В апреле мы традиционно просим нашего начИБ Алексея Дрозда aka @labyrinth поделиться его подборкой забавных, нелепых и глупых ИБ-инцидентов.
В апрельском хит-параде: расхитительница запасов офисной бумаги, распродажа музейных экспонатов на eBay, плейлист от ИИ и сотрудник, который прикинулся хакером, чтобы шантажировать своего работодателя.
Ирония судьбы
Что случилось: известный хакер оказался заложником собственного вируса.
Как это произошло: с 2020 года киберпреступник по прозвищу «La_Citrix» занимался взломами компаний и продажей доступов к их серверам. Также он продавал похищенные у жертв конфиденциальные данные. Специалисты Hudson Rock выяснили, что во время заражения компьютеров своих жертв La_Citrix случайно загрузил инфостилер и на собственный ПК. По-видимому, он даже не заметил этого, поэтому продал свои же данные.
Во время расследования эксперты Hudson Rock обнаружили, что API злоумышленника связано почти с 300 различными компаниями. Это случилось из-за того, что хакер проводил атаки с собственного ПК и сохранял в браузерах корпоративные учетные данные, которые использовал для взломов. Также экспертам удалось выяснить настоящее имя La_Citrix, его номер телефона и домашний адрес. Эту информацию они планировали передать полиции.
@labyrinth: «Даже опытный хакер может стать жертвой своих же уловок. Сразу вспоминается похожий поучительный инцидент, который произошел со знаменитым организатором крупнейших DDoS-атак. Его не могли вычислить шесть лет. Дэвид Букоски, владелец DDoS-сервиса Quantum Stresser, раскрыл себя, заказав пиццу через интернет. При заказе пиццы хакер указал адрес электронной почты, который использовал при регистрации Quantum Stresser».
Не вам письмо
Что случилось: почти 10 лет письма военного ведомства США уходили на малийские адреса из-за опечатки.
Как это произошло: проблему обнаружил Йоханнес Зюрбиер, голландский интернет-предприниматель, который управлял национальным доменом Мали с 2013 по 2023 год. Еще в 2013 году Йоханнес заметил запросы на домены Army.ml и Navy.ml, которых на самом деле не существовало. Оказалось, что пользователи путали окончания в адресах электронной почты и отправляли письма на домен .ml (малийский идентификатор) вместо вместо .mil (идентификатор американской армии). Большая часть писем была спамом, но некоторые из них содержали конфиденциальную информацию: налоговые декларации, личную информацию военнослужащих, дипломатические документы, данные о передвижении служащих, медицинскую информацию, отчеты внутренних расследований и др..
Мужчина неоднократно пытался предупредить Пентагон о проблеме, но ответа так и не получил. В прошлом году контракт компании Йоханнеса с Мали заканчивался, поэтому мужчина решил еще раз попробовать напомнить военному ведомству об утечке. Предприниматель подсчитал, что только в начале января получил около 117 тысяч «случайных» писем. Представитель ведомства заявил, что они знают о проблеме, а электронные письма, отправленные непосредственно из домена .mil на малийские адреса, блокируются до того, как они покидают домен .mil.
@labyrinth : «Этот и многие другие инциденты в очередной раз подчеркивают проблемы, связанные с невнимательностью пользователей и дефолтными настройками. Пользователи не замечают опечатки, это на руку злоумышленникам. Например, мошенники часто используют тайпсквоттинг, делая ставку на то, что невнимательная жертва не заметит подмены.
Бороться с тайпсквоттингом можно со стороны разработчиков, исправляя дефолтные настройки. Разработчики могли бы не давать возможность использовать омоглифы (почитайте забавную историю, как сотрудник прикинулся ботом в корпоративном Slack Gizmodo). Также разработчики могут быть более внимательны при выборе некоторых значений по умолчанию в тех или иных примерах (как тут не вспомнить историю Microsoft и домена corp.com). Ну а пользователям остается быть бдительными (если не 24/7, то хотя бы в течение рабочего дня)».
По листочку
Что случилось: сотрудница украла из офиса бумагу на 24 миллиона рублей и смогла приобрести недвижимость.
Как это произошло: сотрудница отдела хозяйственного обеспечения одной из самарских организаций почти полтора года похищала из офиса бумагу. По заявлению прокуратуры, всего женщина украла 112 тысяч пачек офисной бумаги, общая стоимость которых составляет более 24 миллионов рублей. На вырученные от продажи бумаги средства сотрудница купила себе квартиру и машину марки Mercedes.
Когда женщина узнала о том, что на нее завели уголовное дело, то продала имущество по заниженной стоимости и скрылась. В итоге ее объявили в международный розыск и заочно выбрали меру пресечения в виде лишения свободы.
@labyrinth : «Сразу вспоминается цитата из фильма «Афоня» о том, что струйка воды толщиной в одну спичку дает утечку 200 литров в сутки. Инцидент с кражей бумаги еще раз показывает, на что может быть способен один сотрудник. В небольших компаниях мы часто сталкиваемся с нерациональным использованием ресурсов работодателя. Например, сотрудники часто используют принтеры в личных целях. Недавно один из наших заказчиков столкнулся с тем, что сотрудница распечатала полторы тысячи страниц школьных учебников.
Еще вспоминается инцидент (воспринимайте, как байку) с противоположным эффектом. Сотрудник небольшого предприятия воровал уголь. Руководство знало об этом, но по какой-то причине не решало проблему (видимо, угля было как гуталина на гуталиновой фабрике). Спустя время предприятие перешло на другой вид топлива, и уголь оказался не нужен. Утилизация потребовала бы дополнительных средств. Забавно, но теперь продолжающий воровать уголь сотрудник стал не вредителем, а помощником. Вопрос утилизации угля медленно, но верно решался с его помощью».
Голливудские страсти
Что случилось: мошенник прикинулся Леонардо Ди Каприо и обманул женщину на 80 тысяч рублей.
Как это произошло: в январе прошлого года 32-летняя жительница Чебоксар получила сообщение от человека, который выдавал себя за голливудского актера. Фейковый Ди Каприо проявил к ней симпатию и у них завязалось общение. Через несколько месяцев общения по переписке, актер предложил женщине за 80 тысяч рублей стать суперфанаткой, что позволило бы им общаться по видеосвязи. Поклонница взяла кредит и перевела мошеннику деньги. После этого у них состоялся звонок, длившейся пару секунд, женщина даже не смогла разглядеть лицо Ди Каприо как следует. Какое-то время мошенник продолжал общаться с женщиной по переписке.
Неладное поклонница заподозрила после того, как голливудский актер попросил оплатить ему перелет в Чебоксары. В полиции женщина рассказала, что с 2005 года пыталась связаться с Леонардо Ди Каприо.
@labyrinth : «Мошенники используют не только откатанные схемы с фейковыми службами безопасности банков. Регулярно они представляются известными личности. Сейчас процветает целая индустрия, связанная с фейками. Иногда злоумышленники дополняют социальную инженерию дипфейк-технологиями, как было, например, в инциденте с фейковым Марком Руффало».
Арт-криминал
Что случилось: сотрудник лондонского Британского музея распродавал артефакты на eBay.
Как это произошло: музей подал иск в отношении Питера Джона Хиггса, куратора греческих коллекций. Оказалось, что Питер, проработавший в музее без малого 30 лет, с 2016 года занимался продажей экспонатов: от ювелирных украшений до драгоценных камней из Древнего Рима. Проданные артефакты относятся к периоду от XV века до нашей эры до XIX века нашей эры, их общая стоимость составляет десятки миллионов фунтов. По информации The Times, ущерб составляет примерно 102 миллиона долларов.
Попался на краже сотрудник в тот момент, когда начал выставлять экспонаты, подробно описанные в цифровых каталогах музея. Кроме того, мужичина хоть и использовал псевдоним, но забыл о том, что его аккаунт на Paypal привязан к твиттеру, в котором он публикует посты под своим настоящим именем.
Как заявляет The Daily Telegraph, в музее знали о кражах еще несколько лет назад, однако решили не придавать огласке инцидент и уволили куратора лишь летом 2023 года. Издание отмечает, что некоторые артефакты не были застрахованы, более того, они даже не были зарегистрированы в цифровых каталогах, поэтому доказать, что они принадлежат коллекции Британского музея, практически невозможно.
@labyrinth:«Инцидент показывает, насколько важно проводить инвентаризацию, в том числе цифровых архивов, а также аудит прав доступа».
Это все хакеры
Что случилось: сотрудник отдела ИБ прикинулся хакером, чтобы шантажировать своего работодателя.
Как это произошло: в 2018 году хакеры, используя вымогательское ПО, атаковали оксфордскую компанию. После инцидента злоумышленники связались с руководством организации и потребовали выкуп. Этой ситуацией решил воспользоваться ИБ-аналитик компании Эшли Лайлс, который принимал активное участие во внутренних расследованиях инцидентов.
Лайлс получил доступ к электронной почте руководства компании, изменил содержание исходного письма от хакеров и адрес, на который нужно было отправить выкуп. Некоторое время он переписывался с руководством и пытался заставить их заплатить выкуп. Но в итоге компания отказалась платить, а внутреннее расследование привело полицию к домашнему IP-адресу Эшли Лайлса.
Почти пять лет сотрудник отрицал причастность к инциденту, но в мае 2023 года Лайлс все-таки признал вину.
@labyrinth: «Для меня эта история подсвечивает популярный вопрос, который часто нам задают на конференциях: кто контролирует контролеров? Среди ИБ-специалистов тоже не все белые и пушистые».
Плейлист от ИИ
Что случилось: мошенник заработал 13 тысяч долларов на продаже поддельных треков известного исполнителя.
Как это произошло: мужчина продал 9 треков известного исполнителя и автора песен в стиле R&B и Hip-Hop Фрэнка Оушена. Пользователь под ником «Mourningassassin» использовал фрагменты голоса исполнителя и с помощью искусственного интеллекта генерировал новые треки. Мошенник выдавал треки за утекшие и продавал их по цене от 3 до 4 тысяч долларов за штуку на форумах. После того, как все записи были проданы, пользователь признался, что это были подделки, сделанные с помощью ИИ.
Мошенник воспользовался ажиотажем со стороны фанатов, которые ждали треки Фрэнка Оушена с 2016 года. В апреле исполнитель выступил на фестивале и намекнул на скорый выход альбома.
@labyrinth : «За подобными инцидентами интересно наблюдать с точки зрения того, как ИИ меняет ландшафт преступлений. Пока мой любимый инцидент – коллективный дипфейк-созвон, в результате которого компания лишилась более 25 миллионов долларов. А вы можете вспомнить что-либо интересное из ИИинцидентов?»
Который час?
Что случилось: дата-центр крупного банка лег из-за разрядившихся батареек.
Как это произошло: один из крупнейших банков Великобритании столкнулся со сбоем во всех информационных системах, включая дата-центр. Сбой был настолько масштабным, что сотрудники не могли работать. ИТ-служба перезагрузила сервера и провела диагностику, но это не помогло поднять системы, так как проблемы была не в информационных системах банка. Причина сбоев была в разрядившихся батарейках, которые забыли поменять сотрудники техподдержки банка. Оказалось, что в двух радиочасах, которые раздавали время всем информационным системам банка, разрядились батарейки. Часы перестали подавать сигнал о точном времени, из-за чего все устройства автоматически откатились на дату 1 января 1954 года.
@labyrinth : «Исключение, подтверждающее правило «работает – не трогай». Но все же важно не только выстроить инфраструктуру «на века». Периодически необходимо проводить ревизию и постоянно работать над оптимизацией, иначе можно столкнуться с тем, что системы вдруг перестанут работать».