Как оценить потенциальную выгоду для хакера?

Сегодня мы хотим рассказать про некоторые способы монетизации взлома домашнего компьютера, какие категории взлома бывают, что в них входит, а также рассмотрим потенциальную выгоду, которую хакер может получить из данных на вашем ПК. В первой части материала мы разберем особенности использования компьютера в качестве сервера и покажем, зачем совершаются атаки на электронные почты юзеров.

Первая категория, которую мы разберем — использование взломанного компьютера в качестве сервера.

*На случай, если вы еще не знакомы с принципами работы компьютерных сетей, мы вкратце расскажем, что такое сервер и какую он выполняет роль. Сервер — это роль устройства в сети. Компьютерные сети существуют, чтобы люди могли делиться с друг другом теми или иными ресурсами. Т. е сервер — это устройство, которое делает некий ресурс доступным другим устройствам с помощью сети. Например, поиск гугла или яндекса — это общедоступный сервис. У них есть сервера, на которые физически приходят пакеты данных, когда мы пользуемся поиском, и именно эти сервера нам отправляют ответ. Это специальные устройства, как правило, созданные именно для роли сервера и именно эти сервера нам предоставляют услугу в виде поиска, показы рекламы или слежки за каждым пользователем в интернете. Другим ярким примером является использование torrentов. Если вы пользуетесь torrentами и у вас включена раздача, то ваш компьютер является сервером, он делает стоящие у вас на раздаче файлы доступными другим участникам peer-to-peer сети.

Proxy сервер: ресурсом, который proxy сервер предоставляет другим устройствам, является перенаправление траффика, т. е такой сервер получает пакеты данных и передает их дальше так, как если бы они исходили от него. Если домашний компьютер настраивают как такой сервер, то это называется резидентный proxy (от англ. слова residence — место жительства), такие proxy используют для того, чтобы IP-адрес казался домашним, ведь в этом случае он относится к пулу IP- адресов домашнего провайдера, а не к какому-то хостингу, где можно арендовать виртуальный сервер. Это помогает обманывать антифрод системы, которые выявляют ботов или пользователей, использующих средства анонимизации, такие как VPN, Tor или Proxy. Обычно компьютеры становятся резидентными Proxy либо из-за заражения вирусом, либо из-за установки вредоносных дополнений для браузера. Ценность резидентного proxy — небольшая, она составляет около 10-20$, тем не менее компьютер может быть взломан целенаправленно для использования его в качестве Proxy сервера, если на этом компьютере есть доступ в корпоративную VPN сеть, до которой хакер хочет добраться. В таком случае, ценность атаки может быть большой и возможен целенаправленный взлом.

Следующая подгруппа — экстремистские материалы и детское порно. Другими словами, что-то такое, что ни один пользователь не захочет хранить на своем компьютере и тем более раздавать с него в сеть. Как правило, домашний компьютер не имеет публичного IP-адреса, поэтому для раздачи с него файлов нужно использовать решения по типу тех же torrentов, пробросов портов или туннелирования. Все это является непростыми решениями, но реализуемыми. Тем не менее, такого рода “гадости” на чей-либо компьютер скорее всего положили бы удаленно с целью серьезно навредить человеку. Хакер может такое провернуть либо из сильной неприязни, либо за большую сумму денег, скорее всего речь пойдет о многих тысячах долларов.

Вирусные атаки: при распространении вредоносного ПО, зараженное устройство может сыграть роль сервера при некоторых типов атак на инфраструктуру. Ценность взлома — большая. Целенаправленный взлом возможен, если хакер рассчитывает, к примеру, взломать закрытый сегмент сети, используя чей-то компьютер с доступом туда как точку входа и сервер для осуществления атак. Это похоже на Proxy, но разница в том, что Proxy перенаправляет трафик с другого сервера, а здесь сервером для атаки выступит зараженная машина.

Сервер для спам-рассылок: для того чтобы рассылать спам, нужны основные компоненты инфраструктуры — ими выступают сервер, адрес отправителя и база адресатов. Сервер нужен с IP-адресом, который не будет значиться в анти-спам базах. Т. е домашний IP-адрес с провайдера вполне подойдет для этой задачи. Обычно стоимость сервера для таких “некрасивых” целей составляет около 100-200$ в месяц, что явно недостаточно для того, чтобы целенаправленно взламывать кого-то. Но если, к примеру, в результате вирусной атаки, хакеру подвернется доступ к машине, которая 24/7 работает и имеет чистый IP-адрес, он вполне может развернуть там спам сервер.

Далее предлагаем рассмотреть атаки на электронную почту и ценность таких атак соответственно: первый и достаточно очевидный мотив — чтение чужой переписки. Ценность атаки здесь двойная: есть выгода для хакера, выполняющего атаку, есть выгода для заказчика, поскольку большинство почт ломается на заказ. Стоит это обычно от 100-300$ если мы говорим про использование таких российских сервисов, как mail или yandex. Такое вознаграждение объективно является небольшим, для того чтобы взламывать домашний компьютер ради получения доступа к ним. Как правило, их открывают с помощью фишинга или через коррупционные схемы. А вот когда речь идет о корпоративной почте или о таких мировых сервисах, как gmail или icloud, то за них спецы просят от 500$ и выше. И ради доступа к ним хакеры вполне могут атаковать домашний компьютер или ноутбук. Выгода для хакера в таком случае может составлять до 5000$, а для заказчика — до сотен тысяч $, если крадется информация, обладающая высокой коммерческой ценностью.

Скам и социальная инженерия: электронная почта (личная или рабочая) — мощный инструмент в руках хакера или мошенника. Мы обычно доверяем информации, которая приходит по почте, особенно если она выглядит как обычно. Получив доступ к машине жертвы, хакер может изучить ее переписки, характер общения и отправить вирус, запрос на проведение платежа, просьбу занять денег с указанием ненастоящих реквизитов и многое другое. В таких случаях определить ценность атаки очень сложно, т. к ситуации бывают очень разными. Например, почта может оказаться в руках у хакера случайно: если пользователь использовал простой или повторяющийся пароль или его компьютер был заражен вирусом, в таком случае хакер вряд ли будет устраивать целенаправленную атаку, скорее всего он пошарится по почте и если ничего полезного для себя не найдет, то просто забудет и оставит ее в покое. А может и специально атаковать выбранную жертву ради какой-то сложной схемы.

Атаки ради сбора контактной базы: если это сбор для спама, то отдельный взятый компьютер или аккаунт почты вряд ли будет полезным для хакера, но если нужно собрать контакты ради шпионажа или как этап какой-то сложной атаки, направленной на организацию, то в этом случае целенаправленная атака возможна, потому что для построения атаки через социальную инженерию может быть очень полезно знать список сотрудников и информацию о том, кто с кем общается и на какие темы.

Учетные записи в связанных сервисах: в 99% аккаунты учетных записей на различных сервисах регистрируются на почту или телефон. И в этих аккаунтах можно найти много интересного: информацию или цифровые активы. Если хакер знает, что у пользователя есть аккаунт на криптобирже и большой баланс там, он может атаковать почту или компьютер, чтобы получить возможность зайти на биржу, изменить адрес вывода, что обычно подтверждается по почте и украсть крипту. Но также возможен и оппортунистический подход: хакер заразил большое количество машин вирусом и разбирает логи, заходит в почту в надежде утащить оттуда хоть что-то полезное, ценность атаки определить очень сложно, но целевой взлом вполне возможен.

Доступ к корпоративным ресурсам: компьютер может быть атакован ради получения доступа к корпоративной почте и дальнейшей атаки на компанию. Обычно такое выполняют профи и ценность атаки может составлять от 5000$ до нескольких десятков.

Спасибо за внимание! В следующей части рассмотрим атаки на цифровые активы, ботнет, аккаунты в социальных сетях и доступ к финансовым данным, а также узнаем, как происходит вымогательство при помощи хакерских атак.