Лого vc.ru

Григорий Земсков, Revisium: Что делать, если хакер взломал сайт и вымогает деньги

Григорий Земсков, Revisium: Что делать, если хакер взломал сайт и вымогает деньги

Григорий Земсков, директор компании по лечению и защите сайтов от взлома Revisium, написал для ЦП колонку о том, что делать, если сайт взломали хакеры и требуют деньги за восстановление доступа или устранение уязвимостей.

Поделиться

По данным экспертов в области антивирусной безопасности британской компании Sophos Labs, ежедневно в интернете фиксируется около 30 тысяч зараженных веб-сайтов, распространяющих вредоносный код и содержащих потенциальную опасность для пользователей интернета (данные за 2013 год). Зараженный сайт в руках хакера — инструмент, который может приносить взломщику хороший доход в течение достаточно долгого времени, не вызывая никаких подозрений со стороны владельца ресурса.

Взлом сайта и незаметное паразитирование на нем — не единственный способ извлечения недобросовестной выгоды. Иногда хакеры выбирают другую схему взаимодействия с хозяином скомпрометированного ресурса, действуя агрессивно и открыто: за взломом следует вымогательство денег за якобы устранение «брешей» — в противном случае хакер угрожает полным уничтожением сайта. О том, какие веб-ресурсы чаще всего подвергаются внешним атакам и как вести себя, если вас шантажирует хакер, и пойдет речь в моей колонке.

Взлом сайтов с целью извлечения коммерческой выгоды — основной мотив, побуждающий хакеров использовать уязвимости на сайтах своих жертв для получения контроля над веб-ресурсом.

Времена, когда сайты взламывались преимущественно ради «интереса» к новым технологиям или удовлетворения тщеславия и, как бы это странно ни звучало, профессиональных амбиций, уходят в далекое прошлое. Цель современного веб-мастера, «играющего на темной стороне» — деньги, причем, немалые. Впрочем, аппетиты хакера зависят от уровня его профессиональной подготовки, возраста и степени уверенности в своей безнаказанности.

Наивно полагать, что хакерским атакам подвержены исключительно крупные информационные порталы, сайты банков, холдингов или корпораций (которые, как правило, хорошо защищены). Наоборот, сотни тысяч хакеров заинтересованы во взломе именно небольших веб-сайтов, владельцы которых не могут грамотно оценить риски и забывают о проблеме защиты и безопасности сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной.

В большинстве случаев хакер действует достаточно осторожно и аккуратно: он незаметно взламывает сайт, размещает на нем вредоносный код, вирусы, рекламные баннеры или мобильные редиректы. Кроме того, что хакер наносит ущерб самому сайту, страдают и его посетители — при заходе на взломанный веб-ресурс компьютер пользователя может заразиться вирусом или троянской программой. Скомпроментированный хостинг-аккаунт используется для рассылки спама.

После взлома сайта ничего не подозревающий владелец ресурса продолжает свое спокойное существование, прилежно наполняя раздел «Новости» и «Акции», а также инвестируя в продвижение в поисковиках. Мысль о том, что в один прекрасный момент сайт может оказаться заблокированным антивирусом, поисковой системой или хостером за распространение вирусов или спам-рассылку (а вложения в раскрутку веб-ресурса окажутся потраченными впустую), даже не приходит владельцу сайта в голову.

Между тем, уютно разместившийся хакер может «прожить» на взломанном сайте довольно долго, используя его как площадку для извлечения прибыли или проведения атак на другие сайты. Присутствие стороннего кода и файлов владелец сайта замечает только спустя какое-то время и, в основном, по косвенным признакам. О наличии вредоносного программного обеспечения могут сообщить посетители сайта или хостинг-провайдер; подозрительная активность может быть замечена антивирусом на рабочем компьютере или встроенным антивирусом поисковой системы.

Однако есть и другой, менее встречающийся, но не менее неприятный вариант «сотрудничества» хакера с владельцем сайта. Речь идет о взломе веб-ресурса с целью вымогательства, когда хакер, прикрываясь маской добродетели, предлагает владельцу ликвидировать обнаруженные им уязвимости за некоторое щедрое вознаграждение, в противном случае — ... Варианты последствий ограничиваются лишь жадностью и фантазией хакера.

Игра «Вымогатель-Жертва» началась

На момент получения владельцем сайта сообщения от хакера о том, что его сайт находится под угрозой, «веб-ломастер» уже проделал определенную работу: потратил время на поиск «дырявого» веб-сайта, изучил уязвимости, проник внутрь и пустил корни зла в виде веб-шелла или бэкдора. Сайт, а иногда и весь аккаунт хостинга, уже находятся под контролем хакера, и, чувствуя себя хозяином положения, вымогатель предпринимает первые шаги, инициируя контакт с владельцем ресурса. Связаться с жертвой вымогатель может любым удобным для себя способом — по email, skype или через соцсети, естественно, действуя через подставные аккаунты и безопасный выход в интернет.

Первое входящее сообщения может выглядеть приблизительно так: «В вашем веб-ресурсе обнаружена уязвимость, я хочу вам помочь, предотвратив атаки на ваш сайт; я избавлю вас от проблем, как только вы перечислите деньги на мой электронный кошелек».

Одев маску Робин Гуда, хакер пытается «продать свои услуги» по устранению брешей на сайте за определенное вознаграждение (размер которого, как правило, превышает стоимость услуг компаний, специализирующихся на лечении и защите веб-сайтов). Чтобы доказать свое могущество, произвести впечатление и, наконец, просто напугать владельца сайта, хакер совершает некоторые изменения — добавляет картинки, удаляет разделы, изменяет текст.

Продемонстрировав свои возможности, злоумышленник вынуждает жертву согласиться на «сотрудничество», а в случае отказа уничтожает сайт, выкладывает дамп базы и рип сайта на хакерском форуме (например, на nulled.cc или forum.antichat.ru) с целью выгодно перепродать преступно приобретенную информацию другим недобропорядочным участникам интернет-сообщества. Или же просто начинает зарабатывать на сайте, используя перечисленные в начале статьи «мирные» варианты.

Сложившаяся ситуация опасна тем, что хакер может полностью уничтожить сайт без возможности его последующего восстановления и проведения анализа взлома, поскольку в его распоряжении находится полный доступ не только к файлам и базе данных сайта, но часто и к резервным копиями и логам сервера. Именно поэтому крайне важно выработать грамотный алгоритм действий, который, в случае несанкционированного проникновения и шантажа со стороны хакера, позволит сохранить веб-ресурс и повысит шансы найти злоумышленника.

За взлом сайта и вымогательство киберпреступнику «светит» сразу несколько статей УК РФ, однако, как показывает сложившаяся практика, доведение до суда таких дел маловероятно — уж слишком легко в виртуальной среде замести все преступные следы, и слишком невежественны в вопросах информационной безопасности владельцы сайтов.

Почему не стоит сотрудничать со взломщиками сайтов

Существует ряд веских причин, почему не стоит сотрудничать со взломщиками сайтов, обещающих избавить вас от головной боли при условии, что вы оплатите им работу по якобы устранению текущих уязвимостей. Во-первых, в основном подобной формой вымогательства занимаются юные специалисты — школьники или студенты, которые в силу своего непрофессионализма и некомпетентности просто не в состоянии грамотно защитить сайт от последующих атак.

К сожалению, современные тинейджеры теперь не просто просиживают время за компьютерами, сражаясь с майнкрафтовскими криперами и пауками, или уничтожая противников в Counter-Strike. «Жажду скорости» заменяет жажда денег — а интернет изобилует инструкциями по взлому сайтов. Так почему не попробовать себя в роли хакера с целью заработать на карманные расходы?

Во-вторых, не стоит забывать, что главная цель взломщика — извлечение материальной выгоды, поэтому «нормальная» хакерская практика подразумевает, что злоумышленник, внедрив хакерский бэкдор или веб-шелл, сохраняет за собой контроль над сайтом «на всякий случай». Вероятность того, что доступ ко взломанному сайту будет продан другим хакерам, а рип окажется в публичном доступе, очень высока. А покупатели «на черном рынке» всегда найдутся:

Да и сможет ли некомпететный владелец сайта проверить, что уязвимости действительно устранены, а хакер не использует его ресурс для получения собственной выгоды? Ведь никаких гарантий его «партнер» не дает.

Выбор жертвы: кто следующий?

В целом, взломщики стараются выбирать небольшие, но высокопосещаемые интернет-ресурсы, владельцы которых потенциально платежеспособны — преимущественно это сайты не ИТ-направленности.

Наш опыт работы в сфере лечения и защиты веб-сайтов показывает, что больше всего хакерским атакам с целью мелкого вымогательства и шантажа подвержены интернет-магазины и популярные женские порталы.

Главная причина повышенного внимания хакеров к сайтам данной категории вполне очевидна. Владелицы порталов, где участницы делятся кулинарными рецептами или обсуждают новинки моды, крайне редко осведомлены о важности информационной безопасности в интернет-среде — сайты попросту незащищены от внешних вторжений. К тому же, женскую аудиторию легко запугать и принудить заплатить деньги.

Владельцы интернет-магазинов более искушены в вопросах информационной безопасности, однако не настолько, чтобы быть неуязвимыми при хакерском нападении. Сканирование сайта на наличие в нем брешей — последнее, о чем подумает владелец интернет-магазина, чье внимание сконцентрировано на конверсии сайта и прибыли своего бизнеса. Не желая допустить ни малейшей приостановки продаж, владелец ecommerce-сайта идет на сделку с хакером и выплачивает запрашиваемое вознаграждение, не получая взамен никаких гарантий.

Найти новую жертву хакеру не так-то и сложно. Воспользовавшись тематическим каталогом сайтов, например каталогом «Яндекса», злоумышленник может получить полную подборку интересующих его веб-ресурсов.

Другой способ — поиск с помощью «дорков». Это специальные запросы в Google, благодаря которым можно получить список уязвимых сайтов. Например, хакерскому сообществу становится известна новая уязвимость в WordPress. Используя данную информацию, хакер ищет в Google сайты, в адресе страниц которых содержится дорк, указывающий на присутствие определенной бреши на сайте.

Конечно, злоумышленник может наткнуться на уязвимый сайт случайно или «по наводке» и, наконец, просто приобрести базу взломанных сайтов у своих «коллег» на хакерском рынке.

Что делать, если вас шантажируют

Грамотная реакция и оперативное реагирование на возникшую ситуацию помогут вам сохранить сайт и контроль над ситуацией, а в некоторых случаях даже поймать злоумышленника.

Первое, что необходимо сделать — тут же обратиться в компанию, специализирующуюся на лечении и защите сайтов. В обращении подробно опишите ситуацию и перешлите переписку с хакером. Компетентные специалисты проведут расследование, удалят вредоносный код с сайта, установят защиту от взлома.

Приложите усилия, чтобы ввести хакера в заблуждение — согласитесь на сотрудничество, стараясь выиграть время:

  • попросите злоумышленника привести доказательства намерений помочь, запросите детали уязвимостей, которые он обещает закрыть;
  • спросите, как вы сможете убедиться в том, что работа выполнена;
  • запросите платежную информацию (номера электронных кошельков), на которые перевести деньги;
  • сообщите, что сейчас у вас нет возможности перевести деньги и вы сделаете это в течение суток;
  • зафиксируйте изменения на сайте и время, когда они были сделаны.

Ваша основная задача — собрать как можно больше информации о вымогателе и проделанной им работе,  чтобы передать ее профессионалам в области информационной безопасности.

Что бы мы не рекомендовали делать

  • Сразу же обращаться в полицию с заявлением о хакерской атаке на ваш сайт. Поскольку вы еще не обладаете достаточной информацией для проведения расследования, то вероятность найти хакера равна нулю. Вы скорее потеряете свой сайт, чем накажете злоумышленника.
  • Перечислять деньги на счет хакера, надеясь на его добропорядочность и компетентность.
  • Пытаться решить проблему самостоятельно или искать помощи на форумах. На момент обращения к вам хакер уже имеет полный контроль над вашим сайтом, всем аккаунтом хостинга или даже сервером, поэтому любые попытки ему помешать обернутся уничтожением ваших данных.

Как найти и наказать хакера

Каждый владелец сайта, попавший в подобную ситуацию, желает восстановить справедливость и наказать хакера по всей строгости закона. К сожалению, не так-то легко поймать виртуального злоумышленника, тщательно скрывающего любую реальную информацию о себе.

Используя поддельные IP (работая через прокси и VPN), создавая временные или эксплуатируя взломанные аккаунты соцсетей, email и электронные кошельки, опытные хакеры становятся практически неуловимы, однако новички могут допускать ошибки и дают шанс на собственную «развиртуализацию».


Чтобы написать колонку для ЦП, ознакомьтесь с требованиями к публикуемым материалам.
Популярные статьи
Показать еще
Комментарии отсортированы
как обычно по времени по популярности

Статья написана для аудитории, которая на данном сайте вряд ли обитает :(

0

Несогласен. Мне тема довольна близка, ибо у меня на данный момент с 10 посещаемых сайтов и недавно был похожий опыт

"уж слишком легко в виртуальной среде замести все преступные следы, и слишком невежественны в вопросах информационной безопасности владельцы сайтов. "

замести следы не так уж и легко. тем более, если попасть под колпак, вычислить можно на раз-два.

В самом низу забыли имя замазать.

0

Да там и так видно, что это Федор Прудников.

0

Кто бы ни был этот пользователь, аккаунт уже неактивен

0

Систему контроля версий установить и забыть о таких хакерах.

0

Едва ли система контроля версий поможет в защите сайта. Она позволит только отслеживать изменения в файлах. Что если изменения в базе данных или конфигуарции сервера? Возможна также ситуация, когда сайт будут регулярно удалять или повреждать, а владельцу придется постоянно его восстанавливать из репозитория (а если репозиторий на том же сервере, его могут просто удалить вместе с резервными копиями, логами и базой). Все зависит от уровня доступа, который получил хакер.

Намного эффективнее все-таки превентивно защитить сайт, а именно:
- сделать диагностику сайта и просканировать на вредоносные и хакерские скрипты, удалить, если что-то обнаружится
- обновить "движок" сайта и все плагины
- поставить защиту от взлома
и после этого выполнять мониторинг + можно сайт положить под систему контроля версий для удобства.

0

Система контроля версий поможет восстановить код сайта. Но не контент (по крайней мере, user generated). И не историю взаимодействия с пользователями, что для магазинов критично.

О, чачачат.
Кстати, вопрос к автору. Какие это интересно статьи в укрф светят за взлом сайта и что мы понимаем под взломом?

0

Есть ли судебная практика, когда свидетеля провели по этой статье при условии, что он не признал свою вину?
По статье:
1. Что такое «неправомерный доступ»? Желательно с ссылкой на гарант.
2. Что такое «!охраняемая законом! компьютерная информация» в нашем контексте? Желательно, тоже со ссылкой на гарант.

Я на вашей стороне, Григорий. И то, что вы делаете — похвально и круто. Школоло должно сидеть ) Однако, в нашем УК всего 2 статьи и я не видел не знаю ни одного реального случая, когда человек присел бы по этой статье. При условии, что доказательство не основывалось на признании и у человека был бы хотя бы маломальский адвокат.

0

На самом деле статей несколько, все зависит от того, что и каким образом произошло. Есть еще статьи 273 (за создание и использование вредоносных программ), реже 137 (нарушение неприкосновенности частной жизни) и 138 (нарушение тайны переписки)

Прецеденты есть
www.odnako.org/blogs/osuzhden-haker-vzlomavshiy-sayt-prezidenta-rf/

0

Ну да, можно и 165 пришить и что угодно при большом желании )
Сайт президента, согласитесь, это сайт президента. Фигуры #1 в стране, а наш президент бывший КГБшник со всеми вытекающими.

Ддос это замечательно, но кроме как признания вины в данном деле не может быть доказательной базы. А есть подробная информация по данному делу? Почему пришили 273, неужели он сам писал ботов?

0

Используйте нормальные технологии, а не говноPHP

пару дней назад видел по телику как задержали студентов, за такие дела. посадят парней.

0

Возможность комментирования статьи доступна только в первые две недели после публикации.

Сейчас обсуждают
Слава Діонісьєв

К роскомдозору стоит очередь

Роскомнадзор заявил об отсутствии претензий к Netflix из-за «непопулярности сервиса» в России
0
Показать еще