Одно время я работал на сайте free-lance.ru. Утром я обычно следил за заказами, а днем работал непосредственно.
Однажды мне попался заказ, сумма по которому была очень аппетитной.
Я сразу отреагировал на заказ и буквально через минуту получил в личное сообщение техническое задание на проект. Сначала меня удивила скорость реагирования, и то, что меня сразу выбрали исполнителем, но с другой стороны, такое и раньше случалось часто.
Файл с техническими характеристиками мне показался странным; у него была встроенная ссылка на флэш-видео.
Проверив файл на вирусы и получив ответ, что угроз не обнаружено, я наконец расслабился и кликнул по ссылке на флеш-видео.
Но кликать не стоило.
Ломать
Вот злосчастная ссылка и ответ антивируса, что в Багдаде все спокойно и никаких угроз не обнаружено.
Мы еще немного поговорили с заказчиком о сроках, стоимости, пожеланиях и т. д. и я приступил к работе.
Через некоторое время мне нужно было уточнить детали и я попытался повторно связаться с клиентом.
Заказчик со мной не связался.
Я попробовал еще несколько раз и, поняв, что все напрасно, приступил к другой работе, счастливо забыв о потерянном времени.
Мне пришлось очень быстро вспомнить этот случай, буквально на следующий день.
Мне срочно нужно было пополнить телефон деньгами и я решил воспользоваться обычными ЯДАМИ, благо у меня там торчали несколько копеек.
Но когда я зашёл в аккаунт ЯД, то обнаружил там полный ноль.
Я посмотрел историю и обнаружил перевод денег на чужой незнакомый кошелек, причем с незнакомого мне IP. Вот мой IP, он у меня постоянный: Упс: Здесь был мой IP-адрес, в целях безопасности я его удалил.
Вот перевод из истории ЯДА: 
IP-адрес — Москва, а время перевода, если по нашему времени, уже 6:45, время моего глубокого сна.
Когда я это обнаружил, то ничего не мог понять, ведь нужно знать пароль электронной почты и платежный пароль, что, кстати, отвечает всем моим пожеланиям по придумыванию паролей.
Я начал думать и вспоминать, как можно было провернуть такую аферу, и в какой-то момент вспомнил об этом странном техническом задании.
Я бросился проверять историю своего браузера и обнаружил там странную запись: 
Оказывается я проснулся ночью, зачем-то зашёл в Яндекс и снова уснул.
Бред. Понятно, что мне подкинули трояна.
В процессах висел странный сервис под названием рутсерв, и после погугления я наконец нашел трояна.
В интернете оказалась скрытая Система Дистанционного Манипулятора, есть даже подробная инструкция по ее сборке - http://www.xaker.name/forvb/showthread.phpЭt=20588&page=6 .
Троянца тут же свалили на землю и унесли.
Самое интересное, что антивирус на это даже не жаловался.
Схема вроде бы раскрылась и я думал, что на этом все и закончится.
Естественно, я поменял все пароли на всех сайтах, где регистрировался.
Кстати, помимо того, что позволял подключаться ко мне по RDP, троянец еще работал как кейлоггер, записывая все мои пароли и отправляя их злоумышленнику.
Когда я это узнал, то поблагодарил себя за то, что не набираю каждый раз пароли и тупо сохраняю их в браузере.
Продолжение
Потом время от времени случалась неведомая фигня, типа блокировки почты в Гугле (у меня там еще двухэтапная авторизация), блокировка аккаунта ВКонтакте и так далее.Было видно, что ко мне пытаются войти, но тщетно пароли поменяли.
Самое страшное произошло сегодня.
У нас с женой, как и у всех остальных, вероятно, есть конфиденциальная информация, которую мы не хотели бы разглашать.
А сегодня ко мне в скайп постучался Маркус Швиммер из Германии и наш диалог развивался в таком ключе.
Жена очень испугалась.
Мы оба пытались понять, кому мы перешли дорогу и, главное, откуда взялся компромат, ведь он лежал очень далеко в архиве под семью паролями.
Взломать пароль было невозможно.
На всякий случай мы заблокировали аккаунты ВКонтакте, предварительно написав своим друзьям о том, что они могут что-то получить, и попросив отнестись к этому адекватно и по возможности игнорировать.
Чуть позже возникла догадка, что компромат мог прийти из электронного почтового ящика; однажды я отправил его жене.
Это был примерно 2005 год, у меня еще был аккаунт почты на mail.ru. Спустя несколько лет, в 2007 году, я сменил аккаунт электронной почты на Google и добавил функцию сбора почты с mail.ru. За сохранность ящика Google я не переживал и думал, что все в целости и сохранности, но на mail.ru все письма, отправленные на ящик Google, тоже сохраняются.
Злоумышленник взломал этот почтовый ящик с помощью кейлоггера.
В тот момент мне как раз вспомнилась история с просьбой восстановить пароль к ящику mail.ru, случившаяся как раз после того странного технического задания.
Я пытался тянуть время, на ходу обдумывая, как разрешить ситуацию.
Даже если бы мы перевели деньги, никто бы нам не дал гарантий, а международная практика рекомендует не вступать в переговоры с вымогателями.
Но злоумышленник был вполне готов пойти на контакт, после первого часа дал еще час, а потом еще пару.
В общении заметила «хоть что-нибудь сделай, а там…», «извини, не могу» — глупые орфографические ошибки, не свойственные адекватному взрослому человеку.
Подумав, я пришел к выводу, что это тот самый злоумышленник, который украл у меня яд и который хотел еще.
У него не было цели рассылать компромат, его целью было получить деньги.
После первого часа я начал копать в правильном направлении.
Скайп, оказывается, в большинстве случаев соединяется напрямую с собеседником.
Первым делом я скачал csports и, проверив работоспособность у друга, с которым общался по скайпу, решил узнать IP злоумышленника.
Когда злоумышленник вышел на связь, мне удалось узнать его IP — 109.191.235.66. Воспользовавшись этим сервисом - http://speed-tester.info/ip_location.php Выяснил, что IP принадлежит пулу адресов провайдера "Интерсвязь" - http://www.is74.ru .
После звонка в службу поддержки я был в этом абсолютно уверен.
Кстати, в службе поддержки мне попался адекватный молодой человек, который меня внимательно выслушал, согласился предоставить информацию только по запросу полиции (что и понятно), но на вопрос, имеет ли данный абонент актуальное подключение к моему IP-адрес, он ответил положительно.
За что ему большое спасибо.
Теперь у меня в руках были козыри.
IP-адрес злоумышленника, переписка в Skype, данные от провайдера (которые помогли бы идентифицировать злоумышленника) и я не раздумывая выложил свои карты на стол, когда злоумышленник вновь появился в сети, запугав меня следующими статьями:
- Искусство.
137 УК РФ — Нарушение неприкосновенности частной жизни;
- Искусство.
138 УК РФ — Нарушение тайны переписки, телефонных переговоров, почтовых, телеграфных или иных сообщений;
- Искусство.
163 УК РФ – Вымогательство;
- Искусство.
272 УК РФ — Неправомерный доступ к компьютерной информации;
Кстати, непонятно, почему злоумышленник не позаботился о собственной безопасности (Скайп позволяет работать через прокси) и непонятно, почему в первом случае IP был московский.
Возможно, злоумышленников все-таки было двое.
УПД: Прочитав комментарии, я наконец решил написать заявление в полицию.
Теги: #хакеры #взлом #шантаж #информационная безопасность
-
Duke Nukem Forever — Геймплей
19 Oct, 24 -
Движение Поездов В Реальном Времени.
19 Oct, 24
