Ocho hacks raros, malvados y tontos

0
19

Los hackers son decididos, persistentes, inteligentes, adaptables, sigilosos y despiadados. Explotarán cualquier tragedia, incluso la actual pandemia del COVID-19, y se aprovecharán de cualquier vulnerabilidad en su red.

A veces los hacks pueden ser increíblemente complejos y sofisticados, aunque la mayoría de los hackers tomen el camino más fácil y ataquen las redes a través de phishing, contraseñas débiles, sistemas sin parches e ingeniería social. Y otras veces, los hacks pueden ser simplemente extraños. Aquí hay ocho ejemplos:

1- Datos robados a través de una pecera
La empresa de seguridad cibernética Darktrace causó sensación en el 2017 cuando anunció que había descubierto a unos hackers que utilizaban una pecera conectada a Internet para robar datos de un casino norteamericano no identificado. Al parecer, esta estaba equipada con sensores de IoT conectados a una PC que supervisaba y regulaba la temperatura del agua y la limpieza de la pecera, y controlaba la alimentación de los peces.

«Alguien utilizó la pecera para meterse en la red, y una vez dentro, escaneó y encontró otras vulnerabilidades, y se trasladó lateralmente a otros lugares de la red», comenta Justin Fier, director de Ciber Inteligencia y Análisis de Darktrace.

El nombre del casino no fue revelado, pero el informe decía que los datos se enviaron a un dispositivo en un país extranjero, más específicamente en Finlandia. La CEO de Darktrace, Nicole Eagan, explicó a los asistentes de un evento en Londres que una vez que los hackers se afianzaron en la red, pasaron de los peces pequeños a acceder a una base de datos de grandes apostadores, también conocidos como ballenas.

2- El ataque de vishing estafa al CEO
Todos estamos vigilantes a los ataques de phishing por correo electrónico, pero ¿qué pasa cuando su jefe lo llama por teléfono y le pide que haga algo? ¿Sospecharía que podría ser víctima de un ataque phishing o vishing de voz?

El primer caso notificado de un ataque de vishing basado en inteligencia artificial (IA) ocurrió en el 2019 en Inglaterra. Aparentemente, los criminales usaron un software de IA generador de voz y comercialmente disponible para hacerse pasar por el jefe de una compañía alemana, dueña de una empresa de energía con sede en el Reino Unido. Los criminales llamaron al CEO del Reino Unido y lo engañaron para que transfiriera 243 mil dólares a un proveedor en Hungría. El CEO reconoció el ligero acento alemán y los patrones de voz de su jefe, y la llamada no despertó sospechas. Eso fue hasta que los criminales se volvieron codiciosos y llamaron por segunda vez pidiendo otra gran transferencia. Esta vez, el CEO se negó y la trampa comenzó a desenredarse.

Sin embargo, las autoridades no han sido capaces de atrapar a los culpables o recuperar el dinero. Esto podría ser solo el comienzo de una nueva y aterradora era de falsificaciones basadas en la IA.

3- El hack de la bomba produce gasolina gratis
Los hackers suelen traficar con dinero en efectivo o en criptomoneda. En el 2019, las autoridades francesas detuvieron a cinco hombres que robaron casi 25 mil galones de combustible de las gasolineras de los alrededores de París hackeando los surtidores de gasolina con un mando a distancia especial que desbloqueaba la marca de las bombas instaladas en las gasolineras Total.

El hackeo fue posible porque algunos gerentes de las gasolineras no cambiaron la contraseña predeterminada del surtidor de gasolina del estándar ‘0000’. Los hackers usaron el código PIN para restablecer los precios del combustible y eliminar cualquier límite de llenado.

Operando en equipos, un hacker usaba el control remoto para abrir el surtidor de gasolina, mientras que un segundo vehículo, una furgoneta con un gran tanque en la parte trasera del vehículo, era llenado con hasta 750 galones a la vez. ¿Qué hacían con la gasolina? Publicaron en redes sociales y revendieron la gasolina a precios de descuento. La policía estima que la banda ganó alrededor de 170 mil dólares antes de ser atrapados.

4-Los hacks de las señales de tráfico molestan a la policía local
Las credenciales de acceso débiles son un problema de seguridad perenne y con la llegada de los carteles y señales de tráfico electrónicos, los hackers han descubierto nuevas formas de ganar control para hacer llegar un mensaje divertido u obsceno.

Un hombre de Texas estaba paseando a su perro cuando se encontró con una señal de carretera advirtiendo a los automovilistas sobre la construcción que se avecinaba. Rápidamente adivinó el nombre de usuario/contraseña del tablero de mensajes electrónicos y cambió el cartel para que se leyera: «Conduzcan como locos «. Un vecino presenció la escena y llamó a la policía, que no vio el acto con humor. El hombre fue arrestado y acusado de conducta criminal.

El pasado septiembre, dos jóvenes con capuchas y máscaras irrumpieron en un pequeño edificio debajo de un cartel digital al lado de una gran autopista en Auburn Hills, Michigan, hackearon el sistema y lo usaron para mostrar pornografía. Según la policía, la dupla, que fue capturado en un video de vigilancia, entró y salió en menos de 15 minutos, por lo que la contraseña no pudo ser tan difícil de descifrar. El video entretuvo a los conductores durante unos 20 minutos antes de que la policía respondiera y lo apagara.

Aún más escandaloso, un profesional de la informática de 24 años que estaba atrapado en el tráfico en Yakarta en hora punta, aparentemente miró un cartel electrónico gigante, vio credenciales de ingreso que fueron mostradas accidentalmente por un momento en la pantalla, hackeó el sistema y transmitió pornografía explícita. Indonesia es un país musulmán muy conservador, así que las autoridades no estaban contentas. El bromista ha sido acusado y podría enfrentarse a seis años de prisión.

5- La estrella de Shark Tank es víctima de una estafa por correo electrónico
Barbara Corcoran, uno de los tiburones del programa de televisión Shark Tank, perdió cerca de 400 mil dólares en una inteligente estafa por correo electrónico. El hacker se hizo pasar por el asistente ejecutivo de Corcoran y envió un correo electrónico al contador con una factura falsa, quien no se dio cuenta de que la dirección de correo electrónico de retorno no era legítima.

Cuando el contador hizo preguntas sobre la petición de que casi 400 mil dólares fueran transferidos electrónicamente a una cuenta bancaria en Alemania, el correo electrónico llegó a los hackers, quienes, por supuesto, confirmaron la solicitud de la factura. No fue hasta que este envió un correo a la dirección correcta del asistente ejecutivo preguntando si el pago había pasado que la estafa salió a la luz.

Desafortunadamente, Corcoran se quedó sin 388,700.11 dólares. Se podría pensar que el contador se quedaría sin trabajo, pero parece que Corcoran es de las que perdonan. Dijo, «Perdí los 388,700 dólares como resultado de una cadena de correos electrónicos falsos enviados a mi empresa. Era una factura supuestamente enviada por mi asistente a mi contador aprobando el pago de una renovación de bienes raíces. No había razón para sospechar ya que invierto en muchos bienes raíces. Al principio estaba molesta, pero luego recordé que solo era dinero».

6- Hackear la red de la competencia puede ser contraproducente
A veces los hackers pueden ser increíblemente inteligentes, pero otras veces no tanto. Keith Cosbey, CFO de Choicelunch, empresa proveedora de almuerzos escolares en California, fue arrestado en el 2019 y acusado de robo de identidad y acceso ilegal a la computadora.

Parece que Cosbey hackeó la red de su competidor, LunchMaster, y accedió a datos personales sensibles de cientos de estudiantes, incluyendo nombres, calificaciones, preferencias de comidas y alergias. Una vez que supo que la pequeña Susie era vegetariana y que sacaba A en todo, envió de manera anónima los datos al Departamento de Educación de California y afirmó que LunchMaster no hacía lo suficiente para proteger la privacidad de los estudiantes.

Este intento de difamar a su rival fracasó cuando el estado, con la ayuda del FBI, rastreó la intrusión en la red de LunchMaster hasta él y fue arrestado. No se sabe nada de sus preferencias alimenticias por si alguna vez termina en la cárcel.

7- Los hackers activan el sistema de alerta de tornado poniendo a la gente en riesgo
El 12 de marzo del 2019 fue una noche tranquila en los suburbios de DeSoto y Lancaster en Dallas hasta que 30 sirenas de tornado de alto voltaje comenzaron a sonar a las 2.30 a.m. y continuaron sonando hasta las 4 a.m. Sin embargo, no hubo ningún tornado. Fue un hack.

Los residentes al principio estaban asustados de que la advertencia de la sirena pudiera ser real y un tornado estuviera a punto de llegar. Después de todo, esta área de Texas es conocida como » el callejón de tornados» y el período entre marzo y mayo es temporada alta. DeSoto había hecho pruebas de las sirenas de alarma una semana antes (durante el día), y el informe meteorológico de esa semana alertaba severas tormentas eléctricas y posibles tornados.

Los funcionarios de la ciudad informaron que «con base en el amplio impacto en las sirenas exteriores localizadas en dos ciudades separadas, incluyendo Lancaster, se ha hecho evidente que una persona o un grupo de personas con intenciones hostiles apuntaron deliberadamente a nuestra red combinada de sirenas de alerta». Los funcionarios señalaron que tuvieron que desconectar todo el sistema mientras las tormentas seguían entrando. (Por supuesto, los residentes también podían recibir advertencias a través de mensajes de texto, así que no se les dejó completamente a su suerte).

Aún más curioso, en abril del 2017, un hacker hizo sonar 156 sirenas de tornado en todo Dallas en medio de la noche. Los investigadores atribuyeron ese hack a una técnica llamada «radio replay», en la que el hacker graba una prueba previa del sistema y la reproduce repetidamente.

Así que, tal vez, hay un falsificador de sirenas en serie suelto.

8- El monitor de bebé hackeado alarma a los padres
Las posibles vulnerabilidades asociadas con la seguridad del hogar y los sistemas de vigilancia de los bebés han sido ampliamente documentadas. A través de técnicas como el relleno de credenciales o el aprovechamiento de contraseñas débiles o predeterminadas, los hackers pueden espiar a los desprevenidos residentes.

Aparentemente aburrido de ver a un bebé durmiendo, un hacker que se había apoderado del sistema de monitoreo de bebés de una familia de Ohio, comenzó a gritar repetidamente «¡Despierta bebé!» Los padres sorprendidos entraron rápidamente en la habitación del bebé solo para descubrir que el hacker les había apuntado directamente con la cámara y estaba gritando obscenidades. Parece que las burlas basadas en IoT se han vuelto populares, ya que se han reportado casos similares en todo el país.

Neal Weinberg, CSOonline