CyberMoon - Некоммерческое децентрализованное издание, простым языком повествующее о сложном мире организованной киберпреступности, цель которого - осведомление и противодействие.
Дисклеймер: Автор лишь рассказывает о мошеннических схемах, но НЕ предоставляет подобных услуг, НЕ рекламирует и даже НЕ называет в блоге названий "инструментов" и НЕ несёт никакой бы то ни было ответственности за использование нижеприведённой информации в незаконных целях.
Сегодня мы поднимем тему "Взлома страниц в социальных сетях" и разберём её на примере ВКонтакте.
Для того, чтобы авторизоваться в социальной сети под тем или иным пользователем необходимо знать две единицы данных - логин и пароль. Традиционно во ВКонтакте логином служит номер мобильного телефона, а пароль, как, впрочем, и везде - последовательность букв верхнего и нижнего регистра (заглавные и строчные), цифр и специальных знаков, которую пользователь выбирает произвольно, наобум или внося в неё явный (фамилия, имя, никнейм, дата рождения) или скрытый (любимое число, красивое слово) смысл.
ВКонтакте предоставляет возможность дополнительно защитить вашу страницу. Для этого необходимо добавить в настройках использование двухфакторной аутентификации (отправка смс с кодом на номер телефона и электронную почту).
Таким образом, в формате "стандартной" или по-другому "базовой" защиты страницы, злоумышленнику требуется получить лишь логин и пароль для входа, а в формате "продвинутой" или "усиленной" - ещё и код, пришедший на номер мобильного телефона, и/или код, что приходит в письме на электронную почту, также привязанную к странице.
Под "взломом" понимается несанкционированное получение доступа к странице. Взлом может быть:
1) активный (т.е. целенаправленный) и
2) пассивный (можно выразиться "сам собою произошедший").
В первом случае злоумышленник желает получить доступ именно к вашей странице и ничьей другой. Такой взлом делается "на заказ", когда к хакеру обращаются лица, которых, к примеру, интересует владелец страницы, с которым они знакомы лично, может быть даже "живут под одной крышей". Ситуация чаще всего такая: муж/жена подозревает жену/мужа в измене и готов заплатить хакеру, дабы прочитать переписки.
Иногда хакеры взламывают страницы по своей воле. В том случае, если владелец страницы - известная личность, обладающая авторитетом. Так, получив доступ и опубликовав пост по типу "просьба о помощи", "сбор средств", "способ заработка", и прикрываясь "маской" которой доверяют они направляют аудиторию на заочную погибель.
Во втором случае хакеры не заинтересованы в лично вашей странице. Они имеют одинаковую заинтересованность в странице любого пользователя. Такие, как правило, позже используют для массовых спам-рассылок в сообщениях, по типу "предложение о работе", "займи в долг, к концу недели отдам".
Различия между "Целенаправленным" и "Пассивным" взломом не столько в том, как взломанные страницы используются, сколько в способах и происходящих при этом процессах. Не трудно догадаться, что взломать именно ту страницу, какую хочется, будет сложнее, нежели чем ту, которую получится. Поэтому взлом "на заказ" и "для себя" стоит на рынке теневых услуг дороже, нежели пакет "рядовых/обычных" аккаунтов, которые быстро скупают SMM-специалисты. Стоимость услуг зависит не только от времени, которое затрачивается на взлом, но ещё и от стоимости "расходников". Ими могут выступать "прокси" - инструмент для смены IP-адреса, который на голову выше VPN. Прокси выступают не только в роли "защиты" для самого хакера, но и "пылью в глаза" для антифрод-системы социальной сети (фрод от англ. "fraud" - мошенничество). Как правило, в процессе целенаправленного взлома используется несколько десятков, а то и сотен тысяч разных прокси.
Разбор механизмов взлома начнём в следующей последовательности: от простого к сложному, от программного к социально-инженерному.
1) Фишинг (от англ. от англ. phishing — «рыбная ловля, выуживание»).
Например, вы сёрфите интернет - переходите с одного сайта на другой, вводите что-либо в поисковике, а затем, заходите на сайт и желаете там зарегистрироваться. Очень часто сайт даёт возможность пройти не только "стандартную регистрацию", но и "упрощенную". В первом случае требуется ввести адрес электронной почты, придумать пароль, подтвердить пароль, написав его повторно, ввести капчу, подтвердить регистрацию по ссылке из письма. Во втором - авторизоваться через социальную сеть, просто кликнув на её значок и всего то. Это быстрее и удобнее, но совсем не безопасно. Ведь таким образом происходит авторизация сайта в вашем профиле социальной сети. А значит, что владелец сайта получает ваш логин и пароль и не делает для этого ничего. Вы всё сделали сами, своими руками.
Схожая ситуация и с мобильными приложениями, где есть подобный формат регистрации. Ровно также и с играми внутри социальной сети, когда при первом входе они запрашивают у вас получение информации о странице. Также и с "опросами", когда вы переходите по сомнительной ссылке из ВКонтакте на другой сайт типа "Проголосуйте за лучшую поделку на новогоднюю тематику в детском саду", а для голоса сайт требует авторизоваться, часто обосновывая это тем, что голосование должно быть честным и так они предупреждают накрутку. По поводу "опросов" хочется добавить следующее: злоумышленник может создать подобный сайт, затем взломать страницу и отправить с неё сообщение "Юль, у знакомой у дочки в садике конкурс, нужно чтобы победила. Проголосуй и перекинь ещё кому-нибудь, пожалуйста. В долгу не останусь!". Таким образом всего 1 взломанная страница и 1 сообщение запускает цепную реакцию, результатом которой будут сотни страниц. Заход на аккаунты при этом не молниеносный. Злоумышленник может не менять пароль. Жертва так и не догадается, что её страницу "мониторят".
Разумеется не каждый сайт где есть такая функция мошеннический. Содержание крупного сайта затратно и его владелец не будет рисковать своей репутацией, пользуясь чужими страницами, а защита от сотрудников реализована путём шифрования передаваемых вами данных. Закончим этот абзац также, как и начали, но с небольшой поправкой. Разумеется не каждый сайт где есть такая функция НЕ мошеннический, а по сему НЕ всегда шифрование имеет место быть.
Данный метод используется в пассивном взломе - кто "попадётся", тот и "попадётся", всех любим, ценим, все нужны.
2) Брут или Брутфорс (в переводе с англ. "атака грубой силой", иначе "метод перебора").
Исходя из названия принцип взлома в переборе. Логин (номер мобильного телефона) при этом известен. Даже если изначально его нет, найти ("пробить") труда не составит. Перебирают лишь пароли и используют для этого специальные программы. То есть хакер не сидит за компьютером и не строчит буквы и цифры в надежде, что они окажутся заветной комбинацией. За него это делает программа. Она чаще всего установлена на удалённом сервере высокой мощности или на группе таких серверов, что позволяет добиться серьёзной производительности и перебирать немыслимое число комбинаций за единицу времени. Такие программы оборудованы словарями наиболее вероятных комбинаций. Туда хакер вносит то, что по его мнению может характеризовать пароль жертвы. Чаще всего это имя, фамилия, дата рождения, город проживания, год регистрации страницы и др.. Программа, используя эти данные, придумает из них множество вариантов.
Себестоимость брутфорса высока. Деньги уходят на аренду удалённых серверов, на покупку прокси. Если часто вводить неправильный пароль с одного IP-адреса, антифрод социальной сети предложит ввести капчу, а через время - внесёт адрес в чёрный список как подозрительный. Поэтому прокси меняются с периодичностью 1 прокси - 3 попытки. После отдыха тот же прокси можно использовать ещё раз. А если подвязать к брутфорс программе сервис услуг по расшифровке капч, то и она перестанет быть помехой.
Данный метод используется в целенаправленном взломе - "именно эта страница нам точно нужна, готов выложить весь свой капитал, только бы она поддалась".
3) Вирусы-стиллеры или "Я тебя породил, я тебя и использую".
В компьютерной вирусологии имеется классификация, согласно которой вредоносное программное обеспечение, отвечающее за получение логинов, паролей, куки-файлов и прочей информации устройства относится к типу "Стиллеры", (от англ. steal - красть). Такие вирусы и воруют логины и пароли от социальных сетей. А куки-файлы и грамотная настройка цифрового отпечатка браузера и устройства, с которого мошенник пытается авторизоваться напрочь отменяют двухфакторную аутентификацию. Социальная сеть считает, что это именно вы заходите на страницу именно с того устройства, с которого всегда и заходили.
Подхватить вирус можно скачав игру или программу с сомнительного сайта. При этом игра и программа на самом деле могут работать. Ведь "сшить" их с вирусом не сложно и это часто используется на практике, тем более что вредоносный код теряется в коде программы и спрятан от антивируса.
Данный метод используется чаще в пассивном взломе - кто "попадётся", тот и "попадётся", всех любим, ценим, все нужны, но также возможен и при целенаправленном.
4) Перевыпуск сим-карты или "операторы в деле".
Предположим, что вы 10 лет имели одну и ту же сим-карту. За это время у вас накопилось много друзей и знакомых и со всеми вы любезно делились одним и тем же номером телефона. А каким ещё? - Другого никогда и не было! По нелепой случайности, при бытовых обстоятельствах сим-карты не стало: потеряли, сломали, выкинули. Нужна новая, но так, чтобы не потерять старые контакты. Вы имеете полное право обратиться к своему сотовому оператору и попросить его выпустить вам новую сим-карту с тем же номером телефона. Такого права не имеют мошенники, ибо незаконно, но на то они и мошенники, чтобы его нарушать.
На форумах специфической направленности сотрудники операторов связи оказывают услуги перевыпуска сим-карт за определённую плату. Невзирая на то, что новая и старая сим-карта обладают одним и тем же номером, они отличаются идентификатором IMSI. Актуальной признаётся сим-карта, чей IMSI "свежее". То есть при перевыпуске все звонки и сообщения будут поступать на перевыпущенную сим-карту, даже если старая всё ещё находится в вашем телефоне.
Мошенник, владея новой сим-картой, заходит во ВКонтакте, выбирает "забыл пароль", получает смс-код, вводит новый пароль, удаляет сессию вашего устройства с профиля и становится единственным самопровозглашённым его обладателем.
Данный метод используется в целенаправленном взломе - "именно эта страница нам точно нужна, не жалко заплатить оператору за перевыпуск".
5) Социальная инженерия или "Помогите, пожалуйста, тут такая ситуация...".
В данном варианте злоумышленник обращается в техническую поддержку ВКонтакте и отыгрывает роль владельца страницы по выдуманной легенде. Например: "Здравствуйте. Помогите, пожалуйста, я потерял свой телефон и теперь не имею доступа к свой странице, так как во ВКонтакте я сидел только с него. Сегодня был на работе, поделился этим с коллегой, а он мне и говорит: да ты же 15 минут назад в сети был, вот, смотри. И показывает мне мою страницу. Я так полагаю, что кто-то нашёл мой телефон и теперь им пользуется. Ведь и пароля не стояло. Можно ли как-то вернуть мне доступ обратно?". Мошенник может иметь на вас разного рода информацию. У него могут быть электронные почты, даже скан паспорта, полученный в связи с утечкой из базы данных - убедить сотрудника технической поддержки, тем более отправив ему главную страницу паспорта, где чёрным по белому написано ФИ, такие же как на странице, и фотография того же человека, чьи фотографии на ней - возможно.
Данный метод используется в целенаправленном взломе - "именно эта страница нам точно нужна, я готов потратить время на общение с поддержкой, пусть это может и не получиться".
Как защититься?
1) Установить двухфакторную аутентификацию, привязать почту.
2) Не авторизовываться на сомнительных сайтах при помощи социальных сетей. Если очень хочется - завести для этого отдельную страницу.
3) Использовать сложные пароли не содержащие ничего общего с вами и записывать их только на листе бумаги.
4) Стать менее публичным, "затеряться" в цифровом шуме.
5) Не скачивать на устройства сомнительные программы, приложения, игры или вполне себе авторитетные программы, приложения, игры с сомнительных сайтов.
Согласно ст. 138 и 272 УК РФ, взлом личного профиля в социальной сети может расцениваться как преступление. Для возбуждения уголовного дела необходимы основания (сам факт взлома, например), а далее - правоохранительные органы смогут сделать запросы в соответствующие организации - администрация сайта, интернет провайдер, операторы связи.
Ждём ваших комментариев. Предлагайте новые темы для рассмотрения. Ответим на возникшие вопросы по мере возможности.