Обзоры, Бизнес — 13 августа, 20:41

Как взламывают аккаунты в соцсетях и что было со звездами Twitter? Разбираемся

В июле Twitter пострадал от самой масштабной хакерской атаки за всю историю своего существования. Мошенники получили доступ к 130 аккаунтам знаменитостей, предпринимателей и международных брендов. В соцсети единовременно появились твиты от Илона Маска, Билла Гейтса, Барака Обамы, Канье Уэста, официальных страниц Apple и Uber, а также других жертв, с указанием биткоин-кошелька и предложением удвоить сумму, поступившую на счет. Таким образом аферисты похитили порядка 118 тысяч долларов.

В ходе расследования были арестованы трое подозреваемых: вначале задержали главаря — 17-летнего Грэма Кларка из Флориды, а чуть позже двух его сообщников. Первое открытое слушание, которое в том числе прошло в онлайн-формате, привлекло к делу еще большее внимание из-за вмешавшихся в трансляцию пранкеров. Они включали музыку, ругались матом, а затем показывали фильмы для взрослых с собственного экрана всем собравшимся. Впрочем, это не помешало судье поместить подозреваемого под домашний арест за солидный залог, даже несмотря на то, что прокуратура усомнилась в законности имеющихся в распоряжении Кларка средств — по стечению обстоятельств подросток оказался криптомиллионером.

SRSLY внимательно следит за развитием событий. По просьбе редакции автор программы «Профессия специалист по кибербезопасности» в онлайн-университете Skillbox Александр Огнев рассказал, как взломать соцсеть, какие версии о происходящем появились в сети и почему небольшая группа зумеров смогла обвести вокруг пальца уважаемого IT-гиганта.

Как взломать соцсеть

Существует несколько основных способов атаки на пользователей онлайн-сервисов:

Угон сессии

Самый распространенный и эффективный способ. Злоумышленники используют уязвимости браузера или вредоносные ссылки, чтобы заполучить cookie-сессии — небольшие текстовые документы, которые хранятся на компьютере и содержат ценную информацию. Похитив сессию, хакер выдает себя за пользователя, пока он находится онлайн. Система не видит разницы. Для защиты пользователей от такого способа взлома социальные сети предлагают пользоваться функцией двухфакторной аутентификации. В таком случае хакеру потребуется подтвердить право на управление аккаунтом через телефон или почтовый ящик жертвы, чтобы полностью завладеть аккаунтом. 

Утечка данных

Другая частая причина взломов. Она происходит либо в результате действий сотрудников, либо из-за проблем в безопасности баз данных. Этот способ интересен тем, что пострадать от него могут не только пользователи сервиса, данные которого «утекли». Если вы используете одинаковые пароли во всех своих аккаунтах, то утечка данных любого из них ставит под угрозу все остальные.

Уязвимости

Третий способ взломов — эксплуатация уязвимостей сервиса. Однако в случае с Twitter и другими крупными компаниями это маловероятно. Их код имеет особый жизненный цикл, который проходит через длительную фазу тестирований и проверок.

Слабые пароли

Также угрозу безопасности представляют слабые и часто используемые пароли. Классические «qwerty», «12345» и «qwerty123» до сих пор входят в число самых популярных пользовательских паролей. С помощью программ взлома хакеры перебирают популярные пароли и простые комбинации символов, получая доступ к аккаунту. Поэтому специалисты по безопасности советуют использовать длинные пароли, состоящие из букв и цифр в разном регистре, а также с добавлением символов вроде «@%&?». Чем слабее пароль, тем выше вероятность взлома. 

Фишинг

Способ, который опирается на уязвимости и особенности психологии человека — хакеры обманом заставляют пользователя отдать свои данные. Мошенники создают фальшивые страницы соцсетей, банков или, например, интернет-магазинов. Зачастую их трудно отличить от реальных прототипов. Авторизуясь на таких порталах, жертва самостоятельно передает свои личные данные в чужие руки. Кстати, это один из самых популярных способ для получения доступа к банковским картам и платежной информации пользователя.

Заражение

C помощью вредоносной программы хакеры получают полный контроль над удаленной системой, включая захват экрана, веб-камеры, звука, нажатия клавиш и сетевого трафика. Впрочем, такие действия заметны для средств антивирусной защиты. В качестве альтернативы может быть установлен  «клавиатурный шпион» — программа, которая записывает и передает злоумышленникам нажатие клавиш.

Аппаратно-технический способ

В этом случае хакеры получают доступ к компьютеру пользователя при помощи USB-устройств: флешки, клавиатуры, мыши, удлинителя или же переходника. Такой класс атак получил собственное название — BadUSB. При подключении устройства, система автоматически устанавливает драйвера, заражая ядро системы вредоносной программой. Антивирусы не смогут распознать ее в 90% случаев.


Что же случилось с Twitter? Версии

Сразу после инцидента в сети появилось несколько популярных мнений о том, как мошенникам удалось провернуть аферу. Следствие считает, что хакеры получили доступ к внутренней системе администрирования, манипулируя сотрудниками Twitter. Но как именно?

Взлом

Одна из первых версий. Предполагалось, что хакеры использовали найденные уязвимости в системе администрирования Twitter. Эта причина грозила бы компании огромными штрафами согласно европейскому и американскому законодательству, а репутационные риски нанесли бы громадный ущерб компании. Однако то, что атака была ограничена по масштабам и времени, косвенно указывает на несостоятельность этой версии. Если бы через уязвимость был получен доступ к управлению соцсетью, мошенникам не было бы смысла ограничивать свою атаку сравнительно небольшим количеством аккаунтов. Кроме того, в случае подтверждения уязвимости, способной предоставить хакерам неограниченный доступ к системам администрирования, руководству компании пришлось бы временно отключать серверы Twitter. 

Подкуп

Вторая версия — нечистые на руку сотрудники соцсети. Об этом киберпреступники заявили на хакерских форумах в даркнете. В качестве доказательств приводились скриншоты системы администрирования Twitter. Эту версию подхватили некоторые американские и европейские СМИ. 

Однако внутренняя проверка сотрудников Twitter показала, что были скомпрометированы сразу несколько рабочих аккаунтов администраторов. Этот факт делает версию о подкупе маловероятной.  

Социальная инженерия

Эта версия стала основной после официального доклада службы безопасности. Специалисты опровергли возможность стороннего взлома системы, а служебная переписка восстановила хронологию событий. 

Выяснилось, что хакеры применили целевую фишинговую рассылку на служебные адреса администраторов Twitter. Жертвы были уверены в том, что получили письма от своей компании и не заподозрив обмана, совершили нужные мошенникам действия. Таким образом преступники получили доступ к внутренним сервисам управления Twitter, в результате чего злоумышленники могли просматривать личную информацию, включая адреса электронной почты и номера телефонов. 

Ущерб

Чтобы оценить объем средств, переведенных пользователями, СМИ изучили криптовалютный кошелек мошенников. Технология позволяет проследить все транзакции от отправителя к получателю. Таким образом можно увидеть, сколько хакеры «заработали» и затем обналичили. В общей сложности мошенники получили чуть больше 12.87456816 BTC, или приблизительно 118 тысяч долларов. Подавляющей частью транзакций оказались символические суммы — это говорит о том, что многие пользователи сомневались в достоверность обещаний, несмотря на статус владельцев аккаунтов. В некоторых случаях комиссия за перевод была больше самого перевода. Есть вероятность, что среди маленьких переводов были транзакции самих хакеров. Это делается для того, чтобы усложнить анализ спецслужб. Использовались и другие кошельки, но средства на них либо отсутствовали, либо были незначительны. К примеру, на втором по объему средств кошельке насчитали чуть больше 0.17828423 BTC — всего порядка 1 600 долларов. 


Последствия

Среди взломанных аккаунтов были первые государственные лица США: бывший вице-президент и кандидат в президенты от демократов Джо Байден, а также экс-глава государства Барак Обама. В таком случае дело затрагивает интересы государственной безопасности — свое расследование начали такие службы как ФБР и АНБ.


Twitter в свою очередь будет пересматривать внутреннюю политику безопасности. Репутационный ущерб компания сможет полностью оценить еще не скоро. Однако уже сейчас можно сказать, что соцсеть ждут масштабные проверки на соответствие американского и европейского законодательства. 


Реакция IT-сообщества 

В сообществе кибербезопасности этому взлому не придали большого значения. Полученная хакерами сумма просто смешная, по сравнению с ущербом, который наносят киберпреступники ежегодно. Дело сразу же стало причиной появления огромного количества мемов и шуток в сети. К примеру, к специфическому флешмобу подключился один из самых известных хакеров в мире — Кевин Митник. 


По-настоящему опасные программы приносят убытки в сотни миллионов долларов. Так, в 2017 сетевой червь WannaCry остановил работу заводов, коммерческих предприятий, государственных и муниципальных учреждений, аэропортов и больниц более чем в 200 странах. Причиненный ущерб — свыше 1 миллиарда долларов. А немногим ранее вирус Stuxnet уничтожил ядерную программу Ирана, отбросив ее в развитии на пять лет назад. 


Итог 

Анализ событий подтверждает старую истину: человек — самое слабое звено в любой системе. Даже самой безопасной. Современные технические средства способны обеспечить надежный уровень защиты. Системы контроля трафика, управления и учета доступа позволяют свести технические атаки к минимуму, но человеческий фактор продолжает оставаться главной уязвимостью. 

Фото: кадр из фильма «Хакеры»/Getty Images
Алина Бавина
главный редактор

Моя дипломная работа на журфаке МГУ была посвящена блогам и тому, приравняют ли их когда-то к СМИ и вообще насколько этично это делать. Тема появилась совершенно случайно. Изначально я собиралась писать про творчество Василия Шукшина. Но как-то среди ночи моя подруга, с которой мы прожили четыре года в одной комнате в общежитии и, естественно, не могли не выбрать одну кафедру, проснулась и сказала, что мы безумные и не осилим диплом по литературе, поэтому надо срочно менять тему. Над нами сжалился один преподаватель, который хорошо нас знал. Я уже даже не помню, кто придумал и предложил тему блогов. Но нам показалось, что она гораздо легче творчества Шукшина.

Тут нужно отметить, что это был – страшно представить! – 2008 год. И мы тогда еще были очень аналоговыми. Рефераты сдавали на дискетах (помню преподавателя, которому мы все по навету старшекурсников сдавали пустые дискеты, и пару моих однокурсников, попавшихся на этом), кино смотрели на дисках, которые брали в прокат в находившемся практически в подвале журфака киноклубе (помню, как тяжело мне давался Тарковский, Бергман и как я заснула при первом просмотре «Жизни как чуда» Кустурицы, которую потом нежно полюбила; но как меня поразили «Маргаритки»!), книги читали в Ленинке и радовались, если по читательскому билету попадали в тот самый ретро-зал с зелеными лампами. Тогда только-только появились «Одноклассники», а ЖЖ был самой прогрессивной площадкой. Мы – о, Боги! – ходили в интернет-кафе, которое тогда существовало у главного здания МГУ. Там у нас и разгорались нешуточные баталии в ЖЖ. Мы писали посты на волнующие темы и спорили с пеной у рта в комментариях. И делали это с таким азартом, будто играли на миллионы в казино.

Когда я получила свою твердую четверку за диплом, выдохнула и тут же забыла про него, то и предположить не могла, что тема блогов вернется в мою жизнь. «Зачем мы это делаем? Ну что за бред?» – долго не отпускала меня моя беспощадная рефлексия, когда затевали SRSLY. Ведь мы же сами морщимся от этих слов – «блогеры», «трендсеттеры», «инфлюенсеры», бла-бла-бла. Какая-то пошлятина выходит, когда начинаешь рассказывать, о чем мы. И как-то даже стыдно и неловко за себя становится. Но давайте не будем отрицать: блогеры дали нам новый контент, от которого наконец-то не душно. Звезды инстаграма вытеснили глянец, ютуба – затоптали телик. Блогеры начали тянуть теплое одеяло рекламных бюджетов на себя. Трендсеттеры и инфлюенсеры новой формации стали желанными гостями в светской тусовке. Теперь они «как скажут, так и будет».

Дудь нагнул Ютуб, Ивлеева из маникюрши превратилась в телезвезду с ТЭФИ, Горбачёва стала главной актрисой поколения, Монеточка зазвучала из всех утюгов. Это, безусловно, герои нашего времени. Они уже изменили реальность и продолжают это делать. У них влияние в интернете и не только. И не поддаться ему уже не получается. Конечно, можно дальше продолжать болеть нигилизмом и отрицать новый мир. Но это нечестно. Прежде всего по отношению к себе. А мы за честность, за открытые вопросы и ждем таких же ответов от героев. И у нас нет «не наших героев», нет предубеждений, и мы против клише.

Мы намеренно отказались от артемов быстровых и не будем прятаться за псевдонимами. У каждой публикации есть автор, которому вы сможете посмотреть в лицо и туда же высказать все, что думаете о его материале (естественно, аргументированно). Быть абсолютно несогласными с нами не возбраняется. Мы сами в редакции часто спорим друг с другом. Но последнее слово всегда остается за ответственным за раздел. У нас все со своим бэкграундом, позицией, принципами в профессии и взглядами на жизнь.

Когда в редакции предложили каждому написать свой манифест, я прониклась этой идеей. Сразу вспомнились Белинский, Добролюбов, Чернышевский, Белый, Блок, Иванов, Гумилев… Всплыло слово «публицистика». И повеяло той самой нашей наивной аналоговостью, которой теперь уже просто нет. На журфаке мы изучали кодекс профессиональной этики журналиста. Сейчас это понятие кажется атавизмом. Но пусть наши манифесты станут этическим кодексом 2.0.

На втором курсе я прочитала «Поколение П» Пелевина и отчаянно не хотела верить в то, что в журналистике все друг у друга крадут идеи. У меня с тех пор аллергия на «Давайте сделаем как у…» А мы-то тогда зачем, если они уже есть? Поэтому SRSLY – это про дерзкие идеи, честные тексты и – куда ж без них – красивые картинки.

В этом материале:
Бизнесмен
Илон
Маск
Читайте также
Герои — 15:47, 24 октября 2020
«Смех — это противопоставление смерти». Интервью с актером Сергеем Буруновым
Новости, Новости — 24 октября, 15:47
В коалицию против Apple хотят вступить еще 400 разработчиков. Изначально их было 13
Новости, Новости — 24 октября, 14:16
У Dream Team House 7 миллионов подписчиков в тиктоке. Это самый популярный хаус в стране
Новости, Новости — 24 октября, 11:43
Появился уличный художник GANksy. Он как Бэнкси, только не человек
Новости, Новости — 23 октября, 18:14
У Reebook коллаборация с Ubisoft. Она посвящена игре Assassin’s Creed: Valhalla
Новости, Новости — 23 октября, 17:02
Золото, мрамор и даже фрагмент древнего копья: рассказываем, как выглядит iPhone 12 Pro за 3 млн рублей
Популярная темаПопулярно авто
Новости, Новости — 23 октября, 16:21
У Timepad новая система рекомендаций: она поможет найти интересные мероприятия
Образ жизни — 23 октября, 15:44
10 видео, которые нужно посмотреть на ютьюбе: Nilüfer Yanya, Саша Бортич и асексуальность
Новости, Новости — 23 октября, 15:41
У Tesla очередной рекорд. Выручка компании в третьем квартале составила почти 9 млрд долларов
Образ жизни — 22 октября, 13:07
«Никаким, а в целом всем». Каким профессиям не нужно учиться в вузе, по версии зумеров и миллениалов
Новости, Новости — 9 октября, 14:36
«Большая мечта — уже полпути»: минутка мотивации от Саши Петрова и glo
Новости, Новости — 23 октября, 14:37
«Макдоналдс» введет раздельный сбор отходов во всех ресторанах сети
Новости, Новости — 23 октября, 13:54
Еще больше черного юмора и аллегорий: Тим Бертон планирует снять ремейк «Семейки Аддамс»
Новости, Новости — 23 октября, 12:50
Что будет с российским ютьюбом? Рассказывает Женя Калинкин
Новости, Новости — 23 октября, 10:50
Клип Арианы Гранде на трек Positions. Там певица становится президентом и печет пироги
Популярная темаПопулярно тикток
Новости, Новости — 22 октября, 19:51
Из Swag Team ушли сразу четыре участника. Тиктокеры решили заняться бизнесом и саморазвитием
Новости, Новости — 22 октября, 18:56
Тикток Вали Карнавал заблокировали. Но ненадолго
Новости, Новости — 22 октября, 18:17
Кракен на набережной «Зарядья». Это арт-объект Михаила Цатуряна
Новости, Новости — 22 октября, 16:51
У Игоря Николаева тоже есть тикток. Никогда такого не было, и вот опять
Кино — 22 октября, 16:45
О теракте на Дубровке, фильме «Конференция» и человеческой слабости. Интервью с Иваном И. Твердовским
Новости, Новости — 22 октября, 14:37
Картину Бэнкси «Покажи мне Моне» продали почти за 10 млн долларов. Торги длились 8 минут
Новости, Новости — 22 октября, 13:23
Юрий Дудь стал самым популярным блогером среди зумеров
Все звёзды и инфлюенсеры
Новости, Новости — 22 октября, 09:53
В тиктоке нашли профиль Эль Фаннинг. Только у аккаунта нет аватара и верификации
Герои — 22 октября, 01:12
«Побывать на концерте классической музыки — это как прийти в храм». Интервью с дирижером Михаилом Татарниковым
Кино — 21 октября, 21:34
Рецензия на «Конференцию» Ивана И. Твердовского: проживи меня, проговори со мной
Новости, Новости — 21 октября, 21:33
Куча змей и ни одного выполненного челленджа. Роман Каграманов в шоу «З.Б.С.» Насти Ивлеевой
Образ жизни — 21 октября, 19:41
Главное в телеграме за неделю: две крутые обложки, один деанон и «Фразы после секса»
Новости, Новости — 21 октября, 18:35
Для торта придумали щит. Он позволяет задувать свечи без распространения бактерий
Герои — 21 октября, 15:50
О гипнозе, НЛП и дионисийстве. Интервью с актером Максимом Сухановым
Кино — 21 октября, 13:56
Бликующий экран: новинки кино в Сети («Суд над чикагской семеркой», «Ноктюрн», «Тебе стоило уйти»)
Герои — 21 октября, 13:06
О призвании, фэшн-тусовке и Трабуне. Интервью со Славой Gee
Ведьмы
Эмили в Париже
(1 сезон)
Некст
(1 сезон)
Мы те, кто мы есть
(1 сезон)
Ведьмак: Происхождение
(1 сезон)
Ради всего человечества
(2 сезон)
Острые козырьки
(1 сезон)
Американская история преступлений. Импичмент
(3 сезон)