Взлом соцсетей: цены на черном рынке и риски для бизнеса

Мы решили выяснить, сколько стоит угон личного и корпоративного аккаунтов в соцсетях. Даже больше — попытались его заказать. Заодно изучили публично известные атаки на бизнес, которые были связаны с соцсетями. А еще подготовили рекомендации по защите компании от таких инцидентов (советы капитанские, но напомнить о них стоило).

98c64dfeb103a88050824ee886650b79.jpgДисклеймер >>

Вся информация здесь публикуется исключительно в ознакомительных целях. Мы не несем ответственность за тех, кто заказывает и выполняет хакерские услуги. И не призываем читателей к противоправным действиям.

Сначала деньги

Мы уже рассказывали, что в этом году злоумышленники снизили цены на взлом email. Если верить объявлениям в телеграм-каналах, стоимость доступа к одному чужому ящику сейчас находится в пределах 2–5 тыс. рублей.

Чуть меньше хакеры (или лица, которые ими только представляются) берут за аккаунт в соцсетях. На скрине средние расценки по объявлениям:

2c655b136a00a54bfbf7c6e5143f200c.jpeg

Большинство исполнителей указывают стоимость услуг сразу. В остальных случаях нужно связаться со «специалистом» через бота или личный контакт. 

Мы пообщались с тремя злоумышленниками напрямую и узнали, что:  

  • цены у них примерно те же, что и в объявлениях с открытыми прайсами (± 500 рублей). Почему они изначально скрывают суммы, осталось для нас большим вопросом (сомнительный маркетинговый ход?),

  • самая дешевая соцсеть по взлому — Одноклассники, самая дорогая — Фейсбук (запрещен в РФ),  

  • чаще всего заказывают ВКонтакте, услуг по этой площадке тоже больше,

  • многие уверяют, что работают как с личными, так и с коммерческими аккаунтами. Во втором случае результат гарантируют за небольшую доплату. В итоге одна взломанная страница компании/бренда якобы стоит 5–10 тыс. рублей. 

Некоторые злоумышленники даже берутся за аккаунты зарубежных компаний. А еще они делают скидки за заказ оптом и перестают выходить на связь сразу, как только заходит речь о гарантиях или примерах прошлых «работ» (интересно, почему?).

0eb7b5466ce51d8e64e78dccc2f985f2.png

Конечно, за многими объявлениями в телеграм-каналах стоят мошенники. Обычно они просят заказчика перевести аванс, а затем сразу же пропадают с радаров. Тем не менее, даже по такой сомнительной статистике можно сделать главный вывод — взломать соцсети не дороже, чем email. И вероятно, не сложнее. 

Как они работают

Здесь мы вас не удивим. Самый дешевый и поэтому наиболее популярный способ получить доступ к чужому аккаунту — фишинг. Жертва получает сообщение от злоумышленника в соцсети, по почте или как-то еще. Важен не формат, а содержимое — ссылка на вредоносный сайт. Дальше жертва переходит по ней и регистрируется, оставляя данные доступа к своему аккаунту. 

Именно так за последний год пострадали сотни тысяч пользователей аккаунтов Фейсбука и Инстаграма (запрещены в РФ). Причем количество успешных атак в указанных соцсетях неумолимо растет. В Нью-Йорке число жалоб на захваченные аккаунты за четыре года увеличилось в 10 раз, а в Вермонте — на 740% всего за один год.

Другой популярный способ угона учетных данных — заразить устройство пользователя трояном, кейлоггером или иным зловредом. Сценарий также часто завязан на фишинге. Жертва переходит из сообщения злоумышленника по сомнительной ссылке или открывает зараженный файл. В итоге зловред попадает на устройство пользователя, собирает нужные логины-пароли и передает их будущему хозяину аккаунта. Пример такого ПО — троян Antidot, который обнаружили на Android-устройствах в мае этого года.

Кроме того, для угона учеток от соцсетей хакеры часто используют:  

  • брутфорс и прочие техники подбора паролей. Если говорить про российских пользователей, то успех этого способа равен 65%,  

  • уязвимости в ПО — незакрытые дефекты безопасности позволяют устанавливать вредоносные приложения, с помощью которых можно получить учетные данные к аккаунту сотрудника и компании,

  • перехват данных посредством общественных сетей Wi-Fi,  

  • использование баз скомпрометированных учеток. Пользователи часто применяют один пароль для разных приложений. Если комбинация уже засветилась в слитых базах, то хакер войдет в аккаунт с ней,

  • кража хэш-данных и cookies.

И наконец, самые специфичные методы: через приближенных к жертве лиц (коллег, членов семьи и тд.), сотрудников оператора мобильной связи и компании, которой принадлежит соцсеть. Есть данные, что учетные данные выгружают прямо с серверов ВКонтакте — пять лет назад это удовольствие стоило 250–300 тыс. рублей за один аккаунт.

Что теряют компании 

Кейс попроще — если угнали данные доступа к личному аккаунту сотрудника. Судя по публичным кейсам, в таких ситуациях компания-работодатель редко бывает конечной целью атаки. 

Обычно угоном личных страниц занимаются мелкие мошенники. Их основная задача — быстро воспользоваться аккаунтом, чтобы попросить у друзей жертвы денег или заставить воспользоваться вредоносной ссылкой (в основном с целью завладеть данными банковской карты). 

В лайт-версии человек попадает в неловкую ситуацию перед коллегами, которые успели прочитать сообщение злоумышленников или даже передать им деньги. В теории также возможно, что трояны и прочие зловреды могут запуститься на офисных ПК и удаленных устройствах сотрудников, что ставит под удар всю корпоративную сеть компании. К счастью, такое развитие событий сегодня крайне сомнительно. Антивирусы и прочие средства защиты легко обнаруживают угрозу и справляются с большинством зловредов, которое распространяются через соцсети. 

В более жестком сценарии жертвой злоумышленника является владелец, топ-менеджер или другое публичное лицо компании. Компрометация его аккаунта приводит к репутационным и финансовым потерям бизнеса. 

Вот лишь пара таких историй, о которых вы наверняка слышали:  

  • в сентябре 2023-го хакеры взломали страницу Виталика Бутерина в X (бывший Twitter, запрещен в РФ) — создателя криптовалюты Ethereum. Суммарный ущерб от этой фишинговой атаки оценили в 700 млн долларов,

  • в 2020 году в той же соцсети увели аккаунты Илона Маска, Джеффа Безоса и других мегапопулярных личностей. За несколько часов злоумышленники заработали более 118 млн долларов.

И, конечно, больше всего бизнес страдает при угоне корпоративного аккаунта в соцсетях. Какую цель преследуют мошенники в таких историях? Чаще всего такую же — возможность быстро заработать на доверии рядовых обитателей соцсети. Публично известные инциденты это подтверждают:  

  • в 2021 году взломали страницу Яндекс Go во ВКонтакте — злоумышленники отправили подписчикам сообщение, в котором рассказывали о фейковом розыгрыше 3 тыс. долларов. Для участия пользователям предлагали ввести данные банковских карт. И хотя компания оперативно вернула контроль над сообществом, некоторые подписчики успели потерять деньги,  

  • точно так же злоумышленники поступили с соцсетями «Уралсиба» в прошлом году. Всем, кто оставил на поддельном сайте платежные данные, банк посоветовал заблокировать карты,

  • в марте этого года бутик мультибрендовой одежды Crystal лишился аккаунта в Инстаграме (запрещен в РФ), на который было подписано 559 тыс. пользователей. Мошенники продолжили публиковать контент с товарами и предлагать скидки с единственным, но — они заменили номер счета оплаты на свой.

Часто злоумышленники шантажируют владельца аккаунта — просят выкуп за возможность восстановить доступ. О каких суммах идет речь на корпоративном уровне и действительно ли хакеры выполняют условия сделки, известно мало. 

Еще одна причина взлома коммерческих аккаунтов — PR группировок. Вот, например, в далеком 2017 году хакеры из OurMine взломали соцсети HBO. Ранее схожим атакам подверглись другие телеканалы. В каждом случае злоумышленники публиковали пост, в котором описывали произошедшее и называли себя. 

Как защититься

Более половины атак на бизнес происходят по вине сотрудников — уверяют эксперты Positive Technologies. Защититься от взлома их соцсетей и сопутствующих проблем для компании — сложная задача. Но варианты свести угрозы к минимуму есть. 

Самые очевидные решения на уровне компании выглядят так:

  • банальный и грубый метод защиты — ограничить доступ сотрудников к соцсетям на уровне устройств, которые находятся в офисе или подключаются к корпоративной сети извне,

  • если у компании есть корпоративные страницы, использовать двухфакторную аутентификацию и сложные уникальные пароли, не забывать обновлять их,

  • зачастую достаточно, чтобы в компании были установлены базовые средства защиты информации: антивирусы, прокси, VPN, DLP (Data Loss Prevention), WAF (Web Application Firewall) и т.д. Они помогут избежать большинства атак с перебором паролей, XSS других возможных угроз,  

  • отслеживать уязвимости корпоративного ПО, своевременно обновлять и по минимуму использовать opensource-продукты,  

  • проводить антифишинговые учения. Здесь важна практика. Проводите тестовые прогоны с фейковыми сообщениями в соцсетях и »‎опасными» email-рассылками,

  • усиливать парольную политику: выявляйте сотрудников с уже скомпрометированными паролями (об одном из способов мы недавно рассказывали на Хабре).

Базовые меры безопасности помогут защитить бизнес от атак, которые начинаются с угона соцсетей сотрудников и компании. Но что делать, если инцидент уже произошел? И как будет проходит расследование, если пострадала инфраструктура в стороннем облаке? Подробностями поделимся в 27 июня — на бесплатном вебинаре с Angara Security. 

© Habrahabr.ru