123456 и еще 9 способов потерять все свои деньги за секунды

123456 и еще 9 способов потерять все свои деньги за секунды

Узнайте, как хакеры получают доступ к вашим аккаунтам: брутфорс, фишинг, вредоносное ПО, социальная инженерия и другие техники.

image

Ежедневно тысячи людей обнаруживают, что их аккаунты взломаны. Банковские карты заблокированы, в соцсетях появляются странные посты, из облачного хранилища пропадают фотографии. И почти всегда причина одна — скомпрометированный пароль.

Современные киберпреступники давно не похожи на стереотипных хакеров из голливудских фильмов. Сегодня это индустрия со своими специализациями, отлаженными процессами и даже службами технической поддержки. Разбираться в их методах полезно не из праздного любопытства, а для понимания реальных рисков.

Технические способы добычи паролей

Грубая вычислительная сила остается основным инструментом большинства атак. Правда, подходы к её применению заметно усложнились за последние годы.

Атаки перебором

Брутфорс работает просто: программа методично пробует все возможные комбинации символов, пока не найдет правильную. Звучит примитивно, но современное железо способно на впечатляющие результаты. Хорошая видеокарта проверяет миллионы вариантов в секунду.

Время взлома зависит от сложности пароля почти экспоненциально. Четыре цифры банковской карты подбираются мгновенно. Восьмисимвольная комбинация из букв, цифр и спецсимволов может продержаться годы. Впрочем, злоумышленники научились ускорять процесс.

Облачные вычисления превратили брутфорс в услугу по подписке. Можно арендовать сотни мощных GPU на час-другой и справиться с задачей, которая раньше требовала месяцев работы домашнего компьютера. Amazon и Google, конечно, стараются отслеживать такую активность, но далеко не всегда успешно.

Словарные атаки

Гораздо разумнее начинать с популярных паролей, а не с полного перебора. Исследования показывают депрессивную картину: миллионы людей используют "123456", "password" или вариации собственного имени.

Хакерские словари содержат данные из крупнейших утечек последних лет, отсортированные по частоте использования. Плюс региональные особенности — в России популярны "qwerty123" и "mayakovsky", в США чаще встречается "football" или "princess".

Продвинутые инструменты умеют модифицировать базовые слова по типичным схемам. Берется основа вроде "password", к ней добавляются цифры года, символы восклицания, заменяются некоторые буквы на похожие символы. Получается огромное количество вариантов при минимальных вычислительных затратах.

Таблицы радуги

Когда хакер получает базу с зашифрованными паролями, не обязательно расшифровывать каждый хеш с нуля. Можно заранее вычислить хеши миллионов популярных паролей и просто сравнивать.

Rainbow tables занимают терабайты дискового пространства, но создаются один раз и используются многократно. В сети свободно доступны готовые таблицы для самых распространенных алгоритмов хеширования.

Защититься помогает соль — случайные данные, добавляемые к паролю перед хешированием. Тогда одинаковые пароли дают разные хеши, и предвычисленные таблицы становятся бесполезными. Но многие старые системы соль не используют.

Социальная инженерия

Зачастую проще обмануть человека, чем взломать систему. Социальная инженерия эксплуатирует психологические особенности и когнитивные искажения, которые свойственны всем нам.

Фишинг

Поддельные сайты выглядят все убедительнее. Копируется не только дизайн, но и поведение оригинала: анимации, звуки уведомлений, даже мелкие баги интерфейса. Доменные имена регистрируются максимально похожие — заменяется одна буква или используются символы из других алфавитов.

SSL-сертификаты больше не гарантируют подлинности. Их легко получить и для поддельных сайтов, так что зеленый замочек в браузере может обманывать. Продвинутые фишинговые страницы даже перехватывают коды двухфакторной аутентификации в реальном времени.

Массовые рассылки постепенно уступают место целевым атакам. Злоумышленник изучает жертву по соцсетям, узнает место работы, интересы, круг общения. Письмо приходит якобы от коллеги или знакомого сервиса, содержит актуальную информацию и не вызывает подозрений.

Телефонные мошенники

Vishing (voice phishing) переживает второе рождение. Мошенники научились имитировать голоса реальных людей при помощи нейросетей, подменять номера в определителе и даже использовать фоновые звуки для создания атмосферы банковского колл-центра.

Сценарии отрабатываются до мелочей. Звонок начинается с сообщения о подозрительной транзакции или необходимости обновить данные "в связи с изменениями в законодательстве". Создается ощущение срочности, жертву торопят принять решение.

Особенно уязвимы пожилые люди и те, кто мало знаком с современными технологиями. Но жертвами становятся и IT-специалисты — достаточно застать человека в неподходящий момент или использовать информацию, которую невозможно проверить на месте.

Охота в социальных сетях

Люди добровольно публикуют данные, которые раньше считались конфиденциальными. Кличка домашнего питомца, девичья фамилия матери, название первой школы — эта информация часто используется в качестве ответов на секретные вопросы.

Хакеры создают поддельные профили и терпеливо выстраивают доверительные отношения с потенциальными жертвами. Процесс может занимать месяцы, но результат оправдывает затраты — особенно если цель обладает доступом к ценной информации.

Викторины и тесты в соцсетях часто маскируют сбор данных под развлечение. "Узнай свое имя эльфа" или "Какой ты персонаж из фильма" просят указать год рождения, имя первого питомца и другие сведения, которые затем используются для восстановления паролей.

Вредоносное ПО

Malware остается классическим инструментом кражи паролей. Современные образцы умеют работать незаметно месяцами, адаптироваться к антивирусным системам и даже обновляться через интернет.

Перехват ввода

Кейлоггеры записывают все нажатия клавиш, но этим их возможности не ограничиваются. Продвинутые версии делают скриншоты экрана в момент ввода пароля, записывают видео действий пользователя и отслеживают движения мыши по виртуальным клавиатурам.

Некоторые образцы специализируются на банковских приложениях и активируются только при их запуске. Другие маскируются под системные процессы и практически неотличимы от легитимного ПО в диспетчере задач.

Аппаратные кейлоггеры представляют особую опасность. Эти небольшие устройства подключаются между клавиатурой и компьютером и остаются невидимыми для программных средств защиты. Их часто используют для корпоративного шпионажа.

Банковские трояны

Специализированное ПО для кражи финансовых данных умеет подменять содержимое веб-страниц на лету. Пользователь видит привычный интерфейс банка, но некоторые элементы генерируются вредоносной программой для сбора дополнительной информации.

Стилеры ищут сохраненные пароли в браузерах, почтовых клиентах и других программах. Многие пользователи не знают, что пароли в браузере хранятся в слабо защищенном виде и легко извлекаются специальными утилитами.

Особую ценность представляют cookie и токены сессий, которые позволяют получить доступ к аккаунтам без знания пароля. Это особенно актуально для сервисов с двухфакторной аутентификацией — код подтверждения уже не нужен.

Удаленный доступ

RAT (Remote Access Tools) превращают зараженный компьютер в полностью управляемую машину. Хакер видит экран в реальном времени, может запускать программы, копировать файлы и наблюдать за действиями пользователя.

При помощи RAT можно дождаться момента ввода пароля и записать весь процесс. Это эффективно против любых защитных мер, поскольку злоумышленник получает доступ ко всей информации, которую видит легитимный пользователь.

Многие RAT маскируются под программы для удаленной работы. В период пандемии их распространение резко возросло — люди стали менее осторожно относиться к установке подобного ПО.

Утечки данных и их последствия

Крупные сервисы взламывают регулярно. За последние несколько лет пострадали десятки компаний, включая Facebook, LinkedIn, Yahoo и множество других. Украденные базы данных становятся основой для последующих атак.

Credential Stuffing

Большинство людей используют одинаковые пароли на разных сайтах. Получив базу от одного сервиса, хакеры автоматически проверяют эти комбинации на сотнях других платформ.

Боты способны обрабатывать тысячи аккаунтов в минуту, используя различные техники для обхода защиты от автоматизации. Даже низкий процент успешных попыток дает доступ к множеству аккаунтов при работе с базами в миллионы записей.

Особенно страдают развлекательные сервисы — Netflix, Spotify, игровые платформы. Пользователи относятся к ним менее серьезно, чем к банковским аккаунтам, и часто используют простые пароли.

Торговля данными

В даркнете существует целая экономика, построенная на продаже украденной информации. Свежие базы с банковскими данными стоят сотни долларов, старые дампы социальных сетей можно купить за копейки.

Появилась специализация: одни хакеры занимаются взломом и кражей, другие — обработкой и верификацией данных, третьи — продажами и клиентской поддержкой. Как в любом бизнесе, есть свои стандарты качества и репутационные системы.

Некоторые сервисы проверки скомпрометированных данных создаются самими мошенниками. Пользователь вводит email для проверки, а фактически предоставляет злоумышленникам информацию о том, какие аккаунты стоит атаковать.

Сетевые атаки

Перехват данных в процессе передачи требует более глубоких технических знаний, но может оказаться крайне эффективным при наличии подходящих условий.

Атаки посредника

Man-in-the-Middle подразумевает, что злоумышленник располагается между пользователем и сервером, перехватывая и модифицируя передаваемые данные. Жертва думает, что общается напрямую с сайтом.

Чаще всего используются поддельные точки Wi-Fi в общественных местах. Открытая сеть с привлекательным названием привлекает пользователей, которые не задумываются о безопасности.

Современные MITM-атаки обходят даже HTTPS при помощи поддельных сертификатов. Браузер показывает зеленый замочек, но соединение фактически контролируется хакером.

Анализ трафика

Старые протоколы передают данные без шифрования. HTTP, FTP, Telnet и некоторые другие позволяют любому, кто имеет доступ к сетевому трафику, читать передаваемую информацию.

В корпоративных сетях хакеры используют lateral movement — постепенное распространение после первоначального проникновения. Получив доступ к одному компьютеру, они анализируют локальный трафик в поисках учетных данных других пользователей.

Промышленное оборудование часто использует устаревшие протоколы без какой-либо защиты. Пароли администраторов могут передаваться по сети в открытом виде.

Атаки на инфраструктуру

DNS-спуфинг позволяет перенаправлять пользователей на поддельные сайты, даже если они правильно вводят адрес. BGP-хайджекинг дает возможность перехватывать весь трафик к определенным IP-адресам.

Эти атаки требуют значительных ресурсов и обычно используются государственными хакерскими группами или очень продвинутыми преступниками. Но их последствия могут затрагивать миллионы пользователей одновременно.

Физические методы

Цифровая безопасность часто упирается в физическую. Самый сложный пароль бесполезен, если его можно подсмотреть или найти записанным на бумажке.

Подглядывание

Shoulder surfing работает везде, где люди вводят пароли на виду у окружающих. Общественный транспорт, кафе, аэропорты — злоумышленник может наблюдать за вводом, не привлекая внимания.

Современные камеры позволяют читать экраны с большого расстояния. Телескопические объективы, миниатюрные записывающие устройства и другие технические средства делают наблюдение еще более эффективным.

Особенно уязвимы PIN-коды банковских карт. Достаточно одного подсмотренного ввода, чтобы получить доступ к счету, если карта была украдена или скопирована ранее.

Поиск записей

Многие до сих пор записывают пароли на бумаге. Стикеры на мониторе, блокноты в ящике стола, записи на полях документов — все это может стать источником ценной информации.

Хакеры проникают в офисы под видом курьеров, ремонтников или уборщиков. Несколько минут наедине с рабочим местом часто достаточно для поиска интересных записей.

Даже выброшенные документы представляют опасность. Dumpster diving — поиск ценных данных в мусорных контейнерах — требует определенной смелости, но может принести богатый урожай.

USB-атаки

BadUSB использует тот факт, что операционные системы автоматически устанавливают драйверы для новых устройств. Поддельная флешка может имитировать клавиатуру и автоматически выполнять команды при подключении.

Зараженные USB-устройства подбрасывают в места, где их наверняка найдут интересующие людей. Многие не могут устоять перед искушением посмотреть содержимое найденной флешки.

Особенно эффективны целевые атаки, когда устройство подбрасывают конкретному человеку или оставляют в местах, часто посещаемых сотрудниками нужной организации.

SIM-swapping и обход двухфакторной аутентификации

Двухфакторная аутентификация должна была стать панацеей от слабых паролей. Но хакеры быстро адаптировались и научились обходить эту защиту.

Перехват номера

SIM-swapping заключается в переносе номера телефона на карту, контролируемую злоумышленником. Для этого он обращается к оператору связи, представляясь владельцем номера, и просит перенести номер на новую SIM.

Часто достаточно знать основные персональные данные — ФИО, дату рождения, адрес. Эта информация легко находится в открытых источниках или покупается в даркнете. Некоторые хакеры подкупают сотрудников операторов.

После успешного перехвата злоумышленник получает все SMS жертвы, включая коды двухфакторной аутентификации. Это открывает доступ к банковским аккаунтам и криптовалютным кошелькам.

Атаки на SMS

Протокол SS7, используемый для маршрутизации сообщений между операторами, содержит уязвимости, позволяющие перехватывать SMS без физического доступа к SIM-карте. Эти атаки требуют доступа к телекоммуникационной инфраструктуре, но становятся все доступнее.

Голосовые коды подтверждения тоже уязвимы. Системы автоматического распознавания речи могут перехватывать коды, а различные телефонные атаки позволяют перенаправлять вызовы.

Компрометация аутентификаторов

Приложения-аутентификаторы считаются более безопасными, чем SMS, но и у них есть слабые места. Если устройство заражено вредоносным ПО, злоумышленник может получить доступ к генерируемым кодам.

Синхронизация с облачными сервисами для удобства восстановления создает дополнительные точки атаки. Если облачный аккаунт скомпрометирован, хакер получает доступ и к кодам двухфакторной аутентификации.

Новые технологии в руках злоумышленников

Развитие искусственного интеллекта и других технологий открывает новые возможности для киберпреступников.

ИИ в кибератаках

Машинное обучение помогает создавать более эффективные словари паролей на основе анализа поведенческих паттернов различных групп пользователей. ИИ может предсказывать, какие пароли с большей вероятностью использует конкретный человек.

Deepfake-технологии применяются в атаках социальной инженерии. Поддельные видео- и аудиозаписи становятся настолько качественными, что их трудно отличить от настоящих.

Автоматизация достигла нового уровня. Боты умеют проводить сложные многоэтапные атаки, адаптироваться к защитным мерам и обучаться на собственных ошибках.

Криптовалютная мотивация

Развитие криптовалют изменило экономику киберпреступности. Доступ к crypto-кошельку часто означает мгновенное получение значительной суммы без возможности отмены транзакции.

Появились специализированные программы для кражи seed-фраз и приватных ключей. Эти данные особенно ценны, поскольку дают полный контроль над средствами.

Защита от кражи паролей

Эффективная защита требует понимания угроз и комплексного подхода к безопасности.

Качественные пароли

Длина важнее сложности. Парольная фраза из нескольких обычных слов часто надежнее короткой комбинации с символами. "Синий-Трактор-Летит-Домой" запоминается легче, чем "K@t47R4d", но взломать такой пароль гораздо сложнее.

Избегайте личной информации. Имена, даты, адреса и другие данные из социальных сетей делают пароль уязвимым для целевых атак. Также бесполезны простые замены букв на похожие символы — хакерские программы их прекрасно знают.

Уникальность для каждого сервиса — обязательное требование. Один скомпрометированный пароль не должен открывать доступ ко всем остальным аккаунтам.

Менеджеры паролей

Запомнить десятки сложных паролей невозможно, поэтому стоит доверить эту задачу специализированным программам. 1Password, Bitwarden, KeePass — любой из них лучше, чем использование одинаковых паролей.

Современные менеджеры умеют генерировать случайные пароли, автоматически заполнять формы и синхронизировать данные между устройствами. Даже если база попадет к хакерам, расшифровать её без мастер-пароля практически невозможно.

Обязательно настройте двухфакторную аутентификацию для самого менеджера и регулярно создавайте резервные копии. Потеря доступа к менеджеру паролей может обернуться серьезными проблемами.

Двухфакторная аутентификация

Включайте 2FA везде, где возможно, особенно для критически важных аккаунтов. Приложения-аутентификаторы и аппаратные ключи безопаснее SMS-кодов.

Аппаратные ключи вроде YubiKey обеспечивают максимальную защиту. Они хранят криптографические ключи в защищенном элементе и не могут быть скопированы удаленно.

Сохраните резервные коды в надежном месте. Если потеряете доступ к основному методу аутентификации, эти коды помогут восстановить контроль над аккаунтом.

Осторожность в интернете

Всегда проверяйте URL перед вводом паролей. Фишинговые сайты используют похожие адреса с незначительными отличиями. Лучше заходить на важные сайты через закладки, а не по ссылкам из писем.

Избегайте ввода паролей в общественных Wi-Fi сетях. Если это необходимо, используйте VPN для шифрования трафика. Не подключайтесь к сетям с подозрительными названиями.

Регулярно проверяйте, не были ли ваши данные скомпрометированы. Сервис Have I Been Pwned показывает, попадали ли email или пароли в известные утечки.

Защита устройств

Обновляйте операционную систему и программы. Многие атаки используют известные уязвимости, которые уже исправлены в новых версиях. Установите качественный антивирус с защитой от фишинга.

Шифрование диска защитит данные при краже устройства. Настройте автоматическую блокировку экрана и используйте биометрические методы аутентификации.

Не подключайте неизвестные USB-устройства. Отключите автозапуск программ с внешних носителей. Найденная флешка может содержать вредоносное ПО.

Что в итоге

Арсенал современных хакеров впечатляет разнообразием — от примитивного перебора до сложных социоинженерных схем. Каждый метод требует своих контрмер, и универсального решения не существует.

Эффективная защита строится на нескольких уровнях: качественные уникальные пароли, двухфакторная аутентификация, осторожность при работе в сети и базовая цифровая гигиена. Это не гарантирует абсолютную безопасность, но значительно повышает цену атаки.

Главное — помнить, что хакеры обычно выбирают легкие цели. Если ваша защита достаточно сильна, злоумышленники переключатся на тех, кто менее подготовлен. В мире, где кибератаки стали повседневностью, базовые меры безопасности — это необходимый минимум, а не параноидальная перестраховка.

Красная или синяя таблетка?

В Матрице безопасности выбор очевиден

Выберите реальность — подпишитесь