08/04/2016

Trzy prawdziwe historie: jak zhakować, okraść i zamienić w piekło czyjeś życie, używając internetu

Porady

Doświadczenie pokazuje, że nawet ludzie, którzy są obeznani z medium, jakim jest internet, nie mogą skutecznie ochronić się przed atakami ukierunkowanymi. Ponieważ nasze życie codzienne staje się coraz bardziej zależne od internetu i innych sieci, bezpieczeństwo online staje się ważnym aspektem.

ominous-targeted-hacks-FB

Niemal każdy posiada konto e-mail i w mediach społecznościowych oraz korzysta z bankowości internetowej. Ludzie kupują online i używają internetu mobilnego do potwierdzenia swojej tożsamości (np. weryfikacja dwuetapowa). Niestety żaden z tych systemów nie jest w pełni bezpieczny.

Im więcej działamy w Sieci, tym większe stwarzamy pole manewru dla przebiegłych hakerów — specjaliści ds. bezpieczeństwa nazywają taką sytuację „powierzchnią ataku”. Im większa jest ta powierzchnia — tym łatwiej jest przeprowadzić atak. Przeczytaj trzy historie, które wydarzyły się w ciągu ostatnich trzech lat, i zobacz, o czym dokładnie mówię.

Jak ukraść konto: zhakować je czy zwyczajnie zadzwonić?

Jednym z najpotężniejszych narzędzi używanych przez nieuczciwych użytkowników internetu jest hakowanie ludzi, zwane też socjotechniką. 26 lutego 2016 r. dziennikarz z gazety Fusion, Kevin Roose, zdecydował się sprawdzić, czy to naprawdę jest TAKIE wszechmocne. Jessica Clark, hakerka zajmująca się socjotechniką, i Dan Tentler, ekspert bezpieczeństwa, przyjęli to wyzwanie.

Jessica obiecała zhakować konto pocztowe Kevina, wykorzystując połączenie telefoniczne — i z powodzeniem jej się to udało. Najpierw jej zespół utworzył 13-stronnicowy dokument profilowy Roose’a: znajdowały się w nim informacje np. na temat jego preferencji, a wszystkie dane zostały pozyskane z oficjalnych źródeł.

Po odpowiednim przygotowaniu się Jessica zadzwoniła rzekomo z numeru telefonu Kevina do jego firmy. Aby zwiększyć napięcie, w tle włączyła film z płaczącymi dziećmi.

Jessica przedstawiła się jako żona Roose’a. Powiedziała, że ubiegają się z „mężem” o pożyczkę, ale jako młoda i zmęczona matka zapomniała adresu e-mail, którego używali razem. Z płaczącymi dziećmi w tle, Jessica szybko przekonała pomoc techniczną do zresetowania hasła do wiadomości e-mail i uzyskała pełny dostęp do poczty ofiary.

Dan Tentler rozwiązał swoje zadanie przy pomocy phishingu. Zauważył, że Kevin ma blog na Squarespace, więc wysłał mu fałszywą wiadomość, rzekomo oficjalną, z tej platformy blogowej. W liście administratorzy Squarespace proszą użytkowników o zaktualizowanie certyfikatu SSL ze względów „bezpieczeństwa”. W rzeczywistości plik ten dał Tentlerowi dostęp do komputera Kevina. Dan utworzył także kilka fałszywych okien, w których Roose miał podać określone dane logowania — i gotowe.

Tentler uzyskał dostęp do danych bankowych Kevina, poczty e-mail i dane logowania do sklepów internetowych, a także dane karty kredytowej i numer ubezpieczenia społecznego. Co więcej, zdobył zdjęcia Roose’a i jego pulpitu, które były wykonywane automatycznie co dwie minuty w ciągu całych 48 godzin ataku.

Jak okraść twórcę oprogramowania w jedną noc

Wiosną 2015 r. twórca oprogramowania Partap Davis stracił 3 000 dolarów. W ciągu zaledwie kilku godzin nieznany haker uzyskał dostęp do jego dwóch kont pocztowych i konta na Twitterze oraz numer telefonu. Oszust sprytnie ominął system dwuetapowej weryfikacji i wyczyścił portfele Bitcoin Partapa. Jak nietrudno sobie wyobrazić, poranek Davisa nie należał do najprzyjemniejszych.

Warto podkreślić, że Patrap Davis jest dosyć doświadczonym użytkownikiem internetu: zawsze wybiera mocne hasła i nigdy nie klika podejrzanych odnośników. Jego poczta jest chroniona przez dwuetapową weryfikację Google’a, więc gdy loguje się na nowym komputerze, musi wprowadzić sześć cyfr wysłanych na jego telefon komórkowy.

Davis przechowywał swoje oszczędności w trzech portfelach Bitcoin, które były chronione inną usługą weryfikacji dwuetapowej, dostarczaną przez aplikację mobilną Authy. Chociaż Davis używał wszystkich rozsądnych środków zabezpieczających, nie ochroniły go one przed atakiem ukierunkowanym.

Po incydencie Davis zezłościł się i spędził kilka tygodni na odnalezieniu przestępcy. Ponadto zwrócił się o pomoc do redaktorów z The Verge. Wspólnie odkryli, jak doszło do ataku.

Jego głównym adresem e-mail był Patrap@mail.com. Wszystkie listy były przekazywane na trudniejszy do zapamiętania adres Gmail (ponieważ Patrap@gmail.com był już zajęty).

Przez kilka miesięcy każdy chętny mógł kupić specjalny skrypt na Hackforum, który umożliwiał wykorzystanie luk na stronie służącej do resetowania hasła w serwisie Mail.com. Najwyraźniej to właśnie ten skrypt został użyty do ominięcia systemu weryfikacji i zmiany hasła Davisa.

Następnie haker poprosił o nowe hasło z konta AT&T Davisa i poprosił pracowników działu obsługi klientów o przekierowanie połączeń przychodzących Davisa na numer w Long Beach. Obsługa techniczna otrzymała potwierdzenie e-mail i zgodziła się oddać oszustowi kontrolę nad połączeniami. Mając w ręce tak potężne narzędzia, nie tak trudno było ominąć system Google’a i uzyskać dostęp do konta Gmail Davisa.

Ponieważ SMS-y wciąż były wysyłane na stary numer telefonu Davisa, haker użył funkcji dostępu Google dla ludzi ze słabym wzrokiem. Oferuje ona odczytywanie kodu potwierdzającego na głos przez telefon. Zatem i Gmail został zhakowany, a między hakerem a nagrodą stała jeszcze tylko aplikacja Authy.

Aby pokonać tę przeszkodę, przestępca zwyczajnie zresetował aplikację na swoim telefonie, używając adresu mail.com i nowego kodu potwierdzającego, znów odczytanego przez połączenie głosowe. Gdy dosłownie każdy środek zabezpieczający był w jego rękach, zmienił hasło do jednego z portfeli Bitcoin Davisa, używając Authy i adresu mail.com, a następnie przesłał dalej całe pieniądze.

Pieniądze znajdujące się na dwóch pozostałych kontach pozostały nietknięte. Jeden z serwisów zwyczajnie nie zezwala na wypłacanie kwot w ciągu 48 godzin po zresetowaniu hasła. Inny poprosił o dostarczenie skanu prawa jazdy Davisa, którego haker nie miał.

Trole zniszczyły im całe życie

Jak napisała gazeta Fusion w październiku 2015 r., życie rodziny Straterów zaczęło się komplikować, gdy kilka lat temu wszystkie lokalne kawiarnie i restauracje zasypały ich niezamawianą pizzą, plackami i innymi potrawami. Paul i Amy Straterowie musieli wszystkich przepraszać i nie przyjęli jedzenia.

Niedługo po tym przybyły bukiety, piasek i żwir, lawety i inne niechciane przedmioty i usługi. Okazało się, że to dopiero wierzchołek góry lodowej, bo w ciągu kolejnych trzech lat przeżyli prawdziwy koszmar.

Paul Strater, starszy inżynier transmisji w lokalnej stacji telewizyjnej, i jego żona Amy Strater, była dyrektor szpitala, padli ofiarami nieznanego hakera lub grupy hakerów, którzy nie dogadywali się z ich synem, Blairem. Władze otrzymały groźby podłożenia bomby tej rodzinie. Hakerzy użyli konta Amy i opublikowali plan ataku na szkołę podstawową, a notatka była zatytułowana „Ostrzelam Twoją szkołę”. Policja stała się częstym gościem w ich domu, co nie poprawiło relacji z sąsiadami, którzy intensywnie zastanawiali się, co się dzieje.

Przestępcy zhakowali oficjalne konto Tesla Motors i opublikowali informację, w której zachęcali fanów do zadzwonienia do Straterów, aby odebrać darmowe auto Tesla. Był to dla nich weekend z telefonem, bo wielbiciele Tesli, którzy chcieli nabyć „promocyjne” auto, dzwonili nawet pięć razy na minutę. Jeden człowiek nawet przyszedł do ich domu i zażądał otwarcia drzwi do garażu, ponieważ podejrzewał, że była tam ukryta darmowa Tesla.

Paul próbował przerwać oblężenie: zmienił hasła do wszystkich swoich kont i poinstruował kierowników lokalnych restauracji, aby nie dostarczali pod ich adres niczego, dopóki jedzenie nie zostanie w całości opłacone. Ponadto zgłosił się do policji w Oswego i poprosił ich, aby przed wysłaniem patrolu zadzwonili i zweryfikowali, czy potrzeba jest prawdziwa. W trakcie tych wszystkich zawirowań małżeństwo Paula i Amy rozpadło się.

Jednak ataki nie ustały. Zhakowane konta społecznościowe Amy były używane do publikowania wielu rasistowskich wpisów. Wkrótce po tym straciła pracę — została zwolniona mimo, że uprzedziła swoich szefów o tym, że ktoś nieustannie zamienia życie jej i jej rodziny w koszmar.

Amy w końcu ponownie przejęła kontrolę nad swoim kontem w serwisie LinkedIn i usunęła konto na Twitterze. Ale przez jakiś czas nie mogła znaleźć pracy w zawodzie. Aby związać koniec z końcem, musiała pracować w firmie Uber, ale i to nie wystarczało, bo groziła jej utrata domu.

„Po wpisaniu w Google jej nazwiska dawniej można było zobaczyć wszystkie jej artykuły naukowe i to, co zrobiła dobrego” — powiedział gazecie Fusion jej syn, Blair. „Teraz widzisz tylko: haker, haker, haker”.

Niektórzy obwiniają Blaira Stratera, który miał kontakty w wielu kręgach cyberprzestępczych i nie znalazł sprzymierzeńców w ani jednym z nich. W każdym razie w przypadku rodziny Straterów to rodzice zapłacili za „grzechy” swojego syna, ponieważ nie mieli z tymi hakerami nic wspólnego.

Czy można się jakoś ochronić przed taką historią?

Historie te pokazują, że nie ma sposobu gwarantującego stuprocentową ochronę przed atakiem ukierunkowanym. Jeśli więc masz coś, co chcesz ukryć, nie dopuść do wycieku. Na szczęście większość ludzi nie jest obiektem zainteresowania wykwalifikowanych oszustów. Przeciętni użytkownicy potrzebują ochrony przed tymi cyberprzestępcami, którzy celują w szerszą widownię. Jest wielu takich „specjalistów” w internecie i na szczęście używają oni znacznie prostszych metod ataku. Możemy Ci podpowiedzieć następujące wskazówki: