Pull to refresh

История одного взлома и результат работы отдела «К»

Reading time 3 min
Views 10K
Злоумышленник, перехватив трафик, получил доступ к информации об электронной почте. Наблюдая за перепиской, обнаружил зарегистрированный на эту почту домен, который принадлежал небольшой компании. Попытка получить контроль над веб-сайтом компании сопровождалась заявлением в отдел «К», который затем несколько месяцев разыскивал злоумышленника, а под Новый год, для выполнения плана, успешно закрыл дело. А теперь обо всем и подробнее…


Утечка информации


Как и большинство таких историй, эта история началась с утечки информации об учетной записи электронной почты. Предположительно, источником утечки стала точка доступа Wi-Fi в одной из гостиниц Санкт-Петербурга. Адрес электронной почты, информацию о которой получил злоумышленник, принадлежала небольшой московской фирме.

Исследование


Доступ к почте и наблюдение за перепиской обеспечило злоумышленника дополнительной информацией, среди которой кроме внутренней информации о деятельности компании и личной информации о директоре компании, стала информации о домене компании, который был зарегистрирован на адрес этой электронной почты.

Получение доступа


Воспользовавшись системой восстановления пароля, злоумышленник получил реквизиты доступа к FTP веб-сайта компании. Скопировав всю информацию, злоумышленник решил создать копию этого веб-сайта с целью получения прибыли от размещаемой на ней рекламы. Так как сайт компании существовал с 2003 года, на домене уже успело накопиться достаточное для получения прибыли значение индекса цитирования. Для воровства этого индекса, злоумышленник изменил размещаемый на сервере компании файл robots.txt. Именно это изменение и было замечено владельцем веб-сайта компании.

Обнаружение


Обратившись в службу поддержки хостинга (Хостинг-Центр) была получена информации о логах доступа к веб-сайту через FTP, как оказалась Хостинг-Центр хранит логи только за 3 последних месяца. Но полученной информации из логов стало достаточно для обнаружений IP-адреса злоумышленника. Судя по поведению злоумышленника, он обладал не особо большим опытом работы за компьютером, сравнимым с опытом владельца веб-сайта компании.

Заявление в милицию


Полученная информация легла в основу заявления в ГУВД г. Москвы, как оказалось, заявления такого характера принимаются только лишь на Петровке. В заявление кроме выше изложенной информации было упомянуто об ущербе, который компания получила в результате пропадания домена из поисковых систем. Заявление сопровождалось копией логов доступа хостинга веб-сайта компании с указанием несанкционированной активности, связанной с копированием и изменением информации. Некоторая информация имеет подтверждение авторского права.

Судьба заявления


Заявление пролежало на Петровке 30 дней, после чего заявителю сообщили о переносе заявления по месту нахождения хостинга. После еще нескольких недель рассмотрения заявления, оно было переадресовано в Санкт-Петербург по месту нахождения IP-адреса злоумышленника. После получения заявления следователем местного отдела «К» с заявителем связались для уточнения ряда вопросов, а также попросили заполнить бланк показаний и выслать его почтой. Показания были датированы 22 декабрем 2010 года. Отправлено письмо было 23 декабря, а как стало известно из недавнего письма, 24 декабря 2010 года дело было закрыто из-за отсутствия состава преступления.

Дело закрыто


На руках у заявителя имеется недавно полученное письмо с информацией о паспортных данных злоумышленника, адрес его регистрации в Санкт-Петербурге и номер договора с Невалинком, услугами которого пользовался злоумышленник для доступа в Интернет. Странным остается тот факт, что сразу после перевода дела в Санкт-Петербург копия веб-сайта на домене злоумышленника была изменена на другое содержимое.

Надеюсь, что правоохранительные органы, хотя бы изъяли компьютер злоумышленника, пускай и для своих нужд, но в этом наверняка убедится пострадавший директор небольшой московской фирмы, навестив злоумышленника по указанному адресу регистрации в Санкт-Петербурге.
Tags:
Hubs:
+38
Comments 78
Comments Comments 78

Articles