Переписки, ордера, прослушка. В даркнете торгуют правом ломать жизни от имени государства

Исследователи Abnormal AI выявили на теневых онлайн-рынках целый сегмент торговли действующими учётными записями электронной почты, принадлежащими сотрудникам правоохранительных органов и госструктур в разных странах, включая США, Великобританию, Бразилию, Германию и Индию. Доступ к таким аккаунтам продаётся всего от $40, а в некоторых случаях — даже дешевле.

Речь идёт не о старых базах с паролями, утекшими в прошлом, а о реальном доступе к активным почтовым ящикам в доменах .gov и .police, что позволяет злоумышленникам выдавать себя за государственных служащих и полицейских. Как пояснил руководитель отдела анализа угроз Abnormal AI Пётр Войтыла, команда напрямую взаимодействовала с одним из крупных продавцов на даркнете и убедилась, что учётные записи действующие, а не поддельные или заброшенные.

Подтверждение получили через проверку скриншотов, сделанных от имени текущих сотрудников, а также с использованием специализированных сервисов, доступных только правоохранителям, — например, систем поиска по автомобильным номерам, внутренних панелей CARFAX и порталов для отправки официальных запросов в крупные технологические компании.

Таким образом, у атакующих появляется возможность действовать как удостоверенные представители госорганов, запрашивать конфиденциальные данные у операторов связи и интернет-платформ, отслеживать людей и даже влиять на ход расследований. Помимо вымогательства «штрафов» или получения персональной информации под видом проверок, такие аккаунты позволяют отправлять фальшивые повестки в суд и запросы на экстренную выдачу данных (EDR) телеком- и IT-компаниям.

В США, в рамках закона CALEA, провайдеры связи и интернет-компании обязаны выполнять требования по прослушке, поступающие от правоохранителей. Обладание легитимным адресом в домене .gov или .police значительно облегчает преступникам доступ к записям перехваченных коммуникаций, и в ряде случаев для этого даже не требуется судебный ордер. Отдельно действует механизм EDR, применяемый для поиска людей в экстренных ситуациях, угрожающих жизни, однако в ноябре ФБР уже предупреждало, что преступники используют скомпрометированные правительственные почтовые адреса для отправки поддельных EDR-запросов, вынуждая компании раскрывать персональные данные.

По данным Abnormal, на некоторых криминальных ресурсах продаётся также доступ к закрытым порталам для правоохранителей на платформах Meta*, TikTok, X (бывший Twitter) и других. В одном из случаев злоумышленники через скомпрометированный аккаунт получили доступ к системе подачи юридических запросов Twitter, что позволило им запрашивать конфиденциальные сведения о пользователях, инициировать блокировку аккаунтов и удаление публикаций под видом официальных распоряжений.

Методы получения таких учётных данных стандартны: подбор паролей (credential stuffing), использование слабых или повторяющихся комбинаций, инфостилеры , фишинг и социальная инженерия . Как отмечают исследователи, даже среди госслужащих встречаются пароли уровня «1234abcd». Огромные массивы паролей из прошлых утечек тестируются на государственных адресах, и найденные активные совпадения быстро монетизируются.

Рост числа заражений вредоносами-воришками (infostealers) и развитие фишинговых наборов только усугубляют ситуацию. По оценке компании eSentire, в июле количество атак на учётные записи выросло на 156 % за счёт этих инструментов. При этом пакеты логов с данными госаккаунтов можно приобрести оптом всего за $5, а затем проверять, какие из них ещё работают.

Наличие действующей учётной записи в домене .police или .gov даёт гораздо больше возможностей, чем просто рассылка убедительных писем. Это прямой доступ к закрытым системам, предназначенным исключительно для официального использования, где хранится огромный объём конфиденциальной информации — от персональных данных граждан до материалов текущих расследований.

* Компания Meta и её продукты признаны экстремистскими, их деятельность запрещена на территории РФ.