Прошедший год был полон событий. И, увы, не только позитивных. Заголовки разных СМИ то и дело пестрели сообщениями об очередном взломе. То криптобиржу опустошат под ноль, то в TikTok международной корпорации зайдут без авторизации, а то и вовсе половина ПК мира одновременно засияют синим экраном. В общем, рассказываем о том, что нельзя оставить без внимания.
Telegram уже не торт
А начнем мы с Telegram — какого-то одного инфоповода, чтобы все прям схватились за голову, в этом случае нет. Ну, разве что задержание Паши Дурова. Однако есть сотни (если не тысячи) нетривиальных способов взлома. И именно в 2024 году атаки на Телегу, а точнее, на пользователей Telegram, стали носить по-настоящему массовый характер.
Ранее мы публиковали кейс, в котором разбирали разные скам-схемы в Телеге. Однако следует понимать, что рассмотреть все опасности в одном материале невозможно. Увы, многие этого не понимают, считая, что есть какие-то «чудо-действия», которые можно просто повторять каждое утро, и спина не будет болеть и Телегу не взломают. Спешим расстроить — так не бывает.
Добавляет масла в огонь и массовое заблуждение относительно безопасности и приватности Телеги. Хотя даже приватность полностью опровергают материалы Киберпаранойя 4.3 — как деанонят Telegram-аккаунты и Больше способов деанона Telegram-аккаунтов. Тем, кому и этого мало, советуем изучить Бот для сохранения удаленных сообщений Telegram. Никакой приватности в Телеге нет.
Безопасности — тем более. Не может мессенджер вместо видеоролика или GIF передать вам безопасную копию, пересобранную с помощью MIME-TYPE, как это делается с обычными картинками. Его сервера просто не выдержат такой нагрузки. Серверу бы себя защитить… Почему же все это появилось лишь в 2024-м? Все это было и раньше, но в 2024-м стало массовым. И в 2025-м такого будет только больше.
0-day уязвимости в TikTok
Летом 2024 года авторитетные издания вроде Forbes или Xakep публиковали статьи о выявленной уязвимости нулевого дня в TikTok. Ее коварство заключалось в том, что злоумышленник мог авторизоваться в аккаунте жертвы без участия самой жертвы. Все, что требовалось — отправить «особое» сообщение цели. Сама же цель могла не то что не переходить по ссылке, а даже не читать это сообщение. Но от взлома это не спасало, ибо технически ломали сам TikTok.
Среди пострадавших оказались официальные аккаунты даже таких гигантов, как Sony, CNN и Пэрис Хилтон. В общем, классическая уязвимость нулевого дня… Почему же тогда в подзаголовке написано уязвимости (много)? Потому, что 0-day — это то, о чем никто не знает. Это дыра в коде, по глупости заложенная самими разработчиками. Но это не бэкдор, который можно найти, это «неучтенный функционал», который вообще не планировали создавать.
И таких 0-day уязвимостей может быть сколько угодно и где угодно. Пока оно кому-то не навредит, шанс, что ее пофиксят, стремится к нулю. Ведь нельзя пропатчить то, о существовании чего ты даже не догадываешься. Как от этого защититься? Никак. Абсолютно. Разве что не пользоваться продуктом. Но в этом случае придется отказаться не только от TikTok, но и от всего цифрового.
Июльский синий экран смерти на Windows
Это тот самый случай, когда хотели защититься от кибератак, но сами устроили кибератаку. И ведь не абы кто — Microsoft! 19 июля, обновляя систему защиты от кибератак CrowdStrike, «окноделы» умудрились одновременно «уронить» все компьютеры мира, которые скачали злоебу злополучное обновление.
Десятки тысяч самолетов, которые не могут взлететь, миллионы клиентов банков, которые не могут перевести деньги — все это лишь малая часть ущерба. Тот случай, когда пиратки рулят. Как это попало в нашу статью? Во-первых, это иллюстрирует то, как одна маленькая уязвимость может в мгновение ока «уронить мир». Во-вторых, такие прецеденты всегда анализируются хакерами, ведь если случилось «что-то», то «где-то рядом» всегда будут и другие уязвимости, которые следует поискать.
Crypto scam
Еще один мейнстрим прошедшего года — это криптоскам. И снова резонный вопрос — где скам, а где взлом? Что ж, в случае с криптой ломают обычно либо саму платформу — как это было, например, в кейсе с Gala или угоном средств правительства США с биржи Bitfinex, либо «простых» людей через социальную инженерию, как в кейсе со взломом миллионера. А СИ — таки скам.
И если в первом случае все, что остается пользователям — молиться, чтобы платформа не обанкротилась и сделала компенсацию, то во втором никакой компенсации априори не будет, ведь, как говорится, «твой косяк». Поэтому в 100500-й раз призываем не держать все деньги в одном месте, использовать двухфакторную авторизацию и не переходить по незнакомым ссылкам. ЭТО ВАЖНО, КАРЛ! Хотя… И по знакомым тоже — слишком уж много в 2024-м новостей об угоне крипты дрейнерами.
А еще совсем скоро мы опубликуем кейс об угоне крипты с помощью сид-фраз.
Фишинг-alarm и refresh-атаки
Криптофишинг — это, конечно, хорошо, но и «классику» никто не отменял. Аналитики антивирусных компаний бьют тревогу — использование refresh-атак, зашитых в саму ссылку, мешает их утилитам предупреждать о небезопасности перехода. И пока что решения этой проблемы не придумали.
Суть атаки на удивление банальна: в длинную ссылку вшивается кусок запроса, автоматически перенаправляющий пользователя на зараженную страницу. И уже там хацкер просто получает кучу инфы о человеке — в лучшем случае. А в худшем — удаленно инициирует запуск того или иного кода на гаджете юзера.
Казалось бы, можно просто считать все ссылки с рефрешем небезопасными. Да, но нет, ибо «эта жи ниудобна…». В итоге: уязвимость есть, ее характер массовый, а противопоставить ей специалисты ничего не могут из-за недовольства клиентов необходимостью лишний раз нажать на кнопку.
RAT — крысиные атаки
В какой момент величественные «лошадки» из Трои вдруг стали грязными крысами — автор пропустил. Но «ребрендинг» произошел давно, так что тема не новая. Нельзя назвать инновацией и комбо троян + шифровальщик — такое все мы видели в 2007–2012-м. И виной тому были кривые ручки «окноделов», оставившие огромную брешь в обороне «окна». Впервые же концепция была опробована еще в далеком 1997-м.
Почему же крысы-вымогатели снова вышли на арену кибервойн? Пока что официальной инфы об этом нет, но автор вангует, что причиной снова окажется Microsoft — слишком уж идеально это совпало с анонсом прекращения поддержки Windows 10 и принуждением переезжать на сырую и дырявую Windows 11.
Впрочем, пока что жертвами становятся в основном корпорации: как ни крути, а вымогать пару миллионов у миллиардера, бизнес которого простаивает, эффективнее, чем «играть в лотерею» на $100 с обычными пользователями. И все же — где массовость, там и освоение ниши хацкерами из соседнего подъезда.
«Госуслуги»
Здесь обойдемся без прелюдий: они прижились, и их все чаще используют для взломов. Причем ломают как сами «Госуслуги», так и сервисы, использующие их для авторизации. Более того, как правило, речь даже не о взломах (хотя и их все больше), а о самом банальном виде фишинга, когда юзеру просто подкидывают фейк-форму авторизации. Что лично автора удивляет: с банками народ вроде бы +/- научился перепроверять форму, а с «Госуслугами» — нет…
Охота на ИБ-специалистов
Нельзя оставить без внимания рост количества атак на ИБшников. Да, такое было всегда, но в 2024 году их было настолько много, что даже «Лаборатория Касперского» в своем отчете отнесла «охоту на ИБ-специалистов» к одной из самых угрожающих тенденций года. Особенно часто осуществлялись «заразные собеседования», когда соискателя разводят на вредонос еще до трудоустройства.
Мотив кибергопников тут понятен: взлом железа ИБшника, это в большинстве случаев взлом 99,9% всей системы, которую он охраняет. Так что, если среди наших читателей вдруг есть такие, имейте в виду — вы в зоне риска. Впрочем, лайфстайл в стиле «я взломан» вроде бы должен быть базой для любого уважающего себя специалиста по кибербезопасности.
Офлайн-атаки
Нельзя списывать со счетов и нападения в «реальном» мире. Причем тут офлайн, если статья про взломы, уязвимости и тенденции 2024 года? А при том, что прослеживается тенденция. Точных цифр у нас нет, так как статистику подобных случаев ведут не антивирусные компании, а МВД — но заголовков о том, что очередного блогера ограбили, в 2024 году было больше, чем в том же 2023-м.
И да, к теме кибербезопасности это имеет прямое отношение. Во-первых, потому что часто жертву предварительно OSINTят — изучают через интернет. Во-вторых, потому что ее могут еще и предварительно взломать, чтобы точно знать, когда стоит вломиться к ней домой или встретить в подворотне. Однако в большинстве случаев все начинается с пристрастия самой жертвы к идее «светить баблом» — это очень упрощает поиск цели злоумышленникам (#нинадатак).
Немного статистики
Ну и напоследок немного актуальной статы по наиболее частым типам киберугроз в 2024 году:
Вредоносное ПО (все виды) — 65% процентов атак (успешных) на компании. 72% атак (успешных) на физлица.
RAT/трояны удаленного доступа — 44% атак (успешных) на компании. Статистики по физлицам нет.
Шифровальщики — 44% атак (успешных) на компании. Статистики по физлицам нет.
Шпионское ПО — 47% атак (успешных) на физлица. Статистики по компаниям нет.
Социальная инженерия — 50% процентов атак (успешных) на компании. 92% атак (успешных) на физлица.
Использование слитых конфиденциальных данных — 52% процентов атак (успешных) на компании. 77% атак (успешных) на физлица.
Невозможность работы (временная) — на 5% больше случаев атак (успешных) на компании, чем в 2023 году. Конкретные цифры по невозможности работы антивирусными компаниями не публикуются, так как это может вызвать неконтролируемые последствия в мире (ну или просто клиенты уйдут).
* Цифры на основе выявленных случаев, невыявленных больше. Ваш кэп.
Самая страшная уязвимость
Все эти циферки — это жутко интересно, однако в своих отчетах антивирусные компании забывают про один очень важный нюанс. Опасаться стоит не тех атак и уязвимостей, о которых мы знаем, а тех, которые нам неизвестны.
Не случайно именно после эпопеи с 0-day в TikTok, CNN и Sony публично заявили о взломе. Обычно крупные компании держат это в тайне (для понимания: хотя бы раз в год почти каждая крупная аптечная сеть полностью парализуется очередным взломом на недельку-две).
Самое страшное — то, о чем ты не в курсе. Ведь ты не знаешь, что с этим делать. Да чего уж там — ты даже не знаешь, что тебе вообще что-то нужно делать! Поэтому следите за нашей рубрикой «Киберпаранойя», чтобы быть в курсе всех «цифровых ужасов» сегодняшнего дня.
