Двухфакторная аутентификация оказывается неэффективной

Киберпреступники крадут пароли Uber, ломая домашние сети, и продают их всего за 10 долларов.

Хакерство расширяется — от вымогательства и кражи данных до манипуляций в социальных сетях, угрожая как частным лицам, так и организациям. Злоумышленники обходят даже двухфакторную аутентификацию, используя скомпрометированные устройства. Об этом и многом другом на киберфестивале Positive Hack Days 25 рассказал эксперт по кибербезопасности с опытом работы в Visa, Deloitte, технический директор Dark Entry Эбрахем Хегази. Как проверять свои устройства на наличие взломов и контролировать синхронизацию паролей между гаджетами для предотвращения утечек данных — в материале PRO Шеринг.

Понимание кибератак и кражи данных

Недавний случай взлома Uber высветил уязвимости, возникающие из-за недостаточной защиты личных устройств сотрудников и активной торговли в даркнете. Злоумышленники смогли похитить пароли сотрудников Uber из скомпрометированной домашней сети, возможно, через уязвимую учетную запись Gmail. Эти украденные учетные данные были упакованы в zip-файл и предложены к продаже на «Russian Market» – известной онлайн-платформе для киберпреступников. Примечательно, что доступ к виртуальной частной сети (VPN) Uber продавался всего за 10 долларов. Воспользовавшись этим, 18-летний хакер купил zip-файл и получил несанкционированный доступ к внутренней сети Uber, рассказал в рамках сессии «Что даркнет знает о нас» киберфестиваля Positive Hack Days 25 в Лужниках эксперт по кибербезопасности с опытом работы в Visa, Deloitte, технический директор Dark Entry Эбрахем Хегази.

Этот инцидент подчеркивает, насколько легко злоумышленники могут проникнуть в корпоративную систему безопасности, используя относительно недорогие средства и эксплуатируя слабые места в безопасности личных устройств, отметил он. Так площадка в даркнете «Russian Market» функционирует на коммерческой основе, взимая 15 долларов за доступ к своему нелегальному контенту. Другие киберпреступные группы, такие как «Book Victory», применяют аналогичную тактику, предлагая украденные данные для продажи и занимаясь двойным вымогательством – требуя выкуп как от компаний-жертв, так и от потенциальных покупателей, стремящихся использовать украденную информацию.

Хотя «Book Victory» была известна своей деятельностью в таких регионах, как Египет, с использованием платежных систем, таких как Huawei, и однажды была связана с утечкой данных Etisalat, инцидент с Uber подчеркивает потенциал для широкого распространения ущерба и сбоев, когда корпоративные сети скомпрометированы через, казалось бы, незначительные уязвимости. Этот инцидент служит важным тематическим исследованием для компаний, чтобы пересмотреть свои протоколы безопасности, сосредоточив внимание на обучении сотрудников, политиках безопасного удаленного доступа и надежном мониторинге сетевого трафика, считает Эбрахем Хегази.

Алгоритм вымогателей и эксплуатации данных

Группы, занимающиеся вымогательством, используют все более изощренные методы. Помимо традиционного шифрования файлов с последующим требованием выкупа за их расшифровку, злоумышленники переходят к тактике «двойного вымогательства». Этот подход заключается в краже конфиденциальных данных перед их шифрованием, что позволяет угрожать жертве публикацией украденной информации, если выкуп не будет выплачен. Некоторые группировки также применяют тактику управляемого вымогательства, сочетая шифрование данных с DDoS-атаками на инфраструктуру жертвы.

При анализе взломанных систем исследователи обнаруживают детальную информацию о скомпрометированных устройствах. В частности, «обнаруженная информация о пользователе» содержит IP-адрес компьютера, версию операционной системы (например, Windows Enterprise или Home), имя контроллера домена и имя локального компьютера. Вредоносное ПО также делает скриншоты экрана, чтобы злоумышленник мог оценить контекст заражения. Кроме того, фиксируется список запущенных процессов и, что особенно важно, файлы, содержащие синтаксис паролей. Эти данные позволяют злоумышленникам получить доступ к широкому спектру учетных записей и сервисов. Ключевым элементом анализа является выявление местоположения файлов, что помогает понять, как именно произошло заражение.

Вредоносное ПО позволяет не только похищать данные, но и точно определять местонахождение скомпрометированного устройства. Анализ «информации о пользователе» позволяет компаниям установить, где находится зараженный ноутбук – в корпоративной сети или дома у сотрудника. Это можно определить по IP-адресу, используемому антивирусному программному обеспечению (например, только Windows Defender указывает на домашнее использование) и другим характеристикам устройства.

Скриншоты, сделанные вредоносным ПО, предоставляют дополнительную информацию о действиях пользователя, предшествовавших заражению. В рассмотренном примере сотрудник посетил веб-сайт Samuqadir.com и скачал файл file.cnc. Дальнейший анализ показал, что это взломанная версия программы Camtasia для записи экрана.

Наиболее ценными данными, похищенными вредоносным ПО, являются учетные данные, хранящиеся в формате URL, имени пользователя, пароля и названия приложения. Важно понимать, как хакеры получают доступ к этим данным, даже если они зашифрованы в браузере. Существует несколько способов: во-первых, кейлоггинг – перехват введенных с клавиатуры данных, включая имена пользователей и пароли. Во-вторых, кража паролей, хранящихся в учетной записи Gmail. Эти методы позволяют злоумышленникам обходить традиционные меры безопасности и получать доступ к конфиденциальной информации.

Похищенные данные позволяют установить взаимосвязь между различными устройствами пользователя. Обнаружение учетных данных приложения Facebook для Android указывает на то, что сотрудник использовал один и тот же аккаунт Gmail как на своем Android-смартфоне, так и на корпоративном ноутбуке. Таким образом, взлом домашнего ноутбука позволил злоумышленникам получить доступ к учетным данным, используемым на различных устройствах. Вредоносное ПО, запущенное на зараженном компьютере, ожидает аутентификации пользователя, после чего похищает пароль из памяти.

Важно отметить, что в данном случае двухфакторная аутентификация оказывается неэффективной. Поскольку ноутбук уже взломан, злоумышленник может получить доступ к файлам cookie и сессионным данным, которые используются для идентификации пользователя. Например, скопировав файлы cookie с сайта hsvc.net, хакер может войти в систему под именем взломанного пользователя, обходя двухфакторную аутентификацию. Это демонстрирует, что компрометация устройства может нейтрализовать даже самые современные методы защиты учетных записей.

Даже если двухфакторная аутентификация не сработала, взломанные компьютеры остаются ценным активом для злоумышленников. Если хакер получил доступ к сотням тысяч компьютеров, зараженных вредоносным ПО, что он будет искать в первую очередь? Помимо банковских счетов и других способов прямого извлечения прибыли, аккаунты в социальных сетях представляют значительный интерес.

Имея контроль над множеством аккаунтов в Facebook, Instagram и других платформах, злоумышленники могут манипулировать общественным мнением, создавая тренды и распространяя определенные сообщения. Подобная тактика, по мнению экспертов, использовалась для влияния на результаты выборов в США. Десятки тысяч поддельных аккаунтов распространяли сообщения, направленные на формирование определенного мнения о кандидатах.

Контролируя аккаунты в социальных сетях, злоумышленники могут влиять на восприятие информации, формировать тренды и даже вмешиваться в политические процессы. Кроме того, они могут продавать доступ к скомпрометированным учетным записям другим злоумышленникам, предлагая, например, «взломать Uber» через украденные учетные данные VPN.

Профилактические меры и лучшие практики для безопасности

Утечка персональных данных (PII) представляет серьезную угрозу, поскольку маркетинговые компании и злоумышленники могут использовать эту информацию. По оценкам, доступно около 25 миллиардов записей, включающих данные 3 миллиардов уникальных пользователей. Чтобы защитить себя от атак, эксперты рекомендуют проявлять бдительность в интернете.

В частности, распространены фишинговые схемы на платформах вроде Facebook. Злоумышленники могут компрометировать страницы с использованием вредоносного кода, предлагая, например, «бесплатный доступ к улучшенной версии Google AI» и запрашивая загрузку файла. Важно всегда проверять доменные имена сайтов. Пример: вместо «Phase 2.0» может использоваться «Phase B.T.O.O.K». Длинный URL часто затрудняет идентификацию подделки.

Крайне опасно использовать нелицензионное («crack») программное обеспечение. Подобные программы часто содержат вредоносный код. Следует также с осторожностью относиться к сообщениям в Telegram и Facebook, предлагающим, например, 300 долларов за участие в опросе. Если предложение кажется слишком выгодным, скорее всего, это мошенничество.

Как убедиться, что ваш компьютер не был взломан?

Проверить, скомпрометирована ли ваша электронная почта, можно с помощью известных веб-сайтов, таких как «Have I Been Pwned». Однако важно понимать, что эти сервисы ищут только в базах данных утечек, содержащих скомпрометированные адреса электронной почты. Например, если вы регистрировались в LinkedIn, и LinkedIn был взломан, ваш адрес электронной почты может быть там. Но это не означает, что ваш компьютер был взломан. Эти сервисы не дают понимания о том, был ли скомпрометирован непосредственно ваш компьютер или инфраструктура вашей компании.

Многие компании полагают, что наличие передовой команды безопасности, современных брандмауэров и других решений безопасности гарантирует им защиту. Часто можно услышать вопрос: «У нас уже есть все эти инструменты, что вы можете предложить дополнительно?». Ответ заключается в том, что предлагаемое решение не заменяет существующие системы безопасности, а дополняет и завершает их. Человек остается самым слабым звеном в цепи безопасности.

Даже такие гиганты, как Uber, располагающие круглосуточной командой безопасности, передовыми решениями и средствами контроля, подвергаются взломам. Причиной может стать, например, скомпрометированный ноутбук сотрудника. Компании обычно обеспечивают надежную защиту корпоративных активов, но часто не имеют возможности контролировать безопасность домашних ноутбуков, используемых для работы.

Webm3.net предлагает решение, направленное на устранение этого пробела. В отличие от сервисов, проверяющих только утечки электронной почты, webm3.net предоставляет информацию о том, был ли скомпрометирован компьютер или компания в целом. На сайте www.webm3.net можно ввести корпоративный адрес электронной почты или доменное имя компании (например, vodafone.com) и проверить, были ли данные скомпрометированы и продаются ли они в даркнете. Webm3.net помогает выявить уязвимости, которые остаются незамеченными традиционными системами безопасности, особенно связанные с человеческим фактором и небезопасными домашними устройствами. Эта услуга сейчас предоставляется бесплатно.

Ирина Миляева, Валерия Царева

Фото: Валерия Царева, PRO Шеринг