UZCERT

Когда человек становится объектом пристального внимания со стороны недоброжелателей, способов доставить ему неприятностей у них достаточно. Особо стоит сказать о том, что в эпоху современных технологий, появляются также и такие аспекты, которые связаны с личной стороной человеческой жизни.

Абсолютное большинство людей в возрасте до 55 лет пользуется электронной почтой, имеет аккаунты с социальных сетях и отправляют сообщения и файлы через мессенджеры. Мы постоянно используем мобильную связь для аутентификации личности (например, через двухфакторную верификацию посредством отправки кода в смс-соообщении), заказываем товары и услуги в онлайн-сервисах, а также оплачиваем их через приложения. Можно продолжать список всех этих доступных возможностей, но главное в том, что ни одна из них не является достаточно надежной и безопасной.

Самая большая наша проблема – мы переносим в мир онлайн практически всю нашу жизнь. Чем больше переносим – тем больше информации о себе даем. Специалисты по кибербезопасности называют это явление поверхностью атаки Чем больше поверхность — тем проще атаковать.

Давайте изучим пару случаев, на примере которых нам станет понятнее как это работает и чем это грозит.




В задачу Джессики входило взломать электронную почту Руса, и сделала она это по телефону! На первом этапе команда Джессики собрала на Руса максимальный объем информации из открытых источников (веб-сайты, социальные сети, порталы работодателей, форумы и т.д.) почти тринадцатистраничный документ: что он за человек, что любит из пищи, какие у него увлечения, особенности характера – практически точный портрет. Затем, использовав технологию клонирования телефонного номера (и технологии, и сами контактные данные естественно также были взяты из открытых источников), Джессика позвонила в телефонную компанию, которой пользовался Кевин Рус. Больше того, чтобы не вызывать никаких подозрений, Джессика использовала во время разговора с представителем телефонной компании запись с детским плачем, тем самым имитируя стрессовую ситуацию с ребенком. Информацию о том, что у в семье Кевина Руса было недавно пополнение, она опять-таки взяла из открытых источников, доступных в Интернете. Срежиссированный таким образом телефонный разговор принес результаты – Джессика смогла убедить в своей легенде оператора телефонной компании, притворившись женой Кевина Руса и рассказав о том, что якобы они с мужем пытались получить заем на портале кредитной организации, но она забыла адрес их общей с мужем электронной почты. Далее, под аккомпанемент детского плача она уговорила оператора не только назвать адрес, но сбросить пароль от электронного аккаунта.

Второй участник акции, Дэн Тэнтлер, использовал технологии фишинга. Он отправил на почту Руса поддельное электронное письмо от имени сервиса по созданию веб-сайтов, хостинга ресурсов и площадок для ведения блогов. В этом письме содержалось сообщение о необходимости установления SSL-сертификата «для повышения безопасности». Поскольку Рус вел свой блог именно на том сервисе, откуда якобы и пришло поддельное письмо, он без всяких подозрений установил «сертификат». Разумеется, вместо того, чтобы защищать Руса от атак межсайтового скриптинга, загруженный файл открыл Дэну Тэнтлеру доступ к компьютеру жертвы. Дэну хватило пары дней и нескольких дополнительных закладок на компьютере Руса, чтобы получить доступ к его банковским данным, логину и паролю от электронной почты, номерам социального страхования и кредитной карты. Помимо этого, в распоряжение Дэна попало и множество других личных данных Кевина Руса, в том числе коллекция его снимков и переписка с различными людьми.





Как выяснилось, Патрап использовал почтовый сервис Mail.com, а именно patrap@mail.com, с которого он настроил пересылку входящих писем на другой, менее запоминающийся адрес в сервисе Gmail (по причине того, что созвучный его имени ящик в Gmail был уже занят).

В то же время, на одном из хакерских форумов продавался скрипт для сброса паролей пользователей Mail.com и вероятнее всего, именно им воспользовался злоумышленник для того, чтобы обойти двухфакторную аутентификацию и сменить пароль к учетной записи. После этого, он обратился со взломанного ящика к оператору мобильной связи Дэвиса, чтобы запросить новый пароль от аккаунта на сайте мобильного оператора, а также попросил службу поддержки переадресовывать все входящие вызовы на новый номер. Письма по электронной почте взломанной жертвы для техподдержки хватило, чтобы передать контроль над входящими звонками в руки хакера. После этого, злоумышленнику не составило особого труда обойти двухфакторную защиту Google: для этого он воспользовался формой помощи людям с плохим зрением, при помощи которой вместо смс-подтверждения, которое все равно пришло бы на настоящий номер Патрапа, хакер заказал телефонный звонок, позволяющий ввести одноразовый код подтверждения, продиктованный роботом. Последний рубеж, защиту на стороне мобильного приложения Authy, он обошел при помощи того же взломанного почтового ящика, отправив с него код, продиктованный ранее роботом, к себе на телефон, на котором он предусмотрительно также установил то же самое приложение.

Получив возможность, хакер затем смог сменить пароль на одном из трех принадлежащих Патрапу Дэвису bitcoin-кошельков и вывел оттуда все деньги. Два других он взломать не смог: один позволял выводить средства только спустя 48 часов в случае смены пароля, а второй требовал копию (скриншот) водительских прав Патрапа, которых у злоумышленника не было.

Эти истории наглядно демонстрируют, что уберечься от хакерских атак, тем более целенаправленных, практически невозможно. Все это становится возможным благодаря тому, что мы сами, добровольно увеличиваем «поверхность атаки», выкладывая свою жизнь в глобальное информационное пространство. В то же время, считать, что вы не попадете под прицел высококвалифицированных специалистов-хакеров, – заблуждение, тем более с учетом того, что подавляющее большинство современных хакерских атак в первую очередь основано на элементах социальной инженерии, направленной в первую очередь на тех, кто ни о чем не беспокоится и продолжает оставаться уверенным в своей безопасности.