Els ciberdelinqüents  van arribar a oferir-li un 25 % del rescat per proporcionar accés al seu equip perquè poguessin entrar al sistema del medi i extorsionar-lo.

Joe Tidy, un periodista de la BBC que sol escriure sobre ciberseguretat, ha relatat com es va veure embolicat en una trama de suborns. Un grup de pirates li donaria una gran fortuna per proporcionar accés privilegiat als sistemes de la BBC.

A Tidy li van fer una oferta força interessant: li oferien el 15 % de qualsevol rescat extret de la BBC, que podria ascendir a milions de lliures, a canvi de donar-los accés al seu PC.

«Aquest va ser el missatge que vaig rebre del no-res d’algú anomenat Syndicate que em va contactar el juliol a l’aplicació de xat encriptada Signal. No tenia idea de qui era aquesta persona, però a l’instant vaig saber de què es tractava», compte.

Així, al professional dels mitjans li van posar el ‘caramel’ que «mai més hauria de treballar» si en facilitava la intrusió, amb accions senzilles com aprovar sol·licituds d’autenticació o proporcionar credencials d’inici de sessió.

Tidy va simular estar interessat i va preguntar com funcionava. Els ciberdelinqüents, pertanyents al grup de programari de segrest Medusa, li van indicar que si els donava les seves dades d’accés i codi de seguretat piratejarien la BBC i després extorsionarien la corporació per demanar un rescat en bitcoins. Ell s’enduria una part del pagament. Per fer-ho més atractiu el van arribar a temptar amb el 25 % de la negociació final.

Els delinqüents li van dir que era molt freqüent que els empleats proporcionessin accés i que ja els havia passat en el passat.

El seu interlocutor, algú anomenat amb el sobrenom ‘Syn’, li va insistir que no estaven «fanfarronejant ni fent broma. No tenim propòsit mediàtic. Només busquem diners i un dels nostres directors principals volia que em comuniqués amb vostè.»

Segons relata el mateix Tidy al seu article, tenia la impressió que els ciberdelinqüents l’havien triat assumint que tenia coneixements tècnics i accés d’alt nivell als sistemes informàtics del medi. «Encara no estic del tot segur que Syn sabés que era un corresponsal cibernètic i no un empleat de ciberseguretat o de TI», explica.

El periodista va coordinar-se amb els equips de seguretat de la BBC per monitorar els atacs, canviant d’estratègia contra els delinqüents sense comprometre els sistemes. Després de les boniques promeses als hackers se’ls va acabar la paciència i van treure tot el seu arsenal.

Els ciberdelinqüents van bombardejar Tidy amb notificacions incessants de MFA perquè se’n cansés i aprovés una, i així aconseguir l’accés. A aquest atac se’l coneix com a ‘fatiga de MFA’ o ‘bombardeig MFA’.

«El meu telèfon va començar a sonar amb notificacions d’autenticació de dos factors. Les finestres emergents provenien de l’aplicació d’inici de sessió de seguretat de la BBC, que em demanava que confirmés que intentava restablir la contrasenya del meu compte», relata. Van arribar a enviar-ne una per minut.

En una distracció la víctima pressiona ‘Acceptar’, bé per error o perquè desapareguin les finestres emergents, i els pirates aconsegueixen entrar-hi. Així és com es va poder perpetrar l’hackeig d’Uber el 2022.

«Els delinqüents havien tret la conversa, relativament professional, de la seguretat de la meva app de xat a la pantalla d’inici del meu telèfon. Era com si uns delinqüents estiguessin trucant a la meva porta sense parar. Em va confondre el canvi de tàctica, però vaig ser massa cautelós per obrir els meus xats amb ells per si de cas acceptava sense voler-ho. Això els hauria donat accés immediat als meus comptes de la BBC»; aclareix.

Com si no hagués passat res

Finalment, l’equip de ciberseguretat de la BBC el va ajudar a desconnectar-se del tot. Així, es va quedar sense correus electrònics, sense intranet, sense eines internes i sense privilegis. Els ciberdelinqüents van insistir dient que havia estat un error, amb un to més amigable aquesta vegada i insistint que la seva oferta seguia vigent. Després d’uns dies sense donar-los resposta van eliminar el compte de Signal i van desaparèixer.

«Finalment, em vaig reincorporar al sistema de la BBC, encara que amb proteccions addicionals pel meu compte. I amb l’experiència afegida de ser al centre d’un atac intern», conclou.

El grup Medusa, conegut per les operacions d’extorsió de dades, es creu que té vincles amb Rússia. Segons revelaven les autoritats cibernètiques dels EUA, en els quatre anys que porten actius han piratejat més de 300 víctimes. La banda ha atacat en el passat grans corporacions, i ha filtrat informació quan no es compleixen les seves demandes.