Самые популярные виды мошенничества, функции по и понятия криптографии

Как работает Стилер?

После инфицирования устройства, стиллер приступает к мониторингу активности пользователя и записи всех вводимых им данных, включая логины и пароли от учетных записей.

Украденная информация затем передается злоумышленнику, который может ее использовать для получения доступа к учетным записям пользователя, в том числе к его аккаунту в Телеграме. При этом стоит отметить, что стиллеры часто используют сложные техники обхода средств защиты, такие как:

• Защита от обнаружения: Скрытие в операционной системе и избежание обнаружения антивирусным программным обеспечением.
• Устойчивость: Способность восстанавливаться после перезагрузки или удаления устройства.
• Многоэтапная передача данных: Разделение и передача украденных данных через несколько каналов, чтобы избежать отслеживания.

Важно понимать, что защита от стиллеров требует многоуровневого подхода, включающего:

Использование надежного антивирусного программного обеспечения.
Обновление операционной системы и программного обеспечения.
Осторожность при скачивании файлов и посещении подозрительных веб-сайтов.
Использование двухфакторной аутентификации для учетных записей.
Регулярное резервное копирование важных данных.

Списки слов от Metasploit

Названия словарей имеют говорящие названия. В основном эти словари предназначены для брут-форса удалённого входа в различные службы, имеются неплохие универсальные словари с именами пользователей и паролями.

tree /usr/share/wordlists/metasploit
/usr/share/wordlists/metasploit
├── adobe_top100_pass.txt
├── av_hips_executables.txt
├── av-update-urls.txt
├── burnett_top_1024.txt
├── burnett_top_500.txt
├── cms400net_default_userpass.txt
├── common_roots.txt
├── db2_default_pass.txt
├── db2_default_userpass.txt
├── db2_default_user.txt
├── default_pass_for_services_unhash.txt
├── default_userpass_for_services_unhash.txt
├── default_users_for_services_unhash.txt
├── dlink_telnet_backdoor_userpass.txt
├── hci_oracle_passwords.csv
├── http_default_pass.txt
├── http_default_userpass.txt
├── http_default_users.txt
├── http_owa_common.txt
├── idrac_default_pass.txt
├── idrac_default_user.txt
├── ipmi_passwords.txt
├── ipmi_users.txt
├── joomla.txt
├── keyboard-patterns.txt
├── malicious_urls.txt
├── multi_vendor_cctv_dvr_pass.txt
├── multi_vendor_cctv_dvr_users.txt
├── namelist.txt
├── oracle_default_hashes.txt
├── oracle_default_passwords.csv
├── oracle_default_userpass.txt
├── password.lst
├── piata_ssh_userpass.txt
├── postgres_default_pass.txt
├── postgres_default_userpass.txt
├── postgres_default_user.txt
├── root_userpass.txt
├── routers_userpass.txt
├── rpc_names.txt
├── rservices_from_users.txt
├── sap_common.txt
├── sap_default.txt
├── sap_icm_paths.txt
├── scada_default_userpass.txt
├── sensitive_files.txt
├── sensitive_files_win.txt
├── sid.txt
├── snmp_default_pass.txt
├── tftp.txt
├── tomcat_mgr_default_pass.txt
├── tomcat_mgr_default_userpass.txt
├── tomcat_mgr_default_users.txt
├── unix_passwords.txt
├── unix_users.txt
├── vnc_passwords.txt
├── vxworks_collide_20.txt
└── vxworks_common_20.txt

Распространенные киберугрозы, представляющие опасность для предпринимателей

Сегодня наиболее опасной киберугрозой считается фишинг. Это распространенный вид интернет-мошенничества. Главной целью является получение доступа к конфиденциальной информации. Злоумышленники посредством фишинга могут завладеть логином или паролем любого человека.

Для получения таких данных мошенники делают массовые рассылки электронных писем. Они приходят от имени распространенных и известных брендов. Нередко бывают ситуации, когда пользователям приходят личные сообщения через сервисы. Это могут быть банковские организации или социальные сети. В письме прикрепляется ссылка, которая ведет на сайт мошенников. Внешне по оформлению она ничем не отличается от настоящего интернет-ресурса.

Главной целью фишинга является отправка работнику компании, который занимает должность бухгалтера, экономиста или юриста, письма с ссылкой. Люди, которые плохо разбираются в IT-сфере, часто открывают такие сообщения. Примером такого письма может быть название «Начисление премий за август». Сотрудник компании откроет такой Excel-файл и начнет изучать информацию. В документ заложен макрос, который является специально исполняемым кодом. Его прописывают злоумышленники. Когда сотрудник компании откроет такой файл, код начнет воровать трафик, копировать данные, открывать различные доступы.

Еще один распространенный вариант мошенничества в интернете – это cross site script. Главная суть заключается в том, что человек перенаправляется с правильного сайта на поддельный. Сегодня существуют различные вирусы, которые могут попасть сотрудникам компании по электронной почте с тестовой версией. Их могут доставить работники, которые пользуются сомнительными сайтами и скачивают информацию с них.

Также есть и хакерские атаки, которые работают через подбор цифрового пароля. Такой вид мошенничества не теряет своей актуальности на протяжении длительного времени. Многие люди, чтобы не забыть пароль, устанавливают легкие цифровые комбинации или дату своего рождения. Их легко подобрать, поэтому взламывать ничего не придется.

Многие предприниматели, когда замечают факт взлома данных, пытаются своими силами решить проблему. Но в результате этих действий они зачастую теряют конфиденциальную информацию своих клиентов. Сегодня не в каждой компании есть квалифицированный специалист, который имеет опыт и компетенцию, чтобы противостоять краже данных. Чтобы предотвратить взлом, необходимо также проводить работу с персоналом. Сотрудники должны обучаться и проходить необходимую аттестацию.

Некоторые предприниматели понимают ответственность и не открывают сомнительные письма. Они отправляют специалисту их на проверку. Но во многих компаниях случаются ситуации, когда кража данных происходит в результате отсутствия хороших и проверенных инструментов, которые смогли бы обеспечить высокий уровень защиты.

Дедик, dedik, dedicated — зачем нужен выделенный сервер

Если вы далеки от администрирования, то могли подумать, что Дедик и Брут — это два друга (или недруга?) с экзотическими именами. Но нет — слово «дедик» образовалось от английского dedicated, а точнее Dedicated server. Сленговое название «дедик» означает, как нетрудно догадаться, выделенный сервер. Опытные пользователи уже знают обо всех преимуществах физических серверов, но на всякий случай мы напомним.

Dedicated server — это, по сути, полноценный компьютер, расположенный в дата-центре провайдера в отдельной стойке и работающий 24 часа в сутки 7 дней в неделю. В отличие от виртуального хостинга, на нём не будут размещены сайты других клиентов, что, несомненно, даёт ощутимые преимущества:

— Все ресурсы принадлежат вам, что делает работу сервера более стабильной.

— Можно выбрать любую версию любой операционной системы и настроить её на своё усмотрение, а также установить необходимое ПО. 

— Вы будете осуществлять полноценное администрирование своего сервера с root-правами.

— Всё оборудование полностью изолировано и находится в отдельной стойке, что повышает безопасность и сохранность данных.

И, конечно же, на выделенном сервере нет ограничений на количество сайтов, баз данных и почтовых ящиков. Обычно «дедики» используются для крупных ресурсов или проектов, которым необходимо обеспечить бесперебойную работу даже при большом наплыве посетителей.

Но довольно теории, перейдём к практике. Представим, что ваш сайт вырос, просмотры растут, вы перенесли его на отдельный сервер — теперь можно радоваться новым возможностям и высокой пропускной способности. Так ли всё радужно на самом деле?

Немного о прокси серверах для брутфорса

Любой уважающий себя хакер прежде всего думает о том, как защитить себя

А так как то, что он делает, совершенно незаконно, то этому нужно уделить особое внимание. Мы уже знаем, что такое брут, а теперь хотелось бы сказать, как работает прокси-сервер

Он позволят оставаться незамеченным во время взлома учётных записей. Простыми словами, IP-адрес остаётся неизвестным. Это и есть основная защита людей, взламывающих чужие аккаунты.

Но это еще далеко не всё. После того как учётная запись была взломана, на неё нужно зайти. Но даже имея правильный логин и пароль, иногда сделать это непросто. Например, изменение IP-адреса влечёт отправку защитного кода на почту или телефон, такая система успешно используется компанией Valve, в частности для защиты их продукта под названием Steam. Конечно, уже стало понятно, для брута. Следовательно, мы можем войти в любой аккаунт и не вызвать совершенно никаких подозрений, что и делает преступление идеальным.

Цели брутфорса

Получение данных для входа в платежные системы грозит пользователям потерей денежных сумм и даже обретением долгов, так как злоумышленник может свободно распоряжаться финансами, выполнить перевод денег, оформить кредит.

Подбор паролей к веб-сайтам методом brute force открывает доступ к базам данных клиентов, электронным адресам, к использованию площадки в целях распространения вредоносных программ, рассылки спама и т.п.

Получив точку входа в удаленную компьютерную систему с помощью перебора паролей, злоумышленник может выполнять разные преступные действия от имени пользователя, а также воспользоваться его личными данными с целью шантажа, вымогательства, осуществить кражу секретной информации и денежных средств.

Объектами воздействия брутфорса становятся не только компьютеры и аккаунты рядовых пользователей интернета, но и сайты, серверы, рабочие станции коммерческих и банковских структур, различных организаций.

Что такое брут?

Брут (от англ. brute force — «грубая сила») в контексте аккаунтов обозначает процесс автоматизированного перебора возможных комбинаций логинов и паролей для доступа к определенному аккаунту или системе. В своей сути, брут является одним из методов взлома аккаунтов, основанном на переборе паролей.

Использование брута может быть направлено как на отдельные аккаунты, так и на массовый перебор паролей для доступа к большому количеству аккаунтов одновременно. Процесс брута нередко осуществляется при помощи специального программного обеспечения (как правило, в форме скриптов или специальных программ), которые автоматически генерируют на возможные комбинации исследуемых данных.

В зависимости от сложности паролей и длины логина, время проведения брута может варьироваться от нескольких секунд до нескольких лет. Естественно, что с каждым дополнительным символом в пароле увеличивается время его перебора.

Брут является одним из наиболее распространенных методов взлома аккаунтов, однако он имеет ряд ограничений и недостатков. Во-первых, брут требует большого количества времени на перебор всех возможных комбинаций. Во-вторых, для успешного брута необходимы достаточно слабые пароли, которые можно перебрать за разумное время. Для более сложных паролей может потребоваться использование мощных вычислительных ресурсов или других методов взлома.

Кроме того, проведение брута является незаконной деятельностью, которая может быть наказана по закону. Использование брута без согласия владельца аккаунта или системы может привести к серьезным юридическим последствиям.

Несмотря на свои недостатки и не законность, брут аккаунтов остается актуальной проблемой, требующей усиления защиты логинов и паролей, а также обновления безопасности систем и приложений.

Что такое брут и с чем его едят

Слово «брут» или «брутфорс» произошло от английского brute force, что в переводе означает «грубая сила». Но к дракам это не имеет никакого отношения. Метод brute force — один из способов взлома или хакерской атаки. Его суть состоит в простом переборе огромного числа различных сочетаний символов с расчётом на то, что однажды взломщик подберёт нужную комбинацию — ваш пароль.

Первые кандидаты на разоблачение — простые пароли вроде “12345678”, “admin”, “qwerty” и прочие. Следом за ними идут популярные слова, имена, названия, даты. Брутфорсеры используют специальные словари, в которых содержатся тысячи примеров наиболее частых паролей. И поверьте, “alexandr01” или “parol1324” точно не относятся к разряду надёжных.

К сожалению, перед взломом могут не устоять даже наборы случайных символов, составленные по всем правилам: с заглавными буквами и знаками препинания. Хотя их шансы, несомненно, гораздо выше. Но в нашем случае проблема с брутом не ограничивается только сложностью пароля.

Что же значит «брутить дедики», и чем опасен взлом? Ответ на первый вопрос мы уже получили — злоумышленник начнёт предпринимать многократные попытки авторизации на вашем сервере, перебирая различные пароли. Для этого он будет использовать один из известных протоколов удалённого доступа: обычно это SSH (Secure Shell) у Linux-серверов и RDP (Remote Desktop Protocol) у Windows Server

Брут отличается от DDoS-атаки тем, что хакеру важно сохранить работоспособность ресурса, поскольку чаще всего он собирается использовать его для своих нужд

Взлом причиняет вред уже на стадии попыток — система будет хранить логи неудачных входов, размер которых может достигать нескольких гигабайт. Если своевременно не очищать их, нагрузка станет довольно существенной. Чересчур активные и продолжительные атаки приведут к падению производительности и снижению скорости работы. При этом конфигурация, тип и версия операционной системы не играют роли — брутфорсу подвержены абсолютно любые серверы.

В случае успешного взлома хакер получает полный доступ к вашей удалённой машине, и далее возможны два варианта развития событий. Первый — злоумышленник начнёт «портить» ваши файлы и данные вплоть до их удаления, устанавливать вирусы и вредоносные программы. И второй — взломщик постарается вести себя как можно незаметнее, чтобы использовать сервер в своих целях. Например, для тех же DDoS-атак или для создания ботнета.

Как составляли и проверяли политики

Количество и классы символов. В основе всех политик лежали требования к длине пароля и числу классов: это буквы верхнего и нижнего регистра, цифры и специальные символы. Каждую политику исследователи обозначили формулой вида:

Эта политика требует пароль, который содержит три класса символов из четырех.

Все протестированные политики включали длину пароля не менее 8 символов. Получился примерно такой список политик: 1с8, 3c8, 4c8, 1с10, 1с12, 2с12, 3c12, 1с16.

Проверка по словарю. Требования к символам помогают генерировать более сложные пароли. Но некоторые пользователи могут соблюдать требования и все равно придумать слабый пароль. Например, для политик 4c8 и 1c16 можно создать предсказуемые варианты: 1Password! и passwordpassword. Чтобы этого избежать, политики часто комбинируют с поиском по словарям. 

Для словарной проверки нужен список часто используемых, предсказуемых или скомпрометированных паролей, а также сам алгоритм поиска по словарю. Например, можно искать точные совпадения в списке, а можно использовать нечеткий поиск, который найдет совпадения с разницей в регистрах или отдельных символах. Допустим, в словаре есть password. Нечеткий поиск также посчитает “словарными” пароли типа pa$$word или Passw0rd. 

В эксперименте использовались словари Xato и Pwned, а также разные алгоритмы поиска: 

• поиск полного совпадения со строками словаря без учета регистра – case-insensitive full-string comparison (cifs); 

• поиск полного совпадения со строками словаря с учетом регистра – case-sensitive full-string comparison (fs); 

• отделение цифр и специальных символов и последующий регистронезависимый поиск точно таких же строк в словаре (strip-cifs); 

• регистронезависимый поиск любых 5-символьных совпадений словарных фрагментов с фрагментами пользовательского пароля (ciss).

В сочетании с разными словарями получились такие варианты для проверки: Pwned-fs, Xato-cifs, Xato-strip-cifs, Xato-ciss и так далее. 

Количество попыток перебора. Один из методов оценки надежности пароля – сколько попыток сделает злоумышленник, прежде чем подберет пароль. Для такой проверки используются разные модели, в том числе нейронные сети. Минимальные требования к количеству и частоте попыток зависят от многих факторов, например, используемых средств защиты или характера атаки. В своей работе CMU рассматривают 2 вида атак:

• при онлайн-атаках хакер может перебирать пароли только при взаимодействии с сервером. Если отрубить доступ, продолжить попытки не получится.

• при офлайн-атаках хакер может подбирать пароли без обратной связи от сервера, то есть дольше. Это возможно, если у злоумышленников есть краденая база с хэшами паролей.    

Для оценки надежности в CMU использовали модели машинного обучения. С помощью базы данных скомпрометированных паролей нейронную сеть обучили предсказывать, какова вероятность подобрать пароль. Степень надежности определяли по количеству необходимых попыток и записывали формулой:

В этом случае считаем пароль надежным, если нейронка не угадала его за 1 млн попыток.

Гипотезы по совместному использованию методов. Исследователи использовали разные комбинации политик, чтобы ответить на вопросы:

1. Как проверка по словарю сочетается с политиками вида 1c8 и 3c8?

2. Как разные варианты проверок по словарю сочетаются с политикой вида 1с8?

3. Насколько разные политики по длине и классам от 1с8 до 3с12 выполняют требование надежности на уровне NN6?

4. Насколько проверка по словарю сочетается с проверкой с помощью нейронных сетей?

5. Насколько успешна проверка надежности на уровне NN8 и NN10 при разных требованиях только к длине пароля?

6. Как проверка по словарю сочетается с разными требованиями к числу классов символов (от 1с8 до 4с8)?

Получилась такая таблица проверки разных условий: 

Что используется для брутфорса

Подбирать пароли вручную долго и неэффективно. Поэтому у хакеров есть специальные приложения и алгоритмы действий, которые помогают при брутфорсе.

Специальное ПО. Программное обеспечение автоматически отправляет запросы с разными паролями, а иногда еще и генерирует их. Его работа остановится, если какой-либо пароль подойдет.

• Brutus. Что такое «Брут»? Небольшое приложение для брутфорса паролей от аккаунтов пользователей компьютера. Оно простое в настройке, но имеет ограниченный спектр применения.
• Brute Forcer. Утилита для взлома личных кабинетов сайтов, которая содержит менеджер баз паролей и возможность настройки полей.
• Metasploit. Многофункциональный инструмент для пентеста и взлома, который в том числе можно использовать и при проведении брутфорс-атак. Узнать о нем больше можно в статье. 
• Burp Suite. Еще одна многофункциональная программа для пентеста. В число возможностей входит и брутфорс, и другие методы взлома.

Специальное ПО для взлома может входить в дистрибутив Kali Linux. Это ОС для тестирования на проникновение и хакерства.

Базы паролей. Пароли можно генерировать автоматически. Тогда это будут случайные последовательности символов с заранее заданными настройками. Но так взлом может быть очень долгим. Если комбинация сложная, подбор пароля может занять дни или годы.

Поэтому хакеры пользуются базами — специальными наборами с популярными комбинациями. В них попадают пароли, которые были скомпрометированы злоумышленниками, и простые популярные комбинации вроде «111» или «qwerty».

Скомпрометированные пароли важны, потому что человек может пользоваться одним и тем же паролем в разных сервисах. Хотя при пентесте этот способ не слишком актуален.

Также базу можно выгрузить из системы, которую собирается атаковать пентестер. Для этого используется Metasploit или другие подобные программы. Но в таком случае пароль указывается в связке с логином, и подбирать его нет необходимости.

Социальная инженерия. Это комплекс методов для психологического «взлома» человека, способы так или иначе получить от него нужную информацию или доступ к ней.

Социальную инженерию можно применять, чтобы иметь общее представление о пароле пользователя, или, например, найти его логин. Базовые методы — узнать Ф.И.О., дату рождения, имена ближайших родственников и прочие данные, которые могут использоваться для доступа.

Подходы к бруту

Брут-аккаунт – это метод несанкционированного доступа к аккаунтам пользователей путем перебора всех возможных комбинаций логинов и паролей. Такой подход основан на предположении, что многие пользователи используют слабые пароли, которые можно угадать или подобрать.

Основными подходами к бруту являются:

1. Словарный брут – при этом подходе используется заранее составленный словарь со списком наиболее популярных паролей или с базой данных украденных паролей от других сервисов. Программа, осуществляющая брут, последовательно пробует все пароли из словаря на каждый из известных логинов. Если подобранный пароль совпадает с реальным паролем аккаунта, брут успешен.
2. Перебор символов – данный подход заключается в последовательном переборе различных комбинаций символов (цифр, букв верхнего и нижнего регистра, специальных символов). Программа, осуществляющая брут, начинает с минимальной длины пароля и постепенно увеличивает ее, пока не найдет соответствующую комбинацию пароля.
3. Брут на основе генерации паролей – при этом подходе программа генерирует пароли на основе определенных правил или шаблонов. Например, можно задать, что пароль должен состоять из шести цифр, начинаться с определенной комбинации цифр или длина пароля должна быть фиксированной. Программа генерирует пароли, соответствующие заданным правилам, и пробует их на аккаунтах.

Каждый из этих подходов может быть эффективен в зависимости от сложности паролей, политики безопасности сервиса и дополнительных механизмов защиты от брута.

Однако, несмотря на то, что подобные методы позволяют осуществить брут, ведущие сервисы активно применяют различные меры защиты от такого вида атак. Это может быть ограничение числа попыток ввода пароля, двухфакторная аутентификация, использование капчи и другие методы, которые усложняют или делают брут практически невозможным.

Тем не менее, важно помнить, что использование надежного пароля и следование базовым правилам безопасности при регистрации и входе в сервисы – дополнительная гарантия защиты от брута и несанкционированного доступа

Анализ реальных случаев

Анализируя практические примеры применения метода перебора паролей, можно глубже понять его опасности и определить эффективные меры защиты

Важно рассматривать конкретные инциденты, чтобы понять, как функционирует атака brute force и как можно защищаться от нее в реальных условиях

Исследования показывают, что многие атаки brute force происходят по причине уязвимостей в системах безопасности, слабых паролей и неправильной настройки защитных механизмов.

Пример 1: Взлом аккаунтов социальных сетей

• Ситуация: Злоумышленники массово атаковали аккаунты пользователей одной социальной сети.
• Метод: Применение алгоритмов brute force для подбора комбинаций паролей.
• Результат: Несколько тысяч учетных записей были взломаны.

Этот случай учит нас, что регулярное обновление паролей и использование сложных комбинаций могут существенно снизить риск успешной атаки.

Пример 2: Компании и корпоративные системы

Ситуация: Корпорация подверглась атаке, связанной с взломом учетных записей сотрудников.
Метод: Путем перебора паролей злоумышленники получили доступ к важной информации.
Результат: Компании пришлось принять значительные меры по защите данных и обновлению своих политик безопасности.

Для корпоративных систем особенно важно применять многофакторную аутентификацию, чтобы усложнить задачу атакующим и предотвратить несанкционированный доступ

Пример 3: Взломы интернет-банкинга

• Ситуация: Пользователи интернет-банкинга стали жертвами brute force атак.
• Метод: Злоумышленники массово подбирали пароли для получения доступа к банковским счетам.
• Результат: Кражи средств с банковских счетов и массовые финансовые потери.

Этот пример подчеркивает необходимость серьезного подхода к разработке систем безопасности в финансовом секторе. Внедрение дополнительных уровней проверки и ограничение числа попыток ввода пароля могут значительно уменьшить вероятность успешной атаки brute force.

Реальные случаи показывают важность понимания механизма brute force атак и активного внедрения защитных мер. Использование сложных паролей, регулярное обновление данных и применение многофакторной аутентификации – это ключевые шаги к защите от атак методом подбора паролей