Взлом почты. Новые эксперименты

Второй этап экспериментов

Сразу отмечу, что из дюжины «подопытных» ко второму этапу перешло лишь несколько. Все остальные не удосужились даже связаться с заказчиком (то есть со мною в данном случае), чтобы признаться ему в своей беспомощности. В свою очередь, я не стал «терзать» их запросами о судьбе своих заказов, равно как и насмешками на форумах, где они пиарились… смысла в этом никакого не было, там наверняка «все схвачено» и бороться на таких форумах с толпами клонов и троллей — занятие непродуктивное. К тому же передо мною стояли скорее исследовательские, чем развлекательные цели. Ну и кроме того, по большому счету меня ведь никто не пытался обмануть: Проблема заключалась скорее в том, что исполнители несколько преувеличивают свои реальные возможности, обещая заказчикам гарантированный и анонимный (то есть скрытый, не замеченный жертвой) взлом.

Справедливости ради, нужно отметить, что наши силы и исходные позиции были неравными: я ожидал нападения, и был хорошо подготовлен к любым сюрпризам. Едва ли среднестатистический пользователь имеет такой опыт и такую бдительность. Были и другие соображения, о которых я еще напишу в выводах, ну а сейчас пора все же рассказать об инновациях, с которыми я столкнулся на втором этапе.

Одна из таких инноваций — письмо (якобы) из «Альфа-банка» с «прикрепленными данными», которое показалось мне хотя и свежим, но совсем неудачным ходом. Хотя бы потому, что далеко не все пользователи mail.ru являются клиентами Альфа-банка. Вероятность того, что человек не имеет счета в этом банке наверное даже больше, и потому такое письмо может только насторожить жертву (что противоречит концепции скрытого взлома). Тем не менее, письмо это выглядело так (для коллекции):

взлом почты на заказ

 

Кстати, по поводу прикрепленных данных: это оказалось не вирусом, но всего лишь очередной ссылкой на фишинговую страницу, где потенциальную жертву в очередной раз попросили ввести пароль. Так что эта «инновация» вызвала у меня не такой уж большой интерес.

Зато показалось намного более интересным следующее письмо с именным обращением и порцией настоящих «хакерских сюрпризов»: программных файлов, замаскированных под фотографии (все они после скачивания и распаковки имели расширение .EXE, то есть были программами (причем совсем не безобидными), но при этом внешне выглядели на экране как файлы изображений). Разумеется, опытный пользователь никогда не станет скачивать и просматривать подобные файлы, даже если они выглядят как картинки, но учтем все же и такой интересный момент, что это письмо было именным, то есть к пользователю обращались по имени, под которым был зарегистрирован почтовый ящик:

взлом почты на заказ

 

Это говорит о том, что наши подопытные хакеры неплохо потрудились… Ведь я не сообщал им имени жертвы, но дал только адрес электронной почты для взлома. Каким образом они могли его узнать? Один из наиболее вероятных вариантов – использование так называемого Mail.Ru Агента, о котором, к сожалению, знают далеко не все пользователи mail.ru. При регистрации адреса и заполнении анкеты многие пользователи (наверное большинство) не запрещают показ и поиск своих данных в различных социальных приложениях mail.ru:

взлом почты на заказ

 

По умолчанию при регистрации в обведенных чек-боксах установлены «галочки» и это значит, что пользователь разрешает показ и поиск своих данных. С точки зрения безопасности оставлять там галочки неразумно, хотя бы потому, что это дает возможность собирать информацию о пользователе, чтобы более эффективно использовать эти данные при взломе с использованием методов социальной инженерии. Согласитесь, есть разница: одно дело – получить письмо с обращением «уважаемый пользователь» (как это было на предыдущих этапах), и совсем другое дело – когда нас называют по имени… Тут можно и утратить бдительность.

Впрочем, без курьезов не обошлось и на этот раз. Архив «фотографий» почему-то состоял из четырех разных по названиям, но совершенно одинаковых по размеру папок:

взлом почты на заказ

Вы когда-нибудь видели, чтобы разные комплекты фотографий (да хотя бы просто две разные фотографии) имели одинаковые размеры? Проницательный пользователь такие «плюшки», конечно же должен замечать. Но много ли проницательных?

Что касается содержания архивов, я, разумеется, поинтересовался и этим. И должен признать, что ни один из популярных антивирусных пакетов (Kaspersky, Dr.Web, Norton, Panda и др.), увы, не обнаружил в них никаких проблем. При этом запуск файлов совершенно явным образом инициировал на компьютере какие-то «нездоровые» процессы, наблюдаемые при помощи диспетчера задач, и нескольких сетевых утилит. (Разумеется, эксперимент, как и в прошлый раз, проводился на специальном компьютере, и поэтому никакого реального вреда мне это не нанесло, но я в очередной раз настоятельно не рекомендую никому повторять подобные эксперименты).

Впоследствии при комплексой проверке на сайте VIRUS TOTAL (http://www.virustotal.com/) только 12 из более чем 40 (!) антивирусных лабораторий классифицировали эти файлы как «зловредные», однако, по мнению большинства они все же оставались «белыми и пушистыми», что говорит о том, что взломщиками были использованы совершенно новые (возможно даже «самописные» или сделанные на заказ) программы. Отправив файлы на исследование в лабораторию Касперского, я получил однозначное заключение, что это вирусы Backdoor.MSIL.VKont.kj и Trojan-Spy.Win32.Agent.bmxw, которые на момент проверки не были включены в базу.

Несмотря на упомянутые «мелкие плюшки» такой ход мне показался достаточно серьезным: сбор информации о жертве и использование редких вирусных программ – это уже намного ближе к профессионалам…

Следующий ход был также достаточно любопытным:

взлом почты на заказ

Письмо содержало в теле скрытый скрипт, который можно было заметить только в режиме предварительного просмотра, да и то – лишь при включенной опции «ПОДРОБНО».

взлом почты на заказ

 

Поскольку письмо пришло от «симпатичной девушки» (фото в профиле подобрано со вкусом), то вероятность его открытия пользователем достаточно высока. Если пользователь мужчина или молодой парень, то едва ли он справится с соблазном… если, конечно, не ожидает подвоха (как ждал его я). Вполне возможно, что открытия письма, по сути – одного клика, в такой ситуации уже достаточно для того, чтобы с помощью упакованного в тело письма скрипта получить если не пароль (или куки открытой сессии), то хотя бы какую-то дополнительную информацию о пользователе: его IP, данные о версии браузера (и его «дырах») и т.д. Не знаю, удалось ли хакерам достичь поставленной цели и выудить какую-то информацию (как не знаю и самой цели — кстати, никакой подозрительной активности в поведении компьютера выявлено не было, антивирусник также промолчал), но в любом случае этот ход я расценил как «намного более продвинутое поползновение», и, хотя взломать этот почтовый ящик злоумышленникам так и не удалось, вполне возможно, что в другой ситуации, когда пользователь не проявляет должной бдительности, результат будет иным.

Однако, наверное пора сделать из всего этого какие-то выводы.

Читать выводы…