Пароли более чем от миллиона аккаунтов «Яндекс.Почты» появились в сети. В компании уверяют, что данные стали доступны не из-за взлома сервиса: пароли могли «утечь» через фишинговые сайты по невнимательности самих пользователей. Специалист по анализу защищенности компании Group-IB Илья Сафронов рассказал «Бумаге», из-за чего крупные интернет-компании почти никогда не взламывают, как работают фишинговые сайты и почему нужно украсть телефон, чтобы попасть в чужую почту.
Илья Сафронов
Специалист по анализу защищенности Group-IB
— Крупные почтовые сервисы вроде «Яндекса» почти никто не ломает, таких случаев практически не было. В данной ситуации это компиляция украденных данных: у не совсем опытных пользователей каким-то образом украли пароли — через вирусы на компьютере либо через фишинговые сайты. То есть пользователи думали, что это настоящий «Яндекс», вводили свой пароль, а на самом деле это был сайт злоумышленников — и их пароль украли. По сути, злоумышленники украли кучу паролей, сложили их в одно место и сказали, что «Яндекс» взломали. Но это больше шумиха, а не взлом.
Можно много гадать, зачем это нужно. Понятно, что просто так это никто не делает, но цели могут быть самые разнообразные. Может быть, какой-то школьник решил заработать славу, собирал со всех источников данные в течение пяти лет. Или кто-то хочет подпортить «Яндексу» репутацию, раздуть скандал.
Чтобы взламывали почту напрямую — я даже не знаю таких прецедентов. Сейчас все вводят систему двухфакторной аутентификации, когда к адресу привязан еще и телефон. Если вы зашли с подозрительного компьютера, вам система пришлет смску. То есть, помимо пароля, нужно еще и телефон украсть, а это достаточно сложно. Если вы не разведка Моссад, то навряд ли у вас что-то получится.
В то же время, когда атака идет не на сервис, а на конкретного человека, то способов украсть данные может быть очень много: например, информацию могут перехватить через Wi-Fi или посадить в компьютер вирусы, «заразить» телефон. Поэтому если у вас есть какое-то количество денег, а нужный вам пользователь не яркая политическая личность, которая хорошо защищена, то вполне реально получить его данные.
Если соблюдать несколько простых правил, то ваш пароль с большей долей вероятности никто не узнает
Если соблюдать несколько простых правил, то ваш пароль с большей долей вероятности никто не узнает. Основной простой совет — не использовать пароль от почты ни на каких других сайтах, тщательно проверять, куда вы его вводите. Даже если вам открывается страничка, похожая на «Яндекс», надо убедиться, точно ли это «Яндекс». Если там стоит зеленый замочек, значит, это защищенное соединение и данные шифруются.
Регистрировать аккаунт где-либо на почту безопасно, только не используйте тот же пароль. Например, вы хотите в интернет-магазине купить очки: вы регистрируетесь, вводите пароль, а потом сайт кто-то взламывает. Этот человек пробует ввести ваш пароль в почту, которая тоже есть в базе интернет-магазина, и он подходит.
Фишинговые сайты, маскирующиеся под настоящие, создают, чтобы красть учетные данные и в дальнейшем их использовать. Так можно украсть чей-то конкретный пароль, если сделать так, чтобы компьютер или телефон пользователя попал на этот сайт. Либо собирать данные в массовых количествах: например, вылезают всякие окна вроде «Пришло сообщение от „ВКонтакте“». Потом эти данные продаются на черных рынках, способов монетизации множество.
Мне кажется, спасение утопающих — дело рук самих утопающих. У нас не разработана законодательная база на том уровне, чтобы объявить войну таким злоумышленникам. Они существуют, зарабатывают деньги на неопытных пользователях. Мы, конечно, производим расследования, кто куда украл, пытаемся привлечь к ответственности — прецеденты есть. При этом практически нет случаев, кода ломают крупные компании: это очень сложная система, там задействовано большое количество людей и денег, обязательно должен быть инсайдер, без которого взломать тяжело.