Есть в нашей команде люди, в задачу которых входит мониторить ИБ-новости. В день они перепахивают кучу материалов на русском, английском, испанском и еще паре-тройке языков. Дайджест разлетается по отделам: кому посмотреть, нет ли среди пострадавших знакомых компаний, кому – в качестве иллюстрации к статье, примера к обучению или вебинару. Но для некоторых историй у нас особая папочка. «Гениальные» в своей незатейливости мошеннические схемы или удивительные по наивности проколы – к 1 апреля мы решили поскрести по сусекам и отобрали несколько историй, фигуранты которых достойны приза ИБ-версии «Премии Дарвина».
В одну из тюрем Южной Дакоты, США, в 2014 году пришла милая пожилая женщина, которая представилась медицинским инспектором. Сотрудникам она сказала, что должна проверить условия содержания заключенных и соблюдение санитарно-гигиенических норм в служебных помещениях.
Женщину встретили радушно и провели по всем кабинетам, куда она требовала доступ. Охранников не смутила даже просьба пустить ее в центр управления IT-системами и серверную – якобы посмотреть, нет ли там плесени. При этом ей разрешили взять с собой телефон и делать фото, а вдобавок часто оставляли одну.
В результате Рита Стрэнд (так звали «инспектора») беспрепятственно собрала информацию обо всей инфраструктуре тюрьмы: точках доступа, ПК, физических мерах защиты. И взломала все компьютеры, которые попались на пути, подключив к ним «резиновые уточки» (USB Rubber Ducky) для перехвата данных. Ей удалось добраться даже до ПК начальника тюрьмы, который сам (!) пригласил женщину в свой кабинет. На все про все у Риты ушло 45 минут.
Самое смешное, что у Риты Стрэнд абсолютно не было навыков хакера. Она всю жизнь проработала в общепите и в «шпионских» делах никогда не участвовала. А взломать систему безопасности тюрьмы вызвалась вместо сына, ИБ-эксперта Джона Стрэнда, который должен был устроить учреждению пентест. Это он снабдил ее «USB-утками» и всеми инструкциями, но сам не ожидал, что проникновение удастся так просто. Историей он поделился на профильной конференции шесть лет спустя, не раскрывая названия и расположения тюрьмы. Надо думать, тюремщикам и без того до сих пор неловко.
Героями этой истории стали сразу несколько десятков солдат израильской армии. Все они завели в сети приятные знакомства, а потом обнаружили, что сливают гостайну.
Инцидент получил огласку в этом феврале. Сообщалось, что с конца 2019 года в соцсетях и на сайтах знакомств солдатам стали активно писать девушки. Они с ходу были готовы делиться пикантными фото, правда, только в специальном защищенном приложении (а не то еще в сеть утекут!). Его и предлагали скачать по ссылке.
Те, кто поддался на уговоры, обнаруживали, что их смартфоны начинали вести себя странно. Активировалась передача данных, рос исходящий трафик, сами собой включались камера и диктофон. Скоро выяснилось, что «секретный чат» с фото – вредонос для удаленного управления телефоном, а «девушки» – хакеры ХАМАС. На протяжении нескольких месяцев они имели доступ к информации о местоположении пораженных устройств, фотографиям и контактам телефона.
Представители армии Израиля утверждают, что раскрыли схему почти сразу, но не реагировали, чтобы понаблюдать за ситуацией. И якобы никаких ценных данных к палестинским боевикам не утекло, потому что всех военных заранее предупредили об опасности.
Здесь могла бы быть любая из, наверное, уже сотен историй про незапароленный Elastic. Или MongoDB. Или любую другую БД, в которой пользователи не ставят пароли и, по сути, оставляют информацию в открытом доступе. Это действительно один из самых распространенных каналов утечек – в 2018 году так ушли 540 млн учеток Facebook (тогда соцсеть доверилась мексиканским аналитикам из Cultura Colectiva, а подрядчик не защитил сервер). В 2016-м утекла информация о 80% американцев, имеющих право голоса (это приватные данные 198 млн человек).
Но в этом году победа в номинации достается приложению Whisper. Оно позиционировалось как «самое надежное место в интернете», где пользователи могли анонимно делиться сокровенными секретами. А потом разработчики случайно раскрыли данные 30 млн человек. Оказалось, что Whisper хранит архив по всем пользователям с 2012 года.
Из незапароленной базы в сеть утекло содержание «секретных» постов. А это рассказы о страхах, тайных желаниях, признания в аморальных и преступных поступках, интимные секреты. Но главное – в открытом доступе оказалась информация об учетных данных пользователей (никнеймы, привязанные к ним email и телефоны), их возрасте, национальности и местоположении при последней авторизации. Порой геоданных хватало, чтобы установить конкретный жилой район и рабочее место. Около 1,3 млн скомпрометированных аккаунтов принадлежали подросткам до 15 лет.
В начале нынешнего года казахстанская ИБ-компания «Центр анализа и расследования кибератак» сообщила в СМИ, что обнаружила крупную утечку данных из информационной системы генпрокуратуры Республики Казахстан. В свободном доступе в сети оказались персданные всех граждан Казахстана и иностранцев, в отношении которых в республике когда-либо заводили административные дела. Все их штрафы, предупреждения, адреса проживания, фотографии нарушителей, номера и данные техпаспортов их автомобилей. Более того, доступ к информационной системе прокуратуры оказался открыт из интернета, любой пользователь мог редактировать, удалять дела, заводить новые. Так как информационная система интегрирована со всеми сервисами электронного правительства страны, скомпрометированы могут быть внутренние данные любых госучреждений.
Исследователи отметили, что несколько раз связывались с ведомством, но так и не добились реакции. Даже после публичного раскрытия информации об уязвимости прокуратура Казахстана стоит на своем: ничего подобного, «данные не доступны в сети Интернет в открытом виде». Удивительное упрямство.
Банковский служащий из Северной Каролины, США, украл со счетов клиентов более 88 тыс. долларов. Мужчина выводил средства с депозитов и подделывал документы, чтобы замести следы. Провернуть схему ему удалось как минимум 18 раз, за это время он неплохо улучшил свое положение и стал жить на широкую ногу. И все бы ничего, если бы не решил похвастаться успехами в Facebook и Instagram.
На странице американца стали регулярно появляться фото с пачками наличных, дорогим алкоголем, украшениями, авто. Фото пользовались популярностью – в конечном итоге ими заинтересовалась полиция.
К апрелю 2019-го дошло до суда, американцу грозит до 30 лет тюрьмы и штраф в 1 млн долларов. А материалы из соцсетей приобщили к делу. Например, пост, где мужчина позирует на фоне новенького Mercedes-Benz – фотография и чек на 20 тыс. долларов, которые он внес в качестве предоплаты за машину, стали одной из улик обвинения.
Похожая история произошла в Колумбии с главой внутренней службы по контролю морских грузов. Омар Амбуила получал зарплату чиновника – 3 000 долларов в месяц. При этом его дочь, которая жила в Майами и держала скромный магазинчик мороженого, вела по-настоящему роскошный образ жизни. В ее Instagram регулярно появлялись фото с покупками от дорогих брендов, за рулем новых Lamborghini и Porsche, на отдыхе с лакшери-курортов.
Беда настигла, когда среди подписчиков светской дивы появились полицейские. Через девушку вышли на ее отца и задали ему резонный вопрос: неужели такая дольче-вита по карману семье обычного госслужащего? Власти страны считают, что чиновник создал преступную сеть в колумбийском порту и получал многомиллионные взятки за провоз контрабанды. В апреле 2019 года Амбуила, его жену и дочь арестовали – как раз на дорогом курорте. Что называется, спасибо фоткам за наводку.
Прокалываются на мелочах не только неподкованные воришки, но и настоящие гранды киберпреступности.
Создатель одного из старейших DDoS-сервисов Quantum Stresser Дэвид Букоски с 2012 года успешно скрывался от властей. Его детище только в 2018 году позволило «положить» порядка 50 тыс. информационных систем по всему миру, всего на счету сервиса более 80 тыс. реализованных заказов на кибератаки. Хотя в 2018 году в ходе международной спецоперации сайт quantumstress[.]net был ликвидирован, правоохранители по-прежнему искали выходы на владельца и старались установить его личность.
«Кошки-мышки» затянулись, Дэвид расслабился. В начале 2020 года он решил заказать домой пиццу и оставил на сайте доставки контактный email… на который когда-то зарегистрировал свой домен.
Раньше адрес фигурировал в «черных списках» нескольких сервисов, которыми Дэвид пользовался для рекламы Quantum Stresser’а и приема платежей от клиентов. Когда компании остановили услуги, он направлял им официальные письма с просьбами объяснить отказ. Так полиция смогла узнать настоящее имя хакера. А заказ доставки раскрыл его домашний адрес. В итоге пицца с беконом и курицей обошлась Букоски в 5 лет лишения свободы условно.
Кстати, в 2012 году таким же заказом выдал себя другой кибергений – Юрий Коваленко, один из авторов знаменитого Zeus. В Лондоне он возглавлял ячейку «операторов» ботнета и спокойно работал, несмотря на ФБР «на хвосте», пока не оставил онлайн-заявку на доставку обеда прямо в свою штаб-квартиру. Так что пицца – то еще оружие судьбы.
Встречаются люди, которые свято верят: если избить человека, а потом предложить ему нанять вас телохранителем, то он с радостью согласится. Звучит диковато в декорациях реального мира. Однако в мире виртуальном до сих пор есть такие персонажи.
Например, недавно сотрудники отдела «К» УМВД России по Вологодской области задержали неудачливого «пентестера». Как установило следствие, мужчина осуществил DDoS-атаку на интернет-магазин крупнейшего череповецкого предприятия. Задержанный признался, что специально нагрузил сайт – тестировал его на устойчивость, чтобы потом предложить владельцам свои услуги по защите от DDoS-атак.
Историй, над которыми можно посмеяться, хватает. Можно вспомнить свежий инцидент из Германии, где на eBay продали ноутбук со сверхсекретной инструкцией по уничтожению государственной системы ПРО. Можно вспомнить, как офицеры подразделений электронной разведки Армии обороны Израиля взломали сервер армейского отдела кадров для получения дополнительных и внеочередных отпусков, в том числе с оплаченным проживанием в гостиницах. А можно в целом удивиться, что за последние 4 года минобороны Великобритании потеряло уже почти 800 ноутбуков с военными тайнами.
Пните нас в комментариях, если мы что-то упустили. Есть более достойные номинанты?
1. Номинация «Гостеприимство»
В одну из тюрем Южной Дакоты, США, в 2014 году пришла милая пожилая женщина, которая представилась медицинским инспектором. Сотрудникам она сказала, что должна проверить условия содержания заключенных и соблюдение санитарно-гигиенических норм в служебных помещениях.
Женщину встретили радушно и провели по всем кабинетам, куда она требовала доступ. Охранников не смутила даже просьба пустить ее в центр управления IT-системами и серверную – якобы посмотреть, нет ли там плесени. При этом ей разрешили взять с собой телефон и делать фото, а вдобавок часто оставляли одну.
В результате Рита Стрэнд (так звали «инспектора») беспрепятственно собрала информацию обо всей инфраструктуре тюрьмы: точках доступа, ПК, физических мерах защиты. И взломала все компьютеры, которые попались на пути, подключив к ним «резиновые уточки» (USB Rubber Ducky) для перехвата данных. Ей удалось добраться даже до ПК начальника тюрьмы, который сам (!) пригласил женщину в свой кабинет. На все про все у Риты ушло 45 минут.
Самое смешное, что у Риты Стрэнд абсолютно не было навыков хакера. Она всю жизнь проработала в общепите и в «шпионских» делах никогда не участвовала. А взломать систему безопасности тюрьмы вызвалась вместо сына, ИБ-эксперта Джона Стрэнда, который должен был устроить учреждению пентест. Это он снабдил ее «USB-утками» и всеми инструкциями, но сам не ожидал, что проникновение удастся так просто. Историей он поделился на профильной конференции шесть лет спустя, не раскрывая названия и расположения тюрьмы. Надо думать, тюремщикам и без того до сих пор неловко.
2. Номинация «Tinder головного мозга»
Героями этой истории стали сразу несколько десятков солдат израильской армии. Все они завели в сети приятные знакомства, а потом обнаружили, что сливают гостайну.
Инцидент получил огласку в этом феврале. Сообщалось, что с конца 2019 года в соцсетях и на сайтах знакомств солдатам стали активно писать девушки. Они с ходу были готовы делиться пикантными фото, правда, только в специальном защищенном приложении (а не то еще в сеть утекут!). Его и предлагали скачать по ссылке.
Те, кто поддался на уговоры, обнаруживали, что их смартфоны начинали вести себя странно. Активировалась передача данных, рос исходящий трафик, сами собой включались камера и диктофон. Скоро выяснилось, что «секретный чат» с фото – вредонос для удаленного управления телефоном, а «девушки» – хакеры ХАМАС. На протяжении нескольких месяцев они имели доступ к информации о местоположении пораженных устройств, фотографиям и контактам телефона.
Представители армии Израиля утверждают, что раскрыли схему почти сразу, но не реагировали, чтобы понаблюдать за ситуацией. И якобы никаких ценных данных к палестинским боевикам не утекло, потому что всех военных заранее предупредили об опасности.
3. Номинация «Танец на граблях»
Здесь могла бы быть любая из, наверное, уже сотен историй про незапароленный Elastic. Или MongoDB. Или любую другую БД, в которой пользователи не ставят пароли и, по сути, оставляют информацию в открытом доступе. Это действительно один из самых распространенных каналов утечек – в 2018 году так ушли 540 млн учеток Facebook (тогда соцсеть доверилась мексиканским аналитикам из Cultura Colectiva, а подрядчик не защитил сервер). В 2016-м утекла информация о 80% американцев, имеющих право голоса (это приватные данные 198 млн человек).
Но в этом году победа в номинации достается приложению Whisper. Оно позиционировалось как «самое надежное место в интернете», где пользователи могли анонимно делиться сокровенными секретами. А потом разработчики случайно раскрыли данные 30 млн человек. Оказалось, что Whisper хранит архив по всем пользователям с 2012 года.
Из незапароленной базы в сеть утекло содержание «секретных» постов. А это рассказы о страхах, тайных желаниях, признания в аморальных и преступных поступках, интимные секреты. Но главное – в открытом доступе оказалась информация об учетных данных пользователей (никнеймы, привязанные к ним email и телефоны), их возрасте, национальности и местоположении при последней авторизации. Порой геоданных хватало, чтобы установить конкретный жилой район и рабочее место. Около 1,3 млн скомпрометированных аккаунтов принадлежали подросткам до 15 лет.
4. Номинация «Не вижу, значит не было»
В начале нынешнего года казахстанская ИБ-компания «Центр анализа и расследования кибератак» сообщила в СМИ, что обнаружила крупную утечку данных из информационной системы генпрокуратуры Республики Казахстан. В свободном доступе в сети оказались персданные всех граждан Казахстана и иностранцев, в отношении которых в республике когда-либо заводили административные дела. Все их штрафы, предупреждения, адреса проживания, фотографии нарушителей, номера и данные техпаспортов их автомобилей. Более того, доступ к информационной системе прокуратуры оказался открыт из интернета, любой пользователь мог редактировать, удалять дела, заводить новые. Так как информационная система интегрирована со всеми сервисами электронного правительства страны, скомпрометированы могут быть внутренние данные любых госучреждений.
Исследователи отметили, что несколько раз связывались с ведомством, но так и не добились реакции. Даже после публичного раскрытия информации об уязвимости прокуратура Казахстана стоит на своем: ничего подобного, «данные не доступны в сети Интернет в открытом виде». Удивительное упрямство.
5. Номинация «За информационный эксгибиционизм»
Банковский служащий из Северной Каролины, США, украл со счетов клиентов более 88 тыс. долларов. Мужчина выводил средства с депозитов и подделывал документы, чтобы замести следы. Провернуть схему ему удалось как минимум 18 раз, за это время он неплохо улучшил свое положение и стал жить на широкую ногу. И все бы ничего, если бы не решил похвастаться успехами в Facebook и Instagram.
На странице американца стали регулярно появляться фото с пачками наличных, дорогим алкоголем, украшениями, авто. Фото пользовались популярностью – в конечном итоге ими заинтересовалась полиция.
К апрелю 2019-го дошло до суда, американцу грозит до 30 лет тюрьмы и штраф в 1 млн долларов. А материалы из соцсетей приобщили к делу. Например, пост, где мужчина позирует на фоне новенького Mercedes-Benz – фотография и чек на 20 тыс. долларов, которые он внес в качестве предоплаты за машину, стали одной из улик обвинения.
Похожая история произошла в Колумбии с главой внутренней службы по контролю морских грузов. Омар Амбуила получал зарплату чиновника – 3 000 долларов в месяц. При этом его дочь, которая жила в Майами и держала скромный магазинчик мороженого, вела по-настоящему роскошный образ жизни. В ее Instagram регулярно появлялись фото с покупками от дорогих брендов, за рулем новых Lamborghini и Porsche, на отдыхе с лакшери-курортов.
Беда настигла, когда среди подписчиков светской дивы появились полицейские. Через девушку вышли на ее отца и задали ему резонный вопрос: неужели такая дольче-вита по карману семье обычного госслужащего? Власти страны считают, что чиновник создал преступную сеть в колумбийском порту и получал многомиллионные взятки за провоз контрабанды. В апреле 2019 года Амбуила, его жену и дочь арестовали – как раз на дорогом курорте. Что называется, спасибо фоткам за наводку.
6. Номинация «Пицца как оружие судьбы»
Прокалываются на мелочах не только неподкованные воришки, но и настоящие гранды киберпреступности.
Создатель одного из старейших DDoS-сервисов Quantum Stresser Дэвид Букоски с 2012 года успешно скрывался от властей. Его детище только в 2018 году позволило «положить» порядка 50 тыс. информационных систем по всему миру, всего на счету сервиса более 80 тыс. реализованных заказов на кибератаки. Хотя в 2018 году в ходе международной спецоперации сайт quantumstress[.]net был ликвидирован, правоохранители по-прежнему искали выходы на владельца и старались установить его личность.
«Кошки-мышки» затянулись, Дэвид расслабился. В начале 2020 года он решил заказать домой пиццу и оставил на сайте доставки контактный email… на который когда-то зарегистрировал свой домен.
Раньше адрес фигурировал в «черных списках» нескольких сервисов, которыми Дэвид пользовался для рекламы Quantum Stresser’а и приема платежей от клиентов. Когда компании остановили услуги, он направлял им официальные письма с просьбами объяснить отказ. Так полиция смогла узнать настоящее имя хакера. А заказ доставки раскрыл его домашний адрес. В итоге пицца с беконом и курицей обошлась Букоски в 5 лет лишения свободы условно.
Кстати, в 2012 году таким же заказом выдал себя другой кибергений – Юрий Коваленко, один из авторов знаменитого Zeus. В Лондоне он возглавлял ячейку «операторов» ботнета и спокойно работал, несмотря на ФБР «на хвосте», пока не оставил онлайн-заявку на доставку обеда прямо в свою штаб-квартиру. Так что пицца – то еще оружие судьбы.
7. Номинация «Кручусь, как умею»
Встречаются люди, которые свято верят: если избить человека, а потом предложить ему нанять вас телохранителем, то он с радостью согласится. Звучит диковато в декорациях реального мира. Однако в мире виртуальном до сих пор есть такие персонажи.
Например, недавно сотрудники отдела «К» УМВД России по Вологодской области задержали неудачливого «пентестера». Как установило следствие, мужчина осуществил DDoS-атаку на интернет-магазин крупнейшего череповецкого предприятия. Задержанный признался, что специально нагрузил сайт – тестировал его на устойчивость, чтобы потом предложить владельцам свои услуги по защите от DDoS-атак.
Историй, над которыми можно посмеяться, хватает. Можно вспомнить свежий инцидент из Германии, где на eBay продали ноутбук со сверхсекретной инструкцией по уничтожению государственной системы ПРО. Можно вспомнить, как офицеры подразделений электронной разведки Армии обороны Израиля взломали сервер армейского отдела кадров для получения дополнительных и внеочередных отпусков, в том числе с оплаченным проживанием в гостиницах. А можно в целом удивиться, что за последние 4 года минобороны Великобритании потеряло уже почти 800 ноутбуков с военными тайнами.
Пните нас в комментариях, если мы что-то упустили. Есть более достойные номинанты?