Сервисы вроде Dropbox или Megaupload — удобное изобретение: можно всегда иметь под рукой нужные документы. Но если не заботиться о безопасности, то это удобство обернется утечкой важных личных данных. В этой статье я наглядно покажу, как облачные хранилища и файлообменники превращаются в объекты хакерских атак, позволяют похитить важные документы и собрать материал для шантажа.
WARNING
Материал носит ознакомительный характер и не призывает нарушать неприкосновенность частной жизни. Несанкционированный доступ к информации уголовно наказуем. Автор и редакция не несут ответственности за любой вред, причиненный с использованием информации из этой статьи или в попытках повторить описанные действия.
Владельцы крупных файлообменников совершенствуют защиту данных и обычно предлагают двухфакторную аутентификацию, но вариант с обычными логином и паролем по‑прежнему доступен и широко используется. Играет ли это на руку хакерам? Определенно.
Способов взлома много: фишинг, стилеры, перебор пароля и даже высокотехнологичные атаки на провайдеров и операторов сотовой связи, когда перехватывают коды подтверждения. Но чаще всего применяется метод credential stuffing — когда для входа используются учетные данные из утекших баз. Люди ведь не любят придумывать разные пароли для разных сервисов, а менеджер паролей пока так и остается технологией для продвинутых пользователей.
ПОЧЕМ ЧУЖИЕ ПАРОЛИ?
Конечно же, учетными данными активно торгуют в злачных уголках интернета. Я обошел пять таких местечек, чтобы изучить предложение и цены. В среднем они такие:
И конечно, вовсю продаются стилеры, при помощи которых можно завладеть чужими учетками. Например, стилер AZORult стоит 100 долларов, а UFR Stealer всего в районе 20–50.
ЧТО В ОБЛАЧКЕ ЛЕЖИТ
К нам в руки попало несколько учетных записей, подобных тем, что продаются на подпольных форумах. Они были отобраны специально, поэтому все они открывались и во всех из них что‑нибудь да лежало. Сейчас мы с тобой заглянем туда. Естественно, исключительно в исследовательских целях. Заходя в аккаунты, я лишь делал скриншоты, чтобы продемонстрировать типичное содержимое.
Пример 1. Заброшка
Перед нами аккаунт Dropbox, созданный в Германии. Внутри две папки: одна пустая, в другой — фотографии автомобилей и документов, вероятно связанных с повреждениями этих автомобилей. Всего 161 снимок; последнее изменение датируется ноябрем 2020 года.
Взломщику или шантажисту здесь ловить, скорее всего, нечего, к тому же никакой активности на этом аккаунте уже давно нет, а значит, вероятно, он заброшен. Как, по всей видимости, и добрая половина продающихся учеток.
Почему люди забрасывают свои хранилища? Причин может быть множество, но самая распространенная — это забытый пароль и нежелание копаться с его восстановлением. Зато личные данные продолжат там лежать годами.
Пример 2. Чужие паспорта
Снова Dropbox, и содержимое на этот раз более занимательное.
Речь, конечно, не о фотографиях владельца, рассекающего снег на сноуборде. Речь — о целом складе документов, явно принадлежащих не ему и не членам его семьи.
Сложно сказать, как владелец аккаунта собрал все это и с какой целью хранит. Возможно, он имел на это полное право. Но неприятно здесь другое: мысль о том, что сканы твоего паспорта или водительского удостоверения могут попасть (и регулярно попадают) в руки людям, которые не слышали об элементарных мерах безопасности.
Пример 3. Кредитка
Закинуть в Dropbox фотографии вечеринок — вполне нормальная идея. А вот добавлять к этой коллекции кредитную карту, да еще и сфотографированную с обеих сторон... мягко говоря, не очень.
В той же папке лежал ворох документов хозяйки и действующий QR-код группы в WhatsApp. Правда, всего с одним участником. Заглядывать я постеснялся.
Пример 4. Платный акк
В этом аккаунте на Dropbox не было бы ничего примечательного, не будь он оплачен на год вперед. При этом практически не использовался — занято всего 3,6 Гбайт из 2 Тбайт.
Похоже, акк просто забыт, и хакер может использовать его любым креативным способом.
Пример 5. Пароль в корзине
Сервис под названием pCloud не особенно известен, но и такие встречаются в базах скомпрометированных аккаунтов. Примечательно здесь вот что: если ты отвлечешься от чужих фотографий из отпуска и присмотришься к панели слева, то заметишь, что там среди прочего перечислено шифрованное хранилище.
А еще там есть корзина, а в корзине — какие‑то файлы. В одном из них (он назывался wtf.dat) лежал длинный ключ, который успешно подошел к разделу с шифрованием.
Видим российские паспорта, кредитки, права и страховые удостоверения.
Пример 6. Стволы
А вот и аккаунт, владелец которого фактически собрал на себя коллекцию готового компромата. Среди уже привычных документов — его автопортреты с разных ракурсов, включая крайне интимные, а также оружие — обычное и позолоченное.
Пример 7. Пиратство
Если ты думаешь, что подкованный по части IT человек относится к защите своих данных намного серьезнее, то ты ошибаешься. Вот учетка на MediaFire, принадлежащая какому‑то русскоговорящему товарищу. Он складирует там пиратский софт и насобирал уже с полсотни программ и утилит.
Дорогой владелец, если ты вдруг сейчас узнал свое добро, обрати внимание на то, что Disk Defrag Ultimate и некоторые другие твои файлы вызывают беспокойство у антивируса. И конечно, беги менять пароли везде где только можно.
Пример 8. Inception
Ну уж хакеры‑то должны что‑то понимать в защите аккаунтов? Должны, конечно, и, скорее всего, понимают. Но привычку снова и снова вбивать в поле «пароль» одни и те же буквы изжить не так‑то просто. Даже когда собираешься складировать файлы типа «картон.txt».
Чего только не нашлось в этом аккаунте на MediaFire: и разные методы заработка, и обучение кардингу, и какие‑то мутные схемы, и материалы для работы в этих схемах, и еще куча самой разной незаконной инфы.
Везде, правда, ноль скачиваний, так что перед нами, вероятно, бэкап. Мы тоже не стали притрагиваться к этим сомнительным россыпям, и тебе не советуем.
Примеры 9 и 10. Спецы по ИБ
Думаешь, это был единичный случай? Вот еще два аккаунта горе‑хакеров на Megaupload. В одном лежат курсы по Metasploit, набор утилит для взлома, какой‑то гайд по веб‑обороне.
А вот кто‑то хранит свои наступательные утилиты: сканер веб‑уязвимостей — Acunetix уже устаревшей версии 10.0 и фреймворк Cobalt Strike.
КАК НЕ СТАТЬ ЖЕРТВОЙ ВЗЛОМА
Думаю, бессмысленно говорить, что все рассмотренные аккаунты не были защищены как следует. Владельцам стоило соблюдать хотя бы базовые правила цифровой гигиены.
Увернуться от целевой атаки может быть проблематично, но большинство взломов — массовые. В их ходе для подбора паролей применяются огромные базы или утечки с разных скомпрометированных сервисов. Для защиты в таком случае достаточно следовать простым рекомендациям.
Главное из них — надежные и, что даже более важно, разные пароли. Для их создания и хранения обычно используют менеджер паролей: 1Password, KeePass, маковский iCloud Keychain и другие, выбирай на свой вкус.
INFO
По статистике на 2020 год, каждый 142-й пароль в мире — 123456.
Двухфакторная аутентификация, хоть и имеет свои ограничения и недостатки, но тоже станет серьезной преградой для желающих подобрать твой пароль. Не пренебрегай ей, если есть возможность, и отдавай предпочтение тем сервисам, где она поддерживается.
Ну и наконец, шифрование — это последний бастион, который защитит важные документы, даже если аккаунт таки взломают. Главное — не ставить на контейнер все тот же пароль и не оставляй его лежать рядом!
При этом сами разработчики облачных сервисов тоже не сидят сложа руки и делают что могут, чтобы обезопасить данные от пользователей. Например, сервисы Google не только время от времени пристают с просьбой добавить второй фактор, но даже без него будут оповещать о попытках доступа к аккаунту, а брутфорс пресекают на корню. Так что остается всего лишь не подрывать и не игнорировать все эти усилия.
WARNING
Материал носит ознакомительный характер и не призывает нарушать неприкосновенность частной жизни. Несанкционированный доступ к информации уголовно наказуем. Автор и редакция не несут ответственности за любой вред, причиненный с использованием информации из этой статьи или в попытках повторить описанные действия.
Владельцы крупных файлообменников совершенствуют защиту данных и обычно предлагают двухфакторную аутентификацию, но вариант с обычными логином и паролем по‑прежнему доступен и широко используется. Играет ли это на руку хакерам? Определенно.
Способов взлома много: фишинг, стилеры, перебор пароля и даже высокотехнологичные атаки на провайдеров и операторов сотовой связи, когда перехватывают коды подтверждения. Но чаще всего применяется метод credential stuffing — когда для входа используются учетные данные из утекших баз. Люди ведь не любят придумывать разные пароли для разных сервисов, а менеджер паролей пока так и остается технологией для продвинутых пользователей.
ПОЧЕМ ЧУЖИЕ ПАРОЛИ?
Конечно же, учетными данными активно торгуют в злачных уголках интернета. Я обошел пять таких местечек, чтобы изучить предложение и цены. В среднем они такие:
- 300–350 долларов за миллион комбинаций логин‑пароль или почта‑пароль;
- 400–500 долларов за миллион комбинаций из корпоративных почтовых ящиков и паролей к ним. Потенциально это наиболее лакомый кусочек для мошенников;
- 250 долларов за миллион комбинаций в «миксованных базах», где могут попадаться любые домены.
И конечно, вовсю продаются стилеры, при помощи которых можно завладеть чужими учетками. Например, стилер AZORult стоит 100 долларов, а UFR Stealer всего в районе 20–50.
ЧТО В ОБЛАЧКЕ ЛЕЖИТ
К нам в руки попало несколько учетных записей, подобных тем, что продаются на подпольных форумах. Они были отобраны специально, поэтому все они открывались и во всех из них что‑нибудь да лежало. Сейчас мы с тобой заглянем туда. Естественно, исключительно в исследовательских целях. Заходя в аккаунты, я лишь делал скриншоты, чтобы продемонстрировать типичное содержимое.
Пример 1. Заброшка
Перед нами аккаунт Dropbox, созданный в Германии. Внутри две папки: одна пустая, в другой — фотографии автомобилей и документов, вероятно связанных с повреждениями этих автомобилей. Всего 161 снимок; последнее изменение датируется ноябрем 2020 года.
Взломщику или шантажисту здесь ловить, скорее всего, нечего, к тому же никакой активности на этом аккаунте уже давно нет, а значит, вероятно, он заброшен. Как, по всей видимости, и добрая половина продающихся учеток.
Почему люди забрасывают свои хранилища? Причин может быть множество, но самая распространенная — это забытый пароль и нежелание копаться с его восстановлением. Зато личные данные продолжат там лежать годами.
Пример 2. Чужие паспорта
Снова Dropbox, и содержимое на этот раз более занимательное.
Речь, конечно, не о фотографиях владельца, рассекающего снег на сноуборде. Речь — о целом складе документов, явно принадлежащих не ему и не членам его семьи.
Сложно сказать, как владелец аккаунта собрал все это и с какой целью хранит. Возможно, он имел на это полное право. Но неприятно здесь другое: мысль о том, что сканы твоего паспорта или водительского удостоверения могут попасть (и регулярно попадают) в руки людям, которые не слышали об элементарных мерах безопасности.
Пример 3. Кредитка
Закинуть в Dropbox фотографии вечеринок — вполне нормальная идея. А вот добавлять к этой коллекции кредитную карту, да еще и сфотографированную с обеих сторон... мягко говоря, не очень.
В той же папке лежал ворох документов хозяйки и действующий QR-код группы в WhatsApp. Правда, всего с одним участником. Заглядывать я постеснялся.
Пример 4. Платный акк
В этом аккаунте на Dropbox не было бы ничего примечательного, не будь он оплачен на год вперед. При этом практически не использовался — занято всего 3,6 Гбайт из 2 Тбайт.
Похоже, акк просто забыт, и хакер может использовать его любым креативным способом.
Пример 5. Пароль в корзине
Сервис под названием pCloud не особенно известен, но и такие встречаются в базах скомпрометированных аккаунтов. Примечательно здесь вот что: если ты отвлечешься от чужих фотографий из отпуска и присмотришься к панели слева, то заметишь, что там среди прочего перечислено шифрованное хранилище.
А еще там есть корзина, а в корзине — какие‑то файлы. В одном из них (он назывался wtf.dat) лежал длинный ключ, который успешно подошел к разделу с шифрованием.
Видим российские паспорта, кредитки, права и страховые удостоверения.
Пример 6. Стволы
А вот и аккаунт, владелец которого фактически собрал на себя коллекцию готового компромата. Среди уже привычных документов — его автопортреты с разных ракурсов, включая крайне интимные, а также оружие — обычное и позолоченное.
Пример 7. Пиратство
Если ты думаешь, что подкованный по части IT человек относится к защите своих данных намного серьезнее, то ты ошибаешься. Вот учетка на MediaFire, принадлежащая какому‑то русскоговорящему товарищу. Он складирует там пиратский софт и насобирал уже с полсотни программ и утилит.
Дорогой владелец, если ты вдруг сейчас узнал свое добро, обрати внимание на то, что Disk Defrag Ultimate и некоторые другие твои файлы вызывают беспокойство у антивируса. И конечно, беги менять пароли везде где только можно.
Пример 8. Inception
Ну уж хакеры‑то должны что‑то понимать в защите аккаунтов? Должны, конечно, и, скорее всего, понимают. Но привычку снова и снова вбивать в поле «пароль» одни и те же буквы изжить не так‑то просто. Даже когда собираешься складировать файлы типа «картон.txt».
Чего только не нашлось в этом аккаунте на MediaFire: и разные методы заработка, и обучение кардингу, и какие‑то мутные схемы, и материалы для работы в этих схемах, и еще куча самой разной незаконной инфы.
Везде, правда, ноль скачиваний, так что перед нами, вероятно, бэкап. Мы тоже не стали притрагиваться к этим сомнительным россыпям, и тебе не советуем.
Примеры 9 и 10. Спецы по ИБ
Думаешь, это был единичный случай? Вот еще два аккаунта горе‑хакеров на Megaupload. В одном лежат курсы по Metasploit, набор утилит для взлома, какой‑то гайд по веб‑обороне.
А вот кто‑то хранит свои наступательные утилиты: сканер веб‑уязвимостей — Acunetix уже устаревшей версии 10.0 и фреймворк Cobalt Strike.
КАК НЕ СТАТЬ ЖЕРТВОЙ ВЗЛОМА
Думаю, бессмысленно говорить, что все рассмотренные аккаунты не были защищены как следует. Владельцам стоило соблюдать хотя бы базовые правила цифровой гигиены.
Увернуться от целевой атаки может быть проблематично, но большинство взломов — массовые. В их ходе для подбора паролей применяются огромные базы или утечки с разных скомпрометированных сервисов. Для защиты в таком случае достаточно следовать простым рекомендациям.
Главное из них — надежные и, что даже более важно, разные пароли. Для их создания и хранения обычно используют менеджер паролей: 1Password, KeePass, маковский iCloud Keychain и другие, выбирай на свой вкус.
INFO
По статистике на 2020 год, каждый 142-й пароль в мире — 123456.
Двухфакторная аутентификация, хоть и имеет свои ограничения и недостатки, но тоже станет серьезной преградой для желающих подобрать твой пароль. Не пренебрегай ей, если есть возможность, и отдавай предпочтение тем сервисам, где она поддерживается.
Ну и наконец, шифрование — это последний бастион, который защитит важные документы, даже если аккаунт таки взломают. Главное — не ставить на контейнер все тот же пароль и не оставляй его лежать рядом!
При этом сами разработчики облачных сервисов тоже не сидят сложа руки и делают что могут, чтобы обезопасить данные от пользователей. Например, сервисы Google не только время от времени пристают с просьбой добавить второй фактор, но даже без него будут оповещать о попытках доступа к аккаунту, а брутфорс пресекают на корню. Так что остается всего лишь не подрывать и не игнорировать все эти усилия.
