Атаки на репутацию — интересные примеры из практики

#информационные войны #hackandsecurity

Также читайте меня тут: Telegram и Вконтакте

Репутационные атаки – очень популярный способ сегодня испортить жизнь конкретному человеку или организации. В этой статье я разберу несколько интересных случаев из своей практики, которые наглядно продемонстрируют простоту этого типа атак.

PS: речь пойдет про репутационные атаки на физических лиц и мы не будем обсуждать наши шаги в расследовании. Основной акцент сделаем именно на самих примерах и их последствиях.

PSS: все кейсы видоизменены в целях конфиденциальности.

«Угон аккаунта»

🗣 Фабула

К нам обратился за консультацией менеджер одного медийного человека, у которого взломали instagram аккаунт. Сразу же после взлома злоумышленники изменили пароль и, тем самым, контроль был полностью перехвачен. Аккаунт в случае нашего клиента – это большая часть его доходов (реклама) и «рупор для высказываний», так как аудитория очень лояльная и большая.

Соответственно, при захвате аккаунта можно:

• Какое-то время транслировать определенные мысли, которые выгодны злоумышленникам.
• Получить из личных сообщений компрометирующую человека информацию или выложить заранее подготовленные вбросы.
• Обмануть клиентов с рекламными контрактами (или подписчиков) и разово заработать довольно много денег и снова ухудшить репутацию и т.д.

В нашем случае у клиента было заключено несколько рекламных контрактов в виде постов, которые должны были быть выложены в течении 2-ух дней. Обязательства клиент нарушил, так как аккаунт не удалось вернуть в короткие сроки. Помимо этого вышло несколько постов очень “не хорошего содержания”.

❓ Как так вышло

У нашего клиента полностью отсутствовало понимание цифровой гигиены.

• Использовался одинаковый пароль на всех ресурсах и почтах на протяжении многих лет.
• Не была включена 2FA.
• Все аккаунты привязаны к одной почте и номеру телефона.

“Точка входа” была очень простой: злоумышленник нашел слитые в утечках пароли нашего клиента и без всяких брутфорсов спокойно зашел в аккаунт. Логином была единственная электронная почта. Тут даже не нужно было перевыпускать симку для перехвата смс или использовать соц.инженерию.

💰 Стоимость атаки

Стоимость электричества, интернета и время “исполнителя”.

🔒 Защитные меры

Просто следовать трём правилам выше: сложные пароли (и разные на разных сервисах), включённая двухфакторка и «не складывать все яйца в одну корзину» (не нужно привязывать все свои аккаунты на одну почту и номер телефона).

Все это не панацея, но делает ваш взлом в большинстве случаев экономически не выгодным.

Может показаться, что подобной безответственности не бывает (особенно, когда твой аккаунт – это основной финансовый и репутационный актив), но на практике мы видим такие истории через раз. Не даром все последние годы в рейтинг самых популярных паролей по всему миру входят qwerty, 123456 и прочее (кто не верит, вот пример за 2021г: https://iz.ru/1278906/natalia-ilina/liubov-ne-spaset-mir-nazvany-samye-populiarnye-paroli-2021-goda)

Теги в getcontact

🗣 Фабула

Мы очень удивились с коллегами, когда впервые обнаружили этот тип репутационной атаки. Все слышали про нашумевшее приложение getcontact (если нет, то посмотрите наше видео: https://www.youtube.com/watch?v=rEj6_ZXxMYE&t=5s).

Рассмотрим сам метод.

• Злоумышленник узнает ваш основной номер телефона. Узнать его при наличии сотен утечек и базовых “ботов для пробива”, крайне просто.
• Далее покупается несколько сим карт со старыми смартфонами и в них заводится несколько телефонных номеров (любых) + номер цели.
• Потом на каждом телефоне искомый номер переименовывается в “Василий Иванович — обнал” или “Степан Петрович — помощь с кладом”, или “Денис алкаш постоянно буянит”. Далее устанавливается гетконтакт, чтобы подцепить все эти прелести к себе в базу.

У одного из наших клиентов количество “компрометирующих тегов” было около 50 шт. Может возникнуть сомнение в данном способе по причине того, что об этом мало кто вообще знает. Так вот данный метод рассчитан на определенных людей, которых будут проверять перед предполагаемой встречей. Мы такое видели с рядом бизнесменов, как часть информационной атаки. Обычно перед заключением важных сделок или просто перед знакомством такие люди всегда проверяют вторую сторону на предмет возможных рисков. В ходе подобной проверки всегда есть графа с тегами гетконтакта, так как подобная информация довольно интересная сама по себе.

Думаю, что способ понятен и его последствия тоже. Используется подобная атака не только на бизнесменов, но и, к примеру, чтобы подставить жену/мужа в ходе проверки детективом на “супружескую верность”. Тоже встречали подобный кейс с большим количеством тегов на номер телефона мужа: “Пуся”, “Сладкий”, “Валера Белорусская самец”, “Валерий клиент салона на Белорусской”, “Пупс Сочи 2020” и т.д.

💰 Стоимость атаки

Стоимость самых простых смартфонов, на которых можно скачать приложение из маркета + симки. Если у злоумышленника есть 100 тыс.р, то можно создать, как минимум, 11–12 уникальных тэгов в гетконтакт.

🔒 Защитные меры

На самом деле их не много. Единственное, что вы можете сделать — постараться не светить свой личный номер телефона в сети и не привязывать все свои цифровые активы на этот номер. Реализовать это не просто, но возможно, даже если сейчас у вас ситуация противоположная. На 100% это проблему не решит, но немного усложнит жизнь злоумышленникам.

Дети сажают взрослых

🗣 Фабула

Все слышали про различные схемы шантажа в интернете. В 99% случаев подобное направлено на вытягивание денег, но бывают и более изощренные способы.

Однажды мы столкнулись с кейсом классического “полового мошенничества”. Это когда человеку в соцсетях пишет привлекательная девушка и планомерно разводит его на обмен интимными фото, а после говорит, что обвинит в 134 ст. УК, так как она якобы несовершеннолетняя. Далее идет развод на деньги и угрозы в стиле “я разошлю все это твоим друзьям и родным”, “я напишу на тебя заявление” и т.д. В нашем случае история была немного иной, именно поэтому можно отнести ее к репутационной атаке. Злоумышленник использовал переписку с клиентом в качестве “аргумента”, чтобы он выполнил определенные действия. Клиент все сделал, но по итогу фото и переписки слили работодателю, который не стал разбираться в ситуации и просто предложил “заявление по собственному”. Для сферы деятельности, которой занимался наш клиент, репутация стоило очень дорого и слухи про “любовь к несовершеннолетним” могли полностью уничтожить его.

❓ Как так вышло

Это просто классика психологии с точки зрения базовых человеческих потребностей. Секс, как легенда “захода” при правильном исполнении всегда отлично работает. Далее давление на рептильную систему — страх. Самое интересное, что мошенник в 9 случаях из 10, естественно, совершеннолетний. Просто в момент “развода”, когда человек поддается страху, он об этом не всегда задумывается.

💰 Стоимость атаки

Стоимость электричества, интернета и время “исполнителя”. Еще возможные расходы на настройку машины и средства анонимизации.

🔒 Защитные меры

По моему тут все довольно очевидно. Не стоит скидывать свои интимные фото кому попало в интернете и вообще вести диалоги с сексуальным подтекстом, если вы не уверены на 100%, что человек на той стороне совершеннолетний.

Давайте подведем итоги.

1. Многие репутационные атаки не стоят почти ничего, кроме времени исполнителя и оплаченного интернета.
2. Многие известные мошеннические схемы могут быть переделаны под нужды репутационных атак.
3. Исполнителем подобных атак может быть даже школьник, так как они очень простые.
4. Снизить риск подобных атак можно просто придерживаясь простых правил цифровой гигиены.

Существуют и другие интересные примеры репутационных атак, которые мы с коллегами встречали в своей практике. Возможно, как-нибудь напишу и про них.

Всем мира ✋🏻

Также читайте меня тут: Telegram и Вконтакте