Три громких взлома с использованием социальной инженерии

Всех нас уже долгие десятилетия пугают страшными и ужасными хакерами, которые пользуются изощренными приемами социальной инженерии, — то есть манипулируют людьми, чтобы те без всяких угроз паяльником выдали секретную информацию или совершили еще какие-либо безрассудные с точки зрения информационной безопасности действия.

К сожалению, это притупляет восприятие. Ведь раз все уже давно в курсе существования этого технологического вуду, может показаться, что соответствующие уловки неминуемо должны были потерять свою эффективность. Однако это совсем не так. Вот три громких кейса последних лет, которые показывают, что социальная инженерия по-прежнему представляет собой серьезную угрозу — возможно, даже большую, чем когда-либо.

Взломать директора ЦРУ может даже школьник

Начнем с истории, которая вполне могла бы лечь в основу художественного фильма. С названием вроде «Хакеры против шпионов» — правда, это был бы вовсе не остросюжетный боевик, как можно подумать, а скорее сатирическая комедия.

В октябре 2015 года некие хакеры из группировки Crackas With Attitude смогли с помощью социальной инженерии получить доступ к личному почтовому AOL-аккаунту директора ЦРУ Джона Бреннана. За взломом последовало телефонное интервью одного из участников группировки изданию New York Post, в ходе которого тот охарактеризовал себя как американского школьника.

И хотя почта директора ЦРУ была личной, в ней обнаружилось немало интересных вещей, связанных с его работой: в частности, номера социального страхования (SSN) и другая личная информация более десятка высокопоставленных сотрудников американской разведки, а также 47-страничное заявление на получение доступа к совершенно секретной информации самого Джона Бреннана.

Уже в ноябре того же 2015 года история получила продолжение: на этот раз взломам подверглись личные почтовые аккаунты на AOL другого высокопоставленного чиновника, заместителя директора ФБР Марка Джулиано и его жены. В этот раз уловом хакеров, который они не преминули выложить на всеобщее обозрение, стали имена, адреса электронной почты и номера телефонов 3500 сотрудников различных силовых ведомств США.

Еще через пару месяцев, в январе 2016 года, те же хакеры добрались до целого ряда личных аккаунтов директора Национальной разведки США Джеймса Клеппера. Наконец, в феврале 2016 года они опубликовали в открытом доступе данные 9000 сотрудников Министерства внутренней безопасности США и 20 000 сотрудников ФБР, которые, по утверждениям самих хакеров, они получили, взломав Министерство юстиции США.

В том же феврале 2016 года один из хакеров был задержан. Он действительно оказался школьником (правда, не американским, а британским) по имени Кейн Гембл. В итоге юный хакер, он же Cracka, которому на момент совершения преступления было всего 15, был назван лидером группировки и осужден в Великобритании на два года тюрьмы (из них он отсидел 8 месяцев), и на такой же срок ему было запрещено пользоваться Интернетом (и вот этот срок ему пришлось отбыть сполна). Несколькими месяцами позже уже в США были задержаны двое других членов Crackas With Attitude, которые оказались постарше: Эндрю Отто Боггс в возрасте 23 лет получил два года американской тюрьмы, а Джастин Грей Ливерман 25 лет от роду — целых пять.

Как выяснилось на суде, юный Гембл умудрялся более полугода — с июня 2015 года по февраль 2016 года — успешно притворяться директором ЦРУ и от его имени выманивать пароли у сотрудников кол-центров и горячих линий. С их помощью группировке в итоге удалось получить доступ к чрезвычайно секретным документам, касающимся разведывательных операций в Афганистане и Иране. И кто знает, поймали бы взломщиков вообще, если бы они не выставили на посмешище сразу и директора ЦРУ, и замдиректора ФБР, и директора Национальной разведки США?

Взлом Twitter-аккаунтов Байдена, Маска, Обамы, Гейтса и многих других

Следующая история произошла 15 июля 2020 года. Куча Twitter-аккаунтов стала распространять однотипные сообщения: «Все биткойны, отправленные на указанный внизу адрес, вернутся в удвоенном количестве! Если пошлете $1000, я верну вам $2000. Делаю это только следующие 30 минут». Разумеется, эти сообщения рассылались от имени известных людей и крупнейших компаний. Классический биткойн-развод, и в этом не было бы ничего интересного, если бы не один важный нюанс: все эти аккаунты были настоящими — они действительно принадлежали известным людям и крупнейшим компаниям.

Сначала мошеннические сообщения стали появляться в Twitter-аккаунтах, напрямую связанных с криптовалютами: раздачу анонсировали основатель криптобиржи Binance Чанпэн Чжао, страницы нескольких других криптобирж, включая Coinbase, и тематический новостной сайт Coindesk. Но этим дело не ограничилось, один за другим к этой мошеннической вакханалии стали присоединяться новые и новые аккаунты, принадлежащие бизнесменам, знаменитостям, политикам и компаниям: Apple, Uber, Бараку Обаме, Илону Маску, Ким Кардашьян, Биллу Гейтсу, Джо Байдену (который на тот момент еще не был президентом США), Джеффу Безосу, Канье Весту и так далее.

Твит взломанного аккаунта Илона Маска. Источник

За те несколько часов, пока в Twitter искали корень проблемы, взломщикам удалось собрать более $100 000 — сумма немалая, но, конечно же, не идущая ни в какое сравнение с ударом по репутации социальной сети. Довольно быстро выяснилось — хакерам удалось получить доступ к внутренней системе Twitter для управления аккаунтами, причем первоначально предполагалось, что в этом им помог некий инсайдер.

Однако на деле все оказалось иначе. Хакеров довольно быстро удалось найти и арестовать, причем руководителем коллектива взломщиков снова оказался школьник — на этот раз американский: семнадцатилетний (на момент взлома) Грэм Айван Кларк. В итоге он получил три года тюрьмы и еще три — испытательного периода. Но главное, в процессе расследования удалось выяснить, что хакеры обошлись без помощи инсайдера. Вместо этого они использовали смесь социальной инженерии и фишинга, чтобы получить доступ к системе от сотрудников Twitter.

Для начала они провели исследование в LinkedIn, с помощью которого выявили сотрудников, вероятно, имеющих доступ к системе управления учетными записями. После этого с помощью функции LinkedIn для рекрутеров они добыли контактную информацию этих сотрудников, включая номера сотовых телефонов. Далее они звонили работникам Twitter, представлялись коллегами и при помощи ранее собранных данных убеждали тех посетить фишинговый сайт, имитирующий страницу входа во внутренние системы Twitter. Таким образом они заполучили пароли и коды двухфакторной аутентификации, с которыми смогли в итоге войти в систему управления учетными записями Twitter и завладеть десятками аккаунтов с миллионами подписчиков.

Опять-таки, кто знает, удалось бы поймать взломщиков, если бы они не атаковали аккаунты половины первой десятки богатейших людей мира в комплекте с другими известными личностями, а самое главное — Twitter бывшего президента США и кандидата (на тот момент) в президенты будущие.

Ограбление Sky Mavis на полмиллиарда долларов

И наконец, третья история, которая произошла в 2022 году. Главную роль в ней сыграла компания Sky Mavis, создавшая NFT-игру Axie Infinity. Не будем углубляться в детали игрового процесса, достаточно будет сказать, что эта игра позволяет пользователям зарабатывать криптовалюту. Причем одно время некоторые жители Юго-Восточной Азии ходили в нее как на работу. На пике популярности дневная аудитория игры доходила до 2,7 миллиона человек, а выручка — до $215 миллионов в неделю.

Однако в марте 2022 года, еще до того, как на рынке криптовалют начались известные события, у Sky Mavis случилась серьезная неприятность. В ходе атаки на блокчейн-платформу Ronin, которая является основной всей криптовалютной деятельности в Axie Infinity, взломщикам удалось увести со счетов компании 173 600 ETH и 25,5 миллионов USDC — около $540 миллионов по курсу на момент атаки.

В июле того же года стали известны подробности ограбления. Оказалось, что хакеры от имени некой фейковой компании связывались на LinkedIn с сотрудниками Sky Mavis и приглашали их проходить собеседования для трудоустройства. Таким образом им удалось выйти на одного из старших инженеров Sky Mavis, которому после нескольких раундов собеседований они сделали крайне заманчивое предложение работы. Фейковый оффер был прислан в зараженном PDF-файле. С его помощью взломщики в итоге получили доступ во внутреннюю сеть компании.

Ну а дальше дело техники: используя доступ в корпоративную сеть, хакеры смогли раздобыть необходимое для подтверждения транзакций количество секретных ключей и успешно вывести криптовалюту. Отмывали украденные средства они через сложную схему, задействовавшую два криптомиксера, порядка 12 000 промежуточных криптокошельков и конвертацию в BTC с последующим обналичиванием уже через биткойн.

По заявлениям аналитиков, помогавших правоохранительным органам США расследовать атаку, к взлому имела отношение северокорейская группировка Lazarus. Вернуть удалось лишь небольшую часть похищенной криптовалюты — около 10% в номинальных монетах. Или около 5%, если считать в долларах, — за полгода, прошедшие с ограбления до окончания расследования, на рынке криптовалют произошло значительное падение, так что курс Ethereum успел серьезно снизиться.

Как защититься от атак с использованием социальной инженерии

Очевидно, что никому бы не хотелось попасть в историю, похожую на изложенные выше. Проблема в том, что обеспечить полную защиту от приемов социальной инженерии достаточно сложно, ведь их целью являются люди. Чтобы ваша организация могла эффективно противостоять атакам с помощью техник социальной инженерии, необходимо уделять внимание обучению сотрудников. Например, для этого отлично подойдет наша платформа Kaspersky Automated Security Awareness Platform, которая благодаря комбинации тренингов и симуляций поможет повысить осведомленность персонала о различных методах атаки и способах защиты от них.