В обществе сложилось мнение, что хакер — человек, взламывающий в основном компьютеры, сайты или, в крайнем случае, смартфоны. Но это гораздо более изобретательные ребята. Они ломают всё, из чего можно извлечь хоть какую-то выгоду — финансовую или эстетическую.
Банкоматы и платёжные терминалы
В основе любого банкомата или платёжного терминала находится компьютер, подключенный к интернету. Иногда со старой операционной системой, уязвимости которой хорошо известны. Банкоматы, «Сбербанка», например, можно было взламывать многократным нажатием кнопки Shift — Windows воспринимала это за команду открыть диалог специальных возможностей, после чего можно было получить полный доступ к компьютеру.
Уязвимой также может оказаться внутренняя система банка. Так, в 2016 и 2017 году китайский программист Цинь Цишень обокрал банк, в котором когда-то работал, на 7 миллионов долларов. Он знал, что компьютерная система некорректно фиксирует снятие средств: если операция проводится незадолго до полуночи, деньги выдавались, но не списывались со счёта. Цишень хакнул банковский сервер небольшим скриптом, поэтому сообщения о неудачных транзакциях не отображались и не передавались банку.
Автомобили
Производители устанавливают компьютеры в автомобильные системы, а это открывает хакерам возможности для захвата контроля над авто. В марте 2019 года Tesla выплатила победителям хакерского конкурса Pwn2Own 375 тысяч долларов и подарила Model 3 за то, что они удалённо взломали браузер автомобиля и получили доступ к его мультимедийной системе.
Игровые автоматы
В Лас-Вегасе, мировой столице казино, проводятся две хакерские конференции Black Hat и Def Con. На них слетаются хакеры со всего мира и развлекаются кто как умеет. Это настоящий кошмар для казино и отелей: выводят из строя игровые автоматы, перенастраивают климатические системы, ломают лифты и пр.
Умные колонки
Смарт-колонки постоянно находятся в ожидании команд от пользователя. Этим можно воспользоваться, зашифровав команды в белый шум или музыкальные композиции. Тем самым колонку можно заставить совершать покупки и переходить по сайтам.IP-камеры
Камеры безопасности взламывают очень часто. Во-первых, их легко обнаружить в интернете по адресам, портам и названиям, но главное — на добытом через них контенте можно неплохо заработать. Такой контент либо продают любителям подглядывать, либо самим обладателям этих камер в обмен на обещание никуда не выкладывать записанное видео. Хакеры также продают адреса камер с логинами и паролями для доступа к трансляциям и записям.
Игрушки
Плюшевые медведи, собачки, слоники, кошки, единороги и другие милые плюшевые игрушки из-за безалаберности Spiral Toys превратились в шпионские устройства, а их обладатели подверглись нападкам злоумышленников и даже шантажу. Компания Spiral Toys позволяет родителям записывать послания для детей через мобильное приложение и отправлять их на игрушки. После того, как игрушка озвучит послание ребёнку, он может ответить, записав ответ, который будет отправлен родителям.
ИБ-специалист Трой Хант нашёл в свободном доступе базу данных, слитую у Spiral Toys. Предполагается, что источником утечки стала румынская компания mReady, которая оказывает Spiral Toys какие-то услуги. В этой базе содержалась информация о 821 296 учётных записях: имена, фамилии, логины, пароли, адреса электронной почты, а также 2 182 337 аудиозаписей с посланиями детям и родителям. Хант отмечает, что многие пользователи использовали очень простые пароли для сервиса CloudPets, и эти пароли вполне могут подойти к другим учётным записям пользователей (например, к email).
База данных CloudPets использовалась злоумышленниками — она несколько раз перезаписывалась, и в ней обнаружены данные, свидетельствующие о том, что кто-то вымогал у пользователей деньги в обмен на удаление информации. Голосовые сообщения хранились на сервере Amazon S3, причём доступ к ним осуществлялся без аутентификации, то есть их мог прослушать любой желающий. В базе данных содержалась информация, которая позволяла определить, какому пользователю принадлежат те или иные записи.
Рекламные щиты
Ещё в 2010 году хакер взломал электронный щит на Садовом кольце и запустил на нём порно. Его поймали и осудили на полтора года колонии. Аналогичные случаи происходили в Лондоне и Белграде.Вибраторы
Компания Svakom Siime Eye продавала вибраторы со встроенными камерами — для того, чтобы трансляцией самоудовлетворения можно было делиться с любимым человеком, если его нет рядом. Проблема была в том, что на вибраторах стоял ненадёжный пароль 88888888, и любой желающий мог подглядеть трансляцию.Автоматы с едой
В Австралии был взломан автомат с едой, установленный в «Макдоналдсе». Хакеры заказали 11 гамбургеров и получили их, не заплатив ни копейки.
Электрички
Российская группа хакеров Che Burashka обнаружила уязвимости в системе продаж билетов на московские электрички. Хакеры купили на Avito несколько турникетов с документацией и дискетой, на которую записан софт. Они также приобрели несколько десятков билетов и выяснили, как устроена их защита. Затем они создали поддельное приложение, которое выглядит как официальное («Пригородный билет»), но позволяет бесплатно генерировать билеты для проезда в электричках. Хакеры угрожали выложить поддельное приложение в открытый доступ, а также создать его улучшенную версию с поддержкой NFC, но не стали этого делать.iGuides в Telegram — t.me/igmedia
iGuides в Яндекс.Дзен — zen.yandex.ru/iguides.ru
