📐 👨🏻‍🔬 🤶🏽 Jika IB memiliki "Penghargaan Darwin", atau 7 cerita tentang kebodohan, sampah, mudah tertipu dan konsekuensinya 📹 🤞🏼 😏

Ada orang di tim kami yang tugasnya memantau berita keamanan informasi. Pada hari itu mereka membajak banyak materi dalam bahasa Rusia, Inggris, Spanyol dan beberapa tiga bahasa. Intisari tersebar ke berbagai departemen: siapa yang dapat melihat apakah ada perusahaan yang dikenal di antara para korban, yang - sebagai ilustrasi untuk sebuah artikel, contoh untuk pelatihan atau webinar. Tetapi untuk beberapa cerita kami memiliki ayah yang istimewa. Skema penipuan “cerdik” atau tusukan yang secara mengejutkan naif - pada tanggal 1 April, kami memutuskan untuk mengorek isi nyali dan memilih beberapa cerita yang para terdakunya layak menerima hadiah versi IB dari Hadiah Darwin.

gambar

1. Nominasi "Keramahan"

Pada 2014, seorang wanita tua yang cantik datang ke penjara di South Dakota, AS, yang memperkenalkan dirinya sebagai inspektur medis. Dia mengatakan kepada staf bahwa dia harus memeriksa kondisi tahanan dan kepatuhan terhadap standar sanitasi dan higienis di lingkungan kantor.

Wanita itu disambut dengan ramah dan dibawa ke semua kantor tempat ia menuntut akses. Para penjaga bahkan tidak malu dengan permintaan untuk membiarkannya pergi ke pusat kontrol sistem TI dan ruang server - seharusnya untuk melihat apakah ada cetakan di sana. Pada saat yang sama, ia diizinkan untuk membawa telepon dan mengambil foto, dan juga sering dibiarkan sendirian.

Akibatnya, Rita Strand (yang disebut "inspektur") dengan bebas mengumpulkan informasi tentang seluruh infrastruktur penjara: titik akses, PC, langkah-langkah keamanan fisik. Dan dia meretas semua komputer yang menghalangi dengan menghubungkan USB Rubber Ducky kepada mereka untuk mencegat data. Dia bahkan berhasil mendapatkan ke PC kepala penjara, yang dirinya (!) Mengundang wanita itu ke kantornya. Rita membutuhkan waktu 45 menit untuk melakukan semuanya.

Yang lucu adalah bahwa Rita Strand sama sekali tidak memiliki keterampilan hacker. Dia bekerja sepanjang hidupnya di katering dan tidak pernah berpartisipasi dalam urusan "mata-mata". Dan untuk masuk ke sistem keamanan penjara, bukannya putranya, pakar keamanan informasi John Strand, yang seharusnya mengatur pentest, sukarela. Dialah yang memberinya "bebek USB" dan semua instruksinya, tetapi dia tidak berharap bahwa penetrasi akan menjadi sangat sederhana. Dia berbagi kisahnya di sebuah konferensi khusus enam tahun kemudian, tanpa mengungkapkan nama dan lokasi penjara. Agaknya, para sipir masih malu.

2. Nominasi "Tinder of the brain"

Para pahlawan dari cerita ini adalah beberapa lusin prajurit tentara Israel. Mereka semua berkenalan di internet, dan kemudian menemukan bahwa mereka menggabungkan rahasia negara.

Insiden itu go public Februari ini. Dilaporkan bahwa sejak akhir 2019, anak perempuan mulai aktif menulis kepada tentara di jejaring sosial dan situs kencan. Saat bepergian, mereka siap untuk berbagi foto yang mengasyikkan, namun, hanya dalam aplikasi aman khusus (atau mereka akan bocor ke jaringan!). Dia ditawari untuk mengunduh dari tautan.

Mereka yang menyerah pada bujukan menemukan bahwa smartphone mereka mulai berperilaku aneh. Transmisi data diaktifkan, lalu lintas keluar tumbuh, kamera dan perekam dihidupkan sendiri. Segera menjadi jelas bahwa "obrolan rahasia" dengan foto adalah malware untuk remote control ponsel, dan "gadis-gadis" adalah peretas Hamas. Selama beberapa bulan, mereka memiliki akses ke informasi tentang lokasi perangkat yang terkena dampak, foto dan kontak telepon.

Perwakilan tentara Israel mengklaim bahwa mereka segera mengungkapkan skema tersebut, tetapi tidak menanggapi untuk mengamati situasi. Dan seharusnya tidak ada data berharga yang mengalir ke militan Palestina, karena semua militer telah diperingatkan tentang bahaya sebelumnya.

3. Nominasi "Rake Dance"

Berikut ini mungkin ratusan kisah tentang Elastis yang bebas kata sandi. Atau MongoDB. Atau basis data lain di mana pengguna tidak menetapkan kata sandi dan, pada kenyataannya, meninggalkan informasi dalam domain publik. Ini memang salah satu saluran kebocoran paling umum - pada tahun 2018, 540 juta akun Facebook melangkah sejauh ini (kemudian jaringan sosial mempercayai analis Meksiko dari Cultura Colectiva, dan kontraktor tidak melindungi server). Pada 2016, informasi bocor sekitar 80% orang Amerika dengan hak suara (ini adalah data pribadi 198 juta orang).

Tapi tahun ini kemenangan dalam nominasi masuk ke aplikasi Whisper. Itu diposisikan sebagai "tempat paling dapat diandalkan di Internet", di mana pengguna dapat secara rahasia membagikan rahasia rahasia mereka. Dan kemudian pengembang tidak sengaja terungkapdata 30 juta orang. Ternyata Whisper telah menyimpan arsip untuk semua pengguna sejak 2012.

Dari basis data yang tidak dilindungi kata sandi, konten tulisan "rahasia" bocor ke jaringan. Dan ini adalah cerita tentang ketakutan, keinginan rahasia, pengakuan tindakan tidak bermoral dan kriminal, rahasia intim. Tetapi yang utama adalah bahwa informasi tentang kredensial pengguna (nama panggilan, email dan nomor telepon yang terkait dengan mereka), usia, kebangsaan, dan lokasi mereka pada otorisasi terakhir ternyata berada dalam domain publik. Terkadang geodata cukup untuk membangun area perumahan dan tempat kerja tertentu. Sekitar 1,3 juta akun yang dikompromikan adalah milik remaja di bawah 15 tahun.

4. Nominasi “Saya tidak melihat, itu artinya tidak”

Pada awal tahun ini, perusahaan keamanan informasi Kazakhstani "Pusat Analisis dan Investigasi Serangan Cyber" melaporkan kepada media bahwa mereka telah menemukan kebocoran data utama dari sistem informasi Jaksa Agung Republik Kazakhstan. Orang-orang dari semua warga negara Kazakhstan dan orang asing, sehubungan dengan siapa urusan administrasi pernah dimulai di republik ini, berada dalam akses bebas ke jaringan. Semua denda, peringatan, alamat tempat tinggal, foto-foto pelanggar, nomor plat dan data mobil mereka. Selain itu, akses ke sistem informasi kantor kejaksaan ternyata terbuka dari Internet, setiap pengguna dapat mengedit, menghapus kasus, memulai yang baru. Karena sistem informasi terintegrasi dengan semua layanan dari pemerintah elektronik negara tersebut, data internal dari setiap lembaga pemerintah dapat dikompromikan.

Para peneliti mencatat bahwa mereka menghubungi agen tersebut beberapa kali, tetapi tidak mendapatkan reaksi. Bahkan setelah pengungkapan informasi tentang kerentanan kepada publik, kantor kejaksaan Kazakhstan berdiri : tidak seperti itu, "data tidak tersedia di Internet secara jelas." Keras kepala yang luar biasa.

5. Nominasi "Untuk Ekshibisionisme Informasi"

Seorang pegawai bank dari North Carolina, AS, mencuri lebih dari $ 88.000 dari rekening pelanggan. Seorang pria menarik dana dari deposito dan memalsukan dokumen untuk menutupi jejaknya. Dia berhasil memutar skema setidaknya 18 kali, selama waktu itu dia memperbaiki posisinya dengan baik dan mulai hidup dengan cara yang besar. Dan semuanya akan baik-baik saja jika saya belum memutuskan untuk membanggakan kesuksesan di Facebook dan Instagram.

Di halaman Amerika, foto-foto mulai muncul secara teratur dengan paket uang tunai, alkohol mahal, perhiasan, dan mobil. Foto populer - pada akhirnya, polisi menjadi tertarik pada mereka.

Pada April 2019, pengadilan itu sampai ke pengadilan, Amerika menghadapi 30 tahun penjara dan denda $ 1 juta. Dan bahan-bahan dari jejaring sosial melekat pada kasus ini. Misalnya, sebuah pos di mana seorang pria berpose dengan latar belakang Mercedes-Benz baru - sebuah foto dan cek senilai $ 20.000, yang ia bayarkan sebagai pembayaran di muka untuk sebuah mobil, menjadi salah satu bukti penuntutan.

gambar

Kisah serupa terjadi di Kolombia dengan kepala layanan kontrol pengiriman internal. Omar Ambuel menerima gaji resmi $ 3.000 per bulan. Pada saat yang sama, putrinya, yang tinggal di Miami dan memiliki toko es krim sederhana, menjalani gaya hidup yang benar-benar mewah. Di Instagram-nya secara teratur muncul foto-foto dengan pembelian dari merek-merek mahal, mengendarai Lamborghini dan Porsche baru, sedang berlibur dari resor mewah.

gambar

Masalahnya menyusul ketika polisi muncul di antara pelanggan diva sekuler. Melalui seorang gadis, mereka pergi ke ayahnya dan menanyakan pertanyaan yang masuk akal: apakah Dolce Vita seperti itu terjangkau untuk keluarga pegawai negeri biasa? Pihak berwenang percaya bahwa pejabat itu menciptakan jaringan kriminal di pelabuhan Kolombia dan menerima suap jutaan dolar untuk penyelundupan. Pada April 2019, Ambuil, istri dan putrinya ditangkap - hanya di sebuah resor mahal. Apa yang dipanggil, terima kasih pada gambar untuk tipnya.

6. Nominasi "Pizza sebagai senjata nasib"

Tidak hanya pencuri cerdas yang ditusuk pada hal-hal sepele, tetapi juga grandees cybercrime.

Pencipta salah satu layanan DDoS Quantum Stresser tertua, David Bukoski, telah berhasil bersembunyi dari pihak berwenang sejak 2012. Hanya pada tahun 2018, gagasannya memungkinkan "menempatkan" sekitar 50 ribu sistem informasi di seluruh dunia, secara total, layanan ini menyumbang lebih dari 80 ribu pesanan yang telah selesai untuk serangan cyber. Meskipun pada tahun 2018, selama operasi khusus internasional, situs web quantumstress [.] Dilikuidasi, petugas penegak hukum masih mencari cara untuk mencapai pemilik dan mencoba untuk membangun identitasnya.

"Kucing dan tikus" berlarut-larut, David santai. Pada awal 2020, ia memutuskan untuk memesan pizza di rumah dan meninggalkan email kontak di situs pengiriman ... yang pernah ia daftarkan domainnya.

Sebelumnya, alamat tersebut muncul di "daftar hitam" beberapa layanan yang digunakan David untuk mengiklankan Quantum Stresser dan menerima pembayaran dari pelanggan. Ketika perusahaan menghentikan layanan, dia mengirimi mereka surat resmi yang meminta mereka menjelaskan penolakan itu. Jadi polisi bisa mengetahui nama asli si peretas. Dan pesanan pengiriman mengungkapkan alamat rumahnya. Akibatnya, pizza dengan bacon dan ayam Bukoski menghabiskan biaya 5 tahun penjara.

Omong-omong, pada 2012, cybergeny lain memberikan urutan yang sama - Yuri Kovalenko, salah satu penulis Zeus yang terkenal. Di London, ia mengepalai sel "operator" botnet dan bekerja dengan tenang, meskipun FBI "di ujung", sampai ia meninggalkan aplikasi online untuk mengantarkan makan siang langsung ke markasnya. Jadi pizza masih merupakan senjata nasib.

7. Nominasi "Saya berputar semampu saya"

Ada orang yang sangat percaya bahwa jika Anda memukul seseorang dan kemudian menawarkannya untuk mempekerjakan Anda sebagai pengawal, dia akan dengan senang hati setuju. Kedengarannya gila di pemandangan dunia nyata. Namun, di dunia maya masih ada karakter seperti itu.

Misalnya, baru-baru ini, karyawan Departemen “K” Kementerian Dalam Negeri Rusia di Oblast Vologda menahan “Pentester” yang tidak berhasil. Ketika investigasi didirikan, pria itu melakukan serangan DDoS di toko online perusahaan Cherepovets terbesar. Tahanan itu mengakui bahwa ia secara khusus memuat situs - ia mengujinya untuk stabilitas, sehingga kemudian ia dapat menawarkan pemiliknya layanan untuk melindungi terhadap serangan DDoS.

Ada banyak cerita untuk ditertawakan. Anda dapat mengingat insiden baru dari Jerman tempat mereka menjualnya di eBaylaptop dengan instruksi rahasia untuk penghancuran sistem pertahanan rudal negara. Anda dapat mengingat bagaimana para perwira unit intelijen elektronik Pasukan Pertahanan Israel meretas server departemen personil militer untuk menerima liburan tambahan dan luar biasa, termasuk akomodasi berbayar di hotel-hotel. Tetapi orang mungkin secara umum terkejut bahwa selama 4 tahun terakhir, Kementerian Pertahanan Inggris telah kehilangan hampir 800 laptop dengan rahasia militer.

Tendang kami di komentar jika kami melewatkan sesuatu. Apakah ada nominasi yang lebih layak?

Jika IB memiliki "Penghargaan Darwin", atau 7 cerita tentang kebodohan, sampah, mudah tertipu dan konsekuensinya