Em 2019, Ilya Lichtenstein e Heather Morgan fizeram um discurso no estilo TED sobre "como fazer engenharia social para entrar em qualquer coisa": agora eles enfrentam 25 anos de prisão por mais de US $ 4,5 bilhões em Bitcoin roubado. 2016.
No início desta semana, Lichtenstein e Morgan foram presos em Nova York e acusados de tentar lavar US$ 3,6 bilhões em bitcoins roubados por hackers do hack de 2016 que paralisou a Bitfinex, segundo o Departamento de Justiça dos EUA . Esses fundos foram apreendidos pelo DOJ, que pretende devolver os fundos de bitcoin roubados à Bitfinex e às vítimas do hack.
Agora, por que isso é preocupante?
O discurso de Morgan em 2019 foi uma referência aos hackers da Bitfinex?
Vamos voltar a 2019, quando o casal nova-iorquino fez um discurso intitulado “Como ser um engenheiro social para entrar em qualquer coisa” no New York Show.
Durante a conversa de meia hora, Morgan oferece exemplos de poderosas técnicas de engenharia social e infiltração que podem ser usadas para manipular alguém a divulgar informações ou tomar ações que "não faria de outra forma".
Apesar da desajeitada falta de jeito de seu alter ego rapper Razzlekhan, Morgan é de fato um orador habilidoso e lúcido. Seu discurso encanta o público nova-iorquino que, em vários momentos, explode em risos ou aplausos espontâneos.
É possível que o conceito de engenharia social de Morgan ofereça alguma pista sobre como esses fundos foram adquiridos em primeiro lugar?
É uma teoria que Eric Wall , diretor de investimentos da Arcane Assets , certamente prescreve. Em um tópico no Twitter na quarta-feira, Wall especulou que a razão pela qual a natureza precisa da exploração da Bitfinex nunca foi tornada pública pode ser porque as circunstâncias do roubo foram " embaraçosas ".
"As pessoas no Twitter criptográfico parecem ter decidido que o hacking aconteceu de uma maneira técnica muito sofisticada, mas não há evidências disso", disse Wall. "E as pessoas também parecem esquecer o quão poderosa a engenharia social pode ser, se você for esperto."
Wall sugere que, se o roubo tivesse sido particularmente técnico, os detalhes teriam sido fornecidos, pois isso ajudaria a Bitfinex a "limpar suspeitos internos".
É verdade que a natureza exata da exploração nunca foi revelada, mas eventos recentes parecem ter reacendido velhas disputas e reaberto velhas feridas.
BitGo culpa Bitfinex
Para comemorar a ocasião da prisão de Morgan e Lichtenstein, os principais players da Bitfinex e seu provedor de carteiras da era BitGo, decidem se envolver em uma briga pública no Twitter.
O CEO da BitGo, Mike Belshe, esclareceu que a BitGo "não foi hackeada ou hackeada no incidente" e, em vez disso, culpou a Bitfinex, "violação entre vários sistemas e pessoas".
Se a violação fosse projetada socialmente, o elemento-chave seria obviamente as pessoas. Zane Tacket, que era diretor da comunidade Bitfinex em 2016, tinha algumas coisas a dizer sobre a observação de Belshe.
“Só para deixar claro, você está dizendo que o bitgo (sistemas ou pessoas) não foi comprometido neste período ou em torno disso? Nenhuma pessoa de alto nível, talvez o mais alto nível de técnicos, foi hackeada? Todos eles usaram 2fa certo?"
"Nós dois sabemos que a causa raiz foi uma violação do sistema bitfinex", respondeu o CEO da BitGo , Mike Belshe. "A Bitgo ficaria empolgada em trabalhar com a bitfinex para publicar um post mortem completo do evento."
Com as temperaturas parecendo subir, não está claro se a oferta de Belshe de postar uma autópsia completa estava mais perto de um jogo de galinha do que um ato conciliatório de vontade. Pode haver muitas falhas para compartilhar.
É claro que com Bitfinex e BitGo ambos especificando pessoas em suas críticas à segurança um do outro, que alguns elementos de erro humano e/ou exploração provavelmente estavam envolvidos.
Como um engenheiro social para fazer o seu caminho em qualquer coisa
É agosto de 2019, e Morgan está no palco em um evento "New York Salon" para apresentar o evento de hackers de seu pessoal, "How to Be a Social Engineer to Get Into Anything".
O NYC Salon se descreve como "uma série de palestrantes com o objetivo de ser" TED com amigos "" e descreve o conteúdo do evento da seguinte forma (grifo nosso):
'Engenharia social é o ato de manipular alguém para divulgar informações ou realizar uma determinada ação. Embora muitas vezes tenha uma conotação negativa em segurança cibernética, há casos muito menos sinistros em que você pode usá-lo para melhorar sua vida, desde namoro e busca de emprego até jornalismo, vendas e empreendedorismo. '
Em particular, os organizadores do evento explicaram os tipos de conhecimento e experiência que Morgan possui:
"Ouça em primeira mão como Heather R Morgan entrou em festas exclusivas e arrecadações de fundos políticos caros, se infiltrou em mercados negros em todo o mundo e construiu relacionamentos com celebridades e CEOs bilionários. Você aprenderá táticas acionáveis para os eventos de acidente, como enviar e-mails frios para até mesmo as pessoas mais solitárias e mais velhas e obter uma resposta e o que fazer para sair de um engarrafamento.'
Morgan pega o microfone e lança um de seus infames raps, que inclui a infame linha "Crocodile of Wall Street". Heather Morgan continua se apresentando como especialista em vendas, e-mails frios e referências ao seu personagem de rap e suas credenciais jornalísticas.
"A engenharia social é fundamentalmente… Eu odeio o termo manipulação", disse Morgan em seu discurso de abertura. "É conseguir que alguém compartilhe informações ou tome medidas que de outra forma não faria."
Apesar de seu desprezo pelo termo, o processo Morgan passa a descrever sons muito semelhantes à manipulação.
Morgan lista alguns lugares onde ela se adaptou socialmente, incluindo o Palácio do Barão no Egito. Ela conta como, após ser flagrada por um segurança infrator, como ela e uma amiga, com a ajuda de um cigarro e uma propina no valor aproximado de R$ 1 em dinheiro, conseguiram convencer o segurança a dar carona.
Outras façanhas incluem arruinar um casamento chinês e aparecer em um programa de TV matinal.
Muito do que Morgan apresenta é bobo e engraçado e envolve o tipo de façanha que faria uma anedota engraçada em um jantar, mas é claro que existem algumas artes mais sombrias na "engenharia social" que Morgan não é estranho.
“Como você vai afetar [as pessoas]? É melhor ter mais de uma maneira. Você pode influenciar as pessoas de muitas maneiras, você pode influenciá-las com bajulação, você pode agregar valor a elas, você pode corrompê-las… você também pode influenciá-las com medo ", acrescenta Morgan." O medo é uma tática muito delicada. fique bravo, eles podem te chamar de polícia, mas se você fizer certo e sutilmente, pode funcionar muito, muito bem.
Morgan revela que uma de suas principais técnicas de infiltração é pesquisar não apenas a empresa-alvo, mas também a vida pessoal dos indivíduos dessa organização. É importante ressaltar que ele afirma bisbilhotar perfis de mídia social para descobrir de que tipo de coisas essas pessoas gostam. Essas informações podem ser úteis para construir um relacionamento e ganhar a confiança de uma pessoa rapidamente.
A próxima grande conversa
A apresentação de Morgan conclui com o slide final, " Finalmente, como o Engenheiro Social [sic] pode sair de uma situação ruim ?"
Ironicamente, é o único elemento do discurso que Morgan pula, preferindo responder a perguntas do público. Dada a situação atual de Morgan e Lichtenstein, talvez seja um tópico que o mestre manipulador possa querer revisitar.
Se o casal conseguir escapar da prisão apesar da atenção do Departamento de Justiça, o título de seu próximo grande discurso deve ser escrito.
O que você pensa sobre este tema? Escreva-nos e conte-nos !
O post Como fazer engenharia social do seu jeito na Bitfinex apareceu pela primeira vez no BeInCrypto .