Архивы Взлом - «Хакер. Как именно хакеры взламывают аккаунты в социальных сетях. Как хакеры атакуют аккаунты в соцсетях. Рассказ хакера

Утром 14 августа группировка «Анонимный интернационал» завладела твиттером премьер-министра России Дмитрия Медведева. Это далеко не первый и наверняка не последний случай, когда посторонние получают доступ к аккаунту известного человека в социальной сети. Хотя такое происходит довольно часто, немногие знают, как именно злоумышленники добиваются своего. Look At Me разобрался, какими методами взлома хакеры пользуются чаще всего.

Для хакеров взлом аккаунтов - одно из самых увлекательных занятий, которое даёт им огромный простор для творчества. Многие занимаются этим, чтобы испытать свои навыки, другие ищут материальную выгоду. Причём далеко не всегда приходится что-то взламывать. Сколько бы ни появлялось статей о том, как важно подбирать надёжный пароль, культура интернет-безопасности в целом остаётся низкой. Пользователи интернета выбирают одни и те же незамысловатые кодовые слова для разных сайтов, переходят по подозрительным ссылкам из спама и принципиально отказываются от менеджеров паролей. Обычно злоумышленники пользуются следующими методами:

Фишинг. Пользователя заманивают на сайт, который выдаёт себя за настоящий, и предлагают ввести пароль, который «утекает» к злоумышленникам;

Зловредное программное обеспечение (malware). Такое ПО размещают на взломанных сайтах или засылают на недостаточно защищённые системы;

Социальная инженерия. Иногда пароль удаётся подсмотреть, а особо доверчивые пользователи могут сообщить его злоумышленнику сами: на этом выстроен целый пласт системы интернет-мошенничества;

Подбор пароля. Обладая информацией о пользователе, которую легко найти в социальных сетях, можно попробовать угадать пароль. Также можно автоматом перебрать огромное количество вариантов, воспользовавшись ассоциативной базой данных или техникой словарной атаки, когда несловесные комбинации исключаются, а словесные модифицируются так, как любит большинство - заменяя буквы на похожие цифры.

Владимир Иванов

заместитель руководителя департамента эксплуатации компании «Яндекс»

Всё чаще злоумышленники начинают использовать ненастоящие страницы-заглушки в контролируемых сетях Wi-Fi

Когда речь идёт о направленных атаках - таких, где жертва является публичным лицом или имеет доступ к важной информации, - может использоваться механизм, называемый watering hole. Жертву заманивают на знакомый ему сайт, но иными методами. Допустим, он может подключиться к публичной сети Wi-Fi, которую контролирует злоумышленник. В ней пользователя автоматически направляют на фишинговый сайт, похожий на привычную соцсеть, или просто сайт со зловредным кодом, который, например, может быть размещён на приветственной странице входа в сеть Wi-Fi. Всё чаще злоумышленники начинают использовать ненастоящие страницы-заглушки в контролируемых сетях Wi-Fi: российские пользователи уже привыкли видеть надпись «Сайт заблокирован по требованию властей» и не подозревают, что вместе с его показом устанавливается вредоносное ПО.

Неопытные пользователи довольно часто используют один и тот же пароль на нескольких сайтах или в нескольких программах. В этом случае, взломав одну базу данных с паролями или украв пароль от одного сайта, атакующий получает доступ и к другому, возможно, более ценному ресурсу. Помимо самого взлома аккаунта, возможны ситуации, когда пароль не скомпрометирован, но злоумышленники всё равно имеют возможность действовать от лица пользователя. Наверняка многие сталкивались с возможностью «войти на сайт», используя Facebook, Twitter или «ВКонтакте». Нажимая на такую кнопку, пользователь оказывается на странице социальной сети, где у него спрашивают, доверяет ли он этому стороннему сайту. Иногда среди действий, которые просит разрешить сторонний сайт, оказывается и публикация новых сообщений от имени пользователя. В результате злоумышленникам необязательно взламывать, например, твиттер, чтобы публиковать твиты.

Иногда хакеры пользуются ошибками или недоработками на сайтах. Так, некоторое время назад была опубликована уязвимость в Twitter: защита от перебора не была включена в API Firehorse - метода, используемого партнёрами Twitter для получения больших объёмов твитов. Я не уверен, закрыта ли уязвимость в настоящий момент, но эта история иллюстрирует возможность ошибок разработчиков, всё-таки позволяющих атакующим эффективно перебирать пароли. Я считаю, что здесь можно говорить не о неэффективном алгоритме, который удалось обойти хитрым злоумышленникам, а об ошибке администрирования, из-за которой алгоритм просто не работал.

В современном мире логин от социальной сети может быть важнее почтового. Почтовые системы накопили большой опыт борьбы со злоумышленниками, а пользователи проводят в интерфейсе социальной сети больше времени, чем в почте. Поэтому всё зависит от ситуации: если злоумышленник атакует платформу, завязанную на электронную почту для восстановления пароля, взлом почтового ящика может показаться предпочтительным (маловероятно, что он будет делать это напрямую - перебор паролей в настоящее время эффективен только для небольших сайтов). Однако социальная сеть может быть ценной сама по себе, а атака на электронную почту может оказаться дороже атаки на социальную сеть, телефон или компьютер пользователя. Само собой, разумный атакующий выберет наиболее доступную цель.

Если вы не глава правительства государства, важно, чтобы ваш пароль был достаточно сложным, для того чтобы злоумышленники выбрали себе другую цель. Но если вы владеете важной информацией или просто известная личность, всегда лучше, чтобы среди людей, защищающих вас, были не только меткие стрелки, но и опытный специалист в области информационной безопасности».

За последние 10 лет хакеры взломали почти пять миллиардов аккаунтов в соцсетях со всего мира. Данные опубликовал разработчик безопасности Microsoft Трой Хант, и ежедневно он обновляет эту статистику. Зачастую пользователь сам выдает киберпреступнику все данные и даже не догадывается об этом. Есть ли этика у хакеров, зачем в соцсетях лучше молчать и почему "взломать" человека намного проще, чем компьютер, - мы узнали у хакера с 20-летним стажем, который дал интервью на условиях анонимности.
Про этику и черных взломщиков
Мне не нравится, когда меня называют хакером, потому что это слово несет такой же искусственно сформированный негативный оттенок, как слово "пират". А к нему относят всех - от нарушителей авторских прав, зарабатывающих деньги, до матерей-одиночек, скачивающих обучающие уроки.
Сегодня "светлых" хакеров (помогающих искать разработчикам слабые места в программах. - Прим. ред.) больше, чем "черных". Это сложнее, нужна большая квалификация. Да и среди "темных" кибервзломщиков не всех назовешь преступниками.
У каждого свой мотив: желание заработать, спортивный интерес или высокие цели. Можно открыть данные, которые, по мнению человека, должны быть обязательно преданы огласке, выложить переписку на WikiLeaks - это не плохо.
Если хакер использовал информацию для личного обогащения, отношение к нему у меня негативное. Я скорее этичный хакер. Мне бы хотелось реанимировать RuLeaks - это русскоязычный аналог WikiLeaks.
Настоящие профи хакерства - юные 18-летние парни. Они не гонятся за наживой, с детства за компьютером, работают быстрее многих правительственных специалистов. Им нечего терять, у них нет психологических ограничений.
Про "собственную шкуру"
Благодаря фильмам мы представляем кибервзломщика так: социально неадаптированный человек в капюшоне, с длинными волосами и бородой. Я же с виду не отличаюсь от обычного "офисного планктона".
Моя официальная работа не связана с IT. Никогда не занимаюсь хакерством дома - в офисе это делать безопаснее. Домашний интернет я оформляю у провайдера по своим паспортным данным, а компания, где я работаю, все оформляет на себя. Дома я сам открою дверь полиции, которая изымет мое оборудование, а в компании у меня есть время замести следы. Дома я подвергаю опасности всю семью, в компании - только себя. Родные не в курсе моего "хобби". Заказы я беру только через Даркнет, никаких личных встреч или переписок.
Про первый опыт - как первый поцелуй
Первые знания об IT я получил из книг "Классика Сomputer Science" и журнала "Хакер". Потом появились онлайн-курсы Coursera, курсы американских университетов и "Академии Хана". В школе информатику практически не преподавали.
Я рад за современных подростков и завидую - они застали эпоху открытого интернета с неограниченным ресурсом информации. Но мы видим, что эта эпоха заканчивается, глобальную сеть все больше хотят загнать в рамки.
До появления безлимитного интернета люди подключались к провайдерам с локальной сетью и файлообменником. Многие пользователи по незнанию открывали доступ к личным папкам, и этим было грех не воспользоваться. Я удаленно подключался к компьютеру человека, открывал "Блокнот" на его рабочем столе и начинал писать инструкцию - "как обезопасить себя от взлома". Человек, может, и был возмущен такой наглостью, но потом мне спасибо говорил. Поэтому мой первый хакерский опыт был весьма этичным.
Когда интернет стал доступным, миллионы, в основном подростки, поняли, как круто было бы знать секреты друзей и возлюбленных.
Предложения "взломай страничку Светы" мне присылали десятки раз каждый день. За взлом по тем временам давали хорошие деньги. Я этим пользовался. Прошли годы, а такие просьбы до сих пор поступают, но уже от людей 40-50 лет. Не берусь - не интересно.
Про человеческую наивность
О первом серьезном заказе я не хочу подробно рассказывать из соображений безопасности. Если коротко, то нужно было достать базу данных сотрудников одной компании. Бизнесмены так собирают компромат друг на друга, чтобы в один прекрасный момент уничтожить конкурента, а потом встать во главе и "восстановить финансовое положение" фирмы.
Не вся информация была в открытом доступе, но я нашел сотрудника, который сдал общий справочник, в нем находились нужные мне контакты, а уже они "слили" базу.
Компании тратят на кибербезопасность огромные деньги, но не понимают, что главная лазейка - сотрудники. Руководство на персонал плюет, занижает ему зарплату и прямо-таки подталкивает сделать "подлянку".


Хакеры этим пользуются. Достаточно представиться сотрудником другого отдела, поговорить, надавить - все, человек расскажет и коммерческую тайну, и персональные данные. Этот метод называется "социальная инженерия" (управление действиями человека, опираясь на слабости его характера. - Прим. ред.).
Про заклеенные веб-камеры
Обычный пользователь может дополнительно не защищать свой компьютер, гаджеты. Простой человек хакеру не интересен, разве что ради смеха. Но некоторые доходят до абсурда и заклеивают скотчем веб-камеру, хотя логичнее закрыть крышку ноутбука. А вот антивирусом пренебрегать не стоит. Он как минимум оповестит вас, что лучше вынуть флешку и не поймать вирус.
Про способы защиты
Взломать аккаунт легко и не дороже стакана кофе с печеньем, даже если человек пользуется двойной аутентификацией (первый вход - ввод логина и пароля, второй - резервного кода или ответа на вопрос. - Прим. ред.). Человек, сам того не подозревая, где-то выложил в Сети подсказки. Чаще меняйте пароли, придумывайте сложные сочетания букв с цифрами, но только не с датой рождения. Не пользуйтесь генераторами паролей, сервисами для хранения, не записывайте их "на бумажку". Держите в памяти - туда хакер не проникнет.
Еще одна возможность вас взломать - использование Wi-Fi в общественных местах. Доступ к сети по требованию Роскомнадзора контролируется владельцами точек, а они запросто могут "слить" информацию.
Хороший пример - интернет в метро. Никогда не пользуйтесь интернетом в метро. Вы там словно голый.
Уверен, никто не читает соглашение при установке приложений или регистрации на сайтах, все скорее ставят галочку. Читайте, если не доверяете ресурсу, потому что, возможно, вы соглашаетесь на передачу данных о вас третьим лицам.
Но самая действенная защита от взлома - думать головой всякий раз, когда выкладываешь что-то в Сеть. Люди сами себя подставляют, рассказывая о жизни.

Этот вопрос возникает у многих ребят во время первых исследований сети, программ и алгортимов. Если ты задумался о том, как стать Хакером , и это серьезно, разреши пожать тебе руку - твой исследовательский подход вызывает уважение!

Впервые, я задумался о том, как стать хакером, лет в 17. Уже не помню, что мне сподвигнуло вбить этот запрос в поисовую систему, но догадываюсь, что мои помыслы были не самыми чистыми... С тех пор прошло много лет, я изменился, изменились и мои стремления. Сейчас я увлекаюсь программированием, и создаю серьезные веб-проекты. Команда, благодаря которой был создан этот сайт, развалилась... Да и сама концепция сайта претерпела изменения.

Просматривая в сети Интернет сайты и форумы схожей с нашим сайтом тематики, очень часто встречаю такие вопросы и просьбы: «подскажите, где мне взять прокси? », «а где достать прокси для брута? » , «кто-нибудь, выложите рабочие прокси » и тому подобное. Собственно это, от части, и сподвигло меня написать статью о том, как можно самостоятельно , без чьей-либо помощи, искать эти «пресловутые» прокси ...

Что такое XSS?

XSS , согласно легендам древних Хакеров, переводится как межсайтовый скриптинг (Cross Site Scripting ). Внимательный читатель заметит, что абривиатуры XSS и CSS несколько отличаются друг от друга, и вот с чем это связанно.

Задолго до обнаружения такого метода атаки как XSS (по крайней мере до того, как XSS стали называть именно так), веб-дизайнеры ввели в обиход CSS стандарт (Каскадные Таблицы Стилей), которые помогали им выпендриваться и делать свои сайты не так, как у других, используя те же, собственно, html теги. Потому, при классификации XSS атак, первую букву в слове Cross было решено заменить на X ("Cross" также переводится как "Крест") Смотрите подробности Купить саженцы смородины на нашем сайте . . Так и пошло.

Для того, чтобы правильно понять материал, у Вас должны быть хотя бы малейшие знания языка гипертекстовой разметки, ну и вообще примерное понимание общения браузера и веб-сервера. Скажу также, что данный метод атаки в целом не сложен, и вполне сносно излагается в рамках одной статьи. Если что-то будет "непониматься", значит либо у вас мало мозгов, либо у вас мало пива. Если без первого еще можно и обойтись, то без второго даже не знаю... Кому как. =)

Часто бывает так, что нам жизненно необходимо найти человека в сети, зная о нем минимум информации. Такое стремление может оправдываться горячей любовью, жаждой мести, и т.п. Сложность, как правило, заключается в том, что видимой уникальности индивида, которой нам нужен может и не быть.

Я имею в виду, что под ником Alex может сидеть миллион человек. И найти того самого Alex"а довольно не просто. Хотя возможно.

Как правило каждый день, и в сущности не по одному разу, нам приходится сталкиваться с необходимостью использовать средства поисковых систем, для получения какой-либо информации. А задумывался ли ты, что именно с помощью поиска во многих случаях ломаются сайты и форумы? То, что владелец портала хочет скрыть от посторонних глаз, зачастую остается открыто пронырливому поисковому боту. А уж его данные становятся достоянием общественности. Как взломать сайт с помощью google.com, и насколько это реально, мы сейчас и рассмотрим подробнее... На теории и на практике.