Что делать, если хакер взломал сайт и вымогает деньги

По данным экспертов в области Happy антивирусной безопасности британской компании Sophos Labs, ежедневно в интернете фиксируется около 30 тысяч зараженных веб-сайтов, распространяющих вредоносный код и содержащих потенциальную опасность для пользователей интернета (данные за 2013 год). Зараженный сайт в руках хакера — инструмент, который может приносить взломщику хороший доход в течение достаточно долгого времени, не вызывая никаких подозрений со стороны владельца ресурса.mountainsphoto.ru

Взлом сайта и незаметное паразитирование на нем — не единственный способ извлечения недобросовестной выгоды. Иногда хакеры выбирают другую схему взаимодействия с хозяином скомпрометированного ресурса, действуя агрессивно и открыто: за взломом следует вымогательство денег за якобы устранение «брешей» — в противном случае хакер угрожает полным уничтожением сайта. О том, какие веб-ресурсы чаще всего подвергаются внешним атакам и как вести себя, если вас шантажирует хакер, и пойдет речь в моей колонке.berryjam.ru

Взлом сайтов с целью извлечения коммерческой выгоды — основной мотив, побуждающий хакеров использовать уязвимости на сайтах своих жертв для получения контроля над веб-ресурсом.

Времена, когда сайты взламывались преимущественно ради «интереса» к новым технологиям или удовлетворения тщеславия и, как бы это странно ни звучало, профессиональных амбиций, уходят в далекое прошлое. Цель современного веб-мастера, «играющего на темной стороне» — деньги, причем, немалые. Впрочем, аппетиты хакера зависят от уровня его профессиональной подготовки, возраста и степени уверенности в своей безнаказанности.

Наивно полагать, что хакерским атакам подвержены исключительно крупные информационные порталы, сайты банков, холдингов или корпораций (которые, взломан как правило, хорошо защищены). Наоборот, сотни тысяч хакеров заинтересованы во взломе именно небольших веб-сайтов, владельцы которых не могут грамотно оценить риски и забывают о проблеме защиты и безопасности сайта. Обычно до момента взлома сайт считается неуязвимым, а у владельца остается 100% уверенность, что беда обойдет его стороной.

В большинстве случаев хакер действует достаточно осторожно и аккуратно: он незаметно взламывает сайт, размещает на нем вредоносный код, вирусы, рекламные баннеры или мобильные редиректы. Кроме того, что хакер наносит ущерб самому сайту, страдают и его посетители — при заходе на взломанный веб-ресурс компьютер пользователя может заразиться вирусом или троянской программой. Скомпроментированный хостинг-аккаунт используется для рассылки спама.

После взлома сайта ничего не подозревающий владелец ресурса продолжает свое спокойное существование, прилежно наполняя раздел «Новости» и «Акции», а также инвестируя в продвижение в поисковиках. Мысль о том, что в один прекрасный момент сайт может оказаться заблокированным антивирусом, поисковой системой или хостером за распространение вирусов или спам-рассылку (а вложения в раскрутку веб-ресурса окажутся потраченными впустую), даже не приходит владельцу сайта в голову.

Между тем, уютно разместившийся хакер может «прожить» на взломанном сайте довольно долго, используя антивирус его как площадку для извлечения прибыли или проведения атак на другие сайты. Присутствие стороннего кода и файлов владелец сайта замечает только спустя какое-то время и, в основном, по косвенным признакам. О наличии вредоносного программного обеспечения могут сообщить посетители сайта или хостинг-провайдер; подозрительная активность может быть замечена антивирусом на рабочем компьютере или встроенным антивирусом поисковой системы.

Однако есть и другой, менее встречающийся, но не менее неприятный вариант «сотрудничества» хакера с владельцем сайта. Речь идет о взломе веб-ресурса с целью вымогательства, когда хакер, прикрываясь маской добродетели, предлагает владельцу ликвидировать обнаруженные им уязвимости за некоторое щедрое вознаграждение, в противном случае — … Варианты последствий ограничиваются лишь жадностью и фантазией хакера.

На момент получения владельцем сайта сообщения от хакера о том, что его сайт находится под угрозой, «веб-ломастер» уже проделал определенную работу: потратил время на поиск «дырявого» веб-сайта, изучил уязвимости, проник внутрь и пустил корни зла в виде веб-шелла или бэкдора. Сайт, а иногда и весь аккаунт хостинга, уже находятся под контролем хакера, и, чувствуя себя хозяином положения, вымогатель предпринимает первые шаги, инициируя контакт с владельцем ресурса. Связаться с жертвой вымогатель может любым удобным для себя способом — по email, skype или через соцсети, естественно, действуя через подставные аккаунты и безопасный выход в интернет.

Первое входящее сообщения может выглядеть приблизительно так: «В вашем веб-ресурсе обнаружена уязвимость, я хочу вам en помочь, предотвратив атаки на ваш сайт; я избавлю вас от проблем, как только вы перечислите деньги на мой электронный кошелек».

Одев маску Робин Гуда, хакер пытается «продать свои услуги» по устранению брешей на сайте за определенное вознаграждение (размер которого, как правило, превышает стоимость услуг компаний, специализирующихся на лечении и защите веб-сайтов). Чтобы доказать свое могущество, произвести впечатление и, наконец, просто напугать владельца сайта, хакер совершает некоторые изменения — добавляет картинки, удаляет разделы, изменяет текст.

Продемонстрировав свои возможности, злоумышленник вынуждает жертву согласиться на «сотрудничество», а в случае отказа уничтожает сайт, выкладывает дамп базы и рип сайта на хакерском форуме (например, на nulled.cc или forum.antichat.ru) с целью выгодно перепродать преступно приобретенную информацию другим недобропорядочным участникам интернет-сообщества. Или же просто начинает зарабатывать на сайте, используя перечисленные в начале статьи «мирные» варианты.

Сложившаяся ситуация опасна тем, что хакер может полностью уничтожить сайт без возможности его последующего восстановления и проведения анализа взлома, поскольку в его распоряжении находится полный доступ не только к файлам и базе данных сайта, но часто и к резервным копиями и логам сервера. Именно поэтому крайне важно выработать грамотный алгоритм действий, который, в случае несанкционированного проникновения и шантажа со стороны хакера, позволит сохранить веб-ресурс и повысит шансы найти злоумышленника.

За взлом сайта и вымогательство киберпреступнику «светит» сразу несколько статей УК РФ, однако, как показывает сложившаяся практика, доведение до суда таких дел маловероятно — уж слишком легко в виртуальной среде замести все преступные следы, и слишком невежественны в вопросах информационной безопасности владельцы сайтов.

Существует ряд веских причин, почему не стоит сотрудничать со взломщиками сайтов, обещающих избавить вас от головной боли при условии, что вы оплатите им работу по якобы устранению текущих уязвимостей. Во-первых, в основном подобной формой вымогательства занимаются юные специалисты — школьники или студенты, которые в силу своего непрофессионализма и некомпетентности просто не в состоянии грамотно защитить сайт от последующих атак.

К сожалению, современные тинейджеры теперь не просто просиживают время за компьютерами, сражаясь с майнкрафтовскими криперами и пауками, или уничтожая противников в Counter-Strike. «Жажду скорости» заменяет жажда денег — а интернет изобилует инструкциями по взлому сайтов. Так почему не попробовать себя в роли хакера с целью заработать на карманные расходы?

Во-вторых, не стоит забывать, что главная цель взломщика — извлечение материальной выгоды, поэтому «нормальная» хакерская практика подразумевает, что злоумышленник, внедрив хакерский бэкдор или веб-шелл, сохраняет за собой контроль над сайтом «на всякий случай». Вероятность того, что доступ ко взломанному сайту будет продан другим хакерам, а рип окажется в публичном доступе, очень высока. А покупатели «на черном рынке» всегда найдутся:

Да и сможет ли некомпететный владелец сайта проверить, что уязвимости действительно устранены, а хакер не использует его ресурс для получения собственной выгоды? Ведь никаких гарантий его «партнер» не дает.

В целом, взломщики стараются выбирать небольшие, но высокопосещаемые интернет-ресурсы, владельцы которых потенциально платежеспособны — преимущественно это сайты не ИТ-направленности.

Наш опыт работы в сфере лечения elevi и защиты веб-сайтов показывает, что больше всего хакерским атакам с целью мелкого вымогательства и шантажа подвержены интернет-магазины и популярные женские порталы.

Главная причина повышенного внимания хакеров к сайтам данной категории вполне очевидна. Владелицы порталов, где участницы делятся кулинарными рецептами или обсуждают новинки моды, крайне редко осведомлены о важности информационной безопасности в интернет-среде — сайты попросту незащищены от внешних вторжений. К тому же, женскую аудиторию легко запугать и принудить заплатить деньги.

Владельцы интернет-магазинов более искушены в вопросах информационной безопасности, однако не настолько, чтобы быть неуязвимыми при хакерском нападении. Сканирование сайта на наличие в нем брешей — последнее, о чем подумает владелец интернет-магазина, чье внимание сконцентрировано на конверсии сайта и прибыли своего бизнеса. Не желая допустить ни малейшей приостановки продаж, владелец ecommerce-сайта идет на сделку с хакером и выплачивает запрашиваемое вознаграждение, не получая взамен никаких гарантий.

Найти новую жертву хакеру не так-то и сложно. Воспользовавшись тематическим каталогом сайтов, например каталогом «Яндекса», злоумышленник может получить полную подборку интересующих его веб-ресурсов.

Другой способ — поиск с помощью «дорков». Это специальные запросы в Google, благодаря которым можно получить список уязвимых сайтов. Например, хакерскому сообществу становится известна новая уязвимость в WordPress. Используя данную информацию, хакер ищет в Google сайты, в адресе страниц которых содержится дорк, указывающий на присутствие определенной бреши на сайте.

Конечно, злоумышленник может наткнуться на уязвимый сайт случайно или «по наводке» и, наконец, просто приобрести базу взломанных сайтов у своих «коллег» на хакерском рынке.

Грамотная реакция и оперативное реагирование на возникшую ситуацию помогут вам сохранить сайт и контроль над ситуацией, а в некоторых случаях даже поймать злоумышленника.

Первое, что необходимо сделать — тут же обратиться в компанию, специализирующуюся на лечении и защите сайтов. В обращении подробно опишите ситуацию и перешлите переписку с хакером. Компетентные специалисты проведут расследование, удалят вредоносный код с сайта, установят защиту от взлома.

Приложите усилия, чтобы ввести хакера в заблуждение — согласитесь на сотрудничество, стараясь выиграть время:

Ваша основная задача — собрать как можно больше информации о вымогателе и проделанной им работе,  чтобы передать ее профессионалам в области информационной безопасности.

Каждый владелец сайта, попавший в подобную ситуацию, желает восстановить справедливость и наказать хакера по всей строгости закона. К сожалению, не так-то легко поймать виртуального злоумышленника, тщательно скрывающего любую реальную информацию о себе.

Используя поддельные IP (работая через прокси и VPN), создавая временные или эксплуатируя взломанные аккаунты соцсетей, email и электронные кошельки, опытные хакеры становятся практически неуловимы, однако новички могут допускать ошибки и дают шанс на собственную «развиртуализацию».

 

 

Добавить комментарий