К 1 апреля собрали хит-парад самых глупых инцидентов ИБ за год
Новое 1 апреля и новый дайджест самых смешных инцидентов информационной безопасности. За год ИБ-нелепиц прибыло: в сегодняшнем хит-параде акселерация киберпреступности, превратности ИИ и нестареющий человеческий фактор. Выбираем самые веселые факапы (а заодно сплевываем и постукиваем, чтобы случайно не повторить подвиги героев выпуска).
Кто хочет стать миллионером
В Индии разыгралась драма, достойная Болливуда. Честный отец семейства столкнулся с шантажом: с ним связался загадочный хакер, который грозился разоблачить пороки несчастного перед друзьями, коллегами и семьей. При этом злоумышленник взломал электронную почту жертвы, сменил в ней пароль и привязанный номер телефона. За сохранение секретов и возврат доступа к почте он потребовал 137 тысяч долларов, в пересчете на рупии 10 миллионов.
Мужчина не на шутку перепугался (неужто было, что скрывать?) и обратился в полицию. В поисках IP-адреса, с которого злоумышленник рассылал угрозы, детективы добрались до дома жертвы. Цифровая ниточка привела их в детскую комнату, где и орудовал беспощадный 11-летний сын пострадавшего.
Начинающий хакер во всем сознался. По его словам, идею, как побыстрее стать миллионером, он почерпнул на YouTube. Эх, Джимми, Джимми, словно бы говорили хулигану добрые глаза индийской бабушки. А чо? отвечает за малолетнего шантажиста бессердечный Интернет.
Невиданная щедрость
Хакерская группировка с августа 2020 года атаковала компании по всему миру. Жертвам приходило письмо: в теме их имя или название компании, во вложении HTML-документ, который открывался в браузере в виде страницы авторизации Microsoft Office 365. Этот документ защищен паролем, сообщалось на странице. Пожалуйста, введите пароль. Люди доверялись и вводили ведь в поле Имя пользователя в форме авторизации уже значился их почтовый адрес. В результате за полгода хакерам удалось собрать как минимум 1 тыс. паролей.
Украденные пароли вкупе с адресами становились подпиткой для следующих атак для повышения достоверности свои рассылки фишеры предпочитали вести со скомпрометированных ящиков реальных компаний.
Схема была изящна, проста и эффективна. Вот только киберпреступники забыли защитить улов. Для хранения данных они зарегистрировали специальные домены, но файл с украденными паролями по ошибке сделали публично доступным. Так вся база оказалась в поисковой выдаче Google, где ее обнаружили исследователи из Check Point и Otorio. И вскрыли всю цепочку с простотой и изяществом.
Клубничка VSOP
Может ли дама стать героиней фильмов для взрослых, если ей уже за 70? Почему бы и нет? подумал аферист из Челябинска и стал угрожать местной пенсионерке, что выложит в Сеть ее интимные фото. Хотя женщина не практиковала ню-фотосессий, мошенник утверждал, что справился сам, пока наблюдал за ней через веб-камеру.
За бездействие начинающий порно-продюсер требовал от женщины 650 долларов. Причем непременно в биткоинах. Возмущенная женщина обратилась к правоохранителям. Поэтому обсуждать размер своего гонорара уральский мошенник будет вынужден уже с ними.
Золотой ключик
А вот история по эту сторону решетки в буквальном смысле.
В руки стажеру в Бранденбурге попал ключ стоимостью в 50 тыс. евро. То есть сам-то ключ столько не стоит, а вот его фотография дорого обошлась молодому человеку. Он только устроился в местную тюрьму и жутко загорелся новой работой. На радостях отправил друзьям в WhatsApp снимок мастер-ключа, открывающего в тюрьме любые двери. И правда, как тут не похвастаться.
Друзья не так впечатлились, как тюремщики, которым пришлось в срочном порядке менять замки на дверях шестисот камер и различных подсобных помещений. На это ушло 20 часов непрерывной работы, все за счет незадачливого стажера. Теперь ему предстоит выплатить еще и пятидесятитысячный штраф. А все потому, что по фото профессиональный слесарь мог бы воссоздать ключ, проникнуть в тюрьму и создать угрозу безопасности.
(У нас другой вопрос: универсальный ключ в тюрьме точно хорошая идея?)
Где ваши пальчики?
Британская полиция тоже понесла потери. Недавно ведомство лишилось солидного куска базы с данными об арестах: из-за технической неполадки из системы пропали 150 тысяч записей. Файлы содержали историю приводов, отпечатки пальцев и ДНК. Потенциально инцидент мог подарить свободу сотням преступников на них больше нет биометрических улик. К тому же на два дня встала работа визовых центров по всей стране, заявления задерживались, потому что с базой полиции пропала связь.
Власти уверяют, что не произошло ничего серьезного, удалились, мол, только записи о задержанных, которых отпустили без предъявления обвинения. Но расследуют инцидент аж на правительственном уровне.
По основным версиям, у технической неполадки вполне человеческое лицо. Ошибиться мог специалист, который работал с базой, ее разработчик (в коде обнаружился дефект, из-за которого вместо резервирования в бэк-ап данные удалялись), или оба сразу. Видите ситуации из серии я что-то нажала и все исчезло случаются не только в вашей бухгалтерии.
Тайные послания
Новость с пылу с жару и сразу в наш топ. 28 марта в твиттере стратегического командования вооруженных сил США появилась странная запись: набор букв и символов ;l;;gmlxzssaw.
Твит буквально взорвал эфир и за пару часов набрал тысячи реплаев, лайков и репостов. Пользователи принялись шутить, что это секретный код запуска ядерных ракет. Затем решили, что аккаунт взломали, на худой конец что по клавиатуре SMM-щика пробежала кошка. Нашлись конспирологи, которые увидели в твите тайное послание от QAnon мифического сотрудника правительства США, который иногда якобы делится инсайдами с пользователями имиджборд. Ситуацию усугубляло молчание ведомства. Аккаунт несколько часов не обновлялся.
Наконец стратегическое командование извинилось и попросило не обращать внимания на инцидент. Затем удалило твит. Но дело было сделано без объяснений число шуток и теорий росло, как снежный ком. Добиться правды удалось журналисту Daily Dot Микаэлу Талену. На его запрос в командовании ответили, что загадочную абракадабру запостил ребенок сотрудника, пока тот на минутку отвернулся. Как заметили остроумные комментаторы, вот так несколько мгновений официальным каналом связи сильнейшей армии в мире управлял ребёнок. Читаем и запоминаем: во избежание казусов блокируй устройство, когда не работаешь за ним.
Минус кнопка
Еще одна история про невнимательность (и кнопку). Стример twomad в прошлом апреле дождался миллионного подписчика на своем YouTube-канале и получил от администрации сервиса награду как раз кнопку, только не большую красную, а золотую. В честь этого события он запустил стрим, где на глазах подписчиков ее распаковывал то есть открыл письмо от YouTube, в котором содержался одноразовый код для получения приза.
И тут популярность сыграла с блогером злую шутку. Когда он попытался ввести код, выяснилось, что он не подходит. Кто-то из миллиона подписчиков увидел код на стриме, успел воспользоваться им раньше и забрал Золотую кнопку себе. twomad осталось только негодовать и жаловаться в YouTube на воровство. А стоило бы на свою недальновидность. Насколько нам известно, кнопку он так и не вернул. Да еще и подписчики затроллили.
(а вот и ссылка на твит: https://twitter.com/AltCriminals/status/1247439923784724485?s=20)
Закодированная
В этом случае никаких пользовательских факапов, только непреклонный ИИ. Американская актриса Рейчел Тру (True) после установки очередного обновления не смогла зайти в свой аккаунт в iCloud. Проблема затянулась на полгода и, кажется, не решилась до сих пор: абонентская плата продолжает списываться, доступ закрыт, а переход на бесплатный тариф грозит девушке потерей важных данных.
Американка часами общалась с техподдержкой Apple. Выяснилось, что ошибка возникает, потому что программные алгоритмы облака воспринимают ее фамилию как атрибут кода: команду верно. И искусственный интеллект остается непреклонен. Даже сотрудники техподдержки не смогли ничем помочь, кроме как посоветовать девушке сменить фамилию. Зато какая защита от взлома!
Вперед и с песней
Кто точно достоин нашей премии, так это полицейские из Калифорнии по крайней мере спецприза За находчивость. Они, не щадя живота своего, встали на защиту персональных данных. Правда, своих. А заодно изображений и видео, которые могут попасть в Сеть без их ведома от перспективы стать блогерами они не в восторге.
Полицейские стараются не попадать в объективы камер во время работы, чтобы их слова не были вырваны из контекста и неправильно истолкованы. Поэтому несколько офицеров из Беверли-Хиллз взяли в привычку выходить в патрули с плейлистом наизготовку: стоит кому-то начать их снимать, они громко включают музыку. Идея в том, что Instagram, YouTube и другие сервисы удаляют контент, если в нем содержатся произведения, защищенные авторским правом. В таких условиях провокационные ролики не поснимаешь.
Впрочем, креативные стражи правопорядка все равно попадают в СМИ. Правда, теперь журналисты обсуждают их музыкальные вкусы. Говорят, они меняются начинали напарники с баллад Beatles (впервые включили нетленный Yesterday, когда некий активист попытался взять у них лайв-интервью в Instagram), а продолжили задорным ска-панком Sublime. У них и песня подходящая есть: со строчкой я не хочу начинать этот разговор.
На этой ноте мы заканчиваем небезопасный хит-парад и раздачу Дарвиновских премий в области информационного разгильдяйства. И да, наши премии в отличие от золотых кнопок YouTube не требуется подтверждать кодом. Если у вас есть свои кандидаты в топ делитесь в комментариях!
Дайджест прошлого года вы можете прочесть тут. А пост-прародитель жанра (за далекий 2016й) здесь.
