Взлом камеры видеонаблюдения, особенности и секреты

Ставим цели

К счастью, мы живем в то прекрасное время, когда от желаемого до действительного — пара строчек кода. Давай проверим, чем нам может помочь современный мобильный телефон на базе ОС Android.


Сегодня мы напишем маленькую программу, которая в фоновом режиме будет собирать из окружающего пространства важные для нас данные, а затем отправлять их на указанный интернет-ресурс.

В статье из позапрошлого номера «Повелитель ботов на Android» мы написали хорошее и полезное приложение, но у него был один недостаток: его нельзя запустить для работы в фоне и пойти заниматься своими делами. Все дело в так называемом жизненном цикле приложения (Activity lifecyсle). Советую изучить официальные материалы по теме, а пока коротко скажу так: как только система видит, что пользователь перестал работать в приложении, оно становится в очередь на выгрузку из памяти для освобождения ресурсов под другие задачи. Поэтому, если мы хотим денно и нощно следить за окружающим миром с помощью телефона, придется действовать по-другому.

Пусть наша программа периодически самостоятельно запускается, делает фотографию с фронтальной камеры и пишет звук с микрофона, после чего полученные данные должны отправляться в интернет на указанный нами сервер. Для большей гибкости включим в нее возможность менять настройки поведения, периодически загружая из интернета конфигурационный файл.

Рис. 1. Блок-схема приложения 

Какие камеры взламывают чаще?

Начнем с главного: да, получить доступ ко многим камерам довольно легко, поэтому вероятность взлома существует. Однако хакеры чаще атакуют не встроенные веб-камеры ноутбуков, а внешние IP-камеры, устанавливаемые, например, в частных домах и торговых залах (эти устройства видеонаблюдения управляются через специальный веб-интерфейс).

Такие камеры, как правило, защищены паролями, но многие владельцы камер оставляют пароли, выставленные производителями оборудования по умолчанию. При этом многие уязвимые устройства можно найти с помощью Google (для этого формируются запросы с использованием инструкций inurl и intitle) или через сайт Shodan. Халатность владельцев камер приводит к тому, что хакеры получают доступ к видеопотоку без каких-либо усилий.

Взлом пароля от IP камеры

На самом деле, все очень просто. Добрая часть доступных интерфейсов, абсолютно не защищены. При подключении к видеоустройству, мы попадаем на авторизацию. Обычно, связка логин:пароль, смешна до жути и выглядит примерно так:

  • admin:
  • admin:admin
  • admin:qwerty123
  • administrator:123456780

То есть, без использования софта для подбора паролей, простым перебором из этих незамысловатых комбинаций, мы получаем доступ к видеонаблюдению в парках, офисах, барах, магазинах и других общественных местах.

Более того, если устройство обладает неплохой железной составляющей, мы получаем доступ не только к картинке, но и звуку, а также в некоторых случаях, можем полностью управлять процессом видеонаблюдения и записи.

Для простого просмотра большинства камер D-Link (например, модель DSC-2130), можно использовать связку из логина и пароля:

Модели устройств видеонаблюдения D-Link очень легко гуглятся и доступны каждому.

Подобрать пароль с помощью брута можно с помощью скрипта hydra. Как-то раз я рассказывал, что с помощью него можно вспомнить забытый пароль от почтового ящика. И вот, снова он, выручает нас.

Как это выглядит? Все очень просто. Открываем консоль в Kali Linux и запускаем, примерно вот такую команду (предварительно составив необходимые списки для подбора: айпи и пароль к ним):

Флаги из команды довольно просты для понимания: это логин, список паролей в формате , список подобранных паролей (именно там будут храниться удачные связки IP:пароль), список IP-камер в файле в формате IP адресов.

Для того, чтобы расширить познания в скрипте hydra, можно воспользоваться справкой.

Как избежать компьютерного шпионажа через веб-камеру?

  1. Включить брандмауэр Брандмауэр защищает вашу систему, отслеживая сетевой трафик и блокирует подозрительные соединения. Убедитесь, что встроенный брандмауэр вашего компьютера включен и работает.
  2. Надежный антивирус Выберите тот, который обладает расширенной защитой от вредоносных программ, шпионских программ и вирусов. Антивирусная программа обнаружит и заблокирует угроз до того, как они нанесут вред.
  3. Фишинговая ловушка Хакеры могут маскироваться под агентов службы поддержки и связываться с вами, говоря, что у вас возникла проблема с вашей системой/компьютером/программой, и что они могут помочь. Не верьте таким сообщениям. Это распространенная фишинговая технология, используемая киберпреступниками для установки шпионского программного обеспечения удаленного доступа в ваше устройство. Такое ПО позволит им получить доступ к вашей камере и управлять правами доступа к ней.

Другой способ заманить жертв для загрузки программного обеспечения – RAT (Троян удаленного доступа), это фишинговые письма, которые скрывают поддельные URL-адреса и вредоносные файлы

Относитесь к письмам от неизвестных отправителей с осторожностью и не нажимайте на подозрительные ссылки и не загружайте подозрительные вложения

  • Безопасности в общественном Wi-Fi Общедоступные сети Wi-Fi крайне уязвимы для хакерских атак. Киберпреступники часто нападают на людей в свободных “горячих точках” и пытаются проникнуть на их устройства с помощью вредоносных программ. Всегда используйте VPN для защиты своего Wi-Fi соединения и защищайте себя от нежелательных программ-шпионов.
  • Заклеить веб-камеру Заклейте камеру лентой. Даже Марк Цукерберг делает это. Это самый простой и 100% надежный способ не допустить, чтобы кто-то наблюдал за вами через камеру вашего компьютера. Если вы считаете, что лента портит внешний вид, то купите специальную заглушку, которая крепится к веб-камере.
  • Что есть у хакеров на вас? Если вы получаете угрожающие сообщения о том, что кто-то взломал вашу камеру, не воспринимайте это как правду сразу же. Это может быть атака СИ (социальная инженерия). Пусть они сначала докажут. Такие мошенники не обладают техническими знаниями, чтобы взломать вас, но они знают, как играть с вашими эмоциями.

Методика SQL инъекций

Достаточно оригинальный способ SQL инъекция, который был введен в практику жителем Польши. Суть методики заключается в формировании некоторого набора входящих данных, посредством которых включается определенная команда языка, используемого сегодня для осуществления работы с набором реляционных параметров в веб. Для этого адрес ip может не потребоваться, достаточно лишь знать особенности формирования систем данных посредством языка.

Важны условия работы, а именно:

  • Довольно некорректной возможности обработки параметров входа.
  • Доскональным набором знаний самой структуры и специфики работы базы данных взломщиков.
  • Наличие определенных прав, актуальных для последующей работы с SQL командами, с веб.

Такой подход позволит выполнить много задач в целевой базе веб, в частности и осуществить взлом камеры (к примеру, это может быть та же камера веб, установленная как элемент системы наблюдения). Методика SQL инъекций может быть отлично использована в случае превышения скорости водителем средства передвижения. Основной секрет заключается в оригинальном номере транспортного средства, который фактически при передаче на камеру будет иметь вид некорректно введенных данных, и программа внесения его в базу данных нарушителей не сможет его распознать и зафиксировать.

Захватываем изображение

Функция capCreateCaptureWindow() имеет такие аргументы, представляющие для нас интерес:

  • lpszWindowName – это нуль-терминальная строка, которая содержит имя окна захвата;
  • х – местоположение координаты Х;
  • у – местоположение координаты У;
  • nWidth – ширина окна;
  • nHeight – высота окна;
  • dwStyle – стиль окна;
  • hWnd – обращение к родительскому окну;
  • nID – идентификатор окна.

В результате выполнения функции будет получен NULL (в случае ошибки) или же успешно создано подключение. Но учитывайте, что, поскольку она относится к WinAPI, необходимо её импортировать. Со всеми этими данными можно уже запускать процесс инициализации камеры. Сразу после создания окна можно уже пробовать отправить сообщение. Если результат будет отличимый от нуля, то это значит, что попытка завершилась успешно. Затем необходимо определить и отправить сообщения, от которых зависит ряд операций. Так, следует в порядке очереди:

  • соединиться с драйвером устройства, что обеспечивает видеозахват;
  • осуществить разрыв;
  • копировать кадр в буфер обмена;
  • при надобности включить режим предпросмотра;
  • в случае нужды активировать перекрытие;
  • при надобности отрегулировать скорость предпросмотра;
  • в случае нужды включить масштабирование;
  • при надобности установить функцию вызова для предпросмотра;
  • получить с драйвера видеозахвата одиночный фрейм;
  • сохранить кадр, полученный от камеры, в файл.

Что ж, в целом это всё.

Зачем нужен захват контроля над IP-камерой?

Один из вариантов использования вашей IP-камеры злоумышленниками — создание ботнет-сети. Предлагаю рассмотреть эту тему подробнее, чтобы понять, как это работает и зачем оно нужно злоумышленникам, — это поможет вам понять, какие действия необходимо предпринять, чтобы обезопаситься. Для начала определимся с терминами.

Ботнет (англ, botnet, произошло от слов robot и network) — сеть, состоящая из некоторого количества компьютеров с запущенными ботами. Чаще всего бот в составе ботнета является программой, скрытно устанавливаемой на устройство жертвы и позволяющей злоумышленнику выполнять некие действия с использованием ресурсов зараженного компьютера. Обычно используются для нелегальной или неодобряемой деятельности: рассылки спама, перебора паролей на удаленной системе, атак на отказ в обслуживании (DoS- и DDoS-атаки).

Итак, что такое ботнет, мы понимаем, что такое рассылка спама и подбор паролей — вполне очевидно даже обывателю, а что же такое DoS- и DDoS-атака?

DoS (Denial of Service — отказ в обслуживании) — хакерская атака на вычислительную систему с целью довести ее до отказа, т. е. создать такие условия, при которых добросовестные пользователи системы не могут получить доступ к предоставляемым системным ресурсам (серверам) либо этот доступ затруднен. Отказ «вражеской» сис-темы может быть и шагом к овладению этой системой (если в нештатной ситуации ПО выдает какую-либо критическую информацию, например, версию, часть программного кода и т. д.). Но чаще это мера экономического давления: потеря простой службы, приносящей доход, например, остановка транзакций или блокирование страницы оплаты услуг провайдера и меры по уходу от атаки ощутимо бьют цель по карману. В настоящее время DoS и DDoS-атаки наиболее популярны, так как позволяют довести до отказа практически любую систему, не оставляя юридически значимых улик.

Если атака выполняется одновременно с большого числа компьютеров, говорят о DOoS-атаке (от англ. Distributed Denial of Service, распределенная атака типа «отказ в обслуживании»). Такая атака проводится в том случае, если требуется вызвать отказ в обслуживании хорошо защищенной крупной компании или правительственной организации.

Готовность № 3

Теперь настало время поговорить о том, как соорудить простенькую, но надежную систему видеонаблюдения. Обычно такие системы базируются на двух алгоритмах: различие двух фреймов и простое моделирование фона. Их реализация (код) достаточно объемна, поэтому в самый последний момент я решил пойти по более простому пути. Под легким путем подразумевается использование мощного, но пока малоизвестного фреймворка для .NET – AForge.NET.

AForge.NET в первую очередь предназначен для разработчиков и исследователей. С его помощью, девелоперы могут существенно облегчить свой труд при разработке проектов для следующих областей: нейросети, работа с изображениями (наложение фильтров, редактирование изображений, попиксельная фильтрация, изменение размера, поворот изображения), генетика, робототехника, взаимодействие с видео устройствами и т.д. С фреймворком поставляется хорошая документация. В ней описаны абсолютно все возможности продукта. Не поленись хорошенько с ней ознакомиться. Особенно мне хочется отметить качество кода этого продукта. Все написано цивильно и копаться в коде – одно удовольствие.

Теперь вернемся к нашей непосредственной задаче. Скажу честно, средствами фреймворка она решается как дважды два. «Тогда зачем ты мне парил мозг WinAPI функциями?» – недовольно спросишь ты. А за тем, чтобы ты не был ни в чем ограничен. Сам ведь знаешь, что проекты бывают разные. Где-то удобнее применить махину .NET, а где-то проще обойтись старым добрым WinAPI.

Вернемся к нашей задачке. Для реализации детектора движений нам придется воспользоваться классом MotionDetector из вышеупомянутого фреймворка. Класс отлично оперирует объектами типа Bitmap и позволяет быстренько вычислить процент расхождения между двумя изображениями. В виде кода это будет выглядеть примерно так:

//Обработка очередного кадра if ( detector != null ) { float motionLevel = detector.ProcessFrame( image );

if ( motionLevel > motionAlarmLevel ) { flash = (int) ( 2 * ( 1000 / alarmTimer.Interval ) ); }

if ( detector.MotionProcessingAlgorithm is BlobCountingObjectsProcessing ) { BlobCountingObjectsProcessing countingDetector = (BlobCountingObjectsProcessing) detector.MotionProcessingAlgorithm; objectsCountLabel.Text = «Objects: » + countingDetector.ObjectsCount.ToString( ); } else { objectsCountLabel.Text = «»; }

} }

Вышеприведенный код (не считая инициализацию класса MotionDetector) у меня выполняется при получении очередного кадра с веб-камеры. Получив кадр, я выполняю банальное сравнение (метод ProcessFrame): если значение переменной motionlevel больше motionLevelAlarm (0.015f), то значит, надо бить тревогу! Движение обнаружено. На одном из скришотов хорошо видна работа демонстрация детектора движений.

Использование программного обеспечения

Взлом веб камеры может быть запросто осуществлен посредством использования специального программного обеспечения. Правда, ключевой особенностью можно назвать необходимость узнать ip пользователя, в каком бы регионе он ни находился. Проверяется ip пользователя достаточно просто, необходимо всего лишь получить от него сообщение, любую другую информацию, в системных данных которой и будет указан соответствующий адрес. Стоит отметить, может быть ip определен как для динамического, так и плавающего параметра, вне зависимости от расположения потенциального объекта. Единственным исключением станет использование прокси, в таком случае ip будет сокрыт, но с камерами это редкость, взлом веб ноутбука должен пройти без особых проблем.


Программа — один из методов взлома камер видеонаблюдения

После того, как ip был выявлен, необходимо приступать к работе с программным обеспечением, которое предложено сегодня в сети веб в просто огромном множестве вариантов. Зависит эффективность программы от выбора, ибо не все представленные в сети web программы позволят оперативно и гарантированно осуществить взлом системы. К примеру, можно выделить достаточно популярную во всех отношениях в web программу под названием ICMHacker, удобную и доступную любому пользователю.

Одной из систем защиты камер от возможного взлома послужит оптимально проработанная система паролей. К примеру, продукция компании Самсунг потребует от владельца смены заводских паролей на собственные. Открытым вопросом становится пароль администратора, который может стать доступным любым web пользователям, но производители активно работают над устранением проблемы, исключения возможности взлома.

Меры безопасности

Если вы внимательно относитесь к компьютерной безопасности, но хотите дополнительно подстраховаться, можете проделать следующее:

  1. Выключайте веб-камеру, когда не пользуетесь ей. В Windows это можно сделать через диспетчер устройств. Откройте командную строку с правами администратора и выполните команду devmgmt.msc – откроется список с категориями доступных устройств. Веб-камеры часто находятся в разделе «Устройства обработки изображений». Найдите свою камеру, щелкните по ней правой кнопкой и нажмите «Отключить устройство».
  2. Также вы можете отключать микрофон, если боитесь, что вас могут подслушивать. В Windows для этого достаточно щелкнуть правой кнопкой по значку динамика в трее и выбрать пункт «Записывающие устройства». В появившемся списке устройств щелкаем правой кнопкой мыши по необходимому микрофону и выбираем пункт «Отключить». Можно не отключать микрофон, а войти в свойства устройства и снизить его чувствительность до нуля.
  3. Ах да, камеру можно просто заклеить малярным скотчем (или использовать задвижки, шторки и т.п.). Только не заклеивайте светодиод, расположенный рядом с камерой – в случае несанкционированного доступа к видеопотоку он, скорее всего, загорится, и вы сможете отключиться от сети и начать поиск уязвимости, которой воспользовались злоумышленники.

Поделиться

Собираем информацию

Я начал поиски альтернативного способа подчинить себе динамик камеры — просканировал камеру при помощи Nmap.

Уже немало…

С портами 80 (HTTP) и 554 (RTSP) все понятно, 1935-й порт вроде как используется приложением Flash, через которое браузер показывает видео с камеры, а вот что висит на остальных портах — пока загадка.

Мое внимание привлек открытый 23-й порт. Но вот незадача — логин и пароль от веб-интерфейса к Telnet не подходят, в интернете на этот счет ничего нет, а техподдержке поставщика пароль неизвестен

Через веб-интерфейс настроить или отключить Telnet нельзя, остается только гадать, для чего или для кого он вообще работает. Но ведь если есть Telnet, значит, должны быть и учетные данные на него. Что ж, придется искать.

Почти все манипуляции я проводил в Ubuntu desktop 16.04. Для начала я скачал прошивку камеры и начал ее изучать. Нужно заметить, что прошивки для исследуемой камеры в зависимости от версии могут иметь разное содержимое. Мне попадались следующие варианты содержимого архива с прошивкой.

  1. Файлы и . Первый содержит корневую файловую систему, включая искомый с паролем на Telnet, второй — включает «брендированный обвес» — веб-интерфейс с логотипом и другими индивидуальными особенностями конкретного продавца (об этом позже).
  2. Файл , который корневую ФС не включает.
  3. Файл , внутри которого сразу корневая ФС и «обвес».

Далее попробовал определить тип файла командой file.

Для дальнейших манипуляций с файлами прошивки понадобится утилита binwalk. Забегая вперед, отмечу еще, что обязательно наличие модуля jefferson — для распаковки JFFS2.

WWW

На странице проекта в GitHub есть вся необходимая информация по установке.

Я заглянул внутрь бинарника при помощи binwalk.

Вывод binwalk

Squashfs — это специализированная сжатая файловая система, которая часто применяется в роутерах, IP-камерах и прочих IoT-устройствах, а JFFS2 — файловая система, часто используемая на флеш-памяти. В интернете можно найти несколько способов монтирования JFFS2 и Squashfs, но проще всего распаковать их через тот же binwalk.

где

  • включает режим извлечения;
  • пытается распаковывать вложенные элементы.

В итоге получилось два каталога с содержимым прошивки. В каталоге можно найти файл , внутри которого находится хеш типа MD5 (Unix). Брутанув этот хеш с помощью John или hashcat, можно получить искомый пароль для подключения по Telnet.


Вот пример запуска брута через hashcat:

Здесь

  • — тип хеша, который будем брутить, 500 — md5crypt / MD5 (Unix);
  • — режим работы, 0 — атака по словарю;
  • — игнорировать предупреждения;
  • — файл, в который я положил взламываемый хеш;
  • — словарь;
  • — файл, в который будет записан восстановленный пароль.

Hashcat отработал очень быстро, так как пароль тривиален и есть в популярных словарях. Учетки на Telnet получены, но моя история только начинается…

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», увеличит личную накопительную скидку и позволит накапливать профессиональный рейтинг Xakep Score! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.

Я уже участник «Xakep.ru»

Распространенность IP-видеокамер и цели взлома

В прошлой нашей статье рассматривалась тема взлома IP-видеокамер с целью получения несанкционированного видео с нее и вывода из строя из хулиганских соображений. Но ваша IP-камера или NVR могут рассматриваться злоумышленниками не как цель, а как ресурс для других задач, например, такой «хайповой» темы, как майнинг биткоинов или организация дальнейшей атаки на другие ресурсы.

Согласно данным компании IHS, в 2014 г. в мире было более 245 млн видеокамер при темпах роста примерно в 13,7%. Получается, что на сегодняшний день в мире более 360 млн видеокамер, применяемых в безопасности. Из них примерно 20% подключены к интернету, что дает 72 млн потенциальных целей для атаки или довольно объемного ресурса для осуществления дальнейших атак.

В частности, IP камера как еще один из элементов IoT (интернета вещей) включает в себя Unux компьютер, при этом довольно мощный и достаточно широко распространенный в силу нескольких факторов:

  1. Упрощение систем видеонаблюдения и повышение гибкости с развитием облачных и р2р технологий с доступом через мобильные устройства.
  2. Снижение средней цены на IP-камеру с $500 в 2010 г. до $ 130 в 2015-м, а не сегодня опустившейся ниже $80.
  3. Широкое внедрение видеонаблюдения не только в промышленности, но и в общественной безопасности, малом бизнесе и частном секторе отчасти как следствие снижения цены.

То есть в мире сегодня появилось огромное количество автономных компьютеров, значительная часть из которых подключена к интернету. При этом можно выделить три потенциальных последствия реализации угрозы взлома вашей IP-камеры:

  1. Во-первых, злоумышленник может получить доступ к той информации, которую записывает камера, и получать изображения и конфиденциальную информацию о компании или частной жизни, не обнаруживая себя.
  2. Во-вторых, IP-камера может быть взломана для того, чтобы транслировать поддельную картинку либо в нужное время вообще перестать передавать видео в систему безопасности.
  3. В-третьих, она может быть взломана для нанесения вреда третьим лицам, так как и другие 1оТ-устройства, IP-камеры уязвимы перед специальными вредоносными программами.

Третий пункт фактически описывает идею более изощренного способа использования ваших ресурсов. Даже в том случае, если ваша личная жизнь (изображение с видеокамеры) злоумышленнику не интересна, вы все равно в зоне риска. Вероятной целью может являться не видео, а программно-аппаратные ресурсы вашей IP-камеры или NVR, которые с помощью некоторых инструментов превращаются в средство для дальнейших атак или монетизации или еще каких-то, как правило, противоправных действий (например, для атаки на сайт сторонней компании).

Начинаем

Так как подключиться к чужой веб-камере? Первоначально следует учитывать, что у устройства может быть несколько аппаратов для фиксации изображения и звука. Поэтому следует позаботиться о возможности выбора инструмента, с которым будет вестись работа. Чтобы решить эту задачу, мы используем функцию capGetDriverDescription().

Она может принять пять параметров:

  • wDriverIndex – это индекс драйвера видеозахвата. Он может принимать значения от нуля до девяти.
  • lpszName – параметр указывает на буфер, где содержится соответствующее имя драйвера.
  • cbName используется для указания размера в байтах буфера lpszName.
  • lpszVer содержит указатель на буфер, где можно найти описание определённого драйвера.
  • cbVer – это размер в байтах буфера, где хранится описание драйвера.

Как подключиться к чужой веб-камере? Ipb image может выдать активацию камеры. Поэтому необходимо поработать и над этим. Можно, конечно, здесь написать небольшой код, позволяющий подключиться и контролировать работу устройства, но поскольку это вторжение в личную жизнь, то будет представлено только описание. Для создания необходимой программы можно использовать C#.

При работе необходимо указывать имя функции, что подключается, а также написать имя DLL, где она определена. Для компоновки всех отдельных наработок следует использовать класс.

Ловля сетью и острогой

Изначально фишинг рассматривался как общий способ мошенничества, адаптировавший старые схемы к реалиям интернета. Затем он разделился на два основных направления: массовый и целевой. Большинство фишинговых сообщений носят массовый характер и не направлены ни на кого конкретно. Они затрагивают разные группы людей и берут числом сообщений. Наспех слепленные письма о мнимых крупных выигрышах игнорирует большинство опытных пользователей, но и на всякого мудреца довольно простоты. Кто-то действительно недавно участвовал в лотерее и с нетерпением ждет результата розыгрыша (вот только разыграют его самого), кто-то просто алчен по натуре, а кто-то просто кликает на все подряд, надеясь на антивирус. Поэтому даже набивший оскомину «нигерийский спам» до сих пор приносит свои плоды.

Куда более изощренный вид атак — целевой, или spear-phishing. В январе прошлого года из-за такой атаки крупная европейская биржа Bitstamp лишилась почти девятнадцати тысяч биткойнов — более пяти миллионов долларов по установленному на тот момент курсу. Расследование показало, что целевой фишинг, направленный на руководителей биржи, продолжался больше месяца. Все это время им не только приходили поддельные письма (как обычно, содержащие ссылку на зараженный сайт либо инфицированное вложение), но и отправлялись менее тривиальные сообщения по разным каналам, включая мессенджеры.

Каждое из них было продумано в мельчайших деталях и составлено с учетом личных интересов получателя. Например, технического директора биржи пытались заинтересовать через Skype бесплатными билетами на фестиваль панк-рок-музыки, на который он как раз мечтал попасть (больше пишите о своих желаниях в соцсетях!). Для получения билетов предлагалось заполнить приложенную анкету в формате MS Word с макросом внутри. Примитивно? Да, но ведь сработало! Другое дело, что в тот раз атакующим не повезло: документ открыли на компьютере, не имеющем доступ к кошельку биржи.

Однако фишеры не сдавались. На смену одним уловкам приходили новые. Частота получения фишинговых сообщений увеличивалась, и в конечном счете сисадмин биржи Лука Кодрич стал жертвой своего тщеславия. Ему очень польстило приглашение стать почетным членом Ассоциации вычислительной техники. Не видя предупреждений Microsoft Word и антивируса, сквозь слезы умиления он запустил инфицированный документ на рабочем компьютере. В пару кликов кандидат в почетные админы отдал неустановленным лицам самый дорогой сердцу каждого майнера файл — , данные кошелька биржи вместе со всеми паролями и доступом к обоим серверам. Четыре дня авторы макроса переводили средства, пока Лука кусал локти. Если бы на бирже практиковался регулярный аудит с имитацией фишинга, то Лука получил бы хорошую прививку.


С этим читают