Novinár BBC sa stal terčom hackerov, ktorí ponúKali zisky z výkupného. Gang sa predstavil odkazmi na adresy a fóra darknetu. Bombardovanie MFA premenilo online vyjednávania na invazívnu a znepokojujúcu konfrontáciu.
Koncept hrozby zvnútra v rámci kybernetickej bezpečnosti sa často diskutuje v abstraktných pojmoch, ako teoretická zraniteľnosť, o ktorej organizácie vedia, ale zriedka s ňou priamo konfrontujú.
Ale toto abstraktné riziko sa stalo hmatateľnou realitou pre kybernetického korešpondenta BBC Joea Tidyho, keď ho nečakane oslovila osoba, ktorá sa nazývala Syn a tvrdila, že reprezentuje skupinu Medusa ransomware.
Nevyžiadaný kontakt, iniciovaný v šifrovanej aplikácii na zasielanie správ Signal, predstavoval priamočiary, no kriminálny návrh – aby Tidy poskytol prístup k interným systémom BBC výmenou za percento z budúcej platby výkupného.
Po konzultácii so staršími redakčnými osobnosťami sa Tidy zapojil do komunikácie s osobou, aby pochopil mechanizmy návrhu. Syn načrtol proces, v ktorom by novinár odovzdal svoje prihlasovacie údaje, čo by gangu umožnilo preniknúť do siete BBC, nasadiť škodlivý softvér a vydierať korporáciu. Finančný návrh bol agresívne stupňovaný, pričom Syn navrhol, aby korešpondent mohol dostať 25 % z výkupného vypočítaného ako percento z celkových príjmov BBC. Pre získanie dôveryhodnosti Syn poskytol odkaz na adresu Medusy v darknete a poukázal na predchádzajúce údajné úspechy. Uviedol britskú spoločnosť poskytujúcu zdravotnú starostlivosť a amerického poskytovateľa pohotovostných služieb ako príklady, kde údajne vnútorné dohody uľahčili útoky.
Po niekoľkých dňoch rozhovoru pokus Tidyho získať čas na konzultáciu s internými bezpečnostnými expertmi vyvolal drastickú zmenu taktiky zločincov. Predtým zhovorčivý Syn sa stal netrpezlivým, žiadal okamžitú akciu a pokúšal sa na Tidyho tlačiť posmeškami o budúcom živote na pláži. Tento verbálny tlak sa rýchlo transformoval na priamy technologický útok, keď bol Tidyho telefón náhle zaplavený paľbou okien s dvojfaktorovou autentifikáciou. Táto technika je známa ako bombardovanie MFA, pri ktorom útočníci spamujú prihlasovacie žiadosti v nádeji, že obeť omylom jednu schváli, a premenila situáciu zo vzdialeného vyjednávania na znepokojujúcu, priamu konfrontáciu. BBC musela Tidyho úplne odpojiť od všetkých systémov BBC ako preventívne opatrenie.
Následná komunikácia zločincov bola zvláštne ospravedlňujúca, ale trvali na tom, že pôvodná dohoda je stále k dispozícii. „Tím sa ospravedlňuje. Testovali sme vašu prihlasovaciu stránku BBC a je nám nesmierne ľúto, ak vám to spôsobilo nejaké problémy,“ uviedli. Incident sa uzavrel tým, že hackeri nakoniec vymazali svoj účet po tom, čo nedostali žiadnu ďalšiu odpoveď. Hoci Tidy nemal prístup na vysokej úrovni, o ktorom sa kriminálnici mylne domnievali, epizóda poslúžila ako mrazivá prípadová štúdia, pretože kybernetickí zločinci teraz používajú kombináciu finančných stimulov a agresívneho technického nátlaku na dosiahnutie svojich cieľov. Organizácie by preto mali pristupovať k takýmto stretnutiam so skepticizmom a zabezpečiť, aby zamestnanci mohli rýchlo hlásiť nezvyčajné prístupy.
