В один прекрасный день, включив компьютер, вы вдруг обнаруживаете, что не можете войти в аську или почтовый ящик. Вводите пароль снова и снова, а он почему-то не принимается. Успокойтесь, вы вводите правильный пароль. Вернее, он был правильным, пока его не похитили, а вместе с ним и номер аськи, почтовый адрес или даже юзернейм в Живом журнале (ЖЖ). Чаще всего это просто шалости малолетних хакеров. Но не всегда. Кое для кого кражи паролей могут быть серьезным бизнесом.
Проснись, нас обокрали!
Зачастую номер ICQ или адрес электронной почты крадут в расчете на получение выкупа. Как правило, это относится к престижным шестизначным или просто красивым номерам ICQ. Хотя от кражи не застрахованы и владельцы самых заурядных девятизначных асек или безликих мейлов. Похитители предполагают, что пользователю проще заплатить выкуп (допустим, переводом в Webmoney), чем уведомлять всех своих знакомых о смене адреса, просить повторить отправленные письма и т. д. Бывает, что пользователи и выкупают любимые номера и адреса, но чаще посылают похитителей куда подальше.
Обычно похититель одновременно с паролем меняет и все данные в форме регистрации пользователя (имя, ответ на секретный вопрос, адрес для восстановления пароля и т. д.). Однако доказать свои права на ящик не так уж и трудно: подтверждением личности владельца может стать информация об отправленных или полученных письмах, прежних паролях и т. п.
Но часто целью похищения является не выкуп или не только выкуп.
Нередки случаи, когда, взломав аську, мошенник обращается от имени владельца номера к его знакомым с просьбой срочно одолжить денег путем перевода через Webmoney. Подобные рассылки производятся наобум — берут числом запросов. Поскольку запрашиваемые суммы обычно невелики ($30–50), мошенникам иногда везет: контактеры совершают перевод без переговоров по телефону.
А бывает, что жертва взлома даже и не догадывается о случившемся, продолжая спокойно пользоваться мейлом и аськой.
Soviet[HZ], хакер (просил указать только его ник на тематических форумах): В последнее время к хакерам стали очень часто обращаться мужья, подозревающие, что жена ведет с кем-то переписку интимного характера через электронную почту или ICQ. Ревнивцы готовы заплатить за доступ к почтовому ящику или файлу «*.dat» с историей переписки в аське.
Такие заказы чаще всего особых сложностей не представляют: домашние компьютеры, как правило, защищены слабо. Поэтому и гонорар невысок — $20–50.
Исполнителей такого уровня, как правило, находят в интернете, например на хакерских форумах. При удачном взломе (а может ведь и не получиться) исполнитель предоставляет заказчику доказательства получения доступа, скажем, пару писем из вскрытой почты.
Детский сад
Учитывая цену вопроса, нетрудно догадаться, что всеми этими шалостями занимаются в основном студенты и старшеклассники. И делают они это, как правило, не на заказ — просто тренируются, изучают методы, приобретают опыт. Если же при этом удается получить выкуп за уведенную аську, деньги идут на оплату доступа в сеть и «на мороженое».
Такие взломщики обычно используют стандартные, хорошо известные и, с точки зрения профессионалов, весьма примитивные методы. Один из самых популярных — засылка вируса-трояна, который «разглядит» и вышлет своему хозяину всю необходимую информацию, то есть пароли и логины.
И наконец, метод простого подбора пароля. Особой смекалки от мошенника не требуется, достаточно элементарной наблюдательности.
Кстати, о «чайниках». Артур Ляшенко, независимый эксперт по безопасности банковских и платежных систем в интернете: Не пользователь «чайник», а корпорация Microsoft, оставляющая дыры в своих системах. Но надо заметить, что сейчас она исправляет ошибки — ее новая система Windows Vista защищена хорошо.
Корпоративные войны
Получить доступ к личной переписке Васи Пупкина зачастую так же просто, как и бессмысленно. Ну почитают его любовные откровения или нагадят похабными текстами на личной страничке. В крайнем случае продадут доступ его ревнивой девушке за $50. Совсем другое дело, если вышеуказанный господин Пупкин является известным политическим деятелем, шоуменом, топ-менеджером или акционером серьезной компании. Тут уже есть поле для бизнеса.
Люди не думают о безопасности переписки, доверяя мейлу много такого, что не сказали бы прилюдно. И тут есть поле для атаки врагов. В таких случаях доступ к переписке может позволить хакеру заняться прибыльным корпоративным шпионажем или шантажом именитого пользователя.
А вот для рассылки компрометирующих или вводящих в заблуждение писем с мейла компании пароль доступа красть вовсе не обязательно.
Профессионалы действуют тоньше, с выдумкой.
Получив доступ к чьей-то персональной странице или блогу, профессионал не станет вывешивать там на первой странице большими буквами идиотские заявления или признания от имени владельца. Во-первых, это сразу заметят и удалят, а во-вторых, всем будет понятно, что человек писал не сам.
При грамотном подходе опытный «писатель» составит текст с учетом поднятых на странице тем и в стиле владельца блога или же немного отредактирует уже существующую тему из недавно вывешенных. Поэтому никто сразу чужака и не заметит. А в результате о «своем» высказывании владелец блога (известный человек) узнает, когда оно уже будет цитироваться в интернете и бумажных СМИ.
Конечно, прайс-листы на взлом корпоративных сетей в интернете не вывешивают. Так что о расценках можно только догадываться.
Можно найти дилетанта — в этом случае стоимость заказа будет варьироваться от $50 до $200, правда, вероятность успеха ничтожно мала. Компетентный же взломщик возьмется за такую работу, если аванс будет не меньше $3 тыс. В особых же случаях цена может доходить до $20 тыс. При этом 100-процентной гарантии успеха никакой взломщик не гарантирует.
А бывает, что «заказывают» компанию ее бывшие сотрудники.
Вот это — фишинг
При грамотно настроенной системе и защите заслать вирус-троян на компьютер корпоративной сети практически невозможно.
Нормально защищенная система с настроенным и своевременно обновляемым фаерволлом, браузером, антивирусом и т. п. не позволит подцепить даже неизвестный антивирусу троян, вычислит его по особым троянским признакам. Но даже если троян уже засел в системе, она не должна выпустить наружу отправляемую им информацию.
Все защиты рассчитаны на более или менее стандартные варианты атаки. Однако, если за дело берется не ремесленник, а человек, владеющий делом на уровне искусства, защита не сработает.
Скажем, для атаки будет создан не просто нестандартный, а уникальный троян с учетом специфики системы. Да и не всегда нужно для запуска трояна внедрять его через интернет — можно просто срежиссировать ситуацию, при которой сотрудник интересующей компании сам загрузит троян в свою корпоративную сеть. Причем даже не догадываясь о том, что он сделал. Вот это и называется искусством фишинга.
Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то потеряны флэшки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры — видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян.
Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто «давай познакомимся» или «пупсик, глянь мои фотки». В графе «отправитель» стоит имя знакомого топ-менеджеру человека (можно даже сам мейл проверить), да и содержание вполне по делу, в рамках бизнес-интересов. Почему бы не зайти на страницу с дополнительной информацией (и грамотно прописанным трояном)? Даже если получивший заказ на добычу пароля профессионал не в курсе круга знакомств и интересов сотрудников компании, он может это выяснить, просто познакомившись и пообщавшись с этими людьми на профессиональных интернет-форумах, выставках и т. д. Не все же сводится к одним IT-технологиям.
Кстати, располагая информацией о человеке, письмо-приглашение на страницу с трояном можно даже не присылать. Достаточно узнать, какие сайты человек посещает, а потом найти среди этих сайтов уязвимый и вывесить троян там.
Если известно, что человек пользуется какими-либо общедоступными онлайновыми ресурсами, сравнительно плохо защищенными и часто «собранными» на скорую руку, то пароль входа в эти ресурсы с большой долей вероятности можно выяснить.
А поскольку люди зачастую для простоты пользуются одним паролем, можно использовать его для доступа к другим ресурсам, содержащим ценную информацию.
Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать «потерянный» пароль. Интернет-ресурсами с подобными прорехами могут являться онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д.
По материалам «Деньги»