В июле Twitter пострадал от самой масштабной хакерской атаки за всю историю своего существования. Мошенники получили доступ к 130 аккаунтам знаменитостей, предпринимателей и международных брендов. В соцсети единовременно появились твиты от Илона Маска, Билла Гейтса, Барака Обамы, Канье Уэста, официальных страниц Apple и Uber, а также других жертв, с указанием биткоин-кошелька и предложением удвоить сумму, поступившую на счет. Таким образом аферисты похитили порядка 118 тысяч долларов.
В ходе расследования были арестованы трое подозреваемых: вначале задержали главаря — 17-летнего Грэма Кларка из Флориды, а чуть позже двух его сообщников. Первое открытое слушание, которое в том числе прошло в онлайн-формате, привлекло к делу еще большее внимание из-за вмешавшихся в трансляцию пранкеров. Они включали музыку, ругались матом, а затем показывали фильмы для взрослых с собственного экрана всем собравшимся. Впрочем, это не помешало судье поместить подозреваемого под домашний арест за солидный залог, даже несмотря на то, что прокуратура усомнилась в законности имеющихся в распоряжении Кларка средств — по стечению обстоятельств подросток оказался криптомиллионером.
SRSLY внимательно следит за развитием событий. По просьбе редакции автор программы «Профессия специалист по кибербезопасности» в онлайн-университете Skillbox Александр Огнев рассказал, как взломать соцсеть, какие версии о происходящем появились в сети и почему небольшая группа зумеров смогла обвести вокруг пальца уважаемого IT-гиганта.
Существует несколько основных способов атаки на пользователей онлайн-сервисов:
Угон сессии
Самый распространенный и эффективный способ. Злоумышленники используют уязвимости браузера или вредоносные ссылки, чтобы заполучить cookie-сессии — небольшие текстовые документы, которые хранятся на компьютере и содержат ценную информацию. Похитив сессию, хакер выдает себя за пользователя, пока он находится онлайн. Система не видит разницы. Для защиты пользователей от такого способа взлома социальные сети предлагают пользоваться функцией двухфакторной аутентификации. В таком случае хакеру потребуется подтвердить право на управление аккаунтом через телефон или почтовый ящик жертвы, чтобы полностью завладеть аккаунтом.
Утечка данных
Другая частая причина взломов. Она происходит либо в результате действий сотрудников, либо из-за проблем в безопасности баз данных. Этот способ интересен тем, что пострадать от него могут не только пользователи сервиса, данные которого «утекли». Если вы используете одинаковые пароли во всех своих аккаунтах, то утечка данных любого из них ставит под угрозу все остальные.
Уязвимости
Третий способ взломов — эксплуатация уязвимостей сервиса. Однако в случае с Twitter и другими крупными компаниями это маловероятно. Их код имеет особый жизненный цикл, который проходит через длительную фазу тестирований и проверок.
Слабые пароли
Также угрозу безопасности представляют слабые и часто используемые пароли. Классические «qwerty», «12345» и «qwerty123» до сих пор входят в число самых популярных пользовательских паролей. С помощью программ взлома хакеры перебирают популярные пароли и простые комбинации символов, получая доступ к аккаунту. Поэтому специалисты по безопасности советуют использовать длинные пароли, состоящие из букв и цифр в разном регистре, а также с добавлением символов вроде «@%&?». Чем слабее пароль, тем выше вероятность взлома.
Фишинг
Способ, который опирается на уязвимости и особенности психологии человека — хакеры обманом заставляют пользователя отдать свои данные. Мошенники создают фальшивые страницы соцсетей, банков или, например, интернет-магазинов. Зачастую их трудно отличить от реальных прототипов. Авторизуясь на таких порталах, жертва самостоятельно передает свои личные данные в чужие руки. Кстати, это один из самых популярных способ для получения доступа к банковским картам и платежной информации пользователя.
Заражение
C помощью вредоносной программы хакеры получают полный контроль над удаленной системой, включая захват экрана, веб-камеры, звука, нажатия клавиш и сетевого трафика. Впрочем, такие действия заметны для средств антивирусной защиты. В качестве альтернативы может быть установлен «клавиатурный шпион» — программа, которая записывает и передает злоумышленникам нажатие клавиш.
Аппаратно-технический способ
В этом случае хакеры получают доступ к компьютеру пользователя при помощи USB-устройств: флешки, клавиатуры, мыши, удлинителя или же переходника. Такой класс атак получил собственное название — BadUSB. При подключении устройства, система автоматически устанавливает драйвера, заражая ядро системы вредоносной программой. Антивирусы не смогут распознать ее в 90% случаев.
Сразу после инцидента в сети появилось несколько популярных мнений о том, как мошенникам удалось провернуть аферу. Следствие считает, что хакеры получили доступ к внутренней системе администрирования, манипулируя сотрудниками Twitter. Но как именно?
Взлом
Одна из первых версий. Предполагалось, что хакеры использовали найденные уязвимости в системе администрирования Twitter. Эта причина грозила бы компании огромными штрафами согласно европейскому и американскому законодательству, а репутационные риски нанесли бы громадный ущерб компании. Однако то, что атака была ограничена по масштабам и времени, косвенно указывает на несостоятельность этой версии. Если бы через уязвимость был получен доступ к управлению соцсетью, мошенникам не было бы смысла ограничивать свою атаку сравнительно небольшим количеством аккаунтов. Кроме того, в случае подтверждения уязвимости, способной предоставить хакерам неограниченный доступ к системам администрирования, руководству компании пришлось бы временно отключать серверы Twitter.
Подкуп
Вторая версия — нечистые на руку сотрудники соцсети. Об этом киберпреступники заявили на хакерских форумах в даркнете. В качестве доказательств приводились скриншоты системы администрирования Twitter. Эту версию подхватили некоторые американские и европейские СМИ.
Однако внутренняя проверка сотрудников Twitter показала, что были скомпрометированы сразу несколько рабочих аккаунтов администраторов. Этот факт делает версию о подкупе маловероятной.
Социальная инженерия
Эта версия стала основной после официального доклада службы безопасности. Специалисты опровергли возможность стороннего взлома системы, а служебная переписка восстановила хронологию событий.
Выяснилось, что хакеры применили целевую фишинговую рассылку на служебные адреса администраторов Twitter. Жертвы были уверены в том, что получили письма от своей компании и не заподозрив обмана, совершили нужные мошенникам действия. Таким образом преступники получили доступ к внутренним сервисам управления Twitter, в результате чего злоумышленники могли просматривать личную информацию, включая адреса электронной почты и номера телефонов.
Ущерб
Чтобы оценить объем средств, переведенных пользователями, СМИ изучили криптовалютный кошелек мошенников. Технология позволяет проследить все транзакции от отправителя к получателю. Таким образом можно увидеть, сколько хакеры «заработали» и затем обналичили. В общей сложности мошенники получили чуть больше 12.87456816 BTC, или приблизительно 118 тысяч долларов. Подавляющей частью транзакций оказались символические суммы — это говорит о том, что многие пользователи сомневались в достоверность обещаний, несмотря на статус владельцев аккаунтов. В некоторых случаях комиссия за перевод была больше самого перевода. Есть вероятность, что среди маленьких переводов были транзакции самих хакеров. Это делается для того, чтобы усложнить анализ спецслужб. Использовались и другие кошельки, но средства на них либо отсутствовали, либо были незначительны. К примеру, на втором по объему средств кошельке насчитали чуть больше 0.17828423 BTC — всего порядка 1 600 долларов.
Среди взломанных аккаунтов были первые государственные лица США: бывший вице-президент и кандидат в президенты от демократов Джо Байден, а также экс-глава государства Барак Обама. В таком случае дело затрагивает интересы государственной безопасности — свое расследование начали такие службы как ФБР и АНБ.
Twitter в свою очередь будет пересматривать внутреннюю политику безопасности. Репутационный ущерб компания сможет полностью оценить еще не скоро. Однако уже сейчас можно сказать, что соцсеть ждут масштабные проверки на соответствие американского и европейского законодательства.
В сообществе кибербезопасности этому взлому не придали большого значения. Полученная хакерами сумма просто смешная, по сравнению с ущербом, который наносят киберпреступники ежегодно. Дело сразу же стало причиной появления огромного количества мемов и шуток в сети. К примеру, к специфическому флешмобу подключился один из самых известных хакеров в мире — Кевин Митник.
You know I like giving back to the hacker community.
— Kevin Mitnick (@kevinmitnick) July 15, 2020
I'm doubling all 0-day exploits sent to my address. You send a 0-day and I'll send 2 0-day's back.
Email Address : zeroday@mitnicksecurity.com
Tell your family & friends! Only going on for 2 hours.
По-настоящему опасные программы приносят убытки в сотни миллионов долларов. Так, в 2017 сетевой червь WannaCry остановил работу заводов, коммерческих предприятий, государственных и муниципальных учреждений, аэропортов и больниц более чем в 200 странах. Причиненный ущерб — свыше 1 миллиарда долларов. А немногим ранее вирус Stuxnet уничтожил ядерную программу Ирана, отбросив ее в развитии на пять лет назад.
Анализ событий подтверждает старую истину: человек — самое слабое звено в любой системе. Даже самой безопасной. Современные технические средства способны обеспечить надежный уровень защиты. Системы контроля трафика, управления и учета доступа позволяют свести технические атаки к минимуму, но человеческий фактор продолжает оставаться главной уязвимостью.