На прошлой неделе были взломаны неосновные аккаунты РИА Новости — Международного мультимедийного пресс-центра и RIA Novosti Deutsch. Хакеры разместили в аккаунтах ложную информацию о смерти бывшего генерального секретаря ЦК КПСС и президента СССР Михаила Горбачева. Фальшивая информация была удалена в течение пяти минут. Агентство проводит внутреннее расследование по факту взлома и готовит заявление в ФСБ и прокуратуру с просьбой расследовать факт взлома аккаунтов государственного СМИ. Кроме того, агентство обратится в компанию Twitter для получения IP-адресов взломщиков.
Подобные атаки в социальных сетях — не редкость, хотя эффект от них разнится. Наиболее серьезным случаем за последнее время стал взлом хакерами аккаунта в Twitter крупнейшего информационного агентства в мире Ассошиэйтед Пресс. Злоумышленники разместили на взломанной страничке ложное сообщение о том, что в Белом доме в Вашингтоне якобы прогремели два взрыва, и что президент США Барак Обама был ранен. Несмотря на то, что журналисты агентства быстро добились временного замораживания аккаунта, фальшивая новость привела к кратковременному обвалу фондового рынка США. Биржевой индекс Standard & Poor`s 500 потерял в капитализации 136 миллиардов долларов. ФБР проводит расследование инцидента, о его результатах пока не сообщалось.
По мнению экспертов, расследование причин взлома вряд ли позволит найти злоумышленников, однако поможет избежать подобных ситуаций в будущем.
Чего хотят злоумышленники
Взлом социальных медиа происходит по различным, непохожим друг на друга причинам, сказал РИА Новости Ашкан Солтани (Ashkan Soltani), независимый исследователь и эксперт в области компьютерной безопасности и личной информации. Солтани в 2009 году был соавтором влиятельного исследования о широкой практике интернет-компаний по сбору частной информации о пользователях.
«Есть те, кто делает это (взламывает странички в соцсетях) просто для удовольствия, для того, чтобы похвастаться перед друзьями. Другая возможность — часто в таких случаях используются вредоносные программы — когда вы оставляете ссылку на очень популярной страничке в социальных аккаунтах, у которой миллионы читателей, чтобы „накрутить“ трафик какой-либо страницы, либо же для того, чтобы скачать на другие компьютеры вирусы и создать так называемую сеть ботов», — пояснил Солтани.
«Я думаю, что в вашем случае это делалось для того, чтобы продемонстрировать чьи-то хакерские способности. Многие люди пользуются скриптами, которые позволяют подобрать пароль, и в этом случае целью их взлома становятся популярные аккаунты — такие, как ваши. Но в таких делах, как взлом Twitter агентства АР, целью было опубликовать информацию, которая повлияет на фондовый рынок», — добавил Солтани.
С ним согласен Алан Уэббер (Alan Webber), главный аналитик отраслевой консалтинговой компании Altimeter Group, которая специализируется, в частности, на социальных сетях и анализирует будущее электронных СМИ. «Некоторые делают это по профессиональным причинам, они хотят произвести какие-то важные изменения. Например, тот, кто заявил, что Михаил Горбачев умер. Это — совсем не шутка. Точно так же, как и в случае с АР, где говорилось, что был взрыв в Белом доме. Это не те люди, которые просто решили повеселиться», — сказал Уэббер.
По его словам, если аккаунт достаточно популярен, фальшивая новость может повлиять на ситуацию на рынках, как в случае с АР. «Эти люди не просто стремятся нанести вам репутационный ущерб. Они не гонятся за славой, хотя это может принести славу в хакерских кругах. Они не ищут важную информацию, потому что они взламывают не вашу систему, а аккаунт в соцсети. Они стремятся к внешнему воздействию, от которого можно получить материальную выгоду или иную пользу», — добавил аналитик Altimeter Group.
Журналисты часто становятся жертвами хакеров
Директор Ассошиэйтед Пресс по связям со СМИ Пол Колфорд (Paul Colford) отказался от предложения корреспондента РИА Новости рассказать о взломе и о том, какие меры агентство приняло, чтобы избежать подобных случаев в будущем. По его словам, для обеспечения безопасности важно не выносить подробности на всеобщее обозрение. «Мы на эту тему никому не давали интервью. Когда идет речь о вопросах, связанных с технологиями и с нашими работниками, мы это не обсуждаем публично. Воздерживаться от обсуждения подобных чувствительных тем — это наиболее разумный подход. Такова политика большинства новостных организаций», — пояснил Колфорд.
По словам Солтани, взломы аккаунтов СМИ в социальных сетях стали распространенным явлением. «В последнее время журналисты подвергаются активным атакам. Мне доводилось консультировать многих журналистов из разных изданий, включая Times и Wall Street Journal. Было много случаев, когда они получали по электронной почте документ, где говорилось: посмотрите, вот новая информация по конкретной журналисткой теме, в которой вы можете быть заинтересованы», — сказал он.
Это технически продвинутые атаки, пояснил эксперт. «Вам могут послать, например, файл в формате PDF о компании, в которой вы как журналист можете быть заинтересованы — например, это информация о новом продукте Apple. Внутри же этого файла вредоносный код, который установит на ваш компьютер соответствующую программу, которая будет заниматься мониторингом вашей активности и отслеживать нажатия клавиш», — рассказал Солтани.
Как расследовать взлом?
По словам Уэббера, взлом аккаунта Ассошиэйтед Пресс стал поводом для серьезного расследования ФБР, поскольку в деле были замешаны большие деньги: крупнейший в мире фондовый рынок обрушился на фальшивой новости более чем на 300 пунктов.
«Сейчас ведется расследование, при котором власти рассматривают транзакции на фондовом рынке сразу после этого сообщения — не было ли среди них незаконных действий. Возможно, что некоторые из тех, кто производили эти транзакции, имели инсайдерскую информацию о том, что это должно было произойти», — сказал Уэббер. «Были люди, которые сделали на этом деньги, но вопрос в том, было ли это незаконно», — пояснил он.
У властей есть возможность изучить задним числом все транзакции на фондовом рынке США, сказал эксперт. «Они ищут тенденции, которые свидетельствовали бы о том, что у кого-то была внутренняя информация о том, что это случится и каким образом это случится, чтобы воспользоваться этим», — добавил Уэббер. «Было ли что-то в вашем случае, я не знаю. Нужно убедиться, что это не повлияло на российский фондовый рынок», — уточнил он.
«Можно обратиться за помощью, но подобное стало сейчас происходить настолько часто, что провести расследование стало реально сложно. Та же компания Twitter, скорее всего, вам не поможет, если вы не знаменитость и не имеете знакомых в компании», — считает Солтани. В пресс-службе Twitter не ответили на просьбу вашингтонского корреспондента РИА Новости о комментарии.
Ашкан Солтани говорит, что помощь специалистов в расследовании взлома также не гарантирует успеха: «Нанять фирму, специализирующуюся в области компьютерной безопасности, тоже мало поможет, потому что реальной информацией располагает только Twitter, который мог бы дать информацию об IP-адресе, с которого входили в аккаунт». Иногда в метаданных сохраняются данные о местонахождении пользователя, а некоторые сервисы позволяют определить, с какого IP-адреса производился вход. Но хакеры об этом прекрасно осведомлены и избегают подобной «глупости», сказал Солтани.
По его словам, даже сотрудничество с компанией Twitter в сколько-нибудь серьезных случаях не поможет. «Если эти люди поступали умно, они использовали прокси-сервер или браузеры типа Tor, который маскирует информацию о входе в аккаунт. Таким образом, это сложно расследовать. Но важно понять, как они проникли в аккаунт, чтобы избежать подобного в будущем», — сказал он.
Как предотвратить действия злоумышленников
Эксперты говорят, что не следует пренебрегать простыми сценариями взлома, когда злоумышленники пользовались сравнительно несложной уязвимостью, которую легко устранить.
«Необходимо уменьшить число людей, которые имеют доступ к аккаунту. Их должно быть не более 3-4 человек. Каждые 30-60 дней необходимо менять пароль. Необходимо также постоянно проводить мониторинг аккаунта», — говорит Алан Уэббер из Altimeter Group. По его словам, на рынке есть программные продукты, которые дают комплексный подход к безопасности. «Они позволяют вам полностью контролировать свое присутствие в социальных сетях и гораздо быстрее можно узнать, что аккаунт взломан», — сказал Уэббер. Он предлагает также помимо пароля менять адрес e-mail, ассоциированный с аккаунтом.
Солтани отметил, что важно понять, каким образом злоумышленники проникли в аккаунт: «Нужно просмотреть электронную почту, чтобы понять, не скачивали ли вы что-либо подозрительное». Кроме того, он советует либо вообще не пользоваться системой восстановления пароля по контрольным вопросам, либо давать не очевидные ответы на подобные вопросы, чтобы хакеры не смогли перезапустить пароль, просто догадавшись или разузнав девичью фамилию матери пользователя или кличку его собаки. Также, по его словам, при использовании предлагаемой Google и Twitter технологии единого входа (Single Sign-on) подбор главного пароля открывает доступ сразу ко всем аккаунтам пользователя. «Важно использовать сильные пароли, и при этом разные пароли для разных аккаунтов», — предупреждает он.
Кроме того, есть системы, которые позволяют верифицировать каждую попытку залогиниться в аккаунт, сказал Солтани. «В такой системе полезно иметь два фактора — вместо одного-единственного пароля получить, например, пароль и еще что-то. Это стало популярным для банковских услуг», — сказал он, указав на практику использования так называемых токенов — генераторов одноразовых паролей.
После взлома аккаунта Ассошиэйтед Пресс компания Twitter начала разработку двухступенчатого метода входа, сообщило ранее агентство Bloomberg со ссылкой на анонимный источник в компании.
Взлом аккаунтов СМИ в соцсетях стал настолько частым явлением, что их все труднее расследовать, сказал Солтани. Уэббер добавил, что не следует пренебрегать никакой возможностью, которая поможет затруднить хакерам доступ к аккаунту, и что необходим комплексный подход к проблеме безопасности.
Алексей Богдановский
Источник: РИА Новости