В сети предлагается немало услуг по 100% взлому аккаунта в социальных сетях – услугу можно увидеть как в даркнете, так и в надоедливых рекламных баннерах. Сегодня в «Мысли дня» публикуем заметку от автора канала Plastic, где он подробно разжевал тему взлома для всех, кто боится за свои страницы и почты.

Plastic

Периодически в новостях говорят о взломах аккаунтов высокопоставленных лиц, поэтому создаётся впечатление, что хакеры способны взломать чуть ли ни что угодно, было бы желание. Ведь важные аккаунты, само собой, защищают надёжными паролями, а уж если это получилось взломать, то у аккаунта обычного пользователя просто нет шансов, но на самом деле у хакеров нет универсального инструмента, который мог бы открыть для них доступ к любому аккаунту.

Более того, зачастую причиной взлома становится оставленное владельцем аккаунта слабое место в безопасности.

Для примера приведу нашумевший взлом twitterа Медведева. Причиной стал не взлом самого пароля от аккаунта, а хакеры изначально получили доступ к iCloud, где в заметках он хранил свой сложный пароль. Это очень частое явление, когда для взлома происходит не напрямую самого аккаунта, а сначала взламывается менее защищенное звено в цепочке.

При попытке взлома аккаунта в социальной сети сначала пробуют найти почту, к которой страница привязана. Почта зачастую защищена намного хуже. Причина в том, что, если почту не привязать к другой почте или мобильному телефону, то применяется метод восстановления по ответам на секретные вопросы. В некоторых случаях можно с лёгкостью угадать ответ, а если это сделать не получается, всегда можно с помощью социальной инженерии выведать у жертвы необходимую информацию.

Давайте сразу упомяну методы защиты от этой стратегии взлома:

1) держим в секрете почту, к которой привязан аккаунт;

2) используем надёжные методы защиты всех связанных аккаунтов

3) пользуемся двухфакторной авторизацией. Двухфакторная авторизация(двухфакторка) — метод защиты при котором для входа требуется дополнительное подтверждение. Этом может быть, например, смс со временным кодом или письмо на почту со ссылкой.

Другой метод взлома — фишинг. Это создание копии сайта, цель которой — заставить пользователя ввести секретные данные на странице взломщике. Поскольку фишинг сайт делается максимально похожим на оригинальную страницу, неопытная жертва с легкостью введёт все необходимые данные без всяких сомнений. Сейчас браузеры активно борются с этим, но с введением новых возможностей взломщики придумывают всё новые пути заставить жертву обманом ввести свои данные. Недавно глобально разрешили в доменах использовать не только ascii символы, что вызвало новую волну фишинг атак с url визуально неотличимыми от целевого сайта. Сейчас это не так актуально, но надо быть всегда на чеку и проверять, куда отправятся вводимые данные.

Помимо двух приведённых способов, которые считаются классикой взлома, есть менее очевидные и более сложные методы. Один из таких методов — угон сим-карты. Привязывание к номеру телефона сейчас считается одним из самых надёжных методов защиты своего аккаунта, но, на самом деле, и его можно обойти. Чтобы получить доступ к сим-карте другого человека её нужно переоформить. Это возможно в случае, если старая карта утеряна. Процесс восстановления зависит от оператора, и зачастую надо каким-либо образом подтвердить, что номер принадлежит вам (а он вам не принадлежит). Если получится убедить в этом сотрудника службы поддержки компании, то симку перевыпустят, и на неё можно сбросить все пароли и т.п. Но зачастую просто используются «связи» и работники сотовых операторов за определенный откат.

Один из самых специфических методов — взлом ресурса. Кода без багов не бывает, даже в тщательно проверяемых банковских системах время от времени обнаруживаются ошибки. Если найти где-то достаточно серьёзную уязвимость, то можно будет получить чуть ли не всю информацию о пользователе. Обычно целью таких атак выбираются не социальные сети, где польза массного взлома сомнительная, а, например, интернет магазины: при взломе коммерческого сайта похищается клиентская база с данными кредитных карт — очень выгодное занятие. Если от методов выше пользователь может сам защититься, то тут большая часть ответственности лежит на самом сайте. Но надо взять за правило использовать для интернет комерции карты с маленьким балансом, чтобы даже в случае взлома потери были минимальными.

Очевидно, что взлом возможен в теории, но на практике осуществим он далеко не всегда.

Если пользователь позаботился о своей безопасности, то взлом его аккаунта — незаурядное дело. Однако в сети периодически появляются предложения взлома, причём взломщик заявляет, будто бы способен взломать чуть ли не всё, что угодно. В случае, если в добавок ко всему этому он работает с предоплатой, то сомнений остаётся не много — хочет по быстрому получить предоплаты с как можно большего числа людей и исчезнуть. При реальном взломе никаких 100% гарантий успеха в этом деле быть не может. Заказывая услуги взлома, необходимо получить все возможные гарантии, что это будет действительная добросовестная попытка взлома. Само собой, с теми, кто берёт предоплату, надо быть в двойне осторожней.

А как хакеры набирают базы взломанных аккаунтов: в большинстве случаев используются методы массового взлома. При таком подходе нацеливаются на самые слабозащищенные аккаунты. В самом простом случае это перебор всевозможных логинов со словарём самых часто используемых паролей, по другому — брутфорс. Так же большие базы получаются в результате утечек после взлома.