Больше не ваши файлы. Облачные хранилища и файлообменники глазами хакера

Салют, друзья! Сер­висы вро­де Яндекс.Диск, Google Drive или Dropbox — несомненно удоб­ное изоб­ретение: мож­но всег­да иметь под рукой нуж­ные файлы. Но если не заботить­ся о безопас­ности, то это удобс­тво обер­нется для вас утеч­кой важ­ных лич­ных дан­ных.

В этой статье я наг­лядно покажу, как облачные хра­нили­ща и фай­лооб­менни­ки прев­раща­ются в объ­екты хакер­ских атак, поз­воля­я похитить важ­ные докумен­ты и соб­рать матери­ал для шан­тажа.

Конечно, вла­дель­цы круп­ных фай­лооб­менни­ков совер­шенс­тву­ют защиту дан­ных и обыч­но пред­лага­ют двух­фактор­ную аутен­тифика­цию, но вари­ант с обыч­ными логином и паролем по‑преж­нему широко исполь­зует­ся людьми. Игра­ет ли это на руку хакерам? Однозначно да.

Спо­собов взло­ма множество: фишинг, сти­леры, перебор пароля и даже высоко­тех­нологич­ные ата­ки на про­вай­деров и опе­рато­ров сотовой свя­зи, при которых перех­ватыва­ются коды под­твержде­ния. Тем не менее, чаще все­го при­меня­ется метод credential stuffing — при котором для вхо­да исполь­зуют­ся учет­ные дан­ные из утек­ших баз. Вы же понимаете, люди ведь не любят при­думы­вать раз­ные пароли для раз­ных сер­висов, а менед­жер паролей, о котором я упоминал в статье за 30 мая, пока так и оста­ется тех­нологи­ей для прод­винутых поль­зовате­лей.

Сколько стоят чужие пароли?

Ко­неч­но же, учет­ными дан­ными активно тор­гуют в темных угол­ках интерне­та. Я знаю о таким местах и изучил для вас пред­ложения и цены. В сред­нем они такие:

• 300–350 дол­ларов за мил­лион ком­бинаций логин‑пароль или поч­та‑пароль;

• 400–500 дол­ларов за мил­лион ком­бинаций из кор­поратив­ных поч­товых ящи­ков и паролей к ним. Потен­циаль­но это наибо­лее лакомый кусочек для мошен­ников;

• 250 дол­ларов за мил­лион ком­бинаций в «мик­сован­ных базах», где могут попадать­ся любые домены.

Впро­чем, быва­ет как дешев­ле, так и дороже. Еще чаще попада­ются сами сли­тые базы, но раз­гре­бать гигант­ские дам­пы — отдель­ное и неп­ростое занятие.

В тех же местах можно приобрести стиллеры и другой софт, который поможет вам завладеть чужими данными. Цены на любой кошелек — от 30 до 500+ долларов

Что в чужом облаке лежит?

В моих в руках оказалось нес­коль­ко учет­ных записей, подоб­ных тем, что про­дают­ся на под­поль­ных форумах. Предлагаю провести небольшую экскурсию и заглянуть в них. Естес­твен­но, исклю­читель­но в иссле­дова­тель­ских целях :)

Пример 1. Заброшка

Пе­ред нами акка­унт Dropbox, соз­данный в Гер­мании. Внут­ри две пап­ки: одна пус­тая, в дру­гой — фотог­рафии авто­моби­лей и докумен­тов, веро­ятно свя­зан­ных с пов­режде­ниями этих авто­моби­лей. Все­го 161 сни­мок; пос­леднее изме­нение датиру­ется нояб­рем 2020 года.

Хакеру или шан­тажис­ту здесь ловить, ско­рее все­го, нечего, к тому же никакой активнос­ти на этом акка­унте уже дав­но нет, а зна­чит, веро­ятно, он заб­рошен. Как, по всей видимос­ти, и доб­рая полови­на про­дающих­ся уче­ток.

По­чему люди заб­расыва­ют свои хра­нили­ща? При­чин может быть мно­жес­тво, но самая рас­простра­нен­ная — это забытый пароль и нежела­ние копать­ся с его вос­ста­нов­лени­ем. Зато лич­ные дан­ные про­дол­жат там лежать годами.

Пример 2. Чужие паспорта

Сно­ва Dropbox, и содер­жимое на этот раз более, чем интересное.

Речь, естественно, не о фотог­рафи­ях вла­дель­ца, рас­сека­юще­го на сно­убор­де. Речь — о целом скла­де докумен­тов, явно при­над­лежащих не ему и не чле­нам его семьи.

Слож­но ска­зать, как вла­делец акка­унта соб­рал все это и с какой целью хра­нит. Воз­можно, он имел на это пол­ное пра­во. Но неп­рият­но здесь сосвсем дру­гое: мысль о том, что ска­ны вашего пас­порта или водитель­ско­го удос­товере­ния могут попасть (и регуляр­но попада­ют) в руки людям, которые не слы­шали об эле­мен­тарных мерах безопас­ности.

Пример 3. Кредитка

За­кинуть в Dropbox фотог­рафии вечери­нок — впол­не нор­маль­ная идея. А вот добав­лять к этой кол­лекции кре­дит­ную кар­ту, да еще и сфо­тог­рафиро­ван­ную с обе­их сто­рон… мяг­ко говоря, не очень.

В той же пап­ке лежал ворох докумен­тов хозяй­ки и дей­ству­ющий QR-код груп­пы в WhatsApp. Прав­да, все­го с одним учас­тни­ком. Заг­лядывать я пос­теснял­ся)

Пример 4. Платный акк

В этом акка­унте на Dropbox не было бы ничего при­меча­тель­ного, не будь он опла­чен на год впе­ред. При этом прак­тичес­ки не исполь­зовал­ся — занято все­го 3,6 Гбайт из 2 Тбайт.

По­хоже, акк прос­то забыт, и хакер может исполь­зовать его любым кре­атив­ным спо­собом.

Пример 5. Пароль в корзине

Сер­вис под наз­вани­ем pCloud не осо­бен­но известен, но и такие регулярно встре­чают­ся в базах ском­про­мети­рован­ных акка­унтов. При­меча­тель­но здесь вот что: если вы отвле­четесь от чужих фотог­рафий из отпуска и прис­мотритесь к панели сле­ва, то заметите, что там сре­ди про­чего перечис­лено шиф­рован­ное хра­нили­ще.

А еще там есть кор­зина, а в кор­зине — какие‑то фай­лы. В одном из них (он называл­ся wtf.dat) лежал длин­ный ключ, который успешно подошел к раз­делу с шиф­ровани­ем.

Ви­дим рос­сий­ские пас­порта, кре­дит­ки, пра­ва и стра­ховые удос­товере­ния.

Мо­раль: кор­зину нуж­но иног­да выб­расывать, а если кинули туда что‑то важ­ное, то луч­ше и очис­тить сра­зу.

Пример 6. Стволы

А вот и акка­унт, вла­делец которо­го фак­тичес­ки соб­рал на себя кол­лекцию готово­го ком­про­мата. Сре­ди уже при­выч­ных докумен­тов — его авто­пор­тре­ты с раз­ных ракур­сов, вклю­чая край­не интимные, а так­же ору­жие — обыч­ное и позоло­чен­ное.

Пример 7. Пиратство

Ес­ли вы дума­ете, что под­кован­ный по час­ти IT человек отно­сит­ся к защите сво­их дан­ных нам­ного серь­езнее, то вы оши­баетесь. Вот учет­ка на MediaFire, при­над­лежащая какому‑то рус­ско­гово­ряще­му товари­щу. Он скла­диру­ет там пират­ский софт и насоби­рал уже с пол­сотни прог­рамм и ути­лит.

До­рогой вла­делец, если ты вдруг сей­час узнал свое доб­ро, обра­ти вни­мание на то, что Disk Defrag Ultimate и некото­рые дру­гие твои фай­лы вызыва­ют бес­покой­ство у анти­виру­са. И конеч­но, беги менять пароли вез­де где толь­ко мож­но.

Пример 8. Inception

Ну уж хакеры‑то дол­жны что‑то понимать в защите акка­унтов? Дол­жны, конеч­но, и, ско­рее все­го, понима­ют. Но при­выч­ку сно­ва и сно­ва вби­вать в поле «пароль» одни и те же бук­вы изжить не так‑то прос­то. Даже ког­да собира­ешь­ся скла­диро­вать фай­лы типа «кар­тон.txt».

Че­го толь­ко не наш­лось в этом акка­унте на MediaFire: и раз­ные методы заработ­ка, и обу­чение кар­дингу, и какие‑то мут­ные схе­мы, и матери­алы для работы в этих схе­мах, и еще куча самой раз­ной незакон­ной инфы.

Вез­де, прав­да, ноль ска­чива­ний, так что перед нами, веро­ятно, бэкап. Я не ста­л прит­рагивать­ся к этим сом­нитель­ным рос­сыпям, и вам не советую.

Примеры 9 и 10. Спецы по ИБ

Ду­маете, это был еди­нич­ный слу­чай? Вот еще два акка­унта горе‑хакеров на Megaupload. В одном лежат кур­сы по Metasploit, набор ути­лит для взло­ма, какой‑то гайд по веб‑обо­роне.

А вот кто‑то хра­нит свои нас­тупатель­ные ути­литы: ска­нер веб‑уяз­вимос­тей — Acunetix уже уста­рев­шей вер­сии 10.0 и фрей­мворк Cobalt Strike.

Как не стать жертвой взлома?

Ду­маю, нет смысла говорить, что все рас­смот­ренные акка­унты не были защище­ны должным образом. Вла­дель­цам сто­ило соб­людать хотя бы базовые пра­вила циф­ровой гиги­ены.

Увер­нуть­ся от целевой ата­ки может быть проб­лематич­но, но боль­шинс­тво взло­мов — мас­совые. В их ходе для под­бора паролей при­меня­ются огромные базы или утеч­ки с раз­ных ском­про­мети­рован­ных сер­висов. Для защиты в таком слу­чае дос­таточ­но сле­довать прос­тым рекомен­даци­ям.

✅ Глав­ное из них — надеж­ные и, что даже более важ­но, раз­ные пароли. Для их соз­дания и хра­нения обыч­но исполь­зуют менед­жер паролей, о лучшем из них я уже рассказывал в статье за 30 мая.

✅ Двух­фактор­ная аутен­тифика­ция, хоть и име­ет свои огра­ниче­ния и недос­татки, но тоже ста­нет серь­езной прег­радой для жела­ющих подоб­рать ваш пароль. Не пре­неб­регайте ей, если есть воз­можность, и отда­вайте пред­почте­ние тем сер­висам, где она под­держи­вает­ся.

✅ Ну и наконец, шиф­рование — это пос­ледний бас­тион, который защитит важ­ные докумен­ты, даже если акка­унт таки взло­мают. Глав­ное — не ста­вить на кон­тей­нер все тот же пароль и не оставлять его лежать рядом!

При этом сами раз­работ­чики облачных сер­висов тоже не сидят сло­жа руки и дела­ют что могут, что­бы обе­зопа­сить дан­ные от поль­зовате­лей. Нап­ример, сер­висы Google не толь­ко вре­мя от вре­мени прис­тают с прось­бой добавить вто­рой фак­тор, но даже без него будут опо­вещать о попыт­ках дос­тупа к акка­унту, а брут­форс пре­сека­ют на кор­ню. Так что оста­ется все­го лишь не под­рывать и не игно­риро­вать все эти уси­лия.