«НОВАЯ» ЖИВАЯ (novayagazeta) wrote,
«НОВАЯ» ЖИВАЯ
novayagazeta

Category:

«Хотели бы взломать — взломали»

После ответа Путина на вопрос о сказочном обогащении его бывшего зятя аккаунты авторов расследования атаковали неизвестные. Работали «по высшему тарифу».


Одна ночь — пять атак на Telegram и Facebook журналистов. Через несколько часов после ответа Владимира Путина на вопрос о собственности его бывшего зятя из расследования «Важных историй» атакованы пятеро из восьми авторов. Скорее всего, это только начало.

Петр Саруханов / «Новая газета»

Прелесть этого случая — в способе атаки. Несанкционированный доступ к электронной почте, аккаунтам в соцсетях и мессенджерах злоумышленники пытаются получить постоянно, обычно с помощью нехитрой социальной инженерии, когда пользователь сам предоставляет взломщику свой аккаунт, либо путем рассылки вредоносного вложения в письмах и сообщениях, либо комбинируя эти способы.

Случается доступ через SMS-аутентификацию, для этого необходим «захват» чужой SIM-карты: аферисту необходимо посетить салон оператора сотовой связи и с помощью подложного документа (паспорта, доверенности) или взятки заблокировать карту пользователя и получить новую от его имени. «Важные истории» пытались вскрыть по высшему тарифу.

Что случилось ночью

Скрин сообщения о попытке входа в Telegram-аккаунт Романа Анина

К Роману Анину, Олесе Шмагун и Роману Шлейнову пытались войти в Telegram, к Дмитрию Великовскому и Алесе Мароховской — в Facebook. То есть, видимо, кто-то открыл страницы мессенджера и соцсети, указал, что забыл пароль, и выбрал опцию аутентификации по SMS. И, судя по отчетам, пришедшим настоящим пользователям, правильные SMS ввел.

От компрометации аккаунтов спасло профессиональное отношение коллег к информационной безопасности: все они использовали двухфакторную аутентификацию, при которой для доступа к ресурсу требуется дополнительный пароль.

Но сам факт попытки такого взлома свидетельствует, что кто-то сумел получить на свой номер мобильного телефона SMS, предназначенное другому пользователю.

При этом перерыва связи журналисты не заметили и сами этого SMS не получали. Это означает, что перевыпуск сим-карт не происходил, все время они оставались в распоряжении своих владельцев. Или все же не совсем? Случаи, когда такое возможно, — это либо участие в «операции» кого-то из сотрудников сотового оператора, либо несанкционированное удаленное проникновение в компьютерные «недра» этого оператора.

Что случилось днем раньше

Основатель «Важных историй» Роман Анин полагает, что наиболее вероятный сценарий — участие государственных служб.

КОММЕНТАРИЙ

Роман Анин,
основатель «Важных историй»:

«Скорее всего, это сделали люди, связанные с государством. Мне известно, что подобная операция возможна и для частных лиц на коммерческой основе, но я исхожу из контекста. Учитываю, после какой истории это произошло».

Действительно, попытка одновременного взлома аккаунтов пяти журналистов-расследователей в ночь после того, как Владимир Путин был вынужден отвечать на вопросы о необъяснимом росте благосостояния членов своей семьи, пусть и бывших, — вряд ли совпадение.

И еще аргумент. Услугу кратковременной подмены адресата SMS, отправленных на определенный номер, в Даркнете готовы предоставить. Однако номера журналистов «Важных историй» зарегистрированы у разных операторов. Подмену номера предлагают у всех операторов, но вот предположить, что злодеи способны почти синхронно и в столь сжатые сроки провести операцию с разными компаниями, — сложно.

На чьей стороне коррупция

Была ли попытка нарушения конфиденциальности результатом деятельности спецслужб, или самодеятельностью частных лиц, наверное, останется тайной. Правда в том, что системы безопасности этих самых операторов имеют огромные дыры. Сведения о соединениях вашего телефона, его позиционировании и об интернет-трафике может получить любой гражданин за приемлемые деньги. Если есть сомнения, почитайте историю Bellingcat, The Insider, Der Spiegel и ФБК об отравлении Алексея Навального. Может, операторов утешит тот несомненный факт, что у других организаций, включая самые тайные и могущественные, все протекает точно так же.

Главный автор этого и многих других расследований Bellingcat Христо Грозев никогда не скрывал, что разбираться с коррупцией в России ему помогает тотальная коррумпированность российских структур:

за деньги можно купить не только биллинги у частных сотовых операторов, но и получить, например, данные о паспортах российских разведчиков,

выданных подразделениями МВД, или сведения о пересечении границы из погранслужбы ФСБ. Не говоря о менее охраняемых секретах. В результате доступ к огромным массивам информации, которые хранятся в электронном виде, получают не только правоохранительные, специальные и прочие государственные службы, которым это положено по закону, но и любой гражданин, готовый раскошелиться. Все равны, и если журналисты используют в своих материалах данные, купленные на черном рынке третьими лицами, то и герои наших публикаций не остаются в стороне.

Как нас пытаются взломать

Да так же, как и всех остальных. Подмена SMS — пока редкий случай. Чаще все достаточно примитивно. Письма с попыткой заставить выдать свои пароли доступа давно отправляются в специальную папку — для коллекции. Выглядит она так. Адреса стараются выбрать максимально близко к оригиналу.

Скриншот содержимого почтового ящика Дениса Короткова. Все письма здесь — подметные. В них содержится просьба выдать пароль от своего аккаунта

Внутри все письма немного отличаются, они украшены соответствующими логотипами (Google, Госуслуги, ФССП и далее — в зависимости от «адресата»), в них для оплаты штрафа (разблокировки аккаунта, получения уведомления, доступа к присланным документам) предлагается перейти по ссылке и, чтобы подтвердить свою личность, — ввести пароль своего аккаунта.

Пример письма со штрафом от неофициального отправителя

Если вы на это поведетесь, то, скорее всего, злодеи успеют завладеть вашей почтой, привязанными мессенджерами, документами, фотографиями и прочим содержимым облачного хранилища — пока вы не спохватитесь и не броситесь все блокировать и менять пароли. Но видна халтура.

Меня, например, почему-то временами подвергают массированной атаке ранним утром, и, проверив почту, я узнаю, что у меня закончилось место в облачном хранилище, пришел штраф из ГИБДД, а ФССП мечтает вручить мне исполнительный лист — и все это в течение десяти минут.

Теоретически можно рассчитывать, что я, спросонья не разобравшись, введу заветный пароль (на самом деле — нет), но предполагать, что адресата не насторожит лавина писем из всевозможных структур, как-то самонадеянно. Единственное объяснение, которое пришло мне в голову, — это если исполнителям платят не за результат, а за количество попыток. Что непрофессионально.

Разнообразием балуют редко, и тоже без особых фантазий. Например, письма мне и редактору отдела расследований «Новой газеты» Александре Джорджевич якобы от коллег-журналистов, которые просят согласовать цитаты из материала «Новой газеты», которые они намерены использовать в своей статье, либо хотят полностью перепечатать сам материал и просят разрешения. Уже само по себе странно, так как цитировать опубликованный материал со ссылкой на источник не возбраняется никому.

Некто, назвавшийся редакцией портала «Компромат-Урал», предлагает автору отдела расследований скачать черновик расследования и «согласовать» его

Естественно, при попытке перейти по ссылке для доступа к чужим документам Google

очень похожий сайт почему-то запрашивает пароль пользователя, предоставлять который было бы несусветной глупостью.

Попыткой проникнуть в Telegram путем подмены адресата SMS меня удостоили всего один раз. Либо поскупились, либо плохо работаю.

Служебное сообщение в телеграм-аккаунте Дениса Короткова

Не только онлайн

Предполагать, что интерес к журналистам проявляется только в Сети — наивно. Впрочем, разделить онлайн и офлайн сегодня уже невозможно. Контроль всеобъемлющ, а доступ к его результатам — относительно недорог. Правила игры нам известны.

Покупаете билет на поезд или регистрируетесь на авиарейс — будьте готовы к тому, что о ваших планах стало известно героям ваших публикаций. Воспользовались мобильным телефоном для звонка в GSM-сети — считайте, что контакт с вашим источником больше не секрет. Это в лучшем случае, если вами не сильно интересуются. Если сильно — не секрет и содержание вашего разговора, но это заметно дороже.

Не используете Tor или VPN — по характеру ваших запросов в поисковиках тема вашей будущей статьи, которую вы готовите в качестве большого сюрприза, станет известна интересантам раньше вашего редактора.

Можно выключить компьютер, убрать сотовый в «чехол Фарадея» и нацепить шапочку из фольги. Не спасет. Вас найдут офлайн. Как недавно находили журналиста «Новой газеты» Елену Милашину в Грозном. Старое доброе наружное наблюдение. В случае с Леной — практически открытое, даже вызывающее, скорее всего, демонстративное.

Профессионалов, тем более ведущих наблюдение по всей науке, с применением средств маскировки, специальной техники, на нескольких автомобилях, вы не заметите, если не проходили подготовку по контрнаблюдению. А вы ее не проходили. Журналистские семинары по этой теме (при всем уважении к их организаторам) — попытка дилетантов научить профанов противостоять профессионалам. Против подготовленной и мотивированной команды спецов шансов нет. Хорошо, если ваш условный противник поскупится и наблюдение будет организовано по эконом-тарифу уволенными с государевой службы двоечниками. Это как повезет. Иногда результаты этого наблюдения всплывают на помойных ресурсах со ссылкой на анонимные источники или «легализуются» через специально обученных блогеров.

Даже если вы смогли убедиться, что за вами никто не идет и не едет, — это не значит, что о вашем маршруте никто не знает. Позиционирование с помощью сигнала вашего активного смартфона в режиме реального времени доступно скорее государевым службам, для лиц частных, пусть и состоятельных, все же дороговато, и не все обладают нужными связями и влиянием, чтобы получить доступ к ресурсу. Если дело в Москве, так данные с камер «Безопасного города» предлагают по относительно гуманным ценам. Есть решение еще проще, и цена ему — 5 тысяч рублей за все.

Вот такая штука на днях была извлечена из-под заднего бампера личного автомобиля.

Китайский GPS-трекер с симкой был обнаружен под бампером личного автомобиля Дениса Короткова

Китайский GPS-трекер; таких и подобных ему в интернет-магазинах сколько угодно. Плюс SIM-карта, купленная с рук у вокзала за копейки, зарегистрированная на какого-нибудь гражданина из ближнего среднеазиатского зарубежья, — и кто-то будет знать все о перемещениях вашего авто, наблюдая за зеленой точкой на экране. Знай только трекеры меняй раз в два-три месяца, перезаряжая аккумуляторы.

Кто виноват и что делать?

Как правило, есть понимание, кто организует контроль. Но с пониманием, и даже убеждённостью, к следователю не пойдешь. Уголовные преступления, по признакам которых теоретически можно было бы возбудить уголовные дела, — неправомерный доступ к компьютерной информации (пока нет сведений о корыстном мотиве или совершении преступления в составе группы, или об использовании служебного положения — до двух лет лишения свободы) и нарушение тайны частной жизни (тоже до двух лет).

ПРОДОЛЖЕНИЕ


Subscribe

Recent Posts from This Journal

promo novayagazeta september 27, 22:29 18
Buy for 1 000 tokens
В Крыму поставили памятник Дзержинскому. Публикуем письма писателя Ивана Шмелева о поисках собственного ребенка в 1920–1921 годах. Писатель Иван Шмелев с женой Ольгой и сыном Сергеем 12 сентября в Симферополе по инициативе ФСБ открыли памятник Феликсу Дзержинскому, главе…
  • Post a new comment

    Error

    Anonymous comments are disabled in this journal

    default userpic

    Your reply will be screened

    Your IP address will be recorded 

  • 26 comments
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →
Previous
← Ctrl ← Alt
Next
Ctrl → Alt →

Recent Posts from This Journal