Салют, друзья! Сервисы вроде Яндекс.Диск, Google Drive или Dropbox — несомненно удобное изобретение: можно всегда иметь под рукой нужные файлы. Но если не заботиться о безопасности, то это удобство обернется для вас утечкой важных личных данных.
В этой статье я наглядно покажу, как облачные хранилища и файлообменники превращаются в объекты хакерских атак, позволяя похитить важные документы и собрать материал для шантажа.
❌ Отказ от ответственности: Этот материал носит ознакомительный характер и не призывает вас к нарушению неприкосновенности частной жизни. Помните, что несанкционированный доступ к информации уголовно наказуем. Я не несу ответственности за любой вред, причиненный с использованием информации из этой статьи или в попытках повторить описанные мной действия.
Конечно, владельцы крупных файлообменников совершенствуют защиту данных и обычно предлагают двухфакторную аутентификацию, но вариант с обычными логином и паролем по‑прежнему широко используется людьми. Играет ли это на руку хакерам? Однозначно да.
Способов взлома множество: фишинг, стилеры, перебор пароля и даже высокотехнологичные атаки на провайдеров и операторов сотовой связи, при которых перехватываются коды подтверждения. Тем не менее, чаще всего применяется метод credential stuffing — при котором для входа используются учетные данные из утекших баз. Вы же понимаете, люди ведь не любят придумывать разные пароли для разных сервисов, а менеджер паролей, о котором я упоминал в статье за 30 мая, пока так и остается технологией для продвинутых пользователей.
Сколько стоят чужие пароли?
Конечно же, учетными данными активно торгуют в темных уголках интернета. Я знаю о таким местах и изучил для вас предложения и цены. В среднем они такие:
300–350 долларов за миллион комбинаций логин‑пароль или почта‑пароль;
400–500 долларов за миллион комбинаций из корпоративных почтовых ящиков и паролей к ним. Потенциально это наиболее лакомый кусочек для мошенников;
250 долларов за миллион комбинаций в «миксованных базах», где могут попадаться любые домены.
Впрочем, бывает как дешевле, так и дороже. Еще чаще попадаются сами слитые базы, но разгребать гигантские дампы — отдельное и непростое занятие.
В тех же местах можно приобрести стиллеры и другой софт, который поможет вам завладеть чужими данными. Цены на любой кошелек — от 30 до 500+ долларов
Что в чужом облаке лежит?
В моих в руках оказалось несколько учетных записей, подобных тем, что продаются на подпольных форумах. Предлагаю провести небольшую экскурсию и заглянуть в них. Естественно, исключительно в исследовательских целях :)
Пример 1. Заброшка
Перед нами аккаунт Dropbox, созданный в Германии. Внутри две папки: одна пустая, в другой — фотографии автомобилей и документов, вероятно связанных с повреждениями этих автомобилей. Всего 161 снимок; последнее изменение датируется ноябрем 2020 года.
Хакеру или шантажисту здесь ловить, скорее всего, нечего, к тому же никакой активности на этом аккаунте уже давно нет, а значит, вероятно, он заброшен. Как, по всей видимости, и добрая половина продающихся учеток.
Почему люди забрасывают свои хранилища? Причин может быть множество, но самая распространенная — это забытый пароль и нежелание копаться с его восстановлением. Зато личные данные продолжат там лежать годами.
Пример 2. Чужие паспорта
Снова Dropbox, и содержимое на этот раз более, чем интересное.
Речь, естественно, не о фотографиях владельца, рассекающего на сноуборде. Речь — о целом складе документов, явно принадлежащих не ему и не членам его семьи.
Сложно сказать, как владелец аккаунта собрал все это и с какой целью хранит. Возможно, он имел на это полное право. Но неприятно здесь сосвсем другое: мысль о том, что сканы вашего паспорта или водительского удостоверения могут попасть (и регулярно попадают) в руки людям, которые не слышали об элементарных мерах безопасности.
Пример 3. Кредитка
Закинуть в Dropbox фотографии вечеринок — вполне нормальная идея. А вот добавлять к этой коллекции кредитную карту, да еще и сфотографированную с обеих сторон… мягко говоря, не очень.
В той же папке лежал ворох документов хозяйки и действующий QR-код группы в WhatsApp. Правда, всего с одним участником. Заглядывать я постеснялся)
Пример 4. Платный акк
В этом аккаунте на Dropbox не было бы ничего примечательного, не будь он оплачен на год вперед. При этом практически не использовался — занято всего 3,6 Гбайт из 2 Тбайт.
Похоже, акк просто забыт, и хакер может использовать его любым креативным способом.
Пример 5. Пароль в корзине
Сервис под названием pCloud не особенно известен, но и такие регулярно встречаются в базах скомпрометированных аккаунтов. Примечательно здесь вот что: если вы отвлечетесь от чужих фотографий из отпуска и присмотритесь к панели слева, то заметите, что там среди прочего перечислено шифрованное хранилище.
А еще там есть корзина, а в корзине — какие‑то файлы. В одном из них (он назывался wtf.dat) лежал длинный ключ, который успешно подошел к разделу с шифрованием.
Видим российские паспорта, кредитки, права и страховые удостоверения.
Мораль: корзину нужно иногда выбрасывать, а если кинули туда что‑то важное, то лучше и очистить сразу.
Пример 6. Стволы
А вот и аккаунт, владелец которого фактически собрал на себя коллекцию готового компромата. Среди уже привычных документов — его автопортреты с разных ракурсов, включая крайне интимные, а также оружие — обычное и позолоченное.
Пример 7. Пиратство
Если вы думаете, что подкованный по части IT человек относится к защите своих данных намного серьезнее, то вы ошибаетесь. Вот учетка на MediaFire, принадлежащая какому‑то русскоговорящему товарищу. Он складирует там пиратский софт и насобирал уже с полсотни программ и утилит.
Дорогой владелец, если ты вдруг сейчас узнал свое добро, обрати внимание на то, что Disk Defrag Ultimate и некоторые другие твои файлы вызывают беспокойство у антивируса. И конечно, беги менять пароли везде где только можно.
Пример 8. Inception
Ну уж хакеры‑то должны что‑то понимать в защите аккаунтов? Должны, конечно, и, скорее всего, понимают. Но привычку снова и снова вбивать в поле «пароль» одни и те же буквы изжить не так‑то просто. Даже когда собираешься складировать файлы типа «картон.txt».
Чего только не нашлось в этом аккаунте на MediaFire: и разные методы заработка, и обучение кардингу, и какие‑то мутные схемы, и материалы для работы в этих схемах, и еще куча самой разной незаконной инфы.
Везде, правда, ноль скачиваний, так что перед нами, вероятно, бэкап. Я не стал притрагиваться к этим сомнительным россыпям, и вам не советую.
Примеры 9 и 10. Спецы по ИБ
Думаете, это был единичный случай? Вот еще два аккаунта горе‑хакеров на Megaupload. В одном лежат курсы по Metasploit, набор утилит для взлома, какой‑то гайд по веб‑обороне.
А вот кто‑то хранит свои наступательные утилиты: сканер веб‑уязвимостей — Acunetix уже устаревшей версии 10.0 и фреймворк Cobalt Strike.
Как не стать жертвой взлома?
Думаю, нет смысла говорить, что все рассмотренные аккаунты не были защищены должным образом. Владельцам стоило соблюдать хотя бы базовые правила цифровой гигиены.
Увернуться от целевой атаки может быть проблематично, но большинство взломов — массовые. В их ходе для подбора паролей применяются огромные базы или утечки с разных скомпрометированных сервисов. Для защиты в таком случае достаточно следовать простым рекомендациям.
✅ Главное из них — надежные и, что даже более важно, разные пароли. Для их создания и хранения обычно используют менеджер паролей, о лучшем из них я уже рассказывал в статье за 30 мая.
✅ Двухфакторная аутентификация, хоть и имеет свои ограничения и недостатки, но тоже станет серьезной преградой для желающих подобрать ваш пароль. Не пренебрегайте ей, если есть возможность, и отдавайте предпочтение тем сервисам, где она поддерживается.
✅ Ну и наконец, шифрование — это последний бастион, который защитит важные документы, даже если аккаунт таки взломают. Главное — не ставить на контейнер все тот же пароль и не оставлять его лежать рядом!
При этом сами разработчики облачных сервисов тоже не сидят сложа руки и делают что могут, чтобы обезопасить данные от пользователей. Например, сервисы Google не только время от времени пристают с просьбой добавить второй фактор, но даже без него будут оповещать о попытках доступа к аккаунту, а брутфорс пресекают на корню. Так что остается всего лишь не подрывать и не игнорировать все эти усилия.
АКАDЕМИЯ. НАБОР
Свободные места:
◾️Тариф «С поддержкой»: 9 мест из 10
◾️Тариф «VIP»: 4 места из 5
5 курсов: Безопасность, Хакинг, Социальная Инженерия, OSINT, Монетизация. (+ дополнительный раздел BlackHat, подробности в ЛС)
Более 60 лекций с новыми знаниями.
6 недель интенсивного обучения.
Собственная образовательная среда.
⚡️ Я расскажу вам ВСЕ, от А до Я, а после обучения у вас будет выбор: пойти туда, куда интересно именно вам.
🔥 Что может быть лучше, чем заниматься тем, что нравится и с каждым днём совершенствоваться? Ничего. Никакая офисная работа рядом даже не станет.
✅ Это ваша возможность поменять свое мышление, свою жизнь и получить новую профессию без всяких мусорных дипломов.
🌐 Узнать все подробности: hackerplace.org
💸 По вопросам покупки и организационным моментам пишите моей помощнице: @Hommie_hpa
⚙️ По техническим вопросам: @Bloody_hpa
Opmerkingen