Последние несколько месяцев иранские хакеры успешно используют фишинговые письма для получения доступа к электронной почте и аккаунтам в социальных сетях американских чиновников. Служащие обнаруживают взлом только после предупреждений Facebook о подозрительной активности. Никто не использует двухфакторную аутентификацию. Под удар хакеров попали чиновники, которые работают с Ираном и Ближним Востоком.
Джон Керри с американской делегацией во время переговоров по иранской ядерной программе в Вене
Доступ к аккаунту в социальных сетях даёт возможность узнать о связях пользователя. Злоумышленники могут переходить из аккаунта в аккаунт, чтобы получить доступ к тысячам людей, связанных с их конечной целью. Такую модель использовали власти Ирана, чтобы получить доказательства для обвинения в шпионаже корреспондента газеты Washington Post в Тегеране Джейсона Резаяна.
Федеральное бюро расследований США в 2007 году использовали этот метод. Преступник со страницы MySpace распространял угрозы заминировать учебное заведение, а социальная сеть отказала ФБР предоставить данные этого пользователя. ФБР создала копию популярного в регионе издания Seattle Times и разместила на ней информацию с описанием этого дела. Нажимая на ссылку, пользователь отправлял ФБР данные о себе, включая IP и MAC-адрес.
Злоумышленники из Ирана обычно позиционируют себя в качестве репортёров и сотрудников поддельных новостных агентств. Чтобы подобраться к жертве, они сначала получают «кредит доверия» — ищут общих друзей. Четверть всех заявок на добавление в друзья пользователи подтверждают, после чего новые коллеги и друзья жертвы с большей уверенностью добавляют злоумышленника к себе в друзья. Такая социальная инженерия позволяет добавиться того, что цель нажимает на нужную ссылку и сама вводит в поле поддельного сайта логин и пароль или скачивает вредоносное ПО на свой компьютер. После получения доступа к аккаунтам хакеры могут узнать много тайн, прочитав переписку, а затем использовать эти аккаунты для отправки друзьям жертвы новых ссылок и развития этой сети.
Чиновники, ставшие жертвами иранских хакеров, узнавали о взломе только тогда, когда их предупреждал о подозрительной активности запущенный в октябре 2015 года сервис Facebook. Такие уведомления пользователи получают, когда Facebook считает, что конкретная атака могла быть спонсирована государственными службами.
Пример уведомления от Facebook о подозрительной активности
Иранские хакеры ранее выражали свою политическую позицию с помощью взломов. В 2013 году миллиардер Шелдон Адельсон призвал к ядерной атаке на Иран, а в 2014 году хакеры атаковали его казино в Лас-Вегасе. Злоумышленники стёрли данные с жёстких дисков, вывели из строя почтовые серверы и телефоны и парализовали работу компании. Они использовали уязвимость в веб-сервере на Microsoft IIS и программу Mimikatz. Издание Businessweek отмечало, что Las Vegas Sands пользовалось услугами охранников, набранных из бывших агентов Секретной службы США и Моссада, но при этом защитой компьютеров за два года до события занимались пять человек на двадцать пять тысяч машин.
Джон Керри с американской делегацией во время переговоров по иранской ядерной программе в Вене
Доступ к аккаунту в социальных сетях даёт возможность узнать о связях пользователя. Злоумышленники могут переходить из аккаунта в аккаунт, чтобы получить доступ к тысячам людей, связанных с их конечной целью. Такую модель использовали власти Ирана, чтобы получить доказательства для обвинения в шпионаже корреспондента газеты Washington Post в Тегеране Джейсона Резаяна.
Федеральное бюро расследований США в 2007 году использовали этот метод. Преступник со страницы MySpace распространял угрозы заминировать учебное заведение, а социальная сеть отказала ФБР предоставить данные этого пользователя. ФБР создала копию популярного в регионе издания Seattle Times и разместила на ней информацию с описанием этого дела. Нажимая на ссылку, пользователь отправлял ФБР данные о себе, включая IP и MAC-адрес.
Злоумышленники из Ирана обычно позиционируют себя в качестве репортёров и сотрудников поддельных новостных агентств. Чтобы подобраться к жертве, они сначала получают «кредит доверия» — ищут общих друзей. Четверть всех заявок на добавление в друзья пользователи подтверждают, после чего новые коллеги и друзья жертвы с большей уверенностью добавляют злоумышленника к себе в друзья. Такая социальная инженерия позволяет добавиться того, что цель нажимает на нужную ссылку и сама вводит в поле поддельного сайта логин и пароль или скачивает вредоносное ПО на свой компьютер. После получения доступа к аккаунтам хакеры могут узнать много тайн, прочитав переписку, а затем использовать эти аккаунты для отправки друзьям жертвы новых ссылок и развития этой сети.
Чиновники, ставшие жертвами иранских хакеров, узнавали о взломе только тогда, когда их предупреждал о подозрительной активности запущенный в октябре 2015 года сервис Facebook. Такие уведомления пользователи получают, когда Facebook считает, что конкретная атака могла быть спонсирована государственными службами.
Пример уведомления от Facebook о подозрительной активности
Иранские хакеры ранее выражали свою политическую позицию с помощью взломов. В 2013 году миллиардер Шелдон Адельсон призвал к ядерной атаке на Иран, а в 2014 году хакеры атаковали его казино в Лас-Вегасе. Злоумышленники стёрли данные с жёстких дисков, вывели из строя почтовые серверы и телефоны и парализовали работу компании. Они использовали уязвимость в веб-сервере на Microsoft IIS и программу Mimikatz. Издание Businessweek отмечало, что Las Vegas Sands пользовалось услугами охранников, набранных из бывших агентов Секретной службы США и Моссада, но при этом защитой компьютеров за два года до события занимались пять человек на двадцать пять тысяч машин.
