Dziś w nocy internet rozgrzała do białości informacja o tym, że twitterowe konta najczęściej obserwowanych osób zorganizowały dla swoich fanów wyjątkową promocję. Bill Gates, Jeff Bezos, Elon Musk czy Uber - wszystkie te konta jak jeden mąż zaczęły wypluwać z siebie informacje o tym, że za każdą kwotę przelaną w bitcoinach na podany przez nie adres, wysyłający otrzyma na swoje konto dwa razy taką sumę środków. Aż chciałoby się zakrzyknąć: Coż za hojność!
Co mnie najbardziej przeraża w Twitterowym oszustwie? To, że było skuteczne
Niestety dla niektórych, cała ta akcja miała bardzo mało wspólnego z osobami/firmami które były posiadaczami tych kont, a więcej z cyberprzestępcami, którzy używając sztuczek socjotechnicznych na pracownikach Twittera uzyskali dostęp do narzędzi administracyjnych, a to z kolei pozwoliło im publikować w imieniu wszystkich wspomnianych powyżej podmiotów. To, że pracownicy Twittera dali się zrobić na szaro zapewne bez wykorzystania nawet jednej linijki kodu jest tematem na zupełnie inny wpis, na który będzie jeszcze wiele okazji, ponieważ jestem przekonany, że w najbliższym czasie będziemy świadkami poważnych reperkusji z tego powodu dla całej platformy. Dużo mocniej zastanawia mnie jednak coś innego.
Skąd tak dużo głupich ludzi miało tyle pieniędzy?
118 tysięcy dolarów - tyle właśnie wpłynęło na portfel przestępców znajdujący się pod podawanym przez nich adresem. Sumarycznie 373 osoby w pół godziny zrzuciły się na pensje "hakerów". Wychodzi mniej więcej po 300 dolarów na głowę. Myślę, że gdyby shakowano więcej niż kilkanaście kont, spokojnie można założyć, że liczba ta wzrosłaby do nawet kilka tysięcy użytkowników Twittera. Ale i tak - prawie 400 osób, które dało się nabrać na to, że Uber albo Apple (!) magicznie pomnożą ich oszczędności. Ma-sa-kra.
I najgorsze jest w tym wszystkim to, że nic nie wskazywało na to, że taka operacja ma w ogóle szanse się powieść. Kiedy słyszymy o oszustwach "na policjanta", bądź "na wnuczka", zazwyczaj myślimy, że taki sposób wyłudzania środków kierowany jest do osób starszych. Osób, które nieświadome współczesnych zagrożeń nie przypuszczają, że ktoś może podrobić mundur i odznakę. Jednak w tym wypadku mamy do czynienia z użytkownikami Twittera, czyli osobami, które muszą przynajmniej w teorii ogarniać, jak działa komputer i internet. Ponadto - muszą wiedzieć czym jest Bitcoin i posiadać jakieś zasoby środków w tej kryptowalucie. Oczywiście posiadanie bitcoinów nie chroni przed byciem kretynem, ale mam takie poczucie, że jeżeli ktoś w książce zwanej internetem dotarł do rozdziału "kryptowaluty" to musiał wcześniej chociaż przewertować ten o cyberzagrożeniach, albo chociaż zobaczyć go w spisie treści. No i trzecia, ostatnia sprawa - to oszustwo było szyte tak grubymi nićmi, że nie była to nawet fastryga. Już bardziej stereotypowo się nie dało, nawet nigeryjski książę by tu nie pomógł. A mimo to - 118 tysięcy dolarów w pół godziny trafiło na konto przestępców i nigdy nie wróci do swoich właścicieli.
Ten "atak" to nie początek, ani tym bardziej nie koniec. Gwarantuje, że nic z niego się nie nauczymy
Każdy z poszkodowanych miał zapewne swoje powody, by wpłacić pieniądze wprost do kabzy przestępców. Powody, które w ogólnym rozrachunku nie mają znaczenia. Jeżeli bowiem w tak banalny sposób udało się oszukać użytkowników Twittera, osoby które może nie są intelektualną śmietanką tego świata, ale które powinni przynajmniej w teorii widzieć w takich twittach rękę oszustów, to można oszukać każdego i zawsze. Jest to jedno wielkie potwierdzenie, że takie, nawet najbardziej prymitywne pułapki zadziałają, jeżeli będą zastawione na odpowiednio dużą skalę . Jeśli to był test tego, jak jako ludzkość radzimy sobie z kwestiami bezpieczeństwa, to oblaliśmy go z hukiem. Na co nam bowiem szyfrowanie end-to-end w komunikatorach, używanie skomplikowanych haseł czy jakikolwiek antywirus, jeżeli część z nas da pieniądze przestępcom, jeżeli ci o nie poproszą? I z drugiej strony - po co przestępcy mają się bawić w łamanie jakichkolwiek zabezpieczeń, jeżeli wystarczy podejść jednego czy dwóch stażystów na umowie o dzieło w platformie społecznościowej, żeby zyskać dużo, dużo więcej. Takie "ataki" będą zdarzały się częściej. Jeżeli przez 30 lat istnienia internetu jako ludzkość nie nauczyliśmy się na tyle, by nie dać się nabrać na tak banalnie prosty fortel - już się nie nauczymy.
I tak - bardzo możliwe, że po tej kompromitacji internet przez chwilę "nie będzie już taki sam". Wszyscy będą się zastanawiać, co by było, gdyby przestępcy mieli dostęp do konta Donalda Trumpa (może mieli, kto wie) i zdecydowali się wywołać wojnę przez Twittera. Ile osób by w to uwierzyło? Patrząc po tym, ile zdecydowało się na przesłanie pieniędzy - całkiem sporo. Za chwilę zacznie się natomiast szukanie winnych - oczywiście samych przestępców, ale w tej roli z pewnością wystąpi sam Twitter i kryptowaluta, która uczyniła cały proceder możliwym. Ale prawdziwymi winnymi w takiej sytuacji są tylko i wyłącznie osoby, które w szkole podstawowej oblały test na czytanie ze zrozumieniem i zdecydowały się dać przestępcom swoje pieniądze. Ktoś w komentarzach pod wpisem Grześka zasugerował, że Twitter za swój błąd powinien oddać tym ludziom tę kwotę - absolutnie się z tym nie zgadzam. Tak, firma popełniła błąd, ale nikt nie zmusił tych ludzi by przesłali środki, nie groził im czy nawet nie nakłaniał. Po prostu ich o te pieniądze poproszono.
Co będzie dalej? Nic. Za chwilę świat zajmie się swoimi sprawami, suma inteligencji na ziemi raczej nie wzrośnie i ludzie magicznie nie będą uważali na to co czytają i co widzą w sieci. Na miejscu "hakerów" już szykowałbym kolejnego twitta. I wiecie co jest najstraszniejsze? Że pewnie już to robią.
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu