книги хакеры / Как_защитить_себя_в_цифровом_мире_

после каждой попытки будет срабатывать защита от перебора и происходить 60-секундная задержка, весь процесс взлома займет не более недели. Сложность пароля для доступа к сети и частота его смены при этом не имеют никакого значения [546]. Кроме того, некоторые производители сетевых устройств генерируют ПИН-коды WPS на основе других известных значений, например, MAC-адреса устройства; в этом случае устройство взламывается практически мгновенно. Причем функция WPS может быть включена по умолчанию (и не отключена пользователем по незнанию) или ее отключение может быть заблокировано [547].

Скрытые сети также не обеспечивают должного уровня защиты (если нет надежного способа шифрования), так как злоумышленнику достаточно перехватить MAC-адрес (BSSID) такой сети, а затем дождаться, когда к ней будет подключаться один из клиентов с допустимым MAC-адресом (либо отключить уже подключенного, чтобы произошло повторное подключение). И тогда в процессе подключения клиент передает хендшейк с именем сети (SSID) и паролем, который также может быть перехвачен с помощью специального программного обеспечения.

Ограничение по конкретным MAC-адресам или по целым пулам (диапазонам) адресов также не гарантирует полноценной защиты, так как каждый клиент сети передает свой MAC-адрес с каждым отправленным пакетом. Перехватив MAC-адрес, злоумышленник может заменить им свой и подключиться к сети с фильтрацией по MACадресу, отключив легитимного клиента или дождавшись, пока тот отключится сам [548].

Подключившись к беспроводной сети, злоумышленник может попытаться получить доступ к сетевому устройству, чтобы в дальнейшем перехватывать трафик, менять DNS-адреса для проведения фишинговых атак, пробрасывать через взломанный маршрутизатор VPN-тоннели и т.п. Это становится возможным потому, что, как уже упоминалось выше, администраторы сетевых устройств не уделяют должного внимания защите доступа к интерфейсам администрирования. Многие пользователи не меняют логин и пароль, используемые по умолчанию для доступа к устройству, оставляя дефолтные (их указывают на наклейке на корпусе устройства или в руководстве к нему, а также на специальных сайтах типа https://routerpasswords.com)

— наподобие admin/admin или admin/1234).

Еще один очевидный фактор, позволяющий злоумышленникам проникать в сети, — уязвимости в прошивках сетевых устройств. Многие пользователи не обновляют прошивки устройств вовремя и

устройств не поддерживают автоматического обновления. В некоторых других моделях, даже если автообновление поддерживается, пользователь должен для обновления прошивки дать устройству соответствующую команду или перезагрузить его.

Согласно исследованию компании Broadband Genie, проведенному в 2018 г., из 2205 опрошенных среднестатистических пользователей только 14% хотя бы единожды обновляли прошивку своего маршрутизатора. Дефолтные учетные данные администратора и имя беспроводной сети меняли лишь 18%, а 51% опрошенных не имели понятия, какие устройства подключены к их сети. Стоит отметить, что 34% опрошенных не знают, как обновить прошивку, а 48% вообще не понимают, зачем это нужно [549].

Помимо самих сетевых устройств, злоумышленник может использовать специальное аппаратное обеспечение для непосредственного подключения к кабелям передачи данных. Большинство провайдеров интернета подключают оборудование клиентов к глобальной сети с помощью проводных интерфейсов, например кабелей FTP/UTP (витой пары) или оптоволоконных. Злоумышленник может подключиться к ним, используя специальные средства типа Throwing Star LAN Tap или Pwn Plug [550], причем считывать информацию с оптоволоконного кабеля можно и без его разрыва [551].

Недостаточная защита программного обеспечения

Помимо защиты сетевых устройств и выбора доверенных сетей необходимо защищать и сами устройства, на которых осуществляется выход в интернет: смартфоны, планшеты и компьютеры. Отсутствие минимальной защиты от вредоносных объектов и сетевых атак грозит инфицированием устройства, перехватом вводимых данных, фишингом; вовлечением в ботнет-сети для DDoS-атак, в майнинг криптовалют, спам-атаки и т.п. Зараженное устройство может перенаправлять вводимые пользователем URL-адреса на фишинговые ресурсы, если при запуске вредоносного программного обеспечения произошла подмена сетевых настроек (DNS-записей и т.п.).

Посещение фишинговых и вредоносных сайтов

Очень часто злоумышленники крадут персональные данные пользователей с помощью социальной инженерии — в частности, перенаправляя пользователя на поддельные (фишинговые) сайты. Такие сайты обычно выглядят как оригинальные, но, в отличие от них, не

пользователем информацию. Мы уже упоминали в этой книге о фишинговых сайтах; о том, что нужно следить за корректностью ввода URL-адреса в адресную строку браузера, особенно если он не отображается полностью (например, на мобильных устройствах) [552]. Важно отметить, что злоумышленники могут взламывать даже официальные сайты крупных корпораций, после чего встраивать в их страницы фишинговые формы для ввода данных, распространять вредоносный контент, похищать персональные данные посетителей и т.д. Пользователю не следует игнорировать предупреждения средств защиты от цифровых угроз (антивирусного ПО и брандмауэров), оповещающих, к примеру, о том, что посещаемый ресурс (даже официальный, такой как «Госуслуги» [553]) был взломан, сертификат сайта недействителен, сайт проявляет вредоносную или фишинговую активность и т.п. От посещения таких сайтов следует отказаться до исправления проблем на стороне сервера. Крупные компании обычно оповещают пользователей о сбоях и технических работах на сайте по сторонним информационным каналам, например в социальных сетях или по электронной почте.

Широкое развитие получили фишинговые сайты, предлагающие какие-либо товары или услуги, оплатив которые жертва остается ни с чем. Подобные схемы реализованы в таких сферах, как поиск попутчиков (например, Blablacar [554]), продажа билетов в театр и выставки [555], розыгрыши призов [556], [557], ранний или бесплатный доступ к играм [558] и др.

Следует с подозрением относиться к ресурсам, рекламирующим услуги хакеров (взлом аккаунтов, электронной почты и т.п.), предлагающим малоизвестное программное обеспечение с «фантастическими возможностями» или взломанные версии лицензионных программ, продающим товары по очень низким ценам, имитациям подлинных сайтов [559] и т.п. Ввод номера телефона на сомнительных сайтах (для скачивания каких-либо файлов, получения пароля для распаковки архивов, установки программ и т.п.) может обернуться кражей персональных данных. Публикации на таких сайтах могут сопровождаться лживыми комментариями для усыпления бдительности. Причем восторженные комментарии, как правило, разбавляются нейтральными или выражающими сомнение, чтобы общая картина выглядела более естественной [560].

Примечание. Посещение доверенных сайтов также может привести к утечкам конфиденциальных данных. Например, онлайн-переводчики могут анализировать вводимый пользователем текст и в определенных случаях передавать данные для дополнительного изучения на

окнаМожно вначале попробовать выйти из полноэкранного режима, нажав F11. Если клавиатура тоже заблокирована, перезагрузите устройство [561].

Для защиты от фишинга и вредоносного программного обеспечения необходимо использовать специальные средства защиты — брандмауэры и анализаторы сетевого трафика, встраиваемые в современные средства антивирусной и антифишинговой защиты.

Стеганографические атаки

В последнее время злоумышленники все чаще ведут стеганографические атаки, когда вредоносный код скрывается в какихлибо объектах, например значках сайтов (favicon [562]) или кнопках социальных сетей [563]. Стеганография (от греч. στεγανός — скрытый + γράφω — пишу; буквально «тайнопись») позволяет хакерам прятать передаваемые данные в таких контейнерах, скрывая сам факт передачи информации. Конечный пользователь в большинстве случаев не сможет

вредоносным кодом, поскольку внешне и по размеру такие изображения идентичны оригинальным, изменения касаются бит данных, содержащихся в файлах; EXIF-данных и т.п. [564] После считывания внедренного в файлы кода на компьютере пользователя открывается фишинговая форма, например веб-скиммер, который фиксирует и передает злоумышленникам банковские данные, что пользователь вводит в фишинговую форму с клавиатуры. Такая проблема актуальна при использовании не только компьютеров, но и мобильных устройств под управлением ОС Android [565] и iOS [566]. В последнем случае на легитимном сайте размещается рекламный баннер, содержащий скрытый вредоносный код; на том же сайте загружается дополнительный JavaScript-код, проверяющий, поддерживаются ли на устройстве посетителя шрифты Apple, и в случае подтверждения считывающий изображение баннера и извлекающий из него вредоносный код. Этот код выполняется и перенаправляет браузер посетителя по различным URL-адресам, пока не достигнет фишинговой страницы с предложением скачать вредоносное приложение, например поддельное обновление, такое как Adobe Flash Player [567].

Описываемые методы способствуют распространению вредоносного контента, так как системы анализа трафика и выявления сложных угроз не позволяют обрабатывать огромный массив графических (и иных)

файлов, передаваемых в потоке данных. Антивирусные приложения также малоэффективны против атак такого рода, поскольку зараженные файлы не сильно отличаются от обычных, а сами системы обнаружения стенографических инъекций фактически являются демонстрационными и редко внедряются из-за низкой скорости обработки и уровня детектирования [568]. Тем не менее ведется (в том числе и в России) разработка и улучшение таких систем для уверенного распознавания стенографических атак. Пользователям же рекомендуется избегать посещения сомнительных сайтов и загрузки файлов из подозрительных источников.

QR-коды

В настоящее время широко распространены QR-коды — мозаичные изображения, с помощью которых можно быстро получить доступ к нужной информации или поделиться собственными данными, например, передать банковские реквизиты. Так, QR-код на упаковке сока откроет страницу с дополнительной информацией о продукте, а QR-код в кофейне подключит мобильное устройство, на котором он отсканирован, к беспроводной сети заведения.

такого кода. К примеру, злоумышленники могут подменить QR-код в парке отдыха, чтобы при сканировании устройства подключались не к легитимной сети парка, а к сети злоумышленника. Или же поддельный код может привести на фишинговую страницу, ворующую персональные данные. Зачастую при этом злоумышленники используют короткие ссылки, чтобы притупить бдительность пользователя на странице с подтверждением перехода. Аналогично через QR-код можно загрузить не легитимное, а поддельное приложение (например, для интернет-банкинга) и лишиться всех своих накоплений.

По командам, содержащимся в QR-кодах, принадлежащее вам устройство может не только открывать веб-ссылки и подключаться к сетям, но и, например, позвонить на заданный номер или отправить SMS от вашего имени, сообщить местоположение вызванному приложению или подписаться на определенный аккаунт в соцсетях. КЕЙС В Австралии 51-летний мужчина заклеил QR-коды на двух табличках службы по контролю за распространением COVID-19, чтобы вместо официального сервиса пользователи попадали на сайт антипрививочников [569].

В целях безопасности не следует сканировать QR-коды из подозрительных источников. Не сканируйте в общественных местах QR-коды, которые наклеены поверх других изображений: это могут быть подложные коды. Проверяйте ссылки, которые отображаются при сканировании кода. Будьте осторожны, если используются URL-адреса, сокращенные, например, с помощью сервиса TinyURL. Как правило, при генерации QR-кодов замена длинного адреса коротким не имеет смысла, так как пользователю не нужно вводить URL вручную, а значит цель создателя кода — скрыть истинный адрес ссылки.

В случае подозрений безопаснее перейти на нужный сайт непосредственно в браузере или вручную подключиться к нужной сети через сайт провайдера общественной точки доступа. Если подозрения вызывает QR-код с ссылкой на программу, безопаснее самостоятельно найти ее в официальном магазине приложений, а не переходить по ссылке.

Не следует публиковать в интернете созданные самостоятельно QRкоды (или их фотографии), которые содержат какие-либо персональные данные: известны случаи кражи таких данных, например, для посещения злоумышленником концерта по чужому билету, фотография QR-кода которого была опубликована в интернете незадачливым владельцем [570].

Для проверки безопасности QR-кодов существуют специальные программы, например Kaspersky QR Scanner [571].

Учитывая, что утечка данных может произойти на любом сайте, не следует без особой необходимости передавать сторонним сайтам, например интернет-магазинам, свои персональные данные, такие как Ф.И.О., адрес и номер телефона.

КЕЙС В 2015 г. два брата, оперуполномоченных уголовного розыска из Нижегородской области, систематически использовали доступ в базы данных МВД России для получения и продажи через интернет служебной информации. Преступники занимались этим год с лишним, обогатились более чем на 700 000 рублей и по итогам расследования получили по 1,5 года лишения свободы условно [572].

КЕЙС В декабре 2020 г. в Сеть утекла база данных с информацией о 300 000 жителей Москвы, переболевших вирусом COVID-19. Среди данных, попавших в открытый доступ, оказались Ф.И.О., адреса проживания и регистрации, сведения о полисах ОМС, а также вся информация о течении болезни и результатах анализов. Как было заявлено официальными лицами, утечка произошла вследствие человеческого фактора [573].

Если вы планируете постоянно пользоваться определенным сайтом и, к примеру, его бонусными программами (например, начислением баллов на скидку в день рождения), оставляйте только минимально необходимое количество данных о себе. Интернет-магазинам и прочим сайтам вовсе необязательно знать о ваших интересах и «друзьях» (т.е. подключать ваши аккаунты в социальных сетях), возрасте и наличии детей. В случае, если вы не планируете в дальнейшем посещать сайт (например, совершаете однократную покупку в интернет-магазине), вероятно, стоит сделать заказ по телефону или в «один клик»; в последнем случае менеджер сам перезвонит вам и уточнит детали заказа. Если же регистрация аккаунта обязательна, вы можете указать вместо реальных данных свой псевдоним [[65]], а при необходимости — и другой адрес и т.п. Как уже упоминалось ранее, для регистрации на таких сайтах рекомендуется использовать отдельный номер телефона и, разумеется, указывать реквизиты неосновной банковской карты (например, виртуальной или заведенной специально с целью интернетшопинга).

КЕЙС В марте 2019 г. группа исследователей организации VPNMentor обнаружила серьезные бреши в системе защиты серверов компании Gearbest — крупного китайского электронного ритейлера. Хакерам было доступно не менее 1,5 млн записей из баз данных заказов (имя и почтовый адрес покупателя, список заказанных позиций (в том числе интимного характера [[66]]) и т.п.), платежей/счетов (номер заказа,

почтовый и электронный адреса, дата рождения, номер телефона, IPадрес, паспортные и прочие идентификационные данные, пароль от аккаунта и др.). Несмотря на заявление о шифровании персональных данных, содержащееся в уведомлении о политике конфиденциальности на сайте компании, в реальности сведения о пользователях не шифруются [574].

После того как покупка совершена или услуга оказана, аккаунт следует удалить, если далее вы не намерены пользоваться сайтом. Иначе в случае взлома сайта злоумышленник сможет узнать ваш адрес электронной почты и пароль и будет иметь возможность подобрать пароли к другим вашим аккаунтам с этим же адресом электронной почты. Такие предосторожности особенно нужны при пользовании услугами небольших организаций, которые экономят на защите персональных данных своих клиентов.

КЕЙС Летом 2019 г. выяснилось, что на сайте Федеральной нотариальной палаты можно без регистрации и предоставления какойлибо идентификационных сведений узнать Ф.И.О. и паспортные данные (с адресом регистрации) любого физического лица, имеющего автомобиль, оформленный в кредит. А на сайте Единого федерального реестра сведений о банкротстве находились в открытом доступе сведения о должниках, в том числе Ф.И.О., дата рождения, адрес регистрации, а также ИНН и СНИЛС [575].

С особенной осторожностью нужно пользоваться сайтами, которые после регистрации пересылают пароль к вашей учетной записи в открытом (незашифрованном) виде. Ресурсы, заботящиеся о защите персональных данных, шифруют пароли пользователей (материалы о хешировании см. в главе, посвященной паролям) и не допускают их передачи по незащищенным каналам. Если же пароль хранится на сервере в открытом виде и пересылается в открытом виде пользователю (это не всегда обозначает, что он и хранится в открытом виде), у злоумышленника есть как минимум два способа перехватить учетные данные, которые даже не потребуется расшифровывать: взломать сервер или получить доступ к ящику электронной почты пользователя. На таких сайтах определенно не стоит хранить какие-либо персональные данные.

КЕЙС В Германии журналистка издания Die Zeit Online провела эксперимент — проверила, какие данные о ней хранит крупный мебельный интернет-реселлер Home24. В ответ на запрос девушка получила письмо с персональными данными более 80 покупателей, в том числе с информацией об их заказах. Магазин прислал и данные журналистки, в том числе ее старый почтовый адрес, адрес электронной