Кому и для чего нужен ваш email: боремся с легкомыслием и невежеством

Пример объявлений с хакерского форума о сдачи в аренду прокси серверов, в наличии сервера даже на мобильных LTE устройствах (все названия магазинов и сервисов были удалены)

Второе что будет сделано, связка email адреса и пароля будет протестирована для авторизации в самых различных сервисах, мессенджерах, онлайн магазинах, форумах, социальных сетях, компьютерных играх и лаунчерах. Никогда не используйте одинаковые пароли и никогда не используйте заново пароль, который уже когда-то был раскрыт.

Третье, самое редкое, это таргетная атака с помощью этих “устаревших” данных на конкретного человека. Но это обычно применяется либо к конкурентам, либо в целях принести человеку неудобства из-за неприязни или мести.

И теперь перейдём к ситуации, когда ваш email скомпрометирован. Он такой не один, а в базе по соседству с тысячами таких же. Заголовки писем этих баз сканируются и потом делаются тематические “заточки”, например games, shops и т.д., которые так же перепродаются. Скомпрометированный email может использоваться самыми нетривиальными способами, поэтому я попробую поделить это не две категории. Первая – когда используется информация, содержащаяся в ящике и сервисы, связанные с ним, вторая – когда используется непосредственно сам ящик как инструмент.

Примеры объявлений о базах со скомпрометированными email c хакерского форума

Рассматривая первую категорию, сразу выделю парсинг полученной и отправленной почты на email адреса для составления баз с активными email для последующих рассылок, с чего я и начал в начале статьи. Так же вероятно кто-то занимается скачиванием всех писем для таргетной атаки по запросу или деанона за деньги, думаю таким занимаются спец службы во всех странах мира, в частности. Теперь про получение доступа к сторонним сервисам через почту, это самое популярное действие, которое совершает злоумышленник. 

Начнём с компьютерных игр. Схема простая, автоматизированный софт делает запрос восстановления аккаунта на почту, таким образом он получает информацию о регистрации аккаунта на конкретную почту, а иногда и список всех аккаунтов, зарегистрированных на данную почту, пример Steam. Несколько лет назад можно было покупать аккаунты Origin и Uplay от 1 до 10 рублей (цены взяты с одного из хакерских форумов) с однопользовательскими играми, аккаунты с Battlefield 4 доходили до 25-40 рублей, а с новинками оn Uplay могли стоить и 100 рублей. Продавец с плати.ру мог легко закупить оптом 2000 аккаунтов по рублю на тематических формах. Пустые аккаунты Steam могли стоить 3-5 рублей. Аккаунты с покупками на 5$ (полностью разлоченный по друзьям и т.д.) доходили до 50 рублей (их часто приобретали под скам и фишинг), а с ходовыми играми типа CS:GO и PUBG были по 150 и 200. В различных ММО аккаунты уводятся либо ради внутриигровых ценностей, либо для дальнейшей перепродажи ботоводам. Иногда аккаунты в играх используются кардерами, с помощью краденных реквизитов оплачиваются внутриигровые покупки c последующей перепродажей за реальные деньги.

Социальные сети? Facebook, Twitter, Instagram, VK от 1000 штук, по 5-10 рублей за учётку, говорят у китайцев можно купить и дешевле. Основные покупатели – фермы для раскрутки, продвижения, лайков, создания мнений. Иногда такие аккаунты могут использоваться для рекламы запрещённых веществ в социальных сетях и прямого мошенничества.

Мессенджеры с привязкой к телефонным номерам сильно обезопасили пользователей, но даже сейчас можно получить сообщение в Skype с просьбой одолжить пять тысяч рублей.

Платёжные системы и криптовалютные биржы много сделали для безопасности своих пользователей. Но не Paypal, как и некоторые майнинг пулы альткоинов.

Магазины, они же shop’ы, тут простор большой и для кардеров, и для воровства баллов (да-да, бывает и такое). А ещё есть любители привязывать средства оплаты в магазине. Тут может происходить всё, начиная от покупки товара с доставкой в pickpoint и другие пункты выдачи, который забирает бегун (человек страдающий от алкогольной зависимости или несовершеннолетний) до оплаты VDS сервера, потому что пользователю было удобно привязать свою карту на условном Vultr.

Форумы, точнее учётные записи на форумах, на различных ресурсах имеют разную ценность, где-то надо разместить рекламу в сообщениях с помощью бота, где-то идёт голосование, возможно с ценными призами, где-то нужно анонимно создать пост и нужна учётка c репутацией, кто-то собирается заниматься мошенничеством и ещё десятки сценариев, до которых я не смог сходу додуматься.

Слышали про бесплатные раздачи Indiegala, Humblebundle, Alienware Arena? Кто-то собирает тысячи ключей на бесплатных раздачах и оптом сдаёт продавцам с plati.ru. Так же наборы ключей можно купить и на ebay.

Продажа смешанных наборов ключей на ebay

В довершение этой категории расскажу реальный пример годичной давности. Некий нехороший человек восстанавливал доступ к личным кабинетам пользователей Ростелекома, переключал тариф на игровой, за который давали премиум в WoT, и перепродавал этот премиум по дешёвке. Большая часть абонентов Ростелекома начала возмущаться повышению тарифа, но не могли зайти в личный кабинет из-за неподходящего пароля, им становилось лень с этим разбираться, и они оставляли всё как есть. Кончилось это тем, что в Ростелекоме обязали операторов перезванивать абонентам чтобы убедиться, что смена тарифного плана была инициирована самим пользователем.

Можно перейти ко второй категории, которую я выделил, и первое и самое распространённое для чего используют чужие ящики – это массовые регистрации, для приумножения выгоды от бесплатных раздач, перелива голосований, формирования мнений. Так же в ящике могут настроить пересылку и организовать транзит, как в целях анонимности в виде промежуточного звена связи, так и в целях противодействия самому пользователю если он вдруг захочет восстановить доступ к какому-нибудь из сервисов, который ранее перехватил у него злоумышленник. Конечно же такой ящик можно использовать для рассылки спама, скама и фишинга. Он же может быть настроен как резервный для восстановления доступа к другому ящику с сохранением анонимности.

После всего написанного для некоторых людей злоумышленник может показаться человеком, который выхватывает пакет с мусором из мусорного контейнера и убегает в даль. Я думаю, это по-настоящему счастливые люди. Остальным я рекомендую серьёзнее относиться к своей безопасности в сети.

Надеюсь вышеизложенная информация будет кому-то полезна.