Если бы в ИБ была «Премия Дарвина», или 7 историй про глупость, халтуру, доверчивость и их последствия

    Есть в нашей команде люди, в задачу которых входит мониторить ИБ-новости. В день они перепахивают кучу материалов на русском, английском, испанском и еще паре-тройке языков. Дайджест разлетается по отделам: кому посмотреть, нет ли среди пострадавших знакомых компаний, кому – в качестве иллюстрации к статье, примера к обучению или вебинару. Но для некоторых историй у нас особая папочка. «Гениальные» в своей незатейливости мошеннические схемы или удивительные по наивности проколы – к 1 апреля мы решили поскрести по сусекам и отобрали несколько историй, фигуранты которых достойны приза ИБ-версии «Премии Дарвина».

    image

    1. Номинация «Гостеприимство»


    image

    В одну из тюрем Южной Дакоты, США, в 2014 году пришла милая пожилая женщина, которая представилась медицинским инспектором. Сотрудникам она сказала, что должна проверить условия содержания заключенных и соблюдение санитарно-гигиенических норм в служебных помещениях.

    Женщину встретили радушно и провели по всем кабинетам, куда она требовала доступ. Охранников не смутила даже просьба пустить ее в центр управления IT-системами и серверную – якобы посмотреть, нет ли там плесени. При этом ей разрешили взять с собой телефон и делать фото, а вдобавок часто оставляли одну.

    В результате Рита Стрэнд (так звали «инспектора») беспрепятственно собрала информацию обо всей инфраструктуре тюрьмы: точках доступа, ПК, физических мерах защиты. И взломала все компьютеры, которые попались на пути, подключив к ним «резиновые уточки» (USB Rubber Ducky) для перехвата данных. Ей удалось добраться даже до ПК начальника тюрьмы, который сам (!) пригласил женщину в свой кабинет. На все про все у Риты ушло 45 минут.

    Самое смешное, что у Риты Стрэнд абсолютно не было навыков хакера. Она всю жизнь проработала в общепите и в «шпионских» делах никогда не участвовала. А взломать систему безопасности тюрьмы вызвалась вместо сына, ИБ-эксперта Джона Стрэнда, который должен был устроить учреждению пентест. Это он снабдил ее «USB-утками» и всеми инструкциями, но сам не ожидал, что проникновение удастся так просто. Историей он поделился на профильной конференции шесть лет спустя, не раскрывая названия и расположения тюрьмы. Надо думать, тюремщикам и без того до сих пор неловко.

    2. Номинация «Tinder головного мозга»


    Героями этой истории стали сразу несколько десятков солдат израильской армии. Все они завели в сети приятные знакомства, а потом обнаружили, что сливают гостайну.

    Инцидент получил огласку в этом феврале. Сообщалось, что с конца 2019 года в соцсетях и на сайтах знакомств солдатам стали активно писать девушки. Они с ходу были готовы делиться пикантными фото, правда, только в специальном защищенном приложении (а не то еще в сеть утекут!). Его и предлагали скачать по ссылке.

    Те, кто поддался на уговоры, обнаруживали, что их смартфоны начинали вести себя странно. Активировалась передача данных, рос исходящий трафик, сами собой включались камера и диктофон. Скоро выяснилось, что «секретный чат» с фото – вредонос для удаленного управления телефоном, а «девушки» – хакеры ХАМАС. На протяжении нескольких месяцев они имели доступ к информации о местоположении пораженных устройств, фотографиям и контактам телефона.

    Представители армии Израиля утверждают, что раскрыли схему почти сразу, но не реагировали, чтобы понаблюдать за ситуацией. И якобы никаких ценных данных к палестинским боевикам не утекло, потому что всех военных заранее предупредили об опасности.

    3. Номинация «Танец на граблях»


    image

    Здесь могла бы быть любая из, наверное, уже сотен историй про незапароленный Elastic. Или MongoDB. Или любую другую БД, в которой пользователи не ставят пароли и, по сути, оставляют информацию в открытом доступе. Это действительно один из самых распространенных каналов утечек – в 2018 году так ушли 540 млн учеток Facebook (тогда соцсеть доверилась мексиканским аналитикам из Cultura Colectiva, а подрядчик не защитил сервер). В 2016-м утекла информация о 80% американцев, имеющих право голоса (это приватные данные 198 млн человек).

    Но в этом году победа в номинации достается приложению Whisper. Оно позиционировалось как «самое надежное место в интернете», где пользователи могли анонимно делиться сокровенными секретами. А потом разработчики случайно раскрыли данные 30 млн человек. Оказалось, что Whisper хранит архив по всем пользователям с 2012 года.

    Из незапароленной базы в сеть утекло содержание «секретных» постов. А это рассказы о страхах, тайных желаниях, признания в аморальных и преступных поступках, интимные секреты. Но главное – в открытом доступе оказалась информация об учетных данных пользователей (никнеймы, привязанные к ним email и телефоны), их возрасте, национальности и местоположении при последней авторизации. Порой геоданных хватало, чтобы установить конкретный жилой район и рабочее место. Около 1,3 млн скомпрометированных аккаунтов принадлежали подросткам до 15 лет.

    4. Номинация «Не вижу, значит не было»


    image

    В начале нынешнего года казахстанская ИБ-компания «Центр анализа и расследования кибератак» сообщила в СМИ, что обнаружила крупную утечку данных из информационной системы генпрокуратуры Республики Казахстан. В свободном доступе в сети оказались персданные всех граждан Казахстана и иностранцев, в отношении которых в республике когда-либо заводили административные дела. Все их штрафы, предупреждения, адреса проживания, фотографии нарушителей, номера и данные техпаспортов их автомобилей. Более того, доступ к информационной системе прокуратуры оказался открыт из интернета, любой пользователь мог редактировать, удалять дела, заводить новые. Так как информационная система интегрирована со всеми сервисами электронного правительства страны, скомпрометированы могут быть внутренние данные любых госучреждений.

    Исследователи отметили, что несколько раз связывались с ведомством, но так и не добились реакции. Даже после публичного раскрытия информации об уязвимости прокуратура Казахстана стоит на своем: ничего подобного, «данные не доступны в сети Интернет в открытом виде». Удивительное упрямство.

    5. Номинация «За информационный эксгибиционизм»


    image

    Банковский служащий из Северной Каролины, США, украл со счетов клиентов более 88 тыс. долларов. Мужчина выводил средства с депозитов и подделывал документы, чтобы замести следы. Провернуть схему ему удалось как минимум 18 раз, за это время он неплохо улучшил свое положение и стал жить на широкую ногу. И все бы ничего, если бы не решил похвастаться успехами в Facebook и Instagram.

    На странице американца стали регулярно появляться фото с пачками наличных, дорогим алкоголем, украшениями, авто. Фото пользовались популярностью – в конечном итоге ими заинтересовалась полиция.

    К апрелю 2019-го дошло до суда, американцу грозит до 30 лет тюрьмы и штраф в 1 млн долларов. А материалы из соцсетей приобщили к делу. Например, пост, где мужчина позирует на фоне новенького Mercedes-Benz – фотография и чек на 20 тыс. долларов, которые он внес в качестве предоплаты за машину, стали одной из улик обвинения.

    image

    Похожая история произошла в Колумбии с главой внутренней службы по контролю морских грузов. Омар Амбуила получал зарплату чиновника – 3 000 долларов в месяц. При этом его дочь, которая жила в Майами и держала скромный магазинчик мороженого, вела по-настоящему роскошный образ жизни. В ее Instagram регулярно появлялись фото с покупками от дорогих брендов, за рулем новых Lamborghini и Porsche, на отдыхе с лакшери-курортов.

    image

    Беда настигла, когда среди подписчиков светской дивы появились полицейские. Через девушку вышли на ее отца и задали ему резонный вопрос: неужели такая дольче-вита по карману семье обычного госслужащего? Власти страны считают, что чиновник создал преступную сеть в колумбийском порту и получал многомиллионные взятки за провоз контрабанды. В апреле 2019 года Амбуила, его жену и дочь арестовали – как раз на дорогом курорте. Что называется, спасибо фоткам за наводку.

    6. Номинация «Пицца как оружие судьбы»


    Прокалываются на мелочах не только неподкованные воришки, но и настоящие гранды киберпреступности.

    Создатель одного из старейших DDoS-сервисов Quantum Stresser Дэвид Букоски с 2012 года успешно скрывался от властей. Его детище только в 2018 году позволило «положить» порядка 50 тыс. информационных систем по всему миру, всего на счету сервиса более 80 тыс. реализованных заказов на кибератаки. Хотя в 2018 году в ходе международной спецоперации сайт quantumstress[.]net был ликвидирован, правоохранители по-прежнему искали выходы на владельца и старались установить его личность.

    «Кошки-мышки» затянулись, Дэвид расслабился. В начале 2020 года он решил заказать домой пиццу и оставил на сайте доставки контактный email… на который когда-то зарегистрировал свой домен.

    Раньше адрес фигурировал в «черных списках» нескольких сервисов, которыми Дэвид пользовался для рекламы Quantum Stresser’а и приема платежей от клиентов. Когда компании остановили услуги, он направлял им официальные письма с просьбами объяснить отказ. Так полиция смогла узнать настоящее имя хакера. А заказ доставки раскрыл его домашний адрес. В итоге пицца с беконом и курицей обошлась Букоски в 5 лет лишения свободы условно.

    Кстати, в 2012 году таким же заказом выдал себя другой кибергений – Юрий Коваленко, один из авторов знаменитого Zeus. В Лондоне он возглавлял ячейку «операторов» ботнета и спокойно работал, несмотря на ФБР «на хвосте», пока не оставил онлайн-заявку на доставку обеда прямо в свою штаб-квартиру. Так что пицца – то еще оружие судьбы.

    7. Номинация «Кручусь, как умею»


    image

    Встречаются люди, которые свято верят: если избить человека, а потом предложить ему нанять вас телохранителем, то он с радостью согласится. Звучит диковато в декорациях реального мира. Однако в мире виртуальном до сих пор есть такие персонажи.

    Например, недавно сотрудники отдела «К» УМВД России по Вологодской области задержали неудачливого «пентестера». Как установило следствие, мужчина осуществил DDoS-атаку на интернет-магазин крупнейшего череповецкого предприятия. Задержанный признался, что специально нагрузил сайт – тестировал его на устойчивость, чтобы потом предложить владельцам свои услуги по защите от DDoS-атак.

    Историй, над которыми можно посмеяться, хватает. Можно вспомнить свежий инцидент из Германии, где на eBay продали ноутбук со сверхсекретной инструкцией по уничтожению государственной системы ПРО. Можно вспомнить, как офицеры подразделений электронной разведки Армии обороны Израиля взломали сервер армейского отдела кадров для получения дополнительных и внеочередных отпусков, в том числе с оплаченным проживанием в гостиницах. А можно в целом удивиться, что за последние 4 года минобороны Великобритании потеряло уже почти 800 ноутбуков с военными тайнами.

    Пните нас в комментариях, если мы что-то упустили. Есть более достойные номинанты?
    SearchInform
    Разработчик ПО для защиты от внутренних угроз

    Комментарии 18

      +6

      Арест Кирилла Фирсова:
      https://habr.com/ru/news/t/491872/

        +7
        В отечественных реалиях ни у кого не возникнет вопросов откуда в аккаунте соцсети российского чиновника фото новенького Mercedes-Benz, пачек денег и фото с отдыха на дорогом курорте.

        Интересно только одно — «Комитет Госдумы: за лайки и репосты сохранится уголовная ответственность» habr.com/ru/post/423211
          +2
          не возникнет, да)
            +3
            да, про дочку чиновника нам не понять. Я бы скорее очень удивился, если бы увидел дочь хоть сколько нибудь большого чиновника, на простом курорте или за рулём какого нибудь автоваза.
              0

              Отдыхал с мелким чиновником в 3* отеле в Египте (подружились, поэтому узнал). В том же отеле отдыхала любовница губернатора какого-то края (так она мне сказала, естественно, проверить никак не мог). Не знаю, что такое простой курорт, но это был весьма недорогой отель.

                +1
                Ну я специально уточнил — «хоть сколько нибудь большого чиновника». Мелкие часто живут не очень.
                +2

                Чиновников, которые занимают невысокие посты, имеют невысокие зарплаты и не берут взяток (потому что не за что там их брать, не имеют они никакой власти), на самом деле большинство.

                  +2
                  Причем, странно писать про автоваз на сайте, где люди что сами на оном вряд ли ездили в последнее время, и что выглянув в окно у многих во дворах из автоваза найдут разве что Реношки, блин.
                  Вспоминая Питер ещё в 2002 году, когда там был на недельной экскурсии — я там из советско-российского автопрома в центре видел только хорошо отреставрированные победы. А в Москве сейчас всё, что ниже последних версий ваза — это то, от чего в потоке лучше держаться подальше, ибо за рулём чаще какого-нибудь гастарбайтера увидишь.
                  Ну и так, по мелочам: в 18 году примерно 42 млн легковых было, из которых 16,5 — отечественные марки, 9,3 млн — собранные в РФ иностранные, прочее — зарубежные.

                  При этом чиновник на средней зарплате почему-то не должен себе позволить то, что могут позволить себе даже обычные граждане на такой же средней зарплате? Черт, ну это прям бюрократическая логика какая-то…
                    0

                    За мкадом конечно их побольше, но ещё кстати стал замечать чаще всякие иксреи и Весты, которые в принципе сравнимы с иномарками, но из потока не выделяются, в отличии от всяких приор.

                      0
                      В РФ и кроме Москвы и Питера тоже жизнь есть. Когда я последний раз был в своем родном городе (население порядка 100к человек), то очень сильно удивился различию автопарка. Ибо там были в основном отечественные машины и зачастую достаточно старые. Из иномарок в основном всякие логаны, солярисы да рио.
                        0

                        Зависит от конкретных мест в РФ. Если ехать на юг (Кавказ), то среди встреченных машин отечественные буду встречаться все чаще. Если ехать на восток, то чем ближе к Владивостоку, тем больше старых иномарок. Но по дороге есть места, где встречается аномально много отечественных авто (УАЗ Патриот и буханки): Алтай и Байкал — там требуется возить туристов по плохим дорогам, видимо, эти авто оптимальны по соотношению цена/качество. На Ольхоне очень много буханок, разговаривал несколько раз с водителями — говорят, что ольхонские дороги никакая другая машина не выдерживает.

                          0
                          Есть. Я лично из региона, который регулярно на протяжении десятка лет попадал в такие списки в топ-10, как: самый бедный регион, регионы с самым большим приростом количества авто на душу населения, регионы с самыми большими продажами люксовых авто на душу населения. Населения в городе побольше, это да. Раз в пять так.
                          Так вот, к чему я это. Все у кого норм зп либо на бу иномарках, либо на новеньких реношках (логаны, сандерки, дастерах), тех же солярисах и т.п. в плане недорогих, но надежных авто — которые доступны под автокредиты с небольшими, зачастую, процентами. Причем норм зп — это не про IT на удалёнке зарубежной, это про ударников на заводах или производствах. Хотя есть люди, которые по разным обстоятельствам ездят на всяких нивах, например (ну а что, дом в пригороде, дороги — так себе, от снега читстят плохо, лошадки опять же...). А есть те, у кого какие-нибудь советские шестерки в идеальном состоянии, пригнанные из какой-нибудь финляндии, и они их поддерживают, холят, лелеют и занижают.
                          Но статистика — она общая. Только треть всего текущего легкового автопарка сейчас автоваз, и ещё четверть — собранные у нас.
                          И да, кстати, вот есть X-ray, который как бы ничем не хуже сандеры, который собирается на том же конвеере, теми же людьми и комплектующие, считай, практически те же. Угадайте, кто лучше продаётся?
                          19 год
                          Х-рей купили всего 28967 штук.
                          Сандеро — 30496.
                          Хотя да, последние поколения автоваза стали поинтереснее, мало чем отличаются от иномарок, но… Продаются в сумме только в 2,5 раза лучше Реношек, в 2 раза — хюндаев, в 1,6 раза — Киа… и всего 1/5 от реализованных в 19 году 1,7 млн авто занимают. А если бы была статистика с учетом стоимости, то там доля автоваза была бы ещё меньше, явно.

                          Как бы по мне — даже одно это говорит, почему даже не обязательно большой чиновник будет ездить с большей вероятностью не на новом автовазе, если население в целом при покупке нового выбирает инормаки чаще. Без всякой коррупции.

                          Вопрос надо ставить не в марках, а в стоимости конкретного авто.
                            0
                            Небольшой оффтоп:

                            Я лично из региона, который регулярно на протяжении десятка лет попадал в такие списки в топ-10, как: самый бедный регион, регионы с самым большим приростом количества авто на душу населения, регионы с самыми большими продажами люксовых авто на душу населения.

                            Это как так-то? Чтобы одновременно в топ-10 бедных регионов и топ-10 продаж люксовых авто на душу населения.
                              +1
                              Чтобы одновременно в топ-10 бедных регионов и топ-10 продаж люксовых авто на душу населения.

                              А это не противоречащие друг-другу состояния. Я год прожил в Камбодже — это одна из беднейших стран в ЮВА и в мире. Тем не менее, дорогих машин на улицах полно, каждый день можно видеть такие марки, которые и в Москве не каждый день увидишь.

                                0
                                Это как так-то? Чтобы одновременно в топ-10 бедных регионов и топ-10 продаж люксовых авто на душу населения.
                                Черт, не 10, это я что-то соврал( Уже не помню, много лет назад было, но доля на душу населения была не самая маленькая и в какой-то топ скольких-то наш город вошёл — по новостям помню.
                                По бедности — практически всегда в лидерах, ага.
                    0
                    Встречаются люди, которые свято верят: если избить человека, а потом предложить ему нанять вас телохранителем, то он с радостью согласится.

                    увы, очень часто такие встречаются(
                      +2

                      Да что там люди, некоторые компании, формирующие списки "нехороших" адресов в сети, вполне успешно продают свои услуги по защите от попадания в эти списки таким способом.

                        +1
                        Это называется «государство».

                      Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                      Самое читаемое