Обзоры, Бизнес — 13 августа 2020, 20:41

Как взламывают аккаунты в соцсетях и что было со звездами Twitter? Разбираемся

В июле Twitter пострадал от самой масштабной хакерской атаки за всю историю своего существования. Мошенники получили доступ к 130 аккаунтам знаменитостей, предпринимателей и международных брендов. В соцсети единовременно появились твиты от Илона Маска, Билла Гейтса, Барака Обамы, Канье Уэста, официальных страниц Apple и Uber, а также других жертв, с указанием биткоин-кошелька и предложением удвоить сумму, поступившую на счет. Таким образом аферисты похитили порядка 118 тысяч долларов.

В ходе расследования были арестованы трое подозреваемых: вначале задержали главаря — 17-летнего Грэма Кларка из Флориды, а чуть позже двух его сообщников. Первое открытое слушание, которое в том числе прошло в онлайн-формате, привлекло к делу еще большее внимание из-за вмешавшихся в трансляцию пранкеров. Они включали музыку, ругались матом, а затем показывали фильмы для взрослых с собственного экрана всем собравшимся. Впрочем, это не помешало судье поместить подозреваемого под домашний арест за солидный залог, даже несмотря на то, что прокуратура усомнилась в законности имеющихся в распоряжении Кларка средств — по стечению обстоятельств подросток оказался криптомиллионером.

SRSLY внимательно следит за развитием событий. По просьбе редакции автор программы «Профессия специалист по кибербезопасности» в онлайн-университете Skillbox Александр Огнев рассказал, как взломать соцсеть, какие версии о происходящем появились в сети и почему небольшая группа зумеров смогла обвести вокруг пальца уважаемого IT-гиганта.

Как взломать соцсеть

Существует несколько основных способов атаки на пользователей онлайн-сервисов:

Угон сессии

Самый распространенный и эффективный способ. Злоумышленники используют уязвимости браузера или вредоносные ссылки, чтобы заполучить cookie-сессии — небольшие текстовые документы, которые хранятся на компьютере и содержат ценную информацию. Похитив сессию, хакер выдает себя за пользователя, пока он находится онлайн. Система не видит разницы. Для защиты пользователей от такого способа взлома социальные сети предлагают пользоваться функцией двухфакторной аутентификации. В таком случае хакеру потребуется подтвердить право на управление аккаунтом через телефон или почтовый ящик жертвы, чтобы полностью завладеть аккаунтом. 

Утечка данных

Другая частая причина взломов. Она происходит либо в результате действий сотрудников, либо из-за проблем в безопасности баз данных. Этот способ интересен тем, что пострадать от него могут не только пользователи сервиса, данные которого «утекли». Если вы используете одинаковые пароли во всех своих аккаунтах, то утечка данных любого из них ставит под угрозу все остальные.

Уязвимости

Третий способ взломов — эксплуатация уязвимостей сервиса. Однако в случае с Twitter и другими крупными компаниями это маловероятно. Их код имеет особый жизненный цикл, который проходит через длительную фазу тестирований и проверок.

Слабые пароли

Также угрозу безопасности представляют слабые и часто используемые пароли. Классические «qwerty», «12345» и «qwerty123» до сих пор входят в число самых популярных пользовательских паролей. С помощью программ взлома хакеры перебирают популярные пароли и простые комбинации символов, получая доступ к аккаунту. Поэтому специалисты по безопасности советуют использовать длинные пароли, состоящие из букв и цифр в разном регистре, а также с добавлением символов вроде «@%&?». Чем слабее пароль, тем выше вероятность взлома. 

Фишинг

Способ, который опирается на уязвимости и особенности психологии человека — хакеры обманом заставляют пользователя отдать свои данные. Мошенники создают фальшивые страницы соцсетей, банков или, например, интернет-магазинов. Зачастую их трудно отличить от реальных прототипов. Авторизуясь на таких порталах, жертва самостоятельно передает свои личные данные в чужие руки. Кстати, это один из самых популярных способ для получения доступа к банковским картам и платежной информации пользователя.

Заражение

C помощью вредоносной программы хакеры получают полный контроль над удаленной системой, включая захват экрана, веб-камеры, звука, нажатия клавиш и сетевого трафика. Впрочем, такие действия заметны для средств антивирусной защиты. В качестве альтернативы может быть установлен  «клавиатурный шпион» — программа, которая записывает и передает злоумышленникам нажатие клавиш.

Аппаратно-технический способ

В этом случае хакеры получают доступ к компьютеру пользователя при помощи USB-устройств: флешки, клавиатуры, мыши, удлинителя или же переходника. Такой класс атак получил собственное название — BadUSB. При подключении устройства, система автоматически устанавливает драйвера, заражая ядро системы вредоносной программой. Антивирусы не смогут распознать ее в 90% случаев.


Что же случилось с Twitter? Версии

Сразу после инцидента в сети появилось несколько популярных мнений о том, как мошенникам удалось провернуть аферу. Следствие считает, что хакеры получили доступ к внутренней системе администрирования, манипулируя сотрудниками Twitter. Но как именно?

Взлом

Одна из первых версий. Предполагалось, что хакеры использовали найденные уязвимости в системе администрирования Twitter. Эта причина грозила бы компании огромными штрафами согласно европейскому и американскому законодательству, а репутационные риски нанесли бы громадный ущерб компании. Однако то, что атака была ограничена по масштабам и времени, косвенно указывает на несостоятельность этой версии. Если бы через уязвимость был получен доступ к управлению соцсетью, мошенникам не было бы смысла ограничивать свою атаку сравнительно небольшим количеством аккаунтов. Кроме того, в случае подтверждения уязвимости, способной предоставить хакерам неограниченный доступ к системам администрирования, руководству компании пришлось бы временно отключать серверы Twitter. 

Подкуп

Вторая версия — нечистые на руку сотрудники соцсети. Об этом киберпреступники заявили на хакерских форумах в даркнете. В качестве доказательств приводились скриншоты системы администрирования Twitter. Эту версию подхватили некоторые американские и европейские СМИ. 

Однако внутренняя проверка сотрудников Twitter показала, что были скомпрометированы сразу несколько рабочих аккаунтов администраторов. Этот факт делает версию о подкупе маловероятной.  

Социальная инженерия

Эта версия стала основной после официального доклада службы безопасности. Специалисты опровергли возможность стороннего взлома системы, а служебная переписка восстановила хронологию событий. 

Выяснилось, что хакеры применили целевую фишинговую рассылку на служебные адреса администраторов Twitter. Жертвы были уверены в том, что получили письма от своей компании и не заподозрив обмана, совершили нужные мошенникам действия. Таким образом преступники получили доступ к внутренним сервисам управления Twitter, в результате чего злоумышленники могли просматривать личную информацию, включая адреса электронной почты и номера телефонов. 

Ущерб

Чтобы оценить объем средств, переведенных пользователями, СМИ изучили криптовалютный кошелек мошенников. Технология позволяет проследить все транзакции от отправителя к получателю. Таким образом можно увидеть, сколько хакеры «заработали» и затем обналичили. В общей сложности мошенники получили чуть больше 12.87456816 BTC, или приблизительно 118 тысяч долларов. Подавляющей частью транзакций оказались символические суммы — это говорит о том, что многие пользователи сомневались в достоверность обещаний, несмотря на статус владельцев аккаунтов. В некоторых случаях комиссия за перевод была больше самого перевода. Есть вероятность, что среди маленьких переводов были транзакции самих хакеров. Это делается для того, чтобы усложнить анализ спецслужб. Использовались и другие кошельки, но средства на них либо отсутствовали, либо были незначительны. К примеру, на втором по объему средств кошельке насчитали чуть больше 0.17828423 BTC — всего порядка 1 600 долларов. 


Последствия

Среди взломанных аккаунтов были первые государственные лица США: бывший вице-президент и кандидат в президенты от демократов Джо Байден, а также экс-глава государства Барак Обама. В таком случае дело затрагивает интересы государственной безопасности — свое расследование начали такие службы как ФБР и АНБ.


Twitter в свою очередь будет пересматривать внутреннюю политику безопасности. Репутационный ущерб компания сможет полностью оценить еще не скоро. Однако уже сейчас можно сказать, что соцсеть ждут масштабные проверки на соответствие американского и европейского законодательства. 


Реакция IT-сообщества 

В сообществе кибербезопасности этому взлому не придали большого значения. Полученная хакерами сумма просто смешная, по сравнению с ущербом, который наносят киберпреступники ежегодно. Дело сразу же стало причиной появления огромного количества мемов и шуток в сети. К примеру, к специфическому флешмобу подключился один из самых известных хакеров в мире — Кевин Митник. 


По-настоящему опасные программы приносят убытки в сотни миллионов долларов. Так, в 2017 сетевой червь WannaCry остановил работу заводов, коммерческих предприятий, государственных и муниципальных учреждений, аэропортов и больниц более чем в 200 странах. Причиненный ущерб — свыше 1 миллиарда долларов. А немногим ранее вирус Stuxnet уничтожил ядерную программу Ирана, отбросив ее в развитии на пять лет назад. 


Итог 

Анализ событий подтверждает старую истину: человек — самое слабое звено в любой системе. Даже самой безопасной. Современные технические средства способны обеспечить надежный уровень защиты. Системы контроля трафика, управления и учета доступа позволяют свести технические атаки к минимуму, но человеческий фактор продолжает оставаться главной уязвимостью. 

Еще больше SRSLY в нашем канале на Яндекс.Дзен
Фото: кадр из фильма «Хакеры»/Getty Images
Алина Бавина
главный редактор

Моя дипломная работа на журфаке МГУ была посвящена блогам и тому, приравняют ли их когда-то к СМИ и вообще насколько этично это делать. Тема появилась совершенно случайно. Изначально я собиралась писать про творчество Василия Шукшина. Но как-то среди ночи моя подруга, с которой мы прожили четыре года в одной комнате в общежитии и, естественно, не могли не выбрать одну кафедру, проснулась и сказала, что мы безумные и не осилим диплом по литературе, поэтому надо срочно менять тему. Над нами сжалился один преподаватель, который хорошо нас знал. Я уже даже не помню, кто придумал и предложил тему блогов. Но нам показалось, что она гораздо легче творчества Шукшина.

Тут нужно отметить, что это был – страшно представить! – 2008 год. И мы тогда еще были очень аналоговыми. Рефераты сдавали на дискетах (помню преподавателя, которому мы все по навету старшекурсников сдавали пустые дискеты, и пару моих однокурсников, попавшихся на этом), кино смотрели на дисках, которые брали в прокат в находившемся практически в подвале журфака киноклубе (помню, как тяжело мне давался Тарковский, Бергман и как я заснула при первом просмотре «Жизни как чуда» Кустурицы, которую потом нежно полюбила; но как меня поразили «Маргаритки»!), книги читали в Ленинке и радовались, если по читательскому билету попадали в тот самый ретро-зал с зелеными лампами. Тогда только-только появились «Одноклассники», а ЖЖ был самой прогрессивной площадкой. Мы – о, Боги! – ходили в интернет-кафе, которое тогда существовало у главного здания МГУ. Там у нас и разгорались нешуточные баталии в ЖЖ. Мы писали посты на волнующие темы и спорили с пеной у рта в комментариях. И делали это с таким азартом, будто играли на миллионы в казино.

Когда я получила свою твердую четверку за диплом, выдохнула и тут же забыла про него, то и предположить не могла, что тема блогов вернется в мою жизнь. «Зачем мы это делаем? Ну что за бред?» – долго не отпускала меня моя беспощадная рефлексия, когда затевали SRSLY. Ведь мы же сами морщимся от этих слов – «блогеры», «трендсеттеры», «инфлюенсеры», бла-бла-бла. Какая-то пошлятина выходит, когда начинаешь рассказывать, о чем мы. И как-то даже стыдно и неловко за себя становится. Но давайте не будем отрицать: блогеры дали нам новый контент, от которого наконец-то не душно. Звезды инстаграма вытеснили глянец, ютуба – затоптали телик. Блогеры начали тянуть теплое одеяло рекламных бюджетов на себя. Трендсеттеры и инфлюенсеры новой формации стали желанными гостями в светской тусовке. Теперь они «как скажут, так и будет».

Дудь нагнул Ютуб, Ивлеева из маникюрши превратилась в телезвезду с ТЭФИ, Горбачёва стала главной актрисой поколения, Монеточка зазвучала из всех утюгов. Это, безусловно, герои нашего времени. Они уже изменили реальность и продолжают это делать. У них влияние в интернете и не только. И не поддаться ему уже не получается. Конечно, можно дальше продолжать болеть нигилизмом и отрицать новый мир. Но это нечестно. Прежде всего по отношению к себе. А мы за честность, за открытые вопросы и ждем таких же ответов от героев. И у нас нет «не наших героев», нет предубеждений, и мы против клише.

Мы намеренно отказались от артемов быстровых и не будем прятаться за псевдонимами. У каждой публикации есть автор, которому вы сможете посмотреть в лицо и туда же высказать все, что думаете о его материале (естественно, аргументированно). Быть абсолютно несогласными с нами не возбраняется. Мы сами в редакции часто спорим друг с другом. Но последнее слово всегда остается за ответственным за раздел. У нас все со своим бэкграундом, позицией, принципами в профессии и взглядами на жизнь.

Когда в редакции предложили каждому написать свой манифест, я прониклась этой идеей. Сразу вспомнились Белинский, Добролюбов, Чернышевский, Белый, Блок, Иванов, Гумилев… Всплыло слово «публицистика». И повеяло той самой нашей наивной аналоговостью, которой теперь уже просто нет. На журфаке мы изучали кодекс профессиональной этики журналиста. Сейчас это понятие кажется атавизмом. Но пусть наши манифесты станут этическим кодексом 2.0.

На втором курсе я прочитала «Поколение П» Пелевина и отчаянно не хотела верить в то, что в журналистике все друг у друга крадут идеи. У меня с тех пор аллергия на «Давайте сделаем как у…» А мы-то тогда зачем, если они уже есть? Поэтому SRSLY – это про дерзкие идеи, честные тексты и – куда ж без них – красивые картинки.

В этом материале:
Бизнесмен
Илон
Маск
Читайте также
Образ жизни — 11:15, 13 июня 2021
10 видео, которые нужно посмотреть на ютьюбе: Джеки Чан, Тиг Нотаро и тенге-режиссер
Новости, Новости — 13 июня, 11:15
Группа Lovanda выпустила клип на песню «Изи» из ЕР «Тепло»
Новости, Новости — 12 июня, 20:14
Милена Чижова, Ира Ваймер, Арина Тарчуткина и Халберы рассказали стыдные истории в шоу «Стенка»
Новости, Новости — 12 июня, 15:32
Шипы, цепи и «медведь Ильича»: как выглядит коллаб Crocs и Little Big
Новости, Новости — 12 июня, 10:01
К Musica36 присоединился рэпер Smoke Bush. Вместе с qurt он выпустил трек «Не братан»
Новости, Новости — 11 июня, 22:26
Оля Шелби присоединилась к селебрити-агентству Didenok Team
Популярная темаПопулярно
Новости, Новости — 11 июня, 19:36
Аня Hahadetka объявила о возвращении на ютьюб
Герои — 11 июня, 19:25
Из кофейни в Саратове на A State of Trance. Интервью с диджеем ARTY
Новости, Новости — 11 июня, 17:22
По вселенной «Властелина колец» снимут аниме
Образ жизни — 4 июня, 15:55
Отрицание, гнев, торг, смирение… Когда первый компьютер серьезно подводил — смешные и душещипательные (реальные!) истории
Новости, Новости — 26 мая, 12:11
Накорми свое самолюбие. SRSLY и Zotman запустили свою пиццу
Новости — 24 мая, 19:34
12 дог-френдли-мест Москвы и Санкт-Петербурга
Новости, Новости — 20 мая, 15:26
В GeekBrains открылся факультет коммерческой иллюстрации
Новости, Новости — 11 июня, 15:09
Apple объявила 12 лучших игр и приложений года
Новости, Новости — 11 июня, 13:53
Фит с Ладой Дэнс и аквариум с пираньями: Артур Бабич и Dava пришли в Comment Out
Новости, Новости — 11 июня, 12:59
У Tenderlybae вышел трек «Не надо»
Новости, Новости — 11 июня, 12:31
На саб-ивенте Popoff Kitchen для Signal выступят Vale Budino и Rakans
Новости, Новости — 11 июня, 12:09
Элджей выпустил трек «Крестики-нолики»
Новости, Новости — 11 июня, 00:01
Скриптонит и The Limba выпустили трек «Ронин». Это первый сингл с грядущего альбома Anima
Герои — 10 июня, 19:54
«Верните мне мою толпу!» Борис Барабанов поговорил с Лораном Гарнье
Новости, Новости — 10 июня, 17:14
Wylsacom объяснил, что не так с роликами BadComedian, в ютьюб-шоу Софико Шеварднадзе
Кино — 10 июня, 16:07
Сериалы недели: «История Лизи», «Sweet Tooth: Мальчик с оленьими рогами», «Почему женщины убивают 2», «Душегубы»
Все звёзды и инфлюенсеры
Новости, Новости — 10 июня, 16:00
На ютьюб-канале «КиноТВ» новое шоу «Бэд Комментс». Гостьей первого выпуска стала Варвара Шмыкова
Новости, Новости — 10 июня, 11:58
Покрас Лампас выставит 10 NFT-произведений на аукционе маркетплейса Binance
Новости, Новости — 10 июня, 11:05
Новое место в Москве: авторский ресторан «Жирок» на Усачевском рынке
Новости, Новости — 10 июня, 09:34
Евгений Чебатков пришел в шоу «Контакты» Антона Шастуна
Герои — 9 июня, 20:25
Как дела, молодежь? Фреш-поколение об ушедшей весне, постхипстерах и важных словах
Новости, Новости — 9 июня, 19:47
Менеджер Канье Уэста намекнул, что у рэпера скоро выйдет альбом
Кино — 9 июня, 16:08
Спасибо, что еле живой. Борис Барабанов об Ирландии в фильме «Еще по одной с Шейном Макгоуэном»
Новости, Новости — 9 июня, 15:48
Тимур Сорокин обвинил менеджмент XO Music в сливе его нового трека. Ему ответил Герман Черных
Новости, Новости — 9 июня, 14:52
Новому сезону XO Life быть. Об этом рассказала Даша Джакели
Ломка
(1 сезон)
Катла
(1 сезон)
Мейр из Исттауна
(2 сезон)
Анна К
(1 сезон)
Почему женщины убивают
(2 сезон)
Локи
(1 сезон)
Дивный новый мир
(2 сезон)
Чики
(2 сезон)