UNIT.City — місце, де люди працюють... КРАЩЕ! Обирай свій простір просто зараз 👉
Вікторія ГорбікHot News
9 June 2023, 08:30
2023-06-09
«У мене не було думки збирати дані людей». Школяр із Кривого Рогу створив модель фішингової атаки: навіщо це потрібно та як працює
Останнім часом в світі, зокрема, і в Україні, почастішали кібератаки як на підприємства, так і на пересічних громадян. Збитки та «бариші» шахраїв складають мільйони. Сімнадцятирічний Даня Маментович із міста Кривий Ріг нещодавно закінчив 11 клас і розробив модель фішингової атаки через відкриті WiFi-мережі.
Ми розпитали хлопця, навіщо він буде використовувати свою розробку та що хоче довести людству.
Останнім часом в світі, зокрема, і в Україні, почастішали кібератаки як на підприємства, так і на пересічних громадян. Збитки та «бариші» шахраїв складають мільйони. Сімнадцятирічний Даня Маментович із міста Кривий Ріг нещодавно закінчив 11 клас і розробив модель фішингової атаки через відкриті WiFi-мережі.
Ми розпитали хлопця, навіщо він буде використовувати свою розробку та що хоче довести людству.
На шляху до технічної сфери
Даня Маментович вчився в 11 класі Криворізького центрального міського ліцею де останні два роки вчився в інформаційно-технологічному профілі.
Даня Маментович (Фото з особистого архіву)
У класі хлопця було поглиблене вивчення інформатики, технологій і математики для людей, які хочуть надалі пов’язати своє життя більше з технічною сферою.
«До того я 5 років вчився в іншому закладі на фізико-математичному профілі, але потім вирішив, що більше хочу піти в інформаційні технології й згодом навіть написати дослідницьку роботу», — згадує він.
За айтішку, але без відеоігор
Даніїл розповів, що в нього є багато айтішників серед знайомих, здебільшого у сфері дизайну. Він із дитинства чув, що IT-сфера супер продуктивна, відкриває багато можливостей і заробітків. Потім, коли хлопець вже почав загублюватися в цю сферу, вирішив почати з вебдизайну.
«Зараз я вирішив, що хочу пров’язати своє життя з нею, але можливо ця думка потім зміниться, не знаю», — говорить хлопець.
Попри те, що з малечку у Дані був і компʼютер, і смартфон, він, як сам говорить, належить до винятків, а саме до тих підлітків, які не грають у відеоігри.
Даня Маментович (Фото з особистого архіву)
«Я нічого не маю проти відеоігор, вони класні, іноді розвивальні, в них є сюжет, але мені не цікаво, ні на ноутбуці, ні на телефоні в мене немає ігор», — говорить він.
За словами хлопця він більше надавав перевагу усіляким творчим штукам, малюванню та читанню.
Стипендія — страшна сила
Шлях Дані над проєктом із моделювання фішингової атаки на користувачів бездротової мережі, з яким він виборов золото на Міжнародній науковій виставці в Тайвані (TISF), почався у вересні 2022 року. Цьогоріч участь у виставці брали 325 юних науковців із 20 країн, зокрема й учасники Малої академії наук (МАН) з України.
Даня Маментович (Фото з особистого архіву)
У перший місяць осені 2022 року Даніїл вступив до свого ліцею. Класна керівниця сказала, що для учнів обовʼязковим є написання наукових робіт, які можна було писати на рівні власного навчального закладу, або вступити до МАН України.
«Тоді на мене вплинула одна така цікава фраза — стипендія», — згадує хлопець та говорить, що вирішив писати роботу для МАН.
Стипендію від області за перше місце у 1000 гривень Даня потім отримував протягом 8 місяців. Крім того, хлопець волонтерить як веброзробник у проєкті Safe Room, який надає підліткам можливість безплатно отримати психологічну допомогу, займається розробкою та адмініструванням сайту проєкту.
Врятувати людство
Починаючи роботу над проєктом, хлопець разом зі своїм науковим керівником згадали навички Дані у роботі з відкритим програмним забезпеченням. Разом вони вирішили, що хлопець може створити проєкт, який може бути корисним для людей, зокрема, убезпечуючи їх від фішингових атак, безліч яких зʼявляються щодня.
«У мене не було думки збирати дані людей, у мене була мета донести до людей, що треба обережніше ставитися до своїх даних, до їхнього поширення», — говорить хлопець.
Даня Маментович (Фото з особистого архіву)
Так Даня почав розробляти пристрій на базі одноплатного комп’ютера, за допомогою якого можна було б проводити експерименти та показувати людям одразу, як відбувається ця атака через мережі WiFi.
Пристрій надає вільну безплатну WiFi мережу, до якої можна приєднатися без пароля. Потім програма, яка на ньому встановлена та запущена з ноутбука чи телефону, видає стрічку для користувача, яка запрошує дані для авторизації, тобто логін та пароль від соціальних мереж або від Google-акаунту. Після підтвердження введені дані стають доступними для шахраїв.
Пристрій Дані Маментовича для моделювання фішингової атаки
«Отримавши доступ до самого Google-акаунту або до Facebook, можна отримати доступ до величезної кількості персональних даних», — зазначає Даня.
Це може бути доступ до усіх прив’язаних особистих або робочих акаунтів Facebook, через Google-акаунт можна отримати доступ до фотографій, пошти, коштів через Google Pay, а також до Google-диску з усіма файлами.
Через терени до зірок
Експеримент з тестування девайсу за словами Дані він проводив у своєму навчальному закладі. Він зазначив, що на момент тестування у пристрої Даніїла були відключені модулі, котрі відповідали за збереження інформації.
«У нас не було мети провести саме атаку, лише мета все ж таки показати людям, наскільки просто можна стати жертвою такої атаки», — пояснює хлопець.
На жаль, за його словами, в початковому експерименті взяли участь тільки 20 людей, тому що він розпочався за три дні до початку повного масштабного вторгнення. Проте, навіть ця маленька кількість отриманих даних, допомогла досліднику зрозуміти недоліки пристрою, як то несумісність з системою OxygenOS, яку використовують на телефонах Oppo, а також виникла проблема зі збереженням даних. Крім того, були певні проблеми з авторизацією телефонів або пристроїв Apple на базі операційних систем iOS, MacOS.
Ціни та конкуренти
На ринку вже присутні аналогічні пристрої, але вони досить дорогі, тому, як говорить хлопець, щоб зробити дешевше він взяв відкрите програмне забезпечення та одноплатний комп’ютер Orange Pi Zero, доволі простенький та дешевий.
«Він має всі необхідні для нас модулі, він маленький, його можна зручно, якщо це, ми кажемо, можна зручно кудись сховати», — зазначив дослідник.
Ціни конкурентів за аналізом Дані даних минулого року починаються від $70 і до $300. Це Wi-Fi Pineapple у різній класифікації, варіантам та модифікацій з різним функціоналом.
Пристрій хлопця вартує $20, це ціна самого одноплатного компʼютера та відкритий програмний код, який можна вільно знайти на GitHub за посиланням.
Практичне застосування
Даніїл акцентував, що увагу дослідник спрямував на пристрої з ОС Android. Згодом він доповнив код та прибрав ці вразливості й пристрій почав працювати стабільно на усіх девайсах.
Хлопець захистив проєкт на міському рівні, потім на обласному, а згодом на всеукраїнському рівні конкурсу від МАН.
Даня Маментович (Фото з особистого архіву)
Подібні пристрої можуть використовуватися не тільки для атак. Як сказав Даня, використовуючи цей пристрій, навіть при вимкнутих модулях для збереження інформації, зберігається інформація про авторизацію людини в мережі. А це, наприклад, можна використовувати в різних офісах, щоб відмічати, коли людина приходить на роботу та телефон автоматично відключається до Wi-Fi мережі й з’являється одразу в базі даних.
Фішинг для лінивих
За словами дослідника, у нього були думки що програмне забезпечення у вільному доступі може поширити кількість фішингових атак. На GitHub розміщений лише загальний набір команд і конфігураційних файлів, але для того, аби все ж таки відкрити цю атаку, треба мати певні знання в цій сфері й власноруч влаштувати цей код на одноплатному комп’ютері.
«Треба по-різному встановлювати цей код, по-різному переписувати різні команди, налаштовувати все під кожен телефон, вказаний в сценарії використання», — повідомив хлопець.
Як він каже, є величезна кількість програм, котрі одразу ж надають можливість качати їх на телефон або на ноутбук і відтворюють атаку, без подібних доробок. За його словами, скоріше за все, люди оберуть простіший для них варіант, звантажити вже все готове, які не потрібно оптимізувати.
Плани
Даня повідомляє, що зараз має цілі на вступ у межах інженерії програмного забезпечення. Його мрія — вступити в Києво-Могилянську академію, а в майбутньому стати проєктним менеджером.
Він розповідає, що наразі більше пов’язаний з об'єкто-орієнтованим програмуванням, вивчав JavaScript яким вже доволі добре володіє, пов’язаним із ним фреймворки, але не проти піти в інший програмний напрям.
«Я остаточно не вирішився в яку-то детальну класифікацію піти, думаю над тим, щоб вивчати C-мови, можливо C++, якщо розробляти загальне програмне забезпечення, або C#, якщо, прямувати в GameDev», — зазначає він.
Крім того, за наступний рік дослідник планує довести експеримент до кінця з більшою кількістю людей, зробити певну статистику щодо користування цим пристроєм, щодо вразливості людей на фішингові атаки особливо такого виду.
