«Пятизначный номер ICQ начинался с 2500 долларов». Бывший хакер об атаках на ваши компьютеры

375
31 мая 2021 в 8:00
Автор: Станислав Иванейко. Фото: Влад Борисевич

«Пятизначный номер ICQ начинался с 2500 долларов». Бывший хакер об атаках на ваши компьютеры

Евгений (имя изменено) говорит, что долгое время был на «темной стороне» работы в интернете: взламывал сайты, выкрадывал красивые номера ICQ и занимался другими подобными вещами. Это закончилось уголовным преследованием и годом реального срока. После освобождения Евгений заметил, что специалисты по защите данных зарабатывают даже больше тех, кто эти данные пытается украсть, а бонусом — все абсолютно легально. Чем занимался белорусский хакер во времена расцвета ICQ и почему нынешние VPN с прокси едва ли помогают сохранить анонимность, читайте в этом интервью.


«По сути, я был самоучкой»

— Как все началось?

— Это были нулевые — эпоха компьютерных клубов и появления первых домашних компьютеров у пацанов. Интернет-кафе тогда еще особо не пахло. У кого оставались от отцов и дедов учебники по сетевому администрированию, прокидывали по подъездам и между домами сетки.

В то время мне посчастливилось на день рождения получить компьютер. Это был примерно 2002—2003 год, и тогда компьютеров в моей школе, кажется, еще ни у кого не было. Меня захватила эпоха казуальных игр — сейчас такие обычно встречаются в соцсетях. Время игры было ограничено: демо — полчаса, а потом покупай полную версию. Денег тогда не водилось, лицензионные ключи было не достать. Мне стало интересно, как это обойти.

Я додумался, что можно править цифры в реестре. Потом появились более изощренные методы по откату даты и времени. По сути, я был самоучкой: в школе информатику вели, но там скорее я объяснял что-то преподавателю, чем она мне.

Поступил в колледж на глубоко техническую специальность, но понял, что это не мое. И в то же время начал увлекаться разработкой сайтов. Тогда зарождалась целая эпоха. Навыки были, а для разработки на HTML особо мозгов-то и не надо. Потом пошли движки. Тогда балом правил Data Life Engine — он легко взламывался, на него была куча шаблонов, в которые, конечно, вшита куча «малварей», но об этом мы узнали позже. Ну, это как скачать с торрента сборку Windows без возможности обновления и думать, что пакеты данных не улетают непонятно куда.

— Когда начались проблемы с законом?

— Я открыл ИП, начал делать сайты на заказ. Нарвался на директора одного крупного предприятия со своим производством, который выпускал определенное оборудование. Он предложил «залевачить»: сделать сайт неофициально, не через ИП. Ну, я молодой пацан, почему бы не заработать? Сделал ему сайт. Когда пришло время расчета, директор открытым текстом меня послал.

Я посидел, подумал: ну, это директор, большой дядя со связями, ходит с охраной, где я и где он. Забил на эту историю и вообще забыл про нее. Хотя, конечно, там было больше тысячи долларов — очень неплохая сумма.

Однажды в городе я увидел машину, которая была обклеена фирменной стилистикой того сайта. Естественно, придя домой, залез на тот сайт. Он был точно таким же, каким я его сделал. Единственное, кто-то переверстал его на «Битрикс» и добавил англоязычную версию. У меня бомбануло. Попытался связаться с директором, но меня игнорили — скорее всего, он просто забыл про меня.

Сайт хостился на одном из крупных провайдеров. В общем, я положил этому заводу почтовый сервер с более чем 400 тыс. сообщений от реальных клиентов, положил сам сайт, нарисовал на главной странице задницу и написал: «Отдай мои бабки». Именно из-за этого, кстати, я потом и спалился.

Как «уводили» номера ICQ

— Чем еще занимались?

— В то время были заказы на взлом переписки во «ВКонтакте», на короткие номера в ICQ. Это был мой самый большой хлеб. Достать пятизначный номер «аськи» и перепродать его — ценник за такое стартовал от $2500.

— За пятизначный номер «аськи»?

— Да, это было серьезное дело. Выглядело все так. К тебе обращаются: достань номер. Ты идешь на любой форум знакомств, заводишь фейковую страницу с фотками красивой девушки — тогда ведь нейросетей не было, никто не проверял, реальные там фото или нет. Начинал общение с кем-нибудь из парней, у кого номер ICQ максимально привлекательный. Перетаскивал его на личное общение в «аське»: мол, на форумах личные переписки админы читают, давай лучше приватно пообщаемся. Для убедительности еще пару фоток скидываешь. Пацаны, теряя слюни, охотно соглашались.

Под видом приватного видео отправлял или ссылку, или файл с якобы уже записанным роликом. Ребята качали и получали троян на компьютер. Вирусы были исключительно сигнатурные: исправляешь пару строк кода, и антивирус его уже не распознает. Происходило заражение, угонялись логин и пароль от ICQ.

Естественно, привязки к телефону и «мылу» тогда не было, забыл пароль — все, «аськи» нет. Отдаешь эти реквизиты дальше, получаешь деньги — и готово.

— Как заказчики находили вас?

— В мои школьные годы зарождался байнет, я был администратором очень популярного чата — точно входил в топ-10 ресурсов байнета. Люди узнавали обо мне через этот самый чат. Там же появился и форум, и мы создали отдельное ответвление, куда стали заходить люди за, скажем так, определенной информацией. В моем понимании, на белорусском рынке в 2008—2010 годах зарождался OSINT (конкурентная разведка): появлялись базы мобильных операторов, можно было без проблем получить информацию о ком-то.

Потом я понял, что на белорусском рынке особо не заработаешь, и начал аккуратно предлагать свои услуги на форумах России, Украины, Польши.

Когда нужно было посидеть в интернете и не спалиться, мы брали антенну усиленного диапазона, шли в подъезд какой-нибудь панельки и просто ходили по этажам, сканируя сетки. И пароль от Wi-Fi в большинстве случаев был от 0 до 8 — дефолтный у одного крупного провайдера.

Или, допустим, новостройка. Застройщик А заказывает интернет в свой будущий дом у провайдера Б. Идешь на площадку тендеров, смотришь, какой поставщик железа выиграл тендер у Б. Дальше узнаешь, какие роутеры будут поставляться, и начинаешь гуглить их уязвимости.

— Трояны сами писали?

— Нет, это все покупалось у комьюнити, и вирусы стоили бешеных денег. По сути, основной заработок и уходил на обеспечение дальнейшей работы.

— Какой доход был в месяц?

— Рекорд был $5000, но в среднем — около $1500—2000. Но я тогда учился, и в десятые годы для студента это были колоссальные деньги.

— Друзья и родственники знали, чем вы занимались?

— В большинстве случаев нет. Друзьям я говорил, что у меня богатые родственники за границей и они присылают мне деньги. Этого было достаточно, у них глаза округлялись: халява!

Кутили в клубах, арендовали дорогие машины — и уже было не важно, откуда у тебя деньги на это.

«Сидеть было достаточно легко»

— Долго работали таким образом?

— Нет. Прошло два-три месяца с момента, как я взломал тот сайт директора, который меня кинул, и ко мне в дверь постучали. Пошел открывать и, как помню, резко отступил: прямо перед глазами увидел корку. Это были специалисты отдела «К». Они без проблем собрали доказательную базу после того, как директор предприятия настучал на меня.

Ну, я сам себя спалил: сначала названивал ему, потом на сайте написал, что требую деньги. А я ведь думал просто пощекотать ему нервы и, если получится, все же вернуть деньги. Но он накатал полноценную кляузу.

Последствиями этого стал тюремный срок и статьи 349, 351 и 352. По совокупности все это было перекрыто последней, я получил три года. Из них год реально отсидел, и еще два было условно.

Прошло порядка десяти судов. Угорал с адвокатов и судей, которые ну вообще не шарят, о чем идет речь: какие айпишники, какие DNS, какие MAC-адреса? Но залетел я по полной. Было стремно. В то время я уже ждал сына, жена была беременна. Меня оставили под подпиской, и было очень страшно идти на суд: я просто не знал, вернусь ли домой.

К счастью, были определенные смягчающие обстоятельства. Мне пришлось заткнуть гордость и извиниться перед директором, чтобы он написал что-то в духе «не хочу, чтобы его закрывали». Но претензии остались у хостинг-провайдера, чья защита была сильно нарушена.

— Каково было находиться в тюрьме по «хакерской» статье?

— Я чувствовал себя там довольно позитивно, потому что люди, как правило, мотают гораздо бо́льшие сроки. В большинстве своем люди относятся к тебе нейтрально. Начинается всегда одинаково. Пришел — тебя начинают либо спаивать, либо затягивать в азартные игры. Главное, почему они так делают, — хотят понять, кто ты на самом деле. Не залетный ли ты «стукач», действительно ли сидишь по той статье, которую назвал. Основное — это «определить» тебя. Есть три градации: «чмошники», нормальные ребята и блатные. По дефолту тебя ставят посередине, а дальше все зависит уже от поведения и твоих поступков.

В принципе, сидеть было достаточно легко. Единственное, напрягал распорядок. Подниматься ни свет ни заря, идти на прогулку и заниматься делами в цеху было тяжело. Я существо ленивое: привык, чтобы другие работали за меня, а я им за это платил.

— Чем занялись после освобождения?

— Раз есть люди, которые ломают системы, то есть и те, кто их защищает. Парадокс ситуации в том, что тем, кто защищал, платили порой в разы больше, чем ты мог заработать «на темной стороне». И если там нужно было заморачиваться с отмывом денег, с левыми карточками, то здесь все было по-белому, ты получаешь официальную зарплату.

Мне сильно помогали «знания из прошлого»: когда знаешь, как ломать, понимаешь, как и защитить. Поэтому многие стали переходить из Black Hat в Grey Hat или White Hat. «Серые шляпы» — это ребята, которые могут действовать одновременно на обе стороны, то есть как дичь устроить, так и добровольно указать админам какого-нибудь ресурса на серьезную брешь.

Сейчас я классический White Hat, и мы занимаемся классическими тестами на проникновение. Я получил огромное количество сертификатов (например, имею статус Certified Ethical Hacker и сертификацию от очень крупного мирового вендора), побывал на множестве мероприятий и собрал определенное комьюнити. У нас образовалась команда людей, которые помогают организациям защищаться от атак хакеров.

90% всех вирусов — это «скачать читы к Minecraft»

— Сейчас довольно популярны VPN и прокси. Что из этого реально дает анонимность?

— Это разные темы. Ключевое отличие VPN от прокси в том, что VPN шифрует сигнал полностью от точки А до точки Б, тогда как прокси не шифрует, а меняет твое местоположение, и не более того. Грубо говоря, ты сбиваешь GPS-координаты. То есть трафик из точки А идет на прокси в Германию, и уже оттуда ты стучишься на какой-нибудь закрытый сайт, и сайт думает, что ты стучишься к нему из Германии. При этом огромный недостаток прокси — твой трафик может вскрыть владелец сервера. В случае с VPN ситуация схожая, разве что твои данные уже просто так не вскроются. Зато очень элементарно вскрывается, кто есть ты.

К владельцам VPN-серверов могут обращаться силовики с простым запросом: вот в такое-то время через ваш сервис с такого-то IP-адреса кто-то оставил где-то нехороший комментарий. И в большинстве своем они «сольют» пользователя, что бы ни говорили. Поэтому не важно, сколько стоит VPN и в какой стране вы его покупаете.

Никто не узнает, что выдали именно они. Надавить можно на всех. Просто где-то нужно больше усилий приложить, а где-то меньше. В случае с VPN наезжают в первую очередь блокировками. Любой коммерческий VPN-сервис имеет официальную регистрацию, банковские счета и транзакции.

Хотите нормальную VPN — купите сервер или арендуйте в какой-то далекой стране типа США и сами по гайду поставьте VPN, напишите сертификаты и заходите под ними. Вот это уже даст хоть какую-то гарантию.

— Что сейчас популярно в плане вирусов, заражения систем, интернет-развода?

— Про «банковских работников» даже говорить не хочу, это слишком примитивно. У них отлаженные скрипты, они действуют по четкому сценарию. Достаточно ответить, допустим, на английском — и все, бросают трубку, потому что разговор пошел не по плану.

Знаешь, каким образом происходит наибольшее распространение вирусов? Через читы к играм. 90% всех вирусов — это «скачать читы к Minecraft». Представь ситуацию: ты отец, дома сидит пацан 10 лет, играет в DotA, CS, Minecraft и так далее. Чуваки постарше, конечно, его нахлобучивают: они уже зарабатывают и могут донатить. Сын просит у тебя деньги, чтобы выделиться или получить какое-то преимущество. Они теперь чем меряются? У кого пушка круче, у кого скин эксклюзивнее.

Если денег не даешь (а в большинстве случаев родители не дают деньги на такое), парень качает читы. Причем чит настоящий, он работает в игре. Но что тебя просят сделать при запуске чита? Отключить антивирус, войти с правами админа. В описании ведь так и пишут, что антивирус будет ругаться, потому что любой чит работает как вирус: он внедряется в процесс для обхода блокировочных систем и методов защиты, — и все это расползается по системе.

А дальше бывает как: отцу понадобилось с домашнего компьютера войти в рабочий аккаунт — допустим, в почту. И проникший в систему вирус считывает логин-пароль. Все, твоя бизнес-почта утекла.

— А если есть двухфакторная аутентификация?

— Я на твоем компе, вижу все параметры и версию системы, разрешение экрана, настройки по контрастности и так далее. Просто украв у тебя cookies от админки почты (а это небольшая проблема), можно сэмулировать на виртуальной машине твой комп — все будет выглядеть абсолютно так же. И дальше я просто подкидываю почте твои cookies.

Система пропустит меня без запроса мультифакторки, потому как она будет думать, что это ты выполняешь обычный вход в аккаунт. Мультифакторка могла бы тебя спасти, но в таком случае она просто не сработает.

Кстати, второй по частоте метод распространения вирусов — магазины мобильных приложений. Около десяти лет назад я написал приложение фонарика для Android, бесплатно выложил его в Google Play, прикрутил донат: мол, кто хочет поддержать разработчика, закиньте сколько не жалко. Недавно мне прилетает сообщение от каких-то индусов: предлагают $50 тыс. за продажу этого приложения. В чем смысл? Приложение прошло премодерацию, у него есть рейтинг и реальные отзывы, оно закреплено как легальное и легитимное.

Что было бы при продаже? Новые владельцы получили доступ к приложению, они внесут какой-нибудь «малварь» с очередным обновлением. Ты себе это ставишь, и затем они получают доступ к твоему устройству. И ты даже знать об этом не будешь. То же самое, кстати, с плагинами для браузеров.

Изображение: pexels.com

Сейчас никто не покупает вирусы по классической схеме. Их продают по подписке, как Office 365. Тебе дают админку, и при определенных знаниях ты это легко распространишь. Хочешь — спам рассылай, хочешь — фишинговое письма. Главное — клики и заражения. И ты с каждого заражения получаешь деньги. А таких сервисов только в рунете огромное количество.

И именно поэтому должна стоять русская раскладка что на компьютере, что на телефоне. Не надо переводить интерфейс телефона на английский, как это любят делать у нас: мол, тогда они язык подтянут, что бред полный.

— Как раскладка связана с вирусами?

— Это обезопасит тебя от русскоговорящих хакеров. Есть негласное правило: своих не трогать. То есть если тебя взломали, то это сделали европейцы, американцы, китайцы, японцы. Русскоговорящие не будут ломать систему с русской раскладкой. Они ведь сами находятся здесь, и, если взломают тоже русскоговорящего человека, велика вероятность, что он пойдет с заявлением в милицию. И за рубежом это работает так же.

Рекомендации по защите своих данных

— Есть ли общие советы по защите от атак?

— На смартфоны родителей поставьте детский режим, вынесите только нужные ярлыки, запретите прием сообщений от тех, кого нет в записной книжке. Потратьте час своего времени, чтобы помочь своим же родителям разобраться в этом всем. Объясните им, что они находятся в очень уязвимой категории и что отобрать у них пенсию гораздо проще, чем зарплату у айтишника. Также дома у родителей проверьте настройки Wi-Fi-роутера: обновите прошивку, поставьте максимально сложный пароль и обновите его на устройствах.

90% атак — нецелевые, и нужно просто повысить порог сложности, чтобы не попасть под них.

При установке новых приложений не открывайте доступ ко всему подряд: калькулятору и теме для часов не нужен доступ к камере, например.

Если хотите хоть какой-то анонимности, создавайте свой VPN через аренду сервера и заходите в интернет только через него. Не заходите на «плохие» сайты: если уж так хочется, открывайте их через виртуальную машину, подключение к которой тоже должно быть через VPN. Финансовые операции на большие суммы, ввод очень конфиденциальной информации — через «чистую» виртуальную машину: оплатили ее, вошли, сделали дела и удалили. Там оплата поминутная. И подключайтесь только к своему Wi-Fi — никаких общественных точек доступа в кафе или аэропортах.

Покрываем интернетом все уголки квартиры и дачного участка — усилители Wi-Fi в Каталоге

Читайте также:

Наш канал в Telegram. Присоединяйтесь!

Есть о чем рассказать? Пишите в наш телеграм-бот. Это анонимно и быстро

Перепечатка текста и фотографий Onliner без разрешения редакции запрещена. nak@onliner.by

Автор: Станислав Иванейко. Фото: Влад Борисевич