Глава 1
Фишинг: как не попасть на крючок
Однажды ко мне обратился за помощью музыкальный продюсер Иосиф Пригожин. То, что он рассказал, меня слегка шокировало. Оказалось, у него и еще нескольких сотен его друзей и знакомых, среди которых, конечно, есть и известные артисты, и государственные деятели, взломали айфоны. И к нему начали приходить примерно такие SMS: «Здравствуйте, Иосиф и Валерия! Если вы не хотите, чтобы номера всех ваших контактов были выложены по всему интернету, напишите по этому адресу. Если не напишете, в ближайшее время мы выложим все в интернет». Еще SMS: «Иосиф, собираем на благие цели. Другого способа не нашли. Мы понимаем, что у вас много серьезных знакомых, но нас не достать. Так что лучше нам не ссориться. Дайте нам немного денег, и мы отстанем. А так не отстанем никогда. Менять номер бесполезно. Мы находим любые номера и постоянно будем выбрасывать все в интернет. Так что предлагайте сумму, сколько не жалко. Мы скажем, как нам ее зачислить, и все будут довольны. Ждем ответ на почту».
И похожие эсэмэски пришли всем. До этого с телефона на телефон были отправлены сообщения с угрозами и оскорблениями. Естественно, все начали друг другу звонить и писать с вопросами: «Ты что, с ума сошел?»
Но как такое возможно? Сразу стало понятно, что Иосиф и все его знакомые стали жертвами фишинга.
Что такое фишинг? По-английски fishing – это рыбалка. Стоишь себе с удочкой, ловишь плотву на муху или щуку на блесну. Но есть еще другое слово, которое звучит так же, а пишется иначе – phishing. И на этой рыбалке ловится уже совсем другая «рыба» – пароли. Самые разные – от электронной почты, от аккаунта в соцсети, от личного кабинета в банке. Люди, попавшиеся на эту удочку, понятия не имеют, что, оказывается, пожелали поделиться своими паролями. Ну так и рыба на крючке понятия не имела, что скрывается под вкусной наживкой. Иными словами, фишинг – это классический способ воровства паролей. Между прочим – реальное преступление. И за него существует наказание. Можно получить штраф и даже сесть в тюрьму.
Чаще всего фишинг осуществляется так. Вы собираетесь зайти на свою страницу в соцсети или личный кабинет. И попадаете вроде бы как раз на эту страницу, где у вас помимо обычного логина запрашивают личные данные. Вы видите реально в точности ту же картинку, какую привыкли видеть, заходя на данную страницу или сайт. Что происходит дальше?
Сразу скажу, что с банками все сложнее. Большинство банков ввело у себя дополнительную ступень идентификации. К примеру, после того как вы ввели логин и пароль в системе «Альфа-клик», вам на телефон приходит SMS с кодом, который необходим, чтобы попасть в личный кабинет. Поэтому фишинг банковских данных идет на двух уровнях. На первом уровне осуществляется кража вашего логина и пароля, а потом вам звонит человек, который представляется сотрудником банка, и говорит: «Здравствуйте, на ваш номер сейчас должна прийти или уже пришла SMS, не могли бы вы нам срочно сообщить цифры, которые там указаны? Дело в том, что у вас проблема с аккаунтом (или была попытка перевода со счета)». Примерно в половине случаев люди ведутся и называют цифры. Дело сделано! Мошенники получили доступ к вашему аккаунту.
Знакомые эксперты рассказали мне историю, случившуюся с прокурором одного из московских районов. Ему позвонили якобы из банка. Сказали, что его карту кто-то пытался взломать и нужно срочно подойти к банкомату и отправить все деньги на счет центрального отделения, чтобы обезопасить свои сбережения.
Человек был к такому совершенно не подготовлен. Он в жизни ни с чем подобным не сталкивался. Он заволновался, пошел к банкомату и отправил все деньги на номер счета, который ему указали по телефону.
Заподозрил неладное он только через некоторое время, когда не получил ответного звонка – мошенники из «банка» пообещали позвонить, когда угроза «взлома» минует и деньги будут возвращены обратно на счет. Прошел еще день, два, три… Тогда мужчина пошел в полицию и подал заявление. Но, к сожалению, сделать ничего не удалось. Ведь он сам перевел деньги – служба безопасности банка подняла записи с видеокамеры, установленной на банкомате. А телефонный звонок, как говорится, к делу не пришьешь, поэтому и доказать факт мошенничества в таких случаях нереально.
Что же касается фишинга паролей к соцсетям, там все проще. Это называется социальный инжиниринг. Вам приходит письмо с сообщением, что на вашем аккаунте сменился пароль, и предложением пройти по ссылке. Вы идете по ссылке и попадаете на сайт с почти таким же адресом, что у вашей соцсети – например, twitr, или twiter, или twitter.com.org, – вариантов сколько угодно. Вы вводите свой логин и пароль, система их запоминает и автоматически перебрасывает вас на реальный сайт. Реальный сайт пишет вам, что вы неправильно ввели логин и пароль. А у вас создается ощущение, что вы просто где-то опечатались – буковку пропустили или циферку удвоили. Так что вы спокойно вводите логин и пароль еще раз и входите в вашу систему. Но ваши данные уже остались у аферистов, которые дальше будут использовать их по своему усмотрению.
Например, берется база электронных адресов для рассылки спама – есть свободные базы в десятки и сотни миллионов адресов по России – и отправляется письмо, ну, скажем, от имени Ситибанка. Где написано примерно следующее: «Ваш перевод готов, две тысячи долларов с вашего счета сегодня будут отправлены. Если у вас не хватает средств, банк предоставит вам кредит, но перевод будет осуществлен в любом случае, не беспокойтесь». И дальше приписка: «Если вы хотите отменить перевод, пройдите по ссылке». Вы в панике, весь на нервах, кликаете ссылку, уже не замечая, какой там домен прописан в адресе сайта, трясущимися пальцами вбиваете логин и пароль, и… да, получаете сообщение о неправильном вводе данных. Фишинговая система уже запомнила нужную информацию и переправила вас на реальный сайт. Вы снова логинитесь, ищете информацию о переводе, естественно, не находите ее, звоните в банк, сотрудники которого подтверждают, что никаких переводов нет и не предвидится, – в общем, инцидент, как говорится, исчерпан. Вот только мошенники уже получили что хотели.
Точно так же можно выудить практически любую другую информацию. К примеру, при входе опять-таки в личный кабинет банка вы вдруг видите, что помимо логина и пароля теперь нужно указывать еще и год рождения. Или номер паспорта. Или еще что-то.
Кто стал первой жертвой в ситуации, когда взломали телефоны Пригожина и его друзей, теперь уже не выяснишь. Да это, в общем, и неважно. Преступникам достаточно было получить доступ всего лишь к одному аппарату. Может быть, его владелец получил эсэмэску со ссылкой на фишинговый сайт и прошел по ней. А может, просто сдавал свой телефон в ремонт. Так или иначе, полный список контактов с этого телефона оказался у мошенников – ну а потом эсэмэски со ссылкой на фишинговый сайт получили все. Примерно 15–20 % из них прошли по ссылке и ввели свой логин и пароль. Дальше – по цепочке.
С каждого телефона, к которому мошенники получали доступ, они скачивали видео– и фотоматериалы, включая интимные, все контакты, всю почту, все SMS. Включая, кстати, все, что было отправлено через iMessage – а эта служба сохраняет все сообщения с начала своего существования. На тот момент она работала уже больше года. То есть представьте – фактически в руки аферистов попадает вся ваша жизнь со всеми секретами. Тем более если вы человек публичный. Вообще, в случае со звездами даже папарацци не нужны – достаточно взломать мобильный. Не надо никуда ехать, караулить, когда можно будет сделать снимок. Самые-то классные фотки в телефоне! Домашние, семейные, интимные. Тем более что люди из шоу-бизнеса любят себя везде снимать.
Действительно, среди скачанного оказались интимные фото известной певицы – и она стала получать SMS с требованием заплатить полмиллиона рублей за то, чтобы эти фотографии не попали в интернет. Но надо же понимать – заплатить можно сколько угодно, шантажистов это не остановит.
Самое неприятное то, что фотографии обнаженной девушки все равно оказались в интернете. Причем были выложены через ее же аккаунт в Инстаграме – само собой, тоже взломанный. А в таких случаях практически невозможно доказать, что это не ты сам устроил себе такой дешевый пиар.
Хотя что там взламывать – у шантажистов уже были пароли ко всему. Для пользователей айфонов существует система iCloud – это облачный сервис, где сохраняется все, что есть на вашем телефоне. Все пароли, все фото, все видео, все документы, вся переписка, все-все-все – и в том числе пароли к соцсетям и электронной почте. Преступники просто открыли Инстаграм певицы и выложили ее фотографии. Конечно, она сразу же зашла и удалила компромат – но все, что попадает в сеть, остается в сети. Фотографии в считаные секунды успели разлететься десятками и сотнями копий. Неприятно – как минимум.
Самая известная история подобного взлома была в 2005 году. Молодой хакер – его имя до сих пор неизвестно – вскрыл телефон Пэрис Хилтон и выложил все найденное в сеть. Связь Пэрис Хилтон обеспечивала компания T-Mobile. В это время их как раз очень активно взламывали – они выпустили много новых гаджетов, пользующихся беспроводными соединениями. Хакера поймали, дали какой-то небольшой срок. В том же году с T-Mobile произошла совсем уже из ряда вон выходящая ситуация – у них взломали шестнадцать миллионов аккаунтов. Среди них были и звезды, в том числе и Кристина Агилера, и Деми Мур, чья любовная переписка с Эштоном Кутчером полностью попала в сеть со всеми видео, фото и т. п. Кроме того, одним из этих шестнадцати миллионов оказался сотрудник Секретной службы Соединенных Штатов Америки, который на своей почте хранил секретные документы. Сотрудник, кстати, был не из последних, он занимался взаимоотношениями с аналогичными иностранными службами. У него, например, хранился подписанный договор между Секретной службой и ФСО России, где обсуждалось взаимодействие двух спецслужб. И ко всем этим документам хакер получил доступ.
Вообще хакерство в последние годы стало необычайно популярным занятием. Просто потому, что в сети можно найти любую информацию, любые инструкции по этому вопросу: как взламывать, как писать шпионские программы и вирусы. И многие молодые люди видят в этом интерес. Взломать, открыть, узнать секреты… Искоренить хакерские сайты невозможно. Они находятся на разных серверах, в разных странах. У каждой страны – свои законы. Если вы возьмете хостинг, к примеру, в Африке, а там нет соответствующего закона, вы не обязаны никого слушаться.
Допустим, хакера вычислят. В России ему грозит уголовное преследование и срок от трех до пяти лет. Но это если он физически находится здесь. Ну или, скажем, в Белоруссии. А если в Таиланде или Сингапуре? У нас с этими странами нет договора о выдаче преступников. И большинство хакеров учитывают такие тонкие моменты, предпочитая работать из-за рубежа.
Точно так же сложно привлечь хакеров к ответственности за преступление, совершенное, скажем, на территории Соединенных Штатов. Потому что со всей Европой у Америки есть договоры о выдаче – а с Россией нет. Россия не выдает своих граждан. Поэтому они спокойно здесь работают, если только их деятельность не подпадает под действие законов Российской Федерации. Даже если из другой страны приходит официальный запрос, его проработают и будут ждать, пока эти люди совершат какое-то правонарушение на территории России.
Приходится их выманивать – отсюда все эти истории о том, как хакеру предложили высокооплачиваемую работу в английской или немецкой корпорации или пригласили на закрытый хакерский слет где-нибудь в Амстердаме и арестовали в аэропорту по прилете.
Сейчас более 60 % сетевого трафика идет через мобильные устройства. Соответственно, и угроза взлома и заражения вирусами для телефонов гораздо выше. По статистике, телефоны взламывают в три раза чаще, чем компьютеры. И не надо думать, что если у вас айфон, то вы неуязвимы. Все уязвимы. Даже я.
Считается, что мобильные устройства Apple меньше подвержены вирусам, потому что все программы для них приобретаются строго через iTunes и AppStore. Да, если ваш айфон или айпад взломан специальной программой, вы можете закачивать на него сторонние приложения, не авторизированные Apple. Но эти приложения не прошли проверку, в том числе на вирусы, которой в Apple занимается целый отдел. Чтобы разработанное вами приложение смогло туда попасть, вам придется пройти через два-три месяца проверок, причем вам несколько раз откажут по причине несоответствия тех или иных параметров заданным требованиям. Android, напротив, работает на принципах открытого кода. Всегда можно выбрать в настройках телефона пункт «принимать сторонние программы» – тогда необязательно обращаться к Google Play.
И все же в какой-то момент многолетние заявления Apple о том, что их система неуязвима для вирусов и ее невозможно хакнуть, оказались опровергнуты. Группе хакеров удалось ради эксперимента внедрить на AppStore несколько программ с вирусом внутри. Apple их проверил, принял и выставил. Причем одна из этих программ была платной – а ведь принято утверждать, что надежность платных программ в плане защиты от вирусов гораздо выше, чем бесплатных, так как платные программы проверяются максимально тщательно. Так вот, ничего подобного: как я уже сказал, одна из отправленных хакерами на AppStore программ стоила два доллара, люди ее покупали – а внутри нее сидел так называемый троянский вирус, который мог собирать и данные по кредитным картам, и статистику посещений тех или иных сайтов, и контакты. Потом эти программы удалили, но факт остается фактом.
Что же делать? Сжечь свой мобильный телефон и никогда больше им не пользоваться? Вовсе нет. Просто не ленитесь регулярно осуществлять некоторые несложные действия, чтобы снизить для себя риски.
В свое время я был неприятно поражен тем, сколько народу не соблюдают элементарных правил безопасности. Например, по статистике примерно у 50 % пользователей до сих пор стоит на голосовой почте в телефоне пароль 1111. Или 1234. Это значит, что можно позвонить в службу голосовых сообщений, набрать любой интересующий номер телефона, ввести какой-либо из двух паролей и с большой вероятностью прослушать все голосовые сообщения, которые приходили на этот телефон.
А бывает, что вообще никакие пароли не используются. Взять хотя бы бесплатный wi-fi в городе. Передача данных по нему ничем не защищена. Люди приходят со своими телефонами и планшетами, например, в кафе, садятся на эти бесплатные сети и дальше ведут себя в интернете как обычно – смотрят и отправляют почту, заходят в социальные сети. Но пока пароль от вашей электронной почты дойдет до стоящего в кафе роутера, он ничем не защищен. Представьте, что вы отправляете свои пароли в прозрачном конверте. И любой хакер, который находится в этой же сети, может совершенно спокойно эти пароли просмотреть.
Есть такая компания – LookOut, она занимается защитой мобильных данных. Ее основатели однажды уселись рядом со зданием, где проводилась церемония вручения «Оскара», с компьютером, который сканировал все мобильные устройства в радиусе нескольких метров. Так вот, за те три часа, пока звезды шли по красной ковровой дорожке, удалось собрать данные более чем со ста телефонов. То есть в карманах или сумочках звезд, естественно, лежали мобильные телефоны, а люди со сканером собирали их данные, когда они проходили мимо. Просто чтобы показать, что это возможно и на самом деле очень легко.
Итак, как же себя обезопасить? В первую очередь ставьте везде пароли и не забывайте их периодически менять. Не надо лениться ввести несколько цифр, перед тем как зайти в список контактов. Не выходите в незащищенные сети wi-fi. Будьте аккуратнее с присланными ссылками – даже если они пришли по электронной почте от ваших друзей. Не забывайте, что существует фишинг, и может оказаться так, что ваш друг на самом деле ничего вам не присылал, а ссылка приведет вас на хакерский сайт.
Не ходите по ссылкам в SMS. Помните, что ни компания Apple, ни компания Google не высылают никаких ссылок просто так, тем более на мобильный телефон. Тем более с предложением поменять контрольные вопросы на аккаунте, потому что они «плохие». Если бы они были плохие, вы бы узнали об этом еще в момент регистрации. Это, кстати, еще один вариант «подставы», на которую люди часто попадаются – потому что сообщение приходит по iMessage якобы из штаб-квартиры Apple. У нас многие почему-то считают, что можно доверять любой эсэмэске, якобы отправленной из Соединенных Штатов от Apple. Но вообще-то любой американский номер можно взять в аренду за один доллар за три минуты через интернет.
Решившись пройти по ссылке, всегда проверяйте, туда ли вы зашли. Смотрите, что написано вверху экрана, в адресной строке. Адрес должен быть тем же, какой вы набирали бы сами. Если же вы только собираетесь пройти по ссылке, браузер все равно покажет вам нужную информацию. Если навести стрелку курсора на ссылку, внизу в маленьком окошечке появится адрес, на который эта ссылка ведет.
Итак, как же себя обезопасить? В первую очередь ставьте везде пароли и не забывайте их периодически менять. Не надо лениться ввести несколько цифр, перед тем как зайти в список контактов. Не выходите в незащищенные сети wi-fi. Будьте аккуратнее с присланными ссылками – даже если они пришли по электронной почте от ваших друзей. Не забывайте, что существует фишинг, и может оказаться так, что ваш друг на самом деле ничего вам не присылал, а ссылка приведет вас на хакерский сайт.
Конечно, для непрофессионала это сложно. Можно запутаться. Тем более что, получая точно такое же письмо из банка или от соцсети, как все остальные письма, многие люди начинают нервничать, кликают по ссылке машинально, не проверив, куда она ведет, – и попадаются на удочку. Даже я так делаю – потому что, к сожалению, невозможно все время быть внимательным.
Обязательно поставьте фаерволл на домашний компьютер. Я не буду здесь вдаваться в подробности – просто наберите в поисковике: «как защитить свой компьютер» или «как защитить мобильный телефон». Существует масса схем, программ и приложений – есть из чего выбрать. Выключите удаленный доступ, который по умолчанию стоит на всех компьютерах, иначе к вам в принципе может зайти кто угодно и что угодно скачать или установить.
Старайтесь не скачивать пиратский контент. 75 % фильмов и музыки, которые можно бесплатно скачать в сети, заражено вирусами. А что, вы действительно думали, что это все бесплатное? Но бесплатный сыр бывает только в мышеловке, и интернет тут не исключение.
Меня спрашивали, поддаются ли фишингу программы управления банковским счетом, работающие с мобильных устройств, минуя браузер. Увы, да. Поддаются. Все поддается. Здесь можно сказать так: если кто-то что-то придумал, кто-то другой обязательно придумает, как это что-то вскрыть или сломать. А иначе не было бы прогресса – зачем вводить усовершенствования, если и так все хорошо и безопасно? Так что хакеры, конечно, зло – но они помогают компаниям совершенствовать свои продукты и системы безопасности, находя лазейки и уязвимые места. Это их маленькая добрая слава, которую я не стану отрицать.