S3 Ep103: Scammers in the Slammer (og andre historier) [Lyd + tekst]

Klik og træk på lydbølgerne nedenfor for at springe til ethvert punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Microsofts dobbelte nuldag, fængsel for svindlere og falske telefonopkald.

Alt det, og mere, på Naked Security-podcasten.

[MUSIK MODEM]

Velkommen til podcasten, alle sammen. Jeg er Doug Aamoth.

Han er Paul Ducklin...

---

AND.  Det er en stor fornøjelse, Douglas.

---

DOUG.  jeg har noget Teknisk historie for dig og det går langt tilbage, langt, langt, langt tilbage, og det har at gøre med lommeregnere.

I denne uge, den 7. oktober 1954, demonstrerede IBM den første af sin slags all-transistor lommeregner.

IBM Electronic Calculating Punch, som det hed, byttede sine 1250 vakuumrør ud med 2000 transistorer, hvilket halverede dens volumen og brugte kun 5 % så meget strøm.

---

AND.  Wow!

Jeg havde ikke hørt om den "604", så jeg gik hen og slog den op, og jeg kunne ikke finde et billede.

Tilsyneladende var det bare den eksperimentelle model, og det var et par måneder senere, at de bragte den, du kunne købe, som blev kaldt 608'eren, og de havde øget den til 3000 transistorer.

Men husk, Doug, dette er ikke transistorer som i integrerede kredsløb [IC'er], fordi der ikke var nogen IC'er endnu.

Hvor du ville have haft en ventil, en termionventil (eller et "toob" [vakuumrør], som I ville kalde det), ville der være en transistor tilsluttet i stedet.

Så selvom det var meget mindre, var det stadig diskrete komponenter.

Når jeg tænker "lommeregner", tænker jeg "lommeberegner"...

---

DOUG.  Åh, nej, nej, nej!

---

AND.  "Nej", som du siger...

…det er på størrelse med et meget stort køleskab!

Og så skal du have et meget stort køleskab ved siden af, på billedet som jeg så, som jeg tror er til input.

Og så var der noget andet kontrolkredsløb, der lignede en meget stor kummefryser, ved siden af ​​de to meget store køleskabe.

Jeg var ikke klar over dette, men tilsyneladende udstedte Thomas Watson [CEO for IBM] på det tidspunkt dette dekret for hele IBM: "Ingen nye produkter må bruge ventiler, vakuumrør. Vi omfavner, støtter og bruger kun transistorer."

Og så var det der, alt gik derefter.

Så selvom dette var i forkant med transistorrevolutionen, blev det tilsyneladende hurtigt afløst... det var kun på markedet i omkring 18 måneder.

---

DOUG.  Nå, lad os blive ved emnet meget store ting, og opdatere vores lyttere om denne Microsoft Exchange-dobbelte nul-dag.

Vi har dækket det på en minisode; vi har dækket det på stedet… men noget nyt vi bør vide om?

---

AND.  Ikke rigtig, Douglas.

Det ser ikke ud til at have overtaget cybersikkerhedsverdenen eller sikkerhedsoperationer [SecOps] som ProxyShell og Log4Shell gjorde:

Jeg gætter på, at der er to grunde til det.

For det første er de faktiske detaljer om sårbarheden stadig hemmelige.

De er kendt af det vietnamesiske firma, der opdagede det, af ZeroDay Initiative [ZDI], hvor det var ansvarligt afsløret, og af Microsoft.

Og alle ser ud til at holde det under hatten.

Så så vidt jeg ved, er der ikke 250 proof-of-concept "prøv det nu!" GitHub repositories, hvor du kan gøre det for dig selv.

For det andet kræver det autentificeret adgang.

Og min mavefornemmelse er, at alle de wannabe "cybersikkerhedsforskere" (gigantiske luftcitater indsat her), som hoppede med på vognen med at køre angreb på tværs af internettet med Proxyshell eller Log4Shell, og hævdede, at de gjorde tjenestens verden: "Hej, hvis din webservice er sårbar, finder jeg ud af det, og jeg fortæller dig det”...

…Jeg formoder, at mange af de mennesker vil tænke sig om to gange om at forsøge at udføre det samme angreb, hvor de rent faktisk skal gætte adgangskoder.

Det føles som om det er den anden side af en ret vigtig streg i sandet, ikke?

---

DOUG.  Uh huh.

---

AND.  Hvis du har en åben webserver, der er designet til at acceptere anmodninger, er det meget forskelligt fra at sende en anmodning til en server, som du ved, du ikke skal have adgang til, og forsøge at give en adgangskode, som du ved, du ikke skal have adgang til. at vide, om det giver mening.

---

DOUG.  Ja.

---

AND.  Så den gode nyhed er, at det ikke ser ud til at blive udnyttet bredt...

…men der er stadig ikke en patch ud.

Og jeg tror, ​​at så snart et plaster dukker op, skal du hurtigt få det.

Forsink ikke, for jeg forestiller mig, at der vil være en smule madvanvid ved at prøve at reverse-engineere patches for at finde ud af, hvordan du rent faktisk udnytter denne ting pålideligt.

For så vidt vi ved, fungerer det ret godt – hvis du har en adgangskode, så kan du bruge den første udnyttelse til at åbne døren til den anden udnyttelse, som lader dig køre PowerShell på en Exchange-server.

Og det kan aldrig ende godt.

Jeg tog et kig på Microsofts Guideline-dokument i morges (vi optager onsdag i ugen), men jeg så ingen information om en patch eller hvornår en vil være tilgængelig.

Næste tirsdag er det Patch Tuesday, så måske bliver vi nødt til at vente indtil da?

---

DOUG.  OK, vi holder øje med det, og opdater venligst og patch, når du ser det... det er vigtigt.

Jeg vil gå tilbage til vores lommeregner og give dig en lille ligning.

Det går sådan her: 2 års svindel + $10 millioner snydt = 25 års fængsel:

---

AND.  Dette er en kriminel – det kan vi nu kalde ham, fordi han ikke kun er blevet dømt, men dømt – med et dramatisk klingende navn: Elvis Eghosa Ogiekpolor.

Og han drev, hvad man kan kalde en håndværker-cybergang i Atlanta, Georgia i USA for et par år siden.

På lige under to år fejrede de, om du vil, af uheldige virksomheder, der var ofre for det, der er kendt som Business Email Compromise [BEC], og uheldige personer, som de lokkede til romantik-svindel … og tjente 10 millioner dollars.

Elvis (det vil jeg bare kalde ham)... i dette tilfælde havde han fået et hold sammen, som skabte et helt net af svigagtigt åbnede amerikanske bankkonti, hvor han kunne indbetale og derefter hvidvaske pengene.

Og han blev ikke kun dømt, han er lige blevet dømt.

Dommeren besluttede åbenbart, at arten af ​​denne forbrydelse og arten af ​​offeret var tilstrækkelig alvorlig til, at han fik 25 år i et føderalt fængsel.

---

DOUG.  Lad os grave ind i Business Email Compromise.

Jeg synes, det er fascinerende – enten udgiver du dig for at være en andens e-mailadresse, eller også har du fået fat i deres faktiske e-mailadresse.

Og med det, når du først kan få nogen på krogen, kan du gøre en hel masse ting.

Du oplister dem i artiklen her – jeg vil gennemgå dem hurtigt.

Du kan lære, hvornår store betalinger skal betales...

---

AND.  Ja.

Det er klart, at hvis du mailer udefra, og du bare forfalsker e-mail-headerne for at lade som om, at e-mailen kommer fra CFO'en, så skal du gætte, hvad CFO'en ved.

Men hvis du kan logge ind på CFO's e-mail-konto hver morgen tidligt, før de gør, så kan du få et kig rundt i alle de store ting, der foregår, og du kan lave notater.

Og så når du kommer for at efterligne dem, sender du ikke kun en e-mail, der faktisk kommer fra deres konto, du gør det med en fantastisk mængde insiderviden.

---

DOUG.  Og så, selvfølgelig, når du får en e-mail, hvor du beder en uvidende medarbejder om at overføre en masse penge til denne leverandør, og de siger: "Er det rigtigt?"...

…hvis du har fået adgang til selve e-mail-systemet, kan du svare tilbage. "Selvfølgelig er det ægte. Se på e-mailadressen – det er mig, finansdirektøren.”

---

AND.  Og selvfølgelig, endnu mere, kan du sige: "Forresten, dette er et opkøb, det er en aftale, der vil stjæle en march på vores konkurrenter. Så det er firmafortrolighed. Sørg for, at du ikke fortæller det til nogen andre i virksomheden.”

---

DOUG.  Ja – dobbelt pudsning!

Du kan sige: "Det er mig, det er ægte, men det her er en stor sag, det er en hemmelighed, fortæl det ikke til nogen anden. Nej det! Rapporter ikke dette som en mistænkelig besked."

Du kan så gå ind i Sendt-mappen og slette de falske e-mails, som du har sendt på vegne af CFO'en, så ingen kan se, at du har været inde og rode rundt.

Og hvis du er en "god" BEC-svindler, vil du gå og grave rundt i den rigtige medarbejders tidligere e-mails og matche den brugers stil ved at kopiere og indsætte almindelige sætninger, som personen har brugt.

---

AND.  Absolut, Doug.

Jeg tror, ​​vi har talt før, når vi har talt om phishing-e-mails... om læsere, der har rapporteret, "Ja, jeg kom til sådan en, men jeg buldrede med det samme, fordi personen brugte en hilsen i deres e-mail, dvs. bare så ude af karakter."

Eller der var nogle emojis i afmeldingen, som et smiley ansigt [LATER], som jeg ved, at denne person bare aldrig ville gøre.

Selvfølgelig, hvis du bare kopierer og indsætter standardintroen og outroen fra tidligere e-mails, så undgår du den slags problemer.

Og den anden ting, Doug, er, at hvis du sender e-mailen fra den rigtige konto, får den personens rigtige, ægte e-mail-signatur, ikke?

Som tilføjes af virksomhedens server, og bare får det til at ligne præcis det, du forventer.

---

DOUG.  Og så elsker jeg denne afstigning...

…som en førsteklasses kriminel vil du ikke kun rive virksomheden af, du vil også gå efter *kunder* af virksomheden og sige: "Hey, kan du betale denne faktura nu og sende den til denne nye bankkonto?"

Du kan bedrage ikke kun virksomheden, men de virksomheder, som virksomheden arbejder med.

---

AND.  Absolut.

---

DOUG.  Og for at du ikke skulle tro, at Elvis bare bedragede virksomheder... han var også i romantiksvindel.

---

AND.  Justitsministeriet rapporterer, at nogle af de virksomheder, de svindlede, blev taget for hundredtusindvis af dollars ad gangen.

Og bagsiden af ​​deres bedrageri var at gå efter individer i det, der kaldes romantik-svindel.

Tilsyneladende var der 13 personer, der trådte frem som vidner i sagen, og to af de eksempler, som DOJ (Justiceministeriet) nævnte, gik for, tror jeg, henholdsvis $32,000 og $70,000.

---

DOUG.  OK, så vi har nogle råd til, hvordan du beskytter din virksomhed mod Business Email-kompromis, og hvordan du beskytter dig selv mod romantik-svindel.

Lad os starte med Business Email Compromise.

Jeg kan godt lide dette første punkt, fordi det er nemt, og det er meget lavthængende frugter: Opret en central e-mail-konto, så personalet kan rapportere mistænkelige e-mails.

---

AND.  Ja, hvis du har security@example.com, så vil du formentlig passe meget omhyggeligt på den e-mail-konto, og du kan argumentere for, at det er meget mindre sandsynligt, at en Business Email Compromis-person ville være i stand til at kompromittere SecOps-kontoen sammenlignet med at kompromittere kontoen for enhver anden tilfældig medarbejder i virksomheden.

Og formentlig også, hvis du har mindst et par personer, der kan holde øje med, hvad der foregår der, har du en meget bedre chance for at få nyttige og velmenende svar ud af den e-mailadresse end blot at spørge berørt person.

Selvom CFO'ens e-mail ikke er blevet kompromitteret... hvis du har en phishing-e-mail, og så spørger CFO'en, "Hey, er det lovligt eller ej?", sætter du CFO'en i en meget vanskelig position.

Du siger: "Kan du opføre dig, som om du er en it-ekspert, en cybersikkerhedsforsker eller en sikkerhedsoperationsperson?"

Meget bedre at centralisere det, så der er en nem måde for folk at rapportere noget, der ser lidt skævt ud.

Det betyder også, at hvis det, du normalt ville gøre, bare er at gå, "Jamen, det er åbenbart phishing. Jeg sletter det bare”...

…ved at sende det ind, selvom *du* synes, det er indlysende, giver du SecOps-teamet eller IT-teamet lov til at advare resten af ​​virksomheden.

---

DOUG.  Okay.

Og det næste råd: Hvis du er i tvivl, så kontakt afsenderen af ​​e-mailen direkte.

Og for ikke at spolere punchline, sandsynligvis måske ikke via e-mail på anden vis...

---

AND.  Uanset hvilken mekanisme der bruges til at sende dig en besked, som du ikke har tillid til, så send dem ikke tilbage via det samme system!

Hvis kontoen ikke er blevet hacket, får du et svar, der siger: "Nej, bare rolig, alt er godt."

Og hvis kontoen *er* blevet hacket, får du en besked tilbage, der siger: "Åh, nej, bare rolig, alt er godt!" [griner]

---

DOUG.  Okay.

Og så sidst, men bestemt ikke mindst: Kræv sekundær godkendelse for ændringer i kontobetalingsoplysninger.

---

AND.  Hvis du har et nyt sæt øjne på problemet – sekundær autorisation – gør [A] det sværere for en skæv insider at slippe afsted med fidusen, hvis de hjælper, og [B] betyder, at ingen person, der er åbenlyst forsøger at være hjælpsom over for kunderne, må man bære hele ansvaret og presset for at beslutte, "Er dette lovligt eller ej?"

To øjne er ofte bedre end ét.

Eller måske mener jeg, at fire øjne ofte er bedre end to...

---

DOUG.  Ja. [griner].

Lad os vende vores opmærksomhed mod romantik-svindel.

Det første råd er: Sæt farten ned, når datingsnak bliver fra venskab, kærlighed eller romantik til penge.

---

AND.  Ja.

Det er oktober, er det ikke, Doug?

Så det er Cybersecurity Awareness Month igen... #cybermonth, hvis du vil holde styr på, hvad folk gør og siger.

Der er det store lille motto (er det det rigtige ord?), som vi har sagt mange gange på podcasten, fordi jeg ved, at du og jeg kan lide det, Doug.

Dette kommer fra US Public Service...

---

BEGGE.  Hold op. (Periode.)

Tænke. (Periode.)

Opret forbindelse. (Periode.)

---

AND.  Hav ikke for travlt!

Det er virkelig et spørgsmål om at "handle i hast, omvende sig i ro og mag", når det kommer til online-anliggender.

---

DOUG.  Og endnu et råd, der vil være svært for nogle mennesker... men kig ind i dig selv og prøv at følge det: Lyt åbent til dine venner og familie, hvis de forsøger at advare dig.

---

AND.  Ja.

Jeg har tidligere været til cybersikkerhedsbegivenheder, der har beskæftiget mig med spørgsmålet om romantiksvindel, da jeg arbejdede hos Sophos Australia.

Det var skræmmende at høre historier fra folk i politiet, hvis opgave er at forsøge at gribe ind i svindel på dette tidspunkt...

...og bare for at se, hvor dystre nogle af disse betjente var, da de kom tilbage fra besøg.

I nogle tilfælde var hele familier blevet lokket til svindel.

Disse er naturligvis mere af typen "finansielle investeringer" end romantikken, men *alle* var på side med svindleren, så da retshåndhævelsen tog dertil, havde familien "alle svarene", som omhyggeligt var blevet leveret af skurk.

Og i romantik-svindel vil de ikke tænke på at bejle til din romantiske interesse *og* slå en kile mellem dig og din familie, så du holder op med at lytte til deres råd.

Så pas bare på, at du ikke ender med at blive fremmedgjort fra din familie såvel som fra din bankkonto.

---

DOUG.  Okay.

Og så er der et sidste råd: Der er en fantastisk video indlejret i artiklen.

Artiklen hedder Romance Scammer og BEC Fraudster sendt i fængsel i 25 år:

Så se den video – der er mange gode tips i den.

Og lad os blive ved emnet svindel og tale om svindlere og useriøse opkaldere.

Er det overhovedet muligt at stoppe svindelopkald?

Det er den stort spørgsmål dagens lige nu:

---

AND.  Nå, der er svindelopkald, og der er generende opkald.

Nogle gange ser generende opkald ud til at komme meget tæt på svindelopkald.

Det er folk, der repræsenterer legitime virksomheder, [ARGREDE], men de vil bare ikke stoppe med at ringe til dig, [BLIVE MERE OPHÆVET] uanset at du fortæller dem "Jeg er på listen over Ring ikke [VRED] så RING IKKE IGEN".

Så jeg skrev en artikel om Naked Security og sagde til folk... hvis du kan få dig selv til at gøre det (jeg foreslår ikke, at du skal gøre dette hver gang, det er et rigtigt besvær), viser det sig, at hvis du *gør* klager, nogle gange har det et resultat.

Og det, der fik mig til at skrive dette op, er, at fire virksomheder, der sælger "miljømæssige" produkter, blev bulet af Information Commissioner's Office [ICO, UK Data Privacy regulator] og fik en bøde på mellem titusinder og hundredtusindvis af pund for at foretage opkald til folk, der havde sætte sig på det, der ret mærkeligt kaldes Telefonpræferencetjeneste i Storbritannien…

…det er som om de indrømmer, at nogle mennesker faktisk ønsker at tilmelde sig disse skraldeopkald. [LATTER]

---

DOUG.  "Foretrække"?! [griner]

---

AND.  Jeg kan godt lide, hvordan det er i USA.

Stedet du går hen for at registrere og klage er: donotcall DOT gov.

---

DOUG.  Ja! "Ring ikke!"

---

AND.  Desværre, når det kommer til telefoni, lever vi stadig i en opt-out-verden ... de har lov til at ringe til dig, indtil du siger, at de ikke kan.

Men min erfaring har været, at selvom det ikke løser problemet, så er det næsten sikkert, at du ikke *forøger* antallet af opkald, du får, hvis du sætter dig selv på Do Not Call-registret.

Det har gjort en forskel for mig, både da jeg boede i Australien, og nu bor jeg i Storbritannien...

…og rapportering af opkald fra tid til anden giver i det mindste regulatoren i dit land en kæmpe chance for at tage en form for handling på et tidspunkt i fremtiden.

For hvis ingen siger noget, så er det, som om der ikke er sket noget.

---

DOUG.  Det hænger fint sammen med vores læserkommentar til denne artikel.

Naked Security-læser Phil kommenterer:

Voicemail har ændret alt for mig.

Hvis den, der ringer, ikke er villig til at efterlade en besked, og de fleste ikke er, så har jeg ingen grund til at ringe tilbage.

Hvad mere er, for at rapportere et svindelopkald, skulle jeg spilde den nødvendige tid på at besvare telefonen fra en uidentificeret opkalder og interagere med nogen udelukkende med det formål at rapportere dem.

Selvom jeg besvarer opkaldet, vil jeg alligevel tale med en robot... nej tak!

Så er det svaret: bare aldrig tage telefonopkald, og aldrig beskæftige sig med disse svindlere?

Eller er der en bedre måde, Paul?

---

AND.  Det jeg har fundet er, hvis jeg tror, ​​at nummeret er et svindelnummer...

Nogle af svindlerne eller generende opkald vil bruge et andet nummer hver gang – det vil altid se lokalt ud, så det er svært at sige, selvom jeg for nylig har været plaget af et, hvor det har været det samme nummer igen og igen, så jeg kan bare blokere det.

…det, jeg gør, er typisk, at jeg bare tager telefonen, og jeg siger ikke noget.

De ringer til mig; hvis det er så vigtigt, vil de sige: "Hej? Hej? Er det...?”, og brug mit navn.

Jeg oplever, at mange af disse generende opkaldere og svindlere bruger automatiserede systemer, som, når de hører dig besvare opkaldet, først da vil forsøge at forbinde dig med en operatør ved deres side.

De har ikke deres telefonoperatører, der rent faktisk foretager opkaldene.

De ringer til dig, og mens du identificerer dig, finder de hurtigt nogen i køen, som kan foregive at have foretaget opkaldet.

Og jeg synes, det er en rigtig god giveaway, for hvis der ikke sker noget, hvis ingen overhovedet går, "Hej? Hej? Anybody there?”, så ved du, at du har med et automatiseret system at gøre.

Der er dog et irriterende problem, selvom jeg tror, ​​det er specifikt for Storbritannien.

Bureaukratiet for at rapportere, hvad der kaldes et "tyst opkald", som en tungpustende stalkertype, hvor der ikke bliver talt ord...

… den mekanisme til rapportering, der er helt anderledes end mekanismen til at rapportere et opkald, hvor nogen siger, "Hej, jeg hedder John, og jeg vil gerne sælge dig dette produkt, du ikke har brug for og ikke er godt", hvilket er virkelig irriterende.

Stille opkaldsrapporter går gennem telefonregulatoren, og det bliver behandlet, som om det var en mere alvorlig kriminel handling, formoder jeg af historiske årsager.

Du skal identificere dig selv – du kan ikke anmelde dem anonymt.

Så det synes jeg er irriterende, og jeg håber, at de ændrer på det!

Hvor det bare er et robotsystem, der kalder dig, og det ikke ved, du er på linjen endnu, så det har ikke tildelt nogen til at tale med dig...

…hvis du kunne rapportere dem lettere og anonymt, for at være ærlig, ville jeg være meget mere tilbøjelig til at gøre det.

---

DOUG.  Okay.

Vi har nogle links i artiklen til rapportering af falske opkald i et udvalg af lande.

Og tak, Phil, for at sende den kommentar.

Hvis du har en interessant historie, kommentar eller spørgsmål, du gerne vil indsende, vil vi meget gerne læse den på podcasten.

Du kan sende en e-mail til tips@sophos.com, du kan kommentere på en af ​​vores artikler, eller du kan kontakte os på socialt: @nakedsecurity.

Det er vores show for i dag – mange tak fordi du lyttede.

For Paul Ducklin er jeg Doug Aamoth, og minder dig om, indtil næste gang...

---

BEGGE.  Bliv sikker.

[MUSIK MODEM]