Целенаправленный взлом — серьезная штука: даже опытным пользователям крайне нелегко защитить себя от таких атак. И все дело в том, что с каждым днем все больше разных аспектов нашей жизни становятся связанными с Интернетом и другими сетями.
Практически у всех есть электронная почта, аккаунты в соцсетях и мессенджерах. Люди заказывают всевозможные товары онлайн, подключают интернет-банки, постоянно используют мобильную связь, в том числе и для идентификации личности (например, через двухфакторную аутентификацию). Список можно продолжать бесконечно. К сожалению, ни одна из этих систем не является полностью безопасной.
Проблема в том, что чем больше та часть жизни, которую люди перенесли в онлайн, тем больше пространства для маневра появляется у потенциального вредителя. Специалисты по кибербезопасности называют это явление «поверхностью атаки». Чем больше поверхность — тем проще атаковать.
Как это работает и чем грозит, можно понять на примере нескольких инцидентов, которые, хоть и напоминают сюжет фантастического детектива, на самом деле произошли в 2014–2016 годах.
Как украсть чужой аккаунт: взломать или просто позвонить по телефону?
Один из самых мощных приемов — это «взлом человека», или социальная инженерия. 24 февраля 2016 года редактор интернет-портала Fusion Кевин Рус решил в очередной раз проверить, так ли это. Продемонстрировать возможности социальной инженерии и классического компьютерного взлома на своем примере Кевин Рус попросил хакера Джессику Кларк (Jessica Clark) и специалиста по безопасности Дэна Тентлера (Dan Tentler).
Джессика вызвалась взломать электронную почту Кевина по телефону и блестяще справилась с этой задачей. Вначале ее команда собрала на Руса досье, в котором на тринадцати страницах рассказывалось, что он за человек, чем увлекается, какие у него привычки и тому подобное. Вся информация была собрана из открытых источников.
Подготовившись, Джессика клонировала мобильный номер Кевина и позвонила в телефонную компанию, которой он пользовался. Кроме того, она нашла аудиозапись ревущего младенца и использовала ее в качестве фона, чтобы создать напряженную обстановку.
Джессика представилась женой Руса. Согласно легенде, они с мужем пытались получить заем, но дело подвисло, когда молодая замотанная мама забыла адрес их общей электронной почты. Под аккомпанемент громкого детского плача она довольно быстро добилась того, чтобы ей сообщили адрес почты Кевина, а затем уговорила службу поддержки сбросить пароль от этого аккаунта.
Дэн Тентлер справился со своей задачей с помощью фишинга. Вначале он отправил Русу поддельное электронное письмо от Squarespace, так как именно на этой площадке Кевин вел свой блог. В письме администраторы Squarespace якобы просили пользователей установить SSL-сертификат в «целях повышения безопасности». Только вместо того, чтобы защитить что-либо, этот файл открыл Тентлеру доступ к компьютеру Кевина. После этого Дэн воссоздал на компьютере журналиста несколько сервисных уведомлений, с помощью которых узнал вообще все необходимое.
За два дня Тентлер получил доступ к банковским данным Руса, логину и паролю от электронной почты и аккаунтов в нескольких магазинах, а также к номеру социального страхования и кредитной карты. Кроме того, Дэн обзавелся коллекцией снимков Руса и его рабочего стола, которые за эти двое суток делались автоматически каждые две минуты.
Наглядно про фишинг :) pic.twitter.com/vuGobE19LZ
— Kaspersky (@Kaspersky_ru) April 4, 2014
Как ограбить программиста за одну ночь
Весной 2015 года программист Патрап Девис лишился $3000. За несколько коротких ночных часов неизвестный взломщик успел получить доступ к двум его email-адресам, телефону и Twitter-аккаунту, обойти систему двухфакторной аутентификации Google и в результате добраться до вожделенных Bitcoin-кошельков. Как вы можете себе представить, Девиса ждало пренеприятнейшее утро.
Следует отметить, что Патрап — довольно сознательный интернет-пользователь: он всегда выбирает сложные пароли и не переходит по вредоносным ссылкам. При входе в почту он использует двухфакторную аутентификацию, а при каждой авторизации с нового устройства вводит шестизначный код, который приходит ему в SMS на мобильный телефон.
Анатомия взлома: детальный анализ ночного цифрового грабежа http://t.co/p67cn38WT8 pic.twitter.com/Tm8CQvxSHS
— BitNovosti⚡️ (@bit_novosti) March 18, 2015
Сбережения Дэвис хранил в трех защищенных Bitcoin-кошельках. Двухфакторная аутентификация при входе в эти сервисы осуществлялась не через SMS, а при помощи мобильного приложения Authy. В общем, Девис использовал все разумные меры безопасности. Увы, это не спасло его от взлома.
После произошедшего разозленный Патрап потратил несколько недель на то, чтобы найти виновного. Кроме того, он связался с редакцией The Verge, и вместе им удалось кое-что выяснить.
В качестве основной почты Девис использовал ящик Patrap@mail.com и настроил с него пересылку на менее запоминающийся адрес на gmail, так как Patrap@gmail.com был уже занят. С этого и начался взлом.
В течение нескольких месяцев на одном из хакерских ресурсов (а именно на Hackforum) продавался скрипт для сброса паролей пользователей Mail.com. По всей видимости, именно им и воспользовался взломщик, чтобы обойти двухфакторную авторизацию и заменить пароль Девиса на свой собственный.
Вы можете десять раз подряд выговорить "двухфакторная аутентификация"? И мы нет :( http://t.co/whFhIx5Cpb #security #безопасность
— Kaspersky (@Kaspersky_ru) June 10, 2014
После этого преступник запросил новый пароль от аккаунта Девиса на сайте мобильного оператора и попросил службу поддержки включить переадресацию всех входящих звонков на новый номер в Лонг-Бич. Техподдержке хватило подтверждения по электронной почте, чтобы передать контроль над всеми входящими звонками в руки хакера. Получив такой мощный инструмент, взломщик без проблем обошел двухфакторную авторизацию Google.
Хотя SMS по-прежнему приходили на старый номер Девиса, это его не спасло. Хакер использовал услугу Google, позволяющую людям с плохим зрением вместо SMS заказать телефонный звонок и ввести одноразовый код под диктовку робота. После этого между взломщиком и заветными Bitcoin-кошельками стояло только приложение Authy.
Как банковские троянцы обходят двухфакторную аутентификацию. Почитайте, если еще не успели: https://t.co/rPWQSBJUJX pic.twitter.com/wonTgkd0Ip
— Kaspersky (@Kaspersky_ru) March 14, 2016
Чтобы обойти эту преграду, преступник переустановил приложение на свой телефон и авторизовался в нем, отправив письмо на заранее взломанный email и введя новый код подтверждения, который он получил с помощью того самого голосового звонка. Преодолев все преграды, неизвестный поменял пароль от одного из трех Bitcoin-кошельков Девиса и вывел все деньги.
Деньги на оставшихся двух кошельках уцелели исключительно благодаря перестраховке сервисов. Один позволял выводить деньги только спустя 48 часов после смены пароля, а второй потребовал копию водительских прав — заполучить их хакеру так и не удалось.
Зловещий троллинг в реальной жизни
Как в октябре 2015 года написал американский интернет-портал Fusion, разрушение личной жизни четы Стратер началось с пиццы. Несколько лет назад ее начали привозить к ним домой из всех окрестных кафе и ресторанов, в разное время дня и ночи, притом что никто в доме ее не заказывал. Приходилось извиняться и отказываться ее принять.
Вскоре кроме пиццы к ним домой стали доставлять букеты с цветами, грузовики с сыпучими грузами, эвакуаторы и множество других ненужных товаров и услуг. И это было только начало — следующие три года превратились для семьи в настоящий кошмар.
How the Strater family endured 3 years of online harassment, hacked accounts, and swatting https://t.co/cL32Fn4bh2 https://t.co/WFKMxN5bHt
— Techmeme (@Techmeme) October 25, 2015
Пол Стратер, старший инженер на местной ТВ-станции, и его жена Эми, бывший главный врач, стали жертвами неизвестного хакера или группы хакеров, не поладивших с их сыном Блэром. От имени старших Стратеров было отправлено не одно письмо с угрозами взорвать бомбу, убить заложников или перестрелять учащихся начальной школы. Полиция стала частым гостем в их доме, что вызвало непонимание и подозрение у соседей.
Преступники даже взломали официальный Twitter-аккаунт Tesla Motors и опубликовали объявление, в котором предлагали позвонить семье Стратер, чтобы получить бесплатный автомобиль Tesla. В те выходные Эми и Блэр получали до пяти звонков в минуту от поклонников Tesla, желающих обзавестись машиной «по акции». Один из них даже пришел к ним домой и потребовал открыть гараж, так как подозревал, что его драгоценный седан спрятан именно там.
https://twitter.com/rootworx/status/592098596864040960
Пол попытался прорвать осаду: поменял пароли во всех своих аккаунтах, условился с окрестными службами доставки о том, что товары будут доставляться к ним лишь после полной предоплаты, и договорился с полицией, что те будут перезванивать к ним домой, прежде чем приезжать по вызову. Где-то посреди всех этих неприятностей брак Эми и Пола распался.
Атаки продолжались. Аккаунты Эми в социальных сетях были украдены, от ее имени преступники опубликовали серию расистских заявлений. Вскоре после очередной мерзкой публикации Эми Стратер потеряла работу. Ее уволили, несмотря на то что она заранее рассказала начальству о кошмаре, в который превратилась ее жизнь.
Со временем Эми вернула контроль над своей учетной записью в LinkedIn, а Twitter спустя еще большее время получилось удалить. Но из-за того, что было написано в этих соцсетях, Эми не могла найти работу по специальности — больницы предпочли просто не связываться с человеком, попавшим в неприятную ситуацию. Так что она была вынуждена подрабатывать таксистом в Uber, чтобы покрыть ежедневные расходы. К сожалению, денег не хватало, чтобы платить за дом.
«Раньше, когда вы искали в Google ее имя, то находили ее научные статьи и информацию о том, какие хорошие вещи она сделала, — рассказывает сын Эми — Блэр. — А теперь там только хакеры, хакеры, хакеры».
О краже цифровой личности и о том, как россиянка стала певицей и звездой твиттера: https://t.co/OamVgMfrAG pic.twitter.com/adWRx9rUjt
— Kaspersky (@Kaspersky_ru) January 28, 2016
Некоторые винят в произошедшем Блэра Стратера, вращавшегося среди киберпреступников и не поладившего то ли с одним, то ли с несколькими из них. Но в случае с семьей Стратер за «грехи» сына расплачиваются родители, которые уж точно ни в чем не виноваты.
Что же делать?
Эти истории показывают, что от целенаправленного взлома уберечься практически невозможно. Поэтому, если вам есть что скрывать, не стоит переносить это в Интернет.
К счастью, большинство обычных людей неинтересны командам высококвалифицированных хакеров. Нам с вами в первую очередь нужна защита от тех вредителей, которые нацелены на массовую аудиторию. Таких в Сети гораздо больше, но и методы у них далеко не столь изощренные — защититься гораздо проще.
Предлагаем задуматься о безопасности в 2016 году и обзавестись новыми полезными привычками. https://t.co/GLnijsgi3s pic.twitter.com/5QLtiBV8cC
— Kaspersky (@Kaspersky_ru) February 2, 2016
Так что рекомендуем вам сделать следующее.
- Разобраться, что такое фишинг, почему он работает и как от него уберечься.
- Установить надежные и уникальные пароли для всех аккаунтов.
- Почитать о правилах безопасного пользования Интернетом.
- Перестать пользоваться публичным Wi-Fi для интернет-платежей и разобраться, что можно, а чего нельзя делать в Интернете с финансами.
- Установить надежное защитное решение на все ваши устройства: и на компьютер, и на смартфон, и даже на планшет. Конечно же, мы рекомендуем вам проверенный многочисленными тестами и временем Kaspersky Internet Security.