¿El hacker más tonto de la historia?

Estamos acostumbrados a ver como hackers inteligentes y con recursos sacan provecho de nuestros fallos de configuración o de vulnerabilidades conocidas (incluso desconocidas). Lo que no es normal es ver como un hacker -y perdón por la palabra, pero ciberdelincuente se me hace largo para el título- se manda a sí mismo a prisión de forma directa. ¿Estamos ante el hacker más tonto de la historia?

Por ejemplo, el pasado Junio de 2016 un atacante fue capaz de solicitar un restablecimiento de credenciales para un usuario de Facebook, consiguiendo esto mediante una falsificación de su pasaporte y gracias en parte a la falta de profesionalidad del equipo de seguridad de Facebook.

Sin embargo, como el propio Cluley indica en su post, ser hacker no implica necesariamente ser inteligente. Es el caso del ciberdelincuente Dwayne C. Hans.

Dwayne C. Hans, ¿el hacker más tonto de la historia?

La semana pasada, el citado individuo -de 27 años- fué arrestado en Washington (su localidad natal) debido a una acusación contra él por fraude telemático, telefónico y por blaqueo de capitales. Lo podría haber evitado, pero no hizo las cosas bien, en absoluto.

Lo primero que hizo Dwayne entre el 28 de Abril y el 17 de Junio de este año fué conseguir acceso no autorizado en el SAM (General Service Administration’s Systems for Awards Management) de los Estados Unidos. Servicio General de Sistemas de Administración para la Gestión de Premios, en castellano.

La web del SAM sirve a los proveedores que mantienen contratos de suministro con el gobierno de aquel país para que puedan introducir sus credenciales bancarias y así poder recibir los pagos del gobierno.

Utilizó su propia dirección IP, email, nombre…

Dwayne entró en el sistema (primer punto para Dwayne) y modificó el registro de una entidad financiera dentro del SAM, de forma que consiguió engañar al Pension Benefit Guarantee Corporation para que realizara una transferencia de más de 1,5 millones de dólares a una cuenta bajo su control.

Sin embargo, los responsables fueron capaces de ver y revertir la transferencia antes de que el ciberatacante tuviera la opción de recibir el dinero. Esto hizo que dejase una huella y una sospecha.

A continuación transcribo un fragmento de lo aparecido en el sumario del caso:

De acuerdo a la información de protocolo de Internet (IP) asociada con la intrusión del defendido hacia SAM.gov, el acceso no autorizado fué realizado mediante una dirección IP registrada a nombre de Dwayne C. Hans en una dirección de Richland, Washington (la «Dirección de Richland»), en la cual se ha observado por el FBI que el defendido ha estado en múltiples ocasiones, entre Agosto de 2016 y Septiembre de 2016. Además, la información de usuario que fué proporcionada para acceder a SAM.gov sin autorización estaba asociada a dicha página con la dirección de email «dwayne.hansjr@outlook.com».

Es decir, Dwayne C. Hans no se cortó un pelo a la hora de interponer su propio nombre, su dirección de residencia habitual, su propia dirección email (claramente identificable) y a todo ello unió el uso de una dirección IP que se demostró rápidamente que era suya.

Pero ahí no acaba la historia.

En algún momento entre el 15 de Marzo y el 11 de Abril de 2016, Hans abrió hasta 5 cuentas bancarias con la institución financiera a la que posteriormente decidiría robar. Entonces, enlazó dichas cuentas con una en JPMorgan, algo que en teoría le permitiría robar 134000 $ desde dos cuentas en dicho banco.

Sometime between 15 March and 11 April 2016, Hans set up five bank accounts with the financial institution from which he later stole. He then linked those accounts to an account at JP Morgan so that he could try to steal $134,000 from two corporate accounts at the bank.

Tamibién en dicha ocasión, los controles bancarios permitieron abortar las operaciones antes de que fuera tarde, ¿por qué?, veamos:

Las cinco cuentas que el defendido Dwayne C. Hans creó estaban asociadas al nombre «Dwayne C. Hans» y con información que enlazaba al defendido, incluyendo la dirección de Richland y el número de Seguridad Social de del mismo. Por ejemplo, la nueva cuenta a la que el defendido intento enlazar su cuenta de JPMorgan, estaba registrada a nombre de «Dwayne C. Hans Jr.», junto a su fecha de nacimiento y Dirección de Richland. Además, el defendido listó un número de teléfono terminado en -3434; dicho número de teléfono está asociado a su vez a la cuenta bancaria que el defendido creó en SAM.gov, como se ha mencionado anteriormente.

Además, el sumario continúa diciendo que estas cinco cuentas creadas por Hans eran además accedidas desde la dirección IP en Richland y registrada a nombre de Dwayne Hans, junto a otra dirección IP, también de Richland, Washington.

Más información en The Registrer. Ojalá (para los buenos) todos lo cibercriminales fueran tan estúpidos como este simpático señor del que hemos hablado hoy 😛