Vlunu

Сегодня многие IT-сообщества обсуждают обнаруженную в открытом доступе свежую и постоянно обновляемую базу данных московских станций скорой помощи. Ситуация, конечно, неприятная. Мало того, что всем желающим стали доступны персональные данные врачей и пациентов, так еще и сама база располагается на немецком хостинге. И это в том время, пока Роскомнадзор штрафует Twitter за отказ в предоставлении сведений о локализации баз персональных данных россиян на территории страны.

Владельцем базы может являться ООО «Компьютерные интеллектуальные системы», но интересно в первую очередь не это. Интересны те, кто эту базу данных нашел.

Информация о «взломе» - если находку открытой базы можно считать взломом - была опубликована на канале украинской хакерской группы THack3forU и, честно говоря, группа эта весьма странная.

Участники группы неоднократно брали на себя ответственность за разного рода киберинциденты, начиная от взломов сайтов и заканчивая DDoS-атаками во славу Украины. Судя по тому, что на дефейснутых сайтах они оставляли сообщение: «You are Lamer...This site will been hacked!», с английским у ребят не очень.

Как, впрочем, и с русским. Эту информацию подтверждает сохраненный кэш сайта группировки (http://www.thack3foru.zzz.com.ua/) от 15 июня 2017 года.

«Мы хакерская группировка. Были созданы примерно в 2016-2017, в Украине», - гласит сайт (Telegram-канал группировки дает более точную дату ее создания – 18.08.2016 года).

Сайт изобилует нелепыми орфографическими ошибками. Типичные примеры оборотов, используемых авторами: «я в крации раскажу», «неприйемливое действие», «ваши куки шифрируються» и т.д.

Вообще, если бы я увидел этот сайт 2 года назад, я бы решил, что это шутка каких-то школьников-недоучек. Вот только посмотрите на содержание пафосного раздела «Присоединяйся к мощи THack3forU»:

Если вы хотите помочь в войне с нашими противниками, а это: Кибер Дружина, Большой брат и т.д. Те что заставляют вас думать что у вас свобода действия! Но на самом деле они за вас уже все решили! Что бы помочь нам вам надо скачать на ваш пк/ноут с ОС Windows xp/7/8.1/10, программу.
Скачать — Пароль на архив THack3forU, так как это является по мнению анти-вирусов, троян, добавьте его в белый список!
Мы честные, с помощью этой программы мы получаем мощность вашего железа и будем использовать его для совершения атак, ваш ip и пк не пострадает! Нагрузка на цп будет макс. 30%! Если ты хочешь уничтожить коррупцию, эмуляцию свободы, несправедливость, скачивай!
THack3forU рассказывает правду решать вам!
Присоединяйся!!!

К сожалению, прога умерла вместе с сайтом, что лишает нас возможности отреверсить ее и посмотреть, чем же она была на самом деле: майнером или каким-нибудь софтом для распределенных вычислений, использовавшимся для подбора паролей. Но вообще сам подход, когда представители мега-анонимной хакерской группировки, борющиеся за свободу и равенство, предлагают скачать с их сайта непонятную программу, отключив при этом антивирус, умиляет.

Согласно данным Telegram-канала и информации с сайта, в состав группировки входят 3 человека: AnarxistUA, OneDayforU и UjuH. При этом Анархист является, пожалуй, самым активным участником, он охотно раздает интервью другим каналам и, если верить сайту, пишет софт.

Простой поиск по названию группировки в Гугле приносит интересные результаты. На первой же странице поисковой выдачи мы видим ссылку на страницу «В контакте», принадлежащую некоему Ивану Скоробогатову из Ижевска. В качестве ника в ВК Иван выбрал себе «vzlom__nev», а 3 июля 2017 года на своей странице он оставил сообщение: «жду в гости : http://www.thack3foru.zzz.com.ua».

Видимо оно и послужило причиной индексации его профиля гуглом.

Впрочем, поисковики знают об Иване несколько больше, чем он думает. В частности, в кэше одного из них осталась информация о том, что до того, как стать Скоробогатовым, Иван носил фамилию Кожевников. Также легко находятся его электронная почта и профиль на Mail.ru.

Но посмотрим, какие еще плоды принесет поиск. Быстро обнаруживается еще пара фейковых профилей в ВК, используемых в основном для рекламы, а также принадлежащие группировке THack3forU аккаунты Google и каналы на YouTube. Вся эта информация была получена буквально за 5-7 минут просмотра лент поисковой выдачи.

Быть может хакеры специально пускают нас по ложному следу? Посмотрим дальше.

Вот, например, в ноябре 2017 года один из участников группы под ником OneDayforYou хотел вступить в группу хакеров, указав, что его специальностью являются майнинг и вирусология. Вы все еще помните то предложение скачать файлик с их сайта, отключив антивирус?

Оставим открытым вопрос о квалификации хакера, который пишет сообщение на форуме с просьбой принять его в хакерскую группу!

Дальше становится еще смешнее. Той же осенью 2017 года на одном небезызвестном форуме, столь любимой wannabe хакерами и социальными мошенниками, некто под ником sembi запостил сообщение «ищу базу ответов для бота» и привел в пример фрагмент, содержащий строку if(msg.body == «Как называется ваша групировка?»)msg.send(«THack3forU»);

Не верите? Смотрите сами.

Поиск по сообщениям этого товарища быстро приводит нас к его профилям в Instagram и «В контакте». Вскоре обнаруживаются его Qiwi-кошелек, адрес электронной почты на Mail.Ru (facepalm), а также профили на других околохакерских форумах. Qiwi-кошелек связан с телефонным номером, который «светится» в записных книжках как «Бес» и «Хакер Беслан».

Параллельно обнаруживается, что весной 2017 года некий пользователь запостил фрагмент бота для VK, содержащего строку: «if(msg.body == «Хакер»)msg.send(«THack3forU»);».

Одно и то же сообщение с разницей в 1 день было размещено на двух форумах юзерами под никами DIEZ и NeXXXuS, которые при ближайшем рассмотрении оказываются одним человеком.

Текст сообщений бота демонстрирует нам классический пример подросткового юмора, а его автор как и все прочие участники этой истории на своем примере учит нас сетевой конспирации, размещая на том же форуме ссылку на свой профиль в контакте с просьбой бесплатно нагнать лайки под фотоальбомом.

Профиль принадлежит… вечно молодому челябинскому школьнику.

Наш герой умудрился засветить Instagram, Twitter, Jabber, еще один Telegram-аккаунт, ссылку на Яндекс.Диск и профиль в Twitch…

Что мы имеем в итоге? 3 страницы В контакте, принадлежащие трем школьникам, интересующимся хакерской темой, но не имеющим ничего общего с Украиной.

О чем это может говорить? Например, о том, что эти «мамкины хакеры», прикрываются модной нынче темой противостояния государств в киберпространстве, надеясь тем самым замести следы, а сами кодят помаленьку свои майнеры и троянчики, впаривая их наивным посетителям сайтов.

Если это так, то, похоже, план работает. Украинские СМИ активно пишут об успехах незалежных хакеров в несуществующих атаках на российские банки и даже на YouTube.

Сами же ребята тем временем публикуют в своем Telegram-канале отчеты о по-настоящему эпических взломах. Например, об отправке 100 страниц с антироссийскими лозунгами на найденный через Shodan незапароленный сетевой принтер.

Ну а как же взломы баз данных? Уж они-то настоящие? И да, и нет. Новости об обнаружении очередной неправильно настроенной базы MongoDb появляются в сети ежедневно. В большинстве случаев эти базы не нужно ломать. В силу ошибок настройки они сами оказываются в общем доступе. Остается лишь найти их и написать об этом в своем уютном телеграмчике.

Мы намеренно не стали приводить все имена и прочие данные фигурирующих в статье лиц. Мы не хотим никого ни в чем обвинять, а приводим лишь факты. При желании вы легко сможете проверить всю изложенную информацию и сделать свои выводы.

Мечта любого пиарщика и маркетолога - разместить статью о своей компании на Википедии, ведь это и авторитетность, и высокая поисковая выдача, а значит и больше внимания со стороны потенциальных клиентов.

Но написать статью на Википедии – это только половина дела, нужно еще и не допустить ее удаления, что в случае, если вы маленький стартап или начинающий блогер, бывает непросто.

Требования Википедии понятны – это сетевая энциклопедия, для нее важна уникальность материала, а главное - его значимость для вики-сообщества, поэтому если на вас не ссылаются на «значимом» вебсайте, то и для энциклопедии информация о вашей компании или персоне не нужна.

Вот что написано об этом в правилах Википедии:

«Предмет значим, если описывается множественными нетривиальными публикациями авторитетных и независимых источников. Все объекты должны обладать минимальным уровнем требуемой значимости для того, чтобы статья о них была включена в Википедию. В это требование входит необходимость наличия достаточного количества источников для написания проверяемой и энциклопедичной статьи. Статья, не удовлетворяющая критериям значимости, может быть выставлена на удаление.»

Большинство малоизвестных компаний после удаление информации о них из Википедии начинают восстанавливать страницу в том же виде или заводят бесконечные споры, тем самым только ухудшая ситуацию и навлекая на себя гнев вики-сообщества.

Но если есть спрос, то будет и предложение.

Поэтому некоторые PR-агентства предлагают услуги по созданию и поддержке статей на Википедии, самые честные так и пишут: мы напишем уникальный материал по вашей компании, отформатируем под нужный формат, проверим его на требования к статьям Википедии и дождемся его проверки и публикации.

На рынке PR-услуг честным долго не проживешь, ведь условия использования Википедии не допускают сокрытия сведений об аффилированности в случае, когда участник получает вознаграждение за свой вклад в энциклопедию, а оплачиваемые правки в статьях с целью продвижения компаний, продуктов и услуг в подавляющем большинстве проектов категорически не приветствуются или даже приводят к блокировке аккаунтов.

Такие уточнения в условия использования были внесены в 2013 году после скандала с американской компанией Wiki-PR, поставивший этот вид бизнеса на поток.

Все началось с того, что информация об услугах, предоставляемых компанией Wiki-PR, просочилась в прессу. В ходе расследования выяснилось, что сотрудники компании размещали заказные статьи о бизнесе своих клиентов на различных ресурсах, а потом ссылались на них в Википедии, создавая тем самым видимость значимости. Сайтов с заказными материалами было не слишком много, но ссылки на них обнаружились в самых разных вики-статьях.

По итогам расследования в адрес компании было направлено официальное письмо с требованием о прекращении нарушений, а 250 учетных записей ее сотрудников были навсегда заблокированы.

Чего точно добилась Wiki-PR, так это собственной известности. Этот инцидент удостоился целой статьи в Википедии. Wiki-PR существует и по сей день, но теперь позиционирует себя как консалтинговая компания, помогающая своим клиентам найти общий язык с вики-сообществом.

Однако у Wiki-PR нашлось немало последователей. В том числе и в нашей стране.

Например, ресурс wikiadm.org, на главной странице которого прямо говорится о том, что они на возмездной основе пишут статьи для Википедии.

Они не стесняются заявлять о том, что в числе их сотрудников присутствуют администраторы Википедии:

«Мы успешно занимаемся созданием статей в Википедии более девяти лет. В составе нашей команды — администраторы ресурса, патрулирующие и просто редакторы, знающие как правильно написать статью непосредственно для Википедии. В работе над заказом задействованы практически все: редакторы полностью пишут и оформляют статью, патрулирующие ставят галочку, подтверждающую соответствие статьи всем правилам энциклопедии, а администраторы не дают удалить статью другим. Вместе мы сделали десятки тысяч правок, написали сотни статей, и еще ни одна так и не была удалена.»

О том, что такая деятельность напрямую нарушает условия использования Википедии, они, естественно скромно умалчивают.

А вот случай, когда представляются не просто администраторами, а именно самой Википедией, а точнее её бизнес-подразделением: wikipedia.msk.ru. В подписи у ее сотрудников так и значится: WIKIPEDIA FOR BUSINESS.

Что нам на это скажет сама Википедия? То, что она является некоммерческой организацией и не имеет никаких бизнес-подразделений.

«Проекты Викимедиа редактируются и поддерживаются десятками тысяч добровольцев, не получающих оплаты за свой труд. Википедия и другие проекты Викимедиа работают в режиме некоммерческой организации — и это единственный случай присутствия некоммерческой организации среди самых посещаемых сайтов мира.»

Это означает, что люди, предлагающие услуги от имени: wikipedia.msk.ru заведомо предоставляют потенциальным клиентам недостоверные данные, выдавая себя за представителей несуществующей организации, а также неправомерно используют зарегистрированный товарный знак некоммерческой организации.

Давайте попробуем разобраться, кто стоит за этим бизнесом.

Сам ресурс не представляет особого интереса, на нем стоит переадресация на Википедию, а вот почтовый сервер активно используется для рассылок писем потенциальным клиентам.

Вот и мы получили письмо с адреса alex@wikipedia.msk.ru от некоего Алексея Бородина, представившегося заместителем шеф-редактора несуществующей организации WIKIPEDIA FOR BUSINESS и предложившего разместить статью на Википедии за скромные 9000 рублей. При этом Алексей сообщил, что статья будет защищена от правок третьими лицами, а ее удаление будет возможно лишь по требованию заказчика.

Мы выразили заинтересованность, после чего Алексей прислал нам реквизиты для банковского перевода.

Деньги предлагалось перевести на счет фирмы, зарегистрированной осенью 2018 года. В числе видов деятельности организации значились: деятельность рекламных агентств; консультирование по вопросам коммерческой деятельности и управления; аренда и управление собственным или арендованным жилым недвижимым имуществом; оказание услуг в области бухгалтерского учета, проведение финансового аудита, налоговое консультированию; и даже деятельность такси.

Юридический адрес – квартира в подмосковном Домодедово.

Немного странно для Википедии, не находите?

Беглый поиск в сети показал, что генеральный директор данного ООО по всей видимости не имеет прямого отношения к финансово-хозяйственной деятельности компании. Что ж, на лицо признаки фирмы-однодневки.

Тем временем Алексей продолжал слать нам письма, настойчиво уговаривая как можно скорее оплатить услуги. При этом он прибегал к аргументации «если не оплатите сейчас, предложение станет недоступным», которую так любят использовать, например, мошеннические интернет-магазины.

Мы решили копнуть глубже и посмотреть, кто помимо Алексея использует почту в домене wikipedia.msk.ru. Быстро выяснилось, что мы не одиноки. Наши партнеры также получали предложения о размещении статей в Википедии. Только вот поступали они с адреса gleb@wikipedia.msk.ru и были подписаны именем шеф-редактора WIKIPEDIA FOR BUSINESS Глеба Архангельского.

Мы не стали выяснять, имеет ли шеф-редактор Глеб Архангельский отношение к гуру тайм-менеджмента Глебу Архангельскому.

Но, как видите, такой вопрос мучает не только нас.

Какой вывод можно сделать из этой истории? Проходимцев, прикрывающихся громкими именами, хватало во все времена. Перед тем, как принять соблазнительное предложение и довериться представителю крупной международной организации следует тщательно проверить своего контрагента. Ведь в данном случае вы рискуете не только деньгами, на кону стоит ваша репутация, а её восстановить куда сложнее, чем написать статью для Википедии.

Мы обратились за комментарием к ведущему эксперту направления ETHIC компании «Инфосекьюрити» Виталию Андрееву:

«Ситуация довольно стандартная. Ежедневно в сети регистрируются сотни доменных имен, созвучных с наименованиями известных брендов. Они могут быть использованы в различных мошеннических схемах, для создания фишинговых ресурсов или, как в данном случае, для осуществления почтовых рассылок. Специалистами «Инфосекьюрити» накоплен богатый опыт выявления подобных ресурсов, что позволяет надежно защищать наших клиентов от подобного рода мошенничеств и предотвращать наступление негативных последствий, остальным же следует быть бдительными и тщательно проверять информацию о контрагентах».