Расследования

Универсальная отмычка «СИМ-СИМ»

Взлом почты журналиста «Новой газеты» выявил большую дыру в системах безопасности электронной переписки. Объяснительная записка Романа Анина, редактора отдела расследований, читателям «Новой»

Фото: «Новая газета»

Этот материал вышел в № 94 от 31 августа 2015
ЧитатьЧитать номер
Политика

Роман АнинРедактор отдела расследований

1
 

Взлом почты журналиста «Новой газеты» выявил большую дыру в системах безопасности электронной переписки


Иллюстрация: Петр САРУХАНОВ — «Новая»

В августе я находился в Риге по приглашению местного филиала Стокгольмской школы экономики, где читал лекции студентам и журналистам о теневой экономике и об отмывании денег. 18 августа с утра я попробовал открыть электронную почту, чтобы проверить сообщения, и понял, что меня взломали. Мой почтовый клиент отказывался соединяться с сервером Google и требовал ввести новый пароль.

К счастью, в настройках моего аккаунта был указан резервный электронный адрес, с помощью которого я восстановил контроль над основной почтой. Я проверил последние действия с моим аккаунтом, и все сомнения отпали: 17 августа кто-то с IP-адреса, указывающего на немецкую коммуну Рефельде, сменил мой пароль и получил контроль над почтой. Через полчаса была предпринята еще одна попытка входа в мой аккаунт — на этот раз со швейцарского IP. Эта попытка была воспринята Google как сомнительная и предотвращена.

Такие действия указывают, скорее всего, на то, что хакеры использовали программу Tor, чтобы скрыть свое местоположение и реальный IP-адрес, а повторная попытка входа в мою почту — это просто смена исходящей «ноды» Tor. Оставался главный вопрос: каким образом хакерам удалось сменить мой пароль?

Надо признаться, что взлом почты не сильно удивил меня. После недавних громких публикаций отдела расследований «Новой газеты» — о незадекларированной квартире первого замдиректора ФСБ, о сделках 20 генералов ФСБ с землями бывшего детсада на Рублевке и многих других — мы получали предупреждения от разных людей: возможны провокации, главная цель которых — найти и наказать наши источники.

К сожалению, некоторые люди, о которых мы пишем, в силу своей профессиональной деятельности имеют неверные представления об окружающем мире. В их воображении — и об этом я сужу не теоретически, а постоянно общаясь с их «послами», — любая публикация газеты кем-то инспирирована, и этот кто-то, не уставая, носит нам чемоданы компромата. Переубедить этих людей, доказать им, что большинство наших расследований основано на открытых данных, — невозможно: с профессиональной деформацией личности трудно бороться.

Поэтому в последнее время сотрудники отдела расследований «Новой газеты» жили в… скажем, немного более интенсивном графике. Например, за мной велось довольно грубое наружное наблюдение. Люди, которые следили, даже не пытались этого скрывать. Я встречаюсь в кафе с друзьями; через минуту приходят двое мужиков; пьют весь вечер бокал пива (бюджет, к сожалению, на подобные мероприятия ограничен); а когда мы ночью с друзьями расходимся, их тормозит непонятно откуда взявшийся сотрудник полиции и переписывает паспортные данные; а потом те же двое мужиков сопровождают моих друзей до дома. Этот пример — не единичный.

Мы не делали из подобных историй шума, считая их частью профессии. Ну бывает, не в первый раз, в общем-то. Мы бы не рассказали и об этом взломе, если бы не способ, которым он был осуществлен. И мы считаем необходимым предупредить о выявленных уязвимостях.

Мою почту пытались взломать на протяжении последних месяцев. Вначале это делалось в лоб: я постоянно получал поддельные письма якобы от Google, в которых говорилось, что мой аккаунт заблокирован, нужно перейти по ссылке и ввести пароль, чтобы его разблокировать. Все ссылки были замаскированы под Google, но, естественно, не имели к нему никакого отношения.

Но затем от лобовых попыток отказались. Способ, которым в итоге взломали мою почту, говорит о том, что это не были обычные хакеры, охотящиеся за банковскими картами граждан. Более того, мы считаем, что этот способ таит в себе огромную общественную опасность и может привести к провокациям не только в отношении журналистов.

Итак, вернувшись из Риги, я обнаружил, что вдобавок ко всему не работает и мой телефон. Здесь необходимо сделать два отступления. Во‑первых, моя сим-карта была оформлена на друга. Не потому, что я скрывался, а просто так сложилось исторически: он мне ее подарил еще лет 10 назад. Во‑вторых, мой номер телефона был привязан к аккаунту Google в качестве резервного способа восстановления пароля. Это и стало главной уязвимостью.

Я позвонил в компанию МТС, где мне сообщили «радостную» новость. Моя сим-карта и не может работать, потому что еще 14 августа кто-то от имени моего друга позвонил в МТС, назвал его паспортные данные, заявил, что потерял сим-карту, что находится в некоем регионе России, и попросил доставить новую «симку» в этот регион курьером. Здесь важно подчеркнуть, что «симка» была оформлена на старый паспорт, а с тех пор мой друг получил новый. Но мошенники об этом, видимо, знали и не допустили ошибки, а назвали оператору МТС именно старые данные. Значит, у этих людей был доступ к базе сотовой компании.

Курьер вез сим-карту три дня и доставил ее 17 августа. В этот же день и была взломана моя почта. Сделав дубликат моей «симки», хакеры сообщили Google, что забыли пароль и попросили прислать код восстановления на мобильный телефон. Получив код, они сменили пароль и вошли в мой аккаунт.

Опять же стоит признать, что взломщики хорошо подготовились. Дело в том, что я не пользуюсь за границей услугами роуминга — просто потому, что считаю тарифы наших сотовых операторов сумасшедшими. Поэтому обычно я покупаю местные «симки». Хакеры об этом, видимо, знали и понимали: я не смогу сразу определить, что мой российский номер «выключили».

У меня, конечно, остаются вопросы к компании МТС. Ну, допустим, это обычная услуга — доставить сим-карту якобы владельцу, который назвал по телефону правильные паспортные данные. Но почему тогда курьер не проверил паспорт заказчика на месте? К сожалению, в компании МТС мою жалобу рассматривают уже две недели и никаких подробностей мне не сообщают. А мне бы очень хотелось узнать: с какого номера поступил заказ, почему курьер не проверил паспорт, по какому адресу осуществлялась доставка? Я все-таки надеюсь, что получу ответы на эти вопросы, хотя бы потому, что сотрудники МТС, полагаю, сами того не зная, способствовали совершению преступления.

Если клонировать сим-карты так легко, то это — колоссальные возможности для любых провокаций, и не только с почтой. Получив контроль над номером, можно, например, отправить кому-то смс с угрозами или вымогательствами. А дальше достаточно одного свидетеля или потерпевшего с хорошей легендой — и дело готово. А зная, как наши судьи рассматривают доказательства и пишут приговоры, повторяя орфографические ошибки из обвинительных заключений, то в том, что такое дело устоит в суде, сомневаться не приходится.

Но есть в этой истории и что-то положительное, на мой взгляд. Надеюсь, что те люди, которые получили доступ к моей почте, наконец поймут, как мы работаем на самом деле, и перестанут тратить свое важное время и бюджетные деньги на поиск мифических персонажей с чемоданами компромата.

Ну а мы, в свою очередь, отправим заявление о преступлении в правоохранительные органы.

UPD. Сегодня стало известно, что такая же история случилась и с другим корреспондентом отдела расследований «Новой газеты» — Сергеем Каневым. У него тоже неожиданно отключился телефон. Когда Сергей пришел в офис «Билайн», ему сообщили, что его «симка» не работает потому, что два дня назад «он ее поменял».

Случай Канева — еще хуже, чем мой. Сотрудник «Билайна» не мог поменять сим-карту без паспорта первому встречному. Такому поведению может быть только два объяснения. Безумное: кто-то переоделся Каневым и подделал его паспорт. И реалистичное: кто-то показал такие удостоверения, что страх перед ними заставил сотрудника «Билайна» пойти на подлог.       

Друзья!

Если вы тоже считаете, что журналистика должна быть независимой, честной и смелой, станьте соучастником «Новой газеты».

«Новая газета» — одно из немногих СМИ России, которое не боится публиковать расследования о коррупции чиновников и силовиков, репортажи из горячих точек и другие важные и, порой, опасные тексты. Четыре журналиста «Новой газеты» были убиты за свою профессиональную деятельность.

Мы хотим, чтобы нашу судьбу решали только вы, читатели «Новой газеты». Мы хотим работать только на вас и зависеть только от вас.
Вы можете просто закрыть это окно и вернуться к чтению статьи. А можете — поддержать газету небольшим пожертвованием, чтобы мы и дальше могли писать о том, о чем другие боятся и подумать. Выбор за вами!
Стать соучастником
Рейтинг@Mail.ru

К сожалению, браузер, которым вы пользуйтесь, устарел и не позволяет корректно отображать сайт. Пожалуйста, установите любой из современных браузеров, например:

Google ChromeFirefoxOpera