Атаки на репутацию — интересные примеры из практики
#информационные войны #hackandsecurity
Также читайте меня тут: Telegram и Вконтакте
Репутационные атаки – очень популярный способ сегодня испортить жизнь конкретному человеку или организации. В этой статье я разберу несколько интересных случаев из своей практики, которые наглядно продемонстрируют простоту этого типа атак.
PS: речь пойдет про репутационные атаки на физических лиц и мы не будем обсуждать наши шаги в расследовании. Основной акцент сделаем именно на самих примерах и их последствиях.
PSS: все кейсы видоизменены в целях конфиденциальности.
«Угон аккаунта»
🗣 Фабула
К нам обратился за консультацией менеджер одного медийного человека, у которого взломали instagram аккаунт. Сразу же после взлома злоумышленники изменили пароль и, тем самым, контроль был полностью перехвачен. Аккаунт в случае нашего клиента – это большая часть его доходов (реклама) и «рупор для высказываний», так как аудитория очень лояльная и большая.
Соответственно, при захвате аккаунта можно:
- Какое-то время транслировать определенные мысли, которые выгодны злоумышленникам.
- Получить из личных сообщений компрометирующую человека информацию или выложить заранее подготовленные вбросы.
- Обмануть клиентов с рекламными контрактами (или подписчиков) и разово заработать довольно много денег и снова ухудшить репутацию и т.д.
В нашем случае у клиента было заключено несколько рекламных контрактов в виде постов, которые должны были быть выложены в течении 2-ух дней. Обязательства клиент нарушил, так как аккаунт не удалось вернуть в короткие сроки. Помимо этого вышло несколько постов очень “не хорошего содержания”.
❓ Как так вышло
У нашего клиента полностью отсутствовало понимание цифровой гигиены.
- Использовался одинаковый пароль на всех ресурсах и почтах на протяжении многих лет.
- Не была включена 2FA.
- Все аккаунты привязаны к одной почте и номеру телефона.
“Точка входа” была очень простой: злоумышленник нашел слитые в утечках пароли нашего клиента и без всяких брутфорсов спокойно зашел в аккаунт. Логином была единственная электронная почта. Тут даже не нужно было перевыпускать симку для перехвата смс или использовать соц.инженерию.
💰 Стоимость атаки
Стоимость электричества, интернета и время “исполнителя”.
🔒 Защитные меры
Просто следовать трём правилам выше: сложные пароли (и разные на разных сервисах), включённая двухфакторка и «не складывать все яйца в одну корзину» (не нужно привязывать все свои аккаунты на одну почту и номер телефона).
Все это не панацея, но делает ваш взлом в большинстве случаев экономически не выгодным.
Может показаться, что подобной безответственности не бывает (особенно, когда твой аккаунт – это основной финансовый и репутационный актив), но на практике мы видим такие истории через раз. Не даром все последние годы в рейтинг самых популярных паролей по всему миру входят qwerty, 123456 и прочее (кто не верит, вот пример за 2021г: https://iz.ru/1278906/natalia-ilina/liubov-ne-spaset-mir-nazvany-samye-populiarnye-paroli-2021-goda)
Теги в getcontact
🗣 Фабула
Мы очень удивились с коллегами, когда впервые обнаружили этот тип репутационной атаки. Все слышали про нашумевшее приложение getcontact (если нет, то посмотрите наше видео: https://www.youtube.com/watch?v=rEj6_ZXxMYE&t=5s).
Рассмотрим сам метод.
- Злоумышленник узнает ваш основной номер телефона. Узнать его при наличии сотен утечек и базовых “ботов для пробива”, крайне просто.
- Далее покупается несколько сим карт со старыми смартфонами и в них заводится несколько телефонных номеров (любых) + номер цели.
- Потом на каждом телефоне искомый номер переименовывается в “Василий Иванович — обнал” или “Степан Петрович — помощь с кладом”, или “Денис алкаш постоянно буянит”. Далее устанавливается гетконтакт, чтобы подцепить все эти прелести к себе в базу.
У одного из наших клиентов количество “компрометирующих тегов” было около 50 шт. Может возникнуть сомнение в данном способе по причине того, что об этом мало кто вообще знает. Так вот данный метод рассчитан на определенных людей, которых будут проверять перед предполагаемой встречей. Мы такое видели с рядом бизнесменов, как часть информационной атаки. Обычно перед заключением важных сделок или просто перед знакомством такие люди всегда проверяют вторую сторону на предмет возможных рисков. В ходе подобной проверки всегда есть графа с тегами гетконтакта, так как подобная информация довольно интересная сама по себе.
Думаю, что способ понятен и его последствия тоже. Используется подобная атака не только на бизнесменов, но и, к примеру, чтобы подставить жену/мужа в ходе проверки детективом на “супружескую верность”. Тоже встречали подобный кейс с большим количеством тегов на номер телефона мужа: “Пуся”, “Сладкий”, “Валера Белорусская самец”, “Валерий клиент салона на Белорусской”, “Пупс Сочи 2020” и т.д.
💰 Стоимость атаки
Стоимость самых простых смартфонов, на которых можно скачать приложение из маркета + симки. Если у злоумышленника есть 100 тыс.р, то можно создать, как минимум, 11–12 уникальных тэгов в гетконтакт.
🔒 Защитные меры
На самом деле их не много. Единственное, что вы можете сделать — постараться не светить свой личный номер телефона в сети и не привязывать все свои цифровые активы на этот номер. Реализовать это не просто, но возможно, даже если сейчас у вас ситуация противоположная. На 100% это проблему не решит, но немного усложнит жизнь злоумышленникам.
Дети сажают взрослых
🗣 Фабула
Все слышали про различные схемы шантажа в интернете. В 99% случаев подобное направлено на вытягивание денег, но бывают и более изощренные способы.
Однажды мы столкнулись с кейсом классического “полового мошенничества”. Это когда человеку в соцсетях пишет привлекательная девушка и планомерно разводит его на обмен интимными фото, а после говорит, что обвинит в 134 ст. УК, так как она якобы несовершеннолетняя. Далее идет развод на деньги и угрозы в стиле “я разошлю все это твоим друзьям и родным”, “я напишу на тебя заявление” и т.д. В нашем случае история была немного иной, именно поэтому можно отнести ее к репутационной атаке. Злоумышленник использовал переписку с клиентом в качестве “аргумента”, чтобы он выполнил определенные действия. Клиент все сделал, но по итогу фото и переписки слили работодателю, который не стал разбираться в ситуации и просто предложил “заявление по собственному”. Для сферы деятельности, которой занимался наш клиент, репутация стоило очень дорого и слухи про “любовь к несовершеннолетним” могли полностью уничтожить его.
❓ Как так вышло
Это просто классика психологии с точки зрения базовых человеческих потребностей. Секс, как легенда “захода” при правильном исполнении всегда отлично работает. Далее давление на рептильную систему — страх. Самое интересное, что мошенник в 9 случаях из 10, естественно, совершеннолетний. Просто в момент “развода”, когда человек поддается страху, он об этом не всегда задумывается.
💰 Стоимость атаки
Стоимость электричества, интернета и время “исполнителя”. Еще возможные расходы на настройку машины и средства анонимизации.
🔒 Защитные меры
По моему тут все довольно очевидно. Не стоит скидывать свои интимные фото кому попало в интернете и вообще вести диалоги с сексуальным подтекстом, если вы не уверены на 100%, что человек на той стороне совершеннолетний.
Давайте подведем итоги.
- Многие репутационные атаки не стоят почти ничего, кроме времени исполнителя и оплаченного интернета.
- Многие известные мошеннические схемы могут быть переделаны под нужды репутационных атак.
- Исполнителем подобных атак может быть даже школьник, так как они очень простые.
- Снизить риск подобных атак можно просто придерживаясь простых правил цифровой гигиены.
Существуют и другие интересные примеры репутационных атак, которые мы с коллегами встречали в своей практике. Возможно, как-нибудь напишу и про них.
Всем мира ✋🏻