Кто и зачем атакует ваши любимые сайты и приложения и как они защищаются

Типичные ошибки

На самом деле губят хакеров не какие-то супертехнологии и не всесильные кибер-спецагенты. Все гораздо проще: излишняя самоуверенность, лень и глупость. Вот три характерных фактора, благодаря которым раскрываются большинство преступлений в киберпространстве.

В подтверждении этого приведем несколько реальных примеров.

Лень

Томаш Скоурон воровал деньги со счетов посредством вредоносного софта. Схема стара как мир: троян похищал доступ к Интернет-банкингу, злоумышленник получал доступ к счетам жертвы и переводил деньги на подставных лиц, а потом обналичивал. Примечательно, что ему удалось вывести более 1 миллиона долларов, а жертвами хакера стали пользователи по всему миру.

Чтобы хакера не вычислили, он использовал VPN для смены своего IP. Но однажды либо он забыл его включить, либо VPN дал сбой и в логах Интернет-банкинга появился реальный IP злоумышленника. В результате Томашу была презентована путевка в места не столь отдаленные сроком на 5 лет.

Что это было? Сбой VPN, забывчивость Томаша или лень (проверить свой IP перед обращением к банкингу)?

Бывает так, что VPN-соединение может незаметно для самого пользователя «отвалиться». Например, был сбой основного соединения, а после его восстановления VPN еще не успеет отправить данные через VPN-сервер и часть данных уйдет в обход VPN.

Скорее всего, Томаша сгубила обычная лень или же самоуверенность в своих действиях — а как же, один раз все прошло хорошо, в следующий тоже так будет. Будь он более осторожен, такого бы не случилось.

Если облака для вас
не просто теория

Широкий спектр услуг
по выделенным северам
и мультиклауд-решениям

Конфигурация VPS и бесплатный тест уже через 2 минуты

Сконфигурировать VPS

Организация вашей IT-инфраструктуры на основе мультиклауд-решения

Запросить КП

Самоуверенность

Нашумевшее дело Джереми Хаммонда. В 2013-ом году он получил 10 лет тюрьмы за вмешательство в работу разведывательного агентства Stratfor, которое в США считается «вторым ЦРУ».

Дел он натворил немало — стер файлы с серверов Stratfor, передал скопированную информацию в Wikileaks, а с банковских счетов клиентов Stratfor было сделано более 700 тысяч долларов всевозможных пожертвований. Прямо Робин-Гуд.

Как же его нашли? ФБР провела довольно кропотливую работу по вербовке одного из членов хакерской группировки. Как именно это произошло, никто не знает. Скорее всего, поймали самого глупого и пообещали либо свободу, либо денежное вознаграждение.

А где же самоуверенность? Конечно же, он все шифровал — как настоящий профи. Но вот пароль к его жесткому диску был «Chewy 123» — это имя его кошки и «123». Агенты ФБР, когда выяснили, кто он и собрали на него полное досье, без особых проблем подобрали такой пароль.

Данная ситуация — пример самоуверенности. Ну не думал он, что его вычислят, а даже если и вычислят, то был уверен, что «столь сложный» пароль никто не подберет.

Глупость

В 2013-ом году Павел Врублевский организовал DDoS-атаку на серверы компании-конкурента «Ассист». В результате сайты клиентов «Ассиста», в том числе сайт «Аэрофлота» не могли нормально функционировать.

Как ФСБ смогло вычислить хакера и доказать его вину? Только вдумайся: Врублевский вместе со своими «подельниками» использовал мессенджер ICQ. Во-первых, данный мессенджер принадлежит Mail. Ru Group, чье тесное сотрудничество с ФСБ — не секрет. Во-вторых, сервис ICQ сам по себе небезопасен, даже если он и не принадлежал Mail. Ru. Нужно было выбирать более безопасный мессенджер или же хотя бы использовать шифрование. Хотя шифрование шифрованию рознь. Можно шифровать ГОСТовским алгоритмом, например, через тот же Крипто-ПРО. Вопрос лишь в том: как быстро расшифруют?

Очевидно, деанонимизация произошла по глупости группы. Если бы они были более осведомлены в вопросах шифрования сообщений в мессенджерах, доказать их вину было бы гораздо сложнее.

Кража данных с мобильных девайсов

Интересно проследить за тем, как развивались угрозы для смартфонов и планшетов. Поначалу мы встречали довольно примитивные зловреды для гаджетов, действовавшие аналогично своим десктопным собратьям: они воровали пароли, показывали навязчивую рекламу, блокировали устройства и вымогали деньги.

Однако вскоре смартфоны породили новые векторы атак: вирусные подписки на платные услуги, дозвон и рассылку SMS на короткие номера и, наконец, подглядывание через камеры с последующим шантажом. Впрочем, это все тоже были цветочки.

Сейчас мобильные устройства стали для хакеров приоритетной целью, поскольку их память содержит уйму конфиденциальных данных о самой жертве и ее окружении. Появляются трояны столь высокого уровня, что их разработка явно велась по заказу спецслужб.

Например, ряд очень характерных функций есть у зловреда Skygofree, заражающего мобильники с ОС Android. В частности, он отправляет копии переписки в соцсетях, контролирует перемещения смартфонов и автоматически включает прослушку, когда их географические координаты соответствуют заданным. Например, когда один смартфон оказался в комнате переговоров или рядом со смартфоном другого собеседника, за которым ведется слежка.

Также Skygofree принудительно включает Wi-Fi и самостоятельно выполняет подключение к хотспотам типа «злой двойник», которые контролирует атакующая сторона. Общее число шпионских функций у Skygofree составляет почти полсотни. Предположительно за его созданием стоит итальянская фирма Negg International, разрабатывающая софт для NSA и GCHQ. Понятно, что им сложно противостоять, но «сложно» еще не означает «бесполезно».

Все могут короли?

Многие считают, что им нечего скрывать от всеведущих спецслужб, а известные методы защиты данных все равно от них не спасут. Отчасти такое отношение формируют сами ведомства, но IRL их возможности тоже далеко не безграничны. NSA, CIA, FBI и другие страшные трехбуквенные организации состоят из рядовых сотрудников, которые, простите за резкость, регулярно лажают.

Например, NSA случайно удалила разведданные за семь лет, а группировка Crackas With Attitude в 2015–2016 годах получила доступ к аккаунтам руководителей почти всех федеральных ведомств США. Только один ее представитель — Justin «D3F4ULT» Liverman лично поимел директоров ФБР и ЦРУ, как написано в обвинительном заключении: «…длительно терроризируя их и их семьи разглашением конфиденциальной информации, полученной в результате незаконного доступа к онлайновым аккаунтам потерпевших».

Это не Ливерман оказался сильнее спецслужб, а их главы наплевали на элементарные правила безопасности, пользуясь для работы публичными сервисами (вроде AOL Mail), которые не ломал только ленивый.

Еще бытует мнение, что шифруй не шифруй, а все равно получишь… доступ. Конечно, под пытками вспоминают даже те пароли, которые и не знали, но не всегда столь грубые методы доступны. Просто посмотри, сколько негодования каждый раз вызывает у ФБР очередной смартфон с функцией полного шифрования данных. К примеру, в ноябре 2017 года на допросе «техасского стрелка», убившего 26 человек, следствие застряло из-за того, что он отказался разблокировать свой смартфон.

Как же быть с историями о взломе? Все успешные «взломы» последних смартфонов достигались косвенными методами. Например, через бэкапы облачных копий, авторизацию с залогиненных в ту же учетку ноутбуков… или старым и совсем недобрым ректотермальным криптоанализом.

Когда бэкапов нет, а пытать некого, ФБР ищет профессиональных охотников за уязвимостями, поскольку само не располагает достаточно квалифицированными кадрами. Например, в 2016 году бюро заплатило 1,3 миллиона долларов за уязвимость нулевого дня. Она позволила вскрыть iPhone 5c, найденный у ликвидированного в ходе спецоперации террориста Сайеда Ризвана Фарука. Тогда Apple не смогла (или не захотела) помочь забраться в айфон, а в новых моделях закрыла эту уязвимость.

Директор ФБР Кристофер Рэй заявил, что из-за шифрования бюро не смогло получить данные почти с семи тысяч мобильных устройств, которые изъяло у подозреваемых в 2017 году. Может, шифрование и не панацея, но оно точно усложняет задачу сбора доказательств. Просто не все криптосистемы одинаково полезны, а принципиальные отличия в подходах к шифрованию данных на смартфоне описаны здесь.

Вымогательство эфемерной материи

Биткойн.

Многие наверняка обратили внимание на то, почему сумма выкупа запрашивается именно в биткойнах. Юрист Мария Антонова поясняет: во многих странах его статус не определен

В России, конечно, с этого года вступил в силу закон о цифровых активах, но в нем содержится только определение того, что такое цифровая валюта. Расплачиваться за товары и услуги таким образом нельзя.

— Именно из-за неопределенного статуса цифровых денег сложно организовать уголовное разбирательство, — поясняет Антонова. — Многими государствами биткойн не признается ни как имущество, ни как деньги. Таким образом, получается, что вымогается нечто эфемерное, несуществующее. В этой ситуации говорить о преступлении не приходится.

Кандидат психологических наук Алена Волина советует: если вы получили письмо с угрозами, вымогательством и предложением немедленно, перейдя по ссылке, заплатить выкуп, не спешите что-либо предпринимать.

Письмо счастья

Письмо счастья.

Многим приходило письмо, в котором неизвестный хакер утверждает, что взломал компьютер и получил доступ ко всей информации — перепискам, соцсетям, а заодно камере и микрофону, и поэтому он снял видео с вашим участием и грозится его разослать. Но за небольшое вознаграждение злоумышленник обязуется этого не делать. Для этого нужно купить биткойны в сумме, эквивалентной, как правило, 650 долларам, и перевести их на специальный кошелек, ссылка на который тут же прилагается. После оплаты видео обещают уничтожить и никогда больше вам не досаждать.

Москвичка Екатерина Пушкина (имя изменено по просьбе героини) в конце прошлого года получила такое письмо.

— В тот момент я рассталась со своим парнем, мы долго и бурно выясняли отношения, он даже угрожал мне, что выложит в сеть видео с моим участием. У нас были близкие отношения и подобный контент имел место, — вспоминает девушка. — Поэтому я испугалась, вдруг это мой бывший.

Тем более, как утверждает Екатерина, ей есть чего бояться: пожилые родители строгих нравов, начальство на работе — репутационные потери были бы существенны, да и скандал с родственниками был бы неизбежен.

— Я не знала, что делать в этой ситуации, к тому же вопрос такой, что и не посоветуешься ни с кем, — рассказывает Екатерина Пушкина. — Поэтому я приняла решение заплатить — свое спокойствие дороже. Только через некоторое время я узнала, что не одинока в этом и это массовая рассылка спама: мои подруги тоже получали такие письма. А бывший молодой человек оказался все же порядочным — он удалил все пикантные видео после нашего расставания.

Эксперт по компьютерной безопасности Никита Малышев утверждает, что вируса, который дал бы доступ к вашему компьютеру, в природе не существует. Но такая схема вымогательства сама по себе распространена довольно широко.

— Такого рода письма отправляются тысячам, если не миллионам пользователей в надежде на то, что кто-то поверит, — комментирует Никита Малышев. — Здесь работает закон больших чисел.

Сейчас появилась немного другая схема. Чтобы пользователь убедился, что некое пикантное видео действительно существует, ему предлагают распаковать архив. Как только вы это сделаете, вы «подсадите» вирус в свой компьютер.

— Ну а пикантного видео как не было, так и не будет, — уверяет специалист по компьютерной безопасности. — Только теперь вы потратите много сил и времени на удаление этого вируса и, возможно, на восстановление нанесенного им ущерба.

Специалист уверяет: взломать компьютер таким образом, чтобы иметь к нему полный доступ и управлять камерой, микрофоном и другим оборудованием, можно, но это требует высочайшего уровня подготовки специалиста и много свободного времени. Вряд ли компьютерный гений будет тратить свои ресурсы на то, чтобы в конечном итоге требовать с обывателя несколько сотен долларов.

Телефон как не ваше средство общения

Смартфон.

Эксперт по компьютерной безопасности Никита Малышев уверят, что проще взломать мобильный телефон, в частности айфоны с их хранилищами данных iCloud, и украсть оттуда какие-то данные. Взломать облачное хранилище, кстати, проще, чем смартфон.

— Можно установить вирус, который будет вести запись того, что происходит на экране смартфона. Это значит, что злоумышленники без особенного труда узнают о вас все: какими социальными сетями вы пользуетесь, ваши пароли, данные банковских карт, прочитать всю переписку в мессенджерах, при случае снять пикантное видео, — говорит Малышев.

Подобного рода ситуация произошла и с капитаном сборной России по футболу Артемом Дзюбой, когда его интимное видео разлетелось по Сети.

Это что касается фото- и видеоконтента. Но не будем забывать про данные банковских карт, которые тоже хранятся в телефонах.

— Посчитайте, сколько у вас в гаджете приложений доставки с автоматической оплатой, куда вы привязали данные вашей карты? — уточняет Никита Малышев. — Можете ли вы поручиться, что разработчики этих приложений серьезно относятся к хранению таких данных и делают все, чтобы избежать утечки? А гарантию на то, что не сработает человеческий фактор и кто-то из разработчиков просто не украдет для перепродажи базу, никто дать не может.

Отдельно Малышев предостерегает от использования бесплатного вайфая в общественных местах. Злоумышленники легко могут перехватить все ваши данные, но вы об этом узнаете не сразу.

— Технологии перехватывают ваши логины и пароли от социальных сетей, если вы расплачиваетесь с помощью банковской карты через онлайн-платежи, то и эти данные утекут, — говорит эксперт.

Подглядывание через камеры и публикация интимных фотографий

Пожалуй, ни один современный фильм не обходится без эпизода взлома камер наблюдения. Кажется, что это занимает секунды и позволяет иметь глаза повсюду. Мы уже писали подробную статью о том, как в действительности перехватывают доступ к веб- и IP-камерам. Если кратко, то это две совершенно разные технические задачи. Складывается впечатление, что сейчас становится все популярнее другое направление — взламывать смартфоны, чтобы жертву фотографировать и записывать на видео, особенно в интимные моменты жизни.

В прошлом году специалисты Palo Alto Networks обнаружили троян SpyDealer, который (в добавок к стандартному набору функций) снимает своих жертв, используя обе камеры смартфона, а заодно делает скриншоты. Такие зловреды обычно относят к инструментам для продвинутых целенаправленных атак (APT). Поэтому шанс заразиться им у звезды телешоу очень высокий, а у какого-нибудь Васи из Нижнего Гадюкино — минимальный. Скорее он станет жертвой «пугача».

Есть целый класс угроз под названием . Они берут на испуг, часто не представляя реальной опасности. Например, вот такое замечательное письмо заставило преждевременно… поседеть многих парней из Австралии. В нем утверждалось, что жертву засняли встроенной веб-камерой во время просмотра сайтов для взрослых. Если в течение суток вымогателю не перечислить энную сумму в биткойнах, то всем контактам из его адресной книги будет отправлено занятное видео. Конечно, никакого подглядывающего трояна не было, но если мы считаем что-то реальным, то оно становится реальным по своим последствиям. Особо впечатлительные отправили выкуп.

Утечки приватных фото непосредственно со смартфонов и из облачных хранилищ происходят настолько регулярно, что им посвящены специальные разделы на порталах с «клубничкой». Однако целенаправленные атаки в этих случаях скорее исключение, чем правило.

В случае известных людей всегда есть подозрение о контролируемой утечке как пиар-акции. Например, бразильская модель Жизель Бюндхен на «слитых хакерами» фотографиях выглядит откровенно позирующей, да и сам стиль этих кадров мало отличается от ее привычных фотосессий. Такие «секретные» снимки — хороший способ подогреть интерес публики к своей персоне.

Однако бывают и сливы, очень похожие на настоящие. К примеру, интимные фото Аманды Сайфред — это именно любительские кадры, где актриса часто представлена не в лучшем амплуа. Подобные снимки могли сделать ее (бывший) парень или (завистливая) подруга, чтобы затем использовать их в качестве порномести. Так или иначе, пикантные снимки превратили Аманду в одну из самых обсуждаемых актрис в прошлом году, и тут интересен итоговый результат.

Если раньше подобное считалось несмываемым позором и концом карьеры (в монастырь или в петлю), то сегодня это дает хайп на короткое время и быстро смывается волной других скандальных событий. Уже через неделю-две всем будет безразлично, кто там мелькнул в кадре голым задом.

Кража и стирание личности

По информации Javelin Strategy & Research, примерно 6,15% взрослых граждан США ежегодно становятся жертвой кражи персональных данных. Преступники совершают сделки от их имени, нанося финансовый и репутационный ущерб. Чаще всего они незаконно оформляют кредиты и оплачивают развлекательные услуги по чужой кредитке, но этим список не ограничивается.

К примеру, теоретически возможно — удаление информации о человеке на всех электронных ресурсах. Если база данных централизованная, то речь идет об одной успешной атаке. Если же это БД в отдельных ведомствах, каждое из которых ведет свой реестр, то сложность атаки многократно возрастает. Поэтому самый эффективный способ стирания личности на сегодня не технический, а бюрократический. Достаточно инсценировать смерть или «удачно» оказаться в списках без вести пропавших, как бюрократическая машина сама переместит все записи о человеке в архив. Они не удалятся, а просто перестанут быть актуальными и позволят начать жизнь с чистого листа… или же вынудят долго обивать пороги, доказывая, что ты живой.

Другая разновидность такой атаки называется . Она заключается в том, что во всех онлайновых базах данных, до которых смогли дотянуться злоумышленники, сведения о каком-то человеке подменяются записями о другом. После этого он сможет действовать от имени жертвы и документально подтверждать правомерность своих действий. Самая частая ситуация — угон аккаунтов в соцсетях. Большинство из них допускают восстановление пароля при обращении в техподдержку, которая просит прислать фотографию с разворотом паспорта или водительским удостоверением в руках. Мастера фотошопа и hex-редактора успешно обходят такую верификацию, если наряду с фотографией заменяют в джепеге метаданные, удаляя строки из EXIF.

Выводы

Технически хакеры ограничены степенью своей осведомленности о внутреннем устройстве выбранной цели. Часто реальная цель имеет какие-то особенности, которые не учитывались в сценарии атаки. Поэтому обычно проще взломать человека, чем удаленный компьютер. Никто не будет тратить ресурсы на детальную проработку APT для Васи. Он просто попадет на раздачу для лохов, где его обманом заставят выполнить требуемые действия: «отключить антивирус, файрвол и запустить от админа».

Финансово хакеры ограничены слабо, поскольку часто действуют в интересах преступных группировок или спецслужб, но последние тоже не всесильны. Есть смысл использовать шифрование и соблюдать общие правила безопасности. При этом стоит помнить, что защитный софт может содержать уязвимости и часто сам становится средством проникновения на компьютеры жертвы. Как минимум его надо регулярно обновлять и проверять настройки.

Взлом SCADA может вызвать локальные сбои, но хакеры оказываются последней угрозой в списке реально значимых факторов промышленной безопасности. Возглавляют же его традиционно «человеческий фактор» и «износ технологических узлов».

Кибервойны вряд ли вызовут потоп из-за сбоя на ГЭС и взрыв реактора АЭС. Если бы это было возможно, то индустриальный апокалипсис уже давно бы наступил. Это кажется так дешево и эффективно — устроить противнику тотальный блэкаут и захватить парализованную страну! Однако пока приходится тратить уйму средств на подкуп должностных лиц и цветные революции, вновь предпочитая социальный инжиниринг технически продвинутым атакам.

На ключевых объектах инфраструктуры реализован многоступенчатый контроль состояния критических узлов и мониторинг живыми людьми. К тому же любое опасное изменение занимает время: насос мгновенно не прокачает тонны воды, а реактор не перегреется за секунды. В большинстве ситуаций оператор успеет заметить отклонения и вмешаться (что-то на АЭС в Бушере во время атаки Stuxnet они не успели вмешаться. — Прим. ред.), да и любая важная система изначально проектируется так, чтобы в ней не было единой точки отказа. Есть плачевный опыт «Чернобыля» и «Фукусимы», но хакеры никак с ним не связаны.

В обществе есть механизмы противодействия киберугрозам, не связанные с контролем над техникой. Бумажные документы все еще имеют приоритет над электронными. Подмененные записи во взломанной базе данных просто заменят информацией с оригинальных бланков. Правда, придется побегать и вспомнить главное изобретение Советского Союза — очереди. Банковские транзакции не выполняются мгновенно — их можно отменить при своевременном обращении, да и наличные крадут чаще, чем деньги с карточек. Удаленно вывести из строя промышленный объект помешает оператор и автономные аварийные системы. Авиалайнер не улетит в другую страну из-за подмены координат GPS — его курс скорректирует диспетчер, ну и пилоты сами не слепые.