Please help me to share for my phishing friend sake

ok, do you know those beautiful phishing emails claiming a bad guy hacked your email and take pictures or videos of you doing bad stuff?

I receive tons on my personal accounts, and usually, I answer to them asking to share the videos so I can publish on my socials as well and become famous, rotfl, alas the bad guys never react…. (I know I am so childish)

so let me share with you last one:

Analyzing the headers I saw my friends sent the email from a chinese address (how nice to be renown from such a distant place) well this means it is a not so advance spoofing and did not take on my account, disappointing, but, hey, we cannot be too picky isn’t it?

Source IP Address	125.65.255.28
Source IP Hostname	28.255.65.125.broad.ls.sc.dynamic.163data.com.cn
Country	China
State	Sichuan
City	Liangshan Yizu Zizhizhou
Zip Code	undefined
Latitude	27.8816
Longitude	102.267
ISP	Chinanet
Organization	Chinanet SC
Threat Level	high

and here the email, sorry my email client is in Italian but the meaning should be clear, lol

“Da:” means “From:”

“A:” means “From:”

and

“Inviato:” means “Sent:”

—–Messaggio originale—–
Da: antonio.ierano@ierano.it <antonio.ierano@ierano.it>
Inviato: sabato 2 novembre 2019 13:00
A: antonio.ierano@ierano.itantonio.ierano@ierano.it
Oggetto: Security alert! Review the sign-in details.

Hello.

08/08/2019– on this day I hac­ked your OS and got full acc­ess to your acc­ount antonio.ierano@ierano.it

You can check it – I sent this message from your acc­ount.

After that, I made a full dump of your disk (I have allyour address book, history of viewing sites, all files, phone numbers andaddresses of all your contacts).

This means that I have full acc­ess to your device andacco­unts. I’ve been watching you for a few months now.

The fact is that you were infected with malware throughan adult site that you visited. If you are not familiar with this, I willexplain.

Vi­rus gives me full access and control your devices.

This means that I can see everything on your scr­een,turn on the camera and microphone, but you do not know about it.

I also have access to all your contacts and all yourcorrespondence.

Why your antivirus did not detect malware? answer: Mymalware uses the driver, I update its signatures every 4 hours so that your antivirusis silent.

I made a video showing how you satisfy yourself in theleft half of the screen, and in the right half you see the video that youwatched.

With one click of the mouse, I can send this vi­deo toall your emails and contacts.

If you want to prevent this, transfer the amount of $762to my bitcoin address (if you do not know how to do this, write to Google:“Buy Bitcoin”).

My bit­coin address (BTC Wallet) is:1Q2pVgd9YradB42risptr8tsydKrVDSD2A

After receiving the payment, I will delete the video andyou will never hear me again. I give you 48 hours to pay.

I have a notice reading this letter, and the timer willwork when you see this letter.

Filing a complaint somewhere does not make sense becausethis email cannot be tracked like my bitcoin address.

I do not make any mistakes.

If I find that you have shared this message with someoneelse, the vi­deo will be immediately distributed.

If I find that you have shared this message with someone else, the vi­deo will be immediately distributed.

_____________________________________________________________________________

Now I want to be sure the guy understands I shared his email so my videos will be shared as well and I will become famous, so please can you share it as well? LoL

NOTE: I suppose my phishing frined would be delighted if you send bitcoin at his/her/its address lol

NOTE on NOTE

I was kidding

NOTE on NOTE on NOTE

please do not fool yourself for those stupid scams attemtps

Devi fare il budget sulla sicurezza informatica? Se sei stato fortunato: ti sei preso un ransomware

ho pensato che sia cosa utile fare seguito ad un mio precedente post che si chiedeva se era paperino a fare i budget di sicurezza. Diciamolo, uno dei problemi che affliggono il mondo della sicurezza è che in pochi hanno una vaga idea di come costruire un budget che copra questi bisogni e lamentarsi sempre non aiuta a risolvere il problema, ho quindi pensato di scrivere un suggerimento su come venire incontro alla determinazione del valore economico della stesura di un budget di sicurezza informatica.

Il problema di costruire il budget della sicurezza è, notoriamente, che chi lo fa deve prevedere dei soldi da spendere, e li deve giustificare in qualche maniera all IT manager, al CEO, al CFO, all’HR manager e a Zio Paperone.

Non voglio stare a fare la lezioncina di come si fa un budget sulla sicurezza, ma lasciatemi evidenziare un paio di cose elementari.

• Se spendi dei soldi questi devono essere meno del valore totale della cosa che vuoi proteggere
  • se quello che devi proteggere vale 100 e tu spendi 110 forse non hai fatto bene i conti
• Devi in qualche maniera rispettare eventuali termini di legge
  • ricordati che vi sono delle leggi da rispettare, e in italia vige la responsabilità oggettiva, cioè se ha causa delle tue bischerate ne viene un danno a terzi, tu sei corresponsabile.
• Quello che compri o implementi deve avere un senso
  • se temi che ti rubino la macchina non compri una cassetta di sicurezza, magari ti orienti verso un box ed una buona assicurazione

Le tre condizioni sarebbero da rispettare in contemporanea, perché ovvio che devi almeno fare quello che la legge chiede, che devi spendere il giusto e in maniera giusta.

Peccato sia proprio su questi 3 punti che si incontrano gli ostacoli maggiori nella costruzione del nostro budget.ma oggi voglio essere buono, limito gli insulti e mi occupo solo del primo punto:

Quanto ha senso farti spendere?

Mettiamola così, se tu dici che vuoi spendere 100 euro I tuoi capi ti diranno:

• 100 euro … ma sei matto?
• A che cosa serve tutto quel denaro li?
• A miei tempi si usava la macchina da scrivere e tutto andava meglio
• Non ci sono più le mezze stagioni
• Piove governo ladro
• Lei non sa chi sono io
• …

A meno che tu sia un ceo illuminato e i 100 euro li tiri fuori da solo di tasca tua.

Ma perché ti dicono questo?

Perché per giustificare i 100 euro dovresti spiegare che questa esosa cifra ti serve per proteggere 100000 euro di valore della azienda.

Insomma non chiedi neanche una percentuale esosa…. Meno di una assicurazione.

Il problema è che tu non sai quanto stai proteggendo, e neanche loro lo sanno.

Qualunque budget di spesa dovrebbe prevedere la analisi del valore degli asset, se lo chiedi ad un CFO ti spiegherà questa cosa in tutte le salse. Salvo poi se gli chiedi come valuta i suoi asset digitali, in questo caso generalmente ride e pensa dentro di sé: è arrivato il cretino…. (con rispetto parlando per i retini ovviamente).

Questo è il vero dramma della IT, nessuno sa valutarne il valore economico e non dico il costo, che del valore economico è una componente.

Quanta IT serve per produrre valore nella mia azienda? Che valore hanno i dati digitali che uso?…

Perché se c’è una produzione di valore legata alla IT allora possiamo iniziare a parlare di budget, altrimenti stiamo buttando il mio, il tuo ed il suo tempo.

In altre parole o la digitalizzazione serve e dà valore e allora i dati vanno gestiti e protetti, o non serve ed allora perché che ne stiamo ad occupare?

Il ricattatore informatico: un consulente al tuo servizio

Purtroppo questo conto non lo sanno fare né il CEO né il CFO né l’HR e, probabilmente, nemmeno tu.

Ma qualcuno che questo conto lo sa fare c’è, è il tuo consulente globale sulla sicurezza, quello che ti fa il deploy del ransomware e poi ti chiede i soldi.

Si insomma quello che ti ostini a chiamare criminale è in realtà l’unico che ha capito di cosa hai bisogno… e come farlo capire al tuo capo

Non dovresti denunciarlo, dovresti dargli un premio produzione….

E si perché non c’è nulla come beccarsi un bel ransomware per far capire che i dati sono una cosa preziosa ed hanno un valore.

È questo valore è proporzionale a quanto sei disposto a pagare per riaverli indietro.

Il Ransomware, in altre parole, è un formidabile strumento di valutazione del valore degli asset digitali.

Non sono i virus, non è una intrusione, è proprio il ransomware che ti fa capire il valore di quello che hai in casa.

La tua azienda se lo becca, i suoi, tuoi dati vengono messi in una bella scatolina chiusa che si apre solo se paghi.

A questo punto persino il CEO ed il CFO iniziano a sospettare, bontà loro, che c’è del marcio in Danimarca. (l’HR manager viene dopo per questioni caratteriali J)

E si perché qualcuno questi soldi li deve tirare fuori a meno che non si riesca a porre rimedio.

Ora, ad esempio, se i backup li gestisci come non si dovrebbe fare (che è la norma) e quindi sono abbondantemente inutili, e se non hai una chiave per decrittare i tuoi dati ti trovi nella situazione seguente:

• La gente non può lavorare a causa del blocco di qualcosa a cui prima non attribuiva valore
• Tutti sono incazzati con te e ti danno la colpa, ma questo è normale
• Vengono alla luce le cazzate fatte nella implementazione della tua struttura IT
• La azienda perde dei soldi

A questo punto il CFO si mette una mano sul portafoglio e dà l’OK al pagamento del riscatto con il benestare del CEO, l’accordo del presidente, l’assenso dell’HR manager, il conforto dell’avvocato, le lacrime del marketing manager e l’assoluzione plenaria del padre confessore.

Bene, questo significa che hai appena dato un valore economico all’asset digitale. O meglio il valore glielo ha dato quel pio criminale che ha pensato di infettarti e ricattarti. È grazie a lui che ora tutti devono a denti stretti ammettere che quei dati hanno un valore.

Più alto il riscatto che il cfo è disposto a pagare, più alto è il valore che assegna a quell’asset.

Ovviamente vi sono considerazioni accessorie tipo:

• Quanti soldi perdo per il blocco derivante da questo incidente sui miei asset digitali?
• Quanto inciderà la figura di cacca che sto facendo sul mio mercato?
• Quanto mi costerà il ripristino alla funzionalità normale?
• Quanto mi costerà mettere in sicurezza la cosa perché non si ripeta?
• Vado incontro a conseguenze legali?
• …

Ma non voglio tediarti con particolari inutili. Carpe diem, cogli l’attimo.

Quello che risulta è che quello che, per motivi a me oscuri, continui a chiamare criminale informatico in realtà ti ha appena fatto una analisi del valore dei tuoi asset digitali come nemmeno il più persuasivo dei consulenti farebbe.

Certo non è proprio fatto secondo canali strettamente legali, ma se la legalità ti interessasse avresti intrapreso da un po’ l’adeguamento dei tuoi sistemi al GDPR… purtroppo per quella consulenza devi aspettare l’ispezione e la multa conseguente (da quelle parti si svegliano anche l’HR manager e il responsabile marketing).

Se proprio volessimo buttarla in polemica si potrebbe osservare che essere costretti a dare una valutazione economica di un bene a seguito di un atto criminoso denota una scarsa lungimiranza, e allo stesso tempo se dobbiamo agire di concerto alla legge solo perché vogliamo evitare le multe forse abbiamo un approccio leggermente discutibile dal punto di vista etico.

Ma siccome non vogliamo scendere in queste sterili polemiche limitiamoci ad osservare che se sei fortunato ti capita una brutta cosa che mette in luce un valore che nessuno VUOLE vedere, se sei sfortunato ti obbligano a farne una peggiore, i budget di sicurezza come li hai fatti fino ad adesso.

Chiaro che poi hai ancora i punti 2 e 3 da affrontare, ma almeno il punto 1 hai iniziato ad affrontarlo

Ci trovo una sottile ironia i questo, ma magari sono solo io…

 

Buon insicuro 2017

Antonio

 

PS: spero si sia colta l’ironia ed il sarcasmo del pezzo, ma siccome ho una scarsa fiducia nel genere umano permetti di precisare questo. Ben lungi dall’essere apologia di reato non sto dicendo che fanno bene ad attaccarti, né che i criminali siano giustificati, so solo utilizzando le figure retoriche del paradosso e dell’iperbole per evidenziare come talvolta è solo a seguito di un incidente che ne priva la fruizione che si capisce il valore di un beneservizioasset.

 

 

 

 

Related articles

• Ransomware: When to pay (and when not to) (oreilly.com)
• December 2016: The Month in Ransomware (tripwire.com)
• Ransomware blamed for cyber attack which forced hospitals to cancel operations and shut down systems (zdnet.com)
• Ransomware-based attacks: Should you pay the ransom? (resources.infosecinstitute.com)
• How a hacked phone number cost Jered Kenna millions of bitcoins (nakedsecurity.sophos.com)
• Bad Press Forces Shark Ransomware Project to Rebrand (news.softpedia.com)
• Ransomware Growing More Common, More Complex; Modern Endpoint Backup Isn’t Scared (cloudsecurityalliance.org)
• Mr. Robot-Inspired FSociety Ransomware Emerges (infosecisland.com)
• Android Ransomware Quadrupled in the Past Year (news.softpedia.com)
• Crime Pays: Ransomware Bosses Make $90K Annually (technewsworld.com)