S3 Ep111: Ο επιχειρηματικός κίνδυνος ενός χαλαρού «αποφίλτρου γυμνού» [Ήχος + Κείμενο]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Καταστολές, zero-days και πορνό Tik Tok.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι.

Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.

Παύλο, συγχωρείς τη φωνή μου.

Είμαι άρρωστος, αλλά αισθάνομαι ψυχικά οξύς!

---

ΠΑΠΙΑ.  Εξαιρετικό, Νταγκ.

Τώρα, ελπίζω να περάσατε μια καλή εβδομάδα και ελπίζω να κάνατε μια υπέροχη Black Friday.

---

ΖΥΜΗ.  Έχω πάρα πολλά παιδιά για να κάνω οτιδήποτε ευχάριστο… είναι πολύ μικρά.

Αλλά πήραμε μερικά πράγματα τη Μαύρη Παρασκευή μέσω του Διαδικτύου.

Γιατί, δεν ξέρω, δεν μπορώ να θυμηθώ την τελευταία φορά που είχα πάει σε κατάστημα λιανικής, αλλά μια από αυτές τις μέρες θα πάρω το δρόμο της επιστροφής.

---

ΠΑΠΙΑ.  Νόμιζα ότι είχες περάσει τη Black Friday, από τότε που σε εμπόδισαν για ένα Nintendo Wii τον 18ο αιώνα, Νταγκ;

---

ΖΥΜΗ.  Αυτό είναι αλήθεια, ναι.

Αυτό κουνούσε μέχρι το μπροστινό μέρος της γραμμής και μερικές κυρίες έλεγαν, «Χρειάζεσαι εισιτήριο», βλέποντας πόσο μεγάλη ήταν η ουρά και έλεγαν, «Εντάξει, αυτό δεν είναι για μένα».

---

ΠΑΠΙΑ.  [ΓΕΛΙΑ] Το εισιτήριο προφανώς ήταν απλώς για να μπει *μέσα* στην ουρά… μετά θα ανακαλύψατε αν όντως είχαν απομείνει.

---

ΖΥΜΗ.  Ναι, και δεν... σπόιλερ!

---

ΠΑΠΙΑ.  «Ο κύριος μπαίνει μόνο στην προ-ουρά».

---

ΖΥΜΗ.  Ναί.

Οπότε δεν είχα όρεξη να πολεμήσω ένα σωρό κόσμο.

Όλες αυτές οι εικόνες που βλέπετε στις ειδήσεις… δεν θα είμαι ποτέ εγώ.

Μας αρέσει να ξεκινάμε την παράσταση με Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα, και έχουμε μια διπλή λειτουργία αυτή την εβδομάδα, Paul.

Στις 28 Νοεμβρίου 1948, η Polaroid Land Camera Model 95 ξεκίνησε να πωλείται στο πολυκατάστημα Jordan Marsh εδώ στη Βοστώνη.

Ήταν η πρώτη εμπορική κάμερα, το 1948.

Και τότε μια μέρα (και αρκετά χρόνια) αργότερα, στις 29 Νοεμβρίου 1972, η Atari παρουσίασε το πρώτο της προϊόν, ένα μικρό παιχνίδι που ονομάζεται PONG.

---

ΠΑΠΙΑ.  Όταν ανακοινώσατε την πρόθεσή σας να ανακοινώσετε τη Land Camera ως Τεχνολογική Ιστορία, σκέφτηκα… «Ήταν 1968».

Ίσως λίγο νωρίτερα – ίσως στα τέλη της δεκαετίας του 1950, ένα είδος «εποχής Σπούτνικ».

1948, ε;

Ουάου!

Μεγάλη μικρογραφία για εκείνη την εποχή.

Αν σκεφτείτε πόσο μεγάλοι ήταν ακόμα οι υπολογιστές, δεν χρειάζονταν μόνο δωμάτια, αλλά και τα δικά τους μεγάλα κτίρια!

Και εδώ ήταν αυτή η σχεδόν μαγική κάμερα – χημεία στο χέρι σας.

Ο αδερφός μου είχε ένα από αυτά όταν ήμουν μικρό παιδί, και θυμάμαι ότι ήμουν απολύτως έκπληκτος από αυτό.

Αλλά όχι τόσο έκπληκτος, Νταγκ, όπως ήταν όταν διαπίστωσε ότι είχα τραβήξει μερικές φωτογραφίες περιττές, μόνο και μόνο για να δω πώς λειτουργούσε.

Γιατί, φυσικά, πλήρωνε την ταινία [ΓΕΛΙΟ].

Το οποίο δεν είναι τόσο φθηνό όσο το φιλμ στις κανονικές κάμερες.

---

ΖΥΜΗ.  Οχι κύριε!

Η πρώτη μας ιστορία είναι μια άλλη ιστορία ιστορικού τύπου.

Αυτό ήταν το σκουλήκι του Χριστουγεννιάτικου Δέντρου το 1987, γνωστό και ως CHRISTMA EXEC, το οποίο γράφτηκε στη γλώσσα σεναρίου REXX:

Το σκουλήκι του δικτύου CHRISTMA EXEC – 35 χρόνια και συνεχίζουν!

REXX… Δεν το είχα ξανακούσει αυτό.

Σχεδίασε ένα χριστουγεννιάτικο δέντρο τέχνης ASCII και διαδόθηκε μέσω email, προκαλώντας τεράστια αναστάτωση στους mainframes σε όλο τον κόσμο και ήταν κάπως προάγγελος του Σε αγαπώ ιός που επηρέασε τους υπολογιστές της IBM.

---

ΠΑΠΙΑ.  Νομίζω ότι πολλοί άνθρωποι υποτίμησαν τόσο την έκταση των δικτύων της IBM στη δεκαετία του 1980 όσο και τη δύναμη των διαθέσιμων γλωσσών δέσμης ενεργειών, όπως η REXX.

Γράφετε το πρόγραμμα ως απλό παλιό κείμενο – δεν χρειάζεστε μεταγλωττιστή, είναι απλώς ένα αρχείο.

Και αν ονομάσετε το όνομα του αρχείου οκτώ χαρακτήρες, άρα ΧΡΙΣΤΟΥΓΕΝΝΑ, όχι ΧΡΙΣΤΟΥΓΕΝΝΙΑ (αν και θα μπορούσατε να *πληκτρολογήσετε* ΧΡΙΣΤΟΥΓΕΝΝΑ, γιατί απλώς θα αγνοούσε το -S)…

…και αν δίνατε στο όνομα αρχείου την επέκταση EXEC (άρα: CHRISTMA [space] EXEC), τότε όταν πληκτρολογούσατε τη λέξη «Χριστούγεννα» στη γραμμή εντολών, θα εκτελούσε.

Θα έπρεπε να ήταν ένας προειδοποιητικός πυροβολισμός σε όλα τα τόξα μας, αλλά νομίζω ότι ένιωσα ένα μικρό φλας στο τηγάνι.

Μέχρι ένα χρόνο μετά…

…μετά ήρθε το Internet Worm, Doug, το οποίο φυσικά επιτέθηκε σε συστήματα Unix και εξαπλώθηκε παντού:

Memories of the Internet Worm – 25 χρόνια μετά

Και μέχρι τότε νομίζω ότι όλοι είχαμε συνειδητοποιήσει, «Ω-ω, αυτή η σκηνή με ιούς και σκουλήκια θα μπορούσε να αποδειχθεί αρκετά ενοχλητική».

Λοιπόν, ναι, CHRISTMA EXEC… πολύ, πολύ απλό.

Πράγματι έστησε ένα χριστουγεννιάτικο δέντρο και αυτό έμελλε να αποσπάσει την προσοχή.

Κοιτάξατε το χριστουγεννιάτικο δέντρο, επομένως πιθανότατα δεν προσέξατε όλα τα μικρά σημάδια στο κάτω μέρος του τερματικού IBM 3270 που δείχνουν όλη τη δραστηριότητα του συστήματος, μέχρι που αρχίσατε να λαμβάνετε αυτά τα μηνύματα για το Χριστουγεννιάτικο Δέντρο από δεκάδες άτομα.

[ΓΕΛΙΟ]

Και έτσι συνεχίστηκε, συνέχεια και συνέχεια.

«Πολύ χαρούμενα Χριστούγεννα και τις καλύτερες ευχές μου για την επόμενη χρονιά», έλεγε, όλα στην τέχνη ASCII, ή ίσως θα έπρεπε να πω την τέχνη EBCDIC.

Υπάρχει ένα σχόλιο στην κορυφή του πηγαίου κώδικα: "Αφήστε αυτό το EXEC να τρέξει και να απολαύσετε τον εαυτό σας".

Και λίγο πιο κάτω, υπάρχει μια σημείωση που λέει: "Η περιήγηση σε αυτό το αρχείο δεν είναι καθόλου διασκεδαστική."

Κάτι που προφανώς, αν δεν είσαι προγραμματιστής, είναι πολύ αληθινό.

Και από κάτω λέει, "Απλώς πληκτρολογήστε Χριστούγεννα από τη γραμμή εντολών".

Έτσι, ακριβώς όπως το σύγχρονο κακόβουλο λογισμικό μακροεντολών που λέει στον χρήστη: "Γεια, οι μακροεντολές είναι απενεργοποιημένες, αλλά για την "πρόσθετη ασφάλεια" σας πρέπει να τις ενεργοποιήσετε ξανά… γιατί να μην κάνετε κλικ στο κουμπί; Είναι πολύ πιο εύκολο έτσι».

Πριν από 35 χρόνια [ΓΕΛΙΑ], οι συντάκτες κακόβουλου λογισμικού είχαν ήδη καταλάβει ότι αν ζητήσετε από τους χρήστες να κάνουν κάτι που δεν τους συμφέρει καθόλου, μερικοί από αυτούς, πιθανώς πολλοί από αυτούς, θα το κάνουν.

Μόλις το εξουσιοδοτούσατε, μπορούσε να διαβάσει τα αρχεία σας και επειδή μπορούσε να διαβάσει τα αρχεία σας, θα μπορούσε να λάβει τη λίστα με όλα τα άτομα με τα οποία κανονικά επικοινωνούσατε από τα λεγόμενα ψευδώνυμα ή το αρχείο NAMES σας και να εκτοξευθεί στο Ολα τους.

---

ΖΥΜΗ.  Δεν λέω ότι μου λείπει αυτή η περίοδος, αλλά υπήρχε κάτι παράξενα παρηγορητικό, πριν από 20 χρόνια, άνοιξε το Hotmail και είδα εκατοντάδες email από άτομα που με είχαν στη λίστα επαφών τους…

… και απλώς *ξέροντας* ότι κάτι συνέβαινε.

Όπως, "Υπάρχει ένα σκουλήκι που κυκλοφορεί, ξεκάθαρα", επειδή λαμβάνω απλώς έναν κατακλυσμό από email από τους ανθρώπους εδώ.

---

ΠΑΠΙΑ.  Άνθρωποι με τους οποίους δεν είχατε ακούσει ποτέ για μερικά χρόνια… ξαφνικά θα ήταν παντού στο γραμματοκιβώτιό σας!

---

ΖΥΜΗ.  Εντάξει, ας προχωρήσουμε κατευθείαν στο νέο, στη σύγχρονη εποχή…

…και αυτή η TikTok “Invisible Challenge”:

Το κακόβουλο λογισμικό πορνό TikTok «Invisible Challenge» μας θέτει όλους σε κίνδυνο

Το οποίο είναι βασικά ένα φίλτρο στο TikTok που μπορείτε να εφαρμόσετε που σας κάνει να φαίνεστε αόρατος… οπότε φυσικά, το πρώτο πράγμα που έκαναν οι άνθρωποι ήταν: «Γιατί δεν βγάζω όλα τα ρούχα μου και δεν με κάνει πραγματικά αόρατο;»

Και μετά, φυσικά, ένα σωρό απατεώνες λένε: «Ας βγάλουμε κάποιο ψεύτικο λογισμικό που θα κάνει «αόρατους» γυμνούς ανθρώπους».

Έχω αυτό το δικαίωμα;

---

ΠΑΠΙΑ.  Ναι, δυστυχώς, Νταγκ, αυτό είναι το μακρύ και το κοντό.

Και, δυστυχώς, αυτό αποδείχθηκε ένα πολύ ελκυστικό δέλεαρ σε σημαντικό αριθμό ατόμων στο διαδίκτυο.

Έχετε προσκληθεί να εγγραφείτε σε αυτό το κανάλι Discord για να μάθετε περισσότερα… και για να ξεκινήσετε, λοιπόν, πρέπει να κάνετε like στη σελίδα του GitHub.

Είναι λοιπόν όλη αυτή η αυτοεκπληρούμενη προφητεία….

---

ΖΥΜΗ.  Αυτό το μέρος του είναι (δεν μου αρέσει να χρησιμοποιώ τη λέξη B [λαμπρό])… αυτή η πτυχή της είναι σχεδόν άξια λέξης B επειδή νομιμοποιείς αυτό το παράνομο έργο, απλώς με το να το ψηφίζουν όλοι.
.

---

ΠΑΠΙΑ.  Απολύτως!

«Υποψήφισέ το πρώτα και *μετά* θα σου τα πούμε όλα, γιατί προφανώς θα είναι υπέροχο, γιατί «δωρεάν πορνό»».

Και το ίδιο το έργο είναι ένα πακέτο ψεμάτων – απλώς συνδέεται με άλλα αποθετήρια (και αυτό είναι απολύτως φυσιολογικό στη σκηνή της εφοδιαστικής αλυσίδας ανοιχτού κώδικα)… μοιάζουν με νόμιμα έργα, αλλά είναι βασικά κλώνοι νόμιμων έργων με ένα αλλαγή γραμμής που εκτελείται κατά την εγκατάσταση.

Η οποία είναι μια μεγάλη κόκκινη σημαία, παρεμπιπτόντως, που ακόμα κι αν αυτό δεν είχε το πονηρό θέμα «γδύσιμο ανθρώπων που ποτέ δεν το σκόπευαν» σε αυτό.

Μπορείτε να καταλήξετε με νόμιμο λογισμικό, πραγματικά εγκατεστημένο από το GitHub, αλλά η διαδικασία της εγκατάστασης, η ικανοποίηση όλων των εξαρτήσεων, η ανάκτηση όλων των bits που χρειάζεστε… *αυτή* η διαδικασία είναι το πράγμα που εισάγει το κακόβουλο λογισμικό.

Και αυτό ακριβώς συνέβη εδώ.

Υπάρχει μια σειρά από ασαφή Python. όταν το αποσυμφορείτε, είναι βασικά ένα πρόγραμμα λήψης που πηγαίνει και φέρνει λίγο περισσότερο Python, το οποίο είναι εξαιρετικά μπερδεμένο, οπότε δεν είναι καθόλου προφανές τι κάνει.

Η ιδέα είναι ουσιαστικά ότι οι απατεώνες μπορούν να εγκαταστήσουν ό,τι θέλουν, επειδή αυτός ο πρόγραμμα λήψης πηγαίνει σε έναν ιστότοπο που ελέγχουν οι απατεώνες, ώστε να μπορούν να βάλουν ό,τι θέλουν για λήψη.

Και φαίνεται ότι το κύριο κακόβουλο λογισμικό που ήθελαν να αναπτύξουν οι απατεώνες (αν και θα μπορούσαν να έχουν εγκαταστήσει οτιδήποτε) ήταν ένας Trojan που κλέβει δεδομένα που βασίζεται, νομίζω, σε ένα έργο γνωστό ως WASP…

…το οποίο βασικά ακολουθεί ενδιαφέροντα αρχεία στον υπολογιστή σας, κυρίως όπως πορτοφόλια κρυπτονομισμάτων, αποθηκευμένες πιστωτικές κάρτες και σημαντικότερο (μάλλον έχετε μαντέψει πού πηγαίνει αυτό!) τον κωδικό πρόσβασής σας στο Discord, τα διαπιστευτήριά σας στο Discord.

Και ξέρουμε γιατί οι απατεώνες αγαπούν τους κωδικούς πρόσβασης στα μέσα κοινωνικής δικτύωσης και των άμεσων μηνυμάτων.

Επειδή, όταν λάβουν τον κωδικό πρόσβασής σας και μπορούν να επικοινωνήσουν απευθείας με τους φίλους σας, την οικογένειά σας και τους συναδέλφους σας σε μια κλειστή ομάδα…

…είναι τόσο πιο πιστευτό που πρέπει να έχουν πολύ καλύτερο ποσοστό επιτυχίας στο να δελεάσουν νέα θύματα από ό,τι κάνουν με πράγματα που ψεκάζουν και προσεύχονται, όπως email ή SMS.

---

ΖΥΜΗ.  Εντάξει, θα το προσέξουμε - εξακολουθεί να αναπτύσσεται.

Αλλά μερικά καλά νέα, τέλος: αυτή η απάτη «Cryptorom», η οποία είναι μια απάτη κρυπτογράφησης/ρομαντικής…

…έχουμε κάποιες συλλήψεις, μεγάλες συλλήψεις, σωστά;

Κατασχέθηκαν ιστότοποι απάτης CryptoRom πολλών εκατομμυρίων δολαρίων, ύποπτοι συνελήφθησαν στις ΗΠΑ

---

ΠΑΠΙΑ.  Ναί.

Αυτό ανακοινώθηκε από το Υπουργείο Δικαιοσύνης των ΗΠΑ [DOJ]: επτά ιστότοποι που σχετίζονται με τους λεγόμενους απατεώνες Cryptorom καταργήθηκαν.

Και αυτή η αναφορά συνδέεται επίσης με το γεγονός ότι, νομίζω, 11 άτομα συνελήφθησαν πρόσφατα στις ΗΠΑ.

Τώρα, Cryptorom, αυτό είναι ένα όνομα που έδωσαν οι ερευνητές της SophosLabs σε αυτό το συγκεκριμένο σχέδιο εγκλήματος στον κυβερνοχώρο, επειδή, όπως λέτε, συνδυάζεται με την προσέγγιση που χρησιμοποιούν οι ρομαντικοί απατεώνες (π.χ. να σας αναζητήσουν σε έναν ιστότοπο γνωριμιών, να δημιουργήσουν ένα ψεύτικο προφίλ, να γίνουν φίλοι μαζί σας) με απάτη κρυπτονομισμάτων.

Αντί για το «Γεια, θέλω να με ερωτευτείς. ας παντρευτούμε; τώρα στείλε μου χρήματα για τη βίζα» είδος απάτης…

…οι απατεώνες πάνε, «Λοιπόν, ίσως δεν πρόκειται να γίνουμε αντικείμενο, αλλά είμαστε ακόμα καλοί φίλοι. [ΔΡΑΜΑΤΙΚΗ ΦΩΝΗ] Σας έχω μια ευκαιρία επένδυσης!»

Έτσι ξαφνικά νιώθεις ότι προέρχεται από κάποιον που μπορείς να εμπιστευτείς.

Είναι μια απάτη που σημαίνει ότι θα πρέπει να εγκαταστήσετε μια εφαρμογή εκτός αγοράς, ακόμα κι αν έχετε iPhone.

«Είναι ακόμα σε εξέλιξη. είναι τόσο νέο? είσαι τόσο σημαντικός. είσαι ακριβώς στον πυρήνα του. Είναι ακόμα σε εξέλιξη, γι' αυτό εγγραφείτε στο TestFlight, το πρόγραμμα Beta."

Ή θα πουν, «Ω, το δημοσιεύουμε μόνο σε άτομα που συμμετέχουν στην επιχείρησή μας. Δώστε μας λοιπόν τον έλεγχο της διαχείρισης κινητής συσκευής (MDM) στο τηλέφωνό σας και, στη συνέχεια, μπορείτε να εγκαταστήσετε αυτήν την εφαρμογή. [SECRETIVE VOICE} Και μην το πεις σε κανέναν. Δεν πρόκειται να είναι στο κατάστημα εφαρμογών. είσαι ξεχωριστός."

Και, φυσικά, η εφαρμογή μοιάζει με εφαρμογή συναλλαγών κρυπτονομισμάτων και υποστηρίζεται από όμορφα γραφήματα που απλά περιέργως συνεχίζουν να ανεβαίνουν, Doug.

Οι επενδύσεις σας δεν μειώνονται ποτέ… αλλά όλα είναι ένα σωρό ψέματα.

Και μετά, όταν θέλεις τα χρήματά σου, καλά (τυπικό κόλπο Ponzi ή πυραμίδας), μερικές φορές θα σε αφήσουν να βγάλεις λίγα χρήματα… κάνεις δοκιμές, άρα αποσύρεις λίγο και το καταλαβαίνεις πίσω.

Φυσικά, σας δίνουν απλώς τα χρήματα που έχετε ήδη βάλει πίσω, ή μερικά από αυτά.

---

ΖΥΜΗ.  [SAD] Ναι.

---

ΠΑΠΙΑ.  Και τότε οι επενδύσεις σας ανεβαίνουν!

Και μετά σε κυριεύουν: «Φαντάσου να μην έχεις βγάλει αυτά τα χρήματα; Γιατί δεν βάζεις αυτά τα χρήματα πίσω; Γεια σου, θα σου δανείσουμε κι άλλα χρήματα. θα βάλουμε κάτι μαζί σου. Και γιατί να μην βάλεις τα φιλαράκια σου; Γιατί κάτι μεγάλο έρχεται!».

Έτσι, βάζετε τα χρήματα, και συμβαίνει κάτι μεγάλο, όπως η τιμή εκτοξεύεται, και λέτε, "Ουάου, είμαι τόσο χαρούμενος που επανεπένδυσα τα χρήματα που απέσυρα!"

Και εξακολουθείτε να σκέφτεστε, «Το γεγονός ότι θα μπορούσα να το είχα αποσύρει πρέπει να σημαίνει ότι αυτοί οι άνθρωποι είναι νόμιμοι».

Φυσικά, δεν είναι – είναι απλώς ένα μεγαλύτερο πακέτο ψεμάτων από ό,τι ήταν στην αρχή.

Και μετά, όταν τελικά σκέφτεσαι, «Καλύτερα να εξαργυρώσω», ξαφνικά υπάρχει κάθε είδους μπελάς.

«Λοιπόν, υπάρχει φόρος», Νταγκ, «Υπάρχει κρατική παρακράτηση φόρου».

Και πείτε, "Εντάξει, οπότε θα κόψω το 20% από την κορυφή."

Τότε η ιστορία είναι, "Στην πραγματικότητα, όχι, δεν είναι *τεχνικά* παρακράτηση φόρου." (Που είναι όπου απλά βγάζουν τα χρήματα από το ποσό και σας δίνουν τα υπόλοιπα)

"Στην πραγματικότητα, ο λογαριασμός σας είναι *παγωμένος*, επομένως η κυβέρνηση δεν μπορεί να παρακρατήσει τα χρήματα."

Πρέπει να πληρώσετε τον φόρο… μετά θα πάρετε όλο το ποσό πίσω.

---

ΖΥΜΗ.  [WINCING] Ω, Θεέ!

---

ΠΑΠΙΑ.  Θα πρέπει να μυρίσετε έναν αρουραίο σε αυτό το σημείο… αλλά είναι παντού πάνω σας. σε πιέζουν? Είναι ζιβάγκο? αν όχι ζιβάγκο, σου λένε, «Λοιπόν, μπορεί να μπεις σε μπελάδες. Η κυβέρνηση μπορεί να σας κυνηγάει!».

Ο κόσμος βάζει το 20% και στη συνέχεια, όπως έγραψα [στο άρθρο], ελπίζω να μην είμαι αγενής: ΤΟ ΠΑΙΧΝΙΔΙ ΤΕΛΕΙΩΣΕ, ΤΟΠΟΘΕΤΗΣΤΕ ΝΟΜΙΣΜΑ ΓΙΑ ΝΑ ΞΕΚΙΝΗΣΕΤΕ ΝΕΟ ΠΑΙΧΝΙΔΙ.

Στην πραγματικότητα, μπορεί στη συνέχεια να έρθετε σε επαφή μαζί σας από κάποιον που απλώς ως εκ θαύματος, ο Νταγκ, λέει: «Γεια, σε απάτησαν οι απάτες της Cryptorom; Λοιπόν, ερευνώ και μπορώ να σε βοηθήσω να πάρεις πίσω τα χρήματα».

Είναι τρομερό πράγμα να είσαι μέσα, γιατί όλα ξεκινούν από το κομμάτι «ρομ» [ρομάντζο].

Στην πραγματικότητα δεν αναζητούν ρομαντισμό, αλλά *επιδιώκουν αρκετή φιλία που νιώθεις ότι μπορείς να τους εμπιστευτείς.

Έτσι, στην πραγματικότητα μπαίνεις σε κάτι «ιδιαίτερο» – γι' αυτό δεν προσκλήθηκαν οι φίλοι και η οικογένειά σου.

---

ΖΥΜΗ.  Έχουμε μιλήσει για αυτήν την ιστορία αρκετές φορές στο παρελθόν, συμπεριλαμβανομένων των συμβουλών, που βρίσκονται στο άρθρο εδώ.

Η αποσυναρμολόγηση [κύριο στοιχείο] στη στήλη συμβουλών είναι: Ακούστε ανοιχτά τους φίλους και την οικογένειά σας εάν προσπαθούν να σας προειδοποιήσουν.

Ψυχολογικός πόλεμος, λες!

---

ΠΑΠΙΑ.  Πράγματι.

Και το δεύτερο τελευταίο είναι επίσης ένα που πρέπει να θυμάστε: Μην ξεγελιέστε επειδή πηγαίνετε στον ιστότοπο ενός απατεώνα και μοιάζει ακριβώς με την πραγματική συμφωνία.

Σκέφτεστε, "Golly, θα μπορούσαν πραγματικά να αντέξουν οικονομικά να πληρώσουν επαγγελματίες σχεδιαστές ιστοσελίδων;"

Αλλά αν κοιτάξετε πόσα χρήματα βγάζουν αυτοί οι τύποι: [A] ναι, θα μπορούσαν και [B] δεν χρειάζονται καν.

Υπάρχουν πολλά εργαλεία εκεί έξω που δημιουργούν υψηλής ποιότητας, οπτικά φιλικούς ιστότοπους με γραφήματα σε πραγματικό χρόνο, συναλλαγές σε πραγματικό χρόνο, μαγική εμφάνιση, όμορφες φόρμες ιστού…

---

ΖΥΜΗ.  Ακριβώς.

Είναι πραγματικά πολύ δύσκολο να φτιάξεις έναν ιστότοπο με *κακή* εμφάνιση στις μέρες μας.

Πρέπει να προσπαθήσετε πολύ σκληρά!

---

ΠΑΠΙΑ.  Θα έχει πιστοποιητικό HTTPS. θα έχει ένα όνομα τομέα που μοιάζει με νόμιμο. και φυσικά, σε αυτήν την περίπτωση, συνδυάζεται με μια εφαρμογή *την οποία οι φίλοι σας δεν μπορούν να ελέγξουν για εσάς κατεβάζοντας τους εαυτούς τους* από το App Store και λέγοντας "Τι στο καλό σκεφτόσουν;"

Επειδή είναι μια «μυστική ειδική εφαρμογή», ​​μέσω «υπερ-ειδικών» καναλιών, που απλώς διευκολύνει τους απατεώνες να σας εξαπατήσουν δείχνοντας κάτι παραπάνω από αρκετά καλός.

Λοιπόν, να προσέχετε, παιδιά!

---

ΖΥΜΗ.  Προσέξτε!

Και ας μείνουμε στο θέμα των καταστολών.

Αυτή είναι μια άλλη μεγάλη καταστολή – αυτή η ιστορία είναι πραγματικά ενδιαφέρουσα για μένα, οπότε με ενδιαφέρει να ακούσω πώς την ξετυλίγετε:

Κατασχέθηκε ο ιστότοπος φωνητικής απάτης "iSpoof", 100 άτομα συνελήφθησαν σε μαζική καταστολή

Αυτός είναι ένας ιστότοπος φωνητικής απάτης που ονομαζόταν iSspoof… και είμαι σοκαρισμένος που επιτράπηκε να λειτουργήσει.

Αυτός δεν είναι ιστότοπος darkweb, βρίσκεται στον κανονικό ιστό.

---

ΠΑΠΙΑ.  Υποθέτω ότι αν το μόνο που κάνει ο ιστότοπός σας είναι, «Θα σας προσφέρουμε υπηρεσίες Voice Over IP [VoIP] με πρόσθετη δροσερή αξία που περιλαμβάνει τη ρύθμιση των δικών σας αριθμών κλήσης»…

…αν δεν λένε ανοιχτά, «Ο πρωταρχικός στόχος αυτού είναι να διαπράξει έγκλημα στον κυβερνοχώρο», τότε μπορεί να μην υπάρχει νομική υποχρέωση για την εταιρεία φιλοξενίας να καταργήσει τον ιστότοπο.

Και αν το φιλοξενείς μόνος σου, και είσαι ο απατεώνας… Φαντάζομαι ότι είναι αρκετά δύσκολο.

Χρειάστηκε τελικά μια δικαστική απόφαση, που αποκτήθηκε από το FBI, πιστεύω, και εκτελέστηκε από το Υπουργείο Δικαιοσύνης, για να πάει και να διεκδικήσει αυτούς τους τομείς και να βάλει [ένα μήνυμα που έλεγε] «Αυτός ο τομέας κατασχέθηκε».

Οπότε ήταν μια αρκετά μακροχρόνια επιχείρηση, όπως καταλαβαίνω, απλώς προσπαθούσα να το κάνω πίσω.

Το πρόβλημα εδώ είναι ότι σας διευκόλυνε πολύ να ξεκινήσετε μια υπηρεσία απάτης όπου, όταν καλείτε κάποιον, το τηλέφωνό του θα εμφανιζόταν με το όνομα της τράπεζάς του στην High Street που οι ίδιοι είχαν καταχωρίσει στη λίστα επαφών του τηλεφώνου τους. *την ιστοσελίδα της τράπεζας*.

Επειδή, δυστυχώς, υπάρχει ελάχιστος ή καθόλου έλεγχος ταυτότητας στην αναγνώριση κλήσης ή στο πρωτόκολλο αναγνώρισης τηλεφωνικής γραμμής.

Αυτοί οι αριθμοί που εμφανίζονται πριν απαντήσετε στην κλήση;

Δεν είναι καλύτεροι από υποδείξεις, Νταγκ.

Αλλά δυστυχώς, οι άνθρωποι τα εκλαμβάνουν ως ένα είδος ευαγγελικής αλήθειας: «Λέει ότι είναι η τράπεζα. Πώς θα μπορούσε κανείς να το πλαστογραφήσει αυτό; ΠΡΕΠΕΙ να με καλεί η τράπεζα».

Οχι απαραίτητα!

Αν κοιτάξετε τον αριθμό των κλήσεων που πραγματοποιήθηκαν… τι ήταν, τρεισήμισι εκατομμύρια μόνο στο Ηνωμένο Βασίλειο;

10 εκατομμύρια σε όλη την Ευρώπη;

Νομίζω ότι ήταν τρεισήμισι εκατομμύρια κλήσεις που έκαναν. Απαντήθηκαν 350,000 από αυτές και στη συνέχεια διήρκεσαν περισσότερο από ένα λεπτό, γεγονός που υποδηλώνει ότι το άτομο άρχιζε να πιστεύει όλη την πλαστογράφηση.

Λοιπόν: «Μεταφορά χρημάτων σε λάθος λογαριασμό» ή «Διαβάστε τον κωδικό ελέγχου ταυτότητας δύο παραγόντων» ή «Ας σας βοηθήσουμε με το τεχνικό σας πρόβλημα – ας ξεκινήσουμε εγκαθιστώντας το TeamViewer» ή οτιδήποτε άλλο.

Και μάλιστα προσκεκλημένος από τους απατεώνες: «Ελέγξτε τον αριθμό αν δεν με πιστεύετε!»

---

ΖΥΜΗ.  Αυτό μας οδηγεί σε μια ερώτηση που είχα όλη την ώρα διαβάζοντας αυτό το άρθρο και συνδυάζεται όμορφα με το σχόλιο του αναγνώστη μας για την εβδομάδα.

Ο αναγνώστης Mahnn σχολιάζει, «Οι τηλεπικοινωνίες θα πρέπει να αναλαμβάνουν ένα δίκαιο μερίδιο της ευθύνης που επιτρέπουν την πλαστογράφηση στο δίκτυό τους».

Λοιπόν, σε αυτό το πνεύμα, Paul, υπάρχει κάτι που μπορούν να κάνουν οι τηλεπικοινωνίες για να σταματήσουν αυτό;

---

ΠΑΠΙΑ.  Περιέργως, ο επόμενος σχολιαστής (ευχαριστώ, Τζον, για αυτό το σχόλιο!) είπε, «Μακάρι να είχες αναφέρει δύο πράγματα που ονομάζονται SIR και SHAKEN».

Αυτές είναι αμερικανικές πρωτοβουλίες – επειδή σας αρέσουν τα βασικά σας ονόματα, έτσι δεν σας αρέσει ο νόμος CAN-SPAM;

---

ΖΥΜΗ.  Κανουμε!

---

ΠΑΠΙΑ.  Λοιπόν, SIR είναι «Επανεξετάστηκε η ασφαλής τηλεφωνική ταυτότητα».

Και το SHAKEN προφανώς σημαίνει (μην με πυροβολείς, είμαι απλώς ο αγγελιοφόρος, Νταγκ!)… τι είναι αυτό, «Χειρισμός βεβαιωμένων πληροφοριών με χρήση διακριτικών βάσει υπογραφών».

Οπότε είναι βασικά σαν να λέμε: «Επιτέλους συνηθίσαμε να χρησιμοποιούμε TLS/HTTPS για ιστότοπους».

Δεν είναι τέλειο, αλλά τουλάχιστον παρέχει κάποιο μέτρο, ώστε να μπορείτε να επαληθεύσετε το πιστοποιητικό, αν θέλετε, και σταματάει να προσποιείται ότι είναι οποιοσδήποτε, όποτε θέλει.

Το πρόβλημα είναι ότι πρόκειται απλώς για πρωτοβουλίες, από όσο γνωρίζω.

Έχουμε την τεχνολογία για να το κάνουμε αυτό, τουλάχιστον για τη διαδικτυακή τηλεφωνία…

…αλλά κοιτάξτε πόσο καιρό μας πήρε για να κάνουμε κάτι τόσο απλό όπως να αποκτήσουμε HTTPS σε όλους σχεδόν τους ιστότοπους στον κόσμο.

Υπήρξε μια τεράστια αντίδραση εναντίον του.

---

ΖΥΜΗ.  Ναι!

---

ΠΑΠΙΑ.  Και, κατά ειρωνικό τρόπο, δεν προερχόταν από τους παρόχους υπηρεσιών.

Προερχόταν από τους ανθρώπους που έλεγαν: «Λοιπόν, διαχειρίζομαι έναν μικρό ιστότοπο, οπότε γιατί να πρέπει να ασχοληθώ με αυτό; Γιατί πρέπει να νοιάζομαι;»

Οπότε νομίζω ότι μπορεί να περάσουν πολλά χρόνια ακόμη μέχρι να υπάρξει κάποια ισχυρή ταυτότητα που σχετίζεται με τις εισερχόμενες τηλεφωνικές κλήσεις…

---

ΖΥΜΗ.  Εντάξει, οπότε θα μπορούσε να πάρει λίγο, [ΡΥΣΤΙΚΑ] αλλά όπως λέτε, επιλέξαμε τα ακρωνύμια μας, που είναι ένα πολύ σημαντικό πρώτο βήμα.

Λοιπόν, το έχουμε ξεμπερδέψει… και θα δούμε αν τελικά θα διαμορφωθεί.

Ευχαριστώ, λοιπόν, Mahnn, που το έστειλες.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @NakedSecurity.

Αυτή είναι η εκπομπή μας για σήμερα. ευχαριστώ πολύ για την ακρόαση.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, υπενθυμίζοντας σας: Μέχρι την επόμενη φορά…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]