(не) Безопасный дайджест Halloween Edition: «воскресшие» учётки, похититель душ и похороны Facebook

01.11.2021

Вернуться к списку новостей

В октябрьском дайджесте собрали страшно глупые ИБ-инциденты, от которых кровь стынет в жилах. В хеллоуинской повестке – почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону.

Призрак разбитого сердца

Что случилось: Бывшая сотрудница Melbourne Flight Training взломала систему лётной школы и разрешила полеты неисправным самолетам. 

Как это произошло: Генеральный директор лётной школы Дерек Фэллон обратился в полицию после того, как заметил странные изменения во внутреннем приложении Flight Circle, с помощью которого происходит управление полетами и отслеживание самолетов. По словам Фэллона, неизвестный удалил записи о неисправностях самолетов. Это значит, что самолеты, непригодные для эксплуатации, намеренно были сделаны «годными».
Позже директор еще раз позвонил в полицию, предоставив им имя якобы виновной бывшей работницы. Выяснилось, что в приложение зашли под учетной записью бывшей сотрудницы Лорен Лайд, которая ранее работала оператором полетов в школе, но ушла с должности после того, как директор уволил её отца. В полиции генеральный директор заявил, что Лорен и её отец работают в сговоре.  
Следователи получили информацию об IP-адресе, который использовался для входа в учетную запись, и обнаружили, что он принадлежит отцу Лорен. В беседе с полицией Хэмптон Лайд отрицал, что был в курсе происходящего, и заявил, что очень переживает за дочь. А кроме этого рассказал, что у его дочери был роман с Дереком, который закончился трагическим расставанием. К несчастью, следователи не прониклись сочувствием к разбитому сердцу и предъявили Лорен обвинение в мошенничестве и несанкционированном доступе к системе. А ведь ничего бы не случилось, упокой сисадмин ее учетку.

В черном-черном хлебушке

Что случилось: Инженер-атомщик ВМС США попытался продать чертежи атомной подлодки в бутерброде с арахисовым маслом. 

Как это произошло:В отчете сказано, что сотрудник военно-морского ведомства Джонатан Тоббе начал переписку по электронной почте с человеком, которого он считал представителем иностранного правительства (на самом деле, конечно, это был агент ФБР под прикрытием). В письме Джонатан сообщил, что у него есть чрезвычайно полезная информация, которую он готов продать военной разведке другого государства. 
В ФБР решили поймать общительного сотрудника «на горячем» и договорились с ним о сделке. Сначала инженеру перевели 10 тысяч долларов в криптовалюте, после чего он загрузил данные, связанные с реакторами атомной подлодки, на SD-карту, а саму карту поместил между кусочками хлеба, смазанными арахисовым маслом. Позже ему перевели еще 70 тысяч долларов, в этот раз Джонатан спрятал вторую карту в упаковку от жвачки. После Джонатана Тоббе и его жену задержали, сейчас им предъявлены обвинения. 
Как инженеру удалось похитить секретные чертежи? Сначала он прошел проверку службы безопасности Минобороны США, после которой получил доступ к чувствительной информации. А потом в течение нескольких лет после смены выносил по несколько страниц секретных документов. Занимательно, что целые годы никто не замечал, что пропадают такие важные документы, как чертежи атомных лодок. Не иначе, что Джонатан – человек-невидимка. 

Звонок от никого

Что случилось: В ОАЭ мошенникам удалось ограбить банк на 35 миллионов долларов благодаря использованию дипфейка.

Как это произошло:Инцидент произошел еще в 2020 году, но подробности стали известны только сейчас. Управляющему банком позвонил дипфейк директора одной из обслуживающихся компаний и сообщил, что собирается совершить сделку, для которой нужно разрешение банка на перевод 35 миллионов долларов. А чтобы у управляющего точно не возникло никаких вопросов, мошенники заранее отправили электронные письма с фейковым подтверждением сделки от имени директора и главного юриста компании. Управляющий не заметил подвоха и выполнил указания злоумышленников. Полиция считает, что схема тщательно продумана, предположительно в ней участвовало 17 человек, которые отправили украденные деньги на банковские счета по всему миру. 
Напомним, что это уже второй известный случай, когда мошенники используют дипфейки с такими разрушительными последствиями. Первый инцидент произошел в британской энергетической компании, где генеральный директор думал, что разговаривает с исполнительным директором немецкой материнской компании. Тогда мошенники, используя ПО на основе искусственного интеллекта, попытались украсть 243 тысячи долларов. Кажется, это вполне себе новая реальность. А казалось, духи-похитители лиц бывают только в детских мультиках…

Гонконгские потрошители (кошельков)

Что случилось: Мошенники выманили более 32 миллионов долларов у 90-летней старушки из Гонконга. 

Как это произошло: Женщине позвонил мошенник, представившись сотрудником китайской полиции. Звонивший убедил пожилую женщину в том, что её ПДн использовались в серьезном уголовном деле в Китае и ей необходимо срочно перевести все деньги на счёт следственной группы для проверки. После «расследования» сбережения обещали вернуть хозяйке. Через несколько дней к женщине домой прибыл человек с мобильным телефоном и SIM-картой, чтобы она могла связаться с фейковыми представителями службы безопасности. Так женщина сделала 11 банковских переводов на 32 миллиона долларов. И если бы не бдительность домработницы, которая заподозрила неладное и связалась с дочерью пожилой женщины, полиция ни о чём бы не узнала. Кстати, одного из злоумышленников уже задержали, им оказался 19-летний студент. 
Хотя это преступление и стало самым крупнейшим мошенничеством по телефону в истории Гонконга, но оно далеко не первое. Богатые пожилые люди Гонконга очень часто страдают от телефонных мошенников. К примеру, в прошлом году мошенники обманули 65-летнюю гонконгскую женщину на 8 миллионов долларов, ее также убедили в том, что ее личные данные засветились в преступлении в Китае. Видимо, китайская «уголовка» пострашнее будет, чем пустые счета.

Чёртик, поиграй, да потом отдай

Что случилось: Блокчейн-платформа Compound по ошибке разослала пользователям бесплатные 280 тысяч токенов COMP (почти 90 миллионов долларов).

Как это произошло: Основатель сервиса Роберт Лэшнер считает, что инцидент произошел из-за ошибки при обновлении смарт-контракта, который отвечает за распределение средств. Контракт увеличил объем средств, которые выплачиваются пользователям. Один из счастливчиков даже рассказал в своем твиттере, что успел получить 27 миллионов долларов. 
 
В надежде убедить пользователей вернуть «случайные» деньги основатель блокчейн-платформы Compound Роберт Лэшнер в своем твиттере пригрозил сообщить в налоговую о тех, кто получил миллионы долларов из-за бага. Лэшнер также отметил, что не станет жаловаться на тех, кто вернёт 90% от полученных средств. Также основатель Compound пообещал раскрыть ПДн тех, кто не пойдет на сделку. 
 
После таких заявлений пользователи тут же его захейтили. Ведь если бы основатель Compound действительно обратился в налоговую, то пользователям пришлось бы отдать лишь 40% от полученных денег, а не 90%, как требовал Лэшнер. 
 
 
Позднее Роберт Лэшнер извинился и добавил, что его слова про налоговую — «просто тупой твит». После новостей вокруг Compound цена за токены увеличилась на 9% и на момент написания этого текста составляла 328 долларов. То ли ужасная глупость, то ли ужасная удача.

(Не очень) голодные игры

Что случилось: Хакеры взломали сервис потоковой передачи видеоигр Twitch, принадлежащий Amazon, и раскрыли внутренние данные о доходах самых популярных каналов.

Как это произошло: Об утечке стало известно после того, как неизвестный опубликовал на анонимном форуме 4chan ссылку на файл размером почти 125 ГБ, который содержал в себе исходный код Twitch.tv. Также пользователь намекнул, что это только часть имеющихся у него данных, назвав слитый архив «часть 1». 
В архиве содержалась информация о выплатах стримерам. Их доходы составляли несколько десятков тысяч долларов в месяц. А максимальный заработок оказался у CriticalRole, за три года канал получил 9,6 миллиона долларов. 
 
Также в попавшем в открытый доступ архиве оказалась данные об идентификации пользователей и некоторая коммерческая информация. К примеру, стало известно, что Amazon Game Studio планирует запустить интернет-магазин компьютерных игр. В Twitch подтвердили подлинность слитых данных. 
Также хакеры заявили, что главной целью взлома было «способствовать еще большему разрушению и конкуренции в пространстве потокового онлайн-видео», потому что сообщество Twitch — «отвратительная токсичная помойка».
Роскомнадзор уже направил запрос в офис интернет-сервиса Twitch с требованием предоставить данные о том, какая личная информация российских пользователей была скомпрометирована. При этом в ведомстве отметили, что пока жалоб от россиян не поступало. 

Продавец душ

Что случилось: Хакер разместил объявление о продаже базы данных с информацией о всех жителях Аргентины. 

Как это произошло: В начале октября пользователь с учетной записью AnibalLeaks опубликовал фотографии удостоверений личности 44 аргентинских знаменитостей. В открытый доступ попали даже данные о президенте страны и суперзвездах футбола Лионеле Месси и Серхио Агуэро. Также хакер разместил объявление, в котором предлагал посмотреть ПДн любого жителя Аргентины.
 
Предположительно хакеру удалось взломать платформу RENAPER (Национальный реестр граждан). На данный момент у злоумышленника есть доступ к следующим персданным: полные имена, домашние адреса, даты рождения, даты выдачи и истечения срока действия ID-карты, трудовые идентификационные коды, телефонные номера граждан и правительства, удостоверения личности с фотографией. 
Правительство Аргентины подтвердило нарушение безопасности. Но власти отрицают информацию о взломе RENAPER и считают, что к утечке причастны чиновники. А пока в правительстве ищут крайнего, хакер заявил, что планирует и дальше продавать доступ к данным всем заинтересованным покупателям. В настоящее время население Аргентины составляет более 45 миллионов человек, и хакер утверждает, что владеет информацией обо всех. Если честно, звучит жутковато.

Злой, злой рок

Что случилось:Мошенники попытались похитить 1 миллиард долларов у Центробанка Бангладеш. Инцидент произошел еще в 2016 году, когда хакеры из Lazarus Group организовали кибератаку на национальный банк Бангладеш. Атака началась со сбоя в работе офисного принтера, который находился в главном офисе банка в столице страны Дакке.

Как это произошло:Принтер распечатывал записи о многомиллионных переводах, поступающих в банк и исходящих из него. Сотрудники попробовали перезагрузить принтер, после чего устройство напечатало срочное сообщение от Федеральной резервной системы Нью-Йорка, где Бангладеш держит счет в долларах США. FED получила инструкции от Центробанка Бангладеш об опустошении всего счета — около миллиарда долларов. Сотрудники главного офиса в Дакке попытались связаться с FED, но из-за разницы во времени им никто не ответил. 
Хакеры все хорошо продумали, потому что атака началась в 20:00 по бангладешскому времени, а в Нью-Йорке было еще раннее утро. Затем начались выходные сначала в Бангладеше, а затем и Нью-Йорке. Так хак-группе удалось выиграть аж пять дней. Затем одному из сотрудников пришло письмо от соискателя, предлагавшего загрузить его резюме и сопроводительное письмо с web-сайта. Ничего не подозревающий сотрудник скачал документы, заодно установив в систему вредоносное ПО. Так Lazarus Group получила доступ к цифровым хранилищам и миллиардам долларов. А после хакеры попытались перевести 951 миллион долларов в банк Манилы. Но тут вмешался перст судьбы: отделение банка в Маниле, куда направлялась транзакция, находился на Jupiter Street – такое же название носило находившееся под санкциями иранское судно, поэтому банковские системы среагировали на слово Jupiter и заблокировали операцию. Фатальная случайность для такой продуманной схемы!
Сотрудникам FED удалось спасти большую часть денег. Мошенникам удалось провести только 5 транзакций на сумму 101 миллион долларов, после чего они попытались отмыть похищенное с помощью подпольных казино. Из этой суммы банку удалось вернуть только 16 миллионов долларов. 


Проклятие Хауген

Что случилось: Бывшая сотрудница Facebook Фрэнсис Хауген перед увольнением скопировала внутреннюю документацию компании, а затем передала ее изданию Wall Street Journal. 

Как это произошло:Фрэнсис Хауген работала менеджером в Facebook с 2019 года. По словам уже бывшей сотрудницы, она практически сразу «разочаровалась» в компании, потому что та не пытается бороться с дезинформацией, агрессией и негативным контентом. Но почему-то уволиться разочарованная Фрэнсис решила лишь в апреле 2021 года. Чтобы сделать свой уход запоминающимся - экс-менеджер прихватила с собой информацию из внутренней рабочей сети Facebook Workplace, которую потом передала в СМИ. Благодаря слитым документам издание Wall Street Journal даже выпустило статью о негативном влиянии социальной сети Instagram на подростков. Также Фрэнсис рассказала, что Facebook эксплуатирует чувства страха и ненависти, чтобы спровоцировать людей на перепалки внутри социальной сети. Конфликты заставляют пользователей проводить больше времени в сети, а это способствует дополнительному росту прибыли. 
После этого инцидента компания решила «обезопаситься», ограничив сотрудникам доступ к некоторым внутренним разделам портала. Кстати, эта информацию тут же просочилась в СМИ, а коллектив оказался очень недоволен новыми ограничения. Так одна разгневанная «бывшая» похоронила репутацию бренда. Как удачно, что его больше нет – с начала ноября компания заживет под новым именем.
 

ИБ-совет месяца: Пускай фатальные инциденты останутся страшилками в нашем октябрьском дайджесте. И помните, что за каждой уязвимостью стоит человеческий фактор и халатность, поэтому настройте комплексную защиту: DAM-система отследит попытки взлома БД, DCAP обнаружит подозрительные файлы в корпоративных хранилищах, DLP пресечет утечки, а SIEM оперативно найдет «воскресшие» учетки уволенных сотрудников. Это бесплатно на 30 дней. 

Оставить заявку


Дайджест инцидентов Фишинг Утечка данных


ПОДПИШИТЕСЬ НА ПОЛЕЗНЫЕ СТАТЬИ

Рассказываем о тенденциях отрасли, утечках и способах борьбы с ними