🏴󠁧󠁢󠁥󠁮󠁧󠁿 📁 ☄️ Se o IB tivesse um “Prêmio Darwin”, ou 7 histórias sobre estupidez, lixo, credulidade e suas conseqüências 🏟️ 👩🏻‍🚒 🙇🏻

Há pessoas em nossa equipe cuja tarefa é monitorar as notícias de segurança da informação. No dia, eles preparam vários materiais em russo, inglês, espanhol e duas línguas. O resumo está espalhado em departamentos: quem pode ver se há empresas familiares entre as vítimas, quem - como ilustração para um artigo, exemplo para treinamento ou webinar. Mas para algumas histórias, temos um pai especial. Esquemas fraudulentos “engenhosos” ou punções surpreendentemente ingênuas - até 1º de abril, decidimos raspar a cabeça e selecionamos várias histórias cujos réus merecem o prêmio da versão IB do Prêmio Darwin.

imagem

1. Nomeação "Hospitalidade"

Em 2014, uma adorável idosa foi para uma prisão em Dakota do Sul, EUA, que se apresentou como inspetora médica. Ela disse à equipe que precisava verificar as condições dos prisioneiros e a observância dos padrões sanitários e de higiene nas dependências do escritório.

A mulher foi recebida cordialmente e levada a todos os escritórios onde exigia acesso. Os guardas nem ficaram constrangidos com a solicitação de deixá-la ir ao centro de controle de sistemas de TI e à sala do servidor - supostamente para ver se havia mofo lá. Ao mesmo tempo, ela foi autorizada a levar um telefone com ela e a tirar uma foto, além de muitas vezes ser deixada sozinha.

Como resultado, Rita Strand (a chamada “inspetora”) coletou livremente informações sobre toda a infraestrutura da prisão: pontos de acesso, PCs, medidas de segurança física. E ela invadiu todos os computadores que atrapalharam, conectando o USB Rubber Ducky a eles para interceptar dados. Ela até conseguiu chegar ao PC do chefe da prisão, que ele próprio (!) Convidou a mulher para seu escritório. Rita levou 45 minutos para fazer tudo.

O engraçado é que Rita Strand não tinha absolutamente nenhuma habilidade com hackers. Ela trabalhou toda a sua vida em restauração e nunca participou de casos de "espionagem". E para invadir o sistema de segurança da prisão, em vez de seu filho, o especialista em segurança da informação John Strand, que deveria organizar um protesto, foi voluntário. Foi ele quem lhe forneceu "patos USB" e todas as instruções, mas ele não esperava que a penetração fosse tão simples. Ele compartilhou sua história em uma conferência especializada seis anos depois, sem revelar o nome e o local da prisão. Presumivelmente, os carcereiros ainda estão envergonhados.

2. Nomeação "Tinder do cérebro"

Os heróis desta história foram várias dezenas de soldados do exército israelense. Todos eles fizeram amizades agradáveis na rede e descobriram que estavam fundindo segredos de estado.

O incidente tornou-se público em fevereiro deste ano. Foi relatado que desde o final de 2019, as meninas começaram a escrever ativamente para soldados em redes sociais e sites de namoro. Em movimento, eles estavam prontos para compartilhar fotos marcantes, no entanto, apenas em um aplicativo seguro especial (ou então vazariam na rede!). Ele foi oferecido para fazer o download no link.

Aqueles que sucumbiram à persuasão descobriram que seus smartphones estavam começando a se comportar de maneira estranha. A transmissão de dados foi ativada, o tráfego de saída aumentou, a câmera e o gravador foram ligados por si mesmos. Logo ficou claro que o "bate-papo secreto" com fotos era um malware para controle remoto do telefone, e as "meninas" eram hackers do Hamas. Por vários meses, eles tiveram acesso a informações sobre a localização dos dispositivos afetados, fotos e contatos telefônicos.

Representantes do exército israelense afirmam ter revelado o esquema quase imediatamente, mas não reagiram para observar a situação. E supostamente nenhum dado valioso fluiu para os militantes palestinos, porque todos os militares haviam sido avisados sobre o perigo com antecedência.

3. Nomeação "Rake Dance"

Provavelmente, pode haver centenas de histórias sobre o Elastic sem senha. Ou MongoDB. Ou qualquer outro banco de dados no qual os usuários não definam senhas e, de fato, deixem as informações em domínio público. Este é realmente um dos canais de vazamento mais comuns - em 2018, 540 milhões de contas do Facebook foram tão longe (então a rede social confiava em analistas mexicanos da Cultura Colectiva e o contratado não protegia o servidor). Em 2016, vazaram informações sobre 80% dos americanos com direito a voto (dados privados de 198 milhões de pessoas).

Mas este ano a vitória na indicação vai para o aplicativo Whisper. Foi posicionado como “o lugar mais confiável da Internet”, onde os usuários podiam compartilhar anonimamente seus segredos secretos. E então os desenvolvedores acidentalmente revelaramdados de 30 milhões de pessoas. O Whisper armazena o arquivo morto para todos os usuários desde 2012.

Em um banco de dados não protegido por senha, o conteúdo das postagens "secretas" vazou para a rede. E essas são histórias sobre medos, desejos secretos, confissões de atos imorais e criminais, segredos íntimos. Mas o principal é que as informações sobre credenciais do usuário (apelidos, e-mail e números de telefone associados a eles), idade, nacionalidade e localização na última autorização acabaram sendo de domínio público. Às vezes, os geodados eram suficientes para estabelecer uma área residencial e local de trabalho específicos. Cerca de 1,3 milhão de contas comprometidas pertenciam a adolescentes com menos de 15 anos de idade.

4. Nomeação "Não vejo, significa que não estava"

No início deste ano, a empresa de segurança da informação do Cazaquistão, “Centro de Análise e Investigação de Ataques Cibernéticos”, informou à mídia que havia descoberto um grande vazamento de dados do sistema de informações do Procurador Geral da República do Cazaquistão. Pessoas de todos os cidadãos do Cazaquistão e estrangeiros, em relação aos quais foram iniciados assuntos administrativos na república, estavam em livre acesso à rede. Todas as multas, avisos, endereços residenciais, fotografias de infratores, números de placas e dados de seus carros. Além disso, o acesso ao sistema de informações do escritório do promotor acabou sendo aberto pela Internet, qualquer usuário poderia editar, excluir casos, iniciar novos. Como o sistema de informação é integrado a todos os serviços do governo eletrônico do país, os dados internos de qualquer agência governamental podem ser comprometidos.

Os pesquisadores observaram que entraram em contato com a agência várias vezes, mas não obtiveram reação. Mesmo após a divulgação pública de informações sobre vulnerabilidade, a promotoria do Cazaquistão permanece firme : nada disso "," os dados não estão disponíveis na Internet de maneira clara ". Teimosia incrível.

5. Nomeação "Para o exibicionismo da informação"

Um funcionário do banco da Carolina do Norte, EUA, roubou mais de US $ 88.000 em contas de clientes. Um homem sacou fundos de depósitos e forjou documentos para cobrir seus rastros. Ele conseguiu dar partida no esquema pelo menos 18 vezes, durante as quais melhorou bem sua posição e começou a viver em grande estilo. E tudo ficaria bem se eu não tivesse decidido me orgulhar de sucesso no Facebook e Instagram.

Na página americana, as fotos começaram a aparecer regularmente com maços de dinheiro, bebidas caras, jóias e carros. As fotos eram populares - no final, a polícia se interessou por elas.

Em abril de 2019, chegou ao tribunal, o americano pode pegar até 30 anos de prisão e uma multa de US $ 1 milhão. E os materiais das redes sociais foram anexados ao caso. Por exemplo, um post em que um homem posa no cenário de uma nova Mercedes-Benz - uma fotografia e um cheque de US $ 20.000, que ele fez como pagamento antecipado do carro, se tornou uma das evidências da acusação.

imagem

Uma história semelhante aconteceu na Colômbia com o chefe do serviço de controle interno de remessas. Omar Ambuel recebeu um salário oficial de US $ 3.000 por mês. Ao mesmo tempo, sua filha, que morava em Miami e mantinha uma sorveteria modesta, levou um estilo de vida verdadeiramente luxuoso. Em seu Instagram, apareciam regularmente fotos com compras de marcas caras, dirigindo novos Lamborghini e Porsche, em férias em resorts de luxo.

imagem

O problema passou quando a polícia apareceu entre os assinantes da diva secular. Através de uma menina, eles foram até o pai e fizeram uma pergunta razoável: uma Dolce Vita é acessível para a família de um funcionário público comum? As autoridades acreditam que o funcionário criou uma rede criminosa no porto colombiano e recebeu subornos multimilionários por contrabando. Em abril de 2019, Ambuil, sua esposa e filha foram presos - apenas em um resort caro. Como é chamado, graças às fotos da dica.

6. Nomeação "Pizza como arma do destino"

Não apenas ladrões experientes são perfurados em ninharias, mas também grandes verdadeiros crimes cibernéticos.

O criador de um dos mais antigos serviços DDoS do Quantum Stresser, David Bukoski, esconde com sucesso as autoridades desde 2012. Somente em 2018, sua ideia permitiu "colocar" cerca de 50 mil sistemas de informação em todo o mundo, no total, o serviço respondeu por mais de 80 mil pedidos concluídos para ataques cibernéticos. Embora em 2018, durante a operação especial internacional, o site quantumstress [.] Net tenha sido liquidado, os policiais ainda estavam procurando maneiras de entrar em contato com o proprietário e tentaram estabelecer sua identidade.

O "gato e rato" se arrastou, David relaxou. No início de 2020, ele decidiu pedir pizza em casa e deixou um e-mail de contato no site de entrega ... no qual ele havia registrado seu domínio.

Anteriormente, o endereço aparecia nas “listas negras” de vários serviços que David usava para anunciar o Quantum Stresser e aceitar pagamentos de clientes. Quando as empresas pararam os serviços, ele enviou cartas oficiais pedindo que explicassem a recusa. Assim, a polícia conseguiu descobrir o nome real do hacker. E a ordem de entrega revelou seu endereço residencial. Como resultado, pizza com bacon e frango custou a Bukoski 5 anos de prisão.

A propósito, em 2012, outra cibernética deu a mesma ordem - Yuri Kovalenko, um dos autores do famoso Zeus. Em Londres, ele chefiou a célula dos "operadores" da rede de bots e trabalhou em silêncio, apesar do FBI "na cauda", até deixar um aplicativo on - line para entregar o almoço diretamente em sua sede. Então a pizza ainda é uma arma do destino.

7. Nomeação "Estou girando o máximo que posso"

Existem pessoas que acreditam firmemente que, se você espancar uma pessoa e depois oferecer a ela contratá-lo como guarda-costas, ele concordará com prazer. Parece loucura no cenário do mundo real. No entanto, no mundo virtual ainda existem esses personagens.

Por exemplo, recentemente, funcionários do Departamento "K" do Ministério da Administração Interna da Rússia no Vologda Oblast detiveram o "Pentester" malsucedido. Conforme a investigação se estabeleceu, o homem realizou um ataque DDoS na loja online da maior empresa Cherepovets. O detento admitiu que ele carregou o site especificamente - ele o testou quanto à estabilidade, para que mais tarde pudesse oferecer aos proprietários seus serviços de proteção contra ataques DDoS.

Há muitas histórias para rir. Você pode se lembrar de um novo incidente da Alemanha, onde eles foram vendidos no eBaylaptop com instruções ultra-secretas para a destruição do sistema de defesa antimísseis do estado. Você pode se lembrar de como os oficiais das unidades de inteligência eletrônica das Forças de Defesa de Israel invadiram o servidor do departamento de pessoal do exército para receber férias adicionais e extraordinárias, incluindo acomodações pagas em hotéis. Mas pode-se surpreender que, nos últimos 4 anos, o Ministério da Defesa do Reino Unido já tenha perdido quase 800 laptops com segredos militares.

Nos chute nos comentários se perdemos alguma coisa. Existem candidatos mais dignos?

Se o IB tivesse um “Prêmio Darwin”, ou 7 histórias sobre estupidez, lixo, credulidade e suas conseqüências