🧕🏽 👴🏼 🦕 Si l'IB avait un «Darwin Award», ou 7 histoires sur la stupidité, les ordures, la crédulité et leurs conséquences 💏 👆🏼 🌎

Il y a des gens dans notre équipe dont la tâche est de surveiller les nouvelles sur la sécurité de l'information. Le jour même, ils labourent un tas de documents en russe, anglais, espagnol et deux ou trois langues. Le condensé est dispersé en départements: qui peut voir s'il y a des entreprises familières parmi les victimes, qui - comme illustration pour un article, un exemple de formation ou un webinaire. Mais pour certaines histoires, nous avons un papa spécial. «Brillantes» dans leur simplicité, stratagèmes frauduleux ou crevaisons surprenantes de naïveté - au 1er avril, nous avons décidé de nous gratter les tripes et de sélectionner plusieurs histoires, dont les prévenus méritent le prix de la version IB du «Prix Darwin».

1. Nomination "Hospitalité"

En 2014, une charmante femme âgée est arrivée dans une prison du Dakota du Sud, aux États-Unis, qui s'est présentée comme inspecteur médical. Elle a dit au personnel qu'elle devait vérifier les conditions des prisonniers et le respect des normes sanitaires et hygiéniques dans les locaux du bureau.

La femme a été chaleureusement accueillie et emmenée dans tous les bureaux où elle a demandé l'accès. Les gardes n'étaient même pas gênés par la demande de la laisser aller au centre de contrôle des systèmes informatiques et à la salle des serveurs - soi-disant pour voir s'il y avait de la moisissure. Dans le même temps, elle a été autorisée à prendre un téléphone avec elle et à prendre une photo, et en plus souvent laissée seule.

En conséquence, Rita Strand (la soi-disant «inspecteur») a collecté librement des informations sur l'ensemble de l'infrastructure de la prison: points d'accès, PC, mesures de sécurité physique. Et elle a piraté tous les ordinateurs qui gênaient en leur connectant USB Rubber Ducky pour intercepter les données. Elle a même réussi à se rendre au PC du directeur de la prison, qui lui-même (!) A invité la femme à son bureau. Rita a pris 45 minutes pour tout faire.

Le plus drôle, c'est que Rita Strand n'avait absolument aucune compétence de hacker. Elle a travaillé toute sa vie dans la restauration et n'a jamais participé aux affaires «d'espionnage». Et pour pénétrer dans le système de sécurité de la prison, au lieu de son fils, l'expert en sécurité de l'information John Strand, qui était censé organiser un pentest, s'est porté volontaire. C'est lui qui lui a fourni des «canards USB» et toutes les instructions, mais il ne s'attendait pas à ce que la pénétration soit aussi simple. Il a partagé son histoire lors d'une conférence spécialisée six ans plus tard, sans révéler le nom et l'emplacement de la prison. Vraisemblablement, les geôliers sont toujours gênés.

2. Nomination "Amadou du cerveau"

Les héros de cette histoire étaient plusieurs dizaines de soldats de l'armée israélienne. Tous ont fait d'agréables connaissances sur le net, puis ont découvert qu'ils fusionnaient des secrets d'État.

L'incident a été rendu public en février. Il a été signalé que depuis la fin de 2019, les filles ont commencé à écrire activement aux soldats sur les réseaux sociaux et les sites de rencontres. En déplacement, ils n'étaient prêts à partager des photos piquantes, cependant, que dans une application sécurisée spéciale (sinon ils s'infiltreraient dans le réseau!). Il a été proposé de télécharger à partir du lien.

Ceux qui ont succombé à la persuasion ont constaté que leurs smartphones commençaient à se comporter étrangement. La transmission des données a été activée, le trafic sortant a augmenté, la caméra et l'enregistreur se sont allumés d'eux-mêmes. Il est vite devenu évident que le «chat secret» avec des photos était un malware pour contrôler à distance le téléphone, et les «filles» étaient des pirates du Hamas. Pendant plusieurs mois, ils ont eu accès à des informations sur l'emplacement des appareils concernés, des photos et des contacts téléphoniques.

Des représentants de l'armée israélienne affirment avoir révélé le plan presque immédiatement, mais n'ont pas répondu pour observer la situation. Et soi-disant aucune donnée précieuse n'a été transmise aux militants palestiniens, car tous les militaires avaient été avertis à l'avance du danger.

3. Nomination "Rake Dance"

Voici peut-être l'une des centaines d'histoires probablement sur Elastic sans mot de passe. Ou MongoDB. Ou toute autre base de données dans laquelle les utilisateurs ne définissent pas de mots de passe et, en fait, laissent des informations dans le domaine public. C'est en effet l'un des canaux de fuite les plus courants - en 2018, 540 millions de comptes Facebook sont allés jusqu'à présent (alors le réseau social a fait confiance aux analystes mexicains de Cultura Colectiva, et le contractant n'a pas protégé le serveur). En 2016, des informations ont divulgué environ 80% des Américains ayant le droit de vote (il s'agit de données privées de 198 millions de personnes).

Mais cette année, la victoire dans la nomination va à l'application Whisper. Il était positionné comme «l'endroit le plus fiable sur Internet», où les utilisateurs pouvaient partager anonymement leurs secrets secrets. Et puis les développeurs ont accidentellement révélédonnées de 30 millions de personnes. Il s'est avéré que Whisper stockait l'archive pour tous les utilisateurs depuis 2012.

À partir d'une base de données non protégée par mot de passe, le contenu des messages «secrets» a fuité sur le réseau. Et ce sont des histoires de peurs, de désirs secrets, d'aveux d'actes immoraux et criminels, de secrets intimes. Mais l'essentiel est que les informations sur les informations d'identification des utilisateurs (surnoms, e-mails et numéros de téléphone qui leur sont associés), leur âge, leur nationalité et leur emplacement lors de la dernière autorisation se soient révélées être du domaine public. Parfois, les géodonnées étaient suffisantes pour établir une zone résidentielle et un lieu de travail spécifiques. Environ 1,3 million de comptes compromis appartenaient à des adolescents de moins de 15 ans.

4. Nomination "Je ne vois pas, cela signifie que ce n'était pas le cas"

Au début de cette année, la société kazakhe de sécurité de l'information «Centre d'analyse et d'enquête sur les cyberattaques» a rapporté aux médias qu'elle avait découvert une fuite de données importante dans le système d'information du procureur général de la République du Kazakhstan. Les personnes de tous les citoyens du Kazakhstan et les étrangers, pour lesquels des affaires administratives ont jamais été engagées dans la République, ont librement accès au réseau. Toutes leurs amendes, avertissements, adresses résidentielles, photographies des contrevenants, numéros de plaque d'immatriculation et données de leurs voitures. De plus, l’accès au système d’information du parquet s’est avéré être ouvert sur Internet, tout utilisateur pouvait éditer, supprimer des affaires, en créer de nouvelles. Étant donné que le système d'information est intégré à tous les services du gouvernement électronique du pays, les données internes de tout organisme gouvernemental peuvent être compromises.

Les chercheurs ont noté qu'ils avaient contacté l'agence à plusieurs reprises, mais n'avaient obtenu aucune réaction. Même après la divulgation publique d'informations sur la vulnérabilité, le parquet du Kazakhstan tient bon : rien de tel, "les données ne sont pas disponibles sur Internet en clair". Entêtement incroyable.

5. Nomination "Pour l'exhibitionnisme de l'information"

Un employé de banque de Caroline du Nord, aux États-Unis, a volé plus de 88 000 $ sur des comptes clients. Un homme a retiré des fonds de dépôts et de faux documents pour couvrir ses traces. Il a réussi à lancer le programme au moins 18 fois, période au cours de laquelle il a bien amélioré sa position et a commencé à vivre en grand. Et tout irait bien si je n'avais pas décidé de me vanter de succès sur Facebook et Instagram.

Sur la page américaine, des photos ont commencé à apparaître régulièrement avec des paquets d'argent, d'alcool cher, de bijoux et de voitures. Les photos étaient populaires - à la fin, la police s'est intéressée à elles.

En avril 2019, l'affaire a été portée devant les tribunaux, l'Américain encourt jusqu'à 30 ans de prison et une amende de 1 million de dollars. Et les documents des réseaux sociaux étaient joints à l'affaire. Par exemple, un message où un homme pose dans le contexte d'une Mercedes-Benz flambant neuve - une photographie et un chèque de 20000 $, qu'il a fait en guise de prépaiement pour la voiture, est devenu l'un des éléments de preuve de l' accusation.

Une histoire similaire s'est produite en Colombie avec le chef du service de contrôle interne des expéditions. Omar Ambuel a reçu un salaire officiel de 3 000 $ par mois. Dans le même temps, sa fille, qui vivait à Miami et tenait un modeste magasin de crème glacée, menait une vie vraiment luxueuse. Sur son Instagram sont régulièrement apparues des photos avec des achats de marques chères, conduisant de nouvelles Lamborghini et Porsche, en vacances dans des complexes de luxe.

Le problème a dépassé lorsque la police est apparue parmi les abonnés de la diva laïque. Par l'intermédiaire d'une fille, ils sont allés voir son père et lui ont posé une question raisonnable: une telle Dolce Vita est-elle abordable pour la famille d'un fonctionnaire ordinaire? Les autorités estiment que le fonctionnaire a créé un réseau criminel dans le port colombien et a reçu des pots-de-vin de plusieurs millions de dollars pour contrebande. En avril 2019, Ambuil, sa femme et sa fille ont été arrêtés - juste dans une station balnéaire chère. Comment s'appelle, grâce aux photos de l'astuce.

6. Nomination "La pizza comme arme du destin"

Non seulement les voleurs avertis sont percés de bagatelles, mais aussi de vrais grands de la cybercriminalité.

Le créateur de l'un des plus anciens services DDoS de Quantum Stresser, David Bukoski, a réussi à se cacher des autorités depuis 2012. Ce n'est qu'en 2018, son idée originale a permis de «mettre» environ 50 000 systèmes d'information à travers le monde, au total, le service a représenté plus de 80 000 commandes de cyberattaques. Bien qu'en 2018, lors de l'opération spéciale internationale, le site Internet quantumstress [.] Net ait été liquidé, les forces de l'ordre cherchaient toujours des moyens de joindre le propriétaire et ont tenté d'établir son identité.

Le "chat et la souris" s'éternisèrent, David se détendit. Début 2020, il a décidé de commander une pizza chez lui et a laissé un email de contact sur le site de livraison ... auquel il avait déjà enregistré son domaine.

Auparavant, l'adresse figurait sur les «listes noires» de plusieurs services que David utilisait pour annoncer Quantum Stresser et accepter les paiements des clients. Lorsque les entreprises ont arrêté les services, il leur a envoyé des lettres officielles leur demandant d'expliquer le refus. La police a donc pu découvrir le vrai nom du pirate. Et le bon de livraison a révélé son adresse personnelle. En conséquence, la pizza au bacon et au poulet a coûté à Bukoski 5 ans de prison.

Soit dit en passant, en 2012, une autre cybergénie a donné le même ordre - Yuri Kovalenko, l'un des auteurs du célèbre Zeus. À Londres, il a dirigé la cellule des «opérateurs» du botnet et a travaillé tranquillement, malgré le FBI «sur la queue», jusqu'à ce qu'il laisse une application en ligne pour livrer le déjeuner directement à son siège. La pizza est donc toujours une arme du destin.

7. Nomination "Je tourne comme je peux"

Il y a des gens qui croient fermement: si vous battez une personne, puis lui offrez de vous embaucher comme garde du corps, il sera volontiers d'accord. Cela semble fou dans le paysage du monde réel. Cependant, dans le monde virtuel, il existe encore de tels personnages.

Par exemple, récemment, des employés du Département «K» du Ministère des affaires intérieures de la Russie dans l'oblast de Vologda ont arrêté le «Pentester» qui a échoué. Comme l'enquête l'a établi, l'homme a lancé une attaque DDoS contre la boutique en ligne de la plus grande entreprise de Cherepovets. Le détenu a admis qu'il avait délibérément chargé le site - il l'avait testé pour la stabilité, afin de pouvoir offrir plus tard à ses propriétaires des services de protection contre les attaques DDoS.

Il y a plein d'histoires à rire. Vous vous souvenez d'un nouvel incident en Allemagne où ils ont vendu sur eBayordinateur portable avec des instructions top secrètes pour la destruction du système de défense antimissile de l'État. Vous vous souvenez comment des officiers des unités de renseignement électronique des Forces de défense israéliennes ont piraté le serveur du département du personnel de l'armée pour recevoir des vacances supplémentaires et extraordinaires, y compris avec un hôtel payant. Mais on peut être généralement surpris qu'au cours des 4 dernières années, le ministère britannique de la Défense a déjà perdu près de 800 ordinateurs portables avec des secrets militaires.

Donnez-nous un coup de pied dans les commentaires si nous avons manqué quelque chose. Y a-t-il des candidats plus dignes?

Si l'IB avait un «Darwin Award», ou 7 histoires sur la stupidité, les ordures, la crédulité et leurs conséquences