Чого мене навчив досвід роботи у IT-компанії, то це тому, що зламують не машини, а людей.
На які б хитрощі ми не йшли з сучасним програмним забезпеченням, юридичними договорами, інструкціями та бекапами даних, які би надійні датацентри, сініор сисадмінів наші компанії не залучали, найслабшою ланкою залишається звичайна дурна людина. Яка впевнена, що стандартний логін admin та пароль до нього admin на сайті – то надійний захист. Яка не блокує комп`ютер з відкритою обліковою системою вашої компанії та качає «документи» розширення exe, бо у тілі листа написали, що то чек оплати чи документація до тендеру. Яка віддає конфіденційні дані свої чи компанії по першому запиту. Спитай будь-якого нашого сисадміна, і він годинами може розповідати про часом абсурдні ситуації з безпекою, які доводилося розрулювати.
І знаєте, що найприкріше? Коли такою дурною людиною виявляєшся ти. Читаєш хабр та книги Кевіна Мітніка, щодня працюєш пліч-о-пліч з системними адміністраторами… і все одно повелася.
Як так сталося?
Я не буду ховати імена, бо компанія і так про сітьюейшн офіційно написала сама. Кілька тижнів тому мені написав «адмін» Laba. Спитав, чи цікавить співпраця, а я видала своє автоматичне «рекламу не розміщую, вибачте». Слово за слово, він похвалив мій Телеграм-канал, сказав, що типу сам підписаний і таке потрібно розвивати. Спитав, чи цікавить аутсорс-просування, на що відповіла, що я все це роблю самостійно – для досвіду та фану і плюс хотілося б почати з чогось меншого. Натомість він пообіцяв під розміщення на самому каналі Лаби вибити знижку. Тут я зайшла на сторінку самого телеграм-каналу і подивилася, хто адмін. Наче все співпало ask_Iaba, аватарка та опис профілю аналогічні. Я собі подумала, що вартість аж занадто адекватна, і най буде, тим більше, що писати пишу, а просуванням повноцінним майже не займалася. І це ж ну Лаба! Я і з більш «мутними» телеграм-організаціями спілкувалася.
Далі він підтримував зв`язок. Сам відписував, хоч і не питала, що рекламний допис майже готовий, скоро кину. Я казала, що я собі рекламу запланувала на тижні через два, мені не горить, тому вже як вийде. Минув деякий час, і я собі подумала, що варто вже перепитати, які є напрацювання. Тут бачу, що переписки немає. Zero. А щоб ви розуміли, історію переписки в Телеграмі можна спокійно видалити. І для себе, і для людини, з якою спілкувався. Тільки я цього не знала, бо була впевнена, що видаляються повідомлення лише у тебе, коли натискаєш «Delete».
Навіть якщо просити заблокувати рахунок або звернутися до кіберполіції, жодних аргументів на руках не буде. Не зробила скріни одразу – з лігою справедливості не вийде.
Ну тут я зрозуміла, що мене розвели, як кошенятко. Написала, про всяк випадок, Лабі, хоча вже все було зрозуміло і я ні на що не очікувала – хіба на те, що у них є якась додаткова інформація на тему. Я навіть не відчувала себе обуреною, а просто довго сміялась і собі думала варіанти, як взагалі таке вийшло. Так вже у тому житті склалося, що за будь-які цінні знання потрібно платити, і за інших умов таке можна було би назвати воркшопом (тим більше, я платила більші кошти за менш корисні курси).
І шкода, що про кібербезпеку найчастіше розповідають не ті хто зламує, а ті хто «гасить пожежі» після зламу. Мені реально було би цікаво почути версію подій від людини, яка це організувала. Навіть цікавіше, ніж отримати ті кошти назад.
Виявилося все досить просто. Пам`ятаєте мій допис про дивне шрифтове рішення в Борисполі (і інших аеропортах)? Ну так ось. Шахрай створив профіль ask_Iaba, який доста схожий на ask_laba. Все інше ви знаєте.
Рубрика «не роби як я». Які були мої косяки?
- Не читала сам канал. Я зазвичай дивлюся аналітику та читаю деякий час канали, у яких планую розміщувати рекламу. Але тут був бренд, який я знала і про розклад курсів якого я дізнавалася з інших майданчиків, тому я просто подивилася аналітику, навіть не підписавшись. Я навіть не подивилася, яка була (а її не було) реклама у інших телеграм-каналів, бо думала, що все одно зі мною все будуть затверджувати і це ж ну Лаба. Якщо би я заходила і читала (вони з часом опублікували, що отримали застереження про шахрая), то є ймовірність, що хоча би поробила скріни, могла б отримати деталі і передати інформацію, куди треба.
- Я просто продивилася профіль адміністратора, чи він співпадає, але не натиснула «Send Message», бо завтикала за класичний прийом з підміною букви.
- Я була впевнена, що навіть якщо мене «кинуть», то у мене є номер картки (яку можна заблокувати), чек і переписка. Ні, жодної переписки немає. І я вдячна, що про цю штуку я дізналася зараз, а не коли би цим знанням підставила когось з колег.
Як підсумок, зламувати машини не потрібно, коли у людей набагато більше багів та ними можна маніпулювати. Про свій «дебют» я вам розповіла. Якщо ж цікавить, у чому взагалі сутність соціальної інженерії, з якими історіями я та мої колеги ще зіштовхувалася на практиці, які є методи фішингу, ставте лайк на моєму телеграм-дописі. Якщо маєте свої історії, то пишіть – буде дуже цікаво. Якщо не цікаво – ставимо дизлайк, бо як я дізнаюся, що досить з вас історій чужих фейлів. Вдячна за будь-який фідбек.
І все буде добре
Дякую за увагу