Вікторія ГорбікГоряченькое
9 июня 2023, 08:30
2023-06-09
«У меня не было намерения собирать данные людей». Школьник из Кривого Рога создал модель фишинговой атаки: зачем это нужно и как работает
В последнее время в мире, в частности, и в Украине, участились кибератаки как на предприятия, так и на рядовых граждан. Ущерб и «барыши» мошенников составляют миллионы. Семнадцатилетний Даня Маментович из Кривого Рога недавно закончил 11 класс и разработал модель фишинговой атаки через открытые WiFi-сети.
Мы расспросили парня, зачем он будет использовать свою разработку и что хочет доказать человечеству.
В последнее время в мире, в частности, и в Украине, участились кибератаки как на предприятия, так и на рядовых граждан. Ущерб и «барыши» мошенников составляют миллионы. Семнадцатилетний Даня Маментович из Кривого Рога недавно закончил 11 класс и разработал модель фишинговой атаки через открытые WiFi-сети.
Мы расспросили парня, зачем он будет использовать свою разработку и что хочет доказать человечеству.
На пути к технической сфере
Даня Маментович учился в 11 классе Криворожского центрального городского лицея, где последние два года учился в информационно-технологическом профиле.
Даня Маментович (Фото из личного архива)
В классе парня было углублено изучение информатики, технологий и математики для людей, желающих в дальнейшем связать свою жизнь больше с технической сферой.
«До этого я 5 лет учился в другом заведении на физико-математическом профиле, но потом решил, что больше хочу пойти в информационные технологии и впоследствии даже написать исследовательскую работу», — вспоминает он.
За айтишку, но без видеоигр
Даниил рассказал, что у него много айтишников среди знакомых, в основном в сфере дизайна. Он с детства слышал, что IT-сфера суперпроизводительна, открывает много возможностей и заработков. Потом, когда парень уже начал утрачиваться в эту сферу, решил начать с веб-дизайна.
«Сейчас я решил, что хочу провязать свою жизнь с ней, но, возможно, это мнение потом изменится, не знаю», — говорит парень.
Несмотря на то, что с детства у Дани был и компьютер, и смартфон, он, как сам говорит, относится к исключениям, а именно к тем подросткам, которые не играют в видеоигры.
Даня Маментович (Фото из личного архива)
«Я ничего не имею против видеоигр, они классные, иногда развивающие, у них есть сюжет, но мне не интересно, ни на ноутбуке, ни на телефоне у меня нет игр», — говорит он.
По словам парня он больше предпочитал всевозможные творческие штуки, рисование и чтение.
Стипендия — страшная сила
Путь Данные над проектом по моделированию фишинговой атаки на пользователей беспроводной сети, с которым он завоевал золото на Международной научной выставке в Тайване (TISF), начался в сентябре 2022 года. В этом году в выставке приняли участие 325 юных ученых из 20 стран, в том числе и участники Малой академии наук (МАН) из Украины.
Даня Маментович (Фото из личного архива)
В первый месяц осени 2022 года Даниил поступил в свой лицей. Классная руководительница сказала, что для учеников обязательно написание научных работ, которые можно было писать на уровне собственного учебного заведения, или поступить в МАН Украины.
«Тогда на меня повлияла одна интересная фраза — стипендия», — вспоминает парень и говорит, что решил писать работу для МАН.
Стипендию от области за первое место в 1000 гривен Даня потом получал в течение 8 месяцев. Кроме того, парень волонтерит в качестве веб-разработчика в проекте Safe Room, который предоставляет подросткам возможность бесплатно получить психологическую помощь, занимается разработкой и администрированием сайта проекта.
Спасти человечество
Начиная работу над проектом, парень вместе со своим научным руководителем вспомнили навыки Данные по работе с открытым программным обеспечением. Вместе они решили, что парень может создать проект, который может быть полезен людям, в частности, ограждая их от фишинговых атак, множество которых появляются ежедневно.
«У меня не было мысли собирать данные людей, у меня была цель донести до людей, что нужно более осторожно относиться к своим данным, к их распространению», — говорит парень.
Даня Маментович (Фото из личного архива)
Так, Даня начал разрабатывать устройство на базе одноплатного компьютера, с помощью которого можно было бы проводить эксперименты и показывать людям сразу, как происходит эта атака через сети WiFi.
Устройство предоставляет бесплатную WiFi сеть, к которой можно подключиться без пароля. Затем программа, установленная и запущенная с ноутбука или телефона, выдает ленту для пользователя, которая приглашает данные для авторизации, то есть логин и пароль от социальных сетей или от Google-аккаунта. После подтверждения введенные данные становятся доступными для мошенников.
Устройство Дани Маментовича для моделирования фишинговой атаки
«Получив доступ к самому Google-аккаунту или Facebook, можно получить доступ к огромному количеству персональных данных», — отмечает Даня.
Это может быть доступ ко всем привязанным личным или рабочим аккаунтам Facebook, через Google-аккаунт можно получить доступ к фотографиям, почте, средствам через Google Pay, а также к Google-диску со всеми файлами.
Через тернии к звездам
Эксперимент по тестированию девайса по словам Дани он проводил в своем учебном заведении. Он отметил, что на момент тестирования в устройстве Даниила были отключены модули, отвечающие за сохранность информации.
«У нас не было цели провести именно атаку, только цель все же показать людям, насколько просто можно стать жертвой такой атаки», — объясняет парень.
К сожалению, по его словам, в начальном эксперименте приняли участие только 20 человек, потому что он начался за три дня до начала полного масштабного вторжения. Однако, даже это маленькое количество полученных данных, помогло исследователю понять недостатки устройства, как несовместимость с системой OxygenOS, которую используют на телефонах Oppo, а также возникла проблема с сохранением данных. Кроме того, были некоторые проблемы с авторизацией телефонов или устройств Apple на базе операционных систем iOS, MacOS.
Цены и конкуренты
На рынке уже присутствуют аналогичные устройства, но они достаточно дорогие, поэтому, как говорит парень, чтобы сделать дешевле, он взял открытое программное обеспечение и одноплатный компьютер Orange Pi Zero, довольно простой и дешевый.
«У него есть все необходимые для нас модули, он маленький, его можно удобно, если это, мы говорим, можно удобно куда-то спрятать», — отметил исследователь.
Цены конкурентов по анализу Данные данных в прошлом году начинаются от $70 и до $300. Это Wi-Fi Pineapple в разной классификации, вариантах и модификациях с разным функционалом.
Устройство парня стоит $20, это цена самого одноплатного компьютера и открытый программный код, который можно найти на GitHub по ссылке.
Практическое применение
Даниил акцентировал, что внимание исследователь уделил устройству с ОС Android. Впоследствии он дополнил код и убрали эти уязвимости и устройство начало работать стабильно на всех девайсах.
Парень защитил проект на городском уровне, затем на областном, а затем на всеукраинском уровне конкурса от МАН.
Даня Маментович (Фото из личного архива)
Подобные устройства могут использоваться не только для атак. Как сказал Даня, используя это устройство, даже при выключенных модулях для хранения информации, хранится информация об авторизации человека в сети. А это, например, можно использовать в разных офисах, чтобы отмечать, когда человек приходит на работу и телефон автоматически отключается к сети Wi-Fi и появляется сразу в базе данных.
Фишинг для ленивых
По словам исследователя, у него были мнения, что программное обеспечение в свободном доступе может распространить количество фишинговых атак. На GitHub размещен только общий набор команд и конфигурационных файлов, но для того чтобы все же открыть эту атаку, нужно иметь определенные знания в этой сфере и собственноручно устроить этот код на одноплатном компьютере.
«Нужно по-разному устанавливать этот код, по-разному переписывать разные команды, настраивать все под каждый телефон, указанный в сценарии использования», — сообщил парень.
Как он говорит, есть множество программ, которые сразу же предоставляют возможность качать их на телефон или на ноутбук и воспроизводят атаку, без подобных доработок. По его словам, скорее всего люди выберут более простой для них вариант, скачать уже все готовое, которые не нужно оптимизировать.
Планы
Даня сообщает, что сейчас имеет цели на поступление в рамках инженерии программного обеспечения. Его мечта — поступить в Киево-Могилянскую академию, а в будущем стать проектным менеджером.
Он рассказывает, что сейчас больше связан с объекто-ориентированным программированием, изучал JavaScript которым уже достаточно хорошо владеет, связанным с ним фреймворки, но не прочь пойти в другое программное направление.
«Я окончательно не решился в какую-то детальную классификацию пойти, думаю над тем, чтобы изучать C-языки, возможно C++, если разрабатывать общее программное обеспечение, или C-sharp, если направляться в GameDev», — отмечает он.
Кроме того, за следующий год исследователь планирует довести эксперимент до конца с большим количеством людей, сделать определенную статистику по пользованию этим устройством, по уязвимости людей на фишинговые атаки особенно такого вида.
«Погреб для городских жителей». 17-летняя хмельничанка создала эко-холодильник: как он работает, где можно использовать технологию и за что она благодарна коронавирусу
Семнадцатилетняя выпускница Славутского лицея в Хмельницкой области, МАНовка Елизавета Герасимчук, создала прототип эко-холодильника, который работает от солнечных панелей и аккумуляторов. Прототип девушка представила на многих украинских конкурсах и олимпиадах. В частности, несмотря на полномасштабную войну России в Украине, Лиза заняла третье место в категории Технические науки, подкатегория авиа- и ракетостроения, машиностроения и робототехника в финале ежегодного Конкурса-защиты научно-исследовательских работ учеников-членов Малой академии наук Украины, и может принять участие в международных олимпиадах и конкурсах от МАН.
dev.ua она рассказала подробности разработки и идеи, а также свои планы на научное будущее, у девушки есть идеи для разработок.
17-летний школьник разработал дрон-миноискатель вместо вечного двигателя, чтобы помочь саперам. Как он работает и как выглядит
Украина непобедима, если даже во время военного вторжения украинцы всех возрастов не перестают учиться и создавать разработки, которые помогают и военным, и гражданским. На этот раз героем нашего материала стал старшеклассник из лицея КПИ Игорь Клименко, разработавший дрон-миноискатель. Вдохновила его на разработку война, которая началась еще восемь лет назад.
С проектом дрона-миноискателя в прошлом году в Малой Академии Наук школьник, получил второе место, в этом году — первое место. Сейчас готовится дальше к всеукраинскому этапу. Самое большое вознаграждение — золото на Malaysia Technology Expo, одной из крупнейших ежегодных выставок технологий и инноваций в Юго-Восточной Азии, и серебро на выставке изобретений в Женеве The International Exhibition of Inventions.
Он рассказал нам, как дрон работает, и что понадобилось, чтобы его создать.
