Мы можем обеспечить вам пенсию»: как репортёра BBC пытались завербовать киберпреступники

Переводчик Google

Как и многое в теневом мире киберпреступности, угроза со стороны инсайдера — явление, с которым сталкиваются немногие.
Ещё меньше людей готовы говорить об этом открыто.

Недавно я сам получил уникальный и тревожный опыт того, как хакеры могут использовать инсайдеров: мне сделали предложение стать их сообщником.
«Если вам интересно, мы можем предложить вам 15 % от суммы выкупа, если вы дадите нам доступ к вашему компьютеру».
Такое сообщение я получил в июле от человека по имени Syndicate («Синдикат») в зашифрованном мессенджере Signal.
Я не знал, кто это, но сразу понял суть предложения.
Мне предлагали долю от потенциально крупной суммы денег за помощь киберпреступникам в получении доступа к системам BBC через мой ноутбук.
Хакеры планировали украсть данные или установить вредоносное ПО, затем потребовать выкуп у моего работодателя, а мне тайно досталась бы часть прибыли.

Первые переговоры​

Я слышал истории о подобных попытках.
Всего за несколько дней до этого сообщения из Бразилии пришла новость: там арестовали IT-сотрудника, продавшего свои учетные данные хакерам. По версии полиции, это привело к потере 100 миллионов долларов (74 млн фунтов стерлингов) у банка-жертвы.

Посоветовавшись со старшим редактором BBC, я решил продолжить переписку — чтобы понять, как преступники строят сделки с потенциально неблагонадёжными сотрудниками в эпоху, когда кибератаки становятся всё более разрушительными.

Я написал «Синдикату», что, возможно, заинтересован, но хочу узнать, как всё будет происходить.

Хакер объяснил: если я предоставлю свои логин-данные и код безопасности, они взломают BBC и потребуют выкуп в биткойнах.
Мне полагалась бы часть выплаты.

Потом предложение улучшили.
«Мы не знаем, сколько платит вам BBC, но как насчёт 25 % от итоговой суммы? Мы планируем запросить 1 % от общего дохода BBC. Вам больше не придётся работать».
По оценкам Syn (так он сократил свой ник), их команда могла бы требовать выкуп в десятки миллионов.
1759238222515.webp


BBC публично не заявляет, будет ли платить выкуп, но Национальное агентство по борьбе с преступностью Великобритании (NCA) рекомендует не платить.
Тем не менее злоумышленники продолжали уговаривать.

«Давайте будем честны: BBC платит вам не так уж много. Мы можем обеспечить вам безбедную жизнь», — писали они.
Syn уверял, что за мной «закроют следы», чат будет удалён, и никто не сможет доказать моё участие.

Опыт прошлых атак​

Хакер утверждал, что у них уже был успешный опыт «сотрудничества» с инсайдерами.
Он назвал две реальные компании, которые в этом году подверглись атакам: британскую медицинскую организацию и американскую службу экстренной помощи.

«Вы удивились бы, сколько сотрудников готовы предоставить нам доступ», — уверял он.
Syn представился «менеджером по связям» преступной группировки Medusa.
Он говорил, что является единственным англоязычным участником команды.

Кто такие Medusa​

Medusa — это оператор программы-вымогателя (ransomware-as-a-service).
Любой криминальный партнёр может зарегистрироваться на их платформе и использовать её для атак.

По данным компании CheckPoint, администраторы Medusa, вероятно, находятся в России или в союзных ей государствах.
Группа избегает атак на территории России и стран СНГ, а активность ведёт в основном на русскоязычных даркнет-форумах.

Syn даже прислал ссылку на публичное предупреждение властей США о Medusa.
Согласно официальным данным, за четыре года существования группа атаковала «более 300 жертв».

Проверка «серьёзности»​

Чтобы убедить меня, что это не шутка, Syn отправил ссылку на даркнет-сайт Medusa и предложил связаться через Tox — популярный у преступников мессенджер.

Он проявлял нетерпение и подталкивал меня к ответу.
Хакер также прислал ссылку на страницу «набор персонала» на закрытом киберпреступном форуме и предложил оформить «депозит» в размере 0,5 биткойна (около 55 000 $) — якобы гарантию выплаты после передачи учётных данных.

«Мы не блефуем, мы только ради денег. Один из наших главных менеджеров попросил связаться с вами», — писал он.
По его словам, выбор пал на меня потому, что я «технически подкован» и имею высокий уровень доступа к ИТ-системам BBC (на самом деле это не так). Вероятно, он даже не понимал, что я — журналист по вопросам кибербезопасности, а не сотрудник IT-службы.

Хакер задавал множество вопросов о внутренней сети BBC, присылал фрагменты кода и просил выполнить их на рабочем ноутбуке, чтобы выяснить мой уровень доступа.

Давление и «MFA-бомбардировка»​

Мы общались уже три дня, и я решил остановиться и проконсультироваться с командой информационной безопасности BBC.
Планировал обсудить всё утром, поэтому тянул время.

Syn начал злиться:
«Когда вы сможете это сделать? Я не самый терпеливый человек».
«Видимо, вы не хотите жить на пляже на Багамах?»
Он поставил крайний срок — полночь понедельника.

Затем началась новая атака: мой телефон заполнили бесконечные всплывающие уведомления двухфакторной аутентификации.
Это известная техника MFA bombing — многократные попытки входа вызывают шквал запросов на подтверждение, и жертва может случайно нажать «Принять».

1759238249494.webp


Именно таким образом в 2022 году был взломан Uber.

Чувство было тревожным: казалось, будто преступники «стучат в дверь» моего дома.
Я не открывал чат, опасаясь случайно подтвердить вход, что дало бы хакерам прямой доступ к моим аккаунтам BBC.

Чтобы исключить риски, мы с командой безопасности временно полностью отключили мой доступ к корпоративным системам — без почты, интранета и любых прав

Неожиданное «извинение»​

Позже тем же вечером хакеры прислали удивительно спокойное сообщение:
«Команда приносит извинения. Мы тестировали страницу входа BBC и крайне сожалеем, если это доставило вам неудобства».

Они настаивали, что предложение остаётся в силе, но после нескольких дней моего молчания удалили аккаунт в Signal и исчезли.
Вскоре мой доступ к системам BBC был восстановлен с дополнительными мерами защиты.
У меня остался бесценный опыт — и тревожное понимание, как именно преступники пытаются превратить сотрудников в «точку входа».

Выводы​

Эта история показывает:
  • Киберпреступники активно вербуют сотрудников компаний, предлагая огромные суммы и гарантируя анонимность.
  • Современные банды действуют как настоящие корпорации: у них есть «рекрутеры», «депозитные» схемы и собственные сервисы.
  • Давление может быть как психологическим, так и техническим — через атаки на многофакторную аутентификацию.
Даже сотрудники без привилегированного доступа могут стать целью.
Организациям необходимо обучать персонал, внедрять надёжные системы MFA и создавать каналы для безопасного сообщения о подозрительных контактах.

Источник
 
Последнее редактирование:
Переводил через ИИ?
Интересно, что фразу
он не осилил. Казалось бы, "блефуем" - нормальное такое слово :)
 
Назад
Сверху Снизу