Блогер Антон Носик рассказал, зачем нужны страшилки о "взломе Яндекса"
История про выложенные в Сети за один день миллион паролей к
Яндекс.Почте и 4,6 млн паролей к ящикам Mail.Ru — довольно
примечательная. В чистом виде пример виртуального несобытия, которое на
практике не имеет никаких серьезных последствий ни для кого (ни для
сервисов, ни для пользователей, ни для бизнес-процессов), но способно
сгенерировать бесконечный поток леденящих душу заголовков, новостных
сюжетов и тревожных "комментариев эксперта".
Превыше сомнения известно про обе выложенные в Интернете базы, что они
не являются ни продуктом взлома серверов, ни результатом внутренней
утечки (например, через уволившегося обиженного сисадмина или
окопавшегося в техподдержке бунтаря-анонимуса). Базы эти собирались
несколько лет, методом фишинговых атак и троянских рассылок в адрес
конечных пользователей, чьи пароли утекали к похитителю в случае
неосторожного обращения с такими файлами и ссылками. Основная масса
присутствующих там логинов/паролей выкладывалась в Интернете ранее, и
техподдержкой обоих почтовых сервисов эти базы уже отмониторены в
прошлом. Новые скомпрометированные аккаунты составили в обоих списках
5-10% от общего числа...
В том, что такие базы вообще собираются и пополняются, никакой
неожиданности или новости нет. Ежедневно в Интернете рассылаются сотни
миллионов троянских вирусов и фишинговых ссылок, и если хоть 0,1% этого
спама достигает цели, это означает хищение миллионов паролей в месяц,
каждый месяц. Зачем их воруют? Затем же, зачем воруют любые другие ключи
на свете. Чтобы получить доступ к чужому имуществу — в данном случае,
цифровому. Как можно воспользоваться чужими аккаунтами, подобрав к ним
ключи? Не хочу вдаваться в подробности, но почтовые ящики могут
открывать доступ к электронным кошелькам, отчетам и паролям систем
электронного банкинга. Кроме того, зараженные аккаунты используются для
отправки спама и дальнейшей рассылки троянов и фишинговых ссылок по их
же контакт-листам.
Это малоприятная и презренная уголовщина, но в мотивации тех, кто ею
занимается, нет никакой загадки. В практике российского правоприменения
"увод" чужих аккаунтов и электронных денег не считается преступлением и
не подлежит расследованию. Такая практика противоречит сразу двум
статьям действующего УК (272 и 273), но нашим силовикам на законы
плевать. Попробуйте подать заявление, что ваш аккаунт взломали — и очень
увлекательно проведете месяц жизни. Сначала выяснится, что у
уполномоченного подразделения МВД вообще нет практики приема заявлений
от граждан. Потом, после долгих скандалов, заявление примет участковый
по месту жительства и пообещает переслать по назначению. Если вы на этом
успокоитесь, то заявление ваше сгинет. Если же будете писать кляузы,
заявление снова отыщется через месяц, и вы получите отписку от
Управления "К": извините, с момента взлома прошел месяц, следы искать
поздно.
О том, что процедура борьбы с киберпреступностью в России именно такова,
знают не только потерпевшие, но и уголовники. Поэтому поток троянов и
фишинговых ссылок в Рунете с каждым годом растет, а параллельно ширится и
крепнет экспорт подобного криминала в страны, где он преследуем и
наказуем. Зарубежные ведомства по борьбе с киберкриминалом, пытаясь
пресекать деятельность российских преступных синдикатов, сталкиваются с довольно откровенным крышеванием этих синдикатов по линии ФСБ.
Вернемся, однако же, к выложенным в Интернете базам паролей
пользователей Яндекса и Mail.Ru. Зачем эти базы собирались — понятно.
Как и зачем их изначально планировали использовать — тоже понятно. Но
вот кому понадобилось их вываливать в открытый публичный доступ в один и
тот же день — загадка. Потому что сам по себе акт вываливания означает,
что для нужд потрошения кошельков и прочего data mining все адреса в
этих базах единовременно спалились. Эти аккаунты чохом, прямо по списку,
заморозили не только Яндекс, Mail.Ru и их платежные системы, но даже и соцсеть вКонтакте от греха ограничила доступ ко всем своим учетным записям, зарегистрированным на эти адреса электронной почты.
Можно, конечно, предположить, что кто-то из корифеев российского фишинга
сошел с ума, возжаждал анонимной славы, или решил спасти миллионы
соотечественников от самого себя. Но это все в логике бреда. Можно также
допустить, что эти вбросы призваны были повлиять на курс бумаг MLRYY на
Лондонской бирже и YNDX на NASDAQ, но над обесцениванием этих бумаг так успешно трудится политическое руководство страны, что хакерам смешно вступать в соревнование.
Остается ровно одно рациональное объяснение — в точности такое же, как у
московского футбольного погрома летом 2002 года. Тогда готовилось
принятие Думой ФЗ о противодействии экстремистской деятельности, и
кому-то из пиарщиков пришло в голову, что картинки с горящими киосками и
перевернутыми троллейбусами в центре Москвы хорошо помогут настроить
общественное мнение в пользу подобных мер. Это были романтические
времена, когда общественное мнение кого-то в России еще заботило (ну
или, по крайней мере, можно было освоить бюджеты на манипуляции).
Сегодня времена изменились, о реальных настроениях улицы больше не
задумываются, зато власть и обслуживающая ее рать политтехнологов
намертво присела на иглу телевизионного мифотворчества. История про
миллионы паролей, якобы украденных при "взломе" сервисов Яндекса и
Mail.Ru, вписывается в этот тренд не хуже байки про распятого в Донецке мальчика.
Если кто-то решил покормить дорогих российских телезрителей страшилками
про уязвимость негосударственных веб-почт — значит, мы скоро услышим о
планах государства по решению этой проблемы.
Осталось только угадать, к внесению какого нового законопроекта или
постановления правительства приурочен вброс. Основных вариантов два.
Возможно, нас ждет какая-нибудь новая несусветная инициатива в сфере так
называемой охраны персональных данных россиян. Охранять их
будут, конечно же, не от крышуемых спецслужбами фишеров и рассылателей
вирусов. И не от коррумпированных чиновников, сквозь пальцы которых
утекли в публичный доступ все мыслимые базы МГТС, ГИБДД, БТИ, ЦБ РФ и
ЕГРЮЛ со всеми мыслимыми персональными данными. Доступ всех этих жуликов
к нашим персональным данным будет только расширен. А защищать нас будут
от мировой закулисы, АНБ, всемирного жидобандеровского заговора и
происков инопланетян. Для этого можно, например, попробовать запретить
россиянам сообщать свои персональные данные сайтам и серверам, не
имеющим соответствующей лицензии ФСБ. Или использовать анонимайзеры. Или
без паспорта в Интернет ходить. Впрочем, предугадывать полет казенной
фантазии — дело неблагодарное.
Другой вариант, более "вегетарианский", состоит в том, что где-то во
власти согласован проект очередного распила бюджетных денег на
разработку цифрового аналога "Почты России". С поддержкой кириллических
адресов и строгим соблюдением всех требований СОРМ. Для обоснования
эпической сметы, куда заложена прибыль длинной цепочки посредников между
государством и его айтишными подрядчиками, нужны страшилки — вот их и
вбрасывают.
Какая из этих версий правильная, мы довольно скоро узнаем. Будь то новый
ворох запретов, или новый айтишный распил — в ближайшие недели нам о
нем объявят.
Что же до пользователей, пароли которых утекли в открытый доступ, им
можно лишь посоветовать впредь относиться к своим данным аккуратнее. Не
ходить по незнакомым ссылкам со стремным адресом, не открывать
аттачменты из "писем счастья", придумать себе сложный пароль и менять
его регулярно, не дожидаясь взломов и утечек. Ну и, разумеется,
использовать все те возможности для дополнительной защиты аккаунтов,
которые сегодня предоставляются любой сколько-нибудь серьезной
многопользовательской площадкой.