Сер­висы вро­де Dropbox или Megaupload — удоб­ное изоб­ретение: мож­но всег­да иметь под рукой нуж­ные докумен­ты. Но если не заботить­ся о безопас­ности, то это удобс­тво обер­нется утеч­кой важ­ных лич­ных дан­ных. В этой статье я наг­лядно покажу, как облачные хра­нили­ща и фай­лооб­менни­ки прев­раща­ются в объ­екты хакер­ских атак, поз­воля­ют похитить важ­ные докумен­ты и соб­рать матери­ал для шан­тажа.

warning

Ма­тери­ал носит озна­коми­тель­ный харак­тер и не при­зыва­ет нарушать неп­рикос­новен­ность час­тной жиз­ни. Несан­кци­они­рован­ный дос­туп к информа­ции уго­лов­но наказу­ем. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с исполь­зовани­ем информа­ции из этой статьи или в попыт­ках пов­торить опи­сан­ные дей­ствия.

Вла­дель­цы круп­ных фай­лооб­менни­ков совер­шенс­тву­ют защиту дан­ных и обыч­но пред­лага­ют двух­фактор­ную аутен­тифика­цию, но вари­ант с обыч­ными логином и паролем по‑преж­нему дос­тупен и широко исполь­зует­ся. Игра­ет ли это на руку хакерам? Опре­делен­но.

Спо­собов взло­ма мно­го: фишинг, сти­леры, перебор пароля и даже высоко­тех­нологич­ные ата­ки на про­вай­деров и опе­рато­ров сотовой свя­зи, ког­да перех­ватыва­ют коды под­твержде­ния. Но чаще все­го при­меня­ется метод credential stuffing — ког­да для вхо­да исполь­зуют­ся учет­ные дан­ные из утек­ших баз. Люди ведь не любят при­думы­вать раз­ные пароли для раз­ных сер­висов, а менед­жер паролей пока так и оста­ется тех­нологи­ей для прод­винутых поль­зовате­лей.

 

Почем чужие пароли?

Ко­неч­но же, учет­ными дан­ными активно тор­гуют в злач­ных угол­ках интерне­та. Я обо­шел пять таких мес­течек, что­бы изу­чить пред­ложение и цены. В сред­нем они такие:

  • 300–350 дол­ларов за мил­лион ком­бинаций логин‑пароль или поч­та‑пароль;
  • 400–500 дол­ларов за мил­лион ком­бинаций из кор­поратив­ных поч­товых ящи­ков и паролей к ним. Потен­циаль­но это наибо­лее лакомый кусочек для мошен­ников;
  • 250 дол­ларов за мил­лион ком­бинаций в «мик­сован­ных базах», где могут попадать­ся любые домены.

Впро­чем, быва­ет как дешев­ле, так и дороже. А еще час­то попада­ются сами сли­тые базы, но раз­гре­бать гигант­ские дам­пы — отдель­ное неп­ростое занятие.

И конеч­но, вов­сю про­дают­ся сти­леры, при помощи которых мож­но зав­ладеть чужими учет­ками. Нап­ример, сти­лер AZORult сто­ит 100 дол­ларов, а UFR Stealer все­го в рай­оне 20–50.

 

Что в облачке лежит

К нам в руки попало нес­коль­ко учет­ных записей, подоб­ных тем, что про­дают­ся на под­поль­ных форумах. Они были отоб­раны спе­циаль­но, поэто­му все они откры­вались и во всех из них что‑нибудь да лежало. Сей­час мы с тобой заг­лянем туда. Естес­твен­но, исклю­читель­но в иссле­дова­тель­ских целях. Заходя в акка­унты, я лишь делал скрин­шоты, что­бы про­демонс­три­ровать типич­ное содер­жимое.

 

Пример 1. Заброшка

Пе­ред нами акка­унт Dropbox, соз­данный в Гер­мании. Внут­ри две пап­ки: одна пус­тая, в дру­гой — фотог­рафии авто­моби­лей и докумен­тов, веро­ятно свя­зан­ных с пов­режде­ниями этих авто­моби­лей. Все­го 161 сни­мок; пос­леднее изме­нение датиру­ется нояб­рем 2020 года.

Взлом­щику или шан­тажис­ту здесь ловить, ско­рее все­го, нечего, к тому же никакой активнос­ти на этом акка­унте уже дав­но нет, а зна­чит, веро­ятно, он заб­рошен. Как, по всей видимос­ти, и доб­рая полови­на про­дающих­ся уче­ток.

По­чему люди заб­расыва­ют свои хра­нили­ща? При­чин может быть мно­жес­тво, но самая рас­простра­нен­ная — это забытый пароль и нежела­ние копать­ся с его вос­ста­нов­лени­ем. Зато лич­ные дан­ные про­дол­жат там лежать годами.

 

Пример 2. Чужие паспорта

Сно­ва Dropbox, и содер­жимое на этот раз более занима­тель­ное.

Речь, конеч­но, не о фотог­рафи­ях вла­дель­ца, рас­сека­юще­го снег на сно­убор­де. Речь — о целом скла­де докумен­тов, явно при­над­лежащих не ему и не чле­нам его семьи.

Слож­но ска­зать, как вла­делец акка­унта соб­рал все это и с какой целью хра­нит. Воз­можно, он имел на это пол­ное пра­во. Но неп­рият­но здесь дру­гое: мысль о том, что ска­ны тво­его пас­порта или водитель­ско­го удос­товере­ния могут попасть (и регуляр­но попада­ют) в руки людям, которые не слы­шали об эле­мен­тарных мерах безопас­ности.

 

Пример 3. Кредитка

За­кинуть в Dropbox фотог­рафии вечери­нок — впол­не нор­маль­ная идея. А вот добав­лять к этой кол­лекции кре­дит­ную кар­ту, да еще и сфо­тог­рафиро­ван­ную с обе­их сто­рон... мяг­ко говоря, не очень.

В той же пап­ке лежал ворох докумен­тов хозяй­ки и дей­ству­ющий QR-код груп­пы в WhatsApp. Прав­да, все­го с одним учас­тни­ком. Заг­лядывать я пос­теснял­ся.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

2 комментария

  1. Аватар

    Dave123

    18.02.2021 в 20:18

    Бесполезная статья.

Оставить мнение