можно ли взломать яндекс почту
Сколько стоит взломать почту: небольшой анализ рынка хакеров по найму
Адрес электронной почты — ключевой элемент защиты личных данных. На него часто завязаны другие учетные записи пользователя. Завладев чужим e-mail, злоумышленник в состоянии восстановить или сбросить пароли связанных со взломанной учеткой сервисов. Если человек не использует двухфакторную аутентификацию (2FA), то он практически беззащитен. Двухфакторная аутентификация тоже не панацея, но здесь киберпреступнику потребуются дополнительные усилия — нужно перевыпустить SIM-карту или перехватить код аутентификации. Реализовать перехват достаточно сложно, поскольку коды обычно присылают в SMS или приложении-аутентификаторе.
Скриншот одного из сайтов, предлагающих услуги по взлому почтовых аккаунтов
Как бы там ни было, взлом почтовых ящиков — востребованная услуга. Интересно, что часто ее заказывают не прожженные преступники, а подозрительные супруги или влюбленные. Муж или жена просто хотят быть в курсе онлайн-переписки своей половинки, поэтому заказывают взлом. Используют подобную возможность и конкуренты по бизнесу — ведь при успешном взломе можно получить доступ к секретам соперника.
Взлом почтового ящика в терминологии ИБ считается «таргетированной» или «целевой» атакой. Такими вещами занимается государственная разведка вроде АНБ и ГРУ, но есть и черный рынок услуг для простых смертных, где можно заказать взлом любого ящика за скромную плату. Это рынок «хакеров по найму» (hack-for-hire). Он активно процветает в РФ, поскольку здесь, в отличие от западных стран, за такие мелкие преступления не грозит уголовная ответственность.
Несмотря на популярность, инфраструктура этого рынка не слишком хорошо изучена. О том, как работают эти хакеры и насколько большую угрозу они представляют, известно мало. Но подробности постепенно появляются. Так, относительное небольшое исследование рынка провела Ариана Мириан из Калифорнийского университета в Сан-Диего. Результаты опубликованы на конференции «WWW’19: The World Wide Web Conference» и в научном журнале «Communications of the ACM» (December 2019, Vol. 62 No. 12, Pages 32-37, doi: 0.1145/3308558.3313489).
Сколько стоит такая услуга?
Цены на взлом почтовых ящиков и аккаунтов. Иллюстрация: Калифорнийский университет Сан-Диего
При помощи подставных учетных записей Ариана Мириан связалась с исполнителями и заказала взлом учеток подставных «жертв». На каждом аккаунте была включена двухфакторная аутентификация по SMS.
Методика проведения эксперимента
Эксперимент неплохо продумали. Каждый из ящиков электронной почты, задействованных в исследовании, наполнили из базы электронных писем Enron. Кроме того, участники проекта создали веб-страницы, рекламирующие небольшой бизнес, которым владела или где работала жертва.
Домены купили с аукциона, чтобы обеспечить историю каждой подставной личности. Через базу WHOIS эту веб-страницу связали с адресом электронной почты жертвы, а также с адресом электронной почты вымышленного партнера. В общем, исследователи продумали и реализовали качественные «ловушки» для определения всех векторов атаки.
Дополнительно были созданы страницы в Facebook для каждой жертвы, чтобы узнать, будут ли хакеры использовать их в своих атаках. Все элементы на странице Facebook были приватными (сторонний пользователь не смог бы увидеть эти элементы), за исключением профиля с указанием веб-страницы жертвы (как реклама бизнеса).
Активность каждого почтового ящика автоматически логировалась. Благодаря помощи Google удалось получить логи любой активности входа в Google-аккаунты жертв. В этих логах записаны попытки входа в учетную запись и IP-адреса, попытки брутфорса, а также активация двухфакторной аутентификации при подозрительной попытке входа.
Наконец, анализировался весь сетевой трафик на сайт каждой из «жертв». Если злоумышленник заходил на сайт со страницы Facebook, это отражалось в записи трафика.
Действия хакеров, которые пытались взломать аккаунты, отслеживались в течение нескольких недель. На деле оказалось, что некоторые «взломщики» — обычные мошенники, которые брали оплату и ничего не делали. Другие брали оплату постфактум, то есть соглашались на получение денег в случае успешного взлома. Но и они, получив задание, ничего не предпринимали. Исследователи отмечают также, что «работа с клиентами» у сервисов по взлому e-mail организована крайне слабо: кто-то вообще не отвечает на запросы, кто-то отвечает, но с большой задержкой.
Результаты
Только 5 из 27 хакеров стали выполнять условия задачи, поставленной заказчиком.
Эксперимент и логи позволили изучить схему действий, которую злоумышленники используют для взлома аккаунта. В каждом из пяти случаев, когда хакеры брались за выполнение задания, захват аккаунта завершался «успехом», но только благодаря содействию исследователя.
Злоумышленники тем или иным образом приводили «жертву» к фишинговой странице, где нужно было ввести пароль или код двухфакторной аутентификации от своей учетки. Участники проекта действовали как обманутые пользователи и вводили все необходимые данные. После этого хакеры бодро рапортовали об успехе.
Интересно, что ни один наемный киберпреступник не пытался брутфорсить учетки, не было обращений к учетным записям на Facebook или к электронной почте партнера. Один из пяти исполнителей отправил жертве вредоносный исполняемый файл по почте. Остальные использовали фишинг в качестве основного вектора атаки.
Приманки, которые использовали хакеры для фишинга: письма якобы от Google (выделены зеленым), государственной службы (красным), из банка (оранжевым), от незнакомца (темно-синим) или от знакомого человека (голубым). Крестик соответствует успешному взлому аккаунта. В правой колонке указано количество писем. Иллюстрация: Калифорнийский университет Сан-Диего
Пример поддельного письма из суда. Иллюстрация: Калифорнийский университет Сан-Диего
Фишинговая страница, похожая на окно ввода пароля Gmail. Источник: Калифорнийский университет Сан-Диего
Все атаки начинались с письма-приманки от авторитетной организации или лица. Это должно было успокоить жертву и привести ее к необходимому действию — переходу по ссылке на фишинговый ресурс. Злоумышленники использовали разные подставные фигуры: знакомого человека жертвы, крупный банк, незнакомца, государственную организацию и Google. К письму прилагалось изображение или фишинговая ссылка.
В среднем злоумышленники отправили 10 сообщений в течение 25 дней, используя разные предлоги, как показано на диаграмме выше. Самый популярный прием — подделать письмо Google, затем следуют письма от партнеров и подставные e-mail от незнакомцев.
Нажав на фишинговую ссылку, жертва попадает на целевую страницу, которая выглядит как страница входа в аккаунт Google. После ввода пароля открывается страница с запросом на ввод кода 2FA. Все взломщики, которые получили доступ к учетной записи, достигли желаемого при помощи фишинга. Никаких особенно сложных технических приемов и изощренных атак не было.
Как не стать жертвой киберпреступников
Любой почтовый ящик можно взломать, если жертва проявит неосторожность и перейдет по фишинговой ссылке. Возможно, профессионалы при условии острой необходимости или крупного вознаграждения способны взломать учетку без фишинга, но в ходе исследования подобные методы не использовались. Конечно, здесь и сама выборка была не очень большой.
Чтобы защитить себя и родственников от подобных атак, специалисты рекомендуют использовать для 2FA аппаратный USB-ключ безопасности, а также быть внимательными — это стандартная рекомендация.
Предпринимают меры по защите пользователей и поставщики услуг электронной почты. Компания Google ввела дополнительную эвристику при логине пользователя. Также определяются и блокируются попытки автоматического входа в систему. К слову, после этих действий Google два сервиса по взлому, к которым ранее обращались исследователи, подняли цену на свои услуги вдвое.
Защита вашего аккаунта
Яндекс делает все, чтобы защитить вас с технической стороны — злоумышленнику очень сложно притвориться вами, чтобы получить доступ к вашему аккаунту. Но может оказаться, что взломщику проще угадать ваш пароль или узнать ответ на контрольный вопрос, чем пытаться взломать Яндекс.
Зачем кому-то взламывать мой аккаунт?
Получив доступ к Яндекс ID, взломщик может притвориться вами на любом сервисе Яндекса, например рассылать спам с вашего адреса Яндекс.Почты. А если в Почте остались адреса ваших знакомых, коллег или партнеров, мошенники могут разослать от вашего имени компьютерные вирусы или просьбы одолжить деньги. Защита вашего аккаунта нужна не только вам, но и тем, кто вам доверяет.
Если же вы активно используете сервисы Яндекса или привязываете к Почте ценные для вас аккаунты на других сайтах, взломщик может нанести еще больший ущерб — потратить ваши деньги или взломать аккаунт в любимой игре.
Обратите особое внимание на защиту аккаунта, если:
вы пользуетесь платными сервисами Яндекса ( Директ, Музыка, Такси и другие сервисы, на которых вы что-то оплачивали или вводили данные своей банковской карты);
ваш адрес на Яндексе привязан к платным сервисам других компаний, например AppStore или Steam;
на вашу Яндекс.Почту приходят письма от банков, которые управляют вашими деньгами, или любые другие письма, которые вы хотели бы сохранить в секрете;
вы указали адрес на Яндексе при регистрации какого-либо игрового аккаунта (World of Tanks, World of Warcraft и т. д.);
ваш адрес на Яндексе привязан к профилю социальной сети — ВКонтакте, Facebook и тому подобных;
вы использовали свой адрес Яндекс.Почты, чтобы зарегистрироваться в какой-либо платежной системе (PayPal, WebMoney и т. п.).
Даже если вам кажется, что взламывать ваш аккаунт незачем, не стоит недооценивать проблемы, к которым это может привести.
Как могут взломать ваш аккаунт
Чтобы войти в ваш аккаунт, злоумышленник может попробовать:
Угадать ваш пароль
Простой пароль несложно угадать. Например, если вас зовут Валентина и вы родились в 1975 году, пароль valentina1975 точно проверят. А если ваш пароль — один из тех, которые часто используют (например, qwerty или password1 ), злоумышленнику не понадобится много времени, чтобы перебрать все простые пароли и найти ваш.
Чтобы ваш пароль трудно было угадать, сделайте его посложнее по нашим рекомендациям.
Узнать ваш пароль
Сразу после регистрации ваш пароль не знает никто, кроме вас. Но, вольно или невольно, вы можете его раскрыть:
Вы можете поделиться паролем с родственниками, друзьями или коллегами. Даже если вы им полностью доверяете, секрет, известный не только вам — это уже не секрет.
Вы можете отправить свой пароль в ответ на поддельное письмо или SMS. Злоумышленник может подделать сообщение от Яндекса, в котором потребует прислать ваш пароль, хотя Яндекс никогда не запрашивает ваш пароль таким образом.
Подробнее о мошеннических письмах можно узнать в разделе Фишинг (интернет-мошенничество) в Справке Яндекс.Почты.
Чтобы этого не произошло, не вводите пароль, пока не убедитесь, что сайт настоящий.
Вы можете использовать один и тот же пароль на разных сайтах. Если взломщик узнал ваш пароль на каком-то одном сайте, он точно попробует войти с ним на все популярные сервисы, в том числе в ваш аккаунт на Яндексе.
Чтобы этого не произошло, придумывайте новый пароль при каждой регистрации. Если вы зарегистрированы на множестве сервисов, запомнить все пароли может быть сложно. В этом случае попробуйте воспользоваться менеджером паролей, но не забудьте изучить отзывы на выбранную программу или расширение, прежде чем доверять ей ваши данные.
Ваш компьютер может быть заражен вирусом, который следит за вашими действиями. С помощью такого вируса злоумышленник может увидеть все, что вы вводите с клавиатуры, в том числе ваш логин и пароль на Яндексе.
Чтобы этого не произошло, установите антивирус и регулярно обновляйте его. Бесплатный антивирус можно выбрать из нашего списка.
Взломать ваш аккаунт в социальной сети
Для аккаунтов, перечисленных на вашей странице Социальные сети, может быть разрешен вход в Яндекс ID. Это значит, что если злоумышленник взломает ваш аккаунт в соцсети, он сразу сможет войти в ваш аккаунт на Яндексе.
Чтобы этого не произошло, постарайтесь защитить ваш аккаунт в социальной сети так же, как Яндекс ID: придумайте сложный пароль для входа, по возможности подтвердите номер телефона.
Взломать ваш дополнительный адрес почты
На странице Адреса электронной почты перечислены все адреса, привязанные к вашему Яндекс ID. Все адреса, кроме вашей Яндекс.Почты, можно использовать, чтобы восстановить доступ: Яндекс пришлет код для восстановления в письме. Если злоумышленник взломал ваш дополнительный адрес, он может «восстановить» доступ к вашему аккаунту на Яндексе, указав этот адрес.
Угадать или узнать ответ на ваш контрольный вопрос
Если вы не используете номер телефона или дополнительный адрес почты для восстановления доступа, взломщику нужно будет только угадать или узнать ответ на ваш контрольный вопрос.
Ответ, который трудно угадать, можно придумать с помощью наших рекомендаций. Но также нужно опасаться мошенников, которые могут попытаться узнать ответ на ваш контрольный вопрос обманом. Например, если контрольный вопрос — ваше любимое блюдо, вам могут написать под видом социологического опроса:
Пример мошеннического письма
Я являюсь представителем крупного сайта, посвященного гастрономии. Чтобы лучше понимать вкусы аудитории, мы проводим простой социологический опрос: какое Ваше любимое блюдо?
С уважением, автор проекта fake-food.ru
Как вы можете защитить свой аккаунт
Чтобы защитить свой аккаунт от взлома или кражи, по возможности привяжите к Яндекс ID номер телефона или включите двухфакторную аутентификацию. После этого безопасность вашего аккаунта перестанет зависеть исключительно от пароля и можно будет проще решить проблемы с доступом.
Если вы не хотите включать двухфакторную аутентификацию, постарайтесь защитить ваш пароль:
Придумайте сложный пароль
Пароль, который будет сложно угадать или подобрать, можно придумать с помощью наших рекомендаций.
Никому не сообщайте свой пароль
Сразу после регистрации ваш пароль не знает никто, кроме вас. Чтобы случайно не раскрыть его злоумышленнику, никому не сообщайте свой пароль и не вводите его на подозрительных сайтах.
Для программ и приложений (например, почтовых клиентов) безопаснее создавать специальные пароли.
Не используйте ваш пароль на других сервисах
Взломщик, который узнал ваш пароль на одном сервисе, обязательно проверит, подходит ли этот пароль к другим популярным сайтам, социальным сетям и играм.
Если вы зарегистрированы на множестве сервисов, запомнить все пароли может быть сложно. В этом случае попробуйте воспользоваться менеджером паролей, но не забудьте изучить отзывы на выбранную программу или расширение, прежде чем доверять ей ваши данные.
Защитите свои средства восстановления доступа
Постарайтесь сделать так, чтобы взломщик не смог «восстановить» доступ к вашему аккаунту:
Если вы подтвердили номер телефона, следите за тем, чтобы он оставался актуальным. Когда вы меняете номер, сразу измените его на странице Номера телефонов.
Если вы используете для восстановления доступа только контрольный вопрос, ознакомьтесь с нашими рекомендациями о том, как сделать контрольный вопрос более надежным.
Что делать, если вас взломали
Если вы заметили что-то странное в работе с Яндексом (например, знакомые получают от вас письма, которые вы не отправляли, или в истории входов появились незнакомые места или программы), возможно, ваш аккаунт взломан.
Чтобы вернуть контроль над аккаунтом, следуйте нашим инструкциям.
Как придумать надежный пароль
Хороший пароль — такой, который сложно угадать или подобрать.
Чтобы составить сложный пароль, используйте:
Не допускаются только
Какие пароли ненадежные?
Что не стоит использовать в качестве пароля:
Пароли, которые вы уже используете на других сайтах или приложениях. Если кто-то узнал, например, ваш пароль к социальной сети, с этим паролем попробуют войти не только в Яндекс, но и в другие соцсети, почтовые сервисы, онлайн-банки.
Персональные данные, которые вы могли указать где-нибудь в интернете: имя, день рождения, номер паспорта и т. п. Даже девичью фамилию матери, которую, казалось бы, никто не знает, использовать не стоит.
Способы восстановления доступа
Если при регистрации аккаунта вы отказались подтвердить номер телефона, ваш аккаунт защищен только контрольным вопросом. В сущности, ответ на контрольный вопрос — это еще один пароль, который можно узнать или угадать так же, как и обычный пароль. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.
Если вам приходится использовать контрольный вопрос, постарайтесь защитить его.
Двухфакторная аутентификация
Устройство на базе Android или iOS позволяет вам установить приложение Яндекс.Ключ — с ним вам не придется запоминать и защищать пароль. Для каждого входа в Яндекс приложение генерирует одноразовый пароль, который перестанет работать сразу после того, как вы его введете.
Двухфакторная аутентификация – это самый надежный способ защиты Яндекс ID. Для взлома такой защиты необходимо, кроме прочего, украсть ваше устройство и разблокировать его.
Подробнее об этом способе защиты читайте в разделе Двухфакторная аутентификация.
Номер телефона
Защищенный номер телефона позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправит вам в SMS. Не забывайте изменить защищенный номер, если вы больше не можете читать сообщения, которые на него приходят.
Даже если злоумышленник сможет войти в ваш аккаунт, у вас будет как минимум 30 дней на то, чтобы вернуть себе контроль над аккаунтом и сменить пароль.
Подробнее об этом способе защиты читайте в разделе Привязка телефонных номеров.
Дополнительный адрес почты
Дополнительный адрес позволяет восстановить доступ к вашему аккаунту с помощью кода, который Яндекс отправляет на этот адрес в письме. Злоумышленник, который смог войти в ваш аккаунт, может сравнительно легко отвязать дополнительный адрес от Яндекс ID, чтобы помешать вам вернуть контроль над аккаунтом. Поэтому мы рекомендуем по возможности настроить более надежный способ восстановления доступа.
Если вы используете дополнительный адрес, злоумышленник, взломав его, сможет получить доступ к вашему Яндекс ID. Дополнительный адрес нужно хорошо защитить: придумать сильный пароль, по возможности включить двухфакторную аутентификацию или привязать номер телефона.
Подробнее об этом способе защиты читайте в разделе Дополнительные адреса почты.
Контрольный вопрос
Если вы не используете другой способ восстановления доступа, ваш аккаунт будет защищен от взлома только контрольным вопросом. Поэтому ответ на контрольный вопрос подобрать или угадать должно быть так же сложно, как и пароль.
На контрольный вопрос лучше указывать ответ, известный только вам. Девичья фамилия матери, любимое блюдо, кличка домашнего животного, номер телефона или квартиры — все эти сведения могут быть известны вашим знакомым или даже общедоступны (например, если вы указали их в социальной сети). Попробуйте указать собственный контрольный вопрос, ответ на который вам будет легче запомнить, а злоумышленнику — сложнее угадать.
Как взломать двухфакторную аутентификацию Яндекса
Наконец-то Яндекс запилил двухфакторную аутентификацию. Я не ждал подвоха, но, похоже, зря.
Как работает двухфакторная аутентификация Яндекса?
В браузере отображается QR-код, юзер сканирует его специальным приложением, браузер сразу это чувствует и авторизует пользователя.
QR-код расшифровывается в ссылку вот такого вида:
Внутри всего этого веб-страничка с QR-кодом постоянно опрашивает сервер в ожидании авторизации:
Как только пользователь отсканирует приложением Яндекса QR-код, следующий такой запрос отдаст браузеру куку.
В чем здесь проблема?
Для получения куки используется тот же ID, что закодирован в QR-коде.
Обратите внимание на параметр track_id в ссылке и такой же параметр в POST-запросе.
Это значит, что злоумышленник может подсмотреть из-за плеча пользователя его QR-код, достать из него ID сессии, и, притворившись браузером, выполнять часто-часто такой же запрос.
И если хакер раньше жертвы успеет получить сессию — он сразу окажется в аккаунте пользователя.
Я написал на коленке простенькое приложение под Android, которое демонстрирует эту уязвимость.
Достаточно встать за спиной жертвы и успеть отсканировать qr-код раньше нее, пока жертва запускает приложение и вводит пин-код.
После того, как она авторизуется, приложение покажет вам почтовый ящик жертвы.
Приложение декодирует QR-код с помощью библиотеки github.com/dm77/barcodescanner, быстро-быстро делает POST запросы к Яндексу, получает куки, подставляет их в WebView и открывает в нем Яндекс.Почту.
Для успешной атаки требуется относительно быстрый интернет на смартфоне (чтобы успеть получить cookie раньше жертвы) и желательна хорошая камера на устройстве. У меня код успешно распознавался с расстояния до метра, при этом мои подопытные друзья ничего не замечали и очень удивлялись этому фокусу, когда я им показывал их почту на своем телефоне.
Подозреваю, что меня взломали
Если вы заметили что-то странное в работе с Яндексом (например, знакомые получают от вас письма, которые вы не отправляли, или в истории входов появились незнакомые места или программы), возможно, ваш аккаунт взломан.
Защитите компьютер от вирусов
Проверьте настройки доступа и смените пароль
Взломщик, которому удалось войти на Яндекс от вашего имени, может подключить свои средства восстановления и получить доступ к вашему аккаунту, даже если вы смените пароль. Следуйте инструкции ниже, чтобы этого избежать.
Если вы не можете войти в аккаунт
Восстановите доступ. Если сделать это самостоятельно не получается, заполните анкету для службы поддержки.
Если вы можете войти в аккаунт
Убедитесь, что взломщик не может получить доступ к вашему аккаунту, и смените пароль:
Убедитесь, что на странице Телефонные номера указаны только ваши номера и не запущено изменение или удаление защищенного номера.
Если вы еще не привязали номер телефона к своему аккаунту, сделайте это. Актуальный номер телефона защищает аккаунт надежнее, чем адрес почты или контрольный вопрос.
Проверьте Почту и Диск
Если аккаунт взломали, убедитесь, что в нем не осталось вредоносной активности.
Просмотрите журнал посещений. Если Почта взломана (входил кто-то посторонний):
Просмотрите историю событий. Если Диск взломан, перейдите в Корзину и при необходимости восстановите удаленные файлы.
О том, как ваш аккаунт могли взломать, и о способах защиты читайте на странице Защита вашего аккаунта.
Подозреваю, что меня взломали
Если вы заметили что-то странное в работе с Яндексом (например, знакомые получают от вас письма, которые вы не отправляли, или в истории входов появились незнакомые места или программы), возможно, ваш аккаунт взломан.
Защитите компьютер от вирусов
Проверьте настройки доступа и смените пароль
Взломщик, которому удалось войти на Яндекс от вашего имени, может подключить свои средства восстановления и получить доступ к вашему аккаунту, даже если вы смените пароль. Следуйте инструкции ниже, чтобы этого избежать.
Если вы не можете войти в аккаунт
Восстановите доступ. Если сделать это самостоятельно не получается, заполните анкету для службы поддержки.
Если вы можете войти в аккаунт
Убедитесь, что взломщик не может получить доступ к вашему аккаунту, и смените пароль:
Убедитесь, что на странице Телефонные номера указаны только ваши номера и не запущено изменение или удаление защищенного номера.
Если вы еще не привязали номер телефона к своему аккаунту, сделайте это. Актуальный номер телефона защищает аккаунт надежнее, чем адрес почты или контрольный вопрос.
Проверьте Почту и Диск
Если аккаунт взломали, убедитесь, что в нем не осталось вредоносной активности.
Просмотрите журнал посещений. Если Почта взломана (входил кто-то посторонний):
Просмотрите историю событий. Если Диск взломан, перейдите в Корзину и при необходимости восстановите удаленные файлы.
О том, как ваш аккаунт могли взломать, и о способах защиты читайте на странице Защита вашего аккаунта.