Обзоры, Бизнес — 13 августа 2020, 20:41

Как взламывают аккаунты в соцсетях и что было со звездами Twitter? Разбираемся

В июле Twitter пострадал от самой масштабной хакерской атаки за всю историю своего существования. Мошенники получили доступ к 130 аккаунтам знаменитостей, предпринимателей и международных брендов. В соцсети единовременно появились твиты от Илона Маска, Билла Гейтса, Барака Обамы, Канье Уэста, официальных страниц Apple и Uber, а также других жертв, с указанием биткоин-кошелька и предложением удвоить сумму, поступившую на счет. Таким образом аферисты похитили порядка 118 тысяч долларов.

В ходе расследования были арестованы трое подозреваемых: вначале задержали главаря — 17-летнего Грэма Кларка из Флориды, а чуть позже двух его сообщников. Первое открытое слушание, которое в том числе прошло в онлайн-формате, привлекло к делу еще большее внимание из-за вмешавшихся в трансляцию пранкеров. Они включали музыку, ругались матом, а затем показывали фильмы для взрослых с собственного экрана всем собравшимся. Впрочем, это не помешало судье поместить подозреваемого под домашний арест за солидный залог, даже несмотря на то, что прокуратура усомнилась в законности имеющихся в распоряжении Кларка средств — по стечению обстоятельств подросток оказался криптомиллионером.

SRSLY внимательно следит за развитием событий. По просьбе редакции автор программы «Профессия специалист по кибербезопасности» в онлайн-университете Skillbox Александр Огнев рассказал, как взломать соцсеть, какие версии о происходящем появились в сети и почему небольшая группа зумеров смогла обвести вокруг пальца уважаемого IT-гиганта.

Как взломать соцсеть

Существует несколько основных способов атаки на пользователей онлайн-сервисов:

Угон сессии

Самый распространенный и эффективный способ. Злоумышленники используют уязвимости браузера или вредоносные ссылки, чтобы заполучить cookie-сессии — небольшие текстовые документы, которые хранятся на компьютере и содержат ценную информацию. Похитив сессию, хакер выдает себя за пользователя, пока он находится онлайн. Система не видит разницы. Для защиты пользователей от такого способа взлома социальные сети предлагают пользоваться функцией двухфакторной аутентификации. В таком случае хакеру потребуется подтвердить право на управление аккаунтом через телефон или почтовый ящик жертвы, чтобы полностью завладеть аккаунтом. 

Утечка данных

Другая частая причина взломов. Она происходит либо в результате действий сотрудников, либо из-за проблем в безопасности баз данных. Этот способ интересен тем, что пострадать от него могут не только пользователи сервиса, данные которого «утекли». Если вы используете одинаковые пароли во всех своих аккаунтах, то утечка данных любого из них ставит под угрозу все остальные.

Уязвимости

Третий способ взломов — эксплуатация уязвимостей сервиса. Однако в случае с Twitter и другими крупными компаниями это маловероятно. Их код имеет особый жизненный цикл, который проходит через длительную фазу тестирований и проверок.

Слабые пароли

Также угрозу безопасности представляют слабые и часто используемые пароли. Классические «qwerty», «12345» и «qwerty123» до сих пор входят в число самых популярных пользовательских паролей. С помощью программ взлома хакеры перебирают популярные пароли и простые комбинации символов, получая доступ к аккаунту. Поэтому специалисты по безопасности советуют использовать длинные пароли, состоящие из букв и цифр в разном регистре, а также с добавлением символов вроде «@%&?». Чем слабее пароль, тем выше вероятность взлома. 

Фишинг

Способ, который опирается на уязвимости и особенности психологии человека — хакеры обманом заставляют пользователя отдать свои данные. Мошенники создают фальшивые страницы соцсетей, банков или, например, интернет-магазинов. Зачастую их трудно отличить от реальных прототипов. Авторизуясь на таких порталах, жертва самостоятельно передает свои личные данные в чужие руки. Кстати, это один из самых популярных способ для получения доступа к банковским картам и платежной информации пользователя.

Заражение

C помощью вредоносной программы хакеры получают полный контроль над удаленной системой, включая захват экрана, веб-камеры, звука, нажатия клавиш и сетевого трафика. Впрочем, такие действия заметны для средств антивирусной защиты. В качестве альтернативы может быть установлен  «клавиатурный шпион» — программа, которая записывает и передает злоумышленникам нажатие клавиш.

Аппаратно-технический способ

В этом случае хакеры получают доступ к компьютеру пользователя при помощи USB-устройств: флешки, клавиатуры, мыши, удлинителя или же переходника. Такой класс атак получил собственное название — BadUSB. При подключении устройства, система автоматически устанавливает драйвера, заражая ядро системы вредоносной программой. Антивирусы не смогут распознать ее в 90% случаев.


Что же случилось с Twitter? Версии

Сразу после инцидента в сети появилось несколько популярных мнений о том, как мошенникам удалось провернуть аферу. Следствие считает, что хакеры получили доступ к внутренней системе администрирования, манипулируя сотрудниками Twitter. Но как именно?

Взлом

Одна из первых версий. Предполагалось, что хакеры использовали найденные уязвимости в системе администрирования Twitter. Эта причина грозила бы компании огромными штрафами согласно европейскому и американскому законодательству, а репутационные риски нанесли бы громадный ущерб компании. Однако то, что атака была ограничена по масштабам и времени, косвенно указывает на несостоятельность этой версии. Если бы через уязвимость был получен доступ к управлению соцсетью, мошенникам не было бы смысла ограничивать свою атаку сравнительно небольшим количеством аккаунтов. Кроме того, в случае подтверждения уязвимости, способной предоставить хакерам неограниченный доступ к системам администрирования, руководству компании пришлось бы временно отключать серверы Twitter. 

Подкуп

Вторая версия — нечистые на руку сотрудники соцсети. Об этом киберпреступники заявили на хакерских форумах в даркнете. В качестве доказательств приводились скриншоты системы администрирования Twitter. Эту версию подхватили некоторые американские и европейские СМИ. 

Однако внутренняя проверка сотрудников Twitter показала, что были скомпрометированы сразу несколько рабочих аккаунтов администраторов. Этот факт делает версию о подкупе маловероятной.  

Социальная инженерия

Эта версия стала основной после официального доклада службы безопасности. Специалисты опровергли возможность стороннего взлома системы, а служебная переписка восстановила хронологию событий. 

Выяснилось, что хакеры применили целевую фишинговую рассылку на служебные адреса администраторов Twitter. Жертвы были уверены в том, что получили письма от своей компании и не заподозрив обмана, совершили нужные мошенникам действия. Таким образом преступники получили доступ к внутренним сервисам управления Twitter, в результате чего злоумышленники могли просматривать личную информацию, включая адреса электронной почты и номера телефонов. 

Ущерб

Чтобы оценить объем средств, переведенных пользователями, СМИ изучили криптовалютный кошелек мошенников. Технология позволяет проследить все транзакции от отправителя к получателю. Таким образом можно увидеть, сколько хакеры «заработали» и затем обналичили. В общей сложности мошенники получили чуть больше 12.87456816 BTC, или приблизительно 118 тысяч долларов. Подавляющей частью транзакций оказались символические суммы — это говорит о том, что многие пользователи сомневались в достоверность обещаний, несмотря на статус владельцев аккаунтов. В некоторых случаях комиссия за перевод была больше самого перевода. Есть вероятность, что среди маленьких переводов были транзакции самих хакеров. Это делается для того, чтобы усложнить анализ спецслужб. Использовались и другие кошельки, но средства на них либо отсутствовали, либо были незначительны. К примеру, на втором по объему средств кошельке насчитали чуть больше 0.17828423 BTC — всего порядка 1 600 долларов. 


Последствия

Среди взломанных аккаунтов были первые государственные лица США: бывший вице-президент и кандидат в президенты от демократов Джо Байден, а также экс-глава государства Барак Обама. В таком случае дело затрагивает интересы государственной безопасности — свое расследование начали такие службы как ФБР и АНБ.


Twitter в свою очередь будет пересматривать внутреннюю политику безопасности. Репутационный ущерб компания сможет полностью оценить еще не скоро. Однако уже сейчас можно сказать, что соцсеть ждут масштабные проверки на соответствие американского и европейского законодательства. 


Реакция IT-сообщества 

В сообществе кибербезопасности этому взлому не придали большого значения. Полученная хакерами сумма просто смешная, по сравнению с ущербом, который наносят киберпреступники ежегодно. Дело сразу же стало причиной появления огромного количества мемов и шуток в сети. К примеру, к специфическому флешмобу подключился один из самых известных хакеров в мире — Кевин Митник. 


По-настоящему опасные программы приносят убытки в сотни миллионов долларов. Так, в 2017 сетевой червь WannaCry остановил работу заводов, коммерческих предприятий, государственных и муниципальных учреждений, аэропортов и больниц более чем в 200 странах. Причиненный ущерб — свыше 1 миллиарда долларов. А немногим ранее вирус Stuxnet уничтожил ядерную программу Ирана, отбросив ее в развитии на пять лет назад. 


Итог 

Анализ событий подтверждает старую истину: человек — самое слабое звено в любой системе. Даже самой безопасной. Современные технические средства способны обеспечить надежный уровень защиты. Системы контроля трафика, управления и учета доступа позволяют свести технические атаки к минимуму, но человеческий фактор продолжает оставаться главной уязвимостью. 

Подписывайтесь на наш Telegram-канал
Фото: кадр из фильма «Хакеры»/Getty Images
* Деятельность компании Meta Platforms Inc. (Facebook и Instagram) на территории РФ запрещена
** Признан иноагентом на территории РФ
В этом материале:
Бизнесмен
Илон
Маск
Читайте также
Кино — 19:00, 2 июля 2025
Смерть единорога. Рецензия на фильм «Материалистка»
Новости, Новости — 2 июля, 19:00
Сериал «Медведь» продлили на пятый сезон
Новости — 27 июня, 13:33
ЕГЭ по селебоведению. Тест про школьные годы звезд
Новости, Новости — 2 июля, 18:00
Списки задач и предложенные посты: вышло обновление Telegram
Новости, Новости — 2 июля, 17:00
Netflix будет создавать персонализированные трейлеры с помощью ИИ
Новости, Новости — 2 июля, 15:50
Илья Соболев будет обучать стендапу в новом шоу на ТНТ
Новости, Новости — 2 июля, 13:38
«Краски – только мы»: группа «Сироткин» показала песню «Ты да я»
Образ жизни — 2 июля, 12:48
Интервью с создательницами FAR FROM HOME — того самого агентства, которое устраивает туры на концерты Леди Гаги, Бейонсе и Гарри Стайлса
Новости, Новости — 2 июля, 11:24
Стартовало производство продолжения «Дьявол носит Prada»
Музыка — 1 июля, 20:00
Первый VK Fest в Казани: чак-чак с лицом Басты, эчпочмаки и 20 тысяч человек под открытым небом
Кино — 1 июля, 18:05
Крипто-коуч, мемуары и проклятие Таро: что смотреть в июле на PREMIER
Новости, Новости — 1 июля, 16:40
Райан Гослинг спасает человечество в трейлере фильма «Проект “Аве Мария”»
Новости, Новости — 1 июля, 15:10
AFELIA выпустила сингл «двинулась»
Новости, Новости — 1 июля, 13:45
«Приключения Электроника» получат ремейк
Новости, Новости — 1 июля, 11:40
Вышел трейлер «Государя» — сериала о жизни Петра I
Новости, Новости — 30 июня, 19:05
Объединение GLAM GO! вернулось с треком «Игра»
Новости, Новости — 30 июня, 15:50
Объявлен каст байопика о группе Scorpions
Новости, Новости — 30 июня, 13:39
Сергей Романович и Гоша Куценко в трейлере сериала «Хутор»
Новости, Новости — 27 июня, 19:20
Завершились съемки нового сезона «Бриджертонов»
Новости, Новости — 27 июня, 16:00
BEARWOLF выпустила «Ястребов» — саундтрек к сериалу «Этерна»
Новости, Новости — 27 июня, 13:50
Сюзанна и NEMIGA выпустили совместный трек «Нежная душа»
Образ жизни — 27 июня, 13:03
Территория сложных чувств. Отрывок из книги Аш Пендрагон «Фанфики: истории для тех, кто не хочет прощаться»
Все звёзды и инфлюенсеры
Новости, Новости — 27 июня, 11:27
Олеся Иванченко дебютирует в кино. Она сыграет в сериале «Няня Оксана»
Новости, Новости — 26 июня, 17:20
Pixar работает над сиквелом «Рататуя». Но это не точно
Новости, Новости — 26 июня, 14:51
Дэйзи Эдгар-Джонс сыграет в новой экранизации «Разума и чувств» Джейн Остин
Новости, Новости — 26 июня, 11:40
Charli XCX выпустила кеды в коллаборации с Converse
Новости, Новости — 25 июня, 19:00
Трэвис Скотт стал «главным визионером» бренда Oakley
Новости, Новости — 25 июня, 17:30
Создатели «Актрис» и «Балета» снимут сериал про «Горбушку»
Музыка — 25 июня, 13:50
С корабля на бал. Гид по фестивалю «Планета K-30» в Петербурге
Новости, Новости — 25 июня, 13:00
«Погода меняется с космической скоростью»: у фильма «Питер FM» появится продолжение
Новости, Новости — 25 июня, 11:37
Байопик о Лермонтове получил дату релиза
Не одна дома 2
Бриджит Джонс: Без ума от мальчишки
8.1
Смерть единорога
5.1
Обезьяна
4.2
Денискины рассказы
(1 сезон)
8.3
Белый лотос
(3 сезон)
7.7
Микки-17
7.5
Кончится лето