<
  • Главная
Статьи

Злом, грабіж і знущання з допомогою Інтернету

  1. Як вкрасти чужий рахунок: зламати або просто зателефонувати?
  2. Як пограбувати програміста за одну ніч
  3. Зловісний тролінг в реальному житті
  4. Що ж робити?

Цілеспрямований злом - серйозна штука: навіть досвідченим користувачам вкрай нелегко захистити себе від таких атак. І вся справа в тому, що з кожним днем ​​все більше різних аспектів нашого життя стають пов'язаними з Інтернетом та іншими мережами.

І вся справа в тому, що з кожним днем ​​все більше різних аспектів нашого життя стають пов'язаними з Інтернетом та іншими мережами

Практично у всіх є електронна пошта, акаунти в соцмережах і месенджерах. Люди замовляють всілякі товари онлайн, підключають інтернет-банки, постійно використовують мобільний зв'язок, в тому числі і для ідентифікації особи (наприклад, через двухфакторную аутентифікацію). Список можна продовжувати нескінченно. На жаль, жодна з цих систем не є цілком безпечною.

Проблема в тому, що чим більше та частина життя, яку люди перенесли в онлайн, тим більше простору для маневру з'являється у потенційного шкідника. Фахівці з кібербезпеки називають це явище «поверхнею атаки». Чим більше поверхня - тим простіше атакувати.

Як це працює і чим загрожує, можна зрозуміти на прикладі кількох інцидентів, які, хоч і нагадують сюжет фантастичного детектива, насправді відбулися в 2014-2016 роках.

Як вкрасти чужий рахунок: зламати або просто зателефонувати?

Один з найпотужніших прийомів - це «злом людини», або соціальна інженерія. 24 лютого 2016 року редактор інтернет-порталу Fusion Кевін Рос вирішив в черговий раз перевірити, чи так це. Продемонструвати можливості соціальної інженерії і класичного комп'ютерного злому на своєму прикладі Кевін Рос попросив хакера Джесіку Кларк (Jessica Clark) і фахівця з безпеки Дена Тентлера (Dan Tentler).

Джессіка зголосилася зламати електронну пошту Кевіна по телефону і блискуче впоралася з цим завданням. Спочатку її команда зібрала на Руса досьє, в якому на тринадцяти сторінках розповідалося, що він за людина, чим захоплюється, які у нього звички тощо. Вся інформація була зібрана з відкритих джерел.

Підготувавшись, Джессіка клонировала мобільний номер Кевіна і подзвонила в телефонну компанію, якою він користувався. Крім того, вона знайшла аудіозапис ревучого немовляти і використовувала її в якості фону, щоб створити напружену обстановку.

Джессіка представилася дружиною Руса. Згідно з легендою, вони з чоловіком намагалися отримати позику, але справа підвисали, коли молода замотана мама забула адресу їх загальної електронної пошти. Під акомпанемент гучної дитячого плачу вона досить швидко домоглася того, щоб їй повідомили адресу пошти Кевіна, а потім вмовила службу підтримки скинути пароль від цього аккаунта.

Ден Тентлер впорався зі своїм завданням за допомогою фішингу. Спочатку він відправив Русу підроблене електронного листа від Squarespace, так як саме на цьому майданчику Кевін вів свій блог. У листі адміністратори Squarespace нібито просили користувачів встановити SSL-сертифікат в «цілях підвищення безпеки». Тільки замість того, щоб захистити що-небудь, цей файл відкрив Тентлеру доступ до комп'ютера Кевіна. Після цього Ден відтворив на комп'ютері журналіста кілька сервісних повідомлень, за допомогою яких дізнався взагалі все необхідне.

За два дні Тентлер отримав доступ до банківських даних Руса, логіну та паролю від електронної пошти і акаунтів в декількох магазинах, а також до номера соціального страхування та кредитної картки. Крім того, Ден обзавівся колекцією знімків Руса та його робочого столу, які за ці дві доби робилися автоматично кожні дві хвилини.

Як пограбувати програміста за одну ніч

Навесні 2015 року програміст Патрап Девіс позбувся $ 3000.. За кілька коротких нічних годин невідомий хакер встиг отримати доступ до двох його email-адресами, телефону і Twitter-аккаунту, обійти систему двофакторної аутентифікації Google і в результаті дістатися до жаданих Bitcoin-гаманців. Як ви можете собі уявити, Девіса чекало неприємну ранок.

Слід зазначити, що Патрап - досить свідомий інтернет-користувач: він завжди вибирає складні паролі і не переходить по шкідливим посиланнях. При вході в пошту він використовує двухфакторную аутентифікацію, а при кожній авторизації з нового пристрою вводить шестизначний код, який приходить йому в SMS на мобільний телефон.

Заощадження Девіс зберігав в трьох захищених Bitcoin-гаманцях. Двухфакторная аутентифікація при вході в ці сервіси здійснюється не через SMS, а за допомогою мобільного додатку Authy. Загалом, Девіс використав всі розумні заходи безпеки. На жаль, це не врятувало його від злому.

Після події розлючений Патрап витратив кілька тижнів на те, щоб знайти винного. Крім того, він зв'язався з редакцією The Verge , І разом їм вдалося дещо з'ясувати.

В якості основної пошти Девіс використав ящик [email protected] і налаштував з нього пересилку на менш запам'ятовується адресу на gmail, так як [email protected] був уже зайнятий. З цього і почався злом.

Протягом декількох місяців на одному з хакерських ресурсів (а саме на Hackforum) продавався скрипт для скидання паролів користувачів Mail.com. По всій видимості, саме їм і скористався зломщик, щоб обійти двухфакторную авторизацію і замінити пароль Девіса на свій власний.

Після цього злочинець запросив новий пароль від аккаунта Девіса на сайті мобільного оператора і попросив службу підтримки включити переадресацію всіх вхідних дзвінків на новий номер в Лонг-Біч. Техпідтримку вистачило підтвердження по електронній пошті, щоб передати контроль над усіма вхідними дзвінками в руки хакера. Отримавши такий потужний інструмент, зломщик без проблем обійшов двухфакторную авторизацію Google.

Хоча SMS і раніше приходили на старий номер Девіса, це його не врятувало. Хакер використовував послугу Google, що дозволяє людям з поганим зором замість SMS замовити телефонний дзвінок і ввести одноразовий код під диктовку робота. Після цього між хакером і заповітними Bitcoin-гаманцями стояло тільки додаток Authy.

Щоб обійти цю перешкоду, злочинець перевстановив додаток на свій телефон і авторизувався в ньому, надіславши електронного листа на заздалегідь зламаний email і ввівши новий код підтвердження, який він отримав за допомогою того самого голосового дзвінка. Подолавши всі перешкоди, невідомий поміняв пароль від одного з трьох Bitcoin-гаманців Девіса і вивів всі гроші.

Гроші на останніх двох гаманцях вціліли виключно завдяки перестраховке сервісів. Один дозволяв виводити гроші тільки через 48 годин після зміни пароля, а другий зажадав копію водійських прав - роздобути їх хакеру так і не вдалося.

Зловісний тролінг в реальному житті

Як в жовтні 2015 року написав американський інтернет-портал Fusion , Руйнування особистого життя подружжя Стратер почалося з піци. Кілька років тому її почали привозити до них додому з усіх навколишніх кафе і ресторанів, в різний час дня і ночі, при тому, що ніхто в будинку її не замовляв. Доводилося вибачатися і відмовлятися її прийняти.

Незабаром крім піци до них додому стали доставляти букети з квітами, вантажівки з сипучими вантажами, евакуатори і безліч інших непотрібних товарів і послуг. І це був тільки початок - наступні три роки перетворилися для сім'ї в справжній кошмар.

Пол Стратер, старший інженер на місцевій ТВ-станції, і його дружина Емі, колишній головний лікар, стали жертвами невідомого хакера або групи хакерів, які не порозумілися з їхнім сином Блером. Від імені старших Стратеров було відправлено не одне лист з погрозами підірвати бомбу, вбити заручників або перестріляти учнів початкової школи. Поліція стала частим гостем в їхньому будинку, що викликало нерозуміння і підозра у сусідів.

Злочинці навіть зламали офіційний Twitter-аккаунт Tesla Motors і опублікували оголошення, в якому пропонували зателефонувати родині Стратер, щоб отримати безкоштовний автомобіль Tesla. У ті вихідні Емі і Блер отримували до п'яти дзвінків в хвилину від шанувальників Tesla, бажаючих обзавестися машиною «по акції». Один з них навіть прийшов до них додому і зажадав відкрити гараж, так як підозрював, що його дорогоцінний седан захований саме там.

Пол спробував прорвати облогу: поміняв паролі у всіх своїх акаунтах, домовився з навколишніми службами доставки про те, що товари будуть доставлятися до них лише після повної передоплати, і домовився з поліцією, що ті будуть передзвонювати до них додому, перш ніж приїжджати за викликом. Десь посеред усіх цих неприємностей шлюб Емі і Пола розпався.

Атаки тривали. Акаунти Емі в соціальних мережах були вкрадені, від її імені злочинці опублікували серію расистських заяв. Незабаром після чергової мерзенної публікації Емі Стратер втратила роботу. Її звільнили, незважаючи на те що вона заздалегідь розповіла начальству про кошмар, в який перетворилася її життя.

Згодом Емі повернула контроль над своїм обліковим записом в LinkedIn, а Twitter через ще більший час вийшло видалити. Але через те, що було написано в цих соціальних мережах, Емі не могла знайти роботу за фахом - лікарні віддали перевагу просто не зв'язуватися з людиною, що потрапили в неприємну ситуацію. Так що вона була змушена підробляти таксистом в Uber, щоб покрити щоденні витрати. На жаль, грошей не вистачало, щоб платити за будинок.

«Раніше, коли ви шукали в Google її ім'я, то знаходили її наукові статті та інформацію про те, які хороші речі вона зробила, - розповідає син Емі - Блер. - А тепер там тільки хакери, хакери, хакери ».

Деякі звинувачують в події Блера Стратера, що обертаються серед кіберзлочинців і не порозумілися чи то з одним , То чи з декількома з них . Але у випадку з сім'єю Стратер за «гріхи» сина розплачуються батьки, які вже точно ні в чому не винні.

Що ж робити?

Ці історії показують, що від цілеспрямованого злому уберегтися практично неможливо. Тому, якщо вам є що приховувати, не варто переносити це в Інтернет.

На щастя, більшість звичайних людей нецікаві командам висококваліфікованих хакерів. Нам з вами в першу чергу потрібен захист від тих шкідників, які націлені на масову аудиторію. Таких в Мережі набагато більше, але і методи у них далеко не настільки витончені - захиститися набагато простіше.

Так що рекомендуємо вам зробити наступне.

Як вкрасти чужий рахунок: зламати або просто зателефонувати?
Як вкрасти чужий рахунок: зламати або просто зателефонувати?
Що ж робити?


Новости
  • Виртуальный хостинг

    Виртуальный хостинг. Возможности сервера распределяются в равной мере между всеми... 
    Читать полностью

  • Редизайн сайта

    Редизайн сайта – это полное либо частичное обновление дизайна существующего сайта.... 
    Читать полностью

  • Консалтинг, услуги контент-менеджера

    Сопровождение любых интернет ресурсов;- Знание HTML и CSS- Поиск и обновление контента;-... 
    Читать полностью

  • Трафик из соцсетей

    Сравнительно дешевый способ по сравнению с поисковым и контекстным видами раскрутки... 
    Читать полностью

  • Поисковая оптимизация

    Поисковая оптимизация (англ. search engine optimization, SEO) — поднятие позиций сайта в результатах... 
    Читать полностью