Логин лишь раз: как хакеры используют давно утекшие пароли
Преступники спустя годы могут навредить гражданам, оперируя логинами и паролями десятилетней давности, — к такому неутешительному выводу приходят эксперты «Лаборатории Касперского» в своем исследовании. Подробности — в материале «Известий».
Хронология попадания в капкан
В 2025 году 88,5% атак были направлены на кражу аккаунтов от онлайн-сервисов. Персональные данные (ФИО, адрес) становились целью в 9,5% случаев, а данные банковских карт — в 2%, говорится в исследовании Kaspersky Digital Footprint Intelligence.
Похищенные данные превращаются в товар, проходят систематическую обработку и используются для последующих целевых атак, иногда спустя годы после первоначальной утечки.
Анализ киберкриминалистов показывает три основных способа сбора данных злоумыленниками:
- отправка на электронную почту — классический, но теряющий популярность метод из-за задержек и блокировок;
- использование Telegram-ботов — самый оперативный способ: данные приходят в режиме реального времени, а использование одноразовых ботов затрудняет их отслеживание;
- автоматизированные панели управления — профессиональные инструменты, которые предоставляют злоумышленникам веб-интерфейс для управления атаками, автоматической проверки данных и анализа статистики.
Эти данные используются для немедленной монетизации (снятия денег, оплаты товаров); последующих атак (фишинга или взлома других сервисов); таргетированных атак и шантажа (особенно при краже биометрии, сканов документов или корпоративных аккаунтов).
Директор по развитию центра мониторинга внешних цифровых угроз Solar AURA, ГК «Солар» Александр Вураско указывает на усиливающуюся роль вредоносных ботов в популярных мессенджерах.
— Как точно отмечено в исследовании [«Лаборатории Касперского»], очень часто для получения сведений используются механизмы отправки данных с фишинговых сайтов в Telegram-бот.
Политический контекст
— На рынок влияет множество факторов. Например, в последние четыре года фиксируются политически или идеологически мотивированные атаки, по итогам которых сведения не продаются, а выкладываются в открытый доступ, — говорит Вураско.
Если говорить о российском теневом рынке, то в последние годы наиболее часто злоумышленники промышляли кражей аккаунтов в мессенджерах, в первую очередь — в Telegram.
— Такие фишинговые атаки выделяются тем, что данные не накапливаются для последующей продажи, а кража аккаунта происходит непосредственно в момент самой атаки. Фишинговые сайты позволяют обойти двухфакторную аутентификацию: жертва сама вводит на фишинговом сайте код подтверждения, так что надежного механизма защиты, помимо бдительности пользователя, просто не существует.
Вураско разграничивает атаки по типам и по данным, которые попадают к злоумышленникам по итогам этих атак.
— Первая группа — это фишинг: мгновенная кража аккаунта или аккумулирование массива учетных данных для получения доступа к определенным аккаунтам (доля кражи данных банковских карт в России в последние годы ничтожна, так что речь идет в первую очередь об учетных данных).
Ко второй группе эксперт относит атаки с использованием троянов-стилеров.
— Это кража учетных данных — тут как раз накапливаются базы скомпрометированных учетных записей в формате URL, логин, пароль, которые впоследствии продаются, — говорит Вураско.
Еще одна разновидность — атаки на веб-сайты или сетевую инфраструктуру организации. Они бывают максимально разрушительны, однако по итогам таких атак злоумышленники редко получают доступ именно к учетным данным — утекают в первую очередь персональные данные клиентов или сотрудников.
— Это тоже важно, но обычно не приводит к непосредственной компрометации учетных данных, — говорит Вураско. — Нередко такие базы выкладываются в общий доступ бесплатно, ведь основная цель — уничтожение инфраструктуры организации.
Спрос на досье растет
Примерно на 5% выросла стоимость услуг в сфере незаконного оборота персональных данных, по оценкам директора по информационной безопасности компании «Гарда» Виктора Иевлева.
— Стоимость сбора персональных данных в отдельных случаях может доходить до 120 тыс. рублей — в зависимости от способа и сложности атаки, — рассказал Иевлев «Известиям». — Также примерно на 5% выросла стоимость услуг по поиску и сбору информации через OSINT.
По его словам, за месяц может появляться более 200 предложений по сбору информации о потенциальной жертве.
— А еще чаще стали пользоваться спросом услуги по предоставлению полных досье на граждан, что нередко влечет за собой целевой фишинг в отношении отдельных категорий граждан, — говорит эксперт.
Украденные данные редко используются мгновенно. Они попадают на черный рынок, проходя несколько этапов:
— оптовая продажа: данные из разных атак объединяются в архивы (дампы) и продаются «оптом» по цене от $50;
— сортировка и верификация: покупатели-«аналитики» проверяют валидность данных, объединяют информацию из разных утечек в единое досье на человека и готовят к перепродаже;
— специализированная розница: подтвержденные данные продаются на форумах в даркнете и через Telegram. Цены разнятся: аккаунт криптобиржи в среднем стоит $105, доступ к онлайн-банку — $350, а к социальной сети — всего $3;
— использование для целевых атак: собранные досье позволяют проводить изощренные атаки, например, уэйлинг (whaling) на топ-менеджеров. Мошенники используют старые утечки и открытые источники (OSINT), чтобы составить убедительное фишинговое письмо, ссылаясь на реальные детали из прошлого жертвы.
По данным «Лаборатории Касперского»
Кто и кому продает
Обычно персональные данные продают те, кто их украл, — хакеры и кибергруппировки, говорит Виктор Иевлев. Их главные клиенты — мошенники.
— Делается это в первую очередь ради денег — базы перепродают на теневых площадках, в закрытых чатах или через посредников.
Мошенникам нужны актуальные данные о людях, чтобы точнее атаковать граждан и компании: писать и звонить от имени банков или госорганов, подбирать подходы к жертве и, в итоге, пытаться получить доступ к аккаунтам на «Госуслугах», банковским приложениям и другим онлайн-сервисам.
— Например, утечка данных пользователей одной из соцсетей, запрещенной в РФ: с марта 2022 года оттуда было похищено более 17 млн записей с персональными данными граждан России, — говорит Иевлев. — Такие утечки почти всегда приводят к росту мошеннических атак, потому что у злоумышленников появляется больше информации для правдоподобных сценариев.
Речь, предположительно, идет об утечке из Instagram (принадлежит Meta, организация признана экстремистской и запрещена в РФ), суммарно в дампе обнаружено 17 015 503 ID соцсети, 16 553 662 имени пользователей, 6 233 162 e-mail адреса, 3 494 383 номера телефонов, 12 418 006 имен и 1 335 727 адресов.
Выборка дороже
Продавец данных — это, можно сказать, отдельная преступная каста, рассказывает Александр Вураско.
— Продают как отдельные большие базы, так и выборки. Например, злоумышленник хочет взломать десяток-другой аккаунтов Facebook (принадлежит Meta, организация признана экстремистской и запрещена в РФ), — рассказывает киберкриминалист. — Он может сам создать фишинговый сайт, заниматься его продвижением и привлечением жертв, а может купить данные со стилеров или с уже отлаженной сети фишинговых сайтов. При этом он может оперировать параметрами, например, если ему нужны данные пользователей Facebook из России. Естественно, выборки всегда дороже. А может покопаться бесплатно в старых отработанных логах, которые выкладывают в публичный доступ.
Покупатели таких баз обычно заранее знают, для чего им нужны эти сведения. Это могут быть персональные данные для обзвона или рассылки фишинговых писем, могут быть учетные данные для кражи аккаунтов.
Строки — на вес золота
Наибольшую ценность для киберпреступников представляют данные, которые помогают точнее «прицелиться» в жертву и повысить убедительность коммуникации, считает Виктор Иевлев. Речь о связке «телефон – e-mail – имя – адрес», никнеймах и идентификаторах, а также о любых сведениях, которые могут облегчить восстановление доступа к аккаунтам или обход проверок, чтобы добраться до чужих аккаунтов, банковских продуктов и других цифровых сервисов.
— Дальше злоумышленники обычно пытаются собрать о человеке как можно больше информации, — говорит Иевлев. — Данные из разных утечек склеивают между собой и дополняют тем, что можно найти в открытых источниках, — соцсетями, объявлениями, реестрами, публичными упоминаниями. В итоге получается подробный профиль человека или сотрудника компании, а под такой профиль гораздо легче придумать убедительный фишинг или сценарий социальной инженерии.
Опасная комбинация
Все больше сервисов задумываются о принудительной двухфакторной аутентификации из-за высоких рисков взлома учетных записей.
— Войти в сервис по паре «логин – пароль» более чем реально, — констатирует Александр Вураско. — В группе риска — большая часть интернет-сервисов, тем более что при помощи фишинга можно без проблем обойти и двухфакторную аутентификацию, по крайней мере, те виды, что используются на общедоступных сайтах.
Наиболее подвержены риску сервисы, данные с которых легко монетизировать: мессенджеры, соцсети, аккаунты в службах доставки и маркетплейсах.
— Впрочем, ту или иную ценность имеют почти все данные, — заключил эксперт.
