Дмитро, почнімо з самого початку. Як взагалі зародилася ідея Alerts Bar і що підштовхнуло вас зайти в цю нішу?
— Ідея з’явилася, коли я почав стикатися з інцидентами, які відбувалися саме через вкрадені облікові записи, що вже пачками висіли на продаж у Darknet. Розбираючи один із таких кейсів, я побачив, що сьогодні Darknet — це величезний маркетплейс із системним підходом. Там усе розкладено по ланках: одні розробляють софт, інші заражають, треті — брокери, які перепродують дані. Я зрозумів, що бізнесу потрібен інструмент, який буде бачити це раніше за хакерів.
Читайте также: У «Резерв+» зʼявилася онлайн відстрочка для багатодітних батьків. Як отримати документ
А наскільки дорого було запустити такий складний продукт?
— Насправді, на старті я вклав декілька тисяч доларів у прості організаційні речі. Зараз час соло-фаундерів. Завдяки ШІ одна людина, яка розуміється на архітектурі, може підвищити свою продуктивність у десятки разів. Раніше для такого стартапу потрібні були Angel Investments, а зараз можна все зробити швидше, дешевше і без зайвої бюрократії.
Ви згадували про кейс з Oracle. Як вам вдалося допомогти такому гіганту?
— Так, це було в січні минулого року. Ми виявили заражений комп’ютер Senior-директора Oracle. Там у вільному доступі було понад 400 паролів від різних сайтів. Ми миттєво зарепортили це, вони встигли все пофіксити та змінити акаунти. У результаті вони навіть додали мене як security contributor до себе на сайт.
Як саме працює ваш сервіс і на кого він орієнтований?
— Ми моніторимо мільйони джерел: Tor, Telegram-канали, закриті хакерські форуми та маркетплейси. Наш сервіс сповіщає компанію, якщо дані її співробітників чи клієнтів «спливли». Перевірки робимо кожні шість годин або навіть у реальному часі. Наші клієнти — це і малий бізнес, і великі корпорації.
Скільки коштує такий спокій для бізнесу?
— Підписка для малого бізнесу (до 100 співробітників) стартує від $350 на місяць за один домен. Для середнього бізнесу — від $800 за три домени. Ціни на сайті не вказуємо, бо працюємо через реселерів, але це базові орієнтири.
Інфостілери: чому 2FA та антивіруси не рятують
— Давайте детальніше про інфостілери. Як вони еволюціонували?
— Раніше віруси були чисто заради розваги — перевертали екран у MS-DOS. Потім крали паролі від ICQ. А зараз це Malware-as-a-Service. Хакери купують підписку на вірус, мають техпідтримку та чіткий roadmap. Інфостілер — це троян, який тихо копіює дані з браузера та відправляє іх в Darknet. Людина про це навіть не знає.
Як зазвичай відбувається зараження? Це якісь складні атаки?
— Найчастіше — людський фактор. Люди завантажують «кряки» для Photoshop, чіти для ігор, генератори ключів Windows або «лівий» софт для macOS, якого в природі не існує. Зараз популярний метод ClickFix: фейкова капча «я не робот», яка просить тебе натиснути Win+R і вставити код. Людина вставляє PowerShell-код, тисне Enter — і все, зараження відбулося, хоча їй пише «ви вдало пройшли перевірку».
У вкрадених даних містяться збережені паролі від сайтів, кукі сесії, автозаповнення поля, кредитні картки, конфіги плагінів, криптогаманців тощо. Ось, наприклад, ми перевірили по бінах деяких топ банків і побачили, що станом на сьогодні за останній час було скомпрометовано 512 карток з CVV-кодами. Всі ці дані вже відвантажені банкам, і сподіваюсь вони їх заблокували. Так, «Монобанк» теж користуються нашим сервісом.
А що антивіруси? Невже не бачать загрози?
— Смішно, але майже на всіх заражених компах, які ми бачимо, стоять антивіруси від Defender до CrowdStrike. Антивіруси часто безсилі, бо вірус не резидентний: він не сидить у пам’яті, він просто один раз скопіював файли, відправив і «помер». Або люди їх просто навмисно вимикають, щоб їм не набридало алертами коли вони качають чіти невідомого походження.
Менеджери паролів можуть убезпечити від зараження. Вони безпечніші за браузер?
— Менеджери (як Bitwarden чи 1Password) — це добре, але вони не панацея. Хакери крадуть сесії (cookies). Якщо в них є твій кукіс, вони заходять у твій Gmail чи ChatGPT взагалі без пароля і в обхід двофакторної автентифікації (2FA).
Ось тільки що ви прямо на очах знайшли новий інфостілер. Розкажіть детальніше, що ми знайшли?
— О так, ми якраз дивилися «свіжак» за 14-те число і натрапили на дамп даних якогось спеціаліста з QA. Там були кукі, та навіть історія команд для Mac (ZSH History), і ми виявили новий інфостілер — Hub Stealer. Я навіть назву таку раніше не чув, одразу скинув команді ресерчерів. Це був «вилов» по гарячих слідах.
Анатомія атаки: «Золоте вікно» у дві години та шантаж корпорацій
Через скільки часу інфільтрація може заподіювати шкоду бізнесу?
— У кібербезпеці все вирішують години. Від моменту, коли ми отримуємо сигнал про витік, до моменту, коли хакери реально зможуть скористатися даними, у нас зазвичай є декілька годин.
Читайте также: Уряд дозволив підприємствам критичної інфраструктури мати своє ППО
Тобто хакери не одразу кидаються зламувати акаунт?
— Не зовсім. Ми бачимо, що вони збирають дані у великі «пачки» по кілька тисяч запитів і тільки потім починають їх обробляти. Така пачка склеюється приблизно дві години після накопичення певного об’єму. Поки вони пакують — у нас є час на реакцію. Але й у них є ці ж пару годин, щоб почати діяти.
А що саме вони роблять у першу чергу?
— Залежить від «здобичі». Якщо в логах є крипта, то її намагаються витягнути автоматично і миттєво. А от акаунт компанії — це інша історія. Його, швидше за все, не будуть атакувати одразу. Його класифікують: наприклад, «адмін Fintech-компанії, оборот $20 млн, Східна Європа». Потім цю інформацію виставляють на Dark-форумі. І вже той, кому цікава атака саме на цей бізнес, купує ці дані.
Хто ці люди, які купують такі доступи? Які в них цілі?
— Це окрема ланка кібер злочинців, які займаються Ransomware (шифрувальники-вимагачі). Є відомі команди, такі як Clop або Lockbit. Вони атакували Ernst & Young та інші великі корпорації. Їхня схема проста: вони крадуть чутливі документи і вимагають гроші за те, щоб не оприлюднювати їх. Якщо компанія не платить — вони просто викидають все у паблік.
Крім шифрування та вимагання грошей, які ще ризики для бізнесу?
— Шпіонаж на користь конкурентів або банальне використання корпоративної пошти для спаму та фроду. Я особисто займався відновленням одного домену, чия репутація в Google впала майже до нуля після хакерської спам-розсилки. Компанія потім декілька місяців не могла нормально користуватися поштою. Ризиків безліч, і інфостілери — це джерело 80% усіх атак на бізнес.
А чи часто бізнес взагалі платить хакерам, щоб дані не зливали?
— Наскільки я бачу, більшість все ж таки не платить. У хакерів навіть є свої прийоми тиску: вони ставлять таймер, мовляв, «у вас залишилось 7 днів», а потім пишуть на сайті, що компанія така-то не поважає своїх клієнтів, і починають злив. Це справжній психологічний тиск. Ми можемо навіть зайти через TOR-браузер і подивитися на ці «дошки ганьби» в Darknet.
Про AI та вайбкодинг: «Механічна коробка передач більше не потрібна»
Як ви ставитеся до вайбкодингу і ШІ загалом. Це суттєво спрощує роботу чи навпаки шкодить?
— Це революція. Я вже звик отримувати результати миттєво. ШІ мені ніколи не каже: «я захворів», «я не хочу» або «в мене інша думка». Він просто чітко виконує завдання. Багато хто боїться, що ШІ їх замінить, або кажуть, що треба «тренувати мозок» без нього. Це як з автомобілем: можна їздити на механіці, але в 99% випадків вона не потрібна, бо автомат справляється достатньо непогано.
А як щодо якості коду? Чи не створює це забагато технічного боргу?
— Технічний борг буде завжди. Але для стартапу на етапі MVP швидкість важливіша. Як ми жартуємо в бізнес середовищі, якщо твої сервери не витримують навантаження від клієнтів — це добрий знак, значить бізнес працює. Потім прийде команда і все перепише на надійніші рішення, але зараз час тих, хто біжить швидко.
А як щодо «тієї сторони»? Хакери теж освоїли ці інструменти?
— Безумовно. Нам треба чітко розуміти: атакуюча сторона вже максимально повно використовує ШІ на всіх етапах — від створення методів зараження до подальшого викрадення акаунтів. Наприклад, ті винахідливі інструкції з PowerShell-кодом, (коли людей просять натиснути Win+R для «перевірки»), — це все створюється завдяки ШІ.
Тобто ШІ робить їхні методи ще більш витонченими?
— Саме так. Це постійна гонка озброєнь, яка особливо загострилася зараз із розвитком ШІ-технологій. Хакери використовують ШІ, щоб їхні методи еволюціонували швидше: вони постійно змінюють підходи, вигадують нові хитрощі, і все це відбувається в автоматизованому режимі. Протистояти цьому вручну вже просто неможливо — потрібно теж використовувати технології, щоб бути хоча б на крок попереду.
Що б ви порадили звичайному користувачу чи власнику бізнесу?
— По-перше, Security Awareness — навчайте персонал не тиснути все підряд. По-друге, Darknet-моніторинг. Це ваша остання лінія оборони. Краще дізнатися погані новини від нас за декілька годин до атаки, ніж від хакерів, коли ваші дані вже зашифровані.
Читайте также: Заказать вибратор: как выбрать интимные игрушки для девушек
https://dev.ua/news/dima-ashkinazi-alters-bar