История одного взлома и результат работы отдела «К»

Злоумышленник, перехватив трафик, получил доступ к информации об электронной почте. Наблюдая за перепиской, обнаружил зарегистрированный на эту почту домен, который принадлежал небольшой компании. Попытка получить контроль над веб-сайтом компании сопровождалась заявлением в отдел «К», который затем несколько месяцев разыскивал злоумышленника, а под Новый год, для выполнения плана, успешно закрыл дело. А теперь обо всем и подробнее…


Утечка информации


Как и большинство таких историй, эта история началась с утечки информации об учетной записи электронной почты. Предположительно, источником утечки стала точка доступа Wi-Fi в одной из гостиниц Санкт-Петербурга. Адрес электронной почты, информацию о которой получил злоумышленник, принадлежала небольшой московской фирме.

Исследование


Доступ к почте и наблюдение за перепиской обеспечило злоумышленника дополнительной информацией, среди которой кроме внутренней информации о деятельности компании и личной информации о директоре компании, стала информации о домене компании, который был зарегистрирован на адрес этой электронной почты.

Получение доступа


Воспользовавшись системой восстановления пароля, злоумышленник получил реквизиты доступа к FTP веб-сайта компании. Скопировав всю информацию, злоумышленник решил создать копию этого веб-сайта с целью получения прибыли от размещаемой на ней рекламы. Так как сайт компании существовал с 2003 года, на домене уже успело накопиться достаточное для получения прибыли значение индекса цитирования. Для воровства этого индекса, злоумышленник изменил размещаемый на сервере компании файл robots.txt. Именно это изменение и было замечено владельцем веб-сайта компании.

Обнаружение


Обратившись в службу поддержки хостинга (Хостинг-Центр) была получена информации о логах доступа к веб-сайту через FTP, как оказалась Хостинг-Центр хранит логи только за 3 последних месяца. Но полученной информации из логов стало достаточно для обнаружений IP-адреса злоумышленника. Судя по поведению злоумышленника, он обладал не особо большим опытом работы за компьютером, сравнимым с опытом владельца веб-сайта компании.

Заявление в милицию


Полученная информация легла в основу заявления в ГУВД г. Москвы, как оказалось, заявления такого характера принимаются только лишь на Петровке. В заявление кроме выше изложенной информации было упомянуто об ущербе, который компания получила в результате пропадания домена из поисковых систем. Заявление сопровождалось копией логов доступа хостинга веб-сайта компании с указанием несанкционированной активности, связанной с копированием и изменением информации. Некоторая информация имеет подтверждение авторского права.

Судьба заявления


Заявление пролежало на Петровке 30 дней, после чего заявителю сообщили о переносе заявления по месту нахождения хостинга. После еще нескольких недель рассмотрения заявления, оно было переадресовано в Санкт-Петербург по месту нахождения IP-адреса злоумышленника. После получения заявления следователем местного отдела «К» с заявителем связались для уточнения ряда вопросов, а также попросили заполнить бланк показаний и выслать его почтой. Показания были датированы 22 декабрем 2010 года. Отправлено письмо было 23 декабря, а как стало известно из недавнего письма, 24 декабря 2010 года дело было закрыто из-за отсутствия состава преступления.

Дело закрыто


На руках у заявителя имеется недавно полученное письмо с информацией о паспортных данных злоумышленника, адрес его регистрации в Санкт-Петербурге и номер договора с Невалинком, услугами которого пользовался злоумышленник для доступа в Интернет. Странным остается тот факт, что сразу после перевода дела в Санкт-Петербург копия веб-сайта на домене злоумышленника была изменена на другое содержимое.

Надеюсь, что правоохранительные органы, хотя бы изъяли компьютер злоумышленника, пускай и для своих нужд, но в этом наверняка убедится пострадавший директор небольшой московской фирмы, навестив злоумышленника по указанному адресу регистрации в Санкт-Петербурге.
Share post

Comments 78

    +161
    Дочитав последнее предложение, злоумышленник быстро собрал все необходимое и выбежал из своего пристанища, бросив за собой зажженную зажигалку в уже заготовленную дорожку пороха. Яркая вспышка огня осветила путь негодяю, идущему среди снежного ада в неизвестную даль, чтобы продолжать свое гнусное дело…
      +88
      … В одной руке он держал свой багаж, а другой набирал коммент на Хабре, нервно оглядываясь по сторонам.
        +42
        вскоре он добрался до очередной незащищенной wi-fi точки и продолжил свои грязные инсинуации на хабре…
          +59
          потом он надел свой плащ и волшебную шляпу
            +29
            На шляпе золоченым вензелем красовалась К…
              +24
              И странная надпись «вАлшебник»
                +27
                И на этом закончилось зарабатываение плюсов у вышеветочных авторов.
                  –25
                  Но не закончилась история об этом человеке. Потом он взял багаж и поехал на центральный автовокзал. Купив билет на отходящий автобус в Иваново, он быстро побежал к платформе. Когда он сел на свое место, достал iPod 4G и надел наушники. Он включил спокойную Симфонию №5 и слушал весь альбом всю дорого. Когда он вышел с автобуса, на улице начался дождь. У него небыло зонта и он использовал пакет, натянув его на голову. Он направился в глубинку. Он пришел домой, а дома его ждала жена и двое детей. Он поставил багаж на пороге и сказал жене: — Я тебя люблю!
                    +15
                    Хватит, плюсов больше не будет
                      0
                      I see what you did here.
              +1
              Джет?
          +12
          Остап Бендер шел через границу. Под дорогими шубами наброшенными на плечи он прижимал к себе ноутбук и gsm-роутер… Перед глазами маячил Рио-Де-Жанейро, розовая мечта детства…
          • UFO just landed and posted this here
          +13
          Так это… взяли «хакера» на крючок =). Он им теперь будет миллионы по е-мейлу слать ;).
          • UFO just landed and posted this here
              –7
              Откуда вы знаете что злоумышленник сам не является девушкой?
                +3
                Откуда вы знаете что-то о сексуальной ориентации злоумышленника?
                  –3
                  Об ориентации тоже спросите shatimi. Он откуда-то уже всё разузнал, хоть и только намекает в тексте.
                0
                Обнаженные девушки злоумышленника на руках у заявителя — это что-то.
                0
                Надеюсь, что правоохранительные органы, хотя бы изъяли компьютер злоумышленника, пускай и для своих нужд, но в этом наверняка убедится пострадавший директор небольшой московской фирмы, навестив злоумышленника по указанному адресу регистрации в Санкт-Петербурге.
                Думаете что изменение контента на сайте это их заслуга?
                  0
                  на самом деле было сделано все о чем просили в заявлении:
                  Прошу принять меры по выявлению личности злоумышленника, приведению его к ответственности за совершеннее преступления, попадающего под статью 272 УК РФ («Неправомерный доступ к компьютерной информации»). А также прошу пресечь незаконное распространения моей интеллектуальной собственности, размещаемой по адресу "********" в сети Интернет без моего согласия.

                  Факт беседы злоумышленника с милицией гарантирован на 99%, т. к. время передачи дела в Питер и изменение содержимого «зеркала» совпадает!
                • UFO just landed and posted this here
                    0
                    Добавили директиву «Host» и запретили индексацию для поисковых систем директивой «Disallow».
                      0
                      Другими словами оригинал сделали зеркалом копии?
                        +1
                        Именно так, и еще заменив на копии всю контактную информацию.

                        Существует так же предположение, что ранее на оригинальном сайте компании размещались платные рекламные ссылки, но это предположение не подкреплено данными из-за отсутствия улик, т.е. в данном случае отсутствия подробных логов доступа к FTP у хостинга за период более 3-х месяцев. Доступ к веб-сайту у злоумышленника был около 6 месяцев, однако основную активность он проявил лишь в конце августа 2010 года.
                        0
                        Не шарите — не умничайте
                      +1
                      Спросить у Autorun
                        0
                        гуглите «склейка тиц»
                        +4
                        Он снифал WiFi трафик и вошел на FTP без использования VPN/socks, как я понял?
                        Не мог ли договор быть оформлен на дропа и быть пойман совершенно другой (подставной) человек?
                          0
                          Ваша версия вполне могла стать основой для другой истории, но не для этой.
                          Договор мог быть оформлен на кого угодно, но провайдеры предоставляют доступ в Интернет для конкретного адреса, тем более, когда дело касается постоянного IP-адреса. Общая статистика обращений к FTP показывает постоянные обращения с одного и того же IP-адреса на протяжении 6 месяцев.
                          Еще одним аргументом против вашей версии является тот факт, что несколько соединений было сделано не из Питера, а из места основного жительства (указано в паспортных данных) злоумышленника. Скорей всего злоумышленником является студент одного из питерских ВУЗов, потому как доступ из другого города был зафиксирован в летние каникулы.
                          Факт, что жилье снимается и скорей всего несколькими студентами возможен, кроме того возможно, что человек указанный в договоре провайдера и подозреваемый в злодеяниях является лишь другом основного злоумышленника. Но факт их общения подтверждает смена контента веб-сайта, в процессе проведения следственных мероприятий питерским отделом «К».
                          В любом случае на ваши вопросы я постараюсь ответить, когда станут известны результаты поездки в Питер для выяснения обстоятельств на месте.
                            0
                            Извините, но скорее автор является студентом, если только в эту сторону смотрит и в таком сообщении явно порочит имя «СТУДЕНТА». Ещё бы добавили знаменитое «студент недоучка младших курсов, решивший поживиться чужим трудом».
                            У людей существует такое понятие как отпуск и большинство старается его брать именно летом — когда тепло. А каникулы и у школьников бывают.
                            Так же странно что «недавно полученное письмо». По тексту получается, что данные паспорта высланы после закрытия дела, а на каком тогда основании?
                            Короче считаю, что ломать и портить чужое конечно плохо, но за общение с паблик вайфая в гостинице по корпоративному мылу вообще на кол сажать надо — так что послужит уроком на будущее.
                            Ну и отдельный респект отделу «К» за ещё одно "закрытое раскрытое дело".
                              0
                              Мог быть и школьником, но каникулы у школьников начинаются раньше и на их паспорта не оформляется договор с провайдером. В слово «студент» вкладывались оба смысла, в том числе и указанный вами, наивное поведение злоумышленника у меня лично вызывает лишь насмешку.

                              Полученное письмо является ответом на заявление с результатами проведенной проверки. Кроме того, заявитель имеет полное право ознакомиться с делом после соответствующих процедур. Письмо было получено менее недели назад, следовательно, никаких дальнейших действий пока не предпринималось (насколько мне известно, я не являюсь участником сего происшествия, просто наблюдаю за происходящим).

                              Что же касается «корпоративного мыла», тот тут требуется уточнение — адрес электронной почты находится на бесплатном сервисе. Конечно же, при использовании почты были проигнорированы основы безопасности, об этом есть в заметке (спасибо, что вы это выделили) и сделано это специально для того, чтобы другие не попадали в похожие ситуации.
                                0
                                Ну тогда да… Жалко, что наши «студенты-недоучки» в большинстве трафик публичный тырят, а забугорные создают успешные социалки и софт…
                          +5
                          Эхх, научили скрипт-кидисов вафля-снифферами пользоваться. Кража диалапных логинов\паролей часть вторая…
                            0
                            С диалапом все было гораздо проще, ведь основную работу по пресечению кражи Интернета выполняли провайдеры, формируя черные списки телефонов, с которых осуществлялся доступ к сети.
                            К сожалению, провайдером WiFi может стать любой желающий, даже тот, кто совсем не разбирается в информационной безопасности.
                            0
                            Не смешите. Органам не нужен его компьютер. Наверно просто позвонили ему и решили вопрос полюбовно. Однако вам совет — писать жалобу на возобновление дела.
                              +2
                              Пишите жалобу в прокуратуру, если считаете прекращение уголовного дела неправомерным. С большой долей вероятности дело вернётся не к тому следователю и могут быть подвижки
                                +2
                                Бедный паренек отстегнул бабла следователю — так происходит в 99% случаев, в тюрьме сидят только бедные, либо совсем зарвавшиеся, либо попавшие туда по «палочному» принципу.
                                  0
                                  из личного опыта информация?
                                    0
                                    Не из лично, слава богу, но знакомые попадали на такого рода фигню. Знакомые из института кое что провернули, пришли следоки из «К», забрали все компьютеры, после «заноса» $10 000 долларов дело было закрыто по той же резалюции, что и выше. За один день, как и выше.
                                      0
                                      Газеты и блоги почитывайте иногда. Сидят за кражу мешка картошки или какой-то другой ерунды. Те кто крадет лимонами и ярдами сидят, но в правительстве и в органах:) Короче говоря, чем большую сумму денех ты украдешь, тем меньше вероятность, что тебя реально посадят.
                                        0
                                        Недавно посадили мужика на три года за вырубку деревьев на 10 000 рублей.
                                          +2
                                          Ходорковский рыдает, читая этот текст…
                                            0
                                            … а Чичваркин лишь загадочно улыбается.
                                              0
                                              Тельман Исмаилов далеко и ему смешно.
                                              –1
                                              Т.е. Ходорковский первый и последний вор в стране что ли? Их десятки и сотни.
                                                0
                                                Тысячи и миллионы, если смотреть правде в глаза.
                                                Но коммент про Ходорковского относился к этому:
                                                чем большую сумму денех ты украдешь, тем меньше вероятность, что тебя реально посадят.
                                                  0
                                                  Неужели вы настолько глупы, что думаете, что его посадили из за украденных денег?;)
                                        +2
                                        Бедный сосед с кривонастроенной WiFi точкой, чьи паспортные данные теперь на руках у заявителя.
                                          +21
                                          2 года назад меня сильно избили. Будучи в больнице, написал заявление, и предоставил документы на вещи которые пропали — ноут, телефон, куча перефирии к ноуту и немного наличности.
                                          На след. день мне сообщили, что на месте найдена куртка нападавшего, так как я ее сильно измазал кровью, и он ее скинул, что бы не привлекать внимание.
                                          Потом сообщили, что по куртке, собака взяла след, и привела к дому, где тот снимал комнату у какой то бабули.
                                          Бабуля сообщила паспортные данные его.
                                          Кроме того, этот молодец додумался сэкономить, и позвонил по межгороду, своему другу с моего мобильника.
                                          К другу тут же выехал наряд, и тот рассказал все что касалось этого человека.
                                          Потом сообщили, что один из ментовских стукачей уведомил, что чувак пытается толкнуть ноут.
                                          Далее мне сообщили, что мое дело передано другому следователю.
                                          Новая следователь меня вызвала, я ответил на несколько вопросов.
                                          Итог: у них его паспортные данные, и на прицеле его знакомый — уже 2 года его самого поймать не могут(или не хотят). Дело не закрывается, но на любые мои вопросы и возмущения ответ — «ищем его».
                                          А вы говорите отдел К…
                                            –2
                                            А я не понял, как именно он перехватывал трафик?
                                              +2
                                              C этой же мыслью и началась бурная жизнь у персонажа из истории.
                                                0
                                                Нет, я о том, что персонажем такой истории может стать любой из нас, если какой-то студент удаленно может перехватывать трафик. Вот мне и интересно, как именно происходил перехват трафика.
                                                  0
                                                  а вы не передавайте пароли в не защищенном виде, и ничего страшного не случится, даже если вы работаете на не шифрованном wifi

                                                  на вскидку то я даже не знаю кто сейчас так делает, ну только ftp, а все более менее серьезные сервисы пароли по https передают
                                                    0
                                                    Если бы только пароли нужно было хранить от чужого взгляда…

                                                    А вообще,
                                                    1. mail.ru, например, не поддерживает https вообще, соответственно, у неё всё плейн текстом ходит (им вообще похрен на безопасность?)
                                                    2. Если есть возможность перехватывать трафик, то, может быть, возможно читать почту, даже не заходя на ящик? А если так, то можно сменить\сбросить пароль на многих эккаунтах, потому что для этого часто достаточно кликнуть по ссылке, которая в письме пришла
                                                      0
                                                      Ко мне соседи часто через вайфай ходят. У меня открытая точка доступа. Вот что можно сделать:
                                                      Если сосед зашел, например, на одноклассники или вконтакте или куда-либо еще, можно подставить куки и использовать его аккаунт. Айпи ведь один и тот же, единственное — это различия в браузерах может быть, но их же никто не логирует, верно?
                                                      Плюс перехвата трафика в том, что можно с соседями перезнакомиться.
                                                        0
                                                        Это понятно, но тут совсем другой случай. Взломщик в питере, жертва в москве. Как взломщик умудрился подглядывать за трафиком? Трояна только подкинуть? Или есть другие способы?
                                                          0
                                                          Так взломщик сниффал трафик в гостинице, я думаю. Для того, чтоб сниффать трафик открытой точки доступа, не нужно быть ее владельцем.
                                                            0
                                                            Об этом явно в топике написано
                                                            Предположительно, источником утечки стала точка доступа Wi-Fi в одной из гостиниц Санкт-Петербурга.
                                                        0
                                                        Я вообще не люблю Mail.ru, но так врать тоже не стоит. SSL вполне поддерживается — www.mail.ru/pages/help/81.html. Вы ведь его имели ввиду когда говорили https?
                                                          +1
                                                          Ваша ссылка битая. «Страница, которую вы запросили, отсутствует на нашем портале.
                                                          Возможно, вы ошиблись при наборе адреса или перешли по неверной ссылке.».

                                                          Однако, если вы имели в виду secure.mail.ru, то да, я его тоже нашел с час назад :) Но это не спасает от просмотра трафика, ибо весь веб интерфейс ходит открыто.

                                                          Кстати, поп3 тоже открыто ходит и там вообще нет никакой возможности зайти секьюрно.
                                                            0
                                                            Там точку в конце надо убрать.
                                                            Да, действительно, какой то бред с веб интерфейсом у них. К счастью я уже давно использую mail.ru исключительно как спам-коллектор :)
                                                            Что касается pop3… «Киддисы» за 10-15 лет таки научились снифать трафик в wifi, может пора и пользователям начать использовать современные технологии? Я лично вообще «эстет», мне подавай MAPI/OWA, но на крайняк вполне можно использовать Secure IMAP, у нормальных хостеров почты он уже давно есть. И работать гораздо удобнее и безопасно.
                                                            Как выше было замечено, столкнуться с такими проблемами можно только если совсем наплевательски относиться к своей безопасности.
                                                              0
                                                              Вряд ли тут по файфай трафик снифали, потому что взломщик в питере, а жертва в москве. Вайфай так далеко не дотягивается. Вот мне и интересно, каким именно образом был произведен взлом.
                                                                +1
                                                                Так статью почитайте.
                                                                «Предположительно, источником утечки стала точка доступа Wi-Fi в одной из гостиниц Санкт-Петербурга. „
                                                                  0
                                                                  Спасибо :) Надо же, прям под носом ответ был. Но пока не ткнули, не заметил. :(
                                                          0
                                                          Можно читать все, что не шифруется и проходит через точку. Человек прочитал письмо и написал ответ. Это все будет в траффике в открытом виде.
                                                            0
                                                            Ладно mail.ru, вопрос — почему хабр https не поддерживает?
                                                            (Вопрос риторический.)
                                                              0
                                                              вот ответ, хотя риторический вопрос его не подразумевает ) Прочитайте ветку комментов, ссылка на первый.
                                                    0
                                                    >как оказалась Хостинг-Центр хранит логи только за 3 последних месяца
                                                    логи должны храниться пять лет… но кураторы фсб допускают хранение логов в течении трёх лет…
                                                    устриц ел.

                                                    >Надеюсь, что правоохранительные органы
                                                    надейся и жди…
                                                      0
                                                      Был я в Питерском отделе «К». Писал заявление, дал им мыло, IP и логи злоумышленника. Отдел послал меня, что совершенно меня не удивило.
                                                        +3
                                                        Я тоже как-то пришел с заявлением в котором было 3 ip адреса, обращения к некоему сервису, засвеченых с украденного у меня накануне айфона. Принес все, что нужно imei, sn аппарата и логи с ip адресами. Мне ясно дали понять, всем, кто этим занимается пофигу, что я принес. Мне открытым текстом посоветовали, что поскольку я не сын какогонить галимого чиновника, то это дело просто затеряется и я потрачу уйму своего личного времени. Этим мне глаза не открыли, единственное пожалел о том, что потратил на это полдня. Хотя изначально пошел ради интереса, как это будет.

                                                        Вы правда думаете, что нужны своей стране и она о вас заботится о вашей безопасности?
                                                          –2
                                                          Простите, но, похоже вы зашли в вип-отдел по борьбе с преступностью для юридических лиц. Отдел для физических лиц находится по другому адресу.
                                                          +1
                                                          Предлагаю по образцу отделов «К» и «Э» создать отдел «Ы» для борьбы с маразмом.
                                                            +1
                                                            Для борьбы с маразмом нужно перестать исповедывать принцип nobody cares и научится быть обществом, способным требовать от властей и госструктур исполнения своих обязанностей.
                                                            И уж точно не нужно создавать еще одну госструктуру.
                                                            0
                                                            У нас в стран всё через жопу, так что напишите президенту. Авось поможет.

                                                            Only users with full accounts can post comments. Log in, please.