Мы решили выяснить, сколько стоит угон личного и корпоративного аккаунтов в соцсетях. Даже больше — попытались его заказать. Заодно изучили публично известные атаки на бизнес, которые были связаны с соцсетями. А еще подготовили рекомендации по защите компании от таких инцидентов (советы капитанские, но напомнить о них стоило).
Дисклеймер >>
Вся информация здесь публикуется исключительно в ознакомительных целях. Мы не несем ответственность за тех, кто заказывает и выполняет хакерские услуги. И не призываем читателей к противоправным действиям.
Сначала деньги
Мы уже рассказывали, что в этом году злоумышленники снизили цены на взлом email. Если верить объявлениям в телеграм-каналах, стоимость доступа к одному чужому ящику сейчас находится в пределах 2-5 тыс. рублей.
Чуть меньше хакеры (или лица, которые ими только представляются) берут за аккаунт в соцсетях. На скрине средние расценки по объявлениям:
Большинство исполнителей указывают стоимость услуг сразу. В остальных случаях нужно связаться со «специалистом» через бота или личный контакт.
Мы пообщались с тремя злоумышленниками напрямую и узнали, что:
цены у них примерно те же, что и в объявлениях с открытыми прайсами (± 500 рублей). Почему они изначально скрывают суммы, осталось для нас большим вопросом (сомнительный маркетинговый ход?),
самая дешевая соцсеть по взлому — Одноклассники, самая дорогая — Фейсбук (запрещен в РФ),
чаще всего заказывают ВКонтакте, услуг по этой площадке тоже больше,
многие уверяют, что работают как с личными, так и с коммерческими аккаунтами. Во втором случае результат гарантируют за небольшую доплату. В итоге одна взломанная страница компании/бренда якобы стоит 5-10 тыс. рублей.
Некоторые злоумышленники даже берутся за аккаунты зарубежных компаний. А еще они делают скидки за заказ оптом и перестают выходить на связь сразу, как только заходит речь о гарантиях или примерах прошлых «работ» (интересно, почему?).
Конечно, за многими объявлениями в телеграм-каналах стоят мошенники. Обычно они просят заказчика перевести аванс, а затем сразу же пропадают с радаров. Тем не менее, даже по такой сомнительной статистике можно сделать главный вывод — взломать соцсети не дороже, чем email. И вероятно, не сложнее.
Как они работают
Здесь мы вас не удивим. Самый дешевый и поэтому наиболее популярный способ получить доступ к чужому аккаунту — фишинг. Жертва получает сообщение от злоумышленника в соцсети, по почте или как-то еще. Важен не формат, а содержимое — ссылка на вредоносный сайт. Дальше жертва переходит по ней и регистрируется, оставляя данные доступа к своему аккаунту.
Именно так за последний год пострадали сотни тысяч пользователей аккаунтов Фейсбука и Инстаграма (запрещены в РФ). Причем количество успешных атак в указанных соцсетях неумолимо растет. В Нью-Йорке число жалоб на захваченные аккаунты за четыре года увеличилось в 10 раз, а в Вермонте — на 740% всего за один год.
Другой популярный способ угона учетных данных — заразить устройство пользователя трояном, кейлоггером или иным зловредом. Сценарий также часто завязан на фишинге. Жертва переходит из сообщения злоумышленника по сомнительной ссылке или открывает зараженный файл. В итоге зловред попадает на устройство пользователя, собирает нужные логины-пароли и передает их будущему хозяину аккаунта. Пример такого ПО — троян Antidot, который обнаружили на Android-устройствах в мае этого года.
Кроме того, для угона учеток от соцсетей хакеры часто используют:
брутфорс и прочие техники подбора паролей. Если говорить про российских пользователей, то успех этого способа равен 65%,
уязвимости в ПО — незакрытые дефекты безопасности позволяют устанавливать вредоносные приложения, с помощью которых можно получить учетные данные к аккаунту сотрудника и компании,
перехват данных посредством общественных сетей Wi-Fi,
использование баз скомпрометированных учеток. Пользователи часто применяют один пароль для разных приложений. Если комбинация уже засветилась в слитых базах, то хакер войдет в аккаунт с ней,
кража хэш-данных и cookies.
И наконец, самые специфичные методы: через приближенных к жертве лиц (коллег, членов семьи и тд.), сотрудников оператора мобильной связи и компании, которой принадлежит соцсеть. Есть данные, что учетные данные выгружают прямо с серверов ВКонтакте — пять лет назад это удовольствие стоило 250-300 тыс. рублей за один аккаунт.
Что теряют компании
Кейс попроще — если угнали данные доступа к личному аккаунту сотрудника. Судя по публичным кейсам, в таких ситуациях компания-работодатель редко бывает конечной целью атаки.
Обычно угоном личных страниц занимаются мелкие мошенники. Их основная задача — быстро воспользоваться аккаунтом, чтобы попросить у друзей жертвы денег или заставить воспользоваться вредоносной ссылкой (в основном с целью завладеть данными банковской карты).
В лайт-версии человек попадает в неловкую ситуацию перед коллегами, которые успели прочитать сообщение злоумышленников или даже передать им деньги. В теории также возможно, что трояны и прочие зловреды могут запуститься на офисных ПК и удаленных устройствах сотрудников, что ставит под удар всю корпоративную сеть компании. К счастью, такое развитие событий сегодня крайне сомнительно. Антивирусы и прочие средства защиты легко обнаруживают угрозу и справляются с большинством зловредов, которое распространяются через соцсети.
В более жестком сценарии жертвой злоумышленника является владелец, топ-менеджер или другое публичное лицо компании. Компрометация его аккаунта приводит к репутационным и финансовым потерям бизнеса.
Вот лишь пара таких историй, о которых вы наверняка слышали:
в сентябре 2023-го хакеры взломали страницу Виталика Бутерина в X (бывший Twitter, запрещен в РФ) — создателя криптовалюты Ethereum. Суммарный ущерб от этой фишинговой атаки оценили в 700 млн долларов,
в 2020 году в той же соцсети увели аккаунты Илона Маска, Джеффа Безоса и других мегапопулярных личностей. За несколько часов злоумышленники заработали более 118 млн долларов.
И, конечно, больше всего бизнес страдает при угоне корпоративного аккаунта в соцсетях. Какую цель преследуют мошенники в таких историях? Чаще всего такую же — возможность быстро заработать на доверии рядовых обитателей соцсети. Публично известные инциденты это подтверждают:
в 2021 году взломали страницу Яндекс Go во ВКонтакте — злоумышленники отправили подписчикам сообщение, в котором рассказывали о фейковом розыгрыше 3 тыс. долларов. Для участия пользователям предлагали ввести данные банковских карт. И хотя компания оперативно вернула контроль над сообществом, некоторые подписчики успели потерять деньги,
точно так же злоумышленники поступили с соцсетями «Уралсиба» в прошлом году. Всем, кто оставил на поддельном сайте платежные данные, банк посоветовал заблокировать карты,
в марте этого года бутик мультибрендовой одежды Crystal лишился аккаунта в Инстаграме (запрещен в РФ), на который было подписано 559 тыс. пользователей. Мошенники продолжили публиковать контент с товарами и предлагать скидки с единственным но — они заменили номер счета оплаты на свой.
Часто злоумышленники шантажируют владельца аккаунта — просят выкуп за возможность восстановить доступ. О каких суммах идет речь на корпоративном уровне и действительно ли хакеры выполняют условия сделки, известно мало.
Еще одна причина взлома коммерческих аккаунтов — PR группировок. Вот, например, в далеком 2017 году хакеры из OurMine взломали соцсети HBO. Ранее схожим атакам подверглись другие телеканалы. В каждом случае злоумышленники публиковали пост, в котором описывали произошедшее и называли себя.
Как защититься
Более половины атак на бизнес происходят по вине сотрудников — уверяют эксперты Positive Technologies. Защититься от взлома их соцсетей и сопутствующих проблем для компании — сложная задача. Но варианты свести угрозы к минимуму есть.
Самые очевидные решения на уровне компании выглядят так:
банальный и грубый метод защиты — ограничить доступ сотрудников к соцсетям на уровне устройств, которые находятся в офисе или подключаются к корпоративной сети извне,
если у компании есть корпоративные страницы, использовать двухфакторную аутентификацию и сложные уникальные пароли, не забывать обновлять их,
зачастую достаточно, чтобы в компании были установлены базовые средства защиты информации: антивирусы, прокси, VPN, DLP (Data Loss Prevention), WAF (Web Application Firewall) и т.д. Они помогут избежать большинства атак с перебором паролей, XSS других возможных угроз,
отслеживать уязвимости корпоративного ПО, своевременно обновлять и по минимуму использовать opensource-продукты,
проводить антифишинговые учения. Здесь важна практика. Проводите тестовые прогоны с фейковыми сообщениями в соцсетях и «опасными» email-рассылками,
усиливать парольную политику: выявляйте сотрудников с уже скомпрометированными паролями (об одном из способов мы недавно рассказывали на Хабре).
Базовые меры безопасности помогут защитить бизнес от атак, которые начинаются с угона соцсетей сотрудников и компании. Но что делать, если инцидент уже произошел? И как будет проходит расследование, если пострадала инфраструктура в стороннем облаке? Подробностями поделимся в 27 июня — на бесплатном вебинаре с Angara Security.