Истории взлома email. Кому это нужно и сколько стоит

Взлом email — прежде всего целевая атака. А еще это старая, дешевая и традиционно популярная услуга в даркнете. 

Мы решили выяснить, за какую сумму можно заказать взлом чужого ящика и как злоумышленники обычно достигают цели. Обзор »‎рынка» услуг, свежие примеры атак на корпоративные email-аккаунты и способы защиты — в этой статье.

e9cdb4e635c14e700b1eef41ec6a9ab7.pngДисклеймер >>

Вся информация здесь публикуется исключительно в ознакомительных целях. Мы не несем ответственность за тех, кто заказывает и выполняет хакерские услуги. И не призываем читателей к противоправным действиям.

Почем взлом для народа

Как сообщает ABC News, услуги хакеров по найму заметно подросли в цене. За первый квартал 2024 года суммы увеличились почти в два раза. Причем рост цен заметили по многим услугам. Взлом email — не в их числе. 

Услуга наоборот сильно подешевела. Чтобы было нагляднее, мы перевели указанные цены в рубли. Итак, в конце прошлого года взлом email обходился заказчику примерно в 42 тыс. рублей. Теперь стоимость услуги на мировом черном рынке упала до 16 тыс. рублей.

Причина, по мнению журналистов ABC News, сводится к банальному росту предложения. Злоумышленников, которые готовы помочь с доступом к чужому ящику, становится больше. На фоне конкуренции процветает демпинг.

Конечно, 16 тыс. рублей — это среднее по больнице, причем в мировых масштабах. В некоторых российских телеграм-каналах мы нашли расценки гораздо скромнее. 

871e641743cd4f58893b3afd13a3aa42.png

Многие объявления, как из примера выше, вряд ли имеют какое-то отношение к хакерским услугам. Зачастую кажется, что это очередная схема мошенничества. Если обратиться к таким исполнителям, то есть большая вероятность, что они уйдут в закат почти сразу после получения аванса. 

Намного правдоподобнее выглядят описания услуг со сложным ценообразованием. И это логично: чем больше факторов для проведения атаки, тем она должна быть дороже. 

Принцип усложнения, например, прослеживается в условиях гарантии. Если нужен 100%-ный взлом указанного email, то цена услуги в объявлении выше. Когда исполнитель не дает высокой гарантии, то ставит тариф пониже. Бывает, что злоумышленник не может выполнить задание, поэтому возвращает часть суммы заказчику. Во всяком случае, многие говорят об этом в своих объявлениях (как происходит на самом деле — другая история).

Также цена взлома email зависит от того, должна ли жертва узнать об атаке или чтение писем будет проходить в скрытом режиме. И наконец, важен домен, на котором находится ящик. Так, например, предложений по gmail обычно бывает меньше и цены на их взлом выше, если сравнивать с другими популярными почтовыми сервисами. То же самое касается адресов корпоративной почты. Как правило, получить доступ к ним бывает дороже, чем к тому же аккаунту Яндекса или Mail.ru.

Что удивило: у хакеров по найму есть программы скидок и другие бонусы. Например, они снижают стоимость для тех, кто приходит с оптовым запросом или уже заказывал взлом почты ранее. 

03e9cf5087724fccfa9026875eaa9b05.png

Как взламывают корпоративные email

Теоретически могут возникать ситуации, когда хакерам даже делать ничего не нужно. Миллионы email-учеток уже раскрыты, и их легко найти в Сети. Но заказчик об этом не знает, поэтому может заплатить за уже скомпрометированную учетку. 

В таких базах содержатся доступы к корпоративной почте каждого 19-го сотрудника российских компаний, сообщают аналитики BI.ZONE. Это значит, что больше 5% адресов с коммерческими доменами можно не ломать вовсе. 

Тем не менее, в большинстве случаев злоумышленникам все же приходится проводить целевую атаку. Чаще всего, чтобы достичь цели, они используют пять методов:  

  • социальная инженерия (прежде всего фишинг),  

  • кража cookies,

  • взлом через SMS,

  • трояны, кейлоггеры и прочее зловредное ПО,

  • угон паролей посредством wi-fi. 

К слову, о последнем. Иногда данные для доступа к wi-fi появляются в общем доступе из-за банальной ошибки самих пользователей. Вот, например, фото члена Парламента Великобритании Уильяма Врагга недавно опубликовали в журнале Times. А на нем — пароль от wi-fi:) 

0d78826884a5719b7f8e98395cab33ea.jpeg

Вероятно, после публикации пароль все-таки обновили. Но сама история, конечно, удивительная (спасибо за нее Алексею Лукацкому).

Что бывает в реальности 

Чтобы понять, как такие атаки выглядят на практике, рассмотрим несколько реальных инцидентов. Они произошли в 2024 году и уже успели просочиться в СМИ. 

Дипломаты ЕС: социальная инженерия под градусом

В конце января несколько дипломатов ЕС получили приглашение на дегустацию вин от посла Индии. Позже выяснилось, что email-рассылка была поддельной, хотя и выглядела абсолютно правдоподобно. 

Чтобы зарегистрироваться на фейковое мероприятие, дипломаты открывали вложение (PDF) и проходили по указанной в нем ссылке. Пока жертвы заполняли анкету на стороннем сайте, на их устройствах запускалась цепочка заражения вредоносным ПО.

Программа WineLoader работала в режиме, максимально скрытом от пользователей и других приложений. В итоге хакеры получили удаленный доступ ко всей email-переписке дипломатов и другой конфиденциальной информации. 

Что именно искали преступники, постфактум выяснить оказалось сложно. Но вывод можно сделать такой: социальная инженерия по-прежнему работает. Особенно если хакеры тщательно продумывают каждый шаг и умеют заметать следы.

На фишинг в этом году также клюнула одна из крупнейших розничных сетей в Европе — Pepco Group. В итоге компания попала в мошенническую историю, результатом которой стала потеря 15 млн евро. 

Microsoft: брутальный брутфорс 

В январе многих ИБ-специалистов удивил инцидент Microsoft — корпоративную почту компании взломали методом перебора паролей. Вообще брутфорс считается малоэффективной технологией, так как в большинстве случаев вводить разные пароли много раз не получится из-за ограничений по количеству попыток. К тому же брутфорс канул в лету из-за повсеместного использования MFA (многофакторной аутентификации).

Сам ИТ-гигант активно борется с брутфорсом, напоминая пользователям о необходимости MFA. И вот шок-новость: в детальном отчете компания заявила, что у скомпромитированного аккаунта не было настроенной многофакторки. Это был тестовый ящик, через который группировка Midnight Blizzard (Nobelium, APT29, Cozy Bear) проникла в корпоративную сеть Microsoft. 

Чтобы получить доступ к этому аккаунту, преступники еще в ноябре 2023-го использовали резидентные прокси и технику password spray (одна из самых распространенных брутфорс-методик). При этом злоумышленники подбирали пароли к небольшому количеству учетных записей, что позволило им остаться незамеченными. 

За пару месяцев злоумышленники успели скомпрометировать электронную почту топ-менеджеров, юристов и ИБ-специалистов компании. А еще создали учетку, чтобы установить вредоносные приложения и атаковать другие организации (это пока не факт, но такие предположения есть).

Что делать

Советами из разряда »‎используйте MFA и сложные пароли»‎ мы вас не удивим. Но все равно напомним об этих и других очевидных способах защиты. Исключительно для того, чтобы вы могли убедиться, что все делаете правильно. 

Итак, мастхэв-список для корпоративной почты выглядит так:  

  • MFA. Настройте многофакторку, если ее еще нет.

  • Антивирусы и песочницы для корпоративной почты. Специализированные средства защиты помогут обезопасить email-аккаунты и переписку лучше, чем только организационные меры.

  • Парольная политика. Хотя бы введите регулярное обновление паролей, например раз в полгода. 

  • Мониторинг уязвимостей. Даже Outlook грешит дефектами безопасности. Некоторые уязвимости позволяют украсть учетные данные пользователей. Лучше следить за обновлениями корпоративных почтовых сервисов и накатывать их вовремя. 

  • Обучение сотрудников. Здесь важен комплексный подход. Помимо бесед и тренингов, проводите учебные фишинговые рассылки и инструктаж для тех, кто открывает такие письма. 

И наконец, на всякий случай выясните, нет ли у сотрудников вашей компании паролей, которые уже скомпрометированы или которые можно взломать перебором по словарю. Сами словари популярных комбинаций доступны в Сети. О том, как и на каких устройствах их использовать, мы рассказали в предыдущей статье. 

Первое фото: Большая советская энциклопедия.

© Habrahabr.ru