Автор: Ірина Чулівська, Лабораторія цифрової безпеки
Українські журналісти знаходяться під прицілом хакерських атак. Минулого літа Україна постраждала від двох масштабних вірусних атак WannaCry і NotPetya, які зупинили роботи низки редакцій. Наприклад, у червні 2017 року через вірус NotPetya втратили доступ до файлів на своїх робочих комп’ютерах журналісти рівненського телеканалу “РТБ”.
Персональна цифрова безпека також залишається викликом, адже випадки спроб зламів акаунтів та викрадення чи вилучення пристроїв з інформацією, на жаль, не поодинокі.
За даними дослідження ІМІ та Рорі Пек Траст 60% опитаних журналістів-фрілансерів починаючи з 2014 року стрикалися з онлайн-загрозами. Під особливою увагою – журналісти, які розслідують факти корупції, а також ті, що їздять висвітлювати події на окуповану Донеччину та анексований Крим. Серед журналістів-фрілансерів, що працюють в зоні АТО, з інтернет-загрозами стикались 53%.
Ми розглянемо п’ять реальних кейсів, які трапились останнім часом з українськими журналістами.
1. Фішингові листи для викрадення Gmail-акаунтів
Фішингові листи – один з найпоширеніших способів викрадати доступи до акунтів, з яким стикаються експерти Лабораторії цифрової безпеки. Саме журналісти, поруч з правозахисниками, є найчастішою мішенню.
Згідно з розслідуванням Associated Press українські журналісти були одними з основних цілей російської хакерської групи Fancy Bear у 2015-2016 роках, які розсилали дуже якісно зроблені фішингові листи. Більшість з них виглядали як сервісні листи від Google.
Наприклад, такого листа отримала у квітні 2015 року журналістка* KyivPost:
Адреси відправників були дуже вдало підроблені, серед них, наприклад, «no-reply@accounts.google.con», «no-reply@accounts.google.company», «no-reply@accounts.googlemail.com», «no-reply@accounts.google», «no-reply@accounts.google.inc», «no-reply@accounts.google.com», «no-reply@privacy.google.com».
Зараз українські журналісти, особливо ті, які займаються розслідуванням корупції, продовжують отримувати фішингові листи. Зазвичай такими листами знову ж намагаються видурити пароль від Google-акаунту.
Наприклад, такого листа отримав київський журналіст* нібито від сервісу Google Drive.
Після натискання кнопки «Скачать» користувача перенаправляє на сайт mail-account.in, який зовні нагадує вхідну сторінку Google.
При цьому якщо ввести сюди пароль – користувача перенаправляє на справжній сайт Google Drive з видаленим файлом. Тобто завдання зловмисника, щоб журналіст, який це відкриє і введе пароль, не здогадався, що щось трапилось.
Ще один приклад, отриманий журналістом-розслідувачем*. Лист від «Катерини Остапенко» (вигадане ім’я), яка нібито прислала журналісту якісь документи.
Насправді це не вкладені файли, а картинка, вставлена в листа, яка веде за посиланням googlen.autentification.goweb.kz, який також є насправді фішинговим сайтом, що зовні нагадує вхід в Gmail. При введені туди паролю користувача перенаправляло назад у «Вхідні» на Gmail.
2. Вірусні файли в пошті
Журналісти час від часу отримують листи в шкідливими вкладеними файлами. Так, одна з відомих українських розслідувачок* у грудні 2017 року отримала листа нібито з відповіддю на запит на інформацію, які українські журналісти надсилають і отримують регулярно.
Лист прийшов з адреси «st1m16@ukr.net» і містив вкладений з назвою «otvet1.doc».
Насправді файл «otvet1.doc» містив шкідливий код. ГО «Лабораторія цифрової безпеки» (Digital Security Lab Ukraine) проаналізували цей вірус і виявили, що він використовує вразливості пакету програм Microsoft Office (CVE-2017-0199 та/або CVE-2017-8759), на які компанія Майрософт вже випустила оновлення у квітні та вересні 2017 року.
Схожим чином, приславши листа з файлом нібито від Міністерства внутрішні справ з адреси info@mvs.gov.ua, у 2013 році зламали директорку журналістської організації ГО «Інституту масової інформації» Оксану Романюк.
3. Злам Facebook-акаунтів
Багато українських журналістів використовують Facebook-месенджер як один з основних способів комунікації з колегами та джерелами інформації. Через це безпека Facebook-акаунтів займає важливе місце.
У січні 2018 року після публікації розслідування про відпустку Президента один з працівників програми «Схеми. Корупція в деталях» виявив, що його Facebook-акаунт було зламано і здійснено вхід з невідомого йому пристрою.
Імовірно викрадення акаунту було здійснено через перехоплення СМС.
Також журналісти останнім часом регулярно отримують сповіщення про спроби входу в їхні акаунти, використовуючи неправильні паролі.
Наприклад, у січні 2018 р. листа від Facebook, який свідчить, що хтось намагається увійти у її акант з неправильним паролем, отримала журналістка* з Кривого Рогу.
4. Викрадення носіїв з інформацією
У 2015 році у відомого запорізького журналіста Тараса Білки з квартири викрали носії інформації: комп`ютер, фотоапарат і карти пам’яті.
На одній із флешок була важлива інформація, що стосувалась ще неопублікованих журналістських матеріалів. В той момент журналіст зокрема готував розслідування про продаж наркотичних речовин в запорізьких аптеках.
«Так, дійсно, готується дуже серйозне журналістське розслідування. Зібрано інформацію. І, за іронією, більшість документів було отримано сьогодні, – написав журналіст. – Ще одне, чому підозрюю, що шукали носії інформації. Додатково забрали 2 cd-диски… При цьому не перерили кухню і коридор. Не взяли три телефони, один з яких moto-g. Не взяли дорогужчий пауер-бенк на 23 тисячі mA. Не взяли планшет Lenovo, який дістали навіть з чохла і продивилися, але не прихопили. І L-book (вочевидь, неграмотні)».
5. Перевірка комп’ютерів і смартфонів на блокпостах
У Лабораторію цифрової безпеки журналісти неоднаразово повідомляли про випадки перевірок пристроїв при перетині кордону з Кримом та блокпостів. З міркувань безпеки своєї та колег журналісти не роблять офіційних свідчень про це.
В одному з випадків прикордонники в Криму змусили ввести пароль від комп’ютера і смартфона, переглядали файли, вставляли свої флешки, імовірно пробували відновити видалені на цьому ноутбуці файли.
Публічних свідчень про це нема, адже постраждалі воліють говорити про це лише в приватних розмовах.
Таким чином приховування особливо чутливих файлів на пристроях журналістів, які збираються перетинати кордони і блокпости з анексанованим Кримом чи окупованою частиною Донеччини, – важлива частина безпеки.
*імена журналістів не вказуються з міркувань безпеки