Как малолетние хакеры взламывают аккаунты и ворочают миллионами
реклама
Пол года назад на одном из ресурсов вышла статья про юного вундеркинда, наладившего огромный бизнес. Внедрившего новые веяния в индустрии. Зарабатывающего в свои 19 огромные деньги... А в конце мелким подчерком добавлено, первый капитал в пару миллионов дал папа. И пошли кривотолки и насмешки, мол юные дарования в нашей стране ни как не могут самостоятельно пробиться в люди, без сторонней помощи.
Предисловие
реклама
Все описанное ниже, в простонародье называют страшным выражением "Даркнет". Это скрытный чудо зверь, что скрывает наркотики, оружие и торговлю людьми. Тайна покрытая тайном, упоминание которой вычеркивается из любого источника. Находится в любом поисковике по обычному запросу "Куплю аккаунт". Бизнес, в котором крутятся миллиарды. Полулегальный, но официально не запрещенный. На популярных торговых площадках есть сотни и тысячи продавцов... Редкие новости в прессе и.... тишина
Бурные нулевые
Есть много крупных торговых площадок вроде Amazon, Ebay, Newegg, AliExpress, Wildberries и подобные. Они начали свой бурный рост в конце 90-х, начале нулевых. Для тех, кто не знает, — это торговые площадки с тысячами и десятками тысяч мелких продавцов. Кто-то продает бейсболку или бриллианты. У некоторых это разовая сделка, другие построили бизнес. В один момент появились сотни тысяч предпринимателей без знания IT безопасности и с коммерческой жилкой. Все были счастливы. Но у крупных торговых сетей есть три особенности. Они берут деньги за свои услуги. Большая конкуренция. Деньги после сделки можно вывести только через несколько дней. И как грибы после дождя начали расти небольшие интернет магазинчики. Обычный Вася, что продавал гвозди со своего завода, решил создать простенький сайт-визитку, где вы могли разместить заказ с курьерской доставкой. Простая регистрация и переписка. Сайт визитку он скачал шаблоном из бесплатного магазина. Аккуратно настроил и ждет заказы.
реклама
Аккаунты
Для общения и координации заказов, были придуманы аккаунты из логина и пароля. При регистрации желательно указать адрес почтовой почты, что бы иметь возможность вести переписку. Вскоре, почтовый адрес и логин, объединили. Аккаунты есть во всех магазинах. На форумах. В чатах. В них хранится вся информация о взаимодействии между клиентом и сервисом. Постепенно функционал начал расти. Добавляли дату рождения. Фотографии. Сведения о транзакциях и возвратах. Привязывать кредитные карты и так далее. Из обычной формальности, аккаунты начали превращаться в ценный ресурс, где хранились цифровые товары. Магазинов становилось все больше. У каждого уважающего себя человека было несколько десятков аккаунтов в разных цифровых сервисах. Часто. Очень часто. Логин и пароль от школьного форума совпадал с таковыми от банковского кошелька или почтового ящика.
Пароли
Самое большое заблуждение в современном цифровом мире. Вопрос: "Какой пароль более надежный?" Qz12345 или Q6#@fgdY5 ? 99,99% пользователей назовут второй и будут не правы. Именно это и есть основная проблема современного общества. Нам 20 лет культивируют, что пароль должен быть сложным, содержать буквы и цифры разных регистров. Но проблема состоит в том, что уже 15 лет ни кто не занимается подбором паролей. На всех сайтах по умолчанию стоит защита от брутфорса. Попробуйте зайти на свою почту. Введите пароль 5-10 раз не правильно. Вы получите блок аккаунта на 5-10 минут в зависимости от настроек сайта. Подбор пароля даже при 6 цифрах у вас займет десятки лет. А вот забыть сложный пароль с разными символами проще простого. У вас почистился "Хеш" в браузере и вы потеряете доступ. Аккаунт можно восстановить, но это крайне сложно для неопытного пользователя. Сложный пароль играет злую шутку
Как взламывают пароли?
реклама
А их ни кто не взламывает. Все логины и пароли хранятся в базах данных сайтов. Каждый зарегистрированный аккаунт хранится на сервере, вместе с данными магазина. А теперь поднимаем глазки наверх и вспоминаем пункт про сотни тысяч магазинов созданных на коленках неопытными пользователями. Все эти сайты создавались на бесплатных движках или на платных обычными домохозяйками. За них один раз заплатили и забыли. Работает? Отлично. Специалисты по безопасности находят десятки и сотни уязвимостей каждый день. С помощью этих уязвимостей скачиваются базы данных с логинами и паролями. Представьте себе Windows 10 и сколько патчей безопасности выходит регулярно. То же самое и с движками сайтов. Взломали базу, вынули логин и пароль. Пошли в банк и авторизовались. Трать деньги куда хочешь. Возвращаясь к длине и сложности пароля - не имеет значение какие и сколько символов. Они все записаны и никакого брута.
Шифрование
Некоторые продвинутые пользователи с огоньком в глазах прокричат "Там все зашифровано сложными алгоритмами, которые невозможно взломать"!!! Именно так ответил мой знакомый "Системный администратор". Просто он не знает самой большой уязвимости всех шифрований. Введя один и тот же пароль 10 раз с одним типом шифрования, вы всегда получите один и тот же зашифрованный вариант. Именно это и позволяет сайтам работать. Но это работает и в обратном направлении. У зашифрованного результата всегда будет одно и тоже изначальное значение. По этому существуют словари, где паролю "А" соответствует зашифрованный вариант "Gfj$q". Без взлома алгоритмов шифрования идет сопоставление и расшифровка. Она на столько элементарная, что сделает любой школьник, нажав пару кнопок на клавиатуре.
Школьники и майнинг
С одной стороны, информация устарела на 3 года, с другой - извечная борьба. Логины и пароли с маленьких незащищенных сайтов регулярно использовались для платежных систем PayPal, Яндекс, PAYEER, Amazon и другими. Любой любознательный пользователь мог без труда скачать базу данных, расшифровать ее и использовать в платежных системах. И тут стоит сделать акцент на молодежи 13-17 лет. В отличие от людей с опытом, это категория граждан более любопытна. Она любит пробовать и экспериментировать. Их мозг натренирован искать решения. Пробовать и учится. И если найти уязвимость в движке сайта для них сложно, то написать программу по перебору логинов и паролей с авторизацией через прокси - это 30 минут курения мануалов. В 2012 году начался бум. Как грибы после дождя появлялись биржи криптовалют. Сотни и тысячи. Крипта не деньги. Не регулируется никакими законами. Капчи еще нет. Двух факторной авторизации нет. Отслеживания платежей нет. Халява. Бери не хочу. Внезапно, обычный школьник в очках за день "добывал" по 20-50 тысяч зеленных в эквиваленте.
Автоматизация
реклама
Для генерации и работы с базами, расшифровки, сортировки нужны скрипты и простенькие утилиты. Для проверки работоспособности логинов и паролей нужны программы. Для проверки прокси и их сбора в интернете нужны парсеры и чекеры. Для обхода капчи нужны утилиты. Сотни и тысячи программ. Угадайте, кто их пишет? Ни одна крупная IT компания на пушечный выстрел не подходит к этой теме. Оборот по разным данным на продаже аккаунтов в 2017 году составлял от 15 до 25 млрд$. Хорошо оплачиваемая работа. Сайты разрабатывают защиты от взломов, создают новые методы противодействия. Школьники и студенты приходят с работы, включают сниферы и изучают работу защиты. Реакцию на действия пользователей. Хобби. Не более того. Без кураторов. Без пафосных Junior, Senior и прочего. Мануалы по десяткам языков программирования, работы железа и многопоточности, разные системы от разных компаний. Вы же помните защиту Denuvo ? Для защиты аккаунтов пользователей крупные компании используют сотни разных систем. Вечная борьба.
А где деньги?
В 2018 году как из рога изобилия повалили новости о школьниках зарабатывающих на аккаунтах Fortnite. Новостные заголовки пестрили историями о молодых "Бизнесменах" и не было ни слова, откуда эти аккаунты. Так же как и другие, более тихие и менее шумные варианты. Простой запрос в googl
Конечно, из этого мракобесия есть исключения. Один мой знакомый открыл магазин по аренде аккаунтов Sony и использует "временную активацию" продавая аккаунт 3-4 человекам и отбивающим полную стоимость игры. Но таких "проверенных" где знаешь всю подноготную крайне мало.
Послесловие
От взлома не застрахован никто. Для защиты своих цифровых активов используйте двухфакторную аутентификацию. Основной взлом происходит через функцию "восстановить пароль. Пароль от вашего почтового ящика должен быть уникальным и не использоваться больше нигде. Сейчас в обязательном порядке массово обязуют привязывать телефоны для авторизации - используйте эту возможность. Она тоже обходится по щелчку пальца, но не каждым вторым школьником
реклама
Лента материалов
Соблюдение Правил конференции строго обязательно!
Флуд, флейм и оффтоп преследуются по всей строгости закона!
Комментарии, содержащие оскорбления, нецензурные выражения (в т.ч. замаскированный мат), экстремистские высказывания, рекламу и спам, удаляются независимо от содержимого, а к их авторам могут применяться меры вплоть до запрета написания комментариев и, в случае написания комментария через социальные сети, жалобы в администрацию данной сети.
Комментарии Правила