Nel 2019, Ilya Lichtenstein e Heather Morgan hanno tenuto un discorso in stile TED su "come fare l'ingegneria sociale per entrare in qualsiasi cosa": ora devono affrontare 25 anni di prigione per oltre $ 4,5 miliardi di Bitcoin rubati risalenti all'hacking Bitfinex del 2016 .
All'inizio di questa settimana, Lichtenstein e Morgan sono stati arrestati a New York e accusati di aver tentato di riciclare 3,6 miliardi di dollari in bitcoin rubati dagli hacker dall'hacking del 2016 che ha paralizzato Bitfinex, secondo il Dipartimento di Giustizia degli Stati Uniti . Quei fondi sono stati sequestrati dal DOJ, che intende restituire i fondi bitcoin rubati a Bitfinex e alle vittime dell'hacking.
Ora, perché è preoccupante?
Il discorso di Morgan del 2019 era un riferimento all'hacking di Bitfinex?
Torniamo al 2019, quando la coppia di New York ha tenuto un discorso intitolato "Come fare l'ingegnere sociale per entrare in qualsiasi cosa" al Salone di New York.
Durante la conversazione di mezz'ora Morgan offre esempi di potenti tecniche di ingegneria sociale e infiltrazione che possono essere utilizzate per manipolare qualcuno affinché divulghi informazioni o intraprenda azioni che "altrimenti non farebbero".
Nonostante la goffa goffaggine del suo alter ego rapper Razzlekhan, Morgan è infatti un abile e lucido oratore. Il suo discorso delizia il pubblico di New York che in diversi punti scoppia in risate o applausi spontanei.
È possibile che il concetto di ingegneria sociale di Morgan offra qualche indizio su come questi fondi siano stati acquisiti in primo luogo?
È una teoria a cui sicuramente prescrive Eric Wall , Chief Investment Officer di Arcane Assets . In un thread di Twitter mercoledì, Wall ha ipotizzato che il motivo per cui la natura precisa dell'exploit di Bitfinex non è mai stata resa pubblica potrebbe essere dovuta al fatto che le circostanze del furto erano " imbarazzanti ".
"Le persone su [crypto Twitter] sembrano aver deciso che l'hacking è avvenuto in un modo tecnico molto sofisticato, ma non ci sono prove di ciò", ha affermato Wall. "E le persone sembrano anche dimenticare quanto possa essere potente l'ingegneria sociale, se sei furbo."
Wall suggerisce che se il furto fosse stato particolarmente tecnico, i dettagli sarebbero stati forniti poiché ciò avrebbe aiutato Bitfinex "ad assolversi dai sospetti interni".
È vero che l'esatta natura dell'exploit non è mai stata rivelata, ma gli eventi recenti sembrano aver riacceso vecchie faide e riaperto vecchie ferite.
BitGo incolpa Bitfinex
Per celebrare l'occasione dell'arresto di Morgan e Lichtenstein, i principali attori di Bitfinex e il loro fornitore di portafogli dell'epoca BitGo, decidono di impegnarsi in un battibecco pubblico su Twitter.
Il CEO di BitGo Mike Belshe ha chiarito che BitGo "non è stato violato o violato nell'incidente" e ha invece attribuito la colpa a Bitfinex, "violazione tra più sistemi e persone".
Se la violazione fosse socialmente ingegnerizzata, l'elemento chiave sarebbero ovviamente le persone. Zane Tacket, che era un community director di Bitfinex nel 2016, ha avuto alcune cose da dire sull'osservazione di Belshe.
“Solo così siamo chiari, stai dicendo che bitgo (sistemi o persone) non è stato compromesso in questo periodo o intorno a questo? Nessuna persona di alto livello, forse il più alto livello di tecnici, è stata hackerata? Hanno usato tutti 2fa giusto?"
"Sappiamo entrambi che la causa principale è stata una violazione del sistema bitfinex", ha risposto il CEO di BitGo Mike Belshe. "Bitgo sarebbe entusiasta di lavorare con bitfinex per pubblicare un post mortem completo dell'evento."
Con le temperature che sembrano aumentare, non è chiaro se l'offerta di Belshe di pubblicare un post mortem completo fosse più vicino a un gioco di pollo che a un atto di disponibilità conciliante. Può darsi che ci siano molte colpe da condividere.
È chiaro che con Bitfinex e BitGo che specificano entrambi le persone nelle loro critiche alla sicurezza dell'altro, che probabilmente sono stati coinvolti alcuni elementi di errore umano e/o sfruttamento.
Come ingegnere sociale per farti strada in qualsiasi cosa
È agosto 2019 e Morgan è sul palco di un evento "New York Salon" per presentare l'evento di hacking della sua gente, "Come fare l'ingegnere sociale per entrare in qualsiasi cosa".
Il NYC Salon si descrive come "una serie di relatori che mira a essere "TED with friends"" e descrive il contenuto dell'evento come segue (enfasi aggiunta):
'L'ingegneria sociale è l'atto di manipolare qualcuno per divulgare informazioni o intraprendere un'azione particolare. Sebbene abbia spesso una connotazione negativa nella sicurezza informatica, ci sono molti casi meno sinistri in cui puoi usarlo per migliorare la tua vita, dagli appuntamenti e dalla ricerca di lavoro al giornalismo, alle vendite e all'imprenditorialità.'
In particolare gli organizzatori dell'evento hanno spiegato i tipi di competenza ed esperienza che Morgan ha:
"Ascolta in prima persona come Heather R Morgan si è fatta strada in partiti esclusivi e costose raccolte di fondi politici, si è infiltrata nei mercati neri di tutto il mondo e ha costruito relazioni con celebrità e amministratori delegati miliardari. Imparerai tattiche attuabili per l'arresto anomalo degli eventi, come inviare e-mail a freddo anche alle persone più solitarie e di alto livello e ottenere una risposta e cosa fare per uscire da un ingorgo.'
Morgan prende il microfono e si lancia in uno dei suoi famigerati rap, che include la famigerata linea "Crocodile of Wall Street". Heather Morgan continua a presentarsi come un'esperta di vendite, email fredde e riferimenti al suo personaggio rap e alle sue credenziali giornalistiche.
"L'ingegneria sociale è fondamentalmente… odio il termine manipolazione", afferma Morgan nel suo discorso di apertura. "È convincere qualcuno a condividere informazioni o intraprendere un'azione che altrimenti non farebbe".
Nonostante il suo disprezzo per il termine, il processo che Morgan continua a descrivere suona molto simile alla manipolazione.
Morgan elenca alcuni luoghi in cui si è socialmente adattata, incluso il Palazzo del Barone in Egitto. Spiega come, dopo essere stata catturata da una guardia di sicurezza che violava la violazione, come lei e un'amica, con l'aiuto di una sigaretta e una tangente per un importo di circa $ 1 in contanti, sono state in grado di convincere la guardia a fare loro un giro.
Altri exploit includono rovinare un matrimonio cinese e apparire in un programma televisivo mattutino.
Gran parte di ciò che Morgan presenta è sciocco e divertente e coinvolge il tipo di exploit che renderebbero un aneddoto divertente a una cena, ma è chiaro che ci sono alcune arti più oscure nell'"ingegneria sociale" a cui Morgan non è estraneo.
“Come influenzerai [le persone]? È meglio avere più di un modo. Puoi influenzare le persone in molti modi, puoi influenzarle con l'adulazione, aggiungere valore a loro, puoi corromperle… puoi anche influenzarle con la paura", aggiunge Morgan. “La paura è una tattica molto delicata. Fanculo, sarai fottuto, loro si arrabbieranno, potrebbero chiamarti la polizia, ma se lo fai bene e in modo sottile può funzionare molto, molto bene.
Morgan rivela che una delle sue tecniche chiave di infiltrazione è fare ricerche non solo sull'azienda target, ma anche sulle vite personali degli individui all'interno di quell'organizzazione. È importante sottolineare che sostiene di curiosare sui profili dei social media per scoprire che tipo di cose piacciono a quelle persone. Queste informazioni possono essere utili per costruire un rapporto e ottenere rapidamente la fiducia di una persona.
Il prossimo grande discorso
La presentazione di Morgan si conclude con la diapositiva finale, " Infine, come può l'Ingegnere Sociale [sic] te stesso FUORI da una brutta situazione ?"
Ironia della sorte, è l'unico elemento del discorso che Morgan salta, preferendo invece rispondere alle domande del pubblico. Data l'attuale situazione difficile di Morgan e Lichtenstein, forse è un argomento che il maestro manipolatore potrebbe voler rivisitare.
Se la coppia riesce a sfuggire al carcere nonostante le attenzioni del Dipartimento di Giustizia, il titolo del suo prossimo grande discorso dovrebbe scriversi da solo.
Cosa ne pensi di questo argomento? Scrivici e raccontaci !
Il post How to Social Engineer Your Way Into Bitfinex è apparso per la prima volta su BeInCrypto .