Дзюба, Аттила и 1 миллион долларов ущерба: истории громких взломов
От сливов не застрахованы ни топовые селебрити, ни CEO компаний, ни бухгалтер Нина Ивановна.
Меня зовут Виталия Демехина, я руководитель разработки информационных материалов в Start AWR. Выясняю, кто был виноват в пяти громких сливах звезд и компаний и на этих примерах объясняю, как защитить личную и корпоративную информацию.
Материал написан для обычных людей и сотрудников, которые думают, что мошенникам интересно взламывать только Артема Дзюбу, а их данные хакерам уж точно не нужны.
Фишинговые письма и порноместь для Дзюбы
В 2020 году в сеть попало 18+ видео с нападающим «Зенита» и сборной России Артемом Дзюбой. После этого Артема временно исключили из сборной России и лишили статуса капитана. Конечно, Дзюба такой не один: жертвами взломщиков становились и другие российские знаменитости, к примеру, Ксения Собчак и Ольга Бузова, но его точно можно считать рекордсменом по сливам — еще один скандал с его видео произошел летом 2023 года.
В интернете появились новые интимные фото и видео с участием футболиста, предназначенные его «любовнице» — по версии СМИ, она и слила целый архив материалов. По словам Дзюбы, за несколько дней до публикации ему угрожали вымогатели, но сам инцидент футболист никак не комментировал.
Как происходил первый взлом
Сам Артем способ взлома не раскрыл, зато в СМИ есть несколько вероятных версий.
Мошенники получили доступ к облачному хранилищу Айклауд или Гугл фото. При таком способе хакерам достаточно вытащить логин и пароль через фишинговое письмо. Жертве на почту приходит сообщение под видом письма от Эпл или Гугл, внутри которого лежит ссылка на сайт-копию. Пользователь переходит по ней → вводит логин и пароль → доступ открыт.
Мошенники взломали смартфон. Иногда мошенники под видом обычных приложений из AppStore или Google Play создают специальные программы, которые запрашивают доступ к клавиатуре — такие приложения называются кейлоггерами. После установки программа заменяет системную клавиатуру на свою, отслеживает все введенные тексты, и отправляет мошеннику.
Кейлоггеры дают доступ к заметкам, паролям и перепискам — это позволяет хакерам не только взламывать аккаунты жертв, но и шантажировать их содержимым личных чатов.
Это была порноместь. Порноместь — вид преступлений в сети, когда кто-то использует фотографии, видео или тексты интимного содержания, чтобы навредить или унизить другого человека. Часто жертвами в этом сценарии становятся женщины, но в случае шантажа преступники могут выбрать своей целью и известного мужчину.
Например, жертва знакомится в приложении с красивой девушкой, которая предлагает созвониться или обменяться интимными фото и видео. Как только шантажисты получают запись, страстная переписка сменяется требованиями выкупа.
Итог:
запятнанная репутация;
временное исключение из команды;
возможные траты на обеление имени (например, в Википедии нет информации о скандале);
моральный ущерб от ситуации, насмешек коллег и бесконечных интервью с оправданиями.
Фальшивая техподдержка для звезд
В 2014 году хакерам удалось взломать Айклауд ряда знаменитостей и выложить их данные в свободный доступ на ресурсе 4chan. В интернет попали около 500 личных фотографий, включая интимные. От взлома пострадали Ким Кардашьян, Аврил Лавин, Эмбер Херд, Дженнифер Лоуренс, Рианна, Скарлетт Йоханссон и другие селебрити.
Как происходил взлом
Первая версия была в том, что фото получили из-за уязвимости сервиса Айклауд или в API Айклауд, позволяющей взламывать учетную запись с помощью брутфорса — технологии автоматического подбора пароля. На это Apple заявила, что мошенники доступ получили через фишинговые атаки на каждую отдельную звезду.
То есть, схема аналогичная той, что и в первой версии взлома Дзюбы. Пользователю приходит сообщение от «техподдержки», якобы его профиль кто-то пытается взломать. Фальшивая техподдержка предлагает перейти по ссылке, которая на самом деле ведет на сайт мошенников, и заполнить там анкету с логином и паролем. Завладев сведениями доверчивого человека, мошенники получают доступ к аккаунту.
Итог:
общественный резонанс;
отдельная страница в Википедии с уничижительными названиями этого скандала;
моральный ущерб;
пятеро хакеров, инициировавших атаку, сели в тюрьму и заплатили штрафы.
Может показаться, что такие атаки не затрагивают обычных людей — куда прибыльнее шантажировать богатых знаменитостей. Но целью взлома могут быть не фото или личные данные, а что-то более ценное — например, данные компании, в которой работает человек. Престиж и размер компании здесь тоже не важен, с 2023 года продолжается масштабная атака через мессенджеры на сотрудников компаний и учреждений по всей России — от библиотек до самих представителей сферы кибербезопасности.
Но как мошенники выходят на сотрудников? Сейчас разберемся.
Венгерский Аттила просится на работу в отеле
В 2010 году 26-летний Аттила Немет из Венгрии сообщает компании Marriott, что получил доступ к компьютерам отелей и похитил конфиденциальные данные. Правда, вместо обычного выкупа Аттила пошел другим путем.
Немет угрожал выслать данные конкурентам Marriott, либо опубликовать их публично, если компания не предоставит ему работу. Вот что было в его требованиях:
удаленный формат работы;
ежегодный оклад 150 тысяч долларов;
бесплатные перелеты по миру в любых направлениях;
право работать в любое время по своему усмотрению;
возможность проживать в любых номерах отелей Marriott.
«Вы увольняете свой несостоятельный ИТ-персонал и нанимаете меня в качестве внешнего подрядчика по обеспечению безопасности вашей ИТ-сети», — написал Немет в электронном письме.
Хакер обещал уничтожить все украденные данные через два года такой каторжной работы.
Как происходил взлом
Снова через фишинг. Немет получил доступ к чувствительной информации через два удаленно управляемых трояна — их он упаковал в письма и разослал сотрудникам отеля. Для поимки хакера Marriott обратились к Секретной службе США, которые предложили создать вымышленного эйчара компании. Немет повелся на уловку и отправил агенту копию своего паспорта, а затем лично прилетел в Даллас на «собеседование». На встрече хакер показал все: и как получил доступ к системе, и какие данные похитил, и где их сейчас хранит. После этого его арестовали, а в 2012 году приговорили к 30 месяцам тюремного заключения.
Итог:
Корпоративные чатики и утечки из Твиттера
В 2020 году хакеры устроили крупнейшую атаку на Твиттер, взломав аккаунты Эпл, Мистера Биста, Илона Маска, Билла Гейтса, Канье Уэста и других известных людей и компаний. Во взломанных аккаунтах они разместили адрес своих биткоин-кошельков и пообещали вернуть все переводы в двойном размере.
Мошенники давили на срочность — акция якобы длилась всего 30 минут
Есть мнение, что для взлома хакеры используют хитрые программы, сложные коды и другие технические штуки. Но на самом деле мошенники ищут данные о жертве в интернете, а потом с их помощью уговаривают перевести деньги/перейти по ссылке/скачать приложение.
Чтобы жертва точно поддалась, мошенники стараются надавить на общечеловеческие триггеры, которые заставляют людей действовать нерационально:
Кроме эмоциональных рычагов, мошенники прибегают и к усилителям (справа) — срочность и авторитет сильнее запутывают жертву
Как происходил взлом
На первом этапе хакеры использовали социальную инженерию, чтобы взломать учетные данные сотрудников Твиттера без административных доступов. Затем через чат компании в Слаке они атаковали сотрудников рангом выше — тех, у кого был доступ к учетным записям пользователей.
Нераскрытым остался вопрос, как хакерам удалось получить учетные данные на первом этапе. Один из вероятных вариантов — злоумышленники использовали персональные данные сотрудников, которые утекли в сеть.
Только в России за 2023 год зарегистрировано 168 утечек персональных данных, из-за которых в открытый доступ попало больше 300 миллионов записей о россиянах. Условно говоря, все, что вы указывали в приложении банка или на сайте доставки продуктов, скорее всего, уже есть у злоумышленников.
Итог:
118 тысяч долларов украли у жертв, поверивших в щедрость знаменитостей;
удар по имиджу соцсети.
Поддельные сайты для бухгалтеров
В апреле 2023 года Group-IB Threat Intelligence обнаружила ресурсы, которые преступники использовали для атак на российских бухгалтеров, юристов и директоров. Заражение происходило через сайты с шаблонами документов.
Как происходил взлом
Злоумышленники создали максимально похожие на ресурсы для бухгалтеров сайты, добавили на них бесплатные шаблоны для скачивания, а потом — подключили рекламу.
Ничего не подозревающая бухгалтер Нина Ивановна переходила на «популярный» сайт → кликала «Скачать шаблон Товарной накладной» → скачивала архив → открывала его → получала на рабочий компьютер вредоносное ПО. Программа незаметно собирала информацию о системе (язык, часовой пояс, используемые антивирусы), устанавливала троян и выводила средства со счетов компании.
Итог:
Смогу ли я не повторить судьбу Дзюбы: чек-лист
Напоследок пройдемся по действиям, которые помогут сотруднику избежать сливов данных. Некоторые из них очевидные, некоторые покажутся муторными, но факт остается фактом: именно эти шаги заблокировали бы хакерам возможность украсть деньги и данные. Ну, или сильно усложнили бы им организацию утечки.
Итак:
Придумывайте сложные пароли с помощью мнемонической техники
Скорость взлома пароля путем прямого перебора занимает от двух секунд до пяти месяцев и зависит от длины пароля, набора символов и времени отклика системы на ввод неправильного пароля.
Вот признаки сильного пароля:
буквы в разных регистрах;
специальные символы и цифры;
длина более 8 символов;
сложная предсказуемость последовательности.
Раньше лучшим способом защиты пароля считалась замена букв на символы из языка Leet, в котором у каждой латинской буквы есть свой аналог в виде символа или цифры — например, 3 вместо «Е», 4 вместо «А».
Полный алфавит языка Leet
Как может выглядеть пароль из фразы, созданный с помощью замен:
✔️ 98A$s1w0r4?
✔️✔️SrT0ng! P@$$W0rD
Такие пароли кажутся сложными, но они все еще опираются на систему символов, а значит, их можно взломать. Да, это займет больше времени, но итог будем таким же.
Сейчас золотым стандартом считается мнемоническая техника создания паролей — ассоциации и образы, упакованные в сложную аббревиатуру. Этот метод помогает придумывать уникальные и безопасные пароли, основанные на личных или воображаемых сценариях, которые к тому же легко запомнить. Вот шаги, как создать пароль с помощью метода мнемоники:
Придумайте фразу — практически все сервисы запрашивают пароли на латинице, поэтому, если вы придумали фразу на русском, ее нужно будет перевести и выучить.
Чтобы было легче, можно опираться на какие-то сентиментальные для вас вещи, о которых мало кто знает (клички домашних животных, даты рождения, имена детей — все это мошенники могут узнать за минуты). Возьмем фразу «из отпуска в Сочи я привезла красивую ракушку» → I brought back a beautiful seashell from my vacation in Sochi.
Преобразуйте фразу в аббревиатуру → Ibbabsfmvis.
Измените регистр, добавьте случайные символы и цифры, замените некоторые буквы символами → @I3b, Ab$f! m0V&is.
Закрепите ассоциации → В самый первый семейный отпуск мы ездили в Сочи. Из отпуска в Сочи я привезла красивую ракушку.
Не используйте одинаковые пароли для рабочих и личных аккаунтов
Как мы уже сказали, злоумышленники используют программы для перебора паролей, чтобы попытаться взломать аккаунт. Если вы придумываете разные пароли для соцсетей, сервисов и рабочей среды, то делаете задачу перебора гораздо сложнее и снижаете риск утечки данных из вашей компании.
Тут есть несколько проблем:
Если держать все пароли в голове, их можно забыть.
Если записывать пароли на листочке, он может потеряться или попасть в руки злоумышленнику. А еще пароли на бумажках нарушают правила безопасности, и за это компании могут выписать штраф.
Запомнить сложные пароли помогут парольные менеджеры — специальные программы и приложения, которые могут хранить и автоматически заполнять пароли при каждом открытии страницы.
Примеры парольных менеджеров:
Passwork,
KeePass,
Bitwarden,
Proton Pass.
Используйте многофакторную аутентификацию (MFA)
Многофакторная аутентификация (подтверждение личности) — это как двойной замок на двери дома. Когда вы входите на сайт или в приложение, обычно нужен только пароль. Но злоумышленники могут узнать ваш пароль и сразу проникнуть внутрь. Вы уже сталкивались с такой аутентификацией при входе в приложение своего банка или оплате товаров в интернете.
MFA добавляет еще один слой защиты — дополнительную проверку, чтобы убедиться, что это действительно вы. Это может быть что-то, что есть только у вас, например, код из СМС, отпечаток пальца или сканирование лица. Даже если кто-то узнал ваш пароль, им все равно будет сложно войти в ваш аккаунт без этой дополнительной проверки.
Не вводите личные данные и коды MFA на подозрительных сайтах — многофакторную аутентификацию тоже можно обойти.
Научитесь распознавать подозрительные письма и сайты
Обращайте внимание на эмоции, которые возникают при чтении письма — выше мы показали, какие психологические триггеры в фишинговых письмах чаще всего побуждают людей совершать небезопасные действия. Сообщите команде ИБ о подозрительном письме, если вы заметили, что:
от письма стало тревожно;
захотелось срочно что-то сделать, чтобы не упустить выгоду или, наоборот, предупредить опасность;
в сообщении много важных званий и авторитетных заявлений.
Вот чек-лист, на который можете опираться при оценке письма:
Тренируйтесь отражать атаки мошенников
Если сомневаетесь, что сможете распознать фишинговое письмо, сходите к специалисту по безопасности или руководителю за помощью — они подскажут, на что обращать внимание.
Если вы сами руководитель и хотите снизить риски для вашей компании, — обучите своих сотрудников основам информационной безопасности и поддерживайте культуру ИБ. Например, можно поделиться с коллегами этой статьей или пройти корпоративное обучение с помощью платформы Start AWR. Она помогает организовать непрерывное обучение и тренировку навыков по информационной и физической безопасности для всех сотрудников.
