Знак качества. Хакеры прикрылись названием «Компромат-Урал» для провокаций против журналистов-расследователей. СКРИН

22.12.2020

Редакция «Компромат-Урал» получила очередное признание как оппозиционное издание. Об этом стало известно на днях из публикации корреспондента «Новой газеты» Дениса Короткова. Он подробно рассказал, как провластные компьютерные злоумышленники пытались «одновременно взломать аккаунты пяти журналистов-расследователей в ночь после того, как Владимир Путин был вынужден отвечать на вопросы о необъяснимом росте благосостояния членов своей семьи, пусть и бывших». Речь идёт о Кирилле Шамалове, экс-супруге Екатерины Тихоновой, которая на последней путинской «большой пресс-конференции» перестала-таки быть «предполагаемой» дочерью президента, а признана самим отцом вполне себе реальной.

Так вот, разбирая попытки незаконного проникновения «мстителей» в личные аккаунты журналистов, автор «Новой» сообщает, в том числе, как ему и редактору отдела расследований Александре Джорджевич поступают странные письма. Якобы от коллег-журналистов, которые просят согласовать цитаты из материала «Новой газеты», которые они намерены использовать в своей статье, либо хотят полностью перепечатать сам материал и просят разрешения. Уже само по себе странно, так как цитировать опубликованный материал со ссылкой на источник не возбраняется никому».

Далее в тексте говорится, что «некто, назвавшийся редакцией портала «Компромат-Урал», предлагает автору отдела расследований скачать черновик расследования и «согласовать» его. Естественно, при попытке перейти по ссылке для доступа к чужим документам Google очень похожий сайт почему-то запрашивает пароль пользователя, предоставлять который было бы несусветной глупостью».

Показательно, что злоумышленники использовали название «Компромат-Урал» - хотели с большей вероятностью вызвать доверие у наших коллег. Прикрываться каким-нибудь троллинговым СМИ из какого-нибудь «пригожинского пула» было бы заведомо провально. А «Компромат-Урал» - почему нет? Сайт с собственными и цитируемыми критическими материалами, периодически подвергается нападкам нуворишей и власть имущих (обычно это одно и то же). На письмо от такого издания могут клюнуть, - не без логики предполагали преступники. Отрадно, что профессионалы «Новой» не попались на крючок.

В порядке предостережения редакция «Компромат-Урал» подчёркивает, что мы никогда не занимались и не занимаемся такой фигнёй, которую от нашего имени подсунули в почту коллегам. Это подлог и фейк. Главного редактора портала «Компромат-Урал» Василия Гуськова, которым подписались взломщики аккаунтов, в природе не существует.

А сейчас для наших читателей воспроизведём вышеназванную публикацию о том, как «после ответа Путина на вопрос о сказочном обогащении его бывшего зятя аккаунты авторов расследования атаковали неизвестные. Работали «по высшему тарифу». Рекомендуем дочитать до конца:

«Одна ночь - пять атак на Telegram и Facebook журналистов. Через несколько часов после ответа Владимира Путина на вопрос о собственности его бывшего зятя из расследования «Важных историй» атакованы пятеро из восьми авторов. Скорее всего, это только начало.

Прелесть этого случая - в способе атаки. Несанкционированный доступ к электронной почте, аккаунтам в соцсетях и мессенджерах злоумышленники пытаются получить постоянно, обычно с помощью нехитрой социальной инженерии, когда пользователь сам предоставляет взломщику свой аккаунт, либо путём рассылки вредоносного вложения в письмах и сообщениях, либо комбинируя эти способы.

Случается доступ через SMS-аутентификацию, для этого необходим «захват» чужой SIM-карты: аферисту необходимо посетить салон оператора сотовой связи и с помощью подложного документа (паспорта, доверенности) или взятки заблокировать карту пользователя и получить новую от его имени. «Важные истории» пытались вскрыть по высшему тарифу.

Что случилось ночью

К Роману Анину, Олесе Шмагун и Роману Шлейнову пытались войти в Telegram, к Дмитрию Великовскому и Алесе Мароховской — в Facebook. То есть, видимо, кто-то открыл страницы мессенджера и соцсети, указал, что забыл пароль, и выбрал опцию аутентификации по SMS. И, судя по отчётам, пришедшим настоящим пользователям, правильные SMS ввёл.

От компрометации аккаунтов спасло профессиональное отношение коллег к информационной безопасности: все они использовали двухфакторную аутентификацию, при которой для доступа к ресурсу требуется дополнительный пароль.

Но сам факт попытки такого взлома свидетельствует, что кто-то сумел получить на свой номер мобильного телефона SMS, предназначенное другому пользователю.

При этом перерыва связи журналисты не заметили и сами этого SMS не получали. Это означает, что перевыпуск сим-карт не происходил, все время они оставались в распоряжении своих владельцев. Или всё же не совсем? Случаи, когда такое возможно, - это либо участие в «операции» кого-то из сотрудников сотового оператора, либо несанкционированное удаленное проникновение в компьютерные «недра» этого оператора.

Что случилось днём раньше

Основатель «Важных историй» Роман Анин полагает, что наиболее вероятный сценарий — участие государственных служб.

КОММЕНТАРИЙ. Роман Анин, основатель «Важных историй»: «Скорее всего, это сделали люди, связанные с государством. Мне известно, что подобная операция возможна и для частных лиц на коммерческой основе, но я исхожу из контекста. Учитываю, после какой истории это произошло».

Действительно, попытка одновременного взлома аккаунтов пяти журналистов-расследователей в ночь после того, как Владимир Путин был вынужден отвечать на вопросы о необъяснимом росте благосостояния членов своей семьи, пусть и бывших, — вряд ли совпадение.

И ещё аргумент. Услугу кратковременной подмены адресата SMS, отправленных на определенный номер, в Даркнете готовы предоставить. Однако номера журналистов «Важных историй» зарегистрированы у разных операторов. Подмену номера предлагают у всех операторов, но вот предположить, что злодеи способны почти синхронно и в столь сжатые сроки провести операцию с разными компаниями, — сложно.

На чьей стороне коррупция

Была ли попытка нарушения конфиденциальности результатом деятельности спецслужб, или самодеятельностью частных лиц, наверное, останется тайной. Правда в том, что системы безопасности этих самых операторов имеют огромные дыры. Сведения о соединениях вашего телефона, его позиционировании и об интернет-трафике может получить любой гражданин за приемлемые деньги. Если есть сомнения, почитайте историю Bellingcat, The Insider, Der Spiegel и ФБК об отравлении Алексея Навального. Может, операторов утешит тот несомненный факт, что у других организаций, включая самые тайные и могущественные, всё протекает точно так же.

Главный автор этого и многих других расследований Bellingcat Христо Грозев никогда не скрывал, что разбираться с коррупцией в России ему помогает тотальная коррумпированность российских структур: «За деньги можно купить не только биллинги у частных сотовых операторов, но и получить, например, данные о паспортах российских разведчиков, выданных подразделениями МВД, или сведения о пересечении границы из погранслужбы ФСБ. Не говоря о менее охраняемых секретах. В результате доступ к огромным массивам информации, которые хранятся в электронном виде, получают не только правоохранительные, специальные и прочие государственные службы, которым это положено по закону, но и любой гражданин, готовый раскошелиться. Все равны, и если журналисты используют в своих материалах данные, купленные на чёрном рынке третьими лицами, то и герои наших публикаций не остаются в стороне».

Как нас пытаются взломать

Да так же, как и всех остальных. Подмена SMS - пока редкий случай. Чаще всё достаточно примитивно. Письма с попыткой заставить выдать свои пароли доступа давно отправляются в специальную папку - для коллекции. Выглядит она так. Адреса стараются выбрать максимально близко к оригиналу.

Внутри все письма немного отличаются, они украшены соответствующими логотипами (Google, Госуслуги, ФССП и далее — в зависимости от «адресата»), в них для оплаты штрафа (разблокировки аккаунта, получения уведомления, доступа к присланным документам) предлагается перейти по ссылке и, чтобы подтвердить свою личность, — ввести пароль своего аккаунта.

Если вы на это поведётесь, то, скорее всего, злодеи успеют завладеть вашей почтой, привязанными мессенджерами, документами, фотографиями и прочим содержимым облачного хранилища — пока вы не спохватитесь и не броситесь всё блокировать и менять пароли. Но видна халтура.

Меня, например, почему-то временами подвергают массированной атаке ранним утром, и, проверив почту, я узнаю, что у меня закончилось место в облачном хранилище, пришёл штраф из ГИБДД, а ФССП мечтает вручить мне исполнительный лист - и всё это в течение десяти минут.

Теоретически можно рассчитывать, что я, спросонья не разобравшись, введу заветный пароль (на самом деле — нет), но предполагать, что адресата не насторожит лавина писем из всевозможных структур, как-то самонадеянно. Единственное объяснение, которое пришло мне в голову, — это если исполнителям платят не за результат, а за количество попыток. Что непрофессионально.

Разнообразием балуют редко, и тоже без особых фантазий. Например, письма мне и редактору отдела расследований «Новой газеты» Александре Джорджевич якобы от коллег-журналистов, которые просят согласовать цитаты из материала «Новой газеты», которые они намерены использовать в своей статье, либо хотят полностью перепечатать сам материал и просят разрешения. Уже само по себе странно, так как цитировать опубликованный материал со ссылкой на источник не возбраняется никому.

Некто, назвавшийся редакцией портала «Компромат-Урал», предлагает автору отдела расследований скачать черновик расследования и «согласовать» его.

Естественно, при попытке перейти по ссылке для доступа к чужим документам Google очень похожий сайт почему-то запрашивает пароль пользователя, предоставлять который было бы несусветной глупостью.

Попыткой проникнуть в Telegram путём подмены адресата SMS меня удостоили всего один раз. Либо поскупились, либо плохо работаю.

Не только онлайн

Предполагать, что интерес к журналистам проявляется только в Сети — наивно. Впрочем, разделить онлайн и офлайн сегодня уже невозможно. Контроль всеобъемлющ, а доступ к его результатам — относительно недорог. Правила игры нам известны.

Покупаете билет на поезд или регистрируетесь на авиарейс — будьте готовы к тому, что о ваших планах стало известно героям ваших публикаций. Воспользовались мобильным телефоном для звонка в GSM-сети — считайте, что контакт с вашим источником больше не секрет. Это в лучшем случае, если вами не сильно интересуются. Если сильно — не секрет и содержание вашего разговора, но это заметно дороже.

Не используете Tor или VPN — по характеру ваших запросов в поисковиках тема вашей будущей статьи, которую вы готовите в качестве большого сюрприза, станет известна интересантам раньше вашего редактора.

Можно выключить компьютер, убрать сотовый в «чехол Фарадея» и нацепить шапочку из фольги. Не спасет. Вас найдут офлайн. Как недавно находили журналиста «Новой газеты» Елену Милашину в Грозном. Старое доброе наружное наблюдение. В случае с Леной — практически открытое, даже вызывающее, скорее всего, демонстративное.

Профессионалов, тем более ведущих наблюдение по всей науке, с применением средств маскировки, специальной техники, на нескольких автомобилях, вы не заметите, если не проходили подготовку по контрнаблюдению. А вы её не проходили. Журналистские семинары по этой теме (при всем уважении к их организаторам) - попытка дилетантов научить профанов противостоять профессионалам. Против подготовленной и мотивированной команды спецов шансов нет. Хорошо, если ваш условный противник поскупится и наблюдение будет организовано по эконом-тарифу уволенными с государевой службы двоечниками. Это как повезёт. Иногда результаты этого наблюдения всплывают на помойных ресурсах со ссылкой на анонимные источники или «легализуются» через специально обученных блогеров.

Даже если вы смогли убедиться, что за вами никто не идёт и не едет, — это не значит, что о вашем маршруте никто не знает. Позиционирование с помощью сигнала вашего активного смартфона в режиме реального времени доступно скорее государевым службам, для лиц частных, пусть и состоятельных, всё же дороговато, и не все обладают нужными связями и влиянием, чтобы получить доступ к ресурсу. Если дело в Москве, так данные с камер «Безопасного города» предлагают по относительно гуманным ценам. Есть решение ещё проще, и цена ему - 5 тысяч рублей за всё.

Вот такая штука на днях была извлечена из-под заднего бампера личного автомобиля.

Китайский GPS-трекер; таких и подобных ему в интернет-магазинах сколько угодно. Плюс SIM-карта, купленная с рук у вокзала за копейки, зарегистрированная на какого-нибудь гражданина из ближнего среднеазиатского зарубежья, — и кто-то будет знать всё о перемещениях вашего авто, наблюдая за зелёной точкой на экране. Знай только трекеры меняй раз в два-три месяца, перезаряжая аккумуляторы.

Кто виноват и что делать?

Как правило, есть понимание, кто организует контроль. Но с пониманием, и даже убеждённостью, к следователю не пойдёшь. Уголовные преступления, по признакам которых теоретически можно было бы возбудить уголовные дела, — неправомерный доступ к компьютерной информации (пока нет сведений о корыстном мотиве или совершении преступления в составе группы, или об использовании служебного положения — до двух лет лишения свободы) и нарушение тайны частной жизни (тоже до двух лет).

С одной стороны, оба этих состава относятся к категории преступлений небольшой тяжести, так что славы и почестей от раскрытия немного, с другой — для этого самого раскрытия необходим титанический объём работы, в том числе силами оперативных и оперативно-технических подразделений. Кто ж эти ресурсы выделит — вопрос риторический.

Мой прогноз: заявление ляжет на стол самому эффективному и универсальному специалисту в МВД — участковому уполномоченному, который и примет единственно верное, законное и обоснованное решение об отказе в возбуждении уголовного дела. Как, скорее всего, будет и с моим трекером.

Кроме того, в случае попытки доступа к компьютерной информации требования процессуального законодательства чаще всего пойдут вразрез с профессиональными стандартами.

«Обращение в правоохранительные органы не имеет смысла, так как в рамках доследственной проверки для подтверждения истинной принадлежности наших аккаунтов и для установления факта попытки несанкционированного доступа нас попросят предоставить доступ к ним, пароли, на это мы пойти не можем», — очевидная позиция Романа Анина и его коллег.

Что делать? СОВЕТЫ ПРОФЕССИОНАЛА

Роман Анин, основатель «Важных историй»: «На самом деле двухфакторная аутентификация — это очевидная рекомендация. Но она должна быть правильная. Многие устанавливают пароль, в качестве второго фактора SMS, и считают, что они защищены. Если для восстановления пароля вы указали электронную почту на российской площадке, такой аккаунт нельзя считать защищённым.

В России и в других коррумпированных странах - только сложный пароль, который вам придётся запомнить, либо, например, Google Authenticator.

Лучше всего — разделять устройства по задачам. Одно устройство — для жизни, на нём устанавливаем те приложения, без которых нам не обойтись: Госуслуги, онлайн-банки, такси, навигаторы и тому подобные. На другом — ничего, кроме рабочего мессенджера. И желательно, с SIM-картой не российского оператора».

Мойте руки перед едой. Чистите зубы два раза в день. Устанавливайте двухфакторную аутентификацию и шифруйте данные».

Читатели и редакция «Компромат-Урал» признательны коллегам за интересный материал. Присоединяемся к рекомендациям относительно информационной гигиены и напоминаем наши адреса (другие не используем): kompromat-ural@protonmail.com, shartash@tutanota.com

На связи с читателями – Анатолий Амиров
«Компромат-Урал»