A kiberbiztonsági szakértő, akit feltörtek – Scott Schober igazi története
Mi késztette, hogy újra Hacked-et írj?
Kisvállalkozás tulajdonosként és biztonsági szakértőként naivnak gondoltam, hogy immunis vagyok a számítógépes hackelés ellen. Végül is rendszeresen bemutattam a biztonsági eseményeken, gyakran írtam a témáról, és megtanítottam másoknak, hogyan kerüljék el az online támadásokat. Miután újra és újra csapkodott vállalkozásomra, azt tapasztaltam, hogy megosztom a történetemet a kollégákkal abban a reményben, hogy meg tudják védeni magukat. Minél többet osztottam meg tippeket és leckéket, annál több ember kérte, hogy javasoljak egy könyvet az összes ilyen információval. Mivel nem találtam olyan könyvet, amely elmondta a történetemet, és tartalmazta volna az összes biztonsági tudást, amelyet a feltörés óta összegyűjtöttem, úgy döntöttem, hogy csak azt írom magam,.
Milyen új ismereteket szereztél a Hacked Again írása közben?
A könyv írása sokkal nagyobb kihívást jelent, mint azóta álmodtam, és mindenféle író iránti nagy tiszteletet adott nekem. Közel két év írása után megkezdtem a szerkesztési folyamatot. Gyorsan megtanultam annak fontosságát, hogy bízzak a történetemben és a hangjában ahhoz, hogy ragaszkodhassak a központi tézishez. Hozzá tudtam volna még sok fejezetet és részletet hozzáadni, de ha elvonnám az figyelmemet, akkor az az olvasóim is lenne.
Azt is gyorsan fel tudtam venni, hogy mi élvezi az olvasókat és mire számítanak, és fejezeteket mutatnak be blogok, beszélgetési pontok és élő előadások formájában. Ez az azonnali visszajelzés felbecsülhetetlen értékűvé vált, valamint a testvéremtől, aki tehetséges író és hangszóró, kapott visszajelzéseket.
Amellett, hogy nagyszerű érzés volt az, ha valóban láttam a könyvemet az Amazonon és a Barnesen & Nemes, képes voltam több ezer emberrel kapcsolatba lépni a világ minden tájáról a történetemmel. Ezen személyek közül sokat soha nem találkoznék, ha nem a könyvemért lenne. Olyan sokan hívták fel, e-mailben küldték el és tweetelték gondolataikat, kritikáikat és elismeréseiket. Sokan továbbra is kérdezik a következő könyvemről, ezért elkezdtem dolgozni egy „Hacked Again – Learns Lessons” című nyomon követésen, amelyet az év végére kellene megjelentetni. A könyvírás egyik legnagyobb előnye a váratlan lehetőségek. A könyv óta egyre igényesebb szakértővé váltam & előadó, a választott kiberbiztonsági témákról.
A Hacked Again megvásárolható a Scott webhelyén vagy az Amazonon. Az alábbiakban a könyv első fejezete található.
1- fejezet: Készpénz az matracon
A kisvállalkozások versenyképességéhez igazodniuk kell egy erős bankhoz. Ez lehetővé teszi a társaságok számára, hogy kölcsönt szerezzenek, számlákat fizetjenek és megbízható forrást tartsanak fenn az értékes pénzeszközök biztonságos tárolása érdekében, üzleti vállalkozásuk növekedésével. Szüleim, Gary és Eileen Schober 1973-ban nyitották meg a Berkeley Varitronics Systems (BVS) bankszámláját a New Jersey-i Edisonben, a New Jersey Bankban, amikor csak négy éves voltam..
A BVS volt az egyik legelső vállalati számla, amelyet a United Jersey Bankban nyitottak meg. Akkoriban nem volt szokatlan, hogy egy bankba sétáltunk, ahol mindenki másokat ismerte és keresztnévben volt. Ez magas szintű kényelmet biztosított abban, hogy tudta, ki figyeli a pénzt. A bizalom hallható szintje volt akkor, amikor
látta azokat az ismerős arcokat, és biztonságban érezte magát.
A BVS tovább növekedett, és a United Jersey Bank is növekedett. Az Egyesült Jersey végül megvásárolta riválisát, a Summit Bank-t a New Jersey-i Summitból, de megtartotta a Summit nevét. A 2000-es évek elején a Flott Boston megszerezte a Summit Bank nevét, és Fleet Bank nevet tartotta New Jersey-ben. 2005-re a Bank of America (BoA) egy nagy tranzakció során megvásárolta a Fleet Bankot. Mondanom sem kell, hogy a barátságos helyi bank, amelyben a BVS évtizedek óta megbízott, jelentősen megváltozott: ez most egy bank góliátja, egyáltalán nem emlékeztetve a személyre szabott kisvállalkozói kezdeti időkre.
2012-ben a BVS tovább bővítette vezeték nélküli biztonsági kínálatát a biztonsági szakemberek számára, és számos tanácsadási kérést kaptam azokról az eszközökről, amelyeket a vezeték nélküli veszélyek leküzdésére javasolnék, valamint általános kérdéseket vettem fel a kisvállalkozások biztonságának megőrzése érdekében..
Amint megoldásaink és tanácsaink eljutottak a mainstream rendszerbe, a hackerek célpontját is találtuk magunknak.
A megosztás és a segítség mindig is alapvető fontosságú volt az én nevelésem során. A hackerek valószínűleg értékelik a hackerek társaitól kapott tanácsokat és szkripteket, de biztosíthatom, hogy nem értékelnek senkit, aki megnehezíti a hackelést azáltal, hogy tanácsot ad a vállalkozások hackektől való védelmére. A nehéz utat akartam kideríteni.
2012 végén volt, amikor bejelentkeztem a BVS Bank of America (BoA) számlájára, és több ismeretlen tranzakciót vettem észre. Mivel több betéti kártya volt, amelyet a vállalati tisztviselők használtak utazási és kiállítási költségekre, úgy gondoltam, hogy a díjak jogszerűek, bár számomra ismeretlenek. Átfogóbb vizsgálat során azonban számos olyan díjat találtam, amelyek olyan államokból származnak, ahol nem álltak rendelkezésre kiállítások. Valami nem jött össze. A szemem elkezdett letapogatni a képernyőt, és számtalan ismeretlen terhelés tranzakcióját látta számlánkon. A hitetlenkedést gyorsan undor követte, és kihúztam az egyetlen dolgot, amit előttem láttam, és utoljára, amit hallottam:
“Megcsaptak minket.”
Azonnal felhívtam a helyi BoA Edison képviseletünket, ahol évtizedekkel foglalkoztunk, és beszámoltam a jogsértésről. Nem tűntek olyan idegesnek, mint én, és azt mondták, hogy az ág nem tehet semmit. Azt javasolták, hogy hívjam fel a csalási osztályukat, hogy jelentsék a jogsértést. Gyorsan felhívtam a BoA csalási osztályt, és számos kérdést feltettem a hitelesítő adataim érvényesítésére, mielőtt biztosítékot kaptam arra, hogy gondoskodnak a jogsértésről és visszakapják pénzünket. Gondolkodtam azon, hogy mi történt. Annak ellenére, hogy 10 000 dollárt loptak el, ez mégis fájdalmas próbálkozás volt, amit soha többé nem akartam elviselni. A folyamat során több levél írása volt a banknak és a hitelkártya-kibocsátónak, valamint a törvényes tranzakcióinkról szóló számlák másolatainak benyújtása, így a
a csalók kitűnnek, mint egy fájó hüvelykujj.
Hiányos a tranzakciók jogosulatlan bizonyítása, mivel soha nem létezik olyan dokumentum, amely igazolná azt, amit nem tett. Ez a folyamat, bár hosszadalmas és zavaró, értékes leckét jelentett nekem, mint egy kisvállalkozás tulajdonosának: Alapvető fontosságú az összes banki és ügyfélszámla másolatának megőrzése, hogy ha valaha is megsértik a jogsértést, gyorsan dolgozzon annak megoldásában. jól szervezett dokumentumok az ügy alátámasztására. Végül átugrottuk a bank összes gömbjét, és három hosszú hónap után az ellopott pénzeszközök száz százalékát kaptunk vissza.
E három hónap alatt nem tudtuk használni a társaságunk betéti kártyáit, és vártuk, amíg új kártyákat adnak ki. A hitelkártya-tranzakciók során az említett lejárati időszakban a személyes kártyámat vásároltam és a BVS megtérítette. Ez rossz ötletnek bizonyult, mivel a személyes hitelkártyám is veszélybe került.
Rájöttem, hogy nemcsak a tipikus fogyasztót célozzam meg, hanem azt is, hogy a hackerek mind a vállalataimat, mind engem kiberbiztonsági szakértőként célozták meg..
Ez személyes volt.
Mielőtt továbbmennék, gyorsan szeretnék tisztázni néhány kifejezést:
Szinte minden hitelkártya-felhasználó megtapasztalta, amit a bankok és a kártyakibocsátók csalásnak hívnak, ezért vannak csalási osztályok. De valószínűleg nem veszi észre, hogy ezek a csalások és lopások az összes hackerek által elkövetett csapások eredményei. Lehet, hogy nem ezek a hackerek képei, amelyeket a népszerű filmeken és a TV-n keresztül ismertettünk meg a gonosz bűnözőkről, akik egész nap a terminálok előtt ültek, és valamilyen fenék alagsorban kódot írtak. A hackereknek valójában nem is kell számítógépük, csupán néhány alapvető szociális készség és a bátorság, hogy valaki más pénzét vagy személyazonosságát ellopják maguk számára. A szociáltechnika hatékony taktikai hackerek alkalmazása, amely magában foglalja az egyének becsapását, hogy megtörjék a szokásos biztonsági eljárásokat. Amikor valaki hitelkártyáját használ jogosulatlan vásárlásra egy kiskereskedelmi üzletben vagy egy weboldalon, társadalmilag megtervezte a helyzetet, hogy becsapja az üzletet, hogy azt hitte, hogy te vagy. Néhányan inkább egy játéknak vagy egyszerű lopásnak tekintik, de nem hibáznak: ezek a tolvajok embereket és politikákat manipulálnak annak érdekében, hogy a minden mögött rejlő technológiát irányítsák. Ez a hackelés lényege.
A BVS-hack kivizsgálása során rájöttünk, hogy betéti kártyánk sérült (azaz a hackerek ellopták a betéti kártya-adatainkat, amikor online vásároltunk elemeket) egy olyan webhelyen, amelyet általában nem gyakori.
A jogosulatlan terhelések megjelentek az egész bankszámlakivonaton.
A hackerek elvitték a hitelkártya-hitelesítő adatainkat és eladták őket a sötét interneten, más áldozatok ezreinek veszélyeztetett hitelesítő adataival együtt. A sötét webes kifejezés a webes tartalom azon részére vonatkozik, amelyet a szokásos keresőmotorok nem indexelnek, és általában a hackelésnek és az illegális cyberactivitásoknak tulajdonítják..
A számítógépes keresők fórumokon kereshetnek a sötét interneten olyan egyének számára, akiket meg akarnak célozni, és valószínűnek tűnt, hogy a nevem szerepel a listájukban.
Könyörtelenül arra buzdítottam a bank csalási osztályát, hogy magyarázza meg, mit tehetnénk másként a jogsértés megakadályozása érdekében. Hangsúlyozták, hogy csak olyan cégekkel kell foglalkoznunk, amelyeket ismerünk és múltban együtt dolgoztunk. A BoA ennek a kijelentésnek az iróniája nem tűnt el. Itt egy olyan bankmal van dolgunk, amelyet szokásosan alaposan ismerünk, és számos névváltoztatás, kivásárlás és egyesülés révén valódi idegenné vált a BVS számára, bármilyen célból és célból. Most azt mondják, hogy csak azokkal az emberekkel és cégekkel kell foglalkoznom, akiket ismerek és bízok. Megértem, hogy sok ember miért vesztette el teljesen a bankokba vetett hitét, és így keményített készpénzüket matracuk alatt tárolják.
Felismerve, hogy fájdalom adódik, ha társaságunk összes vagyonát egy másik bankba helyezzük, vonakodva elfogadták a bank ajánlásait, és behatoltak az új kártyák és új jelszavak beszerzésének folyamatába. Visszatért a szokásos ügyekhez, vagy úgy gondoltam.
17.04.2023 @ 21:28
izedek óta tartotta a számláját, már nem létezett. Az új bank, a BoA, nem volt olyan ismerős és barátságos, mint az előző. Azonban a BVS-nek szüksége volt egy erős bankra, és a BoA volt az egyetlen választás. Azonban a BoA-nak nem volt olyan szintű biztonsága, mint az előző bankoknak, és ez a BVS számára problémát okozott. A következő fejezetben megosztom, hogyan sikerült megoldani ezt a problémát, és hogyan tanultam meg, hogy soha ne vegyem biztosra a számítógépes biztonságot.