27-річний житель Іллінойсу Кайл Свара визнав себе винним у фішинг-атаці на майже 600 акаунтів Snapchat. Його мета — викрасти інтимні фотографії студенток-спортсменок. Цього тижня він офіційно зізнався у скоєнні злочинів, пов’язаних зі зломом, після того як у грудні слідчі США пред’явили йому звинувачення.
Схема атаки через соціальну інженерію
Злочинна діяльність Свари тривала щонайменше з травня 2020 до лютого 2021 року. Він видавав себе за представника служби підтримки Snapchat і обманом змушував жертв надсилати йому коди входу до облікових записів. За даними судових документів, зловмисник спочатку використовував методи соціальної інженерії для отримання email-адрес, номерів телефонів та імен користувачів Snapchat потенційних жертв.
Після збору контактної інформації Свара створив обліковий запис на TextNow — сервісі, який дозволяє надсилати SMS з іншого номера. Видаючи себе за «Snapchat Support Team», він розіслав понад 4500 фішинг-повідомлень потенційним жертвам. У результаті 571 особа надіслала йому свої коди входу, що дало змогу зламати облікові записи щонайменше 59 жінок.
Доступ до захищених файлів
У своїх фішингових повідомленнях Свара також запитував чотиризначні паролі до функції «My Eyes Only» — секції Snapchat з додатковим захистом, яка вимагає окремого коду доступу. Це дозволило йому отримати доступ до найбільш приватного контенту в облікових записах жертв.
Цей випадок демонструє важливість обережного ставлення до текстових повідомлень, які начебто надходять від популярних додатків чи інтернет-сервісів. Повідомлення про безпеку облікового запису часто виявляються фальшивими — їх створюють, щоб виманити у вас пароль або код двофакторної автентифікації.
Як слідчі вийшли на зловмисника
Слідчі виявили причетність Свари завдяки тому, що він зареєстрував обліковий запис TextNow на своє справжнє ім’я. Крім того, з’ясувалося, що Стів Вейт, колишній тренер з легкої атлетики Northeastern University, найняв Свару для крадіжки інтимних зображень, заплативши йому $50. У 2024 році Вейта засудили до п’яти років в’язниці за викрадення особистих фотографій «понад 100 жінок по всій країні через використання майже двох десятків фальшивих акаунтів у соціальних мережах та електронної пошти».
Свара рекламував свої послуги зі злому акаунтів Snapchat на онлайн-форумах, зокрема на Reddit. Також він продавав або обмінював викрадені зображення з іншими користувачами в інтернеті. Засідання суду щодо винесення вироку призначено на 18 травня. Зловмиснику загрожує до 32 років позбавлення волі.
