Як саме хакери зламують аккаунти в соціальних мережах

 

Как именно хакеры взламывают аккаунты   в социальных сетях. Изображение № 2.

читати також

Як убезпечити себе

в інтернеті

Как именно хакеры взламывают аккаунты   в социальных сетях. Изображение № 3.

 

Для хакерів злом акаунтів — одне з найбільш захоплюючих занять, яке дає їм величезний простір для творчості. Багато хто займається цим, щоб випробувати свої навички, інші шукають матеріальну вигоду. Причому далеко не завжди доводиться щось ламати. Скільки б не з’являлося статей про те, як важливо підбирати надійний пароль, культура інтернет-безпеки в цілому залишається низькою. Користувачі інтернету обирають одні і ті ж нехитрі кодові слова для різних сайтів, переходять за підозрілими посиланнями з спаму і принципово відмовляються від менеджерів паролів. Зазвичай зловмисники користуються наступними методами:

 

 

Фішинг. Користувача заманюють на сайт, який видає себе за справжній, і пропонують ввести пароль, який «витікає» до зловмисникам;

 Злоблива програмне забезпечення (malware). Таке ПО розміщують на зламаних сайтах або засилають на недостатньо захищені системи;

 Соціальна інженерія. Іноді пароль вдається підгледіти, а особливо довірливі користувачі можуть повідомити його зловмиснику самі: на цьому збудований цілий пласт системи інтернет-шахрайства;

 Підбір пароля. Володіючи інформацією про користувача, яку легко знайти в соціальних мережах, можна спробувати вгадати пароль. Також можна автоматом перебрати величезна кількість варіантів, скориставшись асоціативної бази даних або технікою словникової атаки, коли несловесні комбінації виключаються, а словесні модифікуються так, як любить більшість — замінюючи літери схожі цифри.

 

Как именно хакеры взламывают аккаунты   в социальных сетях. Изображение № 4.

Как именно хакеры взламывают аккаунты   в социальных сетях. Изображение № 5.

Володимир Іванов

«Найчастіше зломщикам не потрібно підбирати пароль — вони діють іншими методами. У великих сайтів майже завжди працює ефективний захист від перебору, яку можна обійти, лише маючи дуже велику мережу ботів (підконтрольних комп’ютерів) і розтягуючи атаку на багато місяців, але ніяк не вручну.

Фішинг нерідко організований дуже витончено. Введений пароль не тільки «витікає» до зловмисників, але і використовується для аутентифікації на цьому сайті — наприклад, за допомогою JavaScript. Таким чином, з точки зору користувача нічого страшного не відбувається: він вводить пароль і виявляється у своїй звичній стрічці друзів або в поштовій скриньці.

Злоблива ЗА опиняється на комп’ютері користувача різними способами. Якщо зловмисники не займаються цільової атакою на конкретну людину, а прагнуть проникнути в найбільшу кількість комп’ютерів (а це більш поширена тактика серед «традиційних» комп’ютерних злочинців), то вони воліють отримати доступ до популярних сайтів і впровадити в них шкідливий код. Відвідування такого сайту з комп’ютера, де не встановлені останні оновлення безпеки, антивірус або браузер, який вміє попереджати про заражених сайтах, може призвести до зараження і потрапляння під повний контроль атакуючих.

Найбільш привабливими для зловмисників часто стають не самі популярні сайти, а різні інструменти на них. Наприклад, це можуть бути рекламні мережі, що підключаються бібліотеки JavaScript, різні API (інтерфейс програмування додатків) соціальних мереж тощо. Зловмисники можуть навіть не зламувати такі сайти, а використовувати їх можливості завантаженні контенту: наприклад, рекламна мережа може дозволити завантажити flash-ролик. Тоді, якщо їм вдається обійти перевірки на безпеку, їх шкідливий контент буде показаний в ході звичайної роботи сайту. Таке недавно сталося з рекламною мережею Yahoo!: через неї роздавали Magnitude Exploit Kit. А в Росії багато хто пам’ятає інцидент з сайтом однієї з компаній великої банківської групи, на якому теж був виявлений шкідливий код.

 

   

 

Все частіше зловмисники починають використовувати несправжні сторінки-заглушки в контрольованих мережах Wi-Fi

 

   

 

 

Коли мова йде про спрямованих атаках — таких, де жертва є публічною особою або має доступ до інформації, — може використовуватися механізм, званий watering hole. Жертву заманюють на знайомий йому сайт, але іншими методами. Припустимо, він може підключитися до публічної мережі Wi-Fi, яку контролює зловмисник. В ній користувача автоматично направляють на фішинговий сайт, схожий на звичну соцмережа, або просто сайт зі шкідливим кодом, який, наприклад, може бути розміщений на вітальній сторінці входу в мережу Wi-Fi. Все частіше зловмисники починають використовувати несправжні сторінки-заглушки в контрольованих мережах Wi-Fi: російські користувачі вже звикли бачити напис «Сайт заблоковано на вимогу влади» і не підозрюють, що разом з його показом встановлюється шкідливе ПЗ.

Недосвідчені користувачі досить часто використовують один і той же пароль на декількох сайтах або в декількох програмах. У цьому випадку, зламавши одну базу даних з паролями або вкравши пароль від одного сайту, атакуючий отримує доступ і до іншого, можливо, більш цінного ресурсу. Крім самого злому аккаунта, можливі ситуації, коли пароль не скомпрометований, але зловмисники все одно мають можливість діяти від імені користувача. Напевно багато хто стикався з можливістю «увійти на сайт, використовуючи Facebook, Twitter або «ВКонтакте». Натискаючи на кнопку, користувач опиняється на сторінці соціальної мережі, де у нього запитують, чи довіряє він цього сторонньому сайту. Іноді серед дій, які просить дозволити сторонній сайт, виявляється і публікація нових повідомлень від імені користувача. В результаті зловмисникам необов’язково зламувати, наприклад, твіттер, щоб публікувати твіти.

Как именно хакеры взламывают аккаунты   в социальных сетях. Изображение № 6.

 

Іноді хакери користуються помилками або недоробками на сайтах. Так, деякий час тому була опублікована уразливість в Twitter: захист від перебору не була включена в API Firehorse — методу, використовуваного партнерами Twitter для отримання великих обсягів твітів. Я не впевнений, чи закрита уразливість в даний момент, але ця історія ілюструє можливість помилок розробників, все-таки дозволяють атакуючим ефективно перебирати паролі. Я вважаю, що тут можна говорити не про неефективне алгоритмі, який вдалося обійти хитрим зловмисникам, а про помилку адміністрування, з-за якої алгоритм просто не працював.

У сучасному світі логін від соціальної мережі може бути важливіше поштової. Поштові системи накопичили великий досвід боротьби зі зловмисниками, а користувачі проводять в інтерфейсі соціальної мережі більше часу, ніж в пошті. Тому все залежить від ситуації: якщо зловмисник атакує платформу, зав’язану на електронну пошту для відновлення пароля, злом поштової скриньки може здатися кращим (малоймовірно, що він буде робити це безпосередньо — перебір паролів в даний час ефективний тільки для невеликих сайтів). Проте соціальна мережа може бути цінною сама по собі, а атака на електронну пошту може виявитися дорожче атаки на соціальну мережу, телефон або комп’ютер користувача. Само собою, розумний атакуючий вибере найбільш доступну мета.

Якщо ви не глава уряду держави, важливо, щоб ваш пароль було досить складним, для того щоб зловмисники обрали собі іншу мету. Але якщо ви володієте важливою інформацією або просто відома особистість, завжди краще, щоб серед людей, що захищають вас, були не тільки влучні стрілки, але і досвідчений фахівець в галузі інформаційної безпеки».

  1. 5
  2. 4
  3. 3
  4. 2
  5. 1
(0 голосов, в среднем: 0 из 5)

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *