S3 Ep92: Log4Shell4Ever, rejsetips og svindel [Lyd + tekst]

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Facebook-svindel, Log4Shell for evigt og tips til en cybersikker sommer.

Alt det, og mere, på Naked Security Podcast.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth, og med mig, som altid, er Paul Ducklin.

Hvordan har du det, Paul?

---

AND.  Jeg er super-duper, Douglas.

Begynder at køle lidt af her i England.

---

DOUG.  Ja.

---

AND.  Jeg tror, ​​jeg valgte den forkerte dag at tage på en dejlig stor cykeltur på landet.

Det var sådan en god idé, da jeg tog afsted: "Jeg ved godt, jeg tager en dejlig lang tur, og så tager jeg bare toget hjem, så jeg er hjemme i god tid til podcasten."

Og da jeg kom dertil, på grund af den ekstreme varme, kørte togene kun én gang hver anden time, og jeg havde lige misset én.

Så jeg skulle ride hele vejen tilbage... og jeg nåede det bare i tide.

---

DOUG.  Okay, så er du... du og jeg er i fuld gang med sommeren, og vi har nogle tips til sommeren, der kommer senere i showet.

Men først vil jeg gerne tale om Denne uge i teknisk historie.

I denne uge, i 1968, blev Intel Corporation dannet af Gordon Moore (han fra Moores lov) og Robert Noyce.

Noyce er krediteret som pioner inden for det integrerede kredsløb eller mikrochip.

Intels første mikroprocessor ville være 4004, som blev brugt til lommeregnere.

Og, a Sjov kendsgerning, navnet Intel er en mashup af INTEgreret elektronik.

Så... det firma viste sig ret godt.

---

AND.  Ja!

Jeg tror, ​​for at være retfærdig, måske ville du sige "Co-pioneer"?

---

DOUG.  Ja. Jeg havde: "En pioner."

---

AND.  Jack Kilby, fra Texas Instruments, tror jeg kom op med det første integrerede kredsløb, men det krævede stadig, at dele i kredsløbet blev koblet sammen.

Og Noyce løste problemet med, hvordan man bager dem alle sammen i silicium.

Jeg deltog faktisk i en tale af Jack Kilburn, da jeg var en nyslået datalog.

Absolut fascinerende – forskning i 1950'erne i Amerika!

Og selvfølgelig modtog Kilby berømt en Nobelpris, tror jeg i år 2000.

Men Robert Noyce, jeg er sikker på, ville have været en fælles vinder, men han var allerede død på det tidspunkt, og du kan ikke få en Nobelpris posthumt.

Så Noyce fik aldrig en Nobelpris, og det gjorde Jack St. Clair Kilby.

---

DOUG.  Nå, det var længe siden...

…og i lang tid fra nu, taler vi muligvis stadig om Log4Shell…

---

AND.  Åh, kære, ja.

---

DOUG.  Selvom der er en løsning på det, så er USA kommet ud og sagt, at der kan gå årtier, før denne ting er faktisk fikset.

---

AND.  Lad os være retfærdige... de sagde: "Måske et årti eller længere."

Dette er en krop kaldet Cybersecurity Review Board, CSRB (en del af Department of Homeland Security), som blev dannet tidligere i år.

Jeg ved ikke, om det blev dannet specifikt på grund af Log4Shell, eller bare på grund af problemer med forsyningskædens kildekode, der blev en stor sag.

Og næsten otte måneder efter, at Log4Shell var en ting, producerede de denne rapport på 42 sider... selve resuméet er på næsten 3 sider.

Og da jeg første gang kiggede på dette, tænkte jeg: "Åh, nu går vi."

Nogle offentligt ansatte har fået at vide, "Kom nu, hvor er din rapport? Du er bedømmelsesudvalget. Udgiv eller gå til grunde!”

Faktisk, selvom dele af det faktisk er tungt, synes jeg, du skal læse dette igennem.

De lægger nogle ting ind om, hvordan det som softwareleverandør, som softwareskaber, som et firma, der leverer softwareløsninger til andre mennesker, faktisk ikke er så svært at gøre dig selv nem at kontakte, så folk kan fortælle dig, når der er noget. du har overset.

For eksempel, "Der er stadig en Log4J-version i din kode, som du ikke lagde mærke til med verdens bedste vilje, og du har ikke rettet."

Hvorfor vil du ikke have, at nogen, der forsøger at hjælpe dig, skal være i stand til at finde dig og nemt kontakte dig?

---

DOUG.  Og de siger ting som... denne første er en slags bordindsats, men det er godt for alle, især mindre virksomheder, der ikke har tænkt på dette: Udvikl en aktiv- og applikationsopgørelse, så du ved, hvad du har kørende hvor.

---

AND.  De truer eller hævder ikke udtrykkeligt dette, fordi det ikke er op til disse offentligt ansatte at lave lovene (det er op til lovgiveren)... men jeg tror, ​​at det de siger er: "Udvikl den kapacitet, for hvis du ikke gør det , eller du kunne ikke være generet, eller du kan ikke finde ud af, hvordan du gør det, eller du tror, ​​at dine kunder ikke vil bemærke det, til sidst vil du måske opdage, at du har lidt eller intet valg!”

Især hvis du ønsker at sælge produkter til den føderale regering! [LATTER]

---

DOUG.  Ja, og vi har talt om det før... en anden ting, som nogle virksomheder måske ikke har tænkt på endnu, men som er vigtig at have: Et sårbarhedsprogram.

Hvad sker der i tilfælde af, at du har en sårbarhed?

Hvad er de skridt, du tager?

Hvad er den spilleplan, du følger for at løse dem?

---

AND.  Ja, det var det, jeg hentydede til tidligere.

Den enkle del af det er, at du bare har brug for en nem måde for nogen at finde ud af, hvor de sender rapporter i din organisation... og så skal du forpligte dig internt som virksomhed, at når du modtager rapporter, vil du faktisk handle på dem.

Som jeg sagde, forestil dig bare, at du har dette store Java-værktøjssæt, som du sælger, en stor app med masser af komponenter, og i et af back-end-systemerne er der denne store Java-ting.

Og derinde, forestil dig, at der stadig er en sårbar Log4J .JAR fil, du har overset.

Hvorfor vil du ikke have, at den person, der opdagede det, kunne fortælle dig det hurtigt og nemt, selv med en simpel e-mail?

Antallet af gange, du går på Twitter, og du ser velkendte cybersikkerhedsforskere sige, "Hej, er der nogen, der ved, hvordan man kontakter XYZ Corp?"

Havde vi ikke en sag på podcasten af ​​en fyr, der til sidst... Jeg tror, ​​han gik på TikTok eller sådan noget [LATER] fordi han kunne ikke finde ud af det hvordan man kontakter denne virksomhed.

Og han lavede en video, der sagde: "Hej gutter, jeg ved, at I elsker jeres sociale medievideoer, jeg prøver bare at fortælle jer om denne fejl."

Og til sidst bemærkede de det.

Hvis bare han kunne have gået til din virksomhed DOT com SLASH security DOT txt, for eksempel, og fundet en e-mailadresse!

"Det er der, vi foretrækker, at du kontakter os. Eller vi laver bug-bounties gennem dette program... her er, hvordan du tilmelder dig det. Hvis du ønsker at blive betalt.”

Det er ikke så svært!

Og det betyder, at nogen, der vil give dig besked om, at du har en fejl, som du måske troede, du fik rettet, kan fortælle dig.

---

DOUG.  Jeg elsker afstigningen i denne artikel!

Du skriver, og du kanaliserer John F. Kennedy og siger [KENNEDY VOICE] "Spørg ikke, hvad alle andre kan gøre for dig, men tænk på, hvad du kan gøre for dig selv, for enhver forbedring, du laver, vil næsten helt sikkert også gavne alle andre. ”

Okay, det er oppe på siden, hvis du vil læse om det... det er påkrævet læsning, hvis du er i en eller anden situation, hvor du skal håndtere en af ​​disse ting.

Det er en god læsning… læs i det mindste det tre sider lange resumé, hvis ikke rapporten på 42 sider.

---

AND.  Ja, den er lang, men jeg fandt den overraskende tankevækkende, og jeg blev meget positivt overrasket.

Og jeg tænkte, at hvis folk læste dette, og tilfældige mennesker tager en tilfældig tiendedel af det til sig...

…vi burde i fællesskab være et bedre sted.

---

DOUG.  Okay, går lige videre.

Det er sommerferiesæson, og det involverer ofte at tage dine gadgets med dig.

Vi har nogle tips til at nyde din sommerferie uden, errr, "ikke at nyde" den.

---

AND.  “Hvor mange gadgets skal vi tage? [DRAMATISK] Pak dem alle sammen!"

Desværre, jo mere du tager, jo større er din risiko, løst sagt.

---

DOUG.  Dit første tip her er, at du pakker alle dine gadgets... skal du tage en sikkerhedskopi, før du tager afsted?

Gætter svaret er: "Ja!"

---

AND.  Jeg synes, det er ret indlysende.

Alle ved, at du skal lave en sikkerhedskopi, men de udskyder den.

Så jeg tænkte, at det var en chance for at tro vores lille maksime eller sandhed: "Den eneste backup, du nogensinde vil fortryde, er den, du ikke lavede."

Og det andet med at sikre dig, at du har sikkerhedskopieret en enhed – uanset om det er til en cloud-konto, som du så logger ud fra, eller om det er til et flytbart drev, som du krypterer og lægger i skabet et sted – det betyder, at du kan fjerne dit digitale fodaftryk på enheden.

Vi kommer nærmere ind på, hvorfor det kan være en god idé... bare så du ikke har hele dit digitale liv og din historie med dig.

Pointen er, at ved at have en god backup, og så tynde ud i, hvad du faktisk har på telefonen, er der mindre at gå galt, hvis du mister den; hvis det bliver konfiskeret; hvis immigrationsmyndighederne vil se på det; hvad end det er.

---

DOUG.  Og noget relateret til at flytte rundt, kan du miste din bærbare computer og eller din mobiltelefon ... så du bør kryptere disse enheder.

---

AND.  Ja.

Nu er de fleste enheder krypteret som standard i disse dage.

Det er bestemt sandt for Android; det er bestemt sandt for iOS; og jeg tror, ​​når du får Windows bærbare computere i disse dage, BitLocker er der.

Jeg er ikke en Windows-bruger, så jeg er ikke sikker... men bestemt, selvom du har Windows Home Edition (som irriterende nok, og jeg håber, at dette ændrer sig i fremtiden, irriterende nok ikke lader dig bruge BitLocker på flytbare drev) … det lader dig bruge BitLocker på din harddisk.

Hvorfor ikke?

For det betyder, at hvis du mister den, eller den bliver konfiskeret, eller din bærbare computer eller telefon bliver stjålet, er det ikke bare et tilfælde, at en skurk åbner din bærbare computer, trækker harddisken ud, sætter den i en anden computer og læser alt fra den. , bare sådan.

Hvorfor ikke tage forholdsreglerne?

Og selvfølgelig på en telefon, generelt fordi den er præ-krypteret, er krypteringsnøglerne prægenereret og beskyttet af din låsekode.

Lad være med at sige: "Nå, jeg er på farten, jeg er måske under pres, jeg har måske brug for det i en fart... jeg bruger bare 1234 or 0000 i feriens varighed."

Gør det ikke!

Låsekoden på din telefon er det, der styrer den faktiske fuld-on krypterings- og dekrypteringsnøgler til dataene på telefonen.

Så vælg en lang låsekode... Jeg anbefaler ti cifre eller længere.

Indstil det, og øv dig i at bruge det derhjemme i et par dage, i en uge før du tager afsted, indtil det er en anden natur.

Gå ikke bare, 1234 er god nok, eller "Åh, jeg har en lang låsekode... Jeg går 0000 0000, det er *otte* karakterer, det vil ingen nogensinde tænke på!"

---

DOUG.  OK, og det her er virkelig interessant: Du har nogle råd om folk, der krydser nationale grænser.

---

AND.  Ja, det er blevet noget af et problem i disse dage.

Fordi mange lande - jeg tror, ​​at USA og Storbritannien er blandt dem, men de er på ingen måde de eneste - kan sige: "Se, vi vil gerne se din enhed. Vil du låse den op, tak?"

Og du siger: "Nej, selvfølgelig ikke! Det er privat! Det har du ikke ret til!"

Nå, måske gør de det, og måske gør de ikke... du er ikke i landet endnu.

Det er "Mit køkken, Mine regler", så de siger måske, "OK, fint, *du* har fuld ret til at nægte ... men så vil *vi* nægte din adgang. Vent her i ankomstloungen, indtil vi kan overføre dig til afgangsloungen for at komme på det næste fly hjem!”

Grundlæggende skal du ikke *bekymre dig* om, hvad der kommer til at ske, såsom "Jeg kan blive tvunget til at afsløre data ved grænsen."

*Slå op* hvad betingelserne for indrejse er... reglerne for privatliv og overvågning i det land, du skal til.

Og hvis du virkelig ikke kan lide dem, så tag ikke derhen! Find et andet sted at gå til.

Eller bare gå ind i landet, fortæl sandheden og reducere dit digitale fodaftryk.

Som vi sagde med backup... jo mindre "digitalt liv"-ting du har med dig, jo mindre er der at gå galt, og jo mindre sandsynligt er det, at du mister det.

Så "Vær forberedt" er, hvad jeg siger.

---

DOUG.  OK, og dette er en god en: Offentlig Wi-Fi, er det sikkert eller usikkert?

Det kommer vel an på?

---

AND.  Ja.

Der er mange mennesker, der siger, "Golly, hvis du bruger offentlig Wi-Fi, er du dømt!"

Selvfølgelig har vi alle brugt offentlig Wi-Fi i årevis, faktisk.

Jeg kender ikke nogen, der faktisk er holdt op med at bruge det af frygt for at blive hacket, men jeg ved, at folk siger: "Nå, jeg ved, hvad risiciene er. Den router kunne have været ejet af hvem som helst. Den kunne have nogle skurke på sig; det kunne have en skruppelløs kaffebaroperatør; eller det kan bare være, at nogen hackede den, som var her på ferie i sidste måned, fordi de syntes, den var frygtelig sjov, og den lækker data, fordi 'ha ha ha'."

Men hvis du bruger apps, der har ende-til-ende-kryptering, og hvis du bruger websteder, der er HTTPS, så de er ende-til-ende-krypteret mellem din enhed og den anden ende, så er der betydelige grænser for hvad selv en fuldstændig hacket router kan afsløre.

Fordi enhver malware, der er blevet implanteret af en tidligere besøgende, vil blive implanteret på *routeren*, ikke på *din enhed*.

---

DOUG.  OK, næste... hvad jeg anser for at være computerens version af sjældent rengjorte offentlige toiletter.

Skal jeg bruge kiosk-pc'er i lufthavne eller hoteller?

Bortset fra cybersikkerhed... bare antallet af mennesker, der har haft fingrene i det beskidte, beskidte tastatur og mus!

---

AND.  Præcis.

Så dette er bagsiden af ​​"Skal jeg bruge offentlig Wi-Fi?"

Skal jeg bruge en Kkiosk pc, f.eks. på hotellet eller i en lufthavn?

Den store forskel mellem en Wi-Fi-router, der er blevet hacket, og en kiosk-pc, der er blevet hacket, er, at hvis din trafik bliver krypteret gennem en kompromitteret router, er der en grænse for, hvor meget den kan spionere på dig.

Men hvis din trafik stammer fra en hacket eller kompromitteret kioskcomputer, så er det dybest set, set fra et cybersikkerhedssynspunkt, *det er 100 % Game Over*.

Med andre ord kunne den kiosk-pc have uhindret adgang til *alle de data, som du sender og modtager på internettet*, før de bliver krypteret (og efter de ting, du får tilbage, bliver dekrypteret).

Så krypteringen bliver i det væsentlige irrelevant.

*Hvert tastetryk, du indtaster*... bør du antage, at det bliver sporet.

*Hver gang der er noget på skærmen*... bør du gå ud fra, at nogen kan tage et skærmbillede.

*Alt hvad du udskriver*... du skal antage, at der er lavet en kopi i en skjult fil.

Så mit råd er at behandle de kiosk-pc'er som et nødvendigt onde og kun bruge dem, hvis du virkelig er nødt til det.

---

DOUG.  Ja, jeg var på hotel i sidste weekend, som havde en kiosk-pc, og nysgerrigheden tog overhånd.

Jeg gik op... den kørte Windows 10, og du kunne installere hvad som helst på den.

Den var ikke låst, og den, der havde brugt den før, havde ikke logget ud af Facebook!

Og dette er et kædehotel, der burde have vidst bedre... men det var bare et vidt åbent system, som ingen havde logget ud af; en potentiel afløbsbrønd af cyberkriminalitet, der venter på at ske.

---

AND.  Så du kunne bare tilslutte en USB-stick og derefter gå, "Installer keylogger"?

---

DOUG.  Ja!

---

AND.  "Installer netværkssniffer."

---

DOUG.  Uh huh!

---

AND.  "Installer rootkit."

---

DOUG.  Ja!

---

AND.  "Sæt flammende kranier på tapet."

---

DOUG.  Nej tak!

Dette næste spørgsmål har ikke et godt svar...

Hvad med spycams og hotelværelser og Airbnbs?

Disse er svære at finde.

---

AND.  Ja, det sætter jeg ind, fordi det er et spørgsmål, vi jævnligt bliver stillet.

Vi har skrevet om tre forskellige tilfælde af ikke-erklærede spionkameraer. (Det er en slags tautologi, ikke?)

Den ene var på et vandrerhjem i Australien, hvor denne fyr inviterede folk på besøgsvisum, som har lov til at udføre landbrugsarbejde, og sagde "Jeg giver dig et sted at bo."

Det viste sig, at han var en Peeping Tom.

Den ene var i et Airbnb-hus i Irland.

Dette var en familie, der rejste hele vejen fra New Zealand, så de kunne ikke bare sætte sig ind i bilen og tage hjem, give op!

Og det andet var et rigtigt hotel i Sydkorea... det var virkelig uhyggeligt.

Jeg tror ikke, det var kæden, der ejede hotellet, det var nogle korrupte medarbejdere eller noget.

De satte spionkameraer i værelserne, og jeg nænner dig ikke, Doug... de solgte faktisk i princippet pay-per-view.

Jeg mener, hvor uhyggeligt er det?

Den gode nyhed, i to af de tilfælde blev gerningsmændene faktisk anholdt og sigtet, så det endte galt for dem, hvilket er helt rigtigt.

Problemet er... hvis du læser Airbnb-historien (vi har et link om Naked Security), var fyren, der boede der med sin familie, faktisk en IT-person, en cybersikkerhedsekspert.

Og han bemærkede, at et af værelserne (det er meningen, at du skal oplyse, om der er nogen kameraer i en Airbnb, åbenbart) havde to røgalarmer.

Hvornår ser du to røgalarmer? Du skal kun bruge én.

Og så begyndte han at se på en af ​​dem, og den lignede en røgalarm.

Den anden, ja, det lille hul, der har LED'en, der blinker, blinkede ikke.

Og da han kiggede igennem, tænkte han: "Det ser ud mistænkeligt som en linse for et kamera!"

Og det var i virkeligheden et spionkamera forklædt som en røgalarm.

Indehaveren havde tilsluttet det til det almindelige Wi-Fi, så han var i stand til at finde det ved at lave en netværksscanning ... ved hjælp af et værktøj som Nmap eller noget i den stil.

Han fandt denne enhed, og da han pingede den, var det ret tydeligt ud fra dens netværkssignatur, at det faktisk var et webcam, selvom et webcam gemt i en røgalarm.

Så han var heldig.

Vi skrev en artikel om, hvad han fandt, linkede og forklarede, hvad han havde blogget om på det tidspunkt.

Dette var tilbage i 2019, så det er tre år siden, så teknologien er nok endda kommet en lille smule mere siden da.

I hvert fald gik han online for at se: "Hvilken chance har jeg faktisk for at finde kameraer de næste steder, hvor jeg bor?"

Og han stødte på et spionkamera – jeg forestiller mig, at billedkvaliteten ville være ret forfærdelig, men det er stadig et *fungerende digitalt spionkamera*…. ikke trådløs, du skal tilslutte den – indlejret *i en Phillips-skrue*, Doug!

---

DOUG.  Fantastiske.

---

AND.  Bogstaveligt talt den type skrue, du ville finde i dækpladen, som du får på en lyskontakt, f.eks. den størrelse skrue.

Eller skruen, du får på en dækplade til en stikkontakt... en stjerneskrue af almindelig, beskeden størrelse.

---

DOUG.  Jeg leder efter dem på Amazon lige nu!

"Pinhole screw camera", for $20.

---

AND.  Hvis det ikke er forbundet tilbage til det samme netværk, eller hvis det er tilsluttet en enhed, der bare optager til et SD-kort, bliver det meget svært at finde!

Så, desværre, svaret på dette spørgsmål ... grunden til, at jeg ikke skrev spørgsmål seks som: "Hvordan finder jeg spycams i de værelser, jeg boede i?"

Svaret er, at du kan prøve, men desværre er det hele "Fravær af beviser er ikke bevis for fravær".

Desværre har vi ikke råd, der siger: "Der er en lille dims, du kan købe, der er på størrelse med en mobiltelefon. Du trykker på en knap, og den bipper, hvis der er et spycam i rummet."

---

DOUG.  OKAY. Vores sidste tip til dem af jer derude, der ikke kan hjælpe jer selv: "Jeg tager på ferie, men hvad nu hvis jeg vil tage min arbejds-laptop med?"

---

AND.  Det kan jeg ikke svare på.

Det kan du ikke svare på.

Det er ikke din bærbare computer, det er arbejdets bærbare computer.

Så det enkle svar er: "Spørg!"

Og hvis de siger: "Hvor skal du hen?", og du angiver landets navn, og de siger: "Nej"...

…så er det det, du kan ikke tage det med.

Måske bare sige: "Godt, kan jeg lade det ligge her? Kan du låse den inde i IT-skabet, indtil jeg kommer tilbage?”

Hvis du går og spørger IT: "Jeg tager til land X. Hvis jeg tog min bærbare arbejdscomputer med, har du så nogle særlige anbefalinger?"...

... lyt dem!

For hvis arbejdet mener, at der er ting, du burde vide om privatlivets fred og overvågning på det sted, du skal hen, gælder de ting sandsynligvis for dit hjemliv.

---

DOUG.  Okay, det er en fantastisk artikel ... læs resten af ​​den.

---

AND.  Jeg er så stolt af de to jingler, jeg er færdig med!

---

DOUG.  Åh ja!

Vi har hørt, "Hvis du er i tvivl, så giv det ikke ud."

Men det her er en ny, du fandt på, som jeg virkelig godt kan lide….

---

AND.  "Hvis dit liv er på din telefon/hvorfor ikke lade det blive derhjemme?"

---

DOUG.  Ja, der går du!

Okay, af hensyn til tiden har vi en anden artikel på webstedet, jeg beder dig læse. Dette kaldes: Facebook 2FA svindlere vender tilbage, denne gang på kun 21 minutter.

Dette er den samme fidus, der plejede at tage 28 minutter, så de har barberet sig syv minutter fra denne fidus.

Og vi har et læserspørgsmål til dette indlæg.

Læser Peter skriver til dels: "Tror du virkelig, at disse ting er tilfældige? Jeg hjalp med at ændre min svigerfars British Telecom-bredbåndskontrakt for nylig, og den dag ændringen gik i gang, fik han et phishing-telefonopkald fra British Telecom. Det kunne selvfølgelig være sket en hvilken som helst dag, men sådan nogle ting får dig til at undre dig over timing. Paul..."

---

AND.  Ja, vi får altid folk, der siger: "Ved du hvad? Jeg fik en af ​​disse svindelnumre..."

Uanset om det handler om en Facebook-side eller Instagram-ophavsret eller, som denne fyrs far, telekommunikationsrelateret... "Jeg fik fidusen allerede morgenen efter, at jeg gjorde noget, der var direkte relateret til, hvad fidusen handlede om. Det er vel ikke en tilfældighed?”

Og jeg tror, ​​at for de fleste mennesker, fordi de kommenterer på Naked Security, indser de, at det er en fidus, så de siger: "Det vidste skurkene sikkert?"

Der skal med andre ord være noget intern viden.

Bagsiden af ​​det er folk, der *ikke* indser, at det er et fupnummer, og som ikke vil kommentere Naked Security, de siger: "Åh, jamen, det kan ikke være en tilfældighed, derfor skal det være ægte!"

I de fleste tilfælde, efter min erfaring, er det absolut tilfældigt, blot på basis af volumen.

Så pointen er, at i de fleste tilfælde er jeg overbevist om, at disse svindelnumre, du får, er tilfældigheder, og skurkene stoler på, at det er nemt at "fremstille" disse tilfældigheder, når du kan sende så mange e-mails til så mange mennesker så let.

Og du prøver ikke at narre *alle*, du prøver bare at narre *nogen*.

Og Doug, hvis jeg kan presse det ind til sidst: "Brug en adgangskodeadministrator!"

For så kan du ikke sætte det rigtige kodeord ind på den forkerte side ved en fejl, og det hjælper dig enormt meget med de svindelnumre, uanset om de er tilfældige eller ej.

---

DOUG.  Okay, meget godt som altid!

Tak for kommentaren, Peter.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan kontakte os på socialt: @nakedsecurity.

Det er vores show for i dag; mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang, at...

---

BEGGE.  Hold dig sikker!

[MUSIK MODEM]