Интернет: кража паролей набирает обороты

В один прекрасный день, включив компьютер, вы вдруг обнаруживаете, что не можете войти в аську или почтовый ящик. Вводите пароль снова и снова, а он почему-то не принимается. Успокойтесь, вы вводите правильный пароль. Вернее, он был правильным, пока его не похитили, а вместе с ним и номер аськи, почтовый адрес или даже юзернейм в Живом журнале (ЖЖ). Чаще всего это просто шалости малолетних хакеров. Но не всегда. Кое для кого кражи паролей могут быть серьезным бизнесом.

Проснись, нас обокрали!
Зачастую номер ICQ или адрес электронной почты крадут в расчете на получение выкупа. Как правило, это относится к престижным шестизначным или просто красивым номерам ICQ. Хотя от кражи не застрахованы и владельцы самых заурядных девятизначных асек или безликих мейлов. Похитители предполагают, что пользователю проще заплатить выкуп 500-1000 руб. (допустим, переводом в Webmoney), чем уведомлять всех своих знакомых о смене адреса, просить повторить отправленные письма и т. д. Бывает, что пользователи и выкупают любимые номера и адреса, но чаще посылают похитителей куда подальше.

Анна Артамонова, вице-президент и директор по маркетингу и PR Mail.ru: "Бизнес этот не очень выгоден: средняя цена взломанного ящика составляет $5-10, да еще и конкуренты есть -- техническая поддержка Mail.ru возвращает ящики бесплатно. Был случай, когда за ящик попросили 5 тыс. руб. Продать его, естественно, не успели, он был возвращен владельцу.

Обычно похититель одновременно с паролем меняет и все данные в форме регистрации пользователя (имя, ответ на секретный вопрос, адрес для восстановления пароля и т. д.). Однако доказать свои права на ящик не так уж и трудно: подтверждением личности владельца может стать информация об отправленных или полученных письмах, прежних паролях и т. п.

Но часто целью похищения является не выкуп или не только выкуп.

Алексей Капранов, руководитель почтовой службы "Рамблера": В последнее время на первое место выходит кража пароля к почте с целью получения доступа к другому персонализированному ресурсу, который был зарегистрирован с использованием данного адреса e-mail.

Самсон Шоладеми, блогер (пятое место в рейтинге посещений ЖЖ): Злоумышленники сперва получили доступ к моему почтовому ящику на Mail.ru (он был указан на странице в ЖЖ), а дальше, видимо, сделали автоматические запросы в ЖЖ и ICQ и получили на этот мейл пароли к этим ресурсам.

Похитители, сперва написав в еще не украденную аську, а затем, вывесив пост на уже отнятом блоге, предлагали "договориться". Самсон на переговоры не пошел, а сразу же обратился к администратору ЖЖ, который на время "заморозил" блог. После чего служба технической поддержки Mail.ru идентифицировала Самсона в качестве настоящего владельца и вернула ему доступ к почте. Так же точно администрацией ЖЖ был возвращен и блог.

Нередки случаи, когда, взломав аську, мошенник обращается от имени владельца номера к его знакомым с просьбой срочно одолжить денег путем перевода через Webmoney. Подобные рассылки производятся наобум -- берут числом запросов. Поскольку запрашиваемые суммы обычно невелики ($30-50), мошенникам иногда везет: контактеры совершают перевод без переговоров по телефону.

А бывает, что жертва взлома даже и не догадывается о случившемся, продолжая спокойно пользоваться мейлом и аськой.

Soviet[HZ], хакер (просил указать только его ник на тематических форумах): В последнее время к хакерам стали очень часто обращаться мужья, подозревающие, что жена ведет с кем-то переписку интимного характера через электронную почту или ICQ. Ревнивцы готовы заплатить за доступ к почтовому ящику или файлу "*.dat" с историей переписки в аське.

Такие заказы чаще всего особых сложностей не представляют: домашние компьютеры, как правило, защищены слабо. Поэтому и гонорар невысок -- $20-50.

Исполнителей такого уровня, как правило, находят в интернете, например на хакерских форумах. При удачном взломе (а может ведь и не получиться) исполнитель предоставляет заказчику доказательства получения доступа, скажем, пару писем из вскрытой почты. Затем клиент переводит в указанный интернет-кошелек гонорар, а исполнитель высылает пароль.

Детский сад
Учитывая цену вопроса, нетрудно догадаться, что всеми этими шалостями занимаются в основном студенты и старшеклассники. И делают они это, как правило, не на заказ -- просто тренируются, изучают методы, приобретают опыт. Если же при этом удается получить выкуп за уведенную аську, деньги идут на оплату доступа в сеть и "на мороженое".

Такие взломщики обычно используют стандартные, хорошо известные и, с точки зрения профессионалов, весьма примитивные методы. Один из самых популярных -- засылка вируса-трояна, который "разглядит" и вышлет своему хозяину всю необходимую информацию, то есть пароли и логины.

Дилетанты пользуются стандартными (полученными от коллег) троянами. Да и засылают их обычно в лоб, то есть прикрепляя их к безликим письмам, напоминающим спамерские. Например, взламывая мейл саратовской газеты, хакер SdS послал троян, прикрепленный к файлу с соцопросом. Или бывает, что "хитрое" письмо не содержит трояна внутри, зато просит зайти на некую веб-страницу, где уже троян и цепляется. Но опытный юзер файл в подозрительном письме открывать не станет и по коварной ссылке не пойдет.

Иногда пользователь своими руками пишет и высылает злоумышленнику свои логин и пароль. Хотя администрация большинства ресурсов и предупреждают о том, что "мы никогда не высылаем письма с просьбами ввести/указать логин или пароль", всегда находятся "чайники", попадающиеся на нехитрую уловку.

И наконец, метод простого подбора пароля. Особой смекалки от мошенника не требуется, достаточно элементарной наблюдательности.

Анна Артамонова: Доступ к почтовому ящику можно получить, ответив на секретный вопрос. Если в качестве такого контрольного пользователь предпочел вопрос "Как зовут мою собаку?", то, размещая в своем блоге фотографию "Мы с Мухтаром на границе", он сам указывает правильный ответ. Подобным образом один известный певец в качестве ответа на контрольный вопрос использовал название своего нового альбома -- информацию, доступную в интернете.

Евгения Завалишина, генеральный директор компании "Яндекс.Деньги": Никогда не открывайте даже знакомые и безопасные сайты по ссылкам -- существует множество способов фальсификации адреса. Вводите URL (адрес сайта) непосредственно в адресную строку вашего браузера.

Кстати, о "чайниках". Артур Ляшенко, независимый эксперт по безопасности банковских и платежных систем в интернете: Не пользователь "чайник", а корпорация Microsoft, оставляющая дыры в своих системах. Но надо заметить, что сейчас она исправляет ошибки -- ее новая система Windows Vista защищена хорошо.

С момента вывода Vista на рынок и по сей день, по наблюдениям Артура Ляшенко, компьютерный андеграунд (преступность) испытывает беспокойство: пока дырок в ней для загрузки троянов не обнаружено.

Корпоративные войны
Получить доступ к личной переписке Васи Пупкина зачастую так же просто, как и бессмысленно. Ну почитают его любовные откровения или нагадят похабными текстами на личной страничке. В крайнем случае продадут доступ его ревнивой девушке за $50. Совсем другое дело, если вышеуказанный господин Пупкин является известным политическим деятелем, шоуменом, топ-менеджером или акционером серьезной компании. Тут уже есть поле для бизнеса.

Дмитрий Скляров, аналитик по информационной безопасности компании "Элкомсофт": Люди не думают о безопасности переписки, доверяя мейлу много такого, что не сказали бы прилюдно. И тут есть поле для атаки врагов.

В таких случаях доступ к переписке может позволить хакеру заняться прибыльным корпоративным шпионажем или шантажом именитого пользователя.

А вот для рассылки компрометирующих или вводящих в заблуждение писем с мейла компании пароль доступа красть вовсе не обязательно.

Игорь Кузнецов, управляющий партнер РА "Реклама без границ", в прошлом известный спамер: Всякий, кто профессионально занимался рассылкой спама, знает, что в качестве адреса отправителя при определенных манипуляциях можно поставить какой угодно адрес. Никаких сложностей данная процедура не представляет.

Вот, например, недавняя история с "Сургутнефтегазом", когда неожиданно с интернет-адреса компании прошла рассылка информации об аресте ее руководства, оказавшаяся дезинформацией. Эксперты до сих пор недоумевают, почему именно "чайнику" была поручена эта операция. Ведь он даже не удосужился имитировать отправку письма с настоящего мейла организации -- в адресе отправителя значилось просто нечто похожее. Цель данной акции представители компании объяснили так: "Время (3 часа утра в Сургуте) распространения ложной информации и само содержание "пресс-релиза" говорят о том, что целью авторов затеи была попытка манипулирования западными фондовыми рынками (в частности, рынком США), участники которых из-за разницы во времени не могли проверить информацию и убедиться в том, что она не является разновидностью спам-рассылки".

Профессионалы действуют тоньше, с выдумкой.

Артур Ляшенко: Получив доступ к чьей-то персональной странице или блогу, профессионал не станет вывешивать там на первой странице большими буквами идиотские заявления или признания от имени владельца. Во-первых, это сразу заметят и удалят, а во-вторых, всем будет понятно, что человек писал не сам.

При грамотном подходе опытный "писатель" составит текст с учетом поднятых на странице тем и в стиле владельца блога или же немного отредактирует уже существующую тему из недавно вывешенных. Поэтому никто сразу чужака и не заметит. А в результате о "своем" высказывании владелец блога (известный человек) узнает, когда оно уже будет цитироваться в интернете и бумажных СМИ.

Конечно, прайс-листы на взлом корпоративных сетей в интернете не вывешивают. Так что о расценках можно только догадываться.

Сергей Рыжиков, генеральный директор компании "1С-Битрикс": Можно найти дилетанта -- в этом случае стоимость заказа будет варьироваться от $50 до $200, правда, вероятность успеха ничтожно мала. Компетентный же взломщик возьмется за такую работу, если аванс будет не меньше $3 тыс. В особых же случаях цена может доходить до $20 тыс. При этом 100-процентной гарантии успеха никакой взломщик не гарантирует.

По мнению Сергея Рыжикова, в корпоративных войнах основной интерес обычно представляет не доступ к переписке, а данные бухгалтерии или, допустим, отдела маркетинга.

А бывает, что "заказывают" компанию ее бывшие сотрудники.

Soviet[HZ]: К примеру, сотрудник был чем-то обижен при увольнении. На его компьютере или общем сервере компании остались сделанные им документы, которые он не хочет оставлять врагам, вот и "заказывает" свою бывшую фирму. Чаще всего речь идет об удалении каких-то документов.

Поставить на поток услугу взлома корпоративной сети или почтового сервера, по мнению Дмитрия Склярова, нельзя в силу непредсказуемости, а зачастую просто низкой вероятности успеха. Именно поэтому в этой сфере и не существует организованного бизнеса. Подобные заказы могут, конечно, быть приняты и выполняться силами какой-либо легальной или нелегальной компании, но только в качестве побочного заработка.

Вот это -- фишинг
Дмитрий Скляров: При грамотно настроенной системе и защите заслать вирус-троян на компьютер корпоративной сети практически невозможно.

Александр Каталов, генеральный директор компании "Элкомсофт": Нормально защищенная система с настроенным и своевременно обновляемым фаерволлом, браузером, антивирусом и т. п. не позволит подцепить даже неизвестный антивирусу троян, вычислит его по особым троянским признакам. Но даже если троян уже засел в системе, она не должна выпустить наружу отправляемую им информацию.

Артур Ляшенко с этими мнениями согласен, однако с оговорками: Все защиты рассчитаны на более или менее стандартные варианты атаки. Однако, если за дело берется не ремесленник, а человек, владеющий делом на уровне искусства, защита не сработает.

Скажем, для атаки будет создан не просто нестандартный, а уникальный троян с учетом специфики системы. Да и не всегда нужно для запуска трояна внедрять его через интернет -- можно просто срежиссировать ситуацию, при которой сотрудник интересующей компании сам загрузит троян в свою корпоративную сеть. Причем даже не догадываясь о том, что он сделал. Вот это и называется искусством фишинга.

Артур Ляшенко: Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то потеряны флэшки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры -- видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян.

Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто "давай познакомимся" или "пупсик, глянь мои фотки". В графе "отправитель" стоит имя знакомого топ-менеджеру человека (можно даже сам мейл проверить), да и содержание вполне по делу, в рамках бизнес-интересов. Почему бы не зайти на страницу с дополнительной информацией (и грамотно прописанным трояном)? Даже если получивший заказ на добычу пароля профессионал не в курсе круга знакомств и интересов сотрудников компании, он может это выяснить, просто познакомившись и пообщавшись с этими людьми на профессиональных интернет-форумах, выставках и т. д. Не все же сводится к одним IT-технологиям.

Кстати, располагая информацией о человеке, письмо-приглашение на страницу с трояном можно даже не присылать. Достаточно узнать, какие сайты человек посещает, а потом найти среди этих сайтов уязвимый и вывесить троян там.

Если известно, что человек пользуется какими-либо общедоступными онлайновыми ресурсами, сравнительно плохо защищенными и часто "собранными" на скорую руку, то пароль входа в эти ресурсы с большой долей вероятности можно выяснить.

А поскольку люди зачастую для простоты пользуются одним паролем, можно использовать его для доступа к другим ресурсам, содержащим ценную информацию.

Александр Занис, партнер американской компании Adrecom Inc. (интернет-решения в области электронной коммерции): Зачастую ресурсы, запущенные совсем недавно, написаны с использованием старых версий соответствующих инструментов. И вскрыть доступ к странице с регистрационными данными пользователя может любой мало-мальски квалифицированный IT-специалист со знанием SQL.

В поля форм для регистрации или авторизации вводится кусок SQL-запроса, который нивелирует проверку подлинности и открывает доступ к регистрационным данным (SQL ejection).

Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать "потерянный" пароль. Интернет-ресурсами с подобными прорехами могут являться онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д.

Артур Ляшенко: Единственное спасение -- если каждый пользователь в корпоративной сети будет мыслить как системный администратор, тогда система станет неуязвимой. Но это, конечно, невозможно.

Ключ от квартиры, где деньги лежат
Если похищение пароля к почте или мейлу может стать лишь косвенной причиной каких-либо потерь, то кража пароля доступа к интернет-кошельку или банковскому счету сулит прямые материальные убытки.

Евгения Завалишина: Наиболее частые приемы, к которым прибегают мошенники,-- это либо взлом компьютера с помощью вирусов-троянов, позволяющих получить все пароли пользователя, хранящиеся на компьютере, от всех электронных кошельков и почтовых логинов, либо фишинговые письма, предлагающие пользователю ввести свой платежный пароль на специально созданной странице. Мы постоянно обращаем внимание пользователей на то, что компания "Яндекс.Деньги" никогда не присылает писем иначе, чем в ответ на запросы в службу поддержки. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем.

Артур Ляшенко: В мире интернет-андеграунда какое-то время назад установилось разделение труда. Троян скачивает абсолютно все логины и пароли, которые пользователь вводит на конкретном компьютере, и высылает своему хозяину. В итоге у владельца трояна скапливаются тысячи записей (логов). Сам он ими не занимается, а продает другим "узким специалистам".

Покупатели логов могут специализироваться на самых разных видах мошенничеств. Если речь идет о похитителях денег из интернет-кошельков, то мошенники, разбирая купленные логи, выберут по определенным признакам логины и пароли, относящиеся к соответствующей тематике. А потом попытаются увести деньги. Еще не так давно такой фокус можно было провернуть и со всеми банками, предоставляющими возможность управления счетом через интернет. Однако сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдается пользователю. Причем пароли принимаются только в последовательности, указанной в списке. То есть, пока, допустим, пароль N2 не будет использован, пароль N3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю -- сработало, доступ к счету получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле еще не использованный, попадает в руки воров.

Или другой, вроде бы надежный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают.

Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению Артура Ляшенко,-- это двухфакторная аутентификация. То есть когда каждый из двух одновременно вводимых паролей поступает по разным каналам. Один, допустим, приходит на мейл, а второй -- на мобильный телефон. Или второй пароль генерируется специальным устройством, напоминающим калькулятор (выдается пользователю банком). Однако многие отечественные банки двухфакторную аутентификацию пока не вводят, считая, что это им слишком дорого обойдется.

Если тупыми кражами по мелочи из интернет-кошельков сегодня уже никого не удивить, то следующий вид мошенничества Артур Ляшенко считает, так сказать, трендом для интернет-андеграунда. Разбирая купленные логи, полученные в основном от пользователей из США, мошенники стали все чаще натыкаться на пароли к личным счетам/портфелям в брокерских конторах. Украсть эти деньги или акции очень трудно. Даже имея доступ к ним, максимум, что можно сделать,-- это лишь напакостить пользователю, проведя ту или иную невыгодную операцию. Но это в том случае, если имеешь доступ всего лишь к одному брокерскому счету. А если их тысячи, то, консолидировав чужие активы на миллионы долларов, можно провести настоящую биржевую операцию. Допустим, сыграть на понижение или повышение акций какой-то конкретной компании, объем дневных биржевых торгов по которой сопоставим с размером сконцентрированных активов. И таким образом можно заработать сотни тысяч долларов. Это вам не мелочь по интернет-карманам тырить. Что же будет с инвестиционными портфелями использованных абонентов после такого управления -- мошенникам уже не важно.