Titres Titres
En 2019, Ilya Lichtenstein et Heather Morgan ont donné une conférence de style TED sur « comment vous frayer un chemin dans l’ingénierie sociale » – maintenant, ils risquent 25 ans de prison pour plus de 4,5 milliards de dollars de Bitcoin volé remontant au piratage Bitfinex de 2016 .
Plus tôt cette semaine, Lichtenstein et Morgan ont été arrêtés à New York et accusés d’avoir tenté de blanchir 3,6 milliards de dollars de bitcoins volés par des pirates lors du piratage de 2016 qui a paralysé Bitfinex, selon le ministère américain de la Justice. Ces fonds ont été saisis par le DOJ, qui a l’intention de restituer les fonds Bitcoin volés à Bitfinex ainsi qu’aux victimes du piratage.
Maintenant, pourquoi est-ce préoccupant?
La conférence de Morgan en 2019 était-elle une référence au piratage de Bitfinex ?
Revenons en 2019, lorsque le couple new-yorkais a donné une conférence intitulée « How to Social Engineer Your Way Into Anything » au NYC Salon.
Au cours de la conversation d’une demi-heure, Morgan propose des exemples de puissantes techniques d’ingénierie sociale et d’infiltration qui peuvent être utilisées pour manipuler quelqu’un afin qu’il divulgue des informations ou prenne des mesures qu’il « ne ferait pas autrement ».
Malgré la maladresse maladroite de son alter-ego rappeur Razzlekhan, Morgan est en fait une oratrice habile et lucide. Son discours ravit le public new-yorkais qui éclate à plusieurs reprises en rires spontanés ou en applaudissements.
Est-il possible que l’ingénierie sociale de Morgan offre des indices sur la façon dont ces fonds ont été acquis en premier lieu ?
C’est une théorie qui Éric Mur, Chief Investment Officer chez Arcane Assets le prescrit certainement. Dans un fil Twitter mercredi, Wall a émis l’hypothèse que la raison pour laquelle la nature précise de l’exploit Bitfinex n’a jamais été rendue publique pourrait être parce que les circonstances du vol étaient ‘gênant‘.
« Les gens sur [crypto Twitter] semblent avoir décidé que le piratage s’est produit d’une manière technique très sophistiquée, mais il n’y a aucune preuve de cela », a déclaré Wall. « Et les gens semblent aussi oublier à quel point l’ingénierie sociale peut être puissante, si vous êtes rusé. »
Wall suggère que si le vol avait été particulièrement technique, des détails auraient été fournis, car cela aurait aidé Bitfinex « à se disculper des soupçons d’initiés ».
Il est vrai que la nature exacte de l’exploit n’a jamais été révélée, mais les événements récents semblent avoir ravivé de vieilles querelles et rouvert de vieilles blessures.
BitGo accuse Bitfinex
Pour célébrer l’occasion de l’arrestation de Morgan et Lichtenstein, des acteurs clés de Bitfinex et leur fournisseur de portefeuille de l’époque BitGo, décident de s’engager dans une prise de bec publique sur Twitter.
Mike Belshe, PDG de BitGo a précisé que BitGo, « n’a pas été piraté ou violé lors de l’incident », et place le blâme sur un Bitfinex, « violation sur plusieurs systèmes et personnes ».
Si la brèche était d’ingénierie sociale, l’élément clé serait bien sûr les personnes. Zane Tacket, qui était directeur de communauté chez Bitfinex en 2016, avait un peu de choses à dire à propos de la remarque de Belshe.
« Juste pour que nous soyons clairs, dites-vous que bitgo (systèmes ou personnes) n’a pas été compromis à cette époque ou à cette époque ? Aucune personne de haut niveau, peut-être le plus haut niveau de la technologie, n’a été piratée ? Ils ont tous utilisé 2fa, n’est-ce pas ? »
« Nous savons tous les deux que la cause première était une violation du système bitfinex », a répondu Mike Belshe, PDG de BitGo. « Bitgo serait ravi de travailler avec bitfinex pour publier un post-mortem complet de l’événement. »
Alors que les températures semblent augmenter, il n’est pas clair si l’offre de Belshe de publier une autopsie complète était plus proche d’un jeu de poulet qu’un acte d’aide conciliant. Il se peut qu’il y ait beaucoup de blâme à partager.
Il est clair qu’avec Bitfinex et BitGo spécifiant les gens dans leurs critiques de la sécurité de l’autre, certains éléments d’erreur(s) humaine(s) et/ou d’exploitation(s) étaient probablement impliqués.
Comment faire de l’ingénierie sociale votre chemin vers n’importe quoi
Nous sommes en août 2019 et Morgan tient la scène lors d’un événement « NYC Salon » pour présenter son événement de piratage des personnes, « Comment faire de l’ingénierie sociale votre chemin vers n’importe quoi ».
NYC Salon se décrit comme « une série de conférenciers qui vise à être » TED avec des amis « » et décrit le contenu de l’événement comme suit (nous soulignons):
«L’ingénierie sociale est l’acte de manipuler quelqu’un pour qu’il divulgue des informations ou entreprenne une action particulière. Bien qu’il ait souvent une connotation négative dans la cybersécurité, il existe de nombreux cas moins sinistres où vous pouvez l’utiliser pour améliorer votre vie, des rencontres et de la recherche d’emploi au journalisme, aux ventes et à l’entrepreneuriat.
En particulier, les organisateurs de l’événement ont expliqué les types d’expertise et d’expérience de Morgan :
‘Découvrez comment Heather R Morgan s’est frayé un chemin dans des soirées exclusives et des collectes de fonds politiques coûteuses, s’est infiltrée sur les marchés noirs du monde entier et a noué des relations avec des célébrités et des PDG milliardaires. Vous apprendrez des tactiques exploitables en cas de plantage d’événement, comment envoyer des e-mails à froid même aux personnes les plus recluses et de haut niveau et obtenir une réponse, et quoi faire pour vous sortir d’un pétrin.
Morgan prend le micro et se lance dans l’un de ses raps infâmes, qui comprend la ligne notoire » Crocodile of Wall Street « . Heather Morgan se présente ensuite comme une experte en vente, en e-mails froids et fait référence à son personnage de rap ainsi qu’à ses références journalistiques.
« L’ingénierie sociale est fondamentalement… Je déteste le terme manipulation », déclare Morgan dans son discours d’ouverture. « Il s’agit d’amener quelqu’un à partager des informations ou à prendre des mesures qu’il n’aurait pas prises autrement. »
Malgré son dédain pour le terme, le processus décrit par Morgan ressemble beaucoup à de la manipulation.
Morgan énumère certains endroits dans lesquels elle s’est socialement aménagée, notamment le palais du baron en Égypte. Elle explique comment, après avoir été surprise par un agent de sécurité en train d’intrusion, elle et un ami, à l’aide d’une cigarette et d’un pot-de-vin d’environ 1 $ en espèces, ont réussi à persuader le garde de leur faire visiter.
D’autres exploits incluent l’écrasement d’un mariage chinois et son apparition dans une émission de télévision matinale.
Une grande partie de ce que Morgan présente est loufoque et amusant, et implique le genre d’exploits qui feraient une anecdote amusante lors d’un dîner, mais il est clair qu’il existe des arts plus sombres de «l’ingénierie sociale» auxquels Morgan n’est pas étranger.
« Comment allez-vous influencer [people]? Il vaut mieux avoir plus d’un chemin. Vous pouvez influencer les gens de nombreuses façons, vous pouvez les influencer avec des flatteries, leur ajouter de la valeur, vous pouvez les soudoyer… vous pouvez aussi les influencer avec la peur », ajoute Morgan. « La peur est une tactique très délicate. Merde, tu vas être foutu, ils vont être en colère, ils pourraient appeler les flics sur toi, mais si tu le fais bien et subtilement, ça peut très, très bien fonctionner.
Morgan révèle que l’une de ses principales techniques d’infiltration consiste à faire des recherches non seulement sur l’entreprise cible, mais aussi sur la vie personnelle des individus au sein de cette organisation. Surtout, elle préconise d’espionner les profils de médias sociaux pour savoir quel genre de choses ces gens aiment. Ces informations peuvent être utiles pour établir des relations et gagner rapidement la confiance d’une personne.
La prochaine grande discussion
La présentation de Morgan se termine par la dernière diapositive, « Enfin, comment l’ingénieur social peut-il [sic] sortir de la mauvaise situation? »
Ironiquement, c’est le seul élément du discours que Morgan saute, préférant plutôt répondre aux questions du public. Compte tenu de la situation difficile actuelle de Morgan et Lichtenstein, c’est peut-être un sujet que le maître manipulateur pourrait souhaiter revoir.
Si le couple parvient à échapper à la prison malgré les attentions du DOJ, le titre de son prochain grand discours devrait s’écrire de lui-même.
Que pensez-vous de ce sujet ? Écrivez-nous et dites-nous!
Avertissement
Toutes les informations contenues sur notre site Web sont publiées de bonne foi et à des fins d’information générale uniquement. Toute action que le lecteur entreprend sur les informations trouvées sur notre site Web est strictement à ses risques et périls.
