O grupie UGNazi pisaliśmy na Niebezpieczniku już kilka razy. Jej lider, Cosmo, został niedawno zatrzymany przez FBI. Ma 15 lat, a swoimi zdolnościami socjotechnicznymi udało mu się skutecznie ominąć zabezpieczenia Google, Amazona, Apple, CloudFlare’a i PayPala…
Cosmo degenerat
Jak pisze o nim redaktor Wired (tak, ten którego niedawno zhackowano, przejmując jego konto na Twitterze i kasując zdalnie dane z jego Macbooka), Cosmo to tak naprawdę piętnastolatek, wandal, złodziej, kłamca i szkolny wyrzutek mieszkający ze swoją babcią.
Zanim został aresztowany, Cosmo opowiedział trochę o sobie. Wspomniał, jak to inni “hackerzy” SWAT-owali jego dom (popularny żart, polegający przekonaniu operatora telefonu alarmowego, aby wysłał jednostkę specjalną SWAT pod dom ofiary np. pod pretekstem przetrzymywania tam zakładnika). Wyjasnił także jak zaczął swoją przygodę z atakami komputerowymi: wszystko zaczęło się od resetowania haseł do usługi Netflix — Cosmo odkrył, że wystarczyło znać login i e-mail ofiary, aby móc telefonicznie ustanowić nowe hasło do konta. Potem okazało się, że w podobny sposób można zresetować hasła na Amazonie i iCloudzie… Wystarczyły telefony i dobra “historyjka”.
PayPal hacked
Okazuje się, że Cosmo znalazł również słabość w procedurze resetu hasła na PayPal.com. Aby móc zresetować hasło, należało podać numer telefonu oraz numer rachunku bankowego powiązany z kontem. Ale jak je zdobyć?
Wystarczyło zadzwonić na infolinię PayPala i dodać do konta ofiary swój rachunek bankowy (np. wygenerowany online na eTrade.com przy użyciu FakeNameGeneratora) oraz swój numer telefonu (np. darmowy alias na Google Voice). Oczywiście dodanie informacji do czyjegoś konta wymaga znajomości “sekretu” — są nim 4 ostatnie cyfry karty kredytowej powiązanej z kontem. Te dane, można zdobyć z Amazonu (o ile ofiara ma tam konto). PayPal już zamknął tę lukę, nazywając ją “tymczasowym oknem, które istniało ze względu na testy produktu“. Yeah, right.
Cosmo aresztowany
Cosmo został zatrzymany przez FBI. Wydaje mu się, że powodem jest zhackowanie WHMCS i opublikowanie w internecie bazy kart kredytowych. Nie podejrzewa, żeby CloudFlare maczało palce w jego aresztowaniu — i zdradza, że dzień przed atakiem dzwonił do prezesa CloudFlare, żeby powiedzieć mu co się święci, ale ten rozłączył się….
Czy Cosmo, przypomnijmy — mający 15 lat — trafi do więzienia? Jeśli tak, to na jak długo?
Cosmo socjotechnik
Podsumowując działania Cosmo, można rzec, że kluczowym elementem jego ataków było zbieranie informacji na temat swoich ofiar. Od numerów ubezpieczeń (SSN) po adresy e-mail. Następnie nastolatek wykorzystywał te dane w procedurach resetu haseł oferowanych przez różne serwisy internetowe.
Wskazówki Cosmo dla socjotechników?
Podawaj wszystkie dane które znasz od razu — jeśli wymagany jest tylko kod pocztowy, a znasz cały adres, podaj go — to sprawi, że będziesz postrzegany jako bardziej wiarygodny. Prawie każdy się na to nabierze, chyba że był szkolony z ochrony przed atakami socjotechnicznymi. Niestety większość firm nie szkoli swoich pracowników — dodaje Cosmo.
Morał z historii jest taki: gimnazjaliści nie potrzebują superumiejętności aby “zhackować” daną usługę. Wystarczy, że są w stanie znaleźć błędy typu business logic (np. w telefonicznym resecie hasła) — a do tego jak widać, niekiedy wystarczy dość dobrze opanowana w tej grupie wiekowej umiejętność wykręcenia numeru telefonicznego…
