Само мъртвите риби се движат по течението

Дълго време чаках да напиша този пост, защото исках да обхвана всеки познат за мен аспект от процеса на възстановяване на дигитална собственост. В моя случай – повече от 60 Facebook страници, както и анонимизирани клиентски данни, каталози с продукти и др., създавани и развивани през последните години.

Преди 24 март 2021 никога не съм предполагал, че някога ще стана жертва на хакерска атака. Имам дългогодишен опит като софтуерен специалист и винаги съм прилагал строги мерки за сигурност, когато става дума за мои акаунти. Особено бизнес такива.


Тогава как?

На 24 март получих имейл, че [email protected] (или там, някакъв подобен на този) се е присъединил към Facebook бизнес акаунта на фирмата ми. Това веднага беше red flag за мен, че нещо лошо се е случило.

Когато посетих админ панела на Facebook, в списъка вече го нямаше акаунта на фирмата ми, а във всички страници, намиращи се в акаунта, присъстваше само бутон „Send Message“, вместо нормалните опции за редакция на страница.

Бях наясно, че връщането на достъпа ми или е невъзможно, или ще отнеме дълго време. Но трябваше да установя първоизточника на атаката.

След обстоен преглед на машините ми и последвали безсмислени преинсталации на операционната система, не успях да открия нищо нередно. Както и очаквах. Особено като човек, който използва Linux за работна среда, не очаквах с мои действия да съм причинил уязвимост.

Присветна ми обаче лампичката за един факт.

Няколко седмици преди датата на хакването оставих свой лаптоп за ремонт в сервиз.

На машината имаше некриптиран партишън с Windows 10, който съм използвал само веднъж и съм зарязал. Имам спомен, че ми се наложи да се логна във Facebook бизнес мениджъра веднъж, и то съвсем набързо, през Edge.

Единствен вариант за атаката остана – волно или неволно, да е инсталиран малуер на Windows, който да открадне (никога-неизтичащата-явно) сесия на Facebook през браузърa.

Все още смятам, че това е най-вероятната версия за случилото се.

Споделих полезни съвети във Facebook пост преди време, след като видях, че хакерските атаки се множат със скоростта, с която губя мозъчни клетки, гледайки Народното събрание.


На мегдана с ГДБОП

Едно от първите ми действия след разбирането за атаката бе да позвъня в ГДБОП, за да регистрирам случай на киберпрестъпление. По телефона ми казаха, че за случаи като този трябва да отида на място. Така и направих.

Стигнах в Главната дирекция на ГДБОП, намираща се на Цариградско шосе. Понеже нямаше къде да паркирам, охраната ме пренасочи към паркинг пред сградата на частна компания.

Появих се отново пред охраната, играеща роля и на рецепция. Казах, че съм там, за да регистрирам случай за „откраднати Facebook профили“. Отговориха ми да почакам.

Човекът не помръдна от мястото си около 5 минути. Помислих си, че се е обадил по телефона или е пуснал съобщение по някоя вътрешна радиостанция.

Бях оптимист.

След още минута-две чакане към човека от охраната се присъединиха още няколко души и започна продължителен разговор помежду им. Някои от пришълците носиха униформи и очаквах някой от тях да ме вземе, след като приключи седянката.

Бях оптимист.

Остана ми само да чакам. Бях леко напрегнат, честно казано. Многото чакане, случилото се и незнанието какво ме очаква, ме стресираха. Представях си как ще дойдат след минута униформени, ще ми сложат белезници и ще ме поставят на прицел да давам показания.

Бях оптимист.

Внезапно на хоризонта се зададе един субект.

Небрежно сресан и носещ анцуг. Значка или друга носеща авторитет притурка не успях да видя.

Вероятно, ако бях по-внимателен, щях да открия логото на Adidas или пък още по-вероятно някой bootleg като Abibas.

Е, това беше моят човек. Този, който се занимава с проблемите от тип „Киберсигурност“. Оттук насетне действието продължи да се развива на две местоположения – пред охраната и на входа на сградата на ГДБОП.

Предвид и характеристиките на събеседника ми, усещаше се като на мегдана.

Казах му, че искам да подам показания за киберпрестъпление и започнах да му разказвам за случилото се. Още преди да навляза в подробности, бях обстрелян със съждението, че те нищо не могат да направят, защото Facebook е компания със седалище САЩ.

Обясних му как смятам, че е възможно да се е случила атаката. Обясних, че не очаквам ГДБОП да ме сдобие обратно с акаунтите ми. Обясних, че намеренията ми са само да регистрирам случилото се като киберпрестъпление, да получа документ с печат от институцията, който в последсвтие да прикача в съобщение към съпорта на Facebook.

Не можах да го убедя, че в нормалните държави бих получил такъв документ без проблем. Като постоянен аргумент за бездействието му получавах съждението, че Facebook имат представителство само в САЩ, което аз, разбира се, оборвах.


Съветите на едно кибергуру

Видимо човекът не искаше да се занимава с моя случай, но пък му се говореше. Затова взе да ми дава полезни съвети, като спомена, че аз видимо съм бил вещ в киберсигурността. Нека изредя някои от най-запомнящите се:

  • Всички и навсякъде използват пиратски програми. Важното е да се изпълняват във виртуални машини.
  • Най-вероятно твой съдружник или „приятел“ е направил атаката.
  • Не използвай паролни мениджъри, те са вредни. Всъщност паролите оттам не са генерирани на произволен принцип, а се взимат от списък с пароли, който подпомага хакерите.
  • Като избираш парола, най-добре слагай нещо на български. Думите на езици, различни от английския, много по-трудно се налучкват. Например „bradva123“ е сигурна парола, защото никой няма да се сети да пробва с думата „брадва“.
Съжалявам, че не мога да цитирам дословно казаното, беше още по-гротескно.

Съпорта на Facebook

Да, такова нещо има и даже отговарят истински хора. Когато е засегнат бизнес, обаче. Още в деня на хакването се свързах с бизнес съпорта на Facebook и водихме комуникация чак до 2 май, когато ми върнаха акаунта.

Комуникацията се води само с т.нар. „портиерен съпорт“, който препраща информация до по-специализиран подекип, отговарящ за разрешаването на проблема. Същото важи и наобратно. Когато оперативният екип иска да ме информира за нещо, информацията се изпраща първо на портиерния екип, който пише лично до мен.

Поискани ми бяха данни, удостоверяващи собствеността на бизнес акаунта, както и информация за събитията около случилото се. Процесът определено щеше да е много бърз, ако имах документ от властите.


Заключение

Страхотно е, че такива случаи биват разрешени с помощта на екипа на Facebook. Ужасно е, че не можеш да имаш доверие на сервизите. Ужасно е, че имаме такива институции. Ужасно е, че те извършват отрицателна работа.