(Не) безопасный дайджест: «теневой» Amazon, деанонимизация полицейских Северной Ирландии и псевдохакеры

(Не) безопасный дайджест: «теневой» Amazon, деанонимизация полицейских Северной Ирландии и псевдохакеры

В традиционном дайджесте – новости об утечках августа. Урожай инцидентов с разглашением конфиденциальной информации богатый: в Австралии чиновники по неосторожности раскрыли данные участников опроса по кибербезопасности, в Северной Ирландии – всех полицейских, а в Индии сотрудник в очередной раз попался на сливе данных.



Школьный автобус для хакера

Что случилось: мошенники украли более 6 миллионов долларов у школ Нью-Хейвена, взломав почту одного из руководителей школьной системы.

Как это произошло: как и многие классические BEC-атаки, эта история началась с компрометации легитимной электронной почты. Жертвой взлома стал операционный директор системы государственных школ Нью-Хейвена Томас Лэмб. Для киберпреступников Лэмб был «идеальной» жертвой, так как он отвечал за согласование платежей из бюджета и отправку их в финансовый департамент мэрии для окончательного утверждения.

Получив доступ к его ящику, злоумышленники с мая по июнь мониторили переписку с вендорами, оказывающими школьной системе различные услуги. До момента обнаружения им удалось 6 раз успешно внедриться в обмен письмами и, притворяясь Лэмбом и подрядчиками, перенаправить переводы на подставные счета. Два украденных платежа на сумму 76 тысяч долларов были предназначены юрфирме Shipman & Goodwin, а остальные четыре на сумму более 5,9 млн – на оплату услуг подрядчика First Student, обслуживающего школьные автобусы. Школьные чиновники обнаружили кражу только 23 июня после того, как First Student поинтересовались, почему не поступили денежные средства. К настоящему моменту они смогли вернуть 3,6 миллиона долларов из украденного, также они рассчитывают, что часть ущерба покроет страховка.

На время проведения проверки финансовой и информационной безопасности мэрия отправила в отпуск одного из сотрудников финансового департамента, а также приостановила все электронные платежи для школьной системы кроме перечисления зарплаты. Последнее помогло предотвратить седьмую мошенническую операцию в начале июля.

Офицеры без прикрытия

Что случилось: в Северной Ирландии случайно были опубликованы личные данные всех офицеров и гражданских работников полицейской службы.

Как это произошло: таблица с персональными данными была по ошибке опубликована в ответ на запрос о предоставлении информации. Она содержала сведения обо всех действующих сотрудниках полиции Северной Ирландии (около 10 тысяч человек): фамилию и инициалы, звание или чин, расположение и подразделение, включая такие чувствительные данные, как наружное наблюдение и сбор развединформации.

Полиция получила обращение от одного из граждан 3 августа с вопросом: «Не могли бы вы сообщить, каково количество офицеров в каждом звании и сотрудников каждого чина?». По недосмотру при подготовке ответа на запрос были получены не сводные данные, а таблица Excel с указанием всех правоохранителей. Через пять дней после получения обращения все материалы вместе с таблицей были опубликованы в общем доступе на специализированном сайте What Do They Know для раскрытия информации в ответ на запрос граждан. Документ провисел онлайн 2,5 часа: через полтора часа после публикации об ошибке доложили помощнику начальника полицейской службы и еще час ушел на то, чтобы удалить файл.

«Это не я, это хакеры»

Что случилось: администратор из канадского муниципалитета попыталась прикрыть кражу более 500 тысяч долларов вымышленной кибератакой и подделкой документов.

Как это произошло: Эмбер Фишер работала в муниципалитете Гилберт-Плейнс, провинция Манитоба, с 2018 года сначала как старший, а затем главный администратор. С сентября 2020 по июнь 2021 она совершила 33 перевода с банковского счета населенного пункта на личный счет на общую сумму более чем 500 тысяч канадских долларов. Инцидент обнаружили летом 2021 года после того, как кредитный союз уведомил муниципалитет о перечислении значительной суммы на счет, зарегистрированный на Фишер. После этого чиновницу отстранили от работы.

Однако Фишер заявила, что она была жертвой кибератаки и якобы по этому делу уже ведется расследование. И спустя неделю после отстранения она вернулась на рабочее место. В конце 2021 года аудиторы муниципалитета несколько раз запрашивали у нее банковские справки, а в январе решили обратиться напрямую к кредитному союзу. Фишер предоставила справки только в марте 2022 года, но позднее выяснилось, что ее версии документов отличались от оригиналов, то есть, вероятно, были подделаны.

Она также предоставила черновик отчета по итогам проверки по подозрению в мошенничестве, вывод которого сводился к непричастности чиновницы. Но у аудиторов возникли вопросы к авторству документа. Когда аудиторы поделились подозрениями с руководством муниципалитета, женщину вновь отстранили от работы.

К очередной проверке была привлечена сторонняя бухгалтерская компания, которая выяснила, что сотрудница перевела на свой счет 532 тысячи долларов, а также выплатила себе 15 тысяч за сверхурочную работу в 280 часов. Гилберт-Плейнс подал иск против Фишер только год спустя, согласно которому она возместила только 17 тысяч и должна еще 515.

«Ваше мнение очень важно для нас (и не только)»

Что случилось: австралийское правительство случайно раскрыло персональные данные участников опроса по теме кибербезопасности.

Как это произошло: предыстория скандальной утечки связана с программой «Киберстраж» (Cyber Warden) – инициативой по повышению компетенций небольших компаний в области защиты информации. Ее инициировал Совет организаций малого бизнеса Австралии (COSBOA) и на подготовительном этапе заказал проведение опроса у агентства 89 Degrees East. В ноябре-декабре 2022 года в исследовании, проведенном онлайн, поучаствовали 2100 человек, как владельцев, так и сотрудников малых компаний.

Но незапланированное раскрытие информации о некоторых участниках опроса произошло значительно позднее, только через полгода. В мае австралийское правительство выделило грант на сумму 23 миллиона австралийских долларов на программу «Киберстраж». Бюджетные средства были выделены без конкурса, поэтому правительству необходимо было отчитаться на различные запросы о программе, которые начали поступать премьер-министру страны.

Правительство направило в ответ на запросы документы по «Киберстражу». Только после того, как материалы были опубликованы на парламентском сайте, обнаружилось, что среди них был и отчет, в котором содержались персональные данные более чем 50 участников опроса: имена, названия компаний и контактные данные.

Аренда авто без водителя

Что случилось: злоумышленники похитили 19 машин, арендовав их с помощью украденных данных.

Как это произошло: 38-летний Тайрелл Оливер и семь его сообщников придумали, как обмануть службу автопроката и при этом не «засветиться». Сначала они добывали украденные данные кредитных карт, а также персональную информацию американцев. Затем Оливер арендовал автомобили, указывая личные сведения третьих лиц. Он платил сообщникам за получение автомобилей. Участники группы прилетали в аэропорты на восточном побережье США и на Среднем Западе и, используя поддельные водительские права и фальшивые кредитные карты, забирали автомобили. Им удалось похитить не менее 19 автомобилей, в том числе внедорожники BMW X7, GMC Yukon и Chevrolet Suburban общей стоимостью более 1 миллиона долларов.

По словам специального агента ФБР, занимавшегося расследованием краж, хотя непосредственной жертвой злоумышленников стал сервис автопроката, изначально подозрения пали на невиновных граждан, на которых сообщники бронировали машины. В июле в окружном суде Сент-Луиса, штат Миссури, против участников группы были выдвинуты обвинения в мошенничестве с использованием электронных средств связи и краже персональных данных.

Распечатанный экзамен

Что случилось: региональный чиновник из Индии во второй раз за 10 лет попался на «сливе» вопросов для экзаменов на госслужбу

Как это произошло: 16 июля Комиссия по отбору персонала индийского штата Одиша планировала провести экзамен на должность младшего инженера для того, чтобы заполнить более тысячи вакансий.

За несколько часов до начала испытания полиция арестовала девять человек в отеле в соседнем штате Западная Бенгалия в связи с утечкой вопросов для экзамена, а мероприятие было перенесено на начало сентября. В конце июля были арестованы еще восемь сообщников включая предполагаемого организатора схемы. Им оказался 35-летний Вишал Кумар Чаурасия – чиновник из управления в Патне, столице штата Бихар. Схема выглядела следующим образом: группа получала бумажную копию экзаменационных вопросов, распространяла ее среди клиентов – кандидатов на позиции, по которым проводилось испытание. Если на экзамене вопросы совпадали с теми, что предоставили злоумышленники, экзаменуемые должны были заплатить половину стоимости услуги сразу и половину после оглашения результатов.

Полиция арестовала и виновника утечки – 53-летнего Вирендру Сингха, который работал в типографии, где печатались материалы для экзамена. На протяжении двух месяцев он общался с лидером группы по телефону и за 5 дней до экзамена подтвердил, что сможет предоставить вопросы. Затем в работу включились и другие сообщники, отвечавшие за распространение распечаток по клиентам – именно распространителей арестовали непосредственно перед экзаменом.

Оказалось, что организатор схемы Вишал Кумар Чаурасия уже во второй раз попадается на мошенничестве с экзаменационными вопросами. Ранее он уже был замечен в аналогичном инциденте – утечке материалов к экзаменам в полицию, который проводила Центральная комиссия по отбору персонала в 2013-2014 годах. А его главного сообщника Биендра Кумара арестовывали за такие махинации уже дважды – в связи с утечками в штате Мадгиа Прадеш в 2013-2014 годах.

«Пробив» через Amazon

Что случилось: в Telegram обнаружен канал по продаже инсайдерских услуг на платформе Amazon.

Как это произошло: журналисты CNBC разобрались, как работает черный рынок посреднических услуг для продавцов на Amazon на примере Telegram-канал Amazon Magic. Через этот канал с 13 тысячами участников, а также через другие группы в соцсетях и мессенджерах, владельцы сторонних магазинов могут в обход официальных процедур решать проблемы, связанные с работой на маркетплейсе.

За 200-400 долларов желающие могут заказывать такие услуги, как быстрое восстановление временно отключенного за нарушения магазина, удаление негативных отзывов, получение информации о конкурентах. Например, согласно прейскуранту, за 180 долларов владелец может получить скриншот профиля своего магазина из Paragon, внутренней системы Amazon, и, узнав таким образом причины временного отключения, составить апелляцию.

Посреднические услуги востребованы в связи с тем, что формальная процедура восстановления аккаунта может растянуться на месяцы, что непозволительно долго для бизнеса. Согласно расследованию, услуги предоставляют не сами сотрудники Amazon, а посредники, которые ищут инсайдеров через LinkedIn. Срок оказания теневых услуг может занимать несколько рабочих дней.

Хотя Amazon заявляет, что в курсе существования черного рынка и взаимодействует с Telegram и другими сервисами для удаления посреднических групп, проблема остается актуальной уже несколько лет, а инсайдеры редко получают наказание.

ИБ‑совет месяца: киберпреступники и инсайдеры «трудятся» без каникул и отпусков – усердно и системно ищут дыры в безопасности как малых компаний, так и крупного бизнеса. А значит, защита от внутренних и внешних угроз ИБ – первостепенная задача для компаний! Как снизить риски инцидентов и уменьшить ущерб от них, расскажут наши эксперты во время ежегодной серии практических конференций Road Show SearchInform с 26 сентября по 21 ноября. В программе 26 городов РФ и СНГ, присоединяйтесь!

дайджест ИБ инсайдер информационная безопасность СёрчИнформ утечки
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Бэкап знаний создан успешно!

Храним важное в надежном месте

Синхронизируйтесь — подпишитесь

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.