Новый мессенджер "Макс" завалило мошенниками: почему защита от государства не сработала

Появление мошенников в новом мессенджере «Макс»

Безопасный мессенджер, в котором нет мошенников, ловит даже на парковке. Ура, наконец-то запустили что-то безопасное, а мошенники «Макс» уже достали.

Люди задаются очень хорошим вопросом: если «Макс» позиционируется как часть государственной системы, усиливает ли это безопасность или, наоборот, повышенное доверие приводит к снижению бдительности? Вопрос очень хороший, но отвечать вам на него никто не будет. «Макс» всё равно замкнёт на себе большую часть государственных услуг, и смешно полагать, что в нём не будет мошенников. Мошенничество появляется не там, где слабый IT-продукт, а там, где собираются бесхитростные люди и с ними можно связаться. Никто никогда не разработает продукт, где один человек не сможет обмануть другого, просто потому что никто не может залезть человеку в голову и проверить его реальные намерения.

Меры защиты разработчиков мессенджера и их уязвимости

Но почему разработчики «Макс» решили, что они могут заявить, что мошенников у них нет? Нагло отвечу за них: а потому что они посчитали, что сделали достаточно хорошую защиту от анонимности. Всем же понятно, что мошенник — он стремится быть анонимным. Поэтому «Макс» ввёл следующие правила для защиты:

• Регистрация возможна только на номер телефона из России или других дружественных стран, откуда можно оперативно получить информацию о том, кому этот номер принадлежит.
• Постоянно происходит проверка актуальности номера телефона, то есть мессенджер проверяет, принадлежит ли номер телефона всё ещё тому пользователю, который сидит в аккаунте.
• Канал или боты можно создать, только если вы предварительно зарегистрировались в AREN или вы имеете юридическое лицо, то есть вы реально взяли на себя ответственность и вы полностью контролируемы российской властью.

Но есть нюанс. Во-первых, сегодня можно зарегистрироваться в «Макс», даже если ты не живёшь в России — мессенджер открыт для регистрации в 40 странах Азии, Африки, Ближнего Востока и Латинской Америки. Объясняю зону риска: в этих странах люди не подконтрольны российской власти, там нет ответственности за то, что ты стал дропом и передал кому-то свою SIM-карту. Более того, можно оформить на себя бесчисленное количество сим-карт — то есть это дорога к очень дешёвым сим-фермам, благодаря которым мошенники создают просто тысячи аккаунтов на постоянной основе. Из чего напрашивается невольный вывод, что продвижение «Макса» на мировой арене важнее безопасности граждан своей страны.

Разница в подходах к безопасности на примере WeChat

Здесь я могу дать рекомендации только разработчикам «Макс». Потому что если они посмотрят на нашего восточного брата, то они увидят принципиальную разницу в том, как защищают Вичат и Макс. Сегодня Вечат выделяет внутренний контур, где общаются между собой два китайца, и внешний, где хотя бы один из собеседников иностранец или живёт за границей. И внешний контур досматривается гораздо жёстче: например, иностранец не может отправить китайцу ни одного вложения, которое не будет предварительно просканировано системой антифрода. А ещё кажется, что разработчики Макса забыли, что мошенники не всегда создают свои аккаунты — они иногда воруют чужие.

Технические способы взлома и перехвата аккаунтов

Представим, что есть мошенник. Он может взломать ваш аккаунт без вашей помощи:

• С помощью брутфорса. Дело в том, что люди часто по собственной лени ставят очень простые пароли. Вот вам факт: 80% людей ставят себе хотя бы один вот из этих тридцати паролей. Так что мошенник просто тупо перебирает эти пароли, пока к какой-нибудь учётной записи они не подойдут. Плюс схемы — она под силу даже школьнику, минус — от неё легко защититься.
• Через подстановку паролей (креденшал стаффинг). Мошенник возьмёт слив, посмотрит, какие пароли вы обычно используете, и попробует подставить именно их. Плюс схема для мошенника — она менее заметна, потому что нужно гораздо меньше попыток до того, чтобы дойти до успеха. Но минус у этой схемы тоже есть: антифрод не тупой, и если кто-то из клиентов использует свой же пароль, который уже ранее утёк, то антифрод скажет: «Срочно меняй пароль».
• Через кражу куки-файлов. Мошенник создаст, например, фейковый VPN, выложит его на сайт и пустит рекламу. Вы его скачаете, запустите, дадите доступ к устройству и трафику. Тем временем приложение скачает из браузера ваши куки, и злоумышленник подставит их, чтобы зайти без пароля.
• Другие способы. Можно перехватить трафик с помощью незащищённого вай-фая, можно брутфорсить не пароль, а код из SMS, потому что там всего от четырёх до шести цифр. Кроме этого, можно перехватывать неактуальные номера: пользователи часто регистрируют аккаунт на номер телефона, потом его отключают, а мошенники затем массово проверяют, не висят ли на выставленных на продажу номерах какие-то аккаунты, и выкупают.

Так как «Макс» заявляет себя как безопасный мессенджер, то я ожидаю, что защита реально от всего, что я перечислила выше, у них реализована на нормальном уровне. Однако, даже если реализовать все эти методы защиты, то остаётся ещё один, более опасный тип — это перехват аккаунта с помощью социальной инженерии.

Перехват аккаунтов с помощью социальной инженерии

Именно про эти случаи мы читаем в новостях. Вам звонит старшая по дому и говорит, что завтра нужно спуститься за ключом от домофона, но чтобы его активировать, у вас должен быть пин-код. Пин-код генерируется роботом, всё безопасно, и сообщается вам в автоматическом звонке. И вам реально звонит робот, но на самом деле это робот Телеграма, и он сообщает проверочный код для входа в аккаунт.

Теперь пройдёмся по классике, чтобы убедиться, что знаете все основные схемы:

• Просьба проголосовать. Вам напишет знакомый с просьбой проголосовать за какую-нибудь Машу, вы перейдёте, и в опросе попросят верифицировать ваш голос через «Макс» или через Telegram. Вы вводите логин и пароль на постороннем сайте.
• Звонок от «службы поддержки». Здравствуйте, мы подозреваем, что вы бот. Если вы не бот, назовите код из SMS. На самом деле это тот же мошенник, который пытается попасть в ваш аккаунт.
• Подозрительный вход. Вы получаете сообщение: «Ваш аккаунт выполнил подозрительный вход, позвоните, чтобы решить эту проблему». И неопытный человек не проверяет, отправил ли это сообщение официальный аккаунт, и не будет выяснять, как на самом деле выглядит процедура восстановления. Спойлер: она никогда не происходит в звонке по телефону.
• Схемы на теме СВО. Сейчас мошенники умудряются ездить на СВО, потому что под соусом «с вашим сыном произошло вот это и вот это» можно попросить у человека почти всё что угодно: «ваш сын представлен к награде, сообщите код из SMS», «ваш сын погиб, и нам надо выдать доступ в его аккаунт, вводите свой пароль». Это ужасно звучит, и для солдатских матерей это просто ужасные новости.

Сценариев в социальной инженерии бесконечное количество, потому что они работают не против технических дыр, а против человеческого здравого смысла и осторожности. Работает всё то, во что человек поверил. Известны самые благоприятные условия, которые повышают успех мошенникам: вы за рулём в сложной пробке, вы торопитесь, на улице дождь, снег или ветер, вы мамочка с младенцем, которая постоянно отвлечена на ребёнка, или вы уже недавно нарвались на мошенников и находитесь в нервном состоянии, либо вы находитесь в процессе новой для вас сложной сделки.

Есть очень опасное заблуждение: большая часть людей, которые передали мошенникам код из SMS, не были взломаны — они только думают, что их взломали, и в этот момент совершают необратимые ошибки. Например, они видят на почте фейковое письмо о взломе и тут же позвонят по номеру, который мошенники услужливо указали в этом же письме как будто бы из Госуслуг. Многие люди передают доступ просто на суете, а потом от имени их аккаунта начинают вымогать деньги.

Личная ответственность пользователей за безопасность

Аккаунт естественно блокируется, люди пишут в поддержку, ругаются и получают пространный ответ: «вы нарушили правила, поэтому аккаунт заблокирован». Люди злятся ещё сильнее: «это не мы нарушили правила, это мошенники их нарушают от нашего имени, мы ни при чём». Хотя на самом деле самим человеком было нарушено одно базовое, святое правило: не передавать никуда свои данные для входа в аккаунт — ни службе поддержки, ни голосовалке за самого красивого сыночку-корзиночку.

Никакой «Макс» не в силах пойти и заглянуть, куда вы там тыкаете на левых сайтах. Тем более вы все радеете за то, чтобы за вами никто не следил — ну значит, следите за собой сами. Мошенничество — это вечная история, никто никогда не разработает продукт, где один человек не сможет обмануть другого, и всегда будут те, у кого жажда лёгких денег громче совести. Корпорации, откровенно говоря, не обязаны защищать чьи-то деньги, кроме своих собственных. Они это, конечно, делают, чтобы сохранить репутацию и не погрязнуть в судах. Но вы должны хорошо понимать, что здесь есть принципиальная разница между тем, чтобы принимать меры, чтобы посадить мошенников, и принимать меры, чтобы не допустить проблем — это две принципиально разные вещи. Берегите себя в сети, даже в «Максе». Которые расслабились — не расслабляйтесь.