КАК ПОТЕРЯТЬ 7 ТЫСЯЧ ДОЛЛАРОВ ИЛИ КАК Я КУПИЛ ADOBE AFTER EFFECTS.

Всем привет! Меня зовут Игнат, многие из вас знаете меня как сосыч или админа тг - канала "тысяча иксов", и меня взломали и украли 7 тысяч долларов в $USDT или $ETH (а если считать с кошельком отца, то все 9к баксов).

Краткий экскурс в историю: Я уже 3 года пользуюсь macOS и всем, что связано с @apple, и как твердили в рекламах и на всех билбордах: «MacBook невозможно взломать», или же можно?

В этой истории вы узнаете как меня взломали и украли 9к баксов, так еще и узнаете правила безопастности в крипто-индустрии. Я думаю, что всем будет интересно почитать, даже профикам, которые думают что их это не коснется.

Я тоже так думал и вот где мы сейчас....

Акт 1. Экономия

Было 12 июня, у меня кончается подписка в Adobe Cloud, и я решаюсь купить Adobe After Effects. И решился я купить не на официальном рынке. У нас в России это Авито. Я захожу, ищу объявление и нахожу объявление человека, который продает данную программу за 5 долларов. Честно, я понимал, что скорее всего это пиратская версия программы, но я думал, что в ней как минимум не будет вирусов, потому что не существуют вирусы на MacBook, которые могут так наглую украсть криптовалюту. Я списался с ним, скинул средства на местный банк и после спокойно установил программу.

После неделю я вообще отсутствовал у компьютера, так как был занят помощью родителям, и вообще не подозревал, что у меня на MacBook уже стоит вирус.

Если кто не знает, почему я говорю, что вирусов не существует, так вот у macOS три уровня защиты: Boot ROM, Kernel Integrity Protection, Secure Enclave и защита сетевых подключений.

Проходит неделя, и ровно в 7 часов я вижу, как Bybit отправляет мне сообщение, что эфир достиг отметку 3600 баксов. Я думаю: «О, отлично, надо посмотреть на свои кошельки».

Открываю MacBook — захожу в Google Chrome — открываю MetaMask — вижу…

А вижу я то, что сначала у меня показывает сумму эквивалентом 7600 USDT, а потом резко 0. И тут я думаю, что да, возможно ошибка, надо посмотреть транзакции. В самом моем MetaMask транзакций не было, но вот в explorer я вижу 6 транзакций: из них 2 вывода с LiquidityPool в проекте @treehouse и со стейкинга в @zerobase. Также обмен токена @Morse404, 1 транзакция перевода $USDC в $ETH, вывод токена с @LIDO и наконец-то перевод всех активов на кошелек скамера.

Дальше я осознаю, что произошло, и открываю следующий кошелек, который принадлежал моему отцу, на котором было около 2к баксов. За полгода до этого он сам попросил меня сделать кошелек и купить $ETH, но если бы он знал... но сейчас не об этом.

Рядом со мной сидела девушка. Я с трясущимися руками говорю ей:

— Меня ограбили на 7600 баксов.

Она смотрит на меня, я смотрю на неё, она начинает паниковать, а я будто отключился в эмоциональном плане. Меня только трясёт из-за адреналина, но никаких эмоций я не почувствовал. Я просто думал, как меня, параноика, могли взломать, учитывая, что я делал всё что можно, чтобы такого не произошло.

Но сейчас я понимаю, что именно да, наоборот, но об этом позже. Интересное только начинается.

После пяти минут осознавания я начал думать, как это произошло, и вспоминаю, что мой отец сказал, что скачал какую-то хрень на телефон (угадайте, что за операционка), которая меняет клавиатуру, и у него начало само печатать какие-то сообщения.

Я пошёл будить отца… а на часах 7:05. Я кричу на весь дом и говорю отцу проснуться. Он просыпается, я на повышенных тонах говорю, что за приложение он скачал (извини, папа, я просто был в тревоге), и вижу, как его начинает трясти. В этот момент я думал, что не дай бог, чтобы у него остановится сердце (у него есть проблемы), и я говорю ему, что мы потеряли деньги. Он 2к долларов, я 7к долларов. (Сейчас, когда я пишу это, понимаю, какой я был дебил, говорить такое человеку рано утром, которому около 60 лет, но, друзья, честно, я был в стрессе.)

Он показал приложение, и там был какой-то троян.

Все, думаю, что всё, я нашёл проблему, но нет. Он просто майнил $BTC XDD. Бате, как всегда, оказалось пофиг, он сказал, что я лох, а на бабки ему пофиг. Он сигма. Ну я что-то подумал-подумал, думаю: ладно, проехали. Смотрю его телефон, там была его приватная фраза, и вроде ничего не произошло. Но изначально думал, что это вина отца, но, как оказалось, нет.

Потом проснулась мама, сказала обратиться в полицию. Я говорю: «Ага, мама, они человека, который украл 1 лярд рублей, не могли посадить, а тут хакер ситуация». Ну что-то и забил... И тут начинается Акт 2.

Акт 2. Операция «Сыщик»

Отойдя от всей тревоги, которая нахлынула на меня, я попытался отследить, куда ведут транзакции. И, как оказалось, всё очень сложно. После вывода с моего кошелька они вывели на прогретый кошелек скамера. Скамер на тот момент уже имел на счету больше 300к баксов. Дальше мои деньги через какое-то время были поменяны в $ZeUSD и пошли по криптомиксерам. Но была одна зацепка, которая мне не давала спокойствия.

Кошелёк, который регулярно выводил и вводил активы на кошелёк скамера, и этот кошелёк был пополнен с @Binance, и тут, как я подумал, вот оно решение.

Я полез пробивать кошелёк по всем возможным каналам: @x, @Discord, @Telegram — и нашёл.

Нашёл я корейца, который ставил этот кошелёк в свой пост в Twitter и активно вёл в принципе страницу. И боже, я нашёл даже его лицо (никогда не делайте так, как делает он, и тем более как я). Я путём OSINT-технологий начал пробивать всё об этом человеке. (ВСЕ ДАННЫЕ НАХОДИЛИСЬ В ОТКРЫТОМ ДОСТУПЕ И ЭТО ЗАКОННО) И до этого момента я думал, что я не умею вычислять и деанонить людей, но оказалось всё наоборот. Я узнал всё об этом человеке: его номер, его адрес, его семью (извините), где он находится больше всего. Грубо говоря, у меня было всё досье о «хакере», как я думал (ключевое). И я думал, что мне делать.

Два пути: идти в полицию или угрожать ему полицией.

И, учитывая, зная, как у нас работает местная полиция, я выбрал второе.

Я написал ему сообщение. Далее будет восстановленный диалог, так как оригинальный я потерял аккаунт и не смогу его восстановить.

Если бы вы знали, как я чувствовал себя, когда писал ему это. Я думал, что я главный герой гангстерского фильма, и я босс мафии или русский Джон, мать его, Уик.

После мы немного пообщались и выяснили, что мы попали на один и тот же скам, и он ни в чём не причастен (но когда я пишу этот текст, я думаю о том, что возможно он был связан, так как на конец лета его кошелёк до сих пор редко, но переводит активы на кошелёк, который меня заскамил).

И вот тут я нашёл новую зацепку. Он сказал, что качал точно такое же приложение, только с другого сайта, который как раз таки и рассчитан на пиратские версии программ на MacBook. В этот момент я вспомнил, что качал тоже, и вот теперь где мы.

Мы с ним поболтали. Я тысячекратно извинился и сказал ему, что постараюсь найти, кто нас обманул. И я не забросил это...

Дальше я вернулся к тому, откуда мы начинали...

А именно к Adobe After Effects, которую я купил за 5 баксов.

Я начал смотреть и открывал файлы на виртуальной машине, чтобы понять, как меня взломали и через какой код. Начал открывать по советам с форума httpdebuger, который показывает, куда идут запросы от ваших интернет-запросов. Но так как у меня Mac, а виртуальная машина Windows, я понял, что ничего не получится, и забил. После мне написал знакомый и сказал, что сможет зареверсить все файлы, которые я качал. Он это и сделал и сказал, что именно этот файл был заражён. Он мне всё объяснил, сказал, что вот такой файл Payload имеет зашифрованную одну строчку, которая как раз таки и могла вызвать эксплойт в системе. (приложу фото ниже)

И я начал писать всем, кто был хоть как-то упомянут в инструкциях, сведениях, в коде установщика Adobe After Effects. Если вы не знаете, в интернете есть такие ребята, как @montergroup, они и занимаются взломом приложений и выгрузкой их в открытый доступ. Я написал даже им.

Первый, кто продал установщик, сказал, что он вообще не причастен и просто перепродаёт ту программу, которую купил у другого человека.

Люди из @montergroup сказали, что вообще не умеют реверсить файлы и уж точно не они сделали такое, и если бы сделали, то не работали программистами и уже были на Гавайях.

Звучит как лютый бред и я ставлю больше всего на них. Илья тоже ставит на них.

Но я не утверждаю, а вы тоже думайте

Ещё один, который был контактом на их сайте, два раза заблокировал меня, а на третий раз сказал, что вообще не причастен к этому разделу и сказал писать админу.

Короче говоря, хата не моя, моя с краю.

И в итоге, поговорив со всеми и поговорив с друзьями, я решил, что я больше не буду вести расследование и надо просто вернуться к работе.

Акт 3. Посттравматический синдром

Спустя неделю после скама и расследования я понял, что я не найду вообще никого. Полиция не поможет, всех не опросит и точно не поспособствует, а ещё и спросит, откуда у 21-летнего пацана столько бабок.

Осознавая всё это, я просто начал двигаться дальше, но понимал, что я просто выключился эмоционально. Я ничего не чувствовал — ни радости, ни грусти — просто был как амёба. Ухудшились отношения с девушкой из-за стресса (но ей огромное спасибо, она сказала, что забей хрен на эти бабки и просто двигайся дальше). Семья тоже поддержала, сказала, что это не великая потеря и не стоит париться об этом. Друзьям, как всегда, было всё равно на меня (но несколько даже предложили помочь финансово, за это большое спасибо им, но я отказался).

Но я даже не переживал из-за этих денег — я переживал, что за 5 лет моей истории в криптоиндустрии я думал, что меня это не коснётся, но касается это каждого, что моя система безопасности точно не сломается и не взломается (каким же я был глупый).

И вот тут начинается заключительный акт.

Акт 4. Несовершенство системы

Вы спросите: «Игнат, но всё-таки что произошло и как украли?» — и я вам отвечу правилами, которые вы должны, я бы даже сказал, обязаны соблюдать. Учитесь на чужих ошибках, а не на своих.

Первое главное правило

Не качайте НИКАКИХ взломанных или пиратских приложений ни на какие системы.

Как бы macOS ни позиционировала себя как самая безопасная система, которую невозможно взломать, но, как показывает мой текст выше, — это миф. Любую систему, созданную человеком, возможно взломать. Неважно когда, как и где — главное можно. Покупайте только лицензии только у проверенных продавцов.

Как случилось в моей ситуации: злоумышленники получили через DNS-запрос все мои пароли, которые были сохранены в браузерах, все мои логи и всё. Как это выглядит: мы скачиваем программу на компьютер, дальше типа активируем её через «активатор» (фото), и в этот момент хакеры получают неограниченные запросы на нашу систему. Они могут загрузить любой скрипт или выгрузить любую информацию, которую мы имеем. Ну а дальше вы понимаете, как и что происходит.

Второе правило

Используйте только холодные кошельки, даже для тестнетов.

Ни раз слышал, сколько человек жаловались на то, что с их @metamask (привет) крали криптовалюту. Но в основном злоумышленники используют криптофишинг, который не наш случай, но всё равно имеет место быть.

Покупая холодный криптокошелёк, вы точно можете быть уверены, что если вы нигде не показывали свою сид-фразу, то ваши активы будут в безопасности.

Третье правило

Не храните нигде свои сид-фразы в электронном формате. В любом электронном формате, даже на флешке. Почему? Если вы забыли сид-фразу и решитесь вставить флешку в заранее заражённый компьютер, то можно попрощаться со всеми вашими активами и криптовалютами. Тем более не храните свои сид-фразы в Google Docs или Word-файлах, так как если ваш аккаунт Microsoft будет взломан и вы хранили в доках, и у вас включена синхронизация OneDrive, то ваши доки загружаются в облачное хранилище и сохраняются там до того момента, пока вы не выгрузите и не отключите синхронизацию.

Четвёртое правило

Не подключайтесь к Wi-Fi, который раздают бесплатно в отелях/вокзалах и где-то ещё. Через Wi-Fi можно точно также украсть всю информацию, которая есть у вас на компьютере/телефоне, а также перенаправлять на фишинговые сайты, которые в свою очередь заберут у вас всё до ниточки.

Пятое, последнее правило

Думайте головой и не надейтесь, что с вами не произойдёт то, что, вы думаете, не произойдёт с вами. Да, как бы тупо ни звучало, но мой пример показывает, что всё в жизни реально, даже имея, как думалось, «защищённую» систему безопасности.

Ну вот и конец моей истории. Надеюсь, что кто-то прочитал до конца и понял, как делать точно не нужно. Я надеюсь, что я перенёс точно всё так, как было на самом деле. Продолжать искать похитителей я не думаю, что есть смысл. Никто и никак их не найдёт. Только если подключатся какие-то криптобезопасники, но и сумма не та, чтобы их подключать. Пусть моя история будет вам уроком, а мне напоминанием, что я тоже человек и, похоже, к тому же ещё и жадный.

Ведь я потерял 7к долларов или же как я купил Adobe After Effect.