Дело Кайла Свары в очередной раз показывает простую и неприятную вещь: технология защиты бесполезна, когда человек сам отдает ключи. Двухфакторная аутентификация не волшебный щит, а дополнительный барьер. Если атакующий умеет говорить правильные слова и создает ощущение срочности, этот барьер превращается в декоративную наклейку.
26-летнего Кайла Свару из Освего, штат Иллинойс, обвиняют в федеральном суде Бостона в масштабной фишинговой операции против пользователей Snapchat. По версии следствия, с мая 2020 по февраль 2021 года он получил доступ как минимум к 59 аккаунтам, выгрузил интимные фотографии и затем продавал и обменивал их на форумах. В материалах дела фигурирует и общий масштаб: целями стали около 4500 женщин, а 570 из них передали ему коды подтверждения. Это успех 12,7%, который звучит страшнее, чем любой эксплойт.
Как это выглядело в реальности
Свара не делал ничего технологически изощренного. Ему не нужно было ломать инфраструктуру Snapchat или искать дыру в приложении. Он построил схему вокруг человеческого фактора и стандартной SMS-двухфакторки.
Сначала он собирал данные, которые обычно и так лежат на поверхности: адреса электронной почты, номера телефонов, никнеймы. Источники не обязательно были криминальные, для такой базы хватает открытых профилей, утечек и обычного OSINT. Так появилась подборка примерно из 4500 потенциальных жертв.
Дальше он запускал восстановление доступа к аккаунту. Snapchat, как и большинство платформ, в такой ситуации отправляет SMS с одноразовым кодом. Формально это и есть второй фактор, на практике это просто сообщение, которое легко превратить в приманку.
И вот здесь начиналась основная часть атаки. Свара писал жертвам с анонимных номеров, выдавая себя за представителя Snap Inc, и убеждал передать код. Не нужно сложных текстов, достаточно правильной интонации: мы заметили подозрительную активность, чтобы защитить ваш аккаунт, пришлите код подтверждения. И 570 человек сделали ровно то, чего делать нельзя никогда. Они отдали код незнакомцу, думая, что спасают доступ. На этом моменте двухфакторка перестает быть защитой. Она превращается в оружие атакующего, потому что он сам инициирует ее срабатывание.
После получения кода он заходил в аккаунт и скачивал контент. Следствие подтверждает компрометацию минимум 59 аккаунтов с фактической выгрузкой материалов. Дальше включалась монетизация. Свара рекламировал на Reddit услугу взлома аккаунтов Snapchat за деньги, а общение с клиентами вел через зашифрованный мессенджер Kik, что для теневого сектора считается базовой гигиеной.
Отдельная линия в этом деле связана с клиентами. Самым известным из них был Стив Уэйт, бывший тренер по легкой атлетике Northeastern University. По данным обвинения, он нанял Свару для взлома аккаунтов минимум 128 женщин, включая собственных спортсменок из команд по легкой атлетике и футболу Northeastern.
И это еще не весь набор. Уэйт параллельно работал и своими методами. Он создавал фейковые профили в соцсетях под именами Katie Janovich и Kathryn Svoboda и выдавал себя за женщину-исследователя, якобы проводящую исследование спортсменок. Под этим предлогом он выманивал фотографии в купальниках и белье для анализа композиции тела и диеты. Также он получал доступ к телефонам спортсменок под предлогом съемки техники бега и в это время отправлял себе интимные фото из их галерей.
Внимание
В ноябре 2023 года Уэйт признал вину по 12 пунктам мошенничества, одному пункту киберпреследования, а также по пунктам о сговоре и компьютерном мошенничестве. В марте 2024 года он получил 5 лет федеральной тюрьмы.
Сваре предъявили пять обвинений. Самое серьёзное, это кража личных данных при отягчающих обстоятельствах, за которую полагается обязательный минимум 2 года. Также ему вменяют электронное мошенничество (до 20 лет), компьютерное мошенничество (до 5 лет), сговор с целью компьютерного мошенничества (ещё до 5 лет) и ложные показания в связи с детской порнографией (до 8 лет).
При последовательном отбывании срок может составить до 40 лет федеральной тюрьмы плюс штрафы минимум $250,000 по каждому пункту. Первое слушание назначено на 4 февраля 2026 года в федеральном суде Бостона.
Именно поэтому важно правильно назвать эту историю. Это не взлом Snapchat. Это взлом людей.
С точки зрения безопасности вывод еще проще и жестче. SMS-код не является вторым фактором, если вы сами добровольно отдаете его по запросу. Представители Snapchat, Google, Apple, банков и любых сервисов никогда не просят прислать код подтверждения. Любая просьба сообщить код это всегда фишинг, без исключений.
Дело Свары это история про контроль вместо паники. Он ждет суда. Уэйт отбывает пятилетний срок. Но инфраструктура социальной инженерии никуда не делась. Следующий кейс зависит не от того, появится ли новая уязвимость, а от того, сколько людей снова поверят сообщению с правильными словами и неправильным адресатом.
