вопросы. Я жду разъяснений от официальных представителей, контакты указаны на странице.

https://github.com/nathanealm/PrintNightmare-Exploit - репозиторий GitHub, связанный с уязвимостью "PrintNightmare" (CVE-2021-34527), которая затрагивает службы печати Windows. Эта уязвимость позволяет атакующим выполнять произвольный код с повышенными привилегиями, используя уязвимость в службах печати.

Репозиторий, вероятно, содержит эксплойт для эксплуатации этой уязвимости. Эксплойт позволяет атакующему, получившему доступ к уязвимой системе, выполнить код от имени SYSTEM или другого пользователя с повышенными правами.

https://book.hacktricks.xyz/macos-hardening/macos-red-teaming/macos-mdm - На этой странице рассказывается о том, как можно произвезти энролмент, то есть добавление устройства в систему управления посредством MDM (Mobile Device Management), требует некоторых подготовительных шагов и доступов. MDM позволяет администраторам удаленно управлять устройствами, настраивать их, устанавливать программы и ограничивать доступ к функциям.

https://economictimes.indiatimes.com/news/new-updates/govt-issues-warning-for-some-samsung-phones-advises-urgent-update/articleshow/106012861.cms - Правительство Индии предупредило владельцев Samsung об опасных уязвимостях в их системе, которые не закрыты. Эти проблемы позволяют злоумышленникам получить доступ к личной информации, управлять устройством или запускать вредоносные программы. Уязвимости затрагивают модели, работающие на Android 11, 12, 13 и 14, такие как Galaxy S23 и новее, а также и Galaxy Flip.

https://www.infopoint-security.de/medien/mobile_threat_report_q3_2013.pdf На этой странице представлен отчет о мобильных угрозах за третий квартал 2013 года. В нем анализируются риски и проблемы безопасности, связанные с мобильными устройствами. Даю ссылку потому что черпал информацию отсюда о вредоносных программах и как они работают.

https://www.xda-developers.com/install-adb-windows-macos-linux/ - На этой странице объясняется, как установить и подключить телефон к компьютеру с помощью ADB (Android Debug Bridge). Этот инструмент для разработчиков и продвинутых пользователей, который позволяет управлять устройством через компьютер средствами терминала.

Советы

• Для своих аккаунтов, если Вы «Айтишник» или у вас в сети есть несколько тысяч зеленых, используйте физические ключи FIDO YubiKey. Другие меня читать не будут. Они правда стоят копейки. Другим он правда не нужен.
• Привязывязывайте обязательно симку к паспорту и блокируйте на уровне оператора возможность ее восстановления.
• Используйте фаервол. Логично. Я просто не мониторил локалку. MacBook- Little Snitch, Micro Snitch, Android - Rethink Firewall, Iphone - только с помощью iOS Jailbreaking. Описание не будет входить в эту статью.
• Любое государство, либо хакер, тем более, если это наводка, если захочет это сделать, по-любому [СДЕЛАЕТ С ВАМИ ЧТО-ТО ПЛОХОЕ], но что бы уменьшить вероятность этого, советую использовать везде номер другого государства. А еще лучше - на номер другого государства регистрируем виртуальные номера, что-то типа call [DOT] com. Только лучше поискать сервис, который не выдает данные. Кстати, вот почему барыги в мессенджерах используют номера других государств. %)
• Имея в своих владениях хотя бы 5000$, советую уже на этом этапе рассматривать холодный кошелек, что-то типа ledger. Я просто не думал, что это меня как-то зацепит -  о моих деньгах не знал никто. Совсем никто. Даже родители.
• Заблокируйте на уровне роутера доступ к ненужным доменам. Обращаю внимание на раздел “Device Management”.
• Установите пароль на Security mode (Activation Lock\ Firmware Lock) заранее - это мод макбука, в котором можно сделать переустановку ОС. Таким образом предотвратите unauthorized firmware password lock due to MDM. Если у вас не макбук - «пароль на биос».
• Отключите доступ к сервисам, которые отвечают за энролмент Макбука. (Ctrl +F: Postwork)
• Хотите узнать продолжение советов и не упустить еще больше полезных рекомендаций? Подписывайтесь на мой Telegram-канал, чтобы всегда быть в курсе новостей и получать лучшие советы по теме!

Контакты

Email: bortnik-book@pm.me

Telegram: https://t.me/crzyhck1234

LinkedIn: https://www.linkedin.com/in/oleksandr-bortnik-7831aa208/

Русская версия: https://teletype.in/@babebort/DevOps-Engineer-Who-Lost-Nearly-a-Million-Dollars

English version: https://teletype.in/@babebort/+book (Coming soon)

PS

Интернет действительно имеет свою память, и даже спустя годы уязвимости остаются в истории. Принтер-сабсистем уязвимость и Printer Spooler vulnerability - это напоминание о том, как важно защищать устройства, данные, а также устанавливать все доступные обновления.

Надеюсь, что в будущем безопасность станет еще лучше и такие проблемы будут решаться быстрее.

Спасибо за распространение моего материала, берегите себя, свои активы и будьте на связи! 🔮