Британская пресса сообщила о самой крупной в истории Королевства кибератаке. Хакерская группа Magecart якобы получила более 10 миллионов долларов, похитив данные банковских карт пассажиров авиакомпании British Airways. Крайними стали, как всегда, некие "русские хакеры". "360" узнал, кто может стоять за атакой и почему мем про хакеров так прочно засел в общественном сознании.

Атака на пассажиров

База с данными кредитных карт пассажиров British Airways появилась в продаже в начале сентября - примерно через неделю после самого взлома. Приобрести информацию мог любой пользователь даркнета. Разброс цен - от семи до сорока долларов, в зависимости от количества и типа данных. Хозяева карт - граждане Германии, Франции и других стран ЕС, а также США, Великобритании, Кореи, Мексики, Аргентины, Бразилии и Китая. Все они стали жертвами злоумышленников при покупке билетов компании British Airways.

Хакеры обычно работают через сайты-посредники, которые предоставляют услуги для порталов крупных компаний вроде British Airways и Ticketmaster. В систему импортируется вредоносный код, который собирает данные карты во время ввода их пользователем при покупке билета. При этом для крупных сайтов код остается незаметным, так как сам ввод делается именно на сайтах-посредниках, а код мимикрирует под безопасные приложения. Вредоносная программа затем отсылает украденные данные на сервер хакеров, где они обрабатываются и появляются онлайн для продажи.

Случай с British Airways особенный, так как вредоносный код оказался на главном сайте авиаперевозчика и довольно долго пробыл незамеченным.

Кто стоит за кражей?

По предварительным данным, атаку на British Airways осуществляла хакерская группировка Magecart. Международный центр расследования киберпреступлений RisqIQ опубликовал доклад о предполагаемых преступниках. Авторы утверждают, что никакой единой группы под названием Magecart, скорее всего, нет. "Это- зонтичный термин, применимый к по меньшей мере семи группировкам киберпреступников, которые занимаются хищением данных банковских карт в крупных объемах и с пугающим успехом", - говорится в докладе RisqIQ.

Тем не менее, данные о Magecart можно считать лишь условно достоверными и воспринимать с большой долей допущения, считают специалисты по кибербезопасности. Надежного способа выяснить состав группировки у нас до сих пор нет, - сообщил "360" преподаватель русско-израильской Высшей школы IT и безопасности Алексей Гришин.

"Хакерские группировки построены таким образом, что даже люди, в нее входящие, не всегда могут со 100% точностью указать ее состав. Что внутри из себя представляет группа людей, условно объединенная аналитиками под именем Magecart, мы можем только гадать", - Алексей Гришин, cпециалист по информационной безопасности.

Источники, на которые ссылались британские СМИ, поспешили связать Magecart с деятельностью хакеров из России и стран бывшего СССР. Такое заключение было сделано на основе использования группировкой доменных имен, ассоциирующихся с Россией. Однако в докладе RisqIQ упоминаний о связи Magecart с Россией уже нет.

Специалист по информационной безопасности Алексей Гришин считает, что делать выводы на основе принадлежности доменов неправильно. Как и заключения о том, что группировка является российской.

"Да, группировки можно условно разделить по языку, на котором происходит коммуникация внутри группы. Но важно понимать, что русскоговорящий хакер совсем не обязательно живет в России", - сообщил Гришин. Собеседник "360" считает, что наиболее точную геопривязку преступника можно выполнить по его активным действиям.

"Самым ярким примером принадлежности к России может является отслеживание маршрутов вывода финансов. Если украденные средства были переведены в отечественные банки, а тем более были обналичены через российских "дроперов", то говорить, что участвовали именно российские злоумышленники, можно. Но вот использование доменов на русском языке или зарегистрированных в зоне.ru не является достаточным доказательством. Кто угодно может зарегистрировать себе домен на понравившемся ему языке", - Алексей Гришин, специалист по информационной безопасности.

Никаких данных о маршруте вывода финансов Daily Mail не предоставило. Однако это не помешало изданию утверждать, что во всем виноваты "русские хакеры". В глазах мировой общественности они превратились в интернет-мем. Любое крупное компьютерное преступление обязательно оказывается делом именно их рук. Мифических преступников обвиняют во всех мыслимых и немыслимых киберпреступлениях - будь то хищение данных, сбор компромата, взлом сайта или системы безопасности учреждения.

Народный гнев

Пассажиров, которые лишились денег, новости о вине "русских хакеров" не утешают. Многие считают, что авиакомпания снимает с себя ответственность за произошедшее. Ранее президент British Airways пообещал компенсацию для всех клиентов, ставших жертвами хакеров. Но пока денег, судя по всему, никто не получил.

Пассажиры продолжают возмущаться в соцсетях. В первую очередь они считают ответственной компанию, которая не смогла обеспечить безопасность данных пассажиров.

"...Теперь у преступников есть детали моей карты, моего паспорта, электронная почта и т. д., и все потому, что вы отдали безопасность айтишникам на аутсорсе, чтобы сэкономить!"

"За две недели с того взлома @British_Airways так и не вышли на связь, получаю от них только письма-рекламу, никто не писал ничего по поводу взлома и даже не сказал, когда этого ждать и ждать ли вообще".

"Я один из тех 380 тысяч пассажиров, чьи данные украли. Пришлось заблокировать и поменять мою кредитку. Дважды отправил письмо BA, нет ответа. Они вообще беспокоят своих клиентов? Всего 380 тысяч, как говорит их директор"....