(не) Безопасный дайджест: если бы в ИБ была «Премия Дарвина» - 3

01.04.2021

Вернуться к списку новостей

Традиционно собираем первоапрельскую подборку забавных инцидентов в инфобезе. За год в полку ИБ-нелепиц прибыло: в сегодняшнем хит-параде акселерация киберпреступности, превратности ИИ и нестареющий человеческий фактор. Выбираем самые веселые факапы (а заодно сплевываем и постукиваем, чтобы случайно не повторить подвиги героев выпуска).

Кто хочет стать миллионером

В Индии разыгралась драма, достойная Болливуда. Честный отец семейства столкнулся с шантажом: с ним связался загадочный хакер, который грозился разоблачить пороки несчастного перед друзьями, коллегами и семьей. При этом злоумышленник взломал электронную почту жертвы, сменил в ней пароль и привязанный номер телефона. За сохранение секретов и возврат доступа к почте он потребовал 137 тысяч долларов, в пересчете на рупии – 10 миллионов.

Мужчина не на шутку перепугался (неужто было, что скрывать?) и обратился в полицию. В поисках IP-адреса, с которого злоумышленник рассылал угрозы, детективы добрались до дома жертвы. Цифровая ниточка привела их в детскую комнату, где и орудовал беспощадный… 11-летний сын пострадавшего.

Начинающий хакер во всем сознался. По его словам, идею, как побыстрее стать миллионером, он почерпнул на YouTube. «Эх, Джимми, Джимми», – словно бы говорили хулигану добрые глаза индийской бабушки. «А чо?» – отвечает за малолетнего шантажиста бессердечный Интернет. 

Невиданная щедрость

Хакерская группировка с августа 2020 года атаковала компании по всему миру. Жертвам приходило письмо: в теме – их имя или название компании, во вложении – HTML-документ, который открывался в браузере в виде страницы авторизации Microsoft Office 365. «Этот документ защищен паролем, – сообщалось на странице. – Пожалуйста, введите пароль». Люди доверялись и вводили – ведь в поле «Имя пользователя» в форме авторизации уже значился их почтовый адрес. В результате за полгода хакерам удалось собрать как минимум 1 тыс. паролей.

Украденные пароли вкупе с адресами становились подпиткой для следующих атак – для повышения достоверности свои рассылки фишеры предпочитали вести со скомпрометированных ящиков реальных компаний.


 
Схема была изящна, проста и эффективна. Вот только киберпреступники забыли защитить улов. Для хранения данных они зарегистрировали специальные домены, но файл с украденными паролями по ошибке сделали публично доступным. Так вся база оказалась в поисковой выдаче Google, где ее обнаружили исследователи из Check Point и Otorio. И вскрыли всю цепочку – с простотой и изяществом.

Клубничка VSOP

Может ли дама стать героиней фильмов для взрослых, если ей уже за 70? «Почему бы и нет?» – подумал аферист из Челябинска и стал угрожать местной пенсионерке, что выложит в Сеть ее интимные фото. Хотя женщина не практиковала ню-фотосессий, мошенник утверждал, что справился сам, пока наблюдал за ней через веб-камеру.

За бездействие начинающий порно-продюсер требовал от женщины 650 долларов. Причем непременно в биткоинах. Возмущенная женщина обратилась к правоохранителям. Поэтому обсуждать размер своего гонорара уральский мошенник будет вынужден уже с ними.

Золотой ключик

А вот история по эту сторону решетки – в буквальном смысле.

В руки стажеру в Бранденбурге попал ключ стоимостью в 50 тыс. евро. То есть сам-то ключ столько не стоит, а вот его фотография дорого обошлась молодому человеку. Он только устроился в местную тюрьму и жутко загорелся новой работой. На радостях отправил друзьям в WhatsApp снимок мастер-ключа, открывающего в тюрьме любые двери. И правда, как тут не похвастаться.

Друзья не так впечатлились, как тюремщики, которым пришлось в срочном порядке менять замки на дверях шестисот камер и различных подсобных помещений. На это ушло 20 часов непрерывной работы, все за счет незадачливого стажера. Теперь ему предстоит выплатить еще и пятидесятитысячный штраф. А все потому, что по фото профессиональный слесарь мог бы воссоздать ключ, проникнуть в тюрьму и создать угрозу безопасности.

(У нас другой вопрос: универсальный ключ в тюрьме – точно хорошая идея?)

Где ваши пальчики?

Британская полиция тоже понесла потери. Недавно ведомство лишилось солидного куска базы с данными об арестах: из-за технической неполадки из системы пропали 150 тысяч записей. Файлы содержали историю «приводов», отпечатки пальцев и ДНК. Потенциально инцидент мог подарить свободу сотням преступников – на них больше нет биометрических улик. К тому же на два дня встала работа визовых центров по всей стране, заявления задерживались, потому что с базой полиции пропала связь.

Власти уверяют, что не произошло ничего серьезного, удалились, мол, только записи о задержанных, которых отпустили без предъявления обвинения. Но расследуют инцидент аж на правительственном уровне.

По основным версиям, у «технической неполадки» вполне человеческое лицо. Ошибиться мог специалист, который работал с базой, ее разработчик (в коде обнаружился дефект, из-за которого вместо резервирования в бэкап данные удалялись), или оба сразу. Видите – ситуации из серии «я что-то нажала и все исчезло» случаются не только в вашей бухгалтерии.

Тайные послания

Новость с пылу с жару – и сразу в наш топ. 28 марта в твиттере стратегического командования вооруженных сил США появилась странная запись: набор букв и символов «;l;;gmlxzssaw».

Твит буквально «взорвал» эфир и за пару часов набрал тысячи реплаев, лайков и репостов. Пользователи принялись шутить, что это секретный код запуска ядерных ракет. Затем решили, что аккаунт взломали, на худой конец – что по клавиатуре SMM-щика пробежала кошка. Нашлись конспирологи, которые увидели в твите тайное послание от QAnon – мифического сотрудника правительства США, который иногда якобы делится «инсайдами» с пользователями имиджборд. Ситуацию усугубляло молчание ведомства. Аккаунт несколько часов не обновлялся.

Наконец стратегическое командование извинилось и попросило «не обращать внимания» на инцидент. Затем удалило твит. Но дело было сделано – без объяснений число шуток и теорий росло, как снежный ком. Добиться правды удалось журналисту Daily Dot Микаэлу Талену. На его запрос в командовании ответили, что загадочную абракадабру запостил ребенок сотрудника, пока тот «на минутку отвернулся». Как заметили остроумные комментаторы, вот так «несколько мгновений официальным каналом связи сильнейшей армии в мире управлял ребёнок». Читаем и запоминаем: во избежание казусов – блокируй устройство, когда не работаешь за ним.

Минус кнопка

Еще одна история про невнимательность (и кнопку). Стример twomad в прошлом апреле дождался миллионного подписчика на своем YouTube-канале и получил от администрации сервиса награду – как раз кнопку, только не «большую красную», а «золотую». В честь этого события он запустил стрим, где на глазах подписчиков ее «распаковывал» – то есть открыл письмо от YouTube, в котором содержался одноразовый код для получения приза.

И тут популярность сыграла с блогером злую шутку. Когда он попытался ввести код, выяснилось, что он не подходит. Кто-то из миллиона подписчиков увидел код на стриме, успел воспользоваться им раньше и забрал «Золотую кнопку» себе. twomad осталось только негодовать и жаловаться в YouTube на воровство. А стоило бы – на свою недальновидность. Насколько нам известно, кнопку он так и не вернул. Да еще и подписчики затроллили.

Закодированная

В этом случае никаких пользовательских факапов, только непреклонный ИИ. Американская актриса Рейчел Тру (True) после установки очередного обновления не смогла зайти в свой аккаунт в iCloud. Проблема затянулась на полгода и, кажется, не решилась до сих пор: абонентская плата продолжает списываться, доступ закрыт, а переход на бесплатный тариф грозит девушке потерей важных данных.

Американка часами общалась с техподдержкой Apple. Выяснилось, что ошибка возникает, потому что программные алгоритмы облака воспринимают ее фамилию как атрибут кода: команду «верно». И искусственный интеллект остается непреклонен. Даже сотрудники техподдержки не смогли ничем помочь, кроме как посоветовать девушке сменить фамилию. Зато какая защита от взлома!

Вперед и с песней

Кто точно достоин нашей премии, так это полицейские из Калифорнии – по крайней мере спецприза «За находчивость». Они не щадя живота своего встали на защиту персональных данных. Правда, своих. А заодно изображений и видео, которые могут попасть в Сеть без их ведома – от перспективы стать блогерами они не в восторге.

Полицейские стараются не попадать в объективы камер во время работы, чтобы их слова «не были вырваны из контекста и неправильно истолкованы». Поэтому несколько офицеров из Беверли-Хиллз взяли в привычку выходить в патрули с плейлистом наизготовку: стоит кому-то начать их снимать, они громко включают музыку. Идея в том, что Instagram, YouTube и другие сервисы удаляют контент, если в нем содержатся произведения, защищенные авторским правом. В таких условиях провокационные ролики не поснимаешь.

Впрочем, креативные стражи правопорядка все равно попадают в СМИ. Правда, теперь журналисты обсуждают их музыкальные вкусы. Говорят, они меняются – начинали напарники с баллад Beatles (впервые включили нетленный Yesterday, когда некий активист попытался взять у них лайв-интервью в Instagram), а продолжили задорным ска-панком Sublime. У них и песня подходящая есть: со строчкой «я не хочу начинать этот разговор».

На этой ноте мы заканчиваем небезопасный хит-парад и раздачу Дарвиновских премий в области информационного разгильдяйства. И да, наши премии в отличие от золотых кнопок YouTube не требуется подтверждать кодом.
Дайджест прошлого года вы можете прочесть тут. А «пост-прародитель» жанра (за далекий 2016-й) здесь.

 

ИБ-совет месяца: А что если ваши сотрудники прямо сейчас жмут «не туда», заполняют фишинговую форму или «светят» конфиденциальные данные, делясь фоткой на фоне незаблокированного ПК? Контролируйте ситуацию с DLP и узнавайте об опасных действиях пользователей в реальном времени – пока они не переросли в инцидент. Это бесплатно в первые 30 дней.

Попробовать, не теряя ни минуты!


Дайджест инцидентов Утечка данных Фишинг


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними