company_banner

Сколько стоит взломать почту: небольшой анализ рынка хакеров по найму



    Адрес электронной почты — ключевой элемент защиты личных данных. На него часто завязаны другие учетные записи пользователя. Завладев чужим e-mail, злоумышленник в состоянии восстановить или сбросить пароли связанных со взломанной учеткой сервисов. Если человек не использует двухфакторную аутентификацию (2FA), то он практически беззащитен. Двухфакторная аутентификация тоже не панацея, но здесь киберпреступнику потребуются дополнительные усилия — нужно перевыпустить SIM-карту или перехватить код аутентификации. Реализовать перехват достаточно сложно, поскольку коды обычно присылают в SMS или приложении-аутентификаторе.


    Скриншот одного из сайтов, предлагающих услуги по взлому почтовых аккаунтов
    Как бы там ни было, взлом почтовых ящиков — востребованная услуга. Интересно, что часто ее заказывают не прожженные преступники, а подозрительные супруги или влюбленные. Муж или жена просто хотят быть в курсе онлайн-переписки своей половинки, поэтому заказывают взлом. Используют подобную возможность и конкуренты по бизнесу — ведь при успешном взломе можно получить доступ к секретам соперника.

    Взлом почтового ящика в терминологии ИБ считается «таргетированной» или «целевой» атакой. Такими вещами занимается государственная разведка вроде АНБ и ГРУ, но есть и черный рынок услуг для простых смертных, где можно заказать взлом любого ящика за скромную плату. Это рынок «хакеров по найму» (hack-for-hire). Он активно процветает в РФ, поскольку здесь, в отличие от западных стран, за такие мелкие преступления не грозит уголовная ответственность.

    Несмотря на популярность, инфраструктура этого рынка не слишком хорошо изучена. О том, как работают эти хакеры и насколько большую угрозу они представляют, известно мало. Но подробности постепенно появляются. Так, относительное небольшое исследование рынка провела Ариана Мириан из Калифорнийского университета в Сан-Диего. Результаты опубликованы на конференции «WWW'19: The World Wide Web Conference» и в научном журнале «Communications of the ACM» (December 2019, Vol. 62 No. 12, Pages 32-37, doi: 0.1145/3308558.3313489).

    Сколько стоит такая услуга?


    Команда проекта выявила и изучила 27 розничных сервисов по взлому учетных записей электронной почты. Большинство услуг рекламировалось на русском языке. Стоимость услуги — от $23 до $500 за один аккаунт. Дешевле всего получить доступ к ящикам российских провайдеров. Западные стоят дороже, а взлом аккаунтов Facebook и Instagram обойдётся чуть дешевле, чем Yahoo и Gmail.

    Цены на взлом почтовых ящиков и аккаунтов. Иллюстрация: Калифорнийский университет Сан-Диего
    При помощи подставных учетных записей Ариана Мириан связалась с исполнителями и заказала взлом учеток подставных «жертв». На каждом аккаунте была включена двухфакторная аутентификация по SMS.

    Методика проведения эксперимента


    Эксперимент неплохо продумали. Каждый из ящиков электронной почты, задействованных в исследовании, наполнили из базы электронных писем Enron. Кроме того, участники проекта создали веб-страницы, рекламирующие небольшой бизнес, которым владела или где работала жертва.

    Домены купили с аукциона, чтобы обеспечить историю каждой подставной личности. Через базу WHOIS эту веб-страницу связали с адресом электронной почты жертвы, а также с адресом электронной почты вымышленного партнера. В общем, исследователи продумали и реализовали качественные «ловушки» для определения всех векторов атаки.

    Дополнительно были созданы страницы в Facebook для каждой жертвы, чтобы узнать, будут ли хакеры использовать их в своих атаках. Все элементы на странице Facebook были приватными (сторонний пользователь не смог бы увидеть эти элементы), за исключением профиля с указанием веб-страницы жертвы (как реклама бизнеса).

    Активность каждого почтового ящика автоматически логировалась. Благодаря помощи Google удалось получить логи любой активности входа в Google-аккаунты жертв. В этих логах записаны попытки входа в учетную запись и IP-адреса, попытки брутфорса, а также активация двухфакторной аутентификации при подозрительной попытке входа.

    Наконец, анализировался весь сетевой трафик на сайт каждой из «жертв». Если злоумышленник заходил на сайт со страницы Facebook, это отражалось в записи трафика.

    Действия хакеров, которые пытались взломать аккаунты, отслеживались в течение нескольких недель. На деле оказалось, что некоторые «взломщики» — обычные мошенники, которые брали оплату и ничего не делали. Другие брали оплату постфактум, то есть соглашались на получение денег в случае успешного взлома. Но и они, получив задание, ничего не предпринимали. Исследователи отмечают также, что «работа с клиентами» у сервисов по взлому e-mail организована крайне слабо: кто-то вообще не отвечает на запросы, кто-то отвечает, но с большой задержкой.

    Результаты


    Только 5 из 27 хакеров стали выполнять условия задачи, поставленной заказчиком.



    Эксперимент и логи позволили изучить схему действий, которую злоумышленники используют для взлома аккаунта. В каждом из пяти случаев, когда хакеры брались за выполнение задания, захват аккаунта завершался «успехом», но только благодаря содействию исследователя.

    Злоумышленники тем или иным образом приводили «жертву» к фишинговой странице, где нужно было ввести пароль или код двухфакторной аутентификации от своей учетки. Участники проекта действовали как обманутые пользователи и вводили все необходимые данные. После этого хакеры бодро рапортовали об успехе.

    Интересно, что ни один наемный киберпреступник не пытался брутфорсить учетки, не было обращений к учетным записям на Facebook или к электронной почте партнера. Один из пяти исполнителей отправил жертве вредоносный исполняемый файл по почте. Остальные использовали фишинг в качестве основного вектора атаки.

    Приманки, которые использовали хакеры для фишинга: письма якобы от Google (выделены зеленым), государственной службы (красным), из банка (оранжевым), от незнакомца (темно-синим) или от знакомого человека (голубым). Крестик соответствует успешному взлому аккаунта. В правой колонке указано количество писем. Иллюстрация: Калифорнийский университет Сан-Диего

    Пример поддельного письма из суда. Иллюстрация: Калифорнийский университет Сан-Диего

    Фишинговая страница, похожая на окно ввода пароля Gmail. Источник: Калифорнийский университет Сан-Диего
    Все атаки начинались с письма-приманки от авторитетной организации или лица. Это должно было успокоить жертву и привести ее к необходимому действию — переходу по ссылке на фишинговый ресурс. Злоумышленники использовали разные подставные фигуры: знакомого человека жертвы, крупный банк, незнакомца, государственную организацию и Google. К письму прилагалось изображение или фишинговая ссылка.

    В среднем злоумышленники отправили 10 сообщений в течение 25 дней, используя разные предлоги, как показано на диаграмме выше. Самый популярный прием — подделать письмо Google, затем следуют письма от партнеров и подставные e-mail от незнакомцев.

    Нажав на фишинговую ссылку, жертва попадает на целевую страницу, которая выглядит как страница входа в аккаунт Google. После ввода пароля открывается страница с запросом на ввод кода 2FA. Все взломщики, которые получили доступ к учетной записи, достигли желаемого при помощи фишинга. Никаких особенно сложных технических приемов и изощренных атак не было.

    Как не стать жертвой киберпреступников


    Любой почтовый ящик можно взломать, если жертва проявит неосторожность и перейдет по фишинговой ссылке. Возможно, профессионалы при условии острой необходимости или крупного вознаграждения способны взломать учетку без фишинга, но в ходе исследования подобные методы не использовались. Конечно, здесь и сама выборка была не очень большой.

    Чтобы защитить себя и родственников от подобных атак, специалисты рекомендуют использовать для 2FA аппаратный USB-ключ безопасности, а также быть внимательными — это стандартная рекомендация.

    Предпринимают меры по защите пользователей и поставщики услуг электронной почты. Компания Google ввела дополнительную эвристику при логине пользователя. Также определяются и блокируются попытки автоматического входа в систему. К слову, после этих действий Google два сервиса по взлому, к которым ранее обращались исследователи, подняли цену на свои услуги вдвое.
    Selectel
    ИТ-инфраструктура для бизнеса

    Похожие публикации

    Комментарии 48

      –1
      Как не стать жертвой киберпреступников

      Если переписка важна, то надо просто пользоваться электронной подписью, чтобы обеспечить целостность и аутентификацию переписки, и шифрованием контента переписки. И пусть кто-нибудь посторонний попробует прочитает вашу переписку. Всего-то требуется наличие личных сертификатов у участников переписки.

        +9
        Ничего страшного, в слеующем фишинговом письме попросят вставить в поле ввода свой приватный ключ.
          +1

          Интересно, как он вставится, если он хранится на токене с неизвлекаемыми закрытыми ключами? А?

            +9

            Пожалуйста, вышлите токен бандеролью.

              0

              Это вопрос к производителям!
              Да, и вы адрес забыли указать!
              Вам как выслать Почтой России или нарочным?

                +5

                Думаю, оптимально будет в соответствии с RFC 1149.

                  0

                  Пошел за голубями ...

          0
          требуется наличие личных сертификатов

          Или доступ к компьютеру жертвы, который можно получить через программы доступа к удаленному столу. Бонусом, если в ЭЦП будут с лишком (как это часто бывает) загружены права, можно ещё знатно испортить жизнь.

          Так что это усложняет процесс, но не панацея.
          +1
          А почему смс? Разве не лучше authy / google authentificator?
            +5
            лучше конечно-же. Исследователям еще стоило бы изучить сколько стоит в РФ перехватить СМС с одноразовым паролем… тоже вполне посильные деньги.
            +2
            целевая страница, которая выглядит как страница входа в аккаунт Google

            я правильно понимаю, что те, кто пользуется встроенным в браузер менеджером паролей (а сами свой пароль не помнят), не смогут ввести пароль?
              –11
              за них пароль заботливо введ сам браузер)
                +21

                Нет. Примерно все менеджеры паролей (включая встроенный в браузер) не предложат заполнить поля при несоответствии URL.

              +11

              Данная статья нифига не полная без услуг, когда за сравнительно небольшие деньги добрые дяди из мвд или фсб пошлют запрос в условный майл.ру и те сами все выложат куда надо.

              0
              Есть еще услуги по получению архива всех писем почтового аккаунта. Интересно как злоумышленники его получают?
                +2

                Сотрудник МВД, ФСБ или СБ провайдера почты.

                +8
                Когда-то я искал «взломщика почты». Думал, что мне это надо. Обратился к нескольким «конторам» и к нескольким «частникам». Все предлагали в качестве доказательства скриншот страницы почтовика. На проверку «я высылаю с неизвестного вам ящика письмо с кодом, вы называете мне этот код» почему-то никто не соглашался.
                  +4
                  в качестве доказательства скриншот страницы
                  Ну, такое «доказательство» любой школьник знакомый с Chrome Devtools сделать может)
                    –1
                    Ага, а код вы откуда узнаете?
                  +1
                  Что-то мне эти исследователи кажутся излишне самоуверенными. Они даже не рассмотрели вариант, что кто-то из тех, кто «не стал ничего предпринимать», ознакомившись с подставленной «личностью», распознал ловушку. Или что кто-то в гугле, «согласившемся сотрудничать», продал информацию об эксперименте знакомым хакерам, а то и сам был адресатом предложения. Тогда логично, что они получили самые простые варианты атак от самых беспонтовых хакеров.
                    +5
                    Человеку, способному взломать почту гугла чисто техническими средствами, нет необходимости заниматься этим за какие-то пару сотен долларов. Такую дыру можно продать за хорошие деньги, при этом никак не нарушая закон и ничем не рискуя. Например, самому гуглу. Или, если гугл встанет в позу — какому-нибудь конкуренту гугла для черного пиара.

                    А если какой-то одинокий гений умеет ломать вообще всё что видит, хоть почтовые сервера, хоть фейсбук, хоть инстаграм, за право его забрать в свой отдел безопасности будут драться все, от FAANG до банков.
                      +2
                      А если какой-то одинокий гений умеет ломать вообще всё что видит, хоть почтовые сервера, хоть фейсбук, хоть инстаграм, за право его забрать в свой отдел безопасности будут драться все, от FAANG до банков.


                      Или всякие трехбуквенные дяди принимают его и говорят «или в камеру к петухам на кукан — или сидишь в кабинете и работаешь на благо Родины за большое спасибо».
                        +1

                        CIA и NSA?

                          +9
                          Да хоть и ФБР — слышал историю как несколько лет назад какого-то кардера приняли в Стамбуле по заданию ФБР. Тот был гражданином какой-то типа культурной страны и стал гнуть пальцы и дерзить сердитым дядям, отказался разблокировать свое оборудование. Не вопрос, приняли его на территории Турции по формальной предъяве от турецкой полиции, повезли и показали как допрашивают тех же курдских бойцов в турецких тюрьмах. Как-то после показа кардер понял, что тут права человека так, подтереться и забыть, сник и убрал все блокировки. Так что считать с Вашей стороны, что американская гебуха чем-то лучше русской — мягко говоря, наивно. Аутсорсинг тюремных услуг никто не отменял.
                            0
                            Ректальный криптоанализ из суровых девяностых :)
                          0
                          земеля, походу тебе пора заканчивать с гей-порно, вона как фантазия разыгралась…
                          0
                          Человек способный сделать тул для взлома почты может продать этот тул другому человеку, способному анонимно его использовать и зарабатывать на ищущих по чуть-чуть, но много-много раз.
                        +1

                        В начале поста есть ссылка на статью по взлому амазона и эплов, но как то не понял как угоняют gmail без 2FA. Если там привязан телефон им нужно перехватить СМС во время процедуры восстановления.

                          +1
                          Если жертву убедить скачать и запустить вредоносную программу на своём компьютере, то в случае gmail, увы 2FA не поможет. Пароль будет изменён, будет привязан другой телефон, а самое главное — даже push уведомления о происходящих действиях жертве не придёт.
                            0
                            А можно подробнее?
                          +2
                          Т.е. если не вестись на фишинговые ссылки, или всегда вводить неверный пароль при первой попытке входа — дальше и пытаться не будут?
                            0

                            еще вариант-предложить взломать почту, а затем шантажировать передачей информации об этом тому, чью почту хотели взломать.

                              0
                              Смысл? Неужели заказчик будет писать со служебного аккаунта аля «v.pupkin@gremlin.ru»?
                              А на письмо:
                              «Здравствуйте, я хакер которому И.Кузнецов (или D.Smith, для англоязычных пользователей) заказал взлом Вашей почты...»
                              я, например, отреагирую нажатием кнопки «в спам» (даже если знаю Ваню Кузнецова), т.к. регулярно и без того приходит спам от всяких Вер, Надежд и Любовей с предложением куда-то перейти или что-то скачать.
                              0
                              В общем, если пользователь не лох, то почти невозможно взломать его почту. Альтернатива перехвата SMS это завести новый номер, который не будет нигде светится и к нему привязать все ценные сервисы которые требуют 2SA.
                                +1

                                Новый номер на свои личные данные зарегистрируем?

                                  –1
                                  На твои.
                                    +2

                                    Сообщи мне когда привяжешь к моему номеру "все свои ценные сервисы"

                                0
                                А как предполагается обходить привязку к IP? Гугл же вроде бы ругается с нового IP вход и вроде бы даже смс просит отправить
                                  +2
                                  Могу рассказать, как недавно большое число более или менее крупных русскоязычных блоггеров взломали. Им высылали на почту программу, которую нужно прорекламировать. Они качали эту программу себе на компьютер, далее эта программа отключала двухфакторную аутентификацию. Google отправляли письмо про отключение аутенфикации на почту, но если данное письмо быстро удалить, то почему-то даже push уведомление на телефон не приходит. Далее быстро меняется пароль и происходит привязка на новый номер телефона (Google с доверенного ПК позволяет это сделать без отправки СМС на старый номер телефона), при этом не приходит даже уведомления (письмо быстро удаляется, google почему-то тогда опять ничего не высылает). В итоге человек лишается почты и своего youtube канала и ему приходится около недели через google поддержку ждать восстановления своего канала. Если канал был маленьким (намного меньше 100k подписчиков) и не был подключён к партнёрской сети, то бывает ждать приходится около месяца (один ждал 3 месяца), так как google поддержка отвратительно работает.
                                  0
                                  Любой почтовый ящик можно взломать, если жертва проявит неосторожность и перейдет по фишинговой ссылке.

                                  Достаточно ли простого перехода по ссылке?..
                                    0
                                    Перейдет по фишинговой ссылке, введет свои логин, пароль, код из смс и продолжит бездействовать.
                                    Насколько я понимаю, после фишинговой «смены пароля», т.е. прохождения фишинговых форм — любой адекватный человек попытается зайти в аккаунт с новыми учетными данными и не сможет. И сразу же, в ту же минуту забьет тревогу.
                                      0
                                      а если использовать сервис типа Яндекс.ДНС+Яндекс браузер + DNSCrypt — этого будет достаточно чтобы не попасть на ссылку из фишингового письма?
                                      0
                                      bash.im/quote/406043

                                      Заголовок спойлера
                                      Коннект: Слушай, мож мы родственники?
                                      ALEXA: думаешь???
                                      Коннект: Ну, может дальние. Какая девичья фамилия была у твоей матери?
                                      ALEXA: *енко
                                      Коннект: О, у тебя 8 новых писем )
                                      ALEXA: в смысле???
                                    • НЛО прилетело и опубликовало эту надпись здесь
                                        +2
                                        Возможно имеется ввиду, что никто их не ищет, никаких уголовных дел за взлом почты ни на кого не заводят. Вот ни разу о таком не слышал.
                                        • НЛО прилетело и опубликовало эту надпись здесь
                                            0

                                            Это было 10 лет назад. Возможно, что-то поменялось с тех пор? Всё-таки тут не только взлом ящика, но и шантаж с требованием выкупа.

                                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                      Самое читаемое