Ми продовжуємо серію статей про історії помилок хакерів, які призводили або до їхнього арешту, або до встановлення їхньої особи. Ми вже говорили про таких відомих кіберзлочинців, як Джеремі Гаммонд, Коді Кретсінгер і Росс Ульбріхт. Але цей розділ вийшов не менш цікавим, і почнемо ми його з найбільш канонічної помилки, яка привела на лаву підсудних не одного хакера.
Я забув увімкнути VPN
Житель Великої Британії Томаш Скоурон викрадав гроші за допомогою шкідливого програмного забезпечення. Використовували перевірену часом схему: за допомогою трояна викрадали доступ до інтернет-банкінгу, і далі гроші переказували на підставних осіб, які потім їх переводили в готівку.
Таким чином злочинцям вдалося вивести понад 1 мільйон доларів з рахунків по всьому світу. Томаш Скоурон займався безпосередньо переказами коштів зі зламаних рахунків, і одного разу його VPN дав збій. Справжня IP-адреса кіберзлочинця опинилася в логах підключень до рахунку інтернет-банку жертви. Через деякий час на Томаша очікував візит правоохоронних органів, а після вирок – 5 років тюремного ув’язнення.
Навіть якщо злочинець використовує VPN, завжди залишається ймовірність збою в роботі програмного забезпечення, наприклад, з’єднання може “відвалитися” непомітно для користувача, або під час обриву інтернету додаток для VPN не встигне перенаправити інтернет-трафік на VPN-сервер, і частина даних піде в обхід VPN. А буває й так, що VPN просто забувають увімкнути.
Навіть якщо VPN містить функцію блокування даних в обхід VPN, все одно можливі збої в роботі. Вони бувають у всіх, просто в деяких програм “падіння” сервісу призведе до неприємного повідомлення про помилку, і користувачеві доведеться перезапустити програму, у разі помилки VPN справжня IP-адреса хакера опиниться в руках правоохоронних органів. Ефективним рішенням може стати використання Whonix-Gateway як firewall; на щастя для наших банківських рахунків, Томаш Скоурон про це не знав.

Документи пам’ятають, хто їх відкривав і редагував Йдеться про Microsoft Office і офісні продукти Apple, такі як Pages і Numbers. Це корисна опція, що дає змогу дізнатися, хто, коли і які правки вносив у документ. Безпечна для будь-кого, але тільки не для хакера, який переглядає вкрадені документи і надалі планує їх опублікувати.
Ймовірно, ви чули про злом електронного листування та публікацію документів Демократичної партії США в липні 2016 року, про це багато писали в ЗМІ, і мені не хотілося б переказувати цю історію. І можливо, ви чули про “російський слід” у цій справі, розберімо докази цієї версії.
- Перше – аналіз викладених документів показав, що в редагуванні їх брав участь російськомовний користувач “Фелікс Едмундович”, і, що особливо важливо, його ім’я було написано кирилицею.
- Друге – документи і сайт, де їх було викладено, містили достатньо доказів, які вказують, що за цим стоїть російськомовний користувач. Банальний приклад – смайлик у вигляді трьох дужок “))))”, який популярний на території колишнього СРСР.
- Третє – правки проводилися зі зламаної версії Microsoft Word, яка популярна, як не дивно, на території росії.
- Ну і найголовніше, четверте – повідомлення про помилки російською мовою, що виникли під час конвертації документа в російськомовній версії програми.
Бачите, навіть використовувана версія офісного ПЗ може стати непрямим інструментом для звуження кола пошуку хакера або руйнування легенди, коли хакер намагається видати себе за того, ким насправді не є.
Картинки зберігають місце зйомки
Хакер Хігініо Очоа, як і “Фелікс Едмундович” із попередньої історії, любив зламувати різні американські ресурси та викладати дані в мережу. В одну з публікацій він помістив зроблену на iPhone фотографію дівчини з написом:
PwNd by w0rmer & CabinCr3w <3 u BiTch’s !
Це стало фатальною помилкою, оскільки фотографія зберегла координати місця зйомки. І хоча за ними знайшли тільки його дівчину, з цього моменту він був приречений і решта була справою техніки. На щастя, багато популярних сайтів зараз видаляють координати місця знімання під час завантаження, багато, але не всі. Вміти перевіряти наявність координат місця зйомки в метаданих фотографії та видаляти їх – корисна навичка.
Кінець епохи телефонного тероризму
Ця технологія вже активно впроваджується в банках, у низці країн вона є в арсеналі спецслужб, і стара схема “купив одноразовий мобільний для одного анонімного дзвінка” вже не працює. У кожного голосу є свій унікальний відбиток, за яким можна ідентифікувати його власника – це знає багато хто.
А ось те, що зміни в голосі, які вносять стандартні програми для зміни голосу, не є проблемою і не захищають від детекту, – це стає сюрпризом. Віталік із провінційного містечка росії вирішив узяти участь у масштабній акції з “мінування” вокзалів москви. Для цього він обзавівся інтернет-телефонією, Double VPN і програмою для зміни голосу. Акаунт для голосової телефонії, турбуючись про свою анонімність, він придбав на андеграунд-форумі.
Хороший набір професійного телефонного терориста, чи не так?
Вокзал він успішно “замінував”, і до ночі радів успіху, дивлячись новини. Вранці Віталік уже сам став учасником місцевих кримінальних новин: до нього прийшли з обшуком хлопці з федеральної служби безпеки. Зараз Віталік чекає на суд і в кращому разі на величезний штраф. Вичислити його допоміг відбиток голосу. Дзвінок Віталіка був записаний, потім експерти обробили його, відновивши оригінальний голос. Програма, яка так успішно змінювала голос, не стала серйозною перешкодою, а зразок його відбитка голосу опинився в базі даних, яка в росії об’єднана: доступ до неї мають і банки, і правоохоронні структури.
Соціальні мережі – найкращі вороги хакерів
Багатьом цікаво було б знати, хто переглядає їхні сторінки в соціальних мережах, як довго і як часто. Сторінку Дмитра Смілянця, молодої та успішної людини, переглядали не тільки друзі, родичі та прихильниці, а ще й агенти ФБР. Їм він був відомий як кіберзлочинець під псевдонімом “Сміливий”. У липні 2013 року він виклав в інстаграм свою фотографію, де позував на тлі напису “I Amsterdam”. Агенти негайно обдзвонили готелі поблизу, і в одному з них їм повідомили, що Дмитро Смілянець дійсно проживає в них, але зараз спить.
Наступний ранок виявився для Дмитра останнім на волі, на нього чекав арешт і передача в руки американського правосуддя. Зрештою він проведе за ґратами 5 років. Чому було б просто не оголосити його в розшук? Російські хакери прекрасно вміють отримувати інформацію про розшук з боку Інтерполу, і, природно, офіційно розшукуваний хакер не залишатиме межі Росії або робитиме це з максимальними запобіжними заходами в країни, де ФБР не зможе запросити його екстрадицію.
Тому агенти стежать за підозрюваними за допомогою соціальних мереж, і, як бачите, це дає результат.
Я б хотів розповісти про ще одну доволі повчальну помилку кіберзлочинця, який займався нехорошою справою – торгівлею шкідливим програмним забезпеченням. Він був посередником, або так званим реселером. Працюючи з кількома розробниками шкідливого програмного забезпечення, він заробив репутацію і відмінно знав тіньові ринки. Але популярним торговцем шкідливим ПЗ Олексій (назвемо його так) став не відразу, починав він зі спроб зламувати поштові скриньки і пропонував послуги через соціальну мережу “вконтакте”.
Діяв він досить примітивно: за допомогою купленого на чорному ринку набору для фішингу намагався зловити жертв на неуважності. Виходило це нечасто, але в той момент учорашньому школяреві це здавалося неймовірно прибутковою справою. Звісно, всі круті хакери мають якийсь крутий нікнейм, і Олексій не став винятком, придумавши собі нове “хакерське” ім’я. Його він вніс у назву своєї сторінки в соціальній мережі, воно ж виводилося в посиланні на сторінку після слеш (/).
Минули роки, і Олексій уже не хакер-самоучка, а видатний професіонал, якого розшукують правоохоронні органи не однієї країни світу. Але дещо з тих часів збереглося – і це його унікальний нікнейм. І ось, збираючи інформацію про нього, правоохоронні органи натрапили на його стару сторінку. Майбутній серйозний кіберзлочинець, який не вилазив за межі Тор, у той час заходив у соціальну мережу зі своєї домашньої IP-адреси і давав замовникам послуг для оплати гаманець, оформлений на свої паспортні дані. Знахідка сторінки з інформацією про нього через кілька років призведе до його арешту.
VPN, Tor і proxy не є перепоною
VPN, Tor і proxy не є перепоною, і ті, хто використовує їх, можуть бути деанонімізовані. Великою помилкою буде не вірити в це, є маса способів отримати справжню IP-адресу, ось кілька прикладів:
- Деанонімізація користувачів VPN і proxy через cookies.
- Деанонімізація користувачів VPN і proxy через сторонні сайти.
- Деанонімізація користувачів VPN і proxy шляхом зіставлення з’єднань.
- Деанонімізація користувачів Tor, VPN, proxy за допомогою звукових маячків тощо.









