👃🏻 🌻 🐧 Wenn der IB einen „Darwin Award“ oder 7 Geschichten über Dummheit, Müll, Leichtgläubigkeit und ihre Folgen hätte 👱🏿 🔲 ⌛️

In unserem Team gibt es Mitarbeiter, deren Aufgabe es ist, Nachrichten zur Informationssicherheit zu überwachen. An dem Tag pflügen sie eine Reihe von Materialien in Russisch, Englisch, Spanisch und ein paar drei Sprachen. Die Übersicht ist in Abteilungen verteilt: Wer kann sehen, ob es unter den Opfern bekannte Unternehmen gibt, die - als Illustration für einen Artikel, ein Beispiel für Schulungen oder ein Webinar. Aber für einige Geschichten haben wir einen besonderen Papa. "Geniale" betrügerische Pläne oder überraschend naive Einstiche - bis zum 1. April beschlossen wir, durch die Eingeweide zu kratzen und wählten mehrere Geschichten aus, deren Angeklagte den Preis der IB-Version des "Darwin-Preises" verdienen.

Bild

1. Nominierung "Gastfreundschaft"

2014 kam eine hübsche ältere Frau in ein Gefängnis in South Dakota, USA, die sich als medizinische Inspektorin vorstellte. Sie sagte dem Personal, dass sie die Bedingungen der Gefangenen und die Einhaltung der Hygiene- und Hygienestandards in den Büroräumen überprüfen müsse.

Die Frau wurde herzlich begrüßt und in alle Büros gebracht, in denen sie Zugang forderte. Den Wachen war es nicht einmal peinlich, sie zum Kontrollzentrum für IT-Systeme und zum Serverraum gehen zu lassen - angeblich, um zu sehen, ob dort Schimmel vorhanden war. Gleichzeitig durfte sie ein Telefon mitnehmen und ein Foto machen und wurde außerdem oft alleine gelassen.

Infolgedessen sammelte Rita Strand (die sogenannte „Inspektorin“) frei Informationen über die gesamte Infrastruktur des Gefängnisses: Zugangspunkte, PCs, physische Sicherheitsmaßnahmen. Und sie hackte sich in alle Computer, die im Weg standen, indem sie USB Rubber Ducky an sie anschloss, um Daten abzufangen. Sie schaffte es sogar, zum PC des Gefängnisleiters zu gelangen, der die Frau selbst (!) In sein Büro einlud. Rita brauchte 45 Minuten, um alles zu erledigen.

Das Lustige ist, dass Rita Strand absolut keine Hackerfähigkeiten hatte. Sie hat ihr ganzes Leben in der Gastronomie gearbeitet und nie an „Spionageangelegenheiten“ teilgenommen. Und um in das Sicherheitssystem des Gefängnisses einzudringen, meldete sich anstelle ihres Sohnes der Informationssicherheitsexperte John Strand, der ein Pentest arrangieren sollte, freiwillig. Er war es, der sie mit „USB-Enten“ und allen Anweisungen versorgte, aber er hatte nicht erwartet, dass das Eindringen so einfach sein würde. Sechs Jahre später teilte er seine Geschichte auf einer Fachkonferenz mit, ohne den Namen und den Ort des Gefängnisses preiszugeben. Vermutlich sind die Gefängniswärter immer noch verlegen.

2. Nominierung "Zunder des Gehirns"

Die Helden dieser Geschichte waren mehrere Dutzend Soldaten der israelischen Armee. Alle machten angenehme Bekanntschaften im Netz und stellten dann fest, dass sie Staatsgeheimnisse verschmolzen.

Der Vorfall ging im Februar an die Öffentlichkeit. Es wurde berichtet, dass Mädchen seit Ende 2019 aktiv an Soldaten in sozialen Netzwerken und auf Dating-Sites schreiben. Unterwegs waren sie bereit, pikante Fotos nur in einer speziellen sicheren Anwendung zu teilen (oder sie gelangen ins Netzwerk!). Ihm wurde angeboten, über den Link herunterzuladen.

Diejenigen, die der Überzeugung erlagen, stellten fest, dass sich ihre Smartphones merkwürdig verhalten. Die Datenübertragung wurde aktiviert, der ausgehende Verkehr wuchs, die Kamera und der Rekorder wurden von selbst eingeschaltet. Es wurde schnell klar, dass der „geheime Chat“ mit Fotos eine Malware für die Fernsteuerung des Telefons war und die „Mädchen“ Hamas-Hacker waren. Mehrere Monate lang hatten sie Zugriff auf Informationen über den Standort betroffener Geräte, Fotos und Telefonkontakte.

Vertreter der israelischen Armee behaupten , sie hätten das Programm fast sofort enthüllt, aber nicht reagiert, um die Situation zu beobachten. Und angeblich flossen keine wertvollen Daten an die palästinensischen Militanten, weil das gesamte Militär im Voraus vor der Gefahr gewarnt worden war.

3. Nominierung "Rake Dance"

Hier könnte eine von wahrscheinlich Hunderten von Geschichten über das nicht passwortfreie Elastic sein. Oder MongoDB. Oder eine andere Datenbank, in der Benutzer keine Kennwörter festlegen und Informationen öffentlich zugänglich machen. Dies ist in der Tat einer der häufigsten Leckagekanäle - im Jahr 2018 gingen bisher 540 Millionen Facebook-Konten (damals vertraute das soziale Netzwerk mexikanischen Analysten von Cultura Colectiva, und der Auftragnehmer schützte den Server nicht). Im Jahr 2016 haben etwa 80% der stimmberechtigten Amerikaner Informationen durchgesickert (dies sind private Daten von 198 Millionen Menschen).

Aber dieses Jahr geht der Sieg in der Nominierung an die Whisper-Bewerbung. Es wurde als „der zuverlässigste Ort im Internet“ positioniert, an dem Benutzer ihre geheimen Geheimnisse anonym weitergeben konnten. Und dann haben die Entwickler versehentlich enthülltDaten von 30 Millionen Menschen. Es stellte sich heraus, dass Whisper das Archiv seit 2012 für alle Benutzer speichert.

Aus einer nicht passwortgeschützten Datenbank ist der Inhalt von "geheimen" Posts in das Netzwerk gelangt. Und dies sind Geschichten über Ängste, geheime Wünsche, Geständnisse unmoralischer und krimineller Handlungen, intime Geheimnisse. Die Hauptsache ist jedoch, dass Informationen über Benutzeranmeldeinformationen (Spitznamen, E-Mail-Adressen und damit verbundene Telefonnummern), ihr Alter, ihre Nationalität und ihren Standort bei der letzten Autorisierung öffentlich zugänglich waren. Manchmal reichten Geodaten aus, um ein bestimmtes Wohngebiet und einen bestimmten Arbeitsplatz einzurichten. Etwa 1,3 Millionen gefährdete Konten gehörten Jugendlichen unter 15 Jahren.

4. Nominierung "Ich verstehe nicht, das heißt, es war nicht so."

Zu Beginn dieses Jahres die kasachische Informationssicherheitsfirma „Zentrum für Analyse und Untersuchung von Cyber Attacks“ berichtete in die Medien , dass es ein wichtiges Datenleck aus dem Informationssystem der Generalstaatsanwaltschaft der Republik Kasachstan entdeckt hatte. Personen aller Bürger Kasachstans und Ausländer, in Bezug auf die jemals Verwaltungsangelegenheiten in der Republik eingeleitet wurden, hatten freien Zugang zum Netzwerk. Alle ihre Geldstrafen, Warnungen, Wohnadressen, Fotos von Verstößen, Kennzeichen und Daten ihrer Autos. Darüber hinaus stellte sich heraus, dass der Zugang zum Informationssystem der Staatsanwaltschaft über das Internet offen war und jeder Benutzer Fälle bearbeiten, löschen und neue Fälle starten konnte. Da das Informationssystem in alle Dienste der elektronischen Regierung des Landes integriert ist, können die internen Daten aller Regierungsbehörden kompromittiert werden.

Die Forscher stellten fest, dass sie die Agentur mehrmals kontaktierten, jedoch keine Reaktion erzielten. Auch nach der Veröffentlichung von Informationen über die Verwundbarkeit, das Büro des kasachischen Staatsanwalt behauptet sich : nichts dergleichen „ die Daten über das Internet in einer offenen Form nicht zur Verfügung steht.“ Erstaunliche Sturheit.

5. Nominierung "For Information Exhibitionism"

Ein Bankangestellter aus North Carolina, USA, stahl mehr als 88.000 US-Dollar von Kundenkonten. Ein Mann zog Geld von Einlagen ab und fälschte Dokumente, um seine Spuren zu verwischen. Er schaffte es mindestens 18 Mal, das Programm anzukurbeln. Während dieser Zeit verbesserte er seine Position gut und begann, in großem Stil zu leben. Und alles wäre in Ordnung, wenn ich mich nicht für einen Erfolg auf Facebook und Instagram entschieden hätte.

Auf der amerikanischen Seite tauchten regelmäßig Fotos mit Bargeld, teurem Alkohol, Schmuck und Autos auf. Fotos waren beliebt - am Ende interessierte sich die Polizei für sie.

Bis April 2019 kam es vor Gericht, der Amerikaner drohen bis zu 30 Jahre Gefängnis und eine Geldstrafe von 1 Million Dollar. Und die Materialien aus sozialen Netzwerken wurden dem Fall beigefügt. Zum Beispiel wurde ein Posten, in dem ein Mann vor dem Hintergrund eines brandneuen Mercedes-Benz posiert - ein Foto und ein Scheck über 20.000 US-Dollar, den er als Vorauszahlung für ein Auto bezahlte, zu einem Beweis für die Strafverfolgung.

Bild

Eine ähnliche Geschichte ereignete sich in Kolumbien mit dem Leiter des internen Versandkontrolldienstes. Omar Ambuel erhielt ein offizielles Gehalt von 3.000 USD pro Monat. Zur gleichen Zeit führte seine Tochter, die in Miami lebte und eine bescheidene Eisdiele führte, einen wahrhaft luxuriösen Lebensstil. Auf ihrem Instagram erschienen regelmäßig Fotos mit Einkäufen von teuren Marken, die neue Lamborghini und Porsche fahren, im Urlaub von Luxusresorts.

Bild

Der Ärger überkam, als die Polizei unter den Abonnenten der weltlichen Diva auftauchte. Durch ein Mädchen gingen sie zu ihrem Vater und stellten ihm eine vernünftige Frage: Ist eine solche Dolce Vita für die Familie eines gewöhnlichen Beamten erschwinglich? Die Behörden glauben, dass der Beamte im kolumbianischen Hafen ein kriminelles Netzwerk eingerichtet und Bestechungsgelder in Höhe von mehreren Millionen Dollar für den Schmuggel erhalten hat. Im April 2019 wurden Ambuil, seine Frau und seine Tochter festgenommen - nur in einem teuren Resort. Wie heißt es dank der Bilder für den Tipp.

6. Nominierung "Pizza als Schicksalswaffe"

Nicht nur versierte Diebe werden in Kleinigkeiten durchbohrt, sondern auch echte Granden der Internetkriminalität.

Der Schöpfer eines der ältesten Quantum Stresser DDoS-Dienste, David Bukoski, hat sich seit 2012 erfolgreich vor den Behörden versteckt. Erst im Jahr 2018 erlaubte seine Idee, rund 50.000 Informationssysteme auf der ganzen Welt zu „platzieren“. Insgesamt entfielen auf den Dienst mehr als 80.000 abgeschlossene Aufträge für Cyber-Angriffe. Obwohl 2018 während der internationalen Sonderoperation die Website von quantumstress [.] Net liquidiert wurde, suchten die Strafverfolgungsbeamten immer noch nach Wegen, um den Eigentümer zu erreichen, und versuchten, seine Identität festzustellen.

Die "Katz und Maus" zog sich hin, David entspannte sich. Anfang 2020 entschied er sich, Pizza nach Hause zu bestellen und hinterließ eine Kontakt-E-Mail auf der Lieferstelle ... bei der er einmal seine Domain registriert hatte.

Zuvor stand die Adresse auf den „schwarzen Listen“ mehrerer Dienste, mit denen David für Quantum Stresser geworben und Zahlungen von Kunden akzeptiert hat. Als die Unternehmen die Dienste einstellten, schickte er ihnen offizielle Briefe, in denen er sie aufforderte, die Ablehnung zu erklären. So konnte die Polizei den richtigen Namen des Hackers herausfinden. Und der Lieferauftrag enthüllte seine Privatadresse. Infolgedessen kostete Pizza mit Speck und Hühnchen Bukoski 5 Jahre Gefängnis.

Übrigens gab 2012 ein anderer Cybergeny den gleichen Befehl heraus - Yuri Kovalenko, einer der Autoren des berühmten Zeus. In London leitete er die Zelle der „Betreiber“ des Botnetzes und arbeitete trotz des FBI „am Ende“ leise, bis er eine Online-Bewerbung für die Lieferung des Mittagessens direkt an sein Hauptquartier hinterließ . Pizza ist also immer noch eine Waffe des Schicksals.

7. Nominierung "Ich spinne so gut ich kann"

Es gibt Leute, die fest davon überzeugt sind, dass wenn Sie eine Person schlagen und ihr dann anbieten, Sie als Leibwächter einzustellen, sie gerne zustimmt. Es klingt verrückt in der Landschaft der realen Welt. In der virtuellen Welt gibt es jedoch immer noch solche Charaktere.

So haben kürzlich Mitarbeiter der Abteilung „K“ des russischen Innenministeriums im Oblast Wologda den erfolglosen „Pentester“ festgenommen. Wie die Untersuchung ergab, führte der Mann einen DDoS-Angriff auf den Online-Shop des größten Cherepovets-Unternehmens durch. Der Häftling gab zu, dass er die Website speziell geladen hatte - er testete sie auf Stabilität, damit er später den Eigentümern seine Dienste zum Schutz vor DDoS-Angriffen anbieten konnte.

Es gibt viele Geschichten zum Lachen. Sie können einen neuen Vorfall aus Deutschland erinnern , wo sie verkauft auf eBayLaptop mit streng geheimen Anweisungen zur Zerstörung des staatlichen Raketenabwehrsystems. Sie können sich daran erinnern, wie die Offiziere der elektronischen Geheimdienste der israelischen Verteidigungskräfte den Server der Personalabteilung der Armee gehackt haben , um zusätzliche und außergewöhnliche Ferien zu erhalten, einschließlich bezahlter Unterkünfte in Hotels. Aber man kann allgemein überrascht sein , dass in den letzten 4 Jahren, das britische Verteidigungsministerium hat bereits verloren fast 800 Laptops mit militärischen Geheimnissen.

Treten Sie uns in die Kommentare, wenn wir etwas verpasst haben. Gibt es würdigere Kandidaten?

Wenn der IB einen „Darwin Award“ oder 7 Geschichten über Dummheit, Müll, Leichtgläubigkeit und ihre Folgen hätte