Взлом госуслуг: мифы и реальность

Взлом госуслуг: мифы и реальность

В последнее время в СМИ обсуждаются множественные случаи взлома портала «Госуслуги». В этой статье я постараюсь выяснить что из этого миф и выдумки, а что является правдой, а для этого придется самому взломать госуслуги.

Внимание! Данный текст является описанием возможности в экспериментальных целях. Напоминаем, что повтор подобных действий может привести к нарушению законодательства.

Для экспериментов я использовал свой собственный аккаунт, содержащий доступ к моим данным и данным моего юр лица. Доступ осуществляется как с помощью связки логин/пароль + смс, так и ЭЦП. В ходе экспериментов я буду выключать те или иные функции безопасности аккаунта (чего вам делать крайне не рекомендую) и проверять изменения и возможность захвата аккаунта. Также я зарегистрирую новый аккаунт для проверки функций безопасности, настроенных по-умолчанию.

Верхний аккаунт физ. лицо, защищен при помощи 2FA, нижний, юр. лицо, защищен при помощи ЭЦП.

Даркнет для таксистов: зачем водители покупают чужие аккаунты

Когда мы вызываем такси, в приложении отображается имя водителя и его фотография. На самом деле, доверять этой информации нельзя. Рассказываем, зачем таксисты покупают «фейковые» аккаунты и как с этим борются агрегаторы.

Кто покупает «левые» аккаунты и почему это опасно

Телеграм-чаты таксистов пестрят объявлениями о продаже аккаунтов — услуга это очень популярная. Один из водителей «Яндекс.Такси» рассказал «МБХ медиа», что основная причина покупки фейковых аккаунтов — блокировки со стороны агрегатора. Водителя могут легко заблокировать за жалобу пассажира, после чего вернуть аккаунт обратно уже не получится. Жалобу пользователь может отправить через приложение или позвонить в компанию по телефону. Все жалобы проверяются, и, зависимости от серьезности нарушения, водителям выписывают штраф или блокируют аккаунт. Блокировку можно получить за нарушение правил сервиса: грубое поведение, опоздание, несоблюдение ПДД или плохое состояние автомобиля. К водителям бизнес-класса требования серьезнее: в «Gett», например, их могут заблокировать за то, что они начали посторонний разговор с клиентом или попросили оценить поездку.

«В „Яндексе“ это [покупка «фейковых» аккаунтов] как раз распространено больше всего, потому что они очень строго относятся к блокировкам. Разблокироваться у них очень тяжело, потому что даже не предусмотрено такой процедуры. То есть если таксопарк не поможет водителю разблокироваться, то вряд ли у него самостоятельно получится это сделать», — рассказал водитель «Яндекс.такси». Прекращать работать таксистам не хочется, поэтому они покупают себе новые аккаунты в интернете и продолжают развозить пассажиров. По словам собеседника «МБХ медиа», с «левых» аккаунтов работают примерно 10% водителей «Яндекс.Такси». Иногда «фейковые» аккаунты приобретают водители со стажем менее трех лет. Для работы в такси стаж является обязательным условием — ни один из крупных сервисов не берет на работу неопытных водителей. К этой услуге также прибегают трудовые мигранты, у которых нет российского водительского удостоверения.

Правда, работать через «фейковый» аккаунт не всегда выгодно для водителей. Если пассажир не заплатит за поездку или даже, например, изобьет водителя, тот не сможет ничего сделать: таксисты боятся жаловаться и высказывать свое недовольство, ведь в любой момент их могут пригласить в офис, где они не смогут подтвердить, что это действительно они. Еще более опасной такая ситуация становится для пассажиров. «Если водитель работает через „фейковый“ аккаунт, это означает, что ему во время какой-то конфликтной ситуации с пассажиром будет абсолютно плевать, куда пассажир будет жаловаться, поэтому могут происходить драки, кражи и изнасилования в такси», — рассказывает водитель «Яндекс.Такси». Настоящих данных водителя, использующего «левый» аккаунт, никто не знает, поэтому вычислить его будет тяжело.

Черный рынок: где и за сколько покупают аккаунты

Купить «левый» аккаунт можно в даркнете или на сайтах хакеров — их называют «форумами социальной инженерии». Кроме аккаунтов там продают, например, документы и дебетовые карты, помогают взломать социальные сети и обмениваются мошенническими схемами заработка. «МБХ медиа» удалось поговорить с человеком, который занимается продажей «фейковых» аккаунтов. Он рассказал, что цена за аккаунт эконом-класса составляет около 5500 рублей, за аккаунт комфорт-класса — от 10 до 15 тысяч рублей, а за бизнес-класс — от 40 до 60 тысяч рублей. Другая популярная услуга — разблокировка аккаунта, за это придется заплатить около 50 тысяч рублей. Разблокировка происходит через таксопарки: они сообщают такси-агрегатору, что водитель якобы прошел переобучение и сдал соответствующий экзамен.

Предложения о продаже водительских аккаунтов можно найти и в телеграм-чатах таксистов. Покупают их там в основном большими партиями — скорее всего, для того, чтобы потом перепродавать. В чатах предлагают и другие услуги: брендирование автомобилей, продажа водительских удостоверений и сканов паспортов РФ.

Для продажи обычно создают новые аккаунты. Для этого нужно водительское удостоверение: его либо делают в фотошопе, либо заказывают через интернет. Иногда дилеры покупают аккаунты у сотрудников таксопарков: у них чаще всего есть база водителей, которые больше не работают. «Текучка огромная, поэтому такие люди есть всегда», — объяснил водитель «Яндекс.такси». Работает это так: продавцы покупают комплект документов (фото прав, паспорта и фото водителя). Документы граждан РФ в оптовой продаже стоят 2000 рублей, а документы мигрантов — 1000 рублей. После этого дилеры проходят авторизацию, заново подключают водителя к агрегаторам, загружают в профиль номер телефона покупателя и данные о его автомобиле. Все, аккаунт готов!

Как такси-агрегаторы борются с мошенниками

В «Яндекс.Такси» ответили «МБХ медиа», что использование чужих аккаунтов — это единичные случаи. Информацию о том, что блокировку получить легко, они также опровергли: «Аккаунт водителя может быть заблокирован навечно только в случаях грубейшего нарушения правил сервиса и законодательства или в случаях неоднократных нарушений и жалоб со стороны пользователей (они проверяются). Во всех остальных случаях аккаунт водителя может быть разблокирован». В «Яндекс.Такси» рассказали, что после жалоб пользователей водителям блокируют доступ к заказам до окончания разбирательства. Решение о разблокировке зависит от разных факторов — например, от отзывов, истории заказов и рейтинга водителя, а также от рейтинга пользователя, написавшего жалобу.

«Gett» существование проблемы признали: они отметили, что «фейковые» аккаунты — это распространенная проблема всех агрегаторов и упомянули о том, что аккаунты продаются на черном рынке по цене от 3 до 25 тысяч рублей. «Gett» рассказали, что они регулярно проводят проверки водителей и блокируют их в случае нарушений. Сейчас они разрабатывают новую технологию «face recognition» — фотоконтроль водителей, который поможет сократить количество нарушений со стороны компаний-перевозчиков. Блокировку в «Gett» получить действительно не так сложно — компания закрывает доступ к аккаунту водителям с низким рейтингом. Пассажиры могут оценить поездку в приложении от одного до пяти баллов. Из этих оценок и формируется рейтинг водителя. В компании объяснили, что водителей с рейтингом 4.8 блокируют и отправляют на переобучение, после которого они смогут снова подключиться к сервису, а вот водителей, чей рейтинг опустился до 4.75, блокируют уже навсегда. «Низкая оценка водителя – это первый тревожный звонок, который говорит нам, что что-то не так. Поэтому 98 оценок из 100 должны быть на «5»», — объяснили в «Gett». Они добавили, что возможность связаться с компанией и оспорить блокировку у водителя остается всегда. В «Ситимобил» на запрос «МБХ медиа» не ответили.

С такой проблемой сталкиваются не только жители России. В Лондоне компания «Uber» потеряла лицензию из-за того, что таксисты использовали поддельные водительские удостоверения. Был у английских таксистов и другой способ мошенничества — несколько водителей использовали одну учетную запись, но меняли фотографию каждый раз, когда кто-то из них садился за руль. Таким образом агрегатором могли пользоваться водители, у которых нет лицензии или страховки, или имеется непогашенная судимость. Как и российские коллеги, лондонские пользователи «Uber» часто просто использовали чужие аккаунты.

Редактировал Семен Кваша

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Как работают эти бруты?

Работают они по довольно простой технологии:

1. Пользователь выгружает в программу базу данных (где вы найдете эти базы – ваша проблема, но, стоит сказать, что таких баз много, смотрите порталы-даркнеты). Сама база данных представляет собой обыкновенный список электронных адресов и паролей, например, «alogon@mail.ru:14588iia» — примерно такие строчки должны быть в исходном документе.
2. Брут проверяет данные от каждого аккаунта: в случае удачного взлома софт проникает в электронную почту пользователя и ищет там сочетание: «Логин-пароль». Если случай удачный – ставят «Good», если ничего не нашлось, если программа не получила доступ к «ящику» — ставят «Bad».
3. Если из перечня базы данных удается найти реальные сведения («Good`ы») об учетной записи других пользователей, то брут заносит их в отдельный файл, которым можно пользоваться на усмотрение пользователя.

Лучшие программы для перебора паролей

1. John the Ripper

John the Ripper — это один из самых популярный инструментов для перебора паролей, доступных абсолютно всем. Он распространяется с открытым исходным кодом и написан на языке программирования Си. Здесь собраны различные методы перебора паролей.

Программа способна перебирать пароли по сохраненному хэшу, и поддерживает различные алгоритмы хэширования, в том числе есть автоматическое определение алгоритма. John the Ripper относиться к набору инструментов для тестирования безопасности от Rapid7. Кроме Linux поддерживается Windows и MacOS.

2. Aircrack-ng

Aircrack-ng — это набор программ для взлома и перехвата паролей от wifi сетей. Программа — одна из лучших, которые используются хакерами. Здесь есть все необходимое для взлома WEP и WPA шифрования, начиная от перехвата хэша, и до получения готового пароля.

Особенно легко поддается взлому шифрование WEP, для преодоления защиты существуют атаки PMS и PTW, с помощью которых можно взломать этот протокол в считаные минуты при достаточном потоке трафика через сеть. Поэтому всегда используйте WPA2 чтобы быть в безопасности. Тоже поддерживаются все три платформы: Linux, Windows, MacOS.

3. RainbowCrack

Как следует из названия, RainbowCrack использует радужные таблицы для взлома хэшей паролей. С помощью уже готовых таблиц утилита очень сильно уменьшает время взлома. Кроме того, есть как графический интерфейс, так и утилиты командной строки.

После завершения этапа предварительных вычислений этот инструмент работает в сотни раз быстрее чем при обычном переборе. Вам не нужно самим создавать таблицы, разработчики уже создали их для LM, NTLM, MD5 и SHA1. Все доступно бесплатно.

Еще один важный момент — это ускорение с помощью GPU. С помощью использования видеокарты вы можете снизить время вычисление пароля еще на несколько порядков. Поддерживаются платформы Windows и Linux.

4. THC Hydra

В отличие от выше перечисленных программ, Hydra работает по-другому. Она не вычисляет хэши. Вместо этого, программа выполняет атаки перебора на различные сетевые протоколы. Здесь поддерживаются Astrisk, FTP, HTTP, MySQL, XMPP, Telnet, SHH и многие другие. Основная цель утилиты — атаки перебора на форму ввода пароля.

Этот инструмент помогает исследователям безопасности узнать насколько легко можно получить доступ к удаленной системе. Для расширения функций можно добавлять модули, поддерживается Linux, Windows, Solaris, FreeBSD и MacOS.

5. HashCat

По заявлениям разработчиков — это самый быстрый инструмент для перебора паролей. Он распространяется в качестве свободного программного обеспечения и поддерживает такие алгоритмы: md4, md5, LM, SHA, MySQL, Cisco PIX и Unix Crypt.

Есть версии инструмента для перебора на CPU, а также взлома на основе GPU — oclHashcat и cudaHashcat. Кроме стандартной атаки Bruteforce, поддерживаются атаки по словарю, гибридные атаки по самые, по таблицам, Prince и так далее. Из платформ поддерживаются Windows, Linux и MacOS.

6. Crowbar

Crowbar — это популярный инструмент для тестирования безопасности паролей. Другие программы перебора паролей используют логины и пароли пользователей, но crowbar позволяет перебирать ключи SSH.

Этот инструмент с открытым исходным кодом создан для работы с протоколами, которые редко поддерживаются другими программами. Сейчас поддерживается VNC, OpenVPN, SSP, NLA. Программа может работать на Linux, Windows и MacOS.

7. coWPAtty

Это реализация утилиты для перебора пароля от WPA/WPA2 PSK на основе словаря или радужных таблиц. Использование радужных таблиц очень сильно ускоряет работу утилиты. Стандарт PSK используется сейчас очень часто. Радует только то, что перебрать пароль очень сложно, если он был изначально выбран правильным.