Премия Рунета-2020
Новосибирск
Общество
Эксклюзив kp.rukp.ru
4 октября 2021 13:12

Откровения антихакера: как взломать банк дешевым обедом или брошенным айфоном

Пороки офисных клерков становятся хитрым способом для взлома, который оплачивает их же работодатель
Авторы (2):
Екатерина ИВАНОВА
Русские хакеры (слева) и сибирские антихакеры (справа) используют одни и те же методы, но цели у них разные. Фото: Евгения Гусева // предоставлено компанией Axxtel

Русские хакеры (слева) и сибирские антихакеры (справа) используют одни и те же методы, но цели у них разные. Фото: Евгения Гусева // предоставлено компанией Axxtel

Было такое реалити-шоу на американском ТВ. Парень проверяет верность девушки с помощью подсадного ухажера. Сначала «третий лишний» предлагает встретиться, потом дарит цветы и очаровывает. За всем этим следит скрытая камера. В конце эфира на глазах парня разворачивается настоящая драма — девушка либо соглашается на запретный поцелуй, либо признается: «Я другому отдана и буду век ему верна». То, про что мы сейчас расскажем, очень похоже на это шоу.

В роли недоверчивого парня выступает крупная компания, а «девушкой» становится система безопасности. Владельцы хотят проверить, устоит ли она в случае угрозы или нападения, насколько надежна и вообще стоит ли ей доверять. «Третьим лишним» здесь как раз становятся взломщики. Как это происходит, корреспонденту КП-Новосибирск рассказал новосибирский специалист по информационной безопасности Максим Прокопов. Он и его коллеги работают на крупные фирмы в столице — банки, биржи, энергетические предприятия, авиакомпании. В год у программистов бывает до 30 крупных проектов «на проникновение». Малому и среднему бизнесу такие проверки не по карману. А сама операция — целый детектив. Вот как описывает свою профессию Максим.

СДАЛ КОМПАНИЮ ЗА ОБЕДОМ

— Это легальная история. За деньги мы проверяем системы безопасности, находим тонкие места, чтобы потом указать на них заказчику: вот тут у вас может случиться утечка данных или злоумышленник может получить прямой доступ к системе клиент-банка. Для чего это нужно? Естественно, чтобы сыграть на опережение и не стать добычей хакеров или хитрых конкурентов.

Как происходит взлом? Все начинается со сбора информации. Пентестеры («белые хакеры») находят IP-адреса сотрудников, их почты и так далее. Потом проводят сканирование, анализ защищенности и с помощью специальной программы подбирают пароли для учетных записей. Так, например, через почту или аккаунты сотрудников «шпионы» попадают в систему компании и получают возможность собрать закрытую информацию, например, ключи от банковских счетов. Также специалисты ищут уязвимые места на внешнем периметре компании — и пробуют запускать RCE (удаленное выполнение определенных команд. — Ред.). Проще говоря, перехватывают управление процессами или мешают им. Как в шпионских фильмах, вплоть до отключения сигнализации, замков и камер.

Более сложный способ взлома — социальная инженерия. Метод непростой, но в его основе лежит русская смекалка. Главное — найти проход в систему, используя повседневную жизнь людей. Это может быть поддельное письмо со спрятанным вирусом, которое непременно заинтересует сотрудника компании. К примеру, кто-то из финансового отдела обязательно кликнет по сообщению о задолженности. Только спустя время выяснится, что адресат был липовым — всего лишь двойник службы приставов или налоговой. Про такие «подставы» многие наверняка слышали. Есть и другие примеры, посложнее.

Одна из крупных компаний заказала взлом. Рядом с офисом располагалась столовая, в которой можно было заказать доставку еды по интернету. Мы подделали сайт столовой, объявили корпоративную скидку — и люди стали оставлять свои пароли и почту на поддельном сайте, чтобы сэкономить на ланче. Используя полученные данные, наши специалисты смогли получить доступ в информационную систему заказчика.

Хакеры (слева) могут повредить инфраструктуру компаний, поэтому закон обязывает компании проверять свою защиту. Фото: Евгения Гусева // предоставлено компанией Axxtel

Хакеры (слева) могут повредить инфраструктуру компаний, поэтому закон обязывает компании проверять свою защиту. Фото: Евгения Гусева // предоставлено компанией Axxtel

ПОПАЛИСЬ НА ХАЛЯВУ

— Реже бывают заказы, когда наш сотрудник под видом курьера или посетителя приходит в офис и оставляет бесплатные флешки с «червями». Простой сотрудник возьмет такую флешку, подключит к своему компьютеру и получит вредоносный вирус. В Москве антихакеры оставляли даже айфоны. Жадность побеждает. Кто же откажется от нового телефона? О рисках думаешь в последнюю очередь.

В прайсе есть и другие услуги. По просьбе заказчика можно устроить остановку сервиса, забить канал связи с помощью DDOS-атаки. Это должно вызвать сбой в работе приложения или сайта — тоже проверка на прочность, но без прямого проникновения в сеть заказчика.

Еще мы занимаемся поиском ошибок конфигурации, которые допускают разработчики или владельцы программы. Например, они оставили «форточку», когда доступ к сервису происходит без пароля. Или есть возможность зайти под видом анонимного пользователя и организовать утечку данных. Чтобы этого не произошло, мы должны все проверить.

Будущих антихакеров набирают в НГТУ и переобучают два года. Фото: предоставлено компанией Axxtel

Будущих антихакеров набирают в НГТУ и переобучают два года. Фото: предоставлено компанией Axxtel

ВИРУС ВЫШЕЛ В ЛЮДИ

— Большинство взломов происходит в программах, в цифровом мире. Кажется, что к офлайну взлом вряд ли имеет отношение. Правда, если посмотреть под другим углом… К примеру, хакеры могут обчистить счета конкретных людей — и они лишатся реальных денег. Или взломать ваш аккаунт в соцсети или счета вашего клиент-банка.

Для этого создается фишинговый сайт, полностью имитирующий страницу в соцсети. Вам навязывают ссылку в письме или сообщении, вы кликаете на нее — и попадаете на фейковую страницу. Вводите логин и пароль, данные отправляются в настоящую соцсеть. Она присылает вам SMS с кодом подтверждения, вы вводите его. А потом сайт-обманка забирает код себе (а вам выдает ошибку входа) и получает полный доступ к вашей страничке. Вам могут сообщить, что «сайт не доступен, попробуйте через час». А в это время хакер читает вашу переписку, собирает все нужные ему данные или переводит ваши деньги. Если это сайт продающей компании, то попадает в приложение клиент-банка.

Или, например, злоумышленники могут влезть в систему и остановить автоматику вентиляции в гигантском свинокомплексе — и 20 — 40% свиней могут погибнуть, задохнувшись от испарений своих же отходов. Это уже из мира не виртуального, а реального. Так что вирус в прямом смысле может и украсть, и убить.

Сейчас о безопасности заботится государство. Два года назад вышел Федеральный закон № 187 ФЗ «О безопасности критической информационной инфраструктуры», который обязывает компании проводить комплекс работ по информационной защите систем. Также существуют требования Центробанка по информационной безопасности в банковской сфере. И компании это понимают. Например, каждый банк ежегодно проводит тесты на проникновение. Иначе хакер сможет спровоцировать ЧС или потерю финансов. Вот тут и нужны мы, чтобы максимально избавить таких крупных игроков от рисков.

Через несколько лет ИИ оставит начинающих взломщиков без работы. Фото: предоставлено компанией Axxtel

Через несколько лет ИИ оставит начинающих взломщиков без работы. Фото: предоставлено компанией Axxtel

НА ЗАМЕТКУ

Как защитить соцсети?

Спокойствие больших компаний — дело интересное, но для простого человека не жизненно важное. Другое дело родной Инстаграм. Наш эксперт дал дельные советы, как защитить свой аккаунт.

1. Лучше использовать при регистрации почту, адреса которой нет в открытом доступе.

2. Нужен сложный пароль, который включает большие и маленькие буквы, а также цифры и спецсимволы.

3. Подключите двухфакторное подтверждение входа. Причем пароль лучше получать не в SMS, а в приложении.

4. Если получаете письма от соцсети, нужно проверить в профиле — они должны фиксироваться. И смотрите историю попыток входа — с каких устройств вы входили в аккаунт и нет ли там чужих попыток с чужой геолокацией в списке.

К ЧИТАТЕЛЯМ

Если вы стали очевидцем ЧП или чего-то необычного, сообщите об этом в редакцию:

Редакция: (383) 289-91-00

WhatsApp: 8-923-145-11-03

Почта: kp.nsk@phkp.ru

И не забудьте подписаться на нас в соцсетях:

Вконтакте Одноклассники Фейсбук Инстаграм Твиттер

Также наши сообщества есть в Телеграм и Viber.