В англоязычных странах был период, когда айтишника сразу подозревали в хакерстве, если узнавали, что он пользовался ICQ. Сегодня, 26 июня, российская IT-корпорация VK отключила сервера некогда популярного мессенджера, скорее всего, навсегда. По этому случаю «Газета.Ru» решила рассказать о темной стороне этого сервиса, о которой многие его пользователи даже не подозревали. О том, насколько он был популярен среди хакеров, за что они любили ICQ и почему, в конце концов, эта любовь закончилась — в нашем материале.
Золотая пора
ICQ — это один из первых мессенджеров в истории. Он был разработан и запущен израильской компанией Mirabilis в 1996 году. В 1998 году сервис был куплен американским AOL, а в 2010-м — Mail.Ru Group (ныне известной как VK). Пик популярности ICQ пришелся на начало XXI века.
При этом у хакеров мессенджер пользовался большой популярностью вплоть до последних лет.
О том, что ICQ долго держался в топе наиболее популярных среди киберпреступников средств связи, свидетельствуют отчеты различных компаний из сферы кибербезопасности. Например, Flashpoint в 2017 году выпустила исследование, в котором ICQ по числу упоминаний на хакерских форумах со всего мира занял третье место, уступив лишь Skype и Jabber. В англоязычном комьюнити пик популярности мессенджера пришелся на период с 2012 по 2017 годы, на Западе ICQ стал визитной карточкой хакеров.
«Если вы западная компания и в вашей корпоративной сети появился трафик ICQ, я бы насторожился. Это не значит, что кто-то обязательно распространяет вирусы, — довольно часто ICQ используют выходцы из стран бывшего СССР. Но если выяснится, что это не так, пора озадачится повторной проверкой инфраструктуры. Единственные пользователи ICQ не из советских стран, которых я знаю, это киберпреступники», — заявил в том отчете директор по исследованиям на Ближнем Востоке и в Африке компании Flashpoint Лерой Террелонг.
С момента выхода отчета Flashpoint прошло три года. Наступил 2020-й. С исследованием о популярных средствах коммуникации киберпреступников выступила компания IntSights. Ситуация не изменилась — ICQ все еще на третьем месте. При этом первое и второе места к тому времени заняли уже Telegram и Discord.
В 2021 году у русскоязычного хакерского форума Mazafaka cлучилась большая утечка данных — в открытый доступ попала контактная информация более 3000 пользователей. У подавляющего большинства профилей ICQ был указан как канал связи наравне с Telegram и Jabber.
Хакер Net-Worker рассказал «Газете.Ru», что и последние годы у пользователей даркнет-форумов ICQ все еще пользовался умеренной популярностью. При этом он признал сильное падение интереса по мере роста актуальности Telegram.
По словам руководителя направления «Киберразведка» системного интегратора по информационной безопасности компании «Бастион» Константина Ларина,
ICQ пользовался наибольшей популярностью у злоумышленников в нулевые. А большими любителями этого сервиса были преступники из СНГ, Бразилии и Китая.
«Как правило, злоумышленники не указывают в качестве контакта только ICQ, а дают сразу набор используемых контактов — помимо ICQ там еще может быть Telegram, WhatsApp, E-Mail», — добавила в разговоре с «Газетой.Ru» руководитель департамента Threat Intelligence F.A.C.C.T. Елена Шамшина.
Хакеры и мода
Причин, по которым киберпреступники предпочитают ICQ, много. Есть даже предположение о том, что моду на этот мессенджер узаконили русские хакеры. Во всяком случае, на Западе, утверждает Лерой Террелонг из Flashpoint, ICQ стал популярен в киберкриминальной среде, потому что этому сервису доверяли в России, — стране где, как считается, действуют самые отпетые хакеры.
«Киберпреступники во всем мире смотрят на русских как на модель для подражания и законодателей моды», — говорил Террелонг в 2017 году.
В России же ICQ у злоумышленников стал популярен вследствие естественных причин. Это один из первых и популярных мессенджеров в принципе. Им пользовались в том числе и потому, что он просто был. К тому же для анонимов данный сервис долгое время был предпочтителен ввиду простой системы регистрации: до 2012 года для получения аккаунта пользователю не требовалось вводить номер телефона.
«На ранних этапах ICQ не требовал сложной верификации, что позволяло злоумышленникам действовать анонимно и скрывать свою личность. В ICQ было довольно большое комьюнити киберпреступников», — рассказал в беседе с «Газетой.Ru» Константин Ларин из «Бастиона».
В конце концов, по словам ведущего эксперта по сетевым угрозам и web-разработчика компании «Код Безопасности» Константина Горбунова, ICQ обрел популярность среди хакеров, потому что обладал удобным набором функций. Больше всего хакеры ценили возможность массовой рассылки сообщений.
Было ваше, стало наше
Елена Шамшина из F.A.C.C.T. утверждает, что ICQ никогда не использовался «серьезными» хакерами. Однако им охотно пользовались киберпреступники мелкого калибра, мошенники.
«Номера UIN формировались по порядку, от первого к последнему, поэтому были популярны, во-первых, «красивые» номера (где были подряд одинаковые цифры, или, где номер «аськи» совпадал с номером телефона), во-вторых, короткие номера — пятизначные. Ими, как правило, владели разработчики — сотрудники Mirabilis. Такие номера часто продавались и иногда за большие деньги. Кибернегодяи активно пользовались этим и «угоняли» красивые номера с целью последующей их перепродажи», — объяснил «Газете.Ru» эксперт Kaspersky ICS CERT Владимир Дащенко.
Для кражи аккаунтов злоумышленники прибегали к приемам социальной инженерии, фишингу. Возможность массовых рассылок значительно упрощала грязную работу. Да и низкий уровень цифровой грамотности людей в ту пору играл преступникам на руку.
«Русскоязычные злоумышленники c ICQ — это в основном те, кто предоставляют услуги «пробива». Англоязычные злоумышленники, использующие ICQ, продают прокси (промежуточный узел интернет-соединения, который усложняет распутывание цифровых следов, — «Газета.Ru»), данные скомпрометированных банковских карт», — добавила Елена Шамшина.
По информации Константина Ларина из «Бастиона», ICQ также часто использовался для координации DDoS-атак и торговли всевозможными незаконными услугами и товарами.
Свято место пусто не бывает
В 2024 году ICQ хакерам стал уже не нужен. Звание главного мессенджера для киберпреступников отошло Telegram, который надежно шифрует сообщение, создавая имидж неприступного для силовых ведомств всего мира сервиса. Элитные же хакеры, как раньше, так и сейчас, предпочитают пользоваться децентрализованной сетью Jabber. Также и те, и другие не чураются общения на проверенных даркнет-форумах. В последнем случае, как объяснил хакер Net-Worker, киберпреступники предпочитают площадки Xss и Exploit.
«По данным нашей платформы BI.ZONE Brand Protection, с 1 января по 24 июня 2024 года для общения злоумышленники чаще всего использовали Telegram и личные сообщения на форумах. За этот период было зафиксировано более 66 000 упоминаний Telegram и более 22 000 упоминаний личных сообщений на форумах для связи», — сообщил «Газете.Ru» руководитель BI.ZONE Brand Protection Дмитрий Кирюшкин.
Большую роль в снижении популярности ICQ в киберкриминальной среде, по словам Константина Горбунова из «Кода Безопасности», сыграло падение популярности сервиса в общем. Кибермошенники потянулись в Telegram и WhatsApp следом за людьми. Ведь где больше людей, там больше потенциальных жертв фишинга.
А, значит, и наживы тоже больше.