![S3 Ep111: المخاطر التجارية المتمثلة في "عدم تصفية العري" المهلهل [صوت + نص] PlatoBlockchain Data Intelligence. البحث العمودي. عاي.](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2.png "S3 Ep111: المخاطر التجارية المتمثلة في \"عدم تصفية العُري\" الباهت [صوت + نص]")
مخاطر العمل من البرامج الضارة بعد ساعات
انقر واسحب على الموجات الصوتية أدناه للتخطي إلى أي نقطة. يمكنك أيضا استمع مباشرة على Soundcloud.
مع دوج آموث وبول دوكلين. موسيقى مقدمة وخاتمة بواسطة إديث مودج.
يمكنك الاستماع إلينا على SoundCloud لل, Apple Podcasts, Google Podcasts, سبوتيفي, الخياطة وفي أي مكان توجد فيه ملفات بودكاست جيدة. أو قم بإسقاط ملف عنوان URL لخلاصة RSS الخاصة بنا في podcatcher المفضل لديك.
اقرأ النص
دوغ. حملات القمع ، صفر أيام و Tik Tok porn.
كل ذلك وأكثر على بودكاست Naked Security.
[مودم موسيقي]
مرحبا بكم في البودكاست ، الجميع.
أنا دوغ عاموث. هو بول دوكلين.
بول ، من فضلك اعذر صوتي.
أنا مريض ، لكني أشعر بأنني حاد ذهنيًا!
بطة. ممتاز ، دوغ.
الآن ، أتمنى أن تكون قد قضيت أسبوعًا جيدًا ، وآمل أن تكون قد قمت ببعض الجمعة السوداء الرائعة.
دوغ. لدي الكثير من الأطفال لفعل أي شيء ممتع ... إنهم صغار جدًا.
لكننا حصلنا على شيئين يوم الجمعة السوداء عبر الإنترنت.
لأنني لا أعرف ، لا أتذكر آخر مرة ذهبت فيها إلى متجر بيع بالتجزئة ، لكن في أحد هذه الأيام سأعود.
بطة. اعتقدت أنك انتهيت من يوم الجمعة الأسود ، منذ أن تم إحباطك من أجل نينتندو وي في القرن الثامن عشر ، دوغ؟
دوغ. هذا صحيح ، نعم.
كان ذلك يتمايل حتى مقدمة الصف ، وبعض السيدات يقولن ، "أنت بحاجة إلى تذكرة" ، ورأين طول الخط وقولن ، "حسنًا ، هذا ليس لي."
بطة. [يضحك] كان من المفترض أن تكون التذكرة مجرد دخول * إلى * قائمة الانتظار ... ثم ستكتشف ما إذا كان لديهم أي شيء متبقي بالفعل.
دوغ. نعم ، ولم يفعلوا ... المفسد!
بطة. "سيدي ينضم فقط إلى قائمة الانتظار المسبقة."
دوغ. نعم.
لذلك لم أشعر برغبة في قتال مجموعة من الناس.
كل تلك الصور التي تراها في الأخبار ... لن تكون أنا أبدًا.
نحب أن نبدأ العرض بـ هذا الأسبوع في تاريخ التكنولوجيا ، ولدينا ميزة مزدوجة هذا الأسبوع ، بول.
في 28 نوفمبر 1948 ، تم طرح كاميرا بولارويد لاند موديل 95 للبيع في متجر جوردان مارش هنا في بوسطن.
كانت أول كاميرا تجارية فورية ، تعود إلى عام 1948.
وبعد ذلك بيوم واحد (وعدة سنوات) ، 29 نوفمبر 1972 ، قدمت أتاري منتجها الأول ، لعبة صغيرة تسمى PONG.
بطة. عندما أعلنت عن نيتك أن تعلن عن الكاميرا الأرضية باسم تاريخ التكنولوجيا، اعتقدت ... "كان ذلك عام 1968".
ربما قبل ذلك بقليل - ربما في أواخر الخمسينيات من القرن الماضي ، نوع من "عصر سبوتنيك".
1948 ، إيه؟
نجاح باهر!
تصغير كبير لذلك الوقت.
إذا كنت تفكر في حجم أجهزة الكمبيوتر ، فلم يكن الأمر يتعلق فقط بحاجتهم إلى غرف ، بل كانوا بحاجة إلى مباني كبيرة خاصة بهم!
وهنا كانت هذه الكاميرا شبه السحرية - الكيمياء في يدك.
كان لأخي واحد من هؤلاء عندما كنت طفلاً صغيراً ، وأتذكر أنني كنت مندهشًا تمامًا من ذلك.
لكن ليس مندهشًا ، دوج ، كما كان عندما اكتشف أنني قد التقطت صورتين بشكل متكرر ، فقط لأرى كيف تعمل.
لأنه بالطبع كان يدفع ثمن الفيلم [ضحك].
وهو ليس رخيصًا تمامًا مثل الفيلم في الكاميرات العادية.
دوغ. لا سيدي!
قصتنا الأولى هي قصة تاريخية أخرى.
كانت هذه دودة شجرة الكريسماس في عام 1987 ، والمعروفة أيضًا باسم CHRISTMA EXEC ، والتي تمت كتابتها بلغة البرمجة النصية REXX:
REXX ... لم أسمع بهذا من قبل.
لقد رسمت شجرة عيد الميلاد ASCII-art وانتشرت عبر البريد الإلكتروني ، مما تسبب في حدوث اضطراب كبير في أجهزة الكمبيوتر المركزية في جميع أنحاء العالم ، وكان نوعًا من مقدمة إلى أنا أحبك الفيروس الذي أثر على أجهزة كمبيوتر IBM.
بطة. أعتقد أن الكثير من الناس قد استخفوا بكل من مدى شبكات IBM في الثمانينيات ، وقوة لغات البرمجة النصية المتاحة ، مثل REXX.
أنت تكتب البرنامج كنص قديم عادي - لست بحاجة إلى مترجم ، إنه مجرد ملف.
وإذا قمت بتسمية اسم الملف بثمانية أحرف ، فإن CHRISTMA ، وليس CHRISTMAS (على الرغم من أنه يمكنك * كتابة * CHRISTMAS ، لأنه سيتجاهل -S فقط) ...
... وإذا أعطيت اسم الملف الامتداد EXEC (لذلك: CHRISTMA [مسافة] EXEC) ، فعند كتابة كلمة "Christmas" في سطر الأوامر ، سيتم تشغيلها.
كان ينبغي أن تكون طلقة تحذيرية عبر جميع أقواسنا ، لكنني أعتقد أنها شعرت وكأنها وميض قليلاً في المقلاة.
حتى عام لاحق ...
... ثم جاءت دودة الإنترنت ، دوج ، التي هاجمت بالطبع أنظمة يونكس وانتشرت على نطاق واسع:
وبحلول ذلك الوقت ، أعتقد أننا جميعًا أدركنا ، "أوه ، مشهد الفيروسات والديدان هذا يمكن أن يتحول إلى مشكلة كبيرة."
لذا ، نعم ، CHRISTMA EXEC ... بسيط جدًا ، جدًا.
لقد أقام بالفعل شجرة عيد الميلاد ، وكان من المفترض أن يكون ذلك مصدر إلهاء.
لقد نظرت إلى شجرة الكريسماس ، لذلك ربما لم تلاحظ كل العلامات الصغيرة في الجزء السفلي من جهاز IBM 3270 الخاص بك والتي تعرض كل نشاط النظام ، حتى بدأت في تلقي رسائل شجرة الكريسماس هذه من عشرات الأشخاص.
[ضحك]
وهكذا استمر الأمر مرارًا وتكرارًا.
"عيد ميلاد سعيد للغاية وأطيب تمنياتي للعام المقبل" ، قال ، كل ذلك في فن ASCII ، أو ربما ينبغي أن أقول فن EBCDIC.
يوجد تعليق في أعلى الكود المصدري: "دع هذا EXEC يعمل واستمتع بنفسك".
وبعد ذلك بقليل ، هناك ملاحظة تقول: "تصفح هذا الملف ليس ممتعًا على الإطلاق."
من الواضح أنه إذا لم تكن مبرمجًا ، فهذا صحيح تمامًا.
وتحتها تقول ، "اكتب فقط عيد الميلاد من موجه الأوامر."
لذا ، تمامًا مثل البرامج الضارة الحديثة التي تقول للمستخدم ، "مرحبًا ، تم تعطيل وحدات الماكرو ، ولكن من أجل" الأمان الإضافي "، تحتاج إلى إعادة تشغيلها ... لماذا لا تنقر فوق الزر؟ الأمر أسهل بكثير بهذه الطريقة ".
منذ 35 عامًا [يضحك] ، اكتشف مؤلفو البرامج الضارة بالفعل أنه إذا طلبت من المستخدمين بشكل جيد أن يفعلوا شيئًا ليس في مصلحتهم على الإطلاق ، فإن بعضهم ، وربما العديد منهم ، سيفعل ذلك.
بمجرد أن تصرح به ، كان قادرًا على قراءة ملفاتك ، ولأنه يمكنه قراءة ملفاتك ، يمكنه الحصول على قائمة بجميع الأشخاص الذين تراسلهم عادةً من ملف الأسماء المستعارة أو NAMES الخاص بك ، وانتقل إلى كل منهم.
دوغ. لا أقول إنني أفتقد هذه المرة ، ولكن كان هناك شيء مريح بشكل غريب ، منذ 20 عامًا ، وهو تشغيل Hotmail ورؤية مئات رسائل البريد الإلكتروني من الأشخاص الذين كانوا في قائمة جهات الاتصال الخاصة بهم ...
... وفقط * معرفة * أن شيئًا ما كان يحدث.
مثل ، "من الواضح أن هناك دودة تنتشر" ، لأنني أتلقى فقط عددًا هائلاً من رسائل البريد الإلكتروني من الناس هنا.
بطة. أشخاص لم تسمع عنهم من قبل لمدة عامين ... فجأة أصبحوا في جميع أنحاء صندوق البريد الخاص بك!
دوغ. حسنًا ، دعنا ننتقل إلى الجديد ، إلى العصر الحديث ...
... وهذا "التحدي الخفي" على TikTok:
تعرضنا البرمجيات الخبيثة الإباحية "التحدي الخفي" على TikTok للخطر
وهو في الأساس مرشح على TikTok يمكنك تطبيقه يجعلك تبدو غير مرئي ... لذلك بالطبع ، كان أول شيء فعله الناس هو ، "لماذا لا أخلع كل ملابسي ومعرفة ما إذا كان ذلك يجعلني غير مرئي حقًا؟"
وبعد ذلك ، بالطبع ، هناك مجموعة من المحتالين مثل ، "دعونا نطلق بعض البرامج المزيفة التي من شأنها أن تكون عراة" غير مرئية ".
هل لدي هذا الحق؟
بطة. نعم ، للأسف ، دوج ، هذا هو طويل وقصير.
ولسوء الحظ ، أثبت ذلك أنه إغراء جذاب للغاية لعدد كبير من الأشخاص عبر الإنترنت.
أنت مدعو للانضمام إلى قناة Discord هذه لمعرفة المزيد ... وللمضي قدمًا ، حسنًا ، يجب أن تعجبك صفحة GitHub.
لذا فإن كل هذه النبوءة التي تتحقق من تلقاء نفسها.
دوغ. هذا الجزء منه هو (أكره استخدام الكلمة B [رائع]) ... هذا الجانب منه يستحق كلمة B تقريبًا لأنك تضفي الشرعية على هذا المشروع غير الشرعي ، فقط من خلال تأييد الجميع له.
.
بطة. إطلاقا!
"صوّت عليه أولاً ، ثم * ثم * سنخبرك بكل شيء عنه ، لأنه من الواضح أنه سيكون رائعًا ، لأنه" إباحي مجاني "."
والمشروع نفسه عبارة عن مجموعة من الأكاذيب - إنه يرتبط فقط بمستودعات أخرى (وهذا أمر طبيعي تمامًا في مشهد سلسلة التوريد مفتوحة المصدر) ... تبدو وكأنها مشاريع مشروعة ، لكنها في الأساس نسخ من مشاريع مشروعة مع واحدة تم تغيير الخط الذي يعمل أثناء التثبيت.
وهو علم أحمر كبير ، بالمناسبة ، أنه حتى لو لم يكن هناك أشخاص عراة مهللين لم يقصدوا ذلك أبدًا في موضوع إباحي.
يمكن أن ينتهي بك الأمر ببرنامج شرعي ، مثبت بالفعل على GitHub ، ولكن عملية التثبيت ، وإرضاء جميع التبعيات ، وجلب كل البتات التي تحتاجها ... * تلك * العملية هي الشيء الذي يقدم البرامج الضارة.
وهذا بالضبط ما حدث هنا.
هناك سطر واحد من لغة بايثون المبهمة. عندما تقوم بتفكيكها ، فهي في الأساس أداة تنزيل تذهب وتجلب المزيد من Python ، والتي يتم خلطها بشكل كبير بحيث لا يكون من الواضح على الإطلاق ما تفعله.
تكمن الفكرة أساسًا في أن يقوم المحتالون بتثبيت ما يحلو لهم ، لأن برنامج التنزيل ينتقل إلى موقع ويب يتحكم فيه المحتالون ، حتى يتمكنوا من وضع أي شيء يريدون تنزيله.
ويبدو أن البرنامج الضار الأساسي الذي أراد المحتالون نشره (على الرغم من أنه كان بإمكانهم تثبيت أي شيء) كان حصان طروادة لسرقة البيانات استنادًا ، على ما أعتقد ، إلى مشروع يُعرف باسم WASP ...
... الذي يتتبع بشكل أساسي الملفات المثيرة للاهتمام على جهاز الكمبيوتر الخاص بك ، لا سيما بما في ذلك أشياء مثل محافظ العملات المشفرة وبطاقات الائتمان المخزنة ، والأهم من ذلك (ربما خمنت إلى أين سيذهب هذا!) كلمة مرور Discord الخاصة بك ، وبيانات اعتماد Discord الخاصة بك.
ونحن نعلم لماذا يحب المحتالون وسائل التواصل الاجتماعي وكلمات مرور الرسائل الفورية.
لأنه عندما يحصلون على كلمة المرور الخاصة بك ، يمكنهم التواصل مباشرة مع أصدقائك وعائلتك وزملائك في العمل في مجموعة مغلقة ...
... إنه أمر أكثر تصديقًا لدرجة أنه يجب أن يحصلوا على معدل نجاح أفضل بكثير في إغراء ضحايا جدد مقارنة بأشياء الرش والصلاة مثل البريد الإلكتروني أو الرسائل القصيرة.
دوغ. حسنًا ، سنراقب ذلك - لا يزال قيد التطوير.
ولكن أخيرًا بعض الأخبار الجيدة: عملية احتيال "Cryptorom" هذه ، وهي عملية احتيال تشفير / رومانسية ...
... لدينا بعض الاعتقالات ، واعتقالات كبيرة ، أليس كذلك؟
تم ضبط مواقع احتيال بقيمة ملايين الدولارات CryptoRom ، واعتقال المشتبه بهم في الولايات المتحدة
بطة. نعم.
هذا ما أعلنته وزارة العدل الأمريكية [DOJ]: تمت إزالة سبعة مواقع مرتبطة بما يسمى محتالو Cryptorom.
ويرتبط هذا التقرير أيضًا بحقيقة أنه ، على ما أعتقد ، تم اعتقال 11 شخصًا مؤخرًا في الولايات المتحدة.
الآن ، Cryptorom ، هذا هو الاسم الذي أطلقه باحثو SophosLabs على مخطط الجرائم الإلكترونية هذا لأنه ، كما قلت ، يتزوج مع النهج الذي يستخدمه المحتالون الرومانسيون (على سبيل المثال ، ابحث عنك على موقع مواعدة ، وإنشاء ملف تعريف مزيف ، وتصبح أصدقاء معك) مع الاحتيال بالعملات المشفرة.
بدلاً من عبارة "مرحبًا ، أريدك أن تقع في حبي ؛ دعنا نتزوج؛ الآن أرسل لي المال للحصول على التأشيرة "نوع من الاحتيال ...
... يذهب المحتالون ، "حسنًا ، ربما لن نصبح عنصرًا ، لكننا ما زلنا أصدقاء جيدين. [صوت درامي] هل سنحت لي فرصة استثمارية لك! "
لذلك يبدو فجأة أنه يأتي من شخص يمكنك الوثوق به.
إنها عملية احتيال تتضمن التحدث إليك بشأن تثبيت تطبيق خارج السوق ، حتى لو كان لديك جهاز iPhone.
"لا يزال قيد التطوير ؛ انها جديدة جدا انت مهم جدا أنت على حق في جوهرها. لا يزال قيد التطوير ، لذا اشترك في TestFlight ، البرنامج التجريبي ".
أو سيقولون ، "أوه ، نحن ننشره فقط للأشخاص الذين ينضمون إلى أعمالنا. لذا امنحنا التحكم في إدارة الأجهزة المحمولة (MDM) على هاتفك ، وبعد ذلك يمكنك تثبيت هذا التطبيق. [صوت سري} ولا تخبر أي شخص عن ذلك. لن يكون في متجر التطبيقات ؛ أنت مميز."
وبالطبع ، يبدو التطبيق وكأنه تطبيق تداول العملات المشفرة ، وهو مدعوم برسوم بيانية جميلة المظهر تستمر في الصعود بغرابة ، دوغ.
استثماراتك لا تنخفض أبدًا ... لكنها مجموعة من الأكاذيب.
وبعد ذلك ، عندما تريد إخراج أموالك ، حسنًا (خدعة بونزي أو مخطط هرمي نموذجي) ، في بعض الأحيان يسمحون لك بأخذ القليل من المال ... أنت تختبر ، لذا تسحب قليلاً ، وتحصل عليه الى الخلف.
بالطبع ، إنهم يعطونك فقط الأموال التي أعدتها بالفعل ، أو بعضًا منها.
دوغ. [حزين] نعم.
بطة. ومن ثم ترتفع استثماراتك!
وبعد ذلك ينتهونك جميعًا: "تخيل لو لم تسحب هذه الأموال؟ لماذا لا تعيد هذه الأموال؟ مرحبًا ، سنقرضك المزيد من المال ؛ سنضع شيئًا معك. ولماذا لا تدخل أصدقاءك؟ لأن شيئا كبيرا قادم! "
لذا قمت بوضع المال ، وحدث شيء كبير ، مثل ارتفاع السعر ، وستذهب ، "واو ، أنا سعيد للغاية لأنني أعدت استثمار الأموال التي سحبت!"
وما زلت تفكر ، "حقيقة أنه كان بإمكاني الانسحاب يجب أن تعني أن هؤلاء الأشخاص شرعيون."
بالطبع ، ليسوا كذلك - إنها مجرد مجموعة أكاذيب أكبر مما كانت عليه في البداية.
وبعد ذلك ، عندما تفكر أخيرًا ، "من الأفضل أن أسترد الأموال" ، فجأة هناك كل أنواع المشاكل.
"حسنًا ، هناك ضريبة ،" دوج ، "هناك ضريبة مقتطعة من الحكومة."
وستقول ، "حسنًا ، سأقوم بتقطيع 20٪ من الجزء العلوي."
ثم القصة هي ، "في الواقع ، لا ، إنها ليست * من الناحية الفنية * ضريبة مستقطعة." (وهو المكان الذي يأخذون فيه المال من المبلغ ويعطونك الباقي)
"في الواقع ، حسابك * مجمد * ، لذا لا تستطيع الحكومة حجب الأموال."
عليك أن تدفع في الضريبة ... ثم تسترد المبلغ بالكامل.
دوغ. [فوز] أوه ، يا إلهي!
بطة. يجب أن تشم رائحة فأر في هذه المرحلة ... لكنها في كل مكان. إنهم يضغطون عليك. إنهم يتخلصون من الأعشاب الضارة. إذا لم يكن إزالة الأعشاب الضارة ، فإنهم يقولون لك ، "حسنًا ، قد تقع في مشكلة. قد تكون الحكومة بعدك! "
يضع الناس نسبة الـ 20٪ وبعد ذلك ، كما كتبت [في المقال] ، آمل ألا أقوم بوقاحة: انتهت اللعبة ، أدخل عملة لبدء لعبة جديدة.
في الواقع ، قد يتم الاتصال بك بعد ذلك من قبل شخص ما بأعجوبة ، دوغ ، يقول ، "مرحبًا ، هل تم خداعك من قبل حيل Cryptorom؟ حسنًا ، أنا أحقق ، ويمكنني مساعدتك في استعادة الأموال ".
إنه لشيء فظيع أن تكون فيه ، لأن كل شيء يبدأ بجزء "rom" [الرومانسية].
إنهم ليسوا في الواقع بعد الرومانسية ، لكنهم * * بعد ما يكفي من الصداقة التي تشعر أنك تستطيع الوثوق بها.
لذا فأنت في الواقع تدخل في شيء "خاص" - ولهذا لم تتم دعوة أصدقائك وعائلتك.
دوغ. لقد تحدثنا عن هذه القصة عدة مرات من قبل ، بما في ذلك النصيحة الموجودة في المقالة هنا.
إلغاء التحميل [العنصر الرئيسي] في عمود الإرشاد هو: استمع بصراحة لأصدقائك وعائلتك إذا حاولوا تحذيرك.
الحرب النفسية كما كانت!
بطة. في الواقع.
والثانية والأخيرة هي أيضًا واحدة يجب تذكرها: لا تنخدع لأنك تذهب إلى موقع ويب محتال ويبدو تمامًا مثل الصفقة الحقيقية.
تعتقد ، "جولي ، هل يمكنهم فعلاً دفع المال لمصممي الويب المحترفين؟"
لكن إذا نظرت إلى مقدار الأموال التي يكسبها هؤلاء الأشخاص: [أ] نعم ، يمكنهم ذلك ، و [ب] لا يحتاجون إلى ذلك حقًا.
هناك الكثير من الأدوات التي تنشئ مواقع ويب عالية الجودة وصديقة للبصريات مع رسوم بيانية في الوقت الفعلي ومعاملات في الوقت الفعلي ونماذج ويب جميلة المظهر وسحرية ...
دوغ. بالضبط.
من الصعب حقًا إنشاء موقع ويب * سيء * المظهر في الوقت الحاضر.
عليك أن تحاول بجهد إضافي!
بطة. سيكون لها شهادة HTTPS ؛ سيكون له اسم مجال شرعي بما يكفي ؛ وبالطبع ، في هذه الحالة ، يقترن بتطبيق * لا يمكن لأصدقائك التحقق منه عن طريق تنزيل أنفسهم * من متجر التطبيقات والانتقال ، "ما الذي كنت تفكر فيه بحق الأرض؟"
نظرًا لأنه "تطبيق خاص سري" ، من خلال قنوات "فائقة خاصة" ، فإن هذا يجعل من السهل على المحتالين خداعك من خلال الظهور بمظهر أكثر من جيد بما فيه الكفاية.
لذا ، اعتنوا يا رفاق!
دوغ. العناية!
ودعونا نلتزم بموضوع الإجراءات الصارمة.
هذه حملة قمع كبيرة أخرى - هذه القصة مثيرة للاهتمام حقًا بالنسبة لي ، لذلك أنا مهتم بسماع كيف تفككها:
ضبط موقع iSpoof للاحتيال الصوتي ، واعتقال المئات في حملة واسعة النطاق
هذا موقع للاحتيال الصوتي والذي كان يسمى iSspoof ... وقد صدمت لأنه سمح له بالعمل.
هذا ليس موقع ويب مظلمة ، هذا موجود على شبكة الإنترنت العادية.
بطة. أعتقد أنه إذا كان كل ما يفعله موقعك هو ، "فسنقدم لك خدمات Voice Over IP [VoIP] ذات القيمة المضافة الرائعة التي تتضمن إعداد أرقام الاتصال الخاصة بك" ...
... إذا لم يقولوا صراحة ، "الهدف الأساسي من ذلك هو ارتكاب جرائم إلكترونية" ، فقد لا يكون هناك التزام قانوني على الشركة المضيفة بإزالة الموقع.
وإذا كنت تستضيفه بنفسك ، وأنت المحتال ... أعتقد أنه صعب للغاية.
لقد تطلب الأمر أمرًا من المحكمة في النهاية ، حصل عليه مكتب التحقيقات الفيدرالي ، على ما أعتقد ، وتم تنفيذه من قبل وزارة العدل ، للذهاب والمطالبة بهذه المجالات وتقديم [رسالة تقول] "تم الاستيلاء على هذا المجال."
لذلك كانت عملية طويلة جدًا ، كما أفهم ، مجرد محاولة للوقوف وراء ذلك.
تكمن المشكلة هنا في أنه يسهل عليك حقًا بدء خدمة احتيال حيث ، عندما تتصل بشخص ما ، سيظهر هاتفه مع اسم بنك High Street الذي أدخلوه بأنفسهم في قائمة جهات اتصال الهاتف الخاصة بهم ، * موقع البنك الخاص بالبنك *.
لأنه ، للأسف ، هناك القليل من المصادقة أو عدم وجود مصادقة في معرف المتصل أو بروتوكول تحديد هوية المتصل.
تلك الأرقام التي تظهر قبل الرد على المكالمة؟
إنهم ليسوا أفضل من التلميحات ، دوج.
لكن لسوء الحظ ، يعتبرهم الناس نوعًا من الحقيقة الإنجيلية: "يقول إنه البنك. كيف يمكن لأي شخص تزوير ذلك؟ يجب أن يكون البنك يتصل بي ".
ليس بالضرورة!
إذا نظرت إلى عدد المكالمات التي تم إجراؤها ... ما هو ، ثلاثة ملايين ونصف في المملكة المتحدة وحدها؟
10 ملايين في جميع أنحاء أوروبا؟
أعتقد أنها كانت ثلاثة ملايين ونصف مكالمة أجروها ؛ تم الرد على 350,000 من هؤلاء ثم استمر أكثر من دقيقة ، مما يشير إلى أن الشخص بدأ في تصديق كل هذا الانتحال.
لذلك: "قم بتحويل الأموال إلى الحساب الخاطئ" ، أو "اقرأ رمز المصادقة الثنائي الخاص بك" ، أو "دعنا نساعدك في حل مشكلتك التقنية - لنبدأ بتثبيت برنامج TeamViewer" ، أو أيًا كان.
وحتى يتم دعوتك من قبل المحتالين: "تحقق من الرقم إذا كنت لا تصدقني!"
دوغ. يقودنا هذا إلى السؤال الذي أمضيته طوال الوقت في قراءة هذا المقال ، ويتوافق بشكل جيد مع تعليق القراء لهذا الأسبوع.
يعلق Reader Mahnn ، "يجب أن تحصل شركات الاتصالات على نصيب عادل من اللوم للسماح بالانتحال على شبكتها."
لذا ، بهذه الروح ، يا بول ، هل هناك أي شيء يمكن أن تفعله شركات الاتصالات لإيقاف هذا؟
بطة. المثير للاهتمام ، المعلق التالي (شكرًا ، جون ، على هذا التعليق!) قال ، "أتمنى لو ذكرت شيئين يسمى STIR و SHAKEN."
هذه مبادرات أمريكية - لأنكم تحبون أسماءهم الخلفية ، ألا تحبوا قانون CAN-SPAM؟
دوغ. نحن نفعل!
بطة. لذلك ، STIR هو "إعادة النظر في هوية الهاتف الآمنة".
ويبدو أن SHAKEN تعني (لا تطلق النار علي ، أنا مجرد رسول ، دوغ!) ... ما هذا ، "المعالجة القائمة على التوقيع للمعلومات المؤكدة باستخدام الرموز المميزة".
لذلك فهو يشبه القول ، "لقد اعتدنا أخيرًا على استخدام TLS / HTTPS لمواقع الويب."
إنه ليس مثاليًا ، ولكنه على الأقل يوفر بعض الإجراءات حتى تتمكن من التحقق من الشهادة إذا كنت تريد ذلك ، ولا يتوقف أي شخص عن التظاهر بأنه أي شخص ، في أي وقت يحلو له.
المشكلة هي أن هذه مجرد مبادرات ، على حد علمي.
لدينا التكنولوجيا للقيام بذلك ، على الأقل للاتصالات الهاتفية عبر الإنترنت ...
... ولكن انظر إلى المدة التي استغرقتها منا للقيام بشيء بسيط مثل الحصول على HTTPS على جميع مواقع الويب تقريبًا في العالم.
كان هناك رد فعل عنيف كبير ضده.
دوغ. نعم!
بطة. ومن المفارقات أنها لم تكن تأتي من مزودي الخدمة.
لقد كان قادمًا من أشخاص يقولون ، "حسنًا ، أنا أدير موقعًا إلكترونيًا صغيرًا ، فلماذا يجب عليّ أن أهتم بهذا؟ لماذا علي الاهتمام؟ "
لذلك أعتقد أنه قد مرت سنوات عديدة قبل أن يكون هناك أي هوية قوية مرتبطة بالمكالمات الهاتفية الواردة ...
دوغ. حسنًا ، قد يستغرق الأمر بعض الوقت ، [WRYLY] ولكن كما قلت ، اخترنا الاختصارات ، وهي خطوة أولى مهمة جدًا.
لذا ، فقد خرجنا من هذا الطريق ... وسنرى ما إذا كان هذا سيتشكل في النهاية.
لذا شكرًا لك ، Mahnn ، على إرسال ذلك.
إذا كانت لديك قصة مثيرة للاهتمام أو تعليق أو سؤال ترغب في إرساله ، فنحن نحب قراءته في البودكاست.
يمكنك إرسال بريد إلكتروني إلى tips@sophos.com ، أو التعليق على أي من مقالاتنا ، أو يمكنك التواصل معنا على مواقع التواصل الاجتماعي:NakedSecurity.
هذا هو عرضنا لهذا اليوم. شكرا جزيلا على الاستماع.
بالنسبة لبول دوكلين ، اسمي دوج آموث ، أذكرك: حتى المرة القادمة ...
على حد سواء. ابق آمنًا.
[مودم موسيقي]
- سلسلة كتلة
- عملة عبقرية
- العملات المشفرة
- محافظ cryptocurrency
- cryptoexchange
- كريبتوروم
- الأمن الإلكتروني
- جرائم الإنترنت
- مجرمو الإنترنت
- الأمن السيبراني
- وزارة الأمن الداخلي
- محافظ رقمية
- جدار الحماية
- iSpoof
- Kaspersky
- القانون والنظام
- البرمجيات الخبيثة
- مكافي
- الأمن عارية
- بودكاست الأمن العاري
- NexBLOC
- أفلاطون
- أفلاطون ع
- الذكاء افلاطون البيانات
- لعبة أفلاطون
- أفلاطون داتا
- بلاتوغمينغ
- بودكاست
- احتيال إباحي
- خصوصية
- TikTok
- VPN
- أمن الانترنت
- زفيرنت
![الموسم 3 الحلقة 119: الخروقات والتصحيحات والتسريبات والتعديلات! [صوت + نص]](https://platoblockchain.com/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-300x156.jpg "الموسم 3 الحلقة 119: الخروقات والتصحيحات والتسريبات والتعديلات! [صوت + نص]")
![S3 Ep94: هذا النوع من التشفير (الرسوم البيانية)، والنوع الآخر من التشفير (العملة!) [الصوت + النص] PlatoBlockchain Data Intelligence. البحث العمودي. منظمة العفو الدولية.](https://platoblockchain.com/wp-content/uploads/2022/08/s3-ep94-200000000-300x157.png "S3 Ep94: هذا النوع من التشفير (رسومي) ونوع التشفير الآخر (عملة!) [صوت + نص]")
