1 апреля мы традиционно собираем подборку из забавных, нелепых и глупых инцидентов в инфобезе. В этом году попросили нашего начИБ Алексея Дрозда (aka @labyrinth) поделиться его личным хит-парадом. В первоапрельской подборке отметились аквариумные мошенники, впечатлительные часы, финансовый менеджер, растративший деньги компании, и «супер-безопасные» приложения, у которых что-то пошло не по плану.

В статье не исчерпывающий список забавных инцидентов от начИБ, другие случаи читайте в новогодней подборке.

Плавники вверх

Что случилось: аквариумные рыбки слили в открытый доступ данные карты своего хозяина, пока его не было дома.

Как это произошло: японец решил проверить, смогут ли его домашние рыбки самостоятельно проходить игры. Для эксперимента мужчина закрепил напротив аквариума веб-камеру, а также установил ПО, которое следило за движениями его подопытных. Программа фиксировала, когда рыбки плавали по наложенной сетке, соответствовавшей клавишам контроллера. Когда одна из рыбок останавливалась в определенной ячейке, программа засчитывала это как действие и передавала на консоль. Таким образом домашние питомцы японца в 2020 году прошли игру Pokemon Sapphire за 3195 часов.

Но в этот раз эксперимент пошел не по плану. Слив данных произошел, когда хозяина аквариумных киберпреступников не было дома. Сначала игра шла как обычно, рыбки выиграли несколько битв, но в один момент игра вылетела, но, так как мужчины не было дома и исправить ситуацию он не мог, то ПО продолжило регистрировать команды рыбок уже вне игры. Домашние питомцы открыли магазин игр для Nintendo Switch и пополнили баланс хозяина на 270 рублей. Затем рыбки использовали баллы своего хозяина, чтобы купить новую аватарку профиля и изменить имя учетки с «Mutekimaru» на «ROWAWAWAWA¥». Кроме того, в момент кибернарушения рыбки раскрыли данные карты своего хозяина всем зрителям, наблюдавшим за стримом, который явно пошел не по плану.

@labyrinth: «Новость позабавила тем, что напоминает ситуацию с родителями, которые дали маленькому ребенку проиграть с телефоном с привязанной картой, а потом удивляются, почему прошла оплата за какую-то игру или удалились какие-то данные.

Если пользователь предоставляет другим доступ к своим устройствам и данным, то он должен понимать, что «хакнуть» его могут даже рыбки. Инцидент – повод лишний раз задуматься о балансе удобства и безопасности. Конечно, удобно, когда все данные сохранены в одном месте или на устройстве, которое всегда под рукой. Но также эта «удобность» может сыграть с пользователем злую шутку».

Помогу, чем смогу

Что случилось: Apple Watch случайно вызвали группу захвата, скорую и спасателей в спортивный зал.

Как это произошло: инцидент произошел в Австралии в одном из спортивных залов Сиднея. Оказалось, что экстренный звонок поступил от тренера боевых искусств Jamie Alleyne. Анализ экстренного звонка показал, что во время тренировки мужчина случайно зажал кнопку на Apple Watch и активировал Siri. После чего тренер решил снять часы, чтобы они не мешали ему отрабатывать удары с клиентом. Все это время включенный голосовой помощник фиксировал, как тренер отсчитывает удары по груше. Часы распознали в фразе мужчины номер экстренной службы и позвонили диспетчеру. Тот услышал шум, удары, звуки выстрелов и подумал, что человек вооружен. В итоге диспетчер отправила по адресу спортзала скорую и 15 вооруженных полицейских. После этого инцидента тренер решил отключить голосового помощника на своих часах.

@labyrinth: «За подобными инцидентами интересно наблюдать с точки зрения того, получится ИИ в будущем разграничивать действия на противоправные или нет. Я думаю, что есть точка сингулярности, особенно это касается ИБ, когда невозможно отличить противоправные действия от легитимных. Например, не всегда возможно отличить пентестера от взломщика».

«Огненная» социнженерия

Что случилось: телефонный мошенник убедил доверчивого жителя Московской области перевести ему 1.4 миллиона рублей и поджечь отделение банка.

Как это произошло: сначала злоумышленник действовал по «классической» схеме обмана. Он представился жертве сотрудником службы безопасности банка и сообщил, что мужчине срочно нужно защитить свои сбережения от мошенников. Злоумышленник убедил доверчивого мужчину оформить кредит в ближайшем отделении банка и перевести деньги на «безопасный» счет. После «сотрудник службы безопасности» убедил мужчину поджечь банк, чтобы оперативно задержать мошенников. Жертва социнженера убедился, что в отделении банка нет людей и закинул в помещение бутылку с зажигательной смесью. В итоге сотрудники банка потушили пожар, а мужчину забрали в полицию.

@labyrinth: «Этот и многие другие инциденты в очередной раз показывают, насколько доверчивыми могут быть люди. Из подобных факапов сразу вспоминаю, как мужчина по указке мошенника закопал почти 2 миллиона рублей под березой. Тогда злоумышленники убедили мужчину, что на него хотят оформить кредит, поэтому ему нужно действовать на опережение: самому оформить кредит и вырученные средства спрятать под деревом. Береза, видимо, не смутила. Еще один случай произошел с сотрудником Сбера, который почти неделю ходил по банковским отделениям и оформлял на себя кредиты. Он был уверен, что ему звонят реальные безопасники Сбера, а раз коллеги, то не будут же они обманывать. Иногда жертвы телефонных мошенников, действуя из лучших побуждений, становятся их невольными «сообщниками». Так произошло с одной пенсионеркой, которая сначала поверила злоумышленникам и отдала им свои деньги. А потом и вовсе по указке мошенников помогала другим пенсионеркам переводить деньги на «безопасный» счет».

Волшебный кошелек

Что случилось: мошенники украли 4 миллиона долларов в криптовалюте во время офлайн-встречи с жертвой.

Как это произошло: жертвой киберпреступников стал Ахад Шамс - руководитель стартапа Webaverse. Он рассказал, что долгое время преступники выдавали себя за инвесторов, которые готовы вкладываться в проект. Сначала с Шамсом связался адвокат потенциального инвестора, в письме была указана реальная организация. Затем адвокат отправил жертве информацию о своем клиенте, как оказалось позже, информация была фейковая. Но Шамс не заметил подвоха и согласился встретиться с потенциальным инвестором в Риме. Инвестор попросил Шамса подтвердить наличие средств на проект, инвестору было достаточно учетной записи в криптокошельке.

Во время встречи в Риме инвестор попросил перевести 4 миллиона долларов на кошелек. Ахад Шамс оформил перевод и дал инвестору сделать фотографии, где видно, что средства поступили на счет. При этом Шамс утверждает, что никакой информации, с помощью которой можно было перевести деньги, на фото не было. Но волшебным образом деньги пропали со счета. О мошенничестве Шамс заявил в полицию, но расследование идет до сих пор.

@labyrinth: «При тех условиях, что описаны в инциденте, в голове не укладывается, как это могло произойти. Порождаются какие-то фантастические версии, которые можно описать лишь известным мемом».

Голливудские страсти

Что случилось: мошенник прикинулся актером Марком Руффало и обманул известную японскую художницу на 500 тысяч долларов.

Как это произошло: пожилая художница манги Чика Айде рассказала, что однажды к ней в социальных сетях в друзья добавился пользователь, представившийся голливудским актером, известным по роли Халка. В итоге у них завязалось общение, которое продолжалось аж несколько лет. За время переписки художница даже разговаривала с Марком по видеосвязи. Оказалось, что для правдоподобности мошенник использовал Deepfake-технологии. Общение японской художницы и фейкового голливудского актера дошло даже до «неофициальной свадьбы», после чего злоумышленник начал вытягивать из женщины деньги. Художнице пришлось залезть в долги, чтобы финансово помочь фейковому Марку Руффало. Всего она перевела мошеннику 500 тысяч долларов.

@labyrinth: «Сейчас процветает целая индустрия, связанная с фейками. Так, например, похожий инцидент произошел с женщиной из Японии, которая отдала мошеннику 30 тысяч долларов. Жертва социнженерии думала, что переписывается с «русским космонавтом». Мошенник обещал женщине приехать в Японию и жениться на ней. Но чтобы приехать к своей возлюбленной, по словам «космонавта», ему сначала нужны средства для возвращения на Землю. Поэтому он попросил доверчивую даму покрыть его расходы на возвращение домой, включая полет на ракете. Еще одна женщина пострадала от фейкового режиссера, который обещал жениться на ней и устроить ей карьеру актрисы.

Иногда злоумышленники дополняют социальную инженерию дипфейк-технологиями, как было в инциденте с фейковым Марком Руффало. В Китае вообще есть целая индустрия по сдаче экзамена подставными лицами. В будущем такое мошенничество наверняка будет работать и в сторону банков. Уже был прецедент, когда клиент банка Lloyds Bank обнаружил, что может получить доступ к своему счету с помощью ИИ. Пользователь смог обмануть голосовой идентификатор для входа в учетку с помощью генерации своего голоса. 

Но при этом технологии становятся нормой и некоторые компании уже предлагают своим клиентам общаться через аватаров. Например, партнеры компании Ernst&Young решили использовать дипфейки сотрудников для общения с клиентами в онлайн-формате».

Не защитим ваши данные

Что случилось: создатели популярных китайских мессенджеров обманывали пользователей о том, что надежно защищают их данные. Киберисследователи обнаружили несколько миллионов данных пользователей в открытом доступе.

Как это произошло: создатели популярных в Азии приложений JusTalk и JusTalk Kids заявляли, что используют сквозное шифрование. Разработчики также хвалились тем, что их команда не получит доступ к данным пользователей мессенджерами. В сумме «надежные» приложения скачало около 21 миллиона пользователей. Киберисследователи из TechCrunch решили проверить, действительно ли приложения такие безопасные, как заявляют создатели. Специалисты выяснили, что никого сквозного шифрования в приложениях нет, кроме того, обнаруженный кэш содержал несколько миллионов сообщений пользователей JusTalk. Эксперты даже смогли получить доступ к датам отправки сообщений, записям видеозвонков и номерам телефонов отправителей и получателей. Представители TechCrunch, обнаружившие утечку данных из мессенджера, попытались связаться с создателями приложений, но те проигнорировали запрос. Компания не предприняла никаких попыток устранить утечку. 

@labyrinth: «Похожий случай произошел с сервисом для анонимного обмена сообщениями – Whisper. Тогда киберэксперты обнаружили, что кто-то оставил в открытом доступе базу с пользовательскими данными. Доступ к 900 миллионам записей мог получить любой желающий. Еще сразу вспоминается утечка данных пользователей популярного сайта знакомств Ashley Madison. Тогда хакеры взломали компанию, которой принадлежал сайт знакомств. Киберпреступники заявили, что компания лгала пользователям, зарабатывая на них миллионы долларов.

Поэтому, как говорится, доверяй, но проверяй. Даже защищенный сервис для анонимного общения может вам врать про свою защищенность и анонимность, и в конце концов дело закончится утечкой. Если пользователя действительно заботит его безопасность, то ему придется потратить время и разобраться, так ли безопасен сервис или приложение как заявляют разработчики».

Вдруг не заметят

Что случилось: бывшая сотрудница HP потратила 5 миллионов долларов, принадлежащих компании, на сумки, часы и машины.

Как это произошло: Шелби Сето работала финансовым менеджером в компании HP. Женщина должна была заниматься расчетами поставщиков компании с корпоративных кредитных карт. Как оказалось, предприимчивая сотрудница создала несколько аккаунтов в платежных системах и переводила туда корпоративные средства под видом закупки товаров у поставщиков. Чтобы у работодателя не возникало подозрений, Шелби загружала в систему HP поддельные накладные.

Всего женщина совершила несколько мошеннических переводов со счетов HP на сумму 4.8 миллиона долларов. Также с одного из аккаунтов она пыталась вывести 330 тысяч, но банк посчитал эту транзакцию подозрительной.

На украденные у работодателя деньги женщина баловала себя дорогостоящими покупками, вроде электрокара Tesla, внедорожника Porsсhe, сумками от Chanel, Dior, Gucci, Hermes, наручными часами Rolex, Patek Philippe, Audemars Piguet и украшениями Cartier, Tiffany, Gucci, Bulgari, Louis Vuitton и Christian Dior.

Суд признал бывшую сотрудницу виновной в мошенничестве с использованием электронных средств, отмывании денег, подаче ложных налоговых деклараций. Ее приговорили к трем годам тюремного заключения. Также у женщины изъяли сумки, машины, часы и украшения.

@labyrinth:«Инцидент поразителен своей простой и наивностью действующего лица. Сотрудница сразу покупала себе дорогие вещи, но при этом совершенно не задумывалась о том, что обман может раскрыться. Она не думала, что может привлечь внимание налоговой. Похожие инциденты не редкость и для России. Так, например, кассирша одного из отделений «Россельхозбанк» забрала 25 миллионов рублей из банка и скрылась с семьей из города. Позже женщину задержали.

Еще один инцидент произошел с инкассаторской компанией, которая недосчиталась почти 10 миллионов рублей. Оказалось, что сотрудница одного из офисов компании несколько лет заменяла пятитысячные купюры на билеты «Банка приколов». А в Москве сотрудница обменника и вовсе отлучилось с 10 миллионами рублей клиента в хранилище, а в итоге скрылась в неизвестном направлении».

Не держите зла

Что случилось: хакер потребовал у мобильного оператора Optus 1 миллион долларов за украденные данные, а потом передумал и публично извинился.

Как это произошло: в сентябре прошлого года австралийский хакер под ником optusdata опубликовал на одном из форумов запись о том, что получил доступ к данным 10 миллионов пользователей Optus. Утечка содержала такие данные клиентов компании, как: адреса, номера паспортов, номера водительских прав, медицинские страховки и др. Также среди слитых данных оказались электронные адреса работников Министерств обороны и офиса премьер-министра Австралии. Хакер обещал каждый день публиковать по 10 тысяч данных, если Optus не заплатит ему 1 миллион долларов в криптовалюте. Но спустя сутки злоумышленник удалил пост про утечку и выпустил новую публикацию, в которой принес извинения и пообещал удалить все украденные данные.

@labyrinth: «Важно понимать, что даже если инцидент закончился благополучно – это не повод расслабляться и не работать над ошибками. Киберпреступники часто нарушают обещания. Например, во время пандемии хакерские группировки заявляли, что не будут взламывать больницы и мешать их работе, но потом «забывали» свои слова и атаковали медорганизации».