Ashtu si shumë gjëra në botën e errët të krimit kibernetik, një kërcënim nga brenda është diçka me të cilën shumë pak njerëz kanë përvojë.
Edhe më pak njerëz duan të flasin për këtë.
Por mua më është dhënë një përvojë unike dhe shqetësuese se si hakerat mund të shfrytëzojnë personat e brendshëm, kur unë vetë u propozova kohët e fundit nga një bandë kriminale.
“Nëse jeni të interesuar, ne mund t’ju ofrojmë 15% të çdo pagese shpërblimi nëse na jepni akses në kompjuterin tuaj.”
Ky ishte mesazhi që mora papritur nga dikush i quajtur Syndicate, i cili më dërgoi një ping në korrik në aplikacionin e enkriptuar të bisedave Signal.
Nuk e kisha idenë se kush ishte ky person, por menjëherë e kuptova për çfarë bëhej fjalë.
Më ofrohej një pjesë e një shume potencialisht të madhe parash nëse do t’i ndihmoja kriminelët kibernetikë të hynin në sistemet e BBC-së nëpërmjet laptopit tim.
Ata do të vidhnin të dhëna ose do të instalonin programe dashakeqe dhe do ta mbanin punëdhënësin tim për shpërblim, ndërsa unë fshehurazi do të merrja një pjesë të të ardhurave.
Kisha dëgjuar histori për këtë lloj gjëje.
Në fakt, vetëm pak ditë para mesazhit të padëshiruar, nga Brazili doli lajmi se një punonjës i IT-së atje ishte arrestuar për shitjen e të dhënave të tij të hyrjes te hakerat, gjë që policia thotë se çoi në humbjen e 100 milionë dollarëve (74 milionë paund) për viktimën bankare.
Vendosa të bashkëpunoja me Syndicate pasi mora këshillën e një redaktori të lartë të BBC-së. Mezi prisja të shihja se si kriminelët i bëjnë këto marrëveshje të dyshimta me punonjës potencialisht të pabesë në një kohë kur sulmet kibernetike në të gjithë botën po bëhen gjithnjë e më me ndikim dhe po shkaktojnë probleme në jetën e përditshme.
I thashë Synit, e cila e kishte ndryshuar emrin gjatë bisedës, se isha potencialisht i interesuar, por duhej të dija se si funksionon.
Ata më shpjeguan se nëse do t’u jepja të dhënat e hyrjes dhe kodin e sigurisë, atëherë ata do të hakonin BBC-në dhe më pas do t’i kërkonin korporatës një shpërblim në bitcoin. Unë do të isha në radhë për të marrë një pjesë të asaj pagese.
Ata e rritën ofertën e tyre.
“Nuk jemi të sigurt se sa ju paguan BBC, por çfarë do të ndodhte nëse do të merrnit 25% të negociatave përfundimtare, ndërsa ne nxjerrim 1% të të ardhurave totale të BBC-së? Nuk do të kishit nevojë të punonit më kurrë.”
Syn vlerësoi se ekipi i tyre mund të kërkonte një shpërblim prej dhjetëra milionësh nëse ata do të infiltronin me sukses korporatën.
BBC nuk ka marrë publikisht një qëndrim nëse do t’i paguante apo jo hakerat, por këshilla nga Agjencia Kombëtare e Krimit është që të mos paguhet.
Megjithatë, hakerët vazhduan fushatën e tyre.
Syn tha se do të isha në radhë për miliona. “Do ta fshinim këtë bisedë që të mos të gjenin kurrë,” këmbëngulën ata.
Hakeri pretendoi se kishte pasur shumë sukses duke arritur marrëveshje me persona të brendshëm në sulmet e mëparshme.
Emrat e dy kompanive që u hakuan këtë vit u ndanë si shembuj të kohës kur u arrit një marrëveshje – një kompani e kujdesit shëndetësor në Mbretërinë e Bashkuar dhe një ofrues shërbimesh emergjente në SHBA.
“Do të habiteni nga numri i punonjësve që do të na jepnin akses,” tha Syn.
Syn tha se ishte një “menaxher kontakti” për grupin e krimit kibernetik të quajtur Medusa. Ai pretendonte se ishte perëndimor dhe i vetmi folës anglisht në bandë.
Medusa është një operacion ransomware-as-a-service. Çdo degë kriminale mund të regjistrohet në platformën e saj dhe ta përdorë atë për të hakuar organizatat.
Sipas një raporti kërkimor nga firma e sigurisë kibernetike CheckPoint, administratorët e Medusës mendohet se veprojnë nga Rusia ose nga një prej shteteve aleate të saj.
“Grupi shmang synimin e organizatave brenda Rusisë dhe Komonuelthit të Shteteve të Pavarura dhe [aktiviteti i tij është kryesisht] në forumet e internetit të errët në gjuhën ruse.”
Syn më dërgoi me krenari një link për një paralajmërim publik të SHBA-së në lidhje me Meduzën, i jashtëmi cili u publikua në mars. Autoritetet kibernetike amerikane thanë se në katër vitet që grupi ka qenë aktiv, ai ka hakuar “më shumë se 300 viktima”.
Syn këmbënguli se ata e kishin seriozisht qëllimin për të bërë një marrëveshje për të shitur fshehurazi çelësat e mbretërisë së korporatës sime në këmbim të një page të majme.
Megjithatë, nuk e di kurrë me kë po flet, kështu që i kërkova Synit ta vërtetonte. “Mund të jeni fëmijë që po bëjnë shaka ose dikush që përpiqet të më fusë në kurth,” sugjerova.
Ata më përgjigjën me një link për adresën e rrjetit të errët të Medusës dhe më ftuan të kontaktoja me ta përmes Tox të grupit – një shërbim i sigurt mesazhesh i dashur nga kriminelët kibernetikë.
Syn ishte shumë e paduruar dhe e rriti presionin mbi mua që të përgjigjesha.
Ata dërguan një link për faqen e rekrutimit të Medusa në një forum ekskluziv për krimin kibernetik, duke më nxitur të filloja procesin e sigurimit të 0.5 bitcoin (rreth 55,000 dollarë) në një marrëveshje depozite.
Në fakt, ata më garantuan këto para të paktën pasi të jepja të dhënat e mia të hyrjes.
“Nuk po bëjmë bllofe dhe as nuk po bëjmë shaka – nuk kemi ndonjë qëllim mediatik, jemi vetëm për para dhe vetëm para dhe një nga menaxherët tanë kryesorë donte që unë t’ju kontaktoja.”
Me sa duket, ata më zgjodhën mua sepse supozonin se kisha mendje teknike dhe akses të nivelit të lartë në sistemet IT të BBC-së (unë nuk e kam). Ende nuk jam plotësisht i sigurt nëse Syn e dinte që unë isha korrespondent kibernetik dhe jo punonjës i sigurisë kibernetike ose i IT-së.
Më bënë shumë pyetje në lidhje me rrjetin e IT-së të BBC-së, të cilave nuk do t’u kisha përgjigjur edhe nëse do ta dija. Pastaj më dërguan një rrëmujë të ndërlikuar kodi kompjuterik dhe më kërkuan ta ekzekutoja si komandë në laptopin tim të punës dhe të raportoja se çfarë thoshte. Ata donin të dinin se çfarë aksesi të brendshëm kisha në IT për të filluar planifikimin e hapave të tyre të mëtejshëm sapo të hyja brenda.
Në këtë pikë kisha tre ditë që flisja me Syn-in dhe vendosa që kisha marrë mjaftueshëm masa dhe kisha nevojë për disa këshilla shtesë nga ekspertët e sigurisë së informacionit të BBC-së.
Ishte e diel në mëngjes, kështu që plani im ishte të flisja me ekipin tim të nesërmen në mëngjes.
Kështu që vonova për të humbur kohën. Por Syn u mërzit.
“Kur mund ta bësh këtë? Unë nuk jam njeri i duruar,” tha hakeri.
«Mendoj se nuk do të jetosh në plazh në Bahamas?» pyetën ata me presion.
Më dhanë një afat deri në mesnatë të hënën. Pastaj u sos durimi.
Telefoni im filloi të më bënte një ping me njoftime për vërtetim me dy faktorë. Dritaret që shfaqeshin vinin nga aplikacioni i sigurisë së hyrjes në BBC, duke më kërkuar të verifikoja nëse po përpiqesha të rivendosja fjalëkalimin e llogarisë sime në BBC.
Ndërsa mbaja telefonin në duar, ekrani mbushej me një kërkesë të re çdo minutë a më shumë.
E dija saktësisht se çfarë ishte kjo – një teknikë hakerash e njohur si bombardimi MFA. Sulmuesit bombardojnë një viktimë me këto dritare duke u përpjekur të rivendosin një fjalëkalim ose hyrje nga një pajisje e pazakontë.
Përfundimisht, viktima pranon ose gabimisht ose i largon dritaret që shfaqen menjëherë. Kështu u hakua Uber në vitin 2022 .
Të ishe në anën tjetër të situatës ishte shqetësuese.
Kriminelët e kishin nxjerrë bisedën relativisht profesionale nga siguria e aplikacionit tim të bisedës dhe e kishin transferuar në ekranin kryesor të telefonit. Më dukej sikur kriminelët trokasin në derën time me agresivitet.
Isha i hutuar nga ndryshimi i taktikës, por shumë i kujdesshëm për të hapur bisedat me ta në rast se klikoja aksidentalisht butonin “pranoj”. Kjo do t’u kishte dhënë hakerave akses të menjëhershëm në llogaritë e mia në BBC.
Sistemi i sigurisë nuk do ta kishte sinjalizuar si keqdashës, pasi do të dukej si një kërkesë normale për rivendosjen e hyrjes ose fjalëkalimit nga unë. Pas kësaj, hakerat mund të kishin filluar kërkimin për akses në sisteme të ndjeshme ose të rëndësishme të BBC-së.
Si gazetar dhe jo punonjës i IT-së, nuk kam akses të nivelit të lartë në sistemet e BBC-së, por kjo ishte prapëseprapë shqetësuese dhe në fakt bëri që telefoni im të ishte i papërdorshëm.
Telefonova ekipin e sigurisë së informacionit të BBC-së dhe si masë paraprake ramë dakord të më shkëputnim plotësisht nga BBC-ja. Asnjë email, asnjë intranet, asnjë mjet i brendshëm, asnjë privilegj.
Mesazhi çuditërisht i qetë nga hakerat erdhi më vonë atë mbrëmje.
“Ekipi kërkon ndjesë. Ne po testonim faqen tuaj të hyrjes në BBC dhe na vjen shumë keq nëse kjo ju shkaktoi ndonjë problem.”
I shpjegova se tani isha i bllokuar nga BBC dhe u mërzita. Syn këmbënguli që marrëveshja ishte ende në fuqi nëse e doja. Por pasi nuk iu përgjigja për disa ditë, ata e fshinë llogarinë e tyre në Signal dhe u zhdukën.
Përfundimisht u rikthyem në sistemin e BBC-së, megjithëse me mbrojtje shtesë për llogarinë time. Dhe me përvojën shtesë të të qenit brenda një sulmi kërcënimi nga brenda.
Një vështrim tronditës mbi taktikat gjithnjë në zhvillim të kriminelëve kibernetikë dhe një që ka nxjerrë në pah një fushë të tërë rreziku për organizatat që nuk e vlerësova vërtet derisa isha vetë në anën tjetër të rrezikut.
