Центр исследования компьютерной преступности

Юридическая клиника «Защита прав обманутых вкладчиков»

home контакты

Киберпреступность - жертва взлома даже и не догадывается о случившемся

Дата: 08.08.2007
Источник: Kommersant.ru
Автор: Анна Артамонова


hack/hacker16.jpg ... не сам.

При грамотном подходе опытный "писатель" составит текст с учетом поднятых на странице тем и в стиле владельца блога или же немного отредактирует уже существующую тему из недавно вывешенных. Поэтому никто сразу чужака и не заметит. А в результате о "своем" высказывании владелец блога (известный человек) узнает, когда оно уже будет цитироваться в интернете и бумажных СМИ.

Конечно, прайс-листы на взлом корпоративных сетей в интернете не вывешивают. Так что о расценках можно только догадываться.

Сергей Рыжиков, генеральный директор компании "1С-Битрикс": Можно найти дилетанта -- в этом случае стоимость заказа будет варьироваться от $50 до $200, правда, вероятность успеха ничтожно мала. Компетентный же взломщик возьмется за такую работу, если аванс будет не меньше $3 тыс. В особых же случаях цена может доходить до $20 тыс. При этом 100-процентной гарантии успеха никакой взломщик не гарантирует.

По мнению Сергея Рыжикова, в корпоративных войнах основной интерес обычно представляет не доступ к переписке, а данные бухгалтерии или, допустим, отдела маркетинга.

А бывает, что "заказывают" компанию ее бывшие сотрудники.

Soviet[HZ]: К примеру, сотрудник был чем-то обижен при увольнении. На его компьютере или общем сервере компании остались сделанные им документы, которые он не хочет оставлять врагам, вот и "заказывает" свою бывшую фирму. Чаще всего речь идет об удалении каких-то документов.

Поставить на поток услугу взлома корпоративной сети или почтового сервера, по мнению Дмитрия Склярова, нельзя в силу непредсказуемости, а зачастую просто низкой вероятности успеха. Именно поэтому в этой сфере и не существует организованного бизнеса. Подобные заказы могут, конечно, быть приняты и выполняться силами какой-либо легальной или нелегальной компании, но только в качестве побочного заработка.

Вот это - фишинг
Дмитрий Скляров: При грамотно настроенной системе и защите заслать вирус-троян на компьютер корпоративной сети практически невозможно.

Александр Каталов, генеральный директор компании "Элкомсофт": Нормально защищенная система с настроенным и своевременно обновляемым фаерволлом, браузером, антивирусом и т. п. не позволит подцепить даже неизвестный антивирусу троян, вычислит его по особым троянским признакам. Но даже если троян уже засел в системе, она не должна выпустить наружу отправляемую им информацию.

Артур Ляшенко с этими мнениями согласен, однако с оговорками: Все защиты рассчитаны на более или менее стандартные варианты атаки. Однако, если за дело берется не ремесленник, а человек, владеющий делом на уровне искусства, защита не сработает.

Скажем, для атаки будет создан не просто нестандартный, а уникальный троян с учетом специфики системы. Да и не всегда нужно для запуска трояна внедрять его через интернет -- можно просто срежиссировать ситуацию, при которой сотрудник интересующей компании сам загрузит троян в свою корпоративную сеть. Причем даже не догадываясь о том, что он сделал. Вот это и называется искусством фишинга.

Артур Ляшенко: Известен случай, когда утром в Лондоне на парковках возле офисов компаний были кем-то потеряны флэшки. Нашедшие их сотрудники, не долго думая, засовывали устройства в рабочие компьютеры -- видимо, хотели посмотреть, что на них записано. Вот так без особых усилий во многие корпоративные сети проник троян.

Или такой вариант. Топ-менеджеру компании приходит письмо с просьбой зайти на некий сайт. В данном случае письмо вроде настоящее, а не просто "давай познакомимся" или "пупсик, глянь мои фотки". В графе "отправитель" стоит имя знакомого топ-менеджеру человека (можно даже сам мейл проверить), да и содержание вполне по делу, в рамках бизнес-интересов. Почему бы не зайти на страницу с дополнительной информацией (и грамотно прописанным трояном)? Даже если получивший заказ на добычу пароля профессионал не в курсе круга знакомств и интересов сотрудников компании, он может это выяснить, просто познакомившись и пообщавшись с этими людьми на профессиональных интернет-форумах, выставках и т. д. Не все же сводится к одним IT-технологиям.

Кстати, располагая информацией о человеке, письмо-приглашение на страницу с трояном можно даже не присылать. Достаточно узнать, какие сайты человек посещает, а потом найти среди этих сайтов уязвимый и вывесить троян там.

Если известно, что человек пользуется какими-либо общедоступными онлайновыми ресурсами, сравнительно плохо защищенными и часто "собранными" на скорую руку, то пароль входа в эти ресурсы с большой долей вероятности можно выяснить.

А поскольку люди зачастую для простоты пользуются одним паролем, можно использовать его для доступа к другим ресурсам, содержащим ценную информацию.

Александр Занис, партнер американской компании Adrecom Inc. (интернет-решения в области электронной коммерции): Зачастую ресурсы, запущенные совсем недавно, написаны с использованием старых версий соответствующих инструментов. И вскрыть доступ к странице с регистрационными данными пользователя может любой мало-мальски квалифицированный IT-специалист со знанием SQL.

В поля форм для регистрации или авторизации вводится кусок SQL-запроса, который нивелирует проверку подлинности и открывает доступ к регистрационным данным (SQL ejection).

Затем мошенник меняет указанный в профиле пользователя адрес мейла на свой и делает запрос с просьбой выслать "потерянный" пароль. Интернет-ресурсами с подобными прорехами могут являться онлайновые издания, блоги, сообщества, сайты знакомств, форумы и т. д.

Артур Ляшенко: Единственное спасение -- если каждый пользователь в корпоративной сети будет мыслить как системный администратор, тогда система станет неуязвимой. Но это, конечно, невозможно.

Ключ от квартиры, где деньги лежат

Если похищение пароля к почте или мейлу может стать лишь косвенной причиной каких-либо потерь, то кража пароля доступа к интернет-кошельку или банковскому счету сулит прямые материальные убытки.

Евгения Завалишина: Наиболее частые приемы, к которым прибегают мошенники,-- это либо взлом компьютера с помощью вирусов-троянов, позволяющих получить все пароли пользователя, хранящиеся на компьютере, от всех электронных кошельков и почтовых логинов, либо фишинговые письма, предлагающие пользователю ввести свой платежный пароль на специально созданной странице. Мы постоянно обращаем внимание пользователей на то, что компания "Яндекс.Деньги" никогда не присылает писем иначе, чем в ответ на запросы в службу поддержки. Невнимательность и наивность по-прежнему остаются главной причиной любых проблем.

Артур Ляшенко: В мире интернет-андеграунда какое-то время назад установилось разделение труда. Троян скачивает абсолютно все логины и пароли, которые пользователь вводит на конкретном компьютере, и высылает своему хозяину. В итоге у владельца трояна скапливаются тысячи записей (логов). Сам он ими не занимается, а продает другим "узким специалистам".

Покупатели логов могут специализироваться на самых разных видах мошенничеств. Если речь идет о похитителях денег из интернет-кошельков, то мошенники, разбирая купленные логи, выберут по определенным признакам логины и пароли, относящиеся к соответствующей тематике. А потом попытаются увести деньги. Еще не так давно такой фокус можно было провернуть и со всеми банками, предоставляющими возможность управления счетом через интернет. Однако сейчас многие банки практикуют использование дополнительных одноразовых паролей, список которых выдается пользователю. Причем пароли принимаются только в последовательности, указанной в списке. То есть, пока, допустим, пароль N2 не будет использован, пароль N3 не сработает. Но и эту предосторожность воры уже научились обходить. Пользователь заходит на страницу банка, забивает пароль, сидящий в его компьютере троян имитирует отказ в авторизации и предлагает ввести другой пароль. Пользователь пытается войти в систему по второму паролю -- сработало, доступ к счету получен. Вот только получен он именно вводом первого пароля, а второй пароль из списка, на самом деле еще не использованный, попадает в руки воров.

Или другой, вроде бы надежный вариант, когда необходимый для дополнительного ввода одноразовый пароль высылается на мейл пользователя в момент авторизации по основному паролю. Считается, что перехватить его не успеют. Как показывает практика, успевают.

Единственная на сегодняшний день более или менее эффективная защита пользователя, по мнению Артура Ляшенко,-- это двухфакторная аутентификация. То есть когда каждый из двух одновременно вводимых паролей поступает по разным каналам. Один, допустим, приходит на мейл, а второй -- на мобильный телефон. Или второй пароль генерируется специальным устройством, напоминающим калькулятор (выдается пользователю банком). Однако многие отечественные банки двухфакторную аутентификацию пока не вводят, считая, что это им слишком дорого обойдется.

Если тупыми кражами по мелочи из интернет-кошельков сегодня уже никого не удивить, то следующий вид мошенничества Артур Ляшенко считает, так сказать, трендом для интернет-андеграунда. Разбирая купленные логи, полученные в основном от пользователей из США, мошенники стали все чаще натыкаться на пароли к личным счетам/портфелям в брокерских конторах. Украсть эти деньги или акции очень трудно. Даже имея доступ к ним, максимум, что можно сделать,-- это лишь напакостить пользователю, проведя ту или иную невыгодную операцию. Но это в том случае, если имеешь доступ всего лишь к одному брокерскому счету. А если их тысячи, то, консолидировав чужие активы на миллионы долларов, можно провести настоящую биржевую операцию. Допустим, сыграть на понижение или повышение акций какой-то...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2009 Computer Crime Research Center

CCRC logo
Рассылка новостей