Как оценить потенциальную выгоду для хакера? Часть 2

Как оценить потенциальную выгоду для хакера? Часть 2

В прошлом материале мы подробно рассказали о таких способах монетизации взлома домашнего компьютера, как использование взломанного ПК в качестве сервера и о разновидностях атак на электронную почту, а также рассмотрели последствия и ценность таких атак, как для хакеров, так и для заказчиков. Как мы и обещали, мы продолжаем разбирать разновидности хакерских атак на персональное устройство, как они могут навредить, и какую выгоду потенциально предоставляют для злоумышленников. В данной статье мы подробно расскажем об атаках на цифровые активы, ботнет, аккаунты в социальных сетях, доступ к финансовым данным, а также узнаем, как происходит вымогательство при помощи хакерских атак.

Цифровые активы: цифровые активы — это особенная категория, потому что в нее попадает объединение цифровой информации и реальных вещей. Например, криптовалюта- это цифровой актив, она существует только как набор нулей и единиц на цифровых носителях, также как и любой файл на компьютере. Однако стоит отметить, что файл можно скопировать хоть миллион раз, получив миллион копий, а крипту так размножить нельзя: она всегда меняет свойство владения т. е переходит от одного владельца к другому, например, как квартира или велосипед. Цифровой актив при передачи меняет владельцев, в отличие от информации, которая остается у отправителя, и в то же время появляется у получателя.

Аккаунты в онлайн играх и игровые предметы: игровая индустрия имеет огромные обороты и во многих онлайн проектах есть цифровые предметы, которые так или иначе продаются и покупаются за реальные деньги — артефакты, оружие, золото, скины моделей и многое другое. К примеру, редкий скин пушки в Counter-Strike Global Offensive может стоить больше миллиона рублей. И разумеется, хакеры все это похищают, если им удается добраться до учетной записи игрока. Ценность атаки здесь может быть разной: от сотен рублей до миллионов. В таком случае, здесь возможна целенаправленная атака ради редкого и очень дорогого цифрового шмота.

Балансы в играх и на цифровых платформах: скины и игровые предметы — не единственное, что можно утащить из игровых платформ. В том же Steam есть внутренний баланс, который хакер может украсть, например, купив и передав игровые предметы или цифровые лицензии на игры. Сюда же можно отнести балансы на различных сервисах: маркетплейсы цифровых товаров, онлайн казино, электронные кошельки, платформы для отправки смс. Другими словами, все, где можно что-то купить за внутренний баланс и впоследствии это перепродать или использовать.

Криптовалюта: сама по себе крипта в чистом виде — это, конечно же, “лакомый кусочек” для хакеров. Есть такие вирусы, как криперы, они подменяют адрес кошелька в буфере обмена, в результате чего крипта уходит на кошелек злоумышленника вместо настоящего адресата. Также бывают зараженные файлы кошельков и существуют стиллеры — это вирусы, которые крадут файлы кошельков. Если кошелек не зашифрован, то это, — фиаско, но даже если он защищен паролем, кошелек вполне возможно расшифровать. Обычно расшифровщики просят от 30% до 50% от баланса кошелька за свои услуги. Помимо этого хакер потратит порядка 5-10% на отмывку и вывод крипты в фиат, так что ценность взлома составит от 40% до 95% от украденного баланса.

NFT: они же не взаимозаменяемые токены: по сути, это цифровые сертификаты на владение некими опять же цифровыми активами. Они работают на блокчейне, как и крипта и могут стоить от десятков до миллионов $. Такие токены хранятся на крипто кошельках и технически, с точки зрения безопасности, — это та же крипта.

Как оценить потенциальную выгоду для хакера? Часть 2

Следующая категория, о которой мы хотели бы рассказать — ботнет. Что такое ботнет проще всего объяснить на примере DoS атак (denial of service) в переводе с английского — выведение из строя. Эта атака нацелена на то, чтобы сервер или, например, узел сети такой как маршрутизатор перестали работать. Принцип такой атаки по сети очень простой: на обработку каждого сетевого пакета сервер или маршрутизатор тратит вычислительные ресурсы. Представим для примера, что это одна единица вычислительной мощности на один пакет в секунду, а всего у сервера, например, скажем, 10 000 единиц мощности в секунду, которые он может обработать. Если на него будет приходить 20 000 запросов в секунду, он просто не успеет их всех обработать, они будут вставать в очередь. Мусорный трафик в таком случае займет все ресурсы, и маршрутизатор уже ничего не сможет обработать. В итоге устройство, которое подверглось такой атаке либо не будет отвечать, т. е зависнит, либо будет отвечать с очень большими задержками, что фактически приведет к тому, что сервис, который обслуживает этот сервер или маршрутизатор будет недоступен. Обычно промышленные маршрутизаторы и серверы намного мощнее домашних. Значит, чтобы отправить столько траффика, сколько необходимо, и чтобы их мощностей не хватало на обработку, хакеру нужно использовать много домашних систем. Речь пойдет о тысячах или десятках тысяч. Это и называется ботнет — подконтрольная хакером группировка устройств, которую он заразил вредоносным ПО и использует для DDoS атак ( distributed denial of service) т.е в переводе с англ. языка,- распределенная атака с целью вывести из строя. Аналогично зараженные машины могут быть использованы и для майнинга крипты. Принцип здесь схожий: на домашнем компьютере не получится много намайнить, даже если там стоит топовая видеокарта, но если заразить тысячи машин, то как говорится “с компа по Сатоши — хакеру биткоин”. Ценность отдельно взятой машины в обоих случаях мизерная и никто не станет ради этого целенаправленно ломать чей-то конкретный ПК.

Предлагаем разобрать следующую категорию — шпионаж. Шпионаж бывает массовый и точечный, к массовому относится слежка со стороны разработчиков операционных систем, рекламных организаций и прочих крупных корпоративных игроков. Они обычно либо изначально закладывают свой код для шпионажа в операционку, либо же шпионские функции несут сторонние программы, которые пользователь загружает себе на компьютер. Он собирают данные для таргетированной рекламы, обычно обезличенные, но не всегда. В то время как целенаправленный шпионаж всегда имеет дело с персонализированными данными.

Мессенджеры: современные смартфоны хорошо защищены, в том случае, если пользователь сам не открыл хакеру дорожку, поставив себе root или jailbreak, ну или не загрузил себе вирус, тем самым не понизил безопасность устройства, то взломать смартфон очень сложно и дорого. В то время как компьютер является не настолько защищенным, а ведь многие используют мессенджеры непосредственно на своем персональном устройстве. Ради чтения чужой переписки в мессенджерах люди готовы платить по несколько тысяч $, что делает атаку на компьютер вероятным сценарием в этой ситуации.

Социальные сети: здесь абсолютно такой же мотив, но вознаграждение будет немного скромнее. Взлом VK можно купить за 100$, Facebook — за 500-700$. Однако если кто-то хочет взять оптом все сразу, то можно взломать компьютер, а не отдельные учетные записи. Цена такого взлома составляет 100-1000$. Профи вряд ли за такое возьмутся, поэтому такие атаки часто совершают люди из близкого круга, путем физического доступа к компьютеру или ноутбуку.

Кража файлов: обычно это бывает актуально в рамках корпоративного шпионажа или целенаправленного расследования. Как правило, в обоих случаях замешаны 1000$-10 000$ и больше, что представляет вполне достаточную ценность для совершения целенаправленной атаки.

Планирование атаки: если планируется пентест или целенаправленная атака на корпоративную инфраструктуру, то домашние компьютеры сотрудников вполне могут стать мишенями для первой волны атаки с целью разведки и поиска лазеек в закрытую сеть или доступу к определенной информации, которая будет ценной для хакеров в рамках осуществления атаки через социальную инженерию. Выгода здесь может составлять десятки тысяч $, что является достаточной мотивацией для взлома.

Как оценить потенциальную выгоду для хакера? Часть 2

Аккаунты и доступы: в первой части материала мы уже говорили про аккаунты в контексте атак на электронную почту. Расскажем немного подробнее, как некоторые из них злоумышленники могут использовать, чтобы заработать на этом денег. Начнем с социальных сетей: угнанный живой аккаунт с друзьями скорее всего будут использовать в мошеннических схемах, когда атакующий пишет всем собеседникам вариации сообщений на тему “займи 500 рублей до завтра”. Встречаются как неубедительные варианты таких схем, так и грамотно продуманные в рамках социальной инженерии. Ценность атаки может составлять от 0 при “тупости” атакующего до десятков тысяч рублей при сочетании качественной схемы, подходящей к учетной записи и кругу друзей. Но при этом для таких целей вряд ли кто-то станет красть чью-то конкретную учетку. Такого добра очень много в интернете, причем купить это можно за дешево. Обычно угнанные чужие аккаунты, которые на жаргоне называют актив, продают по цене до 500 рублей за штуку. Если аккаунт не интересен для атакующего в плане скама, то он может его использовать в качестве бота для накрутки или спам-рассылок.

Данные FTP, SSH-ключи: на компьютере жертвы могут найтись доступы к серверам, API ключи или SSH-ключи и другие интересные для хакера вещи, которые позволят ему взломать сторонние сайты и сервисы, доступ к которым жертва по неосторожности хранила в открытом виде. Ценность атаки может быть большой и составлять до десятков тысяч $, если хакер украдет ключи, которые откроют ему доступ, например в админку онлайн обменника.

Авито: учетку авито могут использовать либо для парсинга, если она досталась злоумышленникам, либо для мошеннической схемы, хотя с появлением авито доставки такой вариант атак пошел на спад. Ценность в любом случае невысокая она равняется стоимости покупки такой учетки и составляет около 10$, так или иначе, проще купить готовую или угнанную учетную запись чем ломать кого-то целенаправленно.

BlaBlaCar: угнанные учетные записи используются для скама, стоимость такого аккаунта также составляет около 10$, поэтому целенаправленных атак здесь не будет.

Хранилище KeePass: KeePass — это технология хранения информации: логинов, паролей, SH-ключей, seed-фраз крипто кошельков в зашифрованной базе данных, и если хакер утащит этот файл с расширением KDBX и сумеет украсть или подобрать пароль, то потенциальная выгода для него может быть как ничтожной, так и огромной, смотря что он найдет в хранилище. В случае, когда хакеру известно, что его потенциальная жертва владеет нужным ему доступом, он вполне может рассмотреть вариант целенаправленной атаки на компьютер жертвы ради базы KeePass в том числе.

Финансовые данные: здесь мы расскажем про деньги в чистом виде. Рассмотрим группу возможных целей, которые напрямую связаны с финансами — это доступы в интернет банки, данные банковских карт, доступ к брокерским аккаунтам или доступы на криптобиржи, другими словами, все, где хакер может найти фиатные деньги в чистом виде и утащить их. Ценность атаки — высокая, при условии, что хакер обладает информацией, что его жертва владеет большим количеством средств. Т. е выгода здесь рассчитывается каждый раз индивидуально от потенциальной жертвы и ее публичного профиля, иными словами, оценка ее состоятельности по неким общедоступным данным.

Как оценить потенциальную выгоду для хакера? Часть 2

Последняя категория, которую мы разберем — вымогательство: в последнее время при помощи вирусов шифровальщиков такая категория набрала большую популярность. Такие вирусы шифруют все данные на компьютере жертвы, таким образом, что расшифровать их может только злоумышленник причем не всегда. Обычно такие атаки нацелены не на отдельных физических лиц, а на компании, потому что с них можно потребовать гораздо больший выкуп, и скорее всего организация его заплатит. Здесь суммы могут варьироваться до миллионов $. Если у крупной компании парализована вся IT структура, шансы на выкуп гораздо выше, чем если хакер зашифровал чей-то домашний ноутбук, в котором кроме фильмов, игр и пары “пикантных” фото ничего нет. Поэтому частные лица попадают под такие атаки по чистой случайности. Ценность атаки высокая, но фокус не на домашние компы, а на корпоративный сектор.

Шантаж содержимым: это может быть вполне хорошей мотивацией для атаки на физическое лицо, особенно если человек знаменит и любит пилить селфи-видео сомнительного содержания: это могут быть какие-то порочащие материалы, а иногда и незаконный контент. В общем, все что угодно, что хакер нашел на ПК жертвы и публикация таких файлов настолько расстроит пострадавшего, что он будет готов заплатить солидную сумму денег лишь бы материалы не утекли в сеть. Ценность от 1000$ и больше, такие атаки, как правило, целенаправленны и спланированы заранее.

Спасибо за внимание!

Начать дискуссию