Взлом почты. Эксперименты

 

2. Практические эксперименты

Подготовительные шаги

Для проведения экспериментов пришлось найти и тщательно отобрать несколько внешне независимых «сервисов» по взлому, а также пару «спецов», активно рекламирующих себя на форумах.

Я не буду приводить здесь подробных названий исследованных мною сайтов, равно как ников и координат «хакеров». Прошу прощения, если кого-то это разочаровывает… Но я обычно не делаю этого. И конечно же, не потому, что боюсь «ужасной мести» обиженных хакеров, но исключительно по той причине, что это неэффективно.

Я всегда был против любых «черных списков», и никогда не гонялся за злоумышленниками по сети, с «благородным чувством негодования» и желанием кого-то наказать. Просто потому, что это почти никогда ничего не дает: закрыть мошеннический сайт особого труда не представляет, равно как опубликовать координаты реального или потенциального обидчика, но мошенники с легкостью меняют названия сайтов, ники и координаты, после чего снова обманывают тех, кто привык ориентироваться только по черным спискам. Правильнее с моей точки зрения – обучать людей мыслить самостоятельно, так сказать «стратегически» :-). И тогда им не страшен никакой мошенник… Однако вернемся к теме.

Для эксперимента также понадобилось зарегистрировать десяток публичных адресов в различных доменных зонах (mail.ru, yandex.ru, gmail.com и др.): из них несколько – в качестве потенциальных «целей» для взломщиков, и еще примерно такое же количество – для размещения заказов и обратной связи с «хакерами». Одновременно для чистоты эксперимента в тех же доменных зонах была зарегистрирована пара-тройка  «дежурных» адресов, которые нигде не «засвечивались». Они понадобились для сравнения «среднего уровня хакерской активности», чтобы иметь больше оснований говорить о том, что происходящее на «заказанных» адресах  не является «массовой эпидемией рассылки хакерского спама».

Поскольку в начале эксперимента я не знал, с кем придется иметь дело и каковы реальные возможности взломщиков, в экспериментах были задействованы некоторые утилиты из моего стандартного «арсенала»: программы для скрытия и оперативной смены IP-адреса, программы для уничтожения следов похождений по сети, для анализа сетевого трафика и др. Специально пишу это для тех, кто может быть захочет когда-нибудь повторить мои эксперименты… Пожалуйста, не пытайтесь совершать подобные «подвиги» без надежных защитных средств! Это может быть чревато.

Произведя заказы на нескольких сайтах и по нескольким e-mail, с интересом приступил к наблюдениям. Кстати, стоимость заказов в момент написания этого обзора составляла от 30 до 100 долларов США за адрес, что не так уж и дорого, и очевидно по карману большинству средних обитателей Интернета…

Ход экспериментов

Вывод, который пришлось сделать в первый же день наблюдений: В большинстве случаев исполнители заказов действительно пытаются осуществить взятые на себя обязательства:

Ни один из «подопытных взломщиков» не попытался сразу же, сходу взять меня «на пушку» каким-нибудь старомодным  трюком из арсенала, описанного Игорем Белкиным (например – взять с меня предоплату с последующим исчезновением, или привести «доказательства взлома» в виде фотошоповских скрин-шотов или отправки письма с якобы «взломанного» адреса, но «торчащими ушами» в виде имен реальных почтовых машин в заголовках, и т.д.). Нет! Ничего этого не было. Ребята действительно пытаются работать… Весь вопрос только в том – как…

И вот здесь на первом этапе я был удивлен, и даже несколько разочарован, потому что ожидал несколько большего:

Все без исключения «заказанные» адреса были атакованы с применением методов социальной инженерии.

Причем на первом этапе не слишком изобретательно, почти без какого-либо разнообразия. На эти адреса просто стали приходить письма, побуждающие получателя под разными предлогами (довольно традиционными и давно описанными в Интернете) перейти по поддельной ссылке на фишинговый сайт и ввести там свои учетные данные.

Вот несколько примеров из собранной мною коллекции:

Первым пришло письмо с сообщением о грозящей мне «блокировке профиля», по причине якобы поступившего на меня «доноса»:

взлом почты на заказ

Мне предлагалось пройти по ссылке, чтобы познакомиться с этой жалобой и решительно ее опровергнуть… 🙂

Вслед за этим поступило еще одно письмо, тоже о блокировке, но на этот раз уже якобы реальной, по причине того, что я дескать не прошел какую-то авторизацию:

взлом почты на заказ

 

Далее последовало письмо о якобы не доставленном сообщении, с предложением прочитать это потерянное сообщение, перейдя по ссылке:

взлом почты на заказ

 

Как уже было вскользь упомянуто, однообразие уловок и убогость фантазии «хакеров» меня несколько разочаровали на этом этапе. Вот всё, что они по сути придумали:

  1. Подозрительная жалоба от неизвестно кого и неизвестно на что, с которой нужно якобы разобраться неизвестно каким образом, но перейдя по подозрительной ссылке;
  2. Мнимая блокировка аккаунта по причине невыполнения авторизации (интересная такая блокировка, когда письма продолжают поступать…), с возможностью «разблокировки» путем перехода по ссылке,
  3. «Не доставленное письмо», которое якобы можно посмотреть, также перейдя по ссылке… (какое же оно не доставленное и почему бы его просто не доставить в почтовый ящик, как обычно, коль уж оно «нашлось» всё таки»)

Вот и всё, что было использовано в первый день из того огромного арсенала мошеннических уловок, которым сейчас располагает человечество! Кстати, не удивлюсь, если продажа подобных «наборов юного техника» и инструкций для «профессиональных нахеров хакеров» — это тоже чей-то хороший бизнес…:-)

Однако, что привлекло мое внимание – так это одинаковое расположение вспомогательных сайтов (так сказать «пиратских баз») у нескольких формально разных исполнителей. Это говорит о том, что многие «сервисы» по взлому очевидно принадлежат одним и тем же людям. А может быть они пользуются услугами посредников (как мы, например, используем сервисы посредников при продаже электронных товаров) Но это так, к слову… принципиального значения не имеет, хотя это и стоит взять на заметку…

Справедливости ради, надо отметить, что спустя какое-то время (примерно через неделю, — очевидно когда исследуемые мною «сервисы» решили так сказать «попытать счастья по второму кругу»), некоторое разнообразие в уловках все же появилось: Так, от одного из «сервисов» пришло письмо о «глобальной перерегистрации и реактивации пользователей» в связи с чем предлагалось заполнить анкету (разумеется, переход к «анкете» производился снова по ссылке в письме). В еще одном письме меня позабавили новостью о «смене технического оборудования», в связи с чем снова потребовалось нажатие на ссылку. Еще пара уловок выглядела так: подтверждение активности почтового ящика и сообщение о недоставке моего (то есть не входящего, а исходящего) письма одному или нескольким адресатам. В одном из писем взломщики применили даже такой отвлекающий маневр, как введение капчи, что, конечно же, несколько умерило мою иронию по отношению к ним:

взлом почты на заказ

 

Применение капчи в данном случае является неплохим психологическим отвлекающим маневром: внимание жертвы пытаются переключить с размышлений о том «спроста ли это жжж» на ввод капчи. Кроме того, при использовании этого трюка жертве не дают возможности заранее познакомиться с тем, как выглядит реальный адрес перехода.

Впрочем, в этой инновации впоследствии была обнаружена грубейшая ошибка (во всяком случае опытный хакер так облажаться наверное не мог бы): полное отсутствие маскировки после перехода жертвы по ссылке, что совершенно не соответствует концепции замысла, предполагающей скрытный взлом почтового ящика, то есть такой взлом, когда жертва ничего не подозревает. К этому мы еще вернемся подробнее чуть ниже, ну а пока можно лишь заметить, что по большому счету, с инновациями на первом этапе было явно не густо, поскольку большинство упомянутых трюков являются весьма и весьма «избитыми» и неоднократно использовались при массовых попытках взлома адресов. Для взломщиков, претендующих на звание «профессионалов» и обещающих клиентам индивидуальный подход и стопроцентный результат – это все же как-то не солидно…

Проверка фейковых ссылок на первом этапе

Нет, не хватайтесь за голову! Автор этих слов – не мазохист и не конченный идиот… Он прекрасно знает о том, сколь чревато переходить по ссылкам в подобных письмах. Но чего не сделаешь для читателей, жаждущих чистоты и полноты эксперимента… 🙂

stopОднако, еще раз специальное предупреждение для желающих повторить подобные эксперименты:

Переходы по ссылкам во всех этих подставных письмах производились с отдельного компьютера, обвешенного «с головы до ног» специальными утилитами для контроля состояния процессора и сетевого трафика, и не содержащего на своем диске никакой ценной пользовательской информации. Выход в сеть производился на короткое время с отдельного (не основного) IP-адреса.

Говоря другими словами, это специальный компьютер, заточенный под подобные эксперименты.

В случае возникновения малейших подозрений на заражение вирусом после проведения таких переходов, компьютер всегда отключается от сети и форматируется, с последующей быстрой установкой на него свежего «боекомплекта» (операционной системы с набором необходимых утилит).

Проводить подобные эксперименты на своем домашнем или рабочем компьютере я решительно никому не рекомендую! Для того чтобы проверить адрес реального перехода – достаточно подвести курсор (ничего не нажимая на мышке) к ссылке и просмотреть всплывающую подсказку (если это действие происходит в почтовом клиенте), или адрес появляющийся в нижней строке (если действие происходит в браузере).

Несколько слов о том, что в таких ситуациях может ожидать чрезмерно любопытного пользователя, совершившего переход по ссылке в фейк-письме:

  • Вирус. Это может быть «троянец», ворующий пароли или другую информацию, и передающий их своему хозяину, или ки-логгер (key-logger) – клавиатурный шпион, запоминающий все нажатые клавиши (и также сливающий эту информацию владельцу), или же «троян-даунлоудер» — дремлющий до поры до времени, но в определенный момент просыпающийся вирус, который открывает на компьютере порты для загрузки из сети нужного комплекта вирусов, управляющих программ, ботов и т.д. При этом не думайте, что установленное на компьютере антивирусное обеспечение, — даже если оно является лицензионным и ежедневно обновляющимся, — гарантирует вам безопасность: вирус может оказаться и «самописным», малоизвестным, а то и вовсе уникальным, купленным или написанным специально для вас, и такой вирус с большой вероятностью не будет детектирован сразу — здесь все зависит от уровня подготовки и серьезности намерений хакера.
  • Установленное на сервере злоумышленника программное обеспечение или скрипты, для сканирования компьютера на уязвимости или хотя бы даже просто собирающие информацию: IP-адрес для последующих атак, информация о софте и оборудовании, открытые порты, какие-то «дыры» в безопасности, — всё это можно «коллекционировать», причем для сбора подобной информации не нужно быть «продвинутым хакером» — достаточно овладеть инструментарием системного администратора сервера. Но всю эту информацию можно со временем использовать для организации несанкционированного доступа к компьютеру жертвы.
  • Многие другие сюрпризы, самый безобидный вариант из которых – фишинговая страница.

Кстати, именно с этим — самым примитивным и наиболее безобидным вариантом — я и столкнулся во всех 100% случаев в рамках своих экспериментов на первом этапе, что меня также разочаровало, поскольку я был готов познакомиться с чем-то более серьезным из описанного выше арсенала. Однако, увы…

Все без исключения фейк-ссылки привели меня на однотипные фишинговые страницы примерно такого вида, как показано на следующих иллюстрациях.

взлом почты на заказ
Надо признать, что страница, хотя и содержала несколько мелких «плюшек» (в левом нижнем углу (на втором скрин-шоте это видно) указан 2009-й год, хотя на дворе был уже 2010-й, в логотипе зачем-то присутствует лейбл WAP, хотя просмотр страницы осуществляется с деск-топа,  с помощью стандартного браузера), — но всё это, в общем-то, мелочи.

взлом почты на заказОднако, адресная строка, конечно же, как всегда в таких случаях, выдала наших «хакеров» с потрохами. Впрочем, адресную строку можно было посмотреть и без перехода по ссылке, как было описано ранее. Но мы ведь хотели посмотреть – что новенького придумали для нас «профессиональные взломщики». В нескольких случаях страница располагалась в доменной зоне WS, в других случаях – в доменной зоне CC.

Для справки: WS — национальный домен Западного Самоа, небольшого островного государства в Полинезии; CC – это тоже в данном случае никакая не муха, а национальная доменная зона островного государства «Кокосовые Острова» (COCOS ISLANDS). Эти доменные зоны (наряду со многими другими, например TV) – весьма доступны, недороги, и нередко предоставляют пользователям возможность сокрытия своих реальных данных, а то и вовсе – пробной (бесплатной) регистрации на какое-то время, чем и привлекают толпы дешевых «хакеров»…

На всякий случай, для тех, кто так и не понял сути этого старого развода, кратко поясню:

На фишинговой странице, расположенной на сайте злоумышленника, приведена имитация формы почтового сервиса, для повторного ввода пароля.

Пользователя просят авторизоваться, то есть ввести свой пароль по причине якобы произошедшей «ошибки соединения», или под каким-то иным предлогом. Введенный пароль отправляется злоумышленнику, а жертва либо попадает обратно в свой настоящий аккаунт, либо предварительно переадресовывается на другую страничку, где сказано, что авторизация успешно пройдена (или инцидент исчерпан) и теперь все дескать в полном порядке.

Касательно описанных экспериментов, добавлю, что я не стал проверять на этом этапе – насколько серьезно было организовано «заметание следов» во всех случаях, кроме одного, упомянутого выше, — а именно того самого варианта с капчей. И должен сказать, что там это было организовано из рук вон плохо: после ввода капчи жертва попадала на традиционную фишинговую страницу точно такого же вида, как и во всех остальных случаях, а после ввода пароля (я отправил злоумышленникам просто несколько случайных символов на клавиатуре, хотя можно было бы, конечно, и поглумиться над моими подопытными), так вот после ввода пароля жертва перенаправлялась… обратно в свой почтовый ящик, хотя человек совершал все эти изнурительные манипуляции и переходы для того чтобы прочитать какое-то новое личное сообщение!

Согласитесь, что после такого странного случая, когда обещанное сообщение так и не прочитано, причем без каких-либо пояснений, трудно не заподозрить что-то неладное… К слову, надо заметить также, что и «заметание следов» в случае, описанном в видео-ролике, также весьма бездарно: в лучшем (для взломщика) случае жертва решит, что на почтовом сервисе что-то «глючит», но вероятность того, что человек догадается — откуда растут уши — достаточно велика и концепции «скрытого взлома» это уж никак не соответствует. И это говорит, что мы имеем дело точно не с профессиональными хакерами, но скорее с ленивыми дилетантами…

После проведения этих экспериментов я подождал еще неделю и уже думал, что на этом можно поставить точку (даже составил и опубликовал первую часть доклада, написанную весьма ироничным тоном). Однако, спустя какое-то время, продолжение все же последовало. Так в этом докладе появилась следующая глава.

Читать далее…