Три года назад одна знакомая маркетолог — умная, аккуратная, не из тех, кто кликает на «вы выиграли iPhone» — обнаружила, что её Gmail отправлял письма её клиентам. Без её ведома. Уже четыре месяца.
Письма были аккуратными. Вежливыми. Почти её стилем. Предлагали «обновлённый прайс» с файлом во вложении.
Она узнала об этом, когда один клиент случайно ответил ей в другой переписке: «Лена, а что за странный прайс ты присылала в марте?»
Март был пять месяцев назад.
Почему взлом выглядит не так, как в кино
Среднестатистический человек представляет взлом примерно так: заходишь в аккаунт, а там всё удалено, деньги сняты, на аватарке череп. Крутые хакеры в капюшонах, матрица.
Реальность скучнее и страшнее одновременно.
Большинство взломов вообще никак себя не проявляют. Ни сразу, ни через неделю. Человек, который получил доступ к вашему аккаунту, чаще всего заинтересован не в том, чтобы всё сломать — а в том, чтобы оставаться незамеченным как можно дольше.
Потому что пока вы не знаете — он работает. Собирает данные, использует ваши контакты, перехватывает письма, наблюдает за паттернами. Иногда просто ждёт, когда вы напишете что-нибудь ценное.
По оценкам ряда компаний, занимающихся кибербезопасностью, среднее время между взломом и его обнаружением составляет от 100 до 200 дней. Точные цифры сильно зависят от типа атаки и отрасли, но порядок именно такой. Не часы. Месяцы.
Признак первый: что-то «само» произошло с вашими устройствами
Начнём с очевидного, но не с того, о чём вы думаете.
Телефон разряжается быстрее обычного — вы списываете на батарею. Ноутбук греется, когда просто лежит на столе — думаете, вентилятор. Приложения иногда открываются сами — ну, глюк системы.
Всё это может быть обычными техническими проблемами. А может — признаком того, что на устройстве работает что-то фоновое, о чём вы не знаете.
Конкретные симптомы, которые стоит воспринять серьёзно:
- Телефон активен ночью, хотя вы его не трогали — загораются уведомления, экран мигает
- Трафик мобильного интернета за месяц вырос в два раза, а вы ничего не меняли
- Приложения запрашивают разрешения, которые уже должны были быть выданы
- Устройство тормозит даже на простых задачах — открыть браузер, написать сообщение
Хотя тут есть нюанс. Всё это действительно может быть обычными глюками. Разница в том, что несколько таких симптомов одновременно — это уже повод не ждать.
Признак второй: письма, которые вы не отправляли
История Лены из начала — не исключение. Один из самых распространённых сценариев компрометации почты выглядит именно так: злоумышленник настраивает тихую пересылку входящих на свой адрес и иногда отправляет письма от вашего имени.
Проверить просто. Зайдите в настройки Gmail, Яндекс Почты или любого другого сервиса и найдите раздел «Пересылка и POP/IMAP» или «Фильтры». Если там стоит пересылка на незнакомый адрес — у вас проблема. Причём, возможно, давняя.
Также загляните в папку «Отправленные». Там не должно быть ничего, чего вы не помните. Звучит банально, но большинство людей не смотрят в «Отправленные» вообще никогда.
Ещё один момент: письма могут отправляться ночью или в то время, когда вы точно за компьютером не сидите. Если у вашего почтового клиента есть история авторизаций — проверьте её. У Gmail это делается через «Подробности» в правом нижнем углу страницы. Там видно, с каких IP и когда заходили в аккаунт.
Признак третий: вас «не узнают» ваши же сервисы
Вот этот признак люди почти всегда игнорируют, потому что воспринимают как неудобство, а не как сигнал.
Сервис, в который вы заходили годами, вдруг просит пройти дополнительную верификацию. Банк присылает сообщение «новый вход с нового устройства». Госуслуги предлагают подтвердить личность, хотя вы ничего не меняли.
Это срабатывают алгоритмы аномального поведения. Они видят, что вход произошёл с другого IP, из другой страны или с устройства, которого раньше не было в истории.
Многие думают: «ну, я просто с другого телефона зашёл». Бывает и так. Но если вы точно никуда не перемещались и никакого нового устройства не было — это повод остановиться и разобраться.
Кейс: как разработчик потерял доступ к рабочему репозиторию
Знакомый бэкенд-разработчик из Петербурга рассказывал историю, которую я до сих пор вспоминаю как учебный пример.
Он получил письмо от GitHub: «новый SSH-ключ добавлен в ваш аккаунт». Решил, что это автоматическое уведомление от рабочего деплоя — такое бывает. Закрыл письмо.
Через три недели обнаружил, что несколько приватных репозиториев были склонированы. Без его участия. Код ушёл куда-то — куда именно, он так и не выяснил.
Первое уведомление было именно тем, чем казалось: предупреждением о взломе. Он его проигнорировал.
Спойлер: GitHub как раз присылает такие письма именно для этого. Их надо читать.
Миф, который пора сломать: «меня не за что взламывать»
Пожалуй, самое опасное убеждение среди людей, которые не занимаются информационной безопасностью профессионально.
«Я обычный разработчик», «я маркетолог в небольшой компании», «у меня нет миллионов на счёте» — и вот уже человек не ставит двухфакторку, использует один пароль везде и не смотрит в уведомления безопасности.
Реальность такая: большинство взломов сегодня — это не целевые атаки на конкретного человека. Это массовые компрометации через утечки баз данных, фишинговые рассылки и брутфорс слабых паролей. Злоумышленнику не нужно знать, кто вы. Ему нужен активный аккаунт с доступом к чему-нибудь.
Ваша почта ценна, потому что через неё восстанавливаются все остальные сервисы. Ваш аккаунт в мессенджере ценен, потому что ваши контакты доверяют вам. Ваш GitHub или рабочий Confluence ценен, потому что там может быть что-нибудь интересное для конкурентов вашего работодателя.
Вы не должны быть «важным человеком», чтобы оказаться интересным.
Признак четвёртый: пароли перестали подходить
Звучит как очевидное, но дьявол в деталях.
Если вы вдруг не можете войти в аккаунт, куда заходили последние два года — первая мысль обычно «наверное, я что-то перепутал». Люди начинают перебирать варианты, пытаются сбросить пароль, раздражаются на интерфейс.
Правильная первая мысль должна быть другой.
Смена пароля злоумышленником — это обычно финальная стадия. До этого он уже сделал всё, что хотел, и теперь либо пытается заблокировать вас, либо просто «закрыл дверь за собой». В любом случае — время действовать, а не гадать.
Один знакомый продакт-менеджер потерял доступ к своему Телеграму именно так. Утром не смог войти, подумал «глюк», лёг спать. Проснулся — с его аккаунта уже написали нескольким людям из списка контактов с просьбой «срочно перевести деньги».
Восемь человек получили сообщение. Двое успели перевести.
Признак пятый: странная активность в связанных аккаунтах
Многие сервисы связаны между собой. Почта привязана к банку, банк к маркетплейсу, маркетплейс к доставке. Взломав одно звено, человек получает доступ к цепочке.
Поэтому обратите внимание:
- Пришёл код подтверждения, который вы не запрашивали
- В истории покупок появился заказ, которого вы не делали
- В связанных приложениях изменились настройки
- Пришло письмо «спасибо за регистрацию» на сервисе, на который вы не регистрировались
Последнее — особенно тревожный сигнал. Ваш email мог быть использован для регистрации где-то ещё: либо злоумышленник проверяет, куда у него есть доступ через вашу почту, либо где-то появился аккаунт для дальнейших манипуляций.
Если честно, меня до сих пор удивляет, как мало людей проверяет историю своих авторизаций хотя бы раз в месяц. Это занимает пять минут. Но в массе своей это делают только те, кто уже один раз обжёгся.
Что делать прямо сейчас — без паники, но быстро
Вот тут важно не уйти в инфоцыганство со списком из 40 пунктов. Поэтому только то, что реально работает.
Первое. Проверьте историю входов в почту и в самые важные сервисы — банк, госуслуги, мессенджеры. Ищите незнакомые IP и устройства. Если что-то не то — немедленно меняйте пароль и отзывайте все сессии.
Второе. Включите двухфакторную аутентификацию везде, где она есть. Да, это неудобно. Да, иногда раздражает. Но это единственное, что реально работает против большинства атак на аккаунты.
Третье. Зайдите на haveibeenpwned.com и введите свою почту. Сервис покажет, в каких известных утечках баз данных фигурировал ваш адрес. Если таких утечек несколько — с высокой вероятностью ваш пароль от этих сервисов давно гуляет по теневым форумам.
Четвёртое. Проверьте разрешения приложений на телефоне. Особенно те, которым вы давно не пользовались. Приложение, которое вы установили три года назад и забыли, до сих пор может иметь доступ к вашей геолокации, контактам или микрофону.
Контраргумент, который стоит услышать
К этому моменту часть читателей уже думает: «хорошо, но это же паранойя. Не может же каждый глюк телефона быть взломом».
Абсолютно верно.
Большинство симптомов, о которых я написал выше, имеют обычные технические объяснения. Батарея садится быстрее — потому что старая. Письма не отправляются — потому что глюк почтового клиента. Пароль не подходит — потому что вы его всё-таки изменили и забыли.
Разница между здравым смыслом и паранойей — в сочетании признаков и в регулярности проверок.
Проверять историю авторизаций раз в месяц и включить двухфактор — это не паранойя. Менять пароли каждые два дня и читать логи системы в 3 ночи — это уже другой разговор.
Минимальная цифровая гигиена занимает от силы час в месяц. Последствия её отсутствия — иногда месяцы разбирательств.
Неожиданный вывод: самые уязвимые — не те, кого вы думаете
За несколько лет работы рядом с командами безопасности я заметил одну странную закономерность.
Люди, которые совсем не разбираются в технологиях, иногда более защищены, чем те, кто разбирается немного. Потому что первые просто не заходят никуда лишний раз. А вторые — уверены, что «всё знают», регистрируются везде, дают лишние разрешения, используют один пароль «но сложный».
Настоящие синьоры и безопасники, как правило, параноики в хорошем смысле. Они знают, чего бояться. Джуны и мидлы часто переоценивают свою защищённость, потому что «ну я же в IT».
«В IT» — не защита. Привычки — защита.
Помните ту маркетолога Лену из начала? Она не была наивным пользователем. Она работала в диджитале пять лет, пользовалась менеджером паролей и думала, что «всё понимает про безопасность». Просто у неё не было двухфакторки на почте, потому что «было лень настраивать».
Один раз. Было лень один раз.
Прогноз: станет ли лучше
Если честно — маловероятно, что угроз станет меньше. Инструменты для автоматизированных атак дешевеют, базы данных утечек только растут, а количество сервисов, к которым привязаны наши аккаунты, увеличивается каждый год.
Хорошая новость в том, что базовые меры защиты остаются эффективными против большинства массовых атак. Двухфактор, уникальные пароли, регулярная проверка активных сессий — этого достаточно, чтобы выйти из категории «лёгкая цель».
Не исключаю, что через пару лет ситуация с пассключами и биометрической аутентификацией изменится к лучшему. Возможно. Но пока пользуемся тем, что есть.
И да, помните о корпоративных рисках. Статья про чат без начальства, которую я писал раньше, заканчивалась мыслью о том, что доверие важнее контроля. Здесь ровно противоположная логика: в вопросах безопасности аккаунтов контроль и есть проявление здравого смысла. Проверяйте. Регулярно.
Расскажите в комментариях — вас когда-нибудь взламывали? Или замечали что-то странное в аккаунтах? Как обнаружили и что делали? Интересно собрать реальные истории — это всегда информативнее любых инструкций.