"Глазированная" кибератака

Генеральный прокурор штата Нью-Йорк Летиция Джеймс анонсировала судебный иск против франчайзинговой компании Dunkin' Donuts, которая известна на всю страну своими глазированными пончиками и разнообразным кофе. Компания обвиняется в неспособности защитить собственное приложение для смартфонов от кибератак. В 2015 году хакеры украли через Dunkin' Mobile App личные данные более чем 20 тысяч человек.

С одной стороны, запоздалый иск может показаться странным. Обладатели Dunkin' Mobile App указывали в приложении минимум личной информации: имя, фамилию, год рождения, адрес проживания, номер телефона, номер кредитной или подарочной карты. Все украденные хакерами деньги были возвращены компанией по первому же требованию, поэтому ни один обладатель Dunkin' Mobile App не понёс серьёзного ущерба. Кибератака, которую журналисты в шутку прозвали "глазированной", выглядела как банальный сбой, который часто случается с приложениями.

С другой стороны, именно такие примитивные приложения, как Dunkin' Mobile App, являются одними из звеньев длинной цепочки, ключевым звеном которой является Identity Theft (кража личных данных). Поэтому из судебного иска к Dunkin' DonutsЛетиция Джеймс обязана сделать по-настоящему громкий прецедент. И вот почему.

Рядовой житель, попавший под "глазированную" кибератаку, скачал Dunkin' Mobile App с одной единственной целью - заказывать кофе и пончики онлайн, а потом забирать их в определённое время, не тратя ни одной минуты в очереди. Компания Dunkin' Donuts выделила на разработку этого примитивного приложения максимум несколько десятков тысяч долларов.

Хакеры взломали Dunkin' Mobile App не для кражи денег, предназначенных на покупку пончиков - им нужна была совершенно другая информация.

Во-первых, взлом приложения позволяет получить личный пароль человека к этому приложению. 99 из 100 американцев, имеющих на телефоне от десяти и более различных приложений (иконок) с регистрацией, используют одни и те же пароли или меняют их посредством добавления одного знака (цифра или буква). 

Таким образом пароль к никому не нужному Dunkin' Mobile App- это ключ к другим паролям. Он может подойти к банковским приложениям, электронной почте, аккуантам в социальных сетях и т. п. Если же пароль ни к чему не подходит, то хакеры прогоняют его через специальные программы, которые помогают предугадывать другие пароли человека с помощью одного уже украденного пароля.

К примеру, если пароль к Dunkin' Mobile App звучал как BrightonBeach1, то велика вероятность наличия у человека пароля Brighton Beach 2 или Brighton Beach 3.

Шаг за шагом хакеры рассекречивают пароли своей жертвы к разнообразным аккаунтам, а потом подставляют человека, похищая деньги с его счетов, оформляя на него какой-нибудь заём (Loan) в размере $30-$40 тысяч и/или присваивая налоговый возврат (Tax Refund). Таким образом, существует прямая связь между взломом никчёмного Dunkin' Mobile App для покупки пончиков и крахом кредитной истории с Excellent (720-850) до Bad (300-629) в результате масштабных финансовых махинаций.

Во-вторых, взлом одного приложения позволяет хакерам проникнуть в сам смартфон. Эта технология всё чаще применяется киберпреступниками, и её возможности поистине неограниченны.

Через приложение хакеры могут смотреть ваши фотографии, читать SMS­-переписку и даже слушать/видеть разговоры по видеосвязи.

Взлом девайса чреват большими проблемами для его владельца. По статистке, каждый пятый житель США хранит на электронной почте или в другом месте копии своего паспорта и карточки социального страхования (SSN).

Наиболее частое объяснение этой привычки - быстрый доступ к цифровым копиям документов на случай потери оригиналов за границей. К примеру, человек потерял паспорт США в Мексике и с помощью фотографии в смартфоне (ящике электронной почты) представил её в американское консульство/посольство для возвращения в США.

Каждый восьмой житель хранит в смартфоне материалы эротического или порнографического содержания с собственным участием. Кража хакерами подобных материалов чревата шантажом (Sextortion).

Подобные вымогательства происходят каждый день, и многие сгорающие от стыда жертвы отдают хакерам тысячи долларов, лишь бы компрометирующие фотографии/видео не были разосланы всем, с кем они общаются (электронные адреса в емэйле, телефонные номера в телефоне, аккаунты друзей в социальных сетях).

В Калифорнии был случай, когда хакеры "слили" домашнее порно своей жертвы (22-летняя девушка) всем её друзьям, родственникам, коллегам и даже преподавателям по колледжу. Причина - девушка отказалась платить выкуп в размере $500.

Одна из главных проблем в борьбе с хакерами заключается в невозможности фильтровать поток мобильных приложений. Ежедневно в магазинах Google и Apple появляются свыше 6,000 новых Mobile App. Подавляющее большинство из них не защищены от кибератак, так как разработчики пожалели денег. По-настоящему надёжное приложение не только дорого стоит, но и нуждается в постоянном обновлении/сервисном обслуживании. Поэтому хакеры выискивают приложения вроде Dunkin' Mobile App. С одной стороны его выпустила известная на всю Америку компания, следовательно, скачавших иконку будет очень много. С другой стороны, защита у приложения оказалась не лучше, чем у какой-нибудь кустарной многопользовательской игры, которую предлагается скачать бесплатно.

Какое именно наказание понесёт Dunkin' Donuts за своё приложение - большая загадка. Возможно, Летиция заставит продавцов пончиков и кофе заплатить штраф в несколько миллионов и лично выплатить каждому владельцу приложения по $100 (именно так недавно сделали компании Yahoo и Equifax, "слившие" данные миллионов клиентов киберпреступникам). Также не исключено, что Офис генерального прокурора и Dunkin' Donuts достигнут взаимовыгодного соглашения за закрытыми дверями. Подобное в штате Нью-Йорк происходит постоянно.

Так или иначе, Летиции Джеймс надо отдать должное. Она первой в стране не побоялась взглянуть на давно назревшую проблему и публично её озвучить. Прокуратура продолжит усиливать давление на индустрию Mobile App, а это означает, что в скором будущем порядок будет наведен, и хакерам придётся искать новые лазейки для кражи личных данных.

Максим Бондарь