Как социальный инженер присоединиться к Bitfinex
В 2019 году Илья Лихтенштейн и Хизер Морган выступили с речью в стиле TED о том, «как использовать социальную инженерию, чтобы попасть во что угодно»: теперь им грозит 25 лет тюрьмы за украденные биткойны на сумму более 4,5 миллиардов долларов, начиная с Bitfinex. 2016.
Ранее на этой неделе Лихтенштейн и Морган были арестованы в Нью-Йорке и обвинены в попытке отмывания биткойнов на сумму 3,6 миллиарда долларов, украденных хакерами в результате взлома Bitfinex в 2016 году, по данным Министерства юстиции США . Эти средства были конфискованы Министерством юстиции, которое намеревается вернуть украденные биткойн-средства Bitfinex и жертвам взлома.
Теперь, почему это беспокоит?
Была ли речь Моргана в 2019 году ссылкой на взлом Bitfinex?
Давайте вернемся в 2019 год, когда нью-йоркская пара выступила с речью под названием «Как стать социальным инженером, чтобы попасть во что угодно» на Нью-Йоркском шоу.
Во время получасовой беседы Морган предлагает примеры мощных методов социальной инженерии и проникновения, которые можно использовать, чтобы манипулировать кем-то, чтобы он разглашал информацию или совершал действия, которые он «иначе не сделал бы».
Несмотря на неуклюжую неуклюжесть своего альтер-эго рэпера Раззлхана, Морган действительно умелый и ясный оратор. Его речь приводит в восторг нью-йоркскую аудиторию, которая в разные моменты взрывается спонтанным смехом или аплодисментами.
Возможно ли, что концепция социальной инженерии Моргана дает ключ к пониманию того, как эти средства были получены в первую очередь?
Эту теорию наверняка предлагает Эрик Уолл , директор по инвестициям Arcane Assets . В среду в твиттере Уолл предположил, что причина, по которой точная природа эксплойта Bitfinex никогда не была обнародована, может заключаться в том, что обстоятельства кражи были « смущающими ».
«Люди в [крипто-твиттере], похоже, решили, что взлом произошел очень сложным техническим способом, но доказательств этому нет», — сказал Уолл. «И люди также, кажется, забывают, насколько мощной может быть социальная инженерия, если вы умны».
Уолл предполагает, что если бы кража была чисто технической, подробности были бы предоставлены, поскольку это помогло бы Bitfinex «устранить внутренних подозреваемых».
Это правда, что точная природа подвига так и не была раскрыта, но недавние события, похоже, вновь разожгли старые распри и раны.
BitGo обвиняет Bitfinex
Чтобы отпраздновать арест Моргана и Лихтенштейна, крупные игроки Bitfinex и поставщик их кошельков эпохи BitGo решают устроить публичную перепалку в Твиттере.
Генеральный директор BitGo Майк Белше пояснил , что BitGo «не был взломан или взломан в результате инцидента», и вместо этого обвинил Bitfinex в «нарушении между несколькими системами и людьми».
Если бы взлом был спровоцирован с помощью социальной инженерии, ключевым элементом, очевидно, были бы люди. Зейн Такет, который был директором сообщества Bitfinex в 2016 году, сказал несколько слов о наблюдении Белше.
«Давайте проясним, вы говорите, что битго (системы или люди) не подвергались компрометации в этот период или примерно в это время? Никто из высокопоставленных лиц, может быть, техников высшего уровня не был взломан? Они все использовали 2fa, верно?»
«Мы оба знаем, что основной причиной было нарушение системы bitfinex», — ответил генеральный директор BitGo Майк Белше. «Bitgo был бы рад сотрудничать с bitfinex, чтобы опубликовать полную вскрытие этого события».
Поскольку температура, похоже, повышается, неясно, было ли предложение Белше опубликовать полное вскрытие ближе к игре в курицу, чем к примирительному акту готовности. Может быть много недостатков, которыми можно поделиться.
Понятно, что, поскольку Bitfinex и BitGo указывали людей в своей критике безопасности друг друга, вероятно, были задействованы некоторые элементы человеческой ошибки и / или эксплуатации.
Как социальный инженер пробиться во что угодно
Это август 2019 года, и Морган находится на сцене мероприятия «Нью-Йоркский салон», чтобы представить хакерское мероприятие своих людей «Как стать социальным инженером, чтобы попасть во что угодно».
NYC Salon описывает себя как «серию спикеров, стремящихся быть «TED с друзьями»» и описывает содержание мероприятия следующим образом (курсив добавлен):
«Социальная инженерия — это акт манипулирования кем-либо с целью разглашения информации или совершения определенного действия. Хотя это часто имеет негативный оттенок в кибербезопасности, есть гораздо менее зловещие случаи, когда вы можете использовать его для улучшения своей жизни, от знакомств и поиска работы до журналистики, продаж и предпринимательства».
В частности, организаторы мероприятия объяснили виды экспертизы и опыта, которыми обладает Морган:
«Узнайте из первых уст, как Хизер Р. Морган попала на эксклюзивные вечеринки и дорогие политические сборы средств, проникла на черные рынки по всему миру и построила отношения со знаменитостями-миллиардерами и руководителями. даже самые одинокие и самые высокопоставленные люди и получить ответ и что делать, чтобы выбраться из пробки».
Морган берет микрофон и начинает один из своих печально известных рэпов, в том числе печально известную строчку «Крокодил с Уолл-стрит». Хизер Морган продолжает представлять себя экспертом по продажам, холодным электронным письмам и ссылкам на свой рэп-персонаж и свои журналистские полномочия.
«Социальная инженерия по своей сути… я ненавижу термин «манипулирование», — говорит Морган в своем программном выступлении. «Это заставляет кого-то делиться информацией или предпринимать действия, которые в противном случае они бы не сделали».
Несмотря на свое презрение к этому термину, процесс, который Морган продолжает описывать, звучит очень похоже на манипуляцию.
Морган перечисляет некоторые места, где она социально адаптировалась, в том числе дворец барона в Египте. Она объясняет, как после того, как ее поймал нарушивший правила охранник, как она и ее друг с помощью сигареты и взятки в размере примерно 1 доллара наличными смогли убедить охранника подвезти их.
Среди других подвигов — срыв китайской свадьбы и появление в утреннем телешоу.
Многое из того, что представляет Морган, глупо и забавно и включает в себя такие подвиги, которые могли бы стать забавным анекдотом на званом обеде, но ясно, что в «социальной инженерии» есть некоторые более темные искусства, с которыми Морган не чужд.
«Как вы собираетесь повлиять на [людей]? Лучше иметь более одного пути. Вы можете влиять на людей разными способами, вы можете воздействовать на них лестью, вы можете повысить их ценность, вы можете развратить их… вы также можете воздействовать на них страхом, — добавляет Морган, — Страх — очень деликатная тактика. разозлитесь, вас могут вызвать в полицию, но если вы сделаете это правильно и искусно, это может сработать очень, очень хорошо.
Морган сообщает, что одним из его ключевых методов проникновения является исследование не только целевой компании, но и личной жизни людей в этой организации. Важно отметить, что он утверждает, что отслеживает профили в социальных сетях, чтобы узнать, что нравится этим людям. Эта информация может помочь в построении отношений и быстром завоевании доверия человека.
Следующий большой разговор
Презентация Моргана завершается последним слайдом: « Наконец, как социальный инженер [так в оригинале] может сам выйти из плохой ситуации ?»
По иронии судьбы, это единственный элемент речи, который пропускает Морган, вместо этого предпочитая отвечать на вопросы аудитории. Учитывая нынешнее положение Моргана и Лихтенштейна, возможно, мастер-манипулятор захочет вернуться к этой теме.
Если паре удастся сбежать из тюрьмы, несмотря на внимание Министерства юстиции, название их следующей большой речи должно написаться само собой.
Что вы думаете об этой теме? Напишите нам и расскажите !
Пост « Как создать социальную инженерию на пути к Bitfinex» впервые появился на BeInCrypto .