🧜🏻 🚿 🤵🏼 Si el IB tuviera un "Premio Darwin", o 7 historias sobre estupidez, basura, credulidad y sus consecuencias ㊗️ 👌🏼 🤸🏻

Hay personas en nuestro equipo cuya tarea es monitorear las noticias de seguridad de la información. El día aran un montón de materiales en ruso, inglés, español y un par de tres idiomas. El resumen se dispersa en los departamentos: quién puede ver si hay compañías conocidas entre las víctimas, quienes, como ilustración de un artículo, un ejemplo de capacitación o un seminario web. Pero para algunas historias tenemos un papá especial. Esquemas fraudulentos "ingeniosos" o pinchazos sorprendentemente ingenuos: para el 1 de abril, decidimos analizar las tripas y seleccionamos varias historias cuyos acusados merecen el premio de la versión IB del Premio Darwin.

imagen

1. Nominación "Hospitalidad"

En 2014, una encantadora anciana llegó a una prisión en Dakota del Sur, EE. UU., Quien se presentó como inspectora médica. Ella le dijo al personal que tenía que verificar las condiciones de los prisioneros y el cumplimiento de las normas sanitarias e higiénicas en los locales de la oficina.

La mujer fue recibida cordialmente y llevada a todas las oficinas donde exigía acceso. Los guardias ni siquiera se avergonzaron de la solicitud de dejarla ir al centro de control de sistemas de TI y la sala de servidores, supuestamente para ver si había moho allí. Al mismo tiempo, se le permitió llevar un teléfono con ella y tomar una foto, y además a menudo se la dejaba sola.

Como resultado, Rita Strand (el llamado "inspector") recopiló libremente información sobre toda la infraestructura de la prisión: puntos de acceso, PC, medidas de seguridad física. Y hackeó todas las computadoras que se interpusieron al conectar USB Rubber Ducky a ellas para interceptar datos. Incluso logró llegar a la PC del jefe de la prisión, quien él mismo (!) Invitó a la mujer a su oficina. Rita tardó 45 minutos en hacer todo.

Lo curioso es que Rita Strand no tenía absolutamente ninguna habilidad de hacker. Trabajó toda su vida en la restauración y nunca participó en asuntos de "espionaje". Y para entrar en el sistema de seguridad de la prisión, en lugar de su hijo, el experto en seguridad de la información John Strand, que se suponía que iba a organizar un pentest, se presentó voluntario. Fue él quien le suministró "patos USB" y todas las instrucciones, pero no esperaba que la penetración fuera tan simple. Compartió su historia en una conferencia especializada seis años después, sin revelar el nombre y la ubicación de la prisión. Presumiblemente, los carceleros todavía están avergonzados.

2. Nominación "Yesca del cerebro"

Los héroes de esta historia fueron varias docenas de soldados del ejército israelí. Todos ellos hicieron conocidos agradables en la red, y luego descubrieron que estaban fusionando secretos de estado.

El incidente se hizo público este febrero. Se informó que desde finales de 2019, las niñas comenzaron a escribir activamente a los soldados en las redes sociales y sitios de citas. En movimiento, estaban listos para compartir fotos picantes, sin embargo, solo en una aplicación segura especial (¡o de lo contrario se filtrarán a la red!). Se le ofreció descargar desde el enlace.

Aquellos que sucumbieron a la persuasión descubrieron que sus teléfonos inteligentes comenzaban a comportarse de manera extraña. La transmisión de datos se activó, el tráfico saliente creció, la cámara y la grabadora se encendieron por sí mismas. Pronto quedó claro que el "chat secreto" con fotos era un malware para el control remoto del teléfono, y las "chicas" eran hackers de Hamas. Durante varios meses, tuvieron acceso a información sobre la ubicación de los dispositivos afectados, fotos y contactos telefónicos.

Los representantes del ejército israelí afirman que revelaron el plan casi de inmediato, pero no respondieron para observar la situación. Y supuestamente no fluyeron datos valiosos a los militantes palestinos, porque todos los militares habían sido advertidos sobre el peligro de antemano.

3. Nominación "Rake Dance"

Aquí podría haber cualquiera de probablemente cientos de historias sobre Elastic sin contraseña. O MongoDB. O cualquier otra base de datos en la que los usuarios no establezcan contraseñas y, de hecho, dejen información en el dominio público. Este es de hecho uno de los canales de fuga más comunes: en 2018, 540 millones de cuentas de Facebook llegaron hasta el momento (entonces la red social confiaba en los analistas mexicanos de Cultura Colectiva, y el contratista no protegió el servidor). En 2016, se filtró información sobre el 80% de los estadounidenses con derecho a voto (se trata de datos privados de 198 millones de personas).

Pero este año la victoria en la nominación va a la aplicación Whisper. Se posicionó como "el lugar más confiable en Internet", donde los usuarios podían compartir anónimamente sus secretos secretos. Y luego los desarrolladores revelaron accidentalmentedatos de 30 millones de personas. Resultó que Whisper ha estado almacenando un archivo para todos los usuarios desde 2012.

Desde una base de datos no protegida por contraseña, el contenido de las publicaciones "secretas" se filtró a la red. Y estas son historias sobre miedos, deseos secretos, confesiones de actos inmorales y criminales, secretos íntimos. Pero lo principal es que la información sobre las credenciales de los usuarios (apodos, correos electrónicos y números de teléfono asociados con ellos), su edad, nacionalidad y ubicación en la última autorización resultó ser de dominio público. A veces, los geodatos eran suficientes para establecer un área residencial y un lugar de trabajo específicos. Alrededor de 1.3 millones de cuentas comprometidas pertenecían a adolescentes menores de 15 años.

4. Nominación "No veo, significa que no fue"

A principios de este año, la compañía de seguridad de la información de Kazajstán "Centro de Análisis e Investigación de Ciberataques" informó a los medios de comunicación que había descubierto una fuga de datos importante del sistema de información de la Oficina del Fiscal General de la República de Kazajstán. Las personas de todos los ciudadanos de Kazajstán y los extranjeros, en relación con quienes se han iniciado asuntos administrativos en la República, tenían libre acceso a la red. Todas sus multas, advertencias, direcciones residenciales, fotografías de infractores, números de matrícula y datos de sus automóviles. Además, el acceso al sistema de información de la oficina del fiscal resultó estar abierto desde Internet, cualquier usuario podía editar, eliminar casos y comenzar otros nuevos. Dado que el sistema de información está integrado con todos los servicios del gobierno electrónico del país, los datos internos de cualquier agencia gubernamental pueden verse comprometidos.

Los investigadores notaron que se comunicaron con la agencia varias veces, pero no lograron una reacción. Incluso después de la divulgación pública de información sobre vulnerabilidad, la oficina del fiscal de Kazajstán se mantiene firme : nada de eso, "los datos no están disponibles en Internet de forma clara". Sorprendente terquedad.

5. Nominación "Para exhibicionismo informativo"

Un empleado de un banco de Carolina del Norte, EE. UU., Robó más de $ 88,000 de cuentas de clientes. Un hombre retiró fondos de depósitos y falsificó documentos para cubrir sus huellas. Se las arregló para poner en marcha el esquema al menos 18 veces, tiempo durante el cual mejoró bien su posición y comenzó a vivir a lo grande. Y todo estaría bien si no hubiera decidido presumir de éxito en Facebook e Instagram.

En la página estadounidense, las fotos comenzaron a aparecer regularmente con paquetes de dinero en efectivo, alcohol caro, joyas y automóviles. Las fotos eran populares: al final, la policía se interesó en ellas.

En abril de 2019, llegó a los tribunales, el estadounidense enfrenta hasta 30 años de prisión y una multa de $ 1 millón. Y los materiales de las redes sociales se adjuntaron al caso. Por ejemplo, una publicación en la que un hombre posa con el telón de fondo de un nuevo Mercedes-Benz: una fotografía y un cheque por $ 20,000, que hizo como prepago para el automóvil, se convirtió en una de las pruebas de la acusación.

imagen

Una historia similar sucedió en Colombia con el jefe del servicio de control de envío interno. Omar Ambuel recibió un salario oficial de $ 3,000 por mes. Al mismo tiempo, su hija, que vivía en Miami y tenía una modesta heladería, llevó un estilo de vida verdaderamente lujoso. En su Instagram aparecían regularmente fotos con compras de marcas caras, conduciendo nuevos Lamborghini y Porsche, de vacaciones en resorts de lujo.

imagen

El problema se produjo cuando la policía apareció entre los suscriptores de la diva secular. A través de una niña, fueron a ver a su padre y le hicieron una pregunta razonable: ¿es una Dolce Vita tan asequible para la familia de un funcionario ordinario? Las autoridades creen que el funcionario creó una red criminal en el puerto colombiano y recibió sobornos multimillonarios por contrabando. En abril de 2019, Ambuil, su esposa e hija fueron arrestados , solo en un complejo costoso. Como se llama, gracias a las fotos por la propina.

6. Nominación "Pizza como arma del destino"

No solo los ladrones inteligentes son perforados en bagatelas, sino también los verdaderos grandes del cibercrimen.

El creador de uno de los servicios más antiguos de Quantum Stresser DDoS, David Bukoski, se ha escondido con éxito de las autoridades desde 2012. Solo en 2018, su creación permitió "poner" alrededor de 50 mil sistemas de información en todo el mundo, en total, el servicio representó más de 80 mil pedidos completos de ataques cibernéticos. Aunque en 2018, durante la operación especial internacional, el sitio web de Quantumstress [.] Net fue liquidado, los agentes de la ley todavía estaban buscando formas de comunicarse con el propietario e intentaron establecer su identidad.

El "gato y el ratón" se arrastraron, David se relajó. A principios de 2020, decidió pedir pizza a casa y dejó un correo electrónico de contacto en el sitio de entrega ... en el que una vez había registrado su dominio.

Anteriormente, la dirección aparecía en las "listas negras" de varios servicios que David utilizaba para anunciar Quantum Stresser y aceptar pagos de los clientes. Cuando las compañías interrumpieron los servicios, él les envió cartas oficiales pidiéndoles que explicaran la negativa. Entonces la policía pudo averiguar el nombre real del hacker. Y el pedido de entrega reveló su domicilio. Como resultado, la pizza con tocino y pollo le costó a Bukoski 5 años de prisión.

Por cierto, en 2012, otra cibergenia dio la misma orden: Yuri Kovalenko, uno de los autores del famoso Zeus. En Londres, dirigió la celda de los "operadores" de la botnet y trabajó en silencio, a pesar del FBI "en la cola", hasta que dejó una solicitud en línea para entregar el almuerzo directamente a su sede. Entonces la pizza sigue siendo un arma del destino.

7. Nominación "Estoy girando como puedo"

Hay personas que creen firmemente que si golpeas a una persona y luego le ofreces contratarte como guardaespaldas, él estará de acuerdo. Suena loco en el escenario del mundo real. Sin embargo, en el mundo virtual todavía hay tales personajes.

Por ejemplo, recientemente, los empleados del Departamento "K" del Ministerio del Interior de Rusia en el Óblast de Vologda detuvieron al fracasado "Pentester". Según lo establecido por la investigación, el hombre llevó a cabo un ataque DDoS en la tienda en línea de la mayor empresa de Cherepovets. El detenido admitió que cargó específicamente el sitio: lo probó para determinar su estabilidad, de modo que luego pudiera ofrecer a los propietarios sus servicios para protegerse contra los ataques DDoS.

Hay muchas historias para reírse. Puedes recordar un nuevo incidente de Alemania donde se vendieron en eBayportátil con instrucciones de alto secreto para la destrucción del sistema estatal de defensa antimisiles. Puede recordar cómo los oficiales de las unidades de inteligencia electrónica de las Fuerzas de Defensa de Israel piratearon el servidor del departamento de personal del ejército para recibir permisos adicionales y extraordinarios, incluido alojamiento pagado en hoteles. Pero uno puede sorprenderse en general de que en los últimos 4 años, el Ministerio de Defensa del Reino Unido ya haya perdido casi 800 computadoras portátiles con secretos militares.

Pónganos en los comentarios si nos perdimos algo. ¿Hay nominados más dignos?

Si el IB tuviera un "Premio Darwin", o 7 historias sobre estupidez, basura, credulidad y sus consecuencias