Мыльная история. Как я нанял злого хакера для взлома электронной почты

Од­нажды самый извес­тный в нашей стра­не поч­таль­он по фамилии Печ­кин ска­зал: «Вот до чего быва­ют люди до чужого доб­ра жад­ные!» И он был прав, при­чем не в пос­леднюю оче­редь при­мени­тель­но к поль­зователь­ским учет­кам. За минув­ший год у дво­их моих зна­комых уве­ли акка­унты в наибо­лее популяр­ной рос­сий­ской соц­сети, а еще у тро­их ломану­ли элек­трон­ную поч­ту. И я задумал­ся: а сколь­ко сей­час сто­ит взлом поч­тового ящи­ка и каким обра­зом обыч­но дей­ству­ют зло­умыш­ленни­ки?

Впро­чем, сов­сем не обя­затель­но гадать на кофей­ной гуще, если мож­но про­вес­ти натур­ный экспе­римент. Я решил при­кинуть­ся прос­тым обы­вате­лем и поин­тересо­вать­ся у самих «спе­циалис­тов по взло­му», в какую сум­му они оце­нива­ют собс­твен­ные услу­ги, а заод­но уточ­нить методы, которые они исполь­зуют. Сай­тов, где пред­лага­ется взлом на заказ, в интерне­те пруд пру­ди: скла­дыва­ется ощу­щение, что это не менее вос­тре­бован­ная услу­га, чем ремонт бытовой тех­ники, уста­нов­ка вин­ды или устра­нение канали­заци­онных засоров. Вот и пос­мотрим, нас­коль­ко лег­ко прос­тому парень­ку вро­де меня нанять пер­сональ­ного хакера для взло­ма поч­тового ящи­ка.

Ку­да обра­щает­ся обыч­ный, не обре­менен­ный ин­теллек­том нуж­ными свя­зями поль­зователь интерне­та с зап­росом из серии «взло­мать элек­трон­ную поч­ту сроч­но без SMS регис­тра­ции»? Пра­виль­но, во всез­нающий гуголь. Отпра­вил­ся туда и я. От раз­нооб­разия получен­ных ссы­лок бук­валь­но рябит в гла­зах, да и сай­ты по этим самым ссыл­кам раду­ют инте­рес­ным кон­тентом. Нап­ример, авто­ры вот это­го лен­динга хвас­тают­ся тем, что при взло­ме поч­ты они исполь­зуют «Передо­вые тех­нологии обо­рудо­вания от луч­ших про­изво­дите­лей».

Не знаю, чем их обо­рудо­вал луч­ший про­изво­дитель, — воз­можно, про­фес­сиональ­ные хакеры име­ют в виду, что родаки все‑таки купили им новый ноут за хорошие оцен­ки в прош­лой чет­верти.

А вот нас­тоящий сер­вис по взло­му все­го что угод­но. «Мы груп­па про­фес­сиональ­ных прог­раммис­тов или хакеров если так будет понят­нее, — пишут авто­ры сай­та. — Это поз­воля­ет сок­ращать вре­мя работы над заказом и делать резуль­таты, ког­да баналь­ные при­емы взло­ма не работаю» (ар­фагра­фея ори­гина­ла сох­ранена).

По­нят­нее некуда, осо­бен­но если нуж­но сроч­но делать резуль­таты. Ведь на эту хакер­скую кон­тору, если верить сай­ту, работа­ет «30 спе­циалис­тов име­ющих опыт в раз­личных отраслях соци­аль­ной инже­нирии» — веро­ятно, это спе­циалис­ты, которые получа­ют инжир в рам­ках какой‑то соци­аль­ной прог­раммы. Раду­ют и опуб­ликован­ные на этой домаш­ней стра­нич­ке пра­вила раз­мещения заказа, в час­тнос­ти такое: «Усло­вия сот­рудни­чес­тва с нами: не про­сит встре­че с исполни­телем». Жаль, потому что на встре­че мож­но было бы как минимум подарить исполни­телю орфогра­фичес­кий сло­варик рус­ско­го язы­ка.

А вот еще один сайт, пред­лага­ющий услу­ги подоб­ного рода. Тут все очень серь­езно: под­робно опи­саны виды пред­лага­емых работ, при­веде­ны отзы­вы доволь­ных кли­ентов, име­ется даже прей­ску­рант, из которо­го сле­дует, что дешев­ле все­го взло­мать ящик, зарегис­три­рован­ный на сер­висе Mail.ru, осталь­ные рос­сий­ские про­вай­деры оце­нива­ются дороже, а взлом Gmail и кор­поратив­ных ящи­ков на собс­твен­ном домене так вооб­ще сто­ит целое сос­тояние.

Есть и вов­се смеш­ные «сер­висы», рас­счи­тан­ные, видимо, на людей с мякишем вмес­то голов­ного моз­га: вво­дим в соот­ветс­тву­ющее поле нуж­ный нам адрес элек­тро­поч­ты, жмем кноп­ку «Взло­мать!», пос­ле чего на экра­не появ­ляет­ся забав­ное JS-око­шеч­ко со вся­кими страш­ными над­писями вро­де «готовим сокет про­токо­ла для переда­чи дан­ных», «опра­шива­ем порт канала свя­зи», «уста­нав­лива­ем соеди­нение с астраль­ным поч­товым сер­вером», «пер­вичная ини­циали­зация», «вто­рич­ная эпи­ляция»… Затем, разуме­ется, нуж­но ввес­ти дан­ные бан­ков­ской кар­ты — ина­че никако­го чуда не про­изой­дет.

Но мы люди серь­езные и ответс­твен­ные, поэто­му на подоб­ную ерун­ду не ведем­ся. Да и вооб­ще, опуб­ликован­ные в интерне­те рас­ценки и рек­ламные посулы — это хорошо, но обе­щать — не зна­чит женить­ся. В науч­но‑иссле­дова­тель­ских целях я зарегис­три­ровал на Mail.ru новый поч­товый ящик, сра­зу же под­писал его на нес­коль­ко информа­цион­ных рас­сылок, что­бы он не выг­лядел пус­тым и заб­рошен­ным, пос­ле чего с дру­гого адре­са отпра­вил сооб­щения всем упо­мяну­тым мною хакер­ским сер­висам (и еще трем неупо­мяну­тым, но похожим). Леген­да была прос­тая: эта элек­трон­ная поч­та при­над­лежит моей девуш­ке, с лич­ной перепис­кой которой я очень желаю озна­комить­ся — пря­мо аппе­тит потерял, хочу знать, с кем и о чем она перепи­сыва­ется.

Из пяти отос­ланных сооб­щений на два ник­то не отве­тил, в качес­тве откли­ка на еще одно пос­тупил отлуп от май­лер­демона о том, что ука­зан­ного ящи­ка не сущес­тву­ет. Двое «хакеров» все‑таки удо­сужи­лись чер­кануть мне пару строк. Пер­вый поп­росил за взлом ящи­ка на Mail.ru десять тысяч руб­лей, но с усло­вием пятиде­сятип­роцен­тной пре­доп­латы вне зависи­мос­ти от резуль­тата, что меня, понят­ное дело, не устро­ило.

Вто­рой озву­чил цену в 12 тысяч и сооб­щил, что нуж­на пре­доп­лата, а оста­ток вно­сить толь­ко пос­ле доказа­тель­ства успешно­го взло­ма — скрин­шота содер­жимого инбокса. Пос­коль­ку фотошо­пить скрин­шоты я и сам неп­лохо умею, я сог­ласил­ся на это пред­ложение с неболь­шой ого­вор­кой: я отправ­лю на целевой адрес пись­мо с сек­ретным сло­вом, а взлом­щик приш­лет мне его скрин либо сооб­щит код в перепис­ке. Пре­доп­лату пред­ложил внес­ти через гаран­та, пос­ле это­го потен­циаль­ный исполни­тель заказа ожи­даемо слил­ся.

Не добив­шись успе­ха на пуб­личных сай­тах, я решил заныр­нуть в тем­ные и неиз­ведан­ные глу­бины дар­кве­ба. На одном из хакер­ских форумов нашел­ся тред с пред­ложени­ем услуг по взло­му элек­трон­ной поч­ты. Я отпра­вил авто­ру зап­рос, и тот отклик­нулся — да, взло­мать ящик на Mail.ru воз­можно, сто­имость услу­ги сос­тавля­ет 15 тысяч руб­лей, опла­та за резуль­тат, а для начала необ­ходимо сооб­щить все, что мне извес­тно о вла­дель­це это­го адре­са. Чувс­тву­ется серь­езный и сис­темный под­ход!

Ча­са через пол­тора пос­ле того, как мы уда­рили по рукам, в целевой поч­товый ящик упа­ло пер­вое подоз­ритель­ное сооб­щение.

Пись­мо, что харак­терно, написа­но на англий­ском (видимо, исполни­тель решил понача­лу не замора­чивать­ся) и содер­жало ссыл­ку, по нажатию на которую откры­лась вот такая оча­рова­тель­ная фишин­говая фор­ма, при­чем с забот­ливо вве­ден­ным адре­сом элек­трон­ной поч­ты потен­циаль­ной жер­твы — этот параметр переда­ется стра­нице в адресной стро­ке бра­узе­ра в виде перемен­ной и «спря­тан» в самой ссыл­ке.

Да­же логотип под­тянул­ся соот­ветс­тву­ющий. Ну‑ка, а если мы поменя­ем в URL фишин­говой стра­ницы имя поль­зовате­ля и домен поч­товой служ­бы?

Пот­ряса­юще: логотип меня­ется авто­мати­чес­ки! При этом фор­ма написа­на на обфусци­рован­ном JavaScript, вве­ден­ный в нее пароль, судя по все­му, сох­раня­ется в фай­лик. А вот с наб­ранным наугад доменом, не сов­пада­ющим ни с одним популяр­ным сер­висом бес­плат­ной поч­ты, фор­ма не спра­вилась — под­ходящей кар­тинки в запасе у жулика не наш­лось.

На­вер­ное, какая‑нибудь наив­ная девоч­ка и впрямь мог­ла бы клю­нуть на такую нехит­рую нажив­ку, но я пос­читал, что моя выдуман­ная под­ружка по‑англий­ски не понима­ет, и высоко­мер­но про­игно­риро­вал это пись­мо. Не получив дол­гождан­ный пароль, на сле­дующее утро взлом­щик прис­лал еще одно сооб­щение.

Тут, судя по все­му, пред­при­нята роб­кая попыт­ка адресной фишин­говой ата­ки, но не слиш­ком удач­ная — из пись­ма сле­дова­ло, что получа­тель отпра­вил какой‑то файл сам себе. Не знаю, на что рас­счи­тывал отпра­витель: если адре­сат в сво­ем уме и не стра­дает алко­голь­ной демен­цией, он твер­до зна­ет, что никаки­ми фай­лами с собой уж точ­но не делил­ся.

Тем более URL в адресной стро­ке бра­узе­ра не име­ет ничего обще­го со стрем­ным фай­лооб­менни­ком, стра­ницу которо­го под­делал зло­умыш­ленник, что само по себе выг­лядит край­не подоз­ритель­но. В общем, это пись­мо тоже полете­ло в кор­зину. Одна­ко вско­ре во «Вхо­дящие» упа­ло еще одно.

А вот это уже впол­не себе целевая фишин­говая ата­ка — во‑пер­вых, в пос­лании исполь­зует­ся лич­ное при­ветс­твие и имя «жер­твы», что дол­жно усы­пить ее бди­тель­ность. Во‑вто­рых, я сооб­щил исполни­телю кое‑какую допол­нитель­ную информа­цию о получа­теле, в час­тнос­ти при­думал для моей несущес­тву­ющей девуш­ки мес­то работы и дол­жность (сот­рудни­ца отде­ла пер­сонала), наз­вал имя началь­ницы и луч­шей под­руги. Отпра­витель наконец‑то решил пол­ноцен­но исполь­зовать этот век­тор ата­ки, написав пись­мо от име­ни руково­дитель­ницы получа­теля. При этом он точ­но не знал, как при­нято общать­ся в кол­лекти­ве потен­циаль­ной жер­твы, на ты или на вы, ему неиз­вестен и стиль обще­ния с под­чинен­ной, поэто­му пись­мо написа­но сжа­то, ней­траль­но и без исполь­зования лич­ных мес­тоиме­ний. Отличная работа!

Ес­ли чес­тно, я ожи­дал про­читать оче­ред­ную исто­рию из раз­ряда «срок год­ности вашей учет­ной записи исте­кает, ско­ро она испортит­ся и нач­нет пло­хо пах­нуть, пора поменять пароль» и был при­ятно удив­лен. В пись­ме обна­ружи­лась ссыл­ка на сайт, ими­тиру­ющий онлай­новый таб­личный редак­тор, а там… Ну да, опять фор­ма для вво­да логина и пароля элек­трон­ной поч­ты, без запол­нения которой ты не уви­дишь содер­жимое «таб­лицы».

Собс­твен­но, это пер­вая более‑менее серь­езная попыт­ка при­менить соци­аль­ную инже­нерию — исполни­тель убе­дил­ся, что жер­тва на при­митив­ные ата­ки не реаги­рует, и решил взять­ся за нее всерь­ез. Навер­ное, на мес­те девуш­ки Марии я бы купил­ся на такой хит­рый фишинг. Но я сов­сем не девуш­ка, а злой и повидав­ший некото­рые sheets (в смыс­ле лис­ты Excel) кибер­панк, так что и это пись­мо я тоже про­игно­риро­вал. Фиг с ними, с сот­рудни­ками, пус­кай идут хоть в отпуск, хоть к чер­ту на рога.

Вско­ре я получил сле­дующее сооб­щение. И вновь — попыт­ка тар­гетиро­ван­ной фишин­говой ата­ки с исполь­зовани­ем информа­ции о получа­теле, на сей раз — от име­ни потен­циаль­ного соис­кателя работы.

Ссыл­ка в пись­ме вела на фишин­говый сайт yandeksdisk.org, косящий, как и сле­дова­ло ожи­дать, под Яндекс Диск, при­чем отпра­витель даже не удо­сужил­ся замас­кировать ссыл­ку под нас­тоящую. На этот ресурс меня не пус­тил бра­узер, сооб­щив, что сайт рас­простра­няет вре­донос­ное ПО (кто бы сом­невал­ся!), да и анти­вирус на компь­юте­ре начал истошно кри­чать о заг­рузке тро­яна. Одна­ко я человек донель­зя любопыт­ный и, отклю­чив защиту, все‑таки щел­кнул по ссыл­ке — по это­му URL заг­ружа­ется исполня­емый файл с при­меча­тель­ным рас­ширени­ем .pdf.exe. Впро­чем, даже с отклю­чен­ными пре­дуп­режде­ниями бра­узер все рав­но сооб­щает о том, что внут­ри фай­ла пря­чет­ся вре­донос.

VirusTotal ожи­даемо показал детект это­го при­ложе­ния прак­тичес­ки все­ми акту­аль­ными анти­виру­сами. Судя по все­му, взлом­щик пытал­ся под­сунуть мне RAT с фун­кци­ями кей­лог­гера и уда­лен­ного адми­нис­три­рова­ния.

К сло­ву, пись­мо с вре­донос­ной ссыл­кой успешно прош­ло все филь­тры Mail.ru — воз­можно, потому, что было отправ­лено с обыч­ного поч­тового ящи­ка на дру­гом пуб­личном сер­висе. Для ана­лиза слу­жеб­ных заголов­ков я вос­поль­зовал­ся на­бором инс­тру­мен­тов адми­нис­тра­тора Google — доволь­но полез­ный инс­тру­мент, избавля­ющий от необ­ходимос­ти ковырять­ся в хедерах пись­ма вруч­ную.

Пос­коль­ку пароль жер­тва ата­ки в под­дель­ную фор­му так и не вве­ла и тро­яна на сво­ей машине не запус­тила, на тре­тий день поток фишин­говых писем прек­ратил­ся, а исполни­тель про­пал с радаров.

Вы­воды в резуль­тате про­веден­ного мною бес­человеч­ного экспе­римен­та я сде­лал сле­дующие. Во‑пер­вых, авто­ры раз­мещен­ных в интерне­те стра­ничек с мно­гочис­ленны­ми пред­ложени­ями взло­ма поч­товых ящи­ков — обыч­ные мел­кие жулики, пыта­ющиеся нажить­ся на лопо­ухих заказ­чиках. Во‑вто­рых, дек­лариру­емые на таких сай­тах рас­ценки, как и обе­щания работать без пре­доп­латы, — пол­ная ерун­да, реаль­ные цены ощу­тимо выше, а денег у тебя, ско­рее все­го, поп­росят впе­ред без каких‑либо гаран­тий. В‑треть­их, более‑менее адек­ватно­го исполни­теля мож­но най­ти раз­ве что в дар­кне­те, и там сто­имость подоб­ных услуг начина­ется от 15 тысяч.

Ну и наконец, основной исполь­зуемый сей­час метод взло­ма — соци­аль­ная инже­нерия, при­чем чем боль­ше зло­умыш­ленни­ку извес­тно о жер­тве, тем более тар­гетиро­ван­ной будет ата­ка. При­менять брут­форс, осо­бен­но к ящи­кам, зарегис­три­рован­ным на пуб­личных сер­висах, бес­полез­но чуть менее чем пол­ностью, пос­коль­ку все сов­ремен­ные поч­товые служ­бы име­ют встро­енную защиту от перебо­ра паролей. При­меня­ется, как мы видим, и вре­донос­ное ПО, но зло­деи не замора­чива­ются даже тем, что­бы нак­рыть тро­яна упа­ков­щиком с целью сбить детект, — в резуль­тате вре­донос­ную ссыл­ку бло­киру­ет бра­узер с нас­трой­ками по умол­чанию, а уста­нов­ленный на машине анти­вирус сра­зу же под­нима­ет тре­вогу.

В общем, если ты не наив­ный прос­тачок, безот­ветс­твен­но перехо­дящий по ссыл­кам в поч­товых сооб­щени­ях и вво­дящий свой пароль куда ни попадя, а так­же не отклю­чаешь в сво­ей сис­теме анти­вирус­ную защиту, опа­сать­ся осо­бен­но нечего. Сох­раняй бди­тель­ность, исполь­зуй двух­фактор­ную аутен­тифика­цию, мой руки перед едой и вооб­ще, как пел один популяр­ный исполни­тель, сле­ди за собой, будь осто­рожен. Тог­да ни один хакер никог­да не доберет­ся до тво­ей интимной перепис­ки, как бы он ни ста­рал­ся.