В среду многие российские интернет-пользователи стали жертвами хищения аккаунтов к программе Skype. Алгоритм взлома предусматривает регистрацию злоумышленником новой учетной записи в Skype на электронный адрес жертвы. После регистрации и нескольких несложных процедур взломщику достаточно воспользоваться сервисом восстановления паролей, чтобы получить доступ к списку всех аккаунтов, зарегистрированных на адрес жертвы, и сменить в них пароли.
Имеются сведения о взломах аккаунтов Skype, используемых обменниками электронных валют, осуществленных в начале ноября
Впервые данный способ взлома был опубликован ранее на этой неделе на хакерском форуме Xeksec.
По данным с форума техподдержки Community.skype.com, данные об уязвимости были впервые опубликованы еще в июле текущего года, однако до сих пор она не была исправлена.
Позднее в среду представитель сервиса сообщил, что уязвимость устранена. «Мы получили сообщения об уязвимости в системе безопасности Skype. В целях безопасности наших пользователей мы временно отключили функцию сброса пароля, также мы продолжаем дальше исследовать этот вопрос», – сказал он.
При попытке воспользоваться сервисом по восстановлению пароля пользователю просто предлагается ввести свои логин и пароль.
Специалист российской компании Positive Technologies, работающей в области инфобезопасности, Олеся Шелестова рассказала РИА «Новости», что характер уязвимости теоретически позволял поставить взлом аккаунтов Skype «на поток». «Автоматизация процесса не требует особых трудозатрат с учетом абсолютной незащищенности процедуры восстановления пароля. Ввод e-mail для восстановления не просит CAPTHA (ввода цифр с картинки). А для манипуляций с приложением Skype и cookies (на одном из этапов взлома требуется очистить историю браузера) не требуется особых умений. Бота (программу для автоматизации взлома) можно написать за несколько минут», – сказала Шелестова.
Ведущий специалист отдела расследований инцидентов информационной безопасности российской компании Group-IB Максим Суханов сообщил, что хакеры в основном применяли уязвимость, чтобы обманывать пользователей крупных сервисов по обмену электронных денег.
«После появления новой уязвимости злоумышленники попытались эксплуатировать ее с максимальной выгодой для себя. В частности, имеются сведения о взломах аккаунтов Skype, используемых обменниками электронных валют, осуществленных в начале ноября», – сказал Суханов.
По словам эксперта, сейчас известно об успешных атаках как минимум на два крупных сервиса по обмену электронной валюты: Magnetic Exchange и WM Center. Получив доступ к skype-аккаунтам техподдержки обменников, злоумышленники представлялись сотрудниками этих сервисов и похищали деньги клиентов, переданные для обмена.
Распространивший информацию об уязвимости эксперт по информационной безопасности под ником ReanimatoR утверждает, что уведомил администрацию Skype о наличии уязвимости еще три месяца назад.
Ошибка разработчиков заключается в том, что если у хакера есть аккаунт в Skype и он знает адрес электронной почты, на который зарегистрирован аккаунт другого пользователя, то злоумышленник может легко получить доступ к аккаунту «жертвы»: для этого нужно указать ее e-mail в своем профиле в качестве основного адреса и запустить процедуру восстановления пароля.
Специалисты компании «Лаборатория Касперского» отметили, что от появления уязвимостей никто не застрахован, главное, сам сервис должен быстрее найти киберпреступников. «Насколько нам известно, Skype на тот момент, пока устраняется уязвимость, закрыл возможность смены пароля», – сказал газете ВЗГЛЯД представитель «Лаборатории». – Skype считался надежной программой только из-за того, что невозможно прослушивать разговоры. Пользователям мы бы посоветовали обезопасить себя созданием временного почтового ящика, пока не разрешится проблема».
«Информация об уязвимости была озвучена на конференции, Skype закрыл возможность данной дыры буквально в течение часа, после этого об использовании этой уязвимости никаких сведений нет, – сказал газете ВЗГЛЯД главный редактор интернет-сайта Roem.ru Юрий Синодов. – Обычному пользователю, который не является публичной персоной, можно посоветовать скрывать контактные данные, телефон, почту и т. д., поскольку конкретно эта уязвимость была связана с тем, что атакующий знал и e-mail атакуемого».
Компания Skype была основана в 2003 году. Число зарегистрированных пользователей сервиса превышает 500 млн человек, а его ежемесячная аудитория достигает 170 млн пользователей. Для работы с сервисом существуют клиентские программы для большинства распространенных настольных и мобильных операционных систем. В прошлом году компанию Skype приобрела Microsoft за 8,5 млрд долларов.
Программа Skype позволяет общаться через интернет по всему миру посредством голосовой и видеосвязи. Также ее можно использовать как обычный телефон, при этом тарифы отличаются (они заметно ниже) от тех, что предлагают традиционные операторы связи. Прошлым летом сообщалось, что потери российских операторов от Skype на российском рынке в 2009 году, предположительно, составили 6,7 млрд рублей.
Кроме того, известно, что разговоры по Skype не могут прослушать спецслужбы ни одной из стран мира. Это регулярно становится поводом для резких заявлений представителей последних. Так, в 2010 году замруководителя научно-технической службы – начальник центра защиты информации и спецсвязи ФСБ Александр Андреечкин заявил, что спецслужбы обеспокоены использованием в России сервисов передачи данных с применением систем шифрования на основе зарубежных алгоритмов (например, Skype, Gmail, Hotmail), видя в них потенциальную угрозу национальной безопасности. «В последнее время проблема использования в сетях связи общего пользования шифровальных криптографических средств – в первую очередь иностранного производства – вызывает все большую озабоченность ФСБ. Распространяются различные программные средства, позволяющие шифровать трафик. Это, в частности, такие сервисы, как Gmail, Hotmail и Skype», – сказал он.
«Бесконтрольное использование таких сервисов может привести к масштабной угрозе безопасности России», – подчеркнул представитель Лубянки. ФСБ предложила запретить в России использовать эти сервисы, объяснив это тем, что их системы шифрования «затрудняют осуществление оперативных мероприятий».
Такие заявления вызвали возмущение даже в Кремле. Источник отмечал, что представитель ФСБ высказал личное мнение, которое «не отражает политику государства».