T3 Ep111: El riesgo empresarial de un sórdido “desnudo sin filtro” [Audio + Texto] PlatoBlockchain Data Intelligence. Búsqueda vertical. Ai.

T3 Ep111: El riesgo comercial de un sórdido "desfiltrador de desnudos" [Audio + Texto]

Marca de tiempo: 1 de diciembre de 2022 12:58 p.m.

by
Paul patito

RIESGOS EMPRESARIALES DEL MALWARE FUERA DEL HORARIO

Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Con Doug Aamoth y Paul Ducklin. Música de introducción y salida de Edith Mudge.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.  Crackdowns, zero-days y porno Tik Tok.

Todo eso, y más, en el podcast de Naked Security.

[MÓDEM MUSICAL]

Bienvenidos al podcast, todos.

Soy Doug Aamoth; él es Paul Ducklin.

Paul, disculpe mi voz.

¡Soy enfermizo, pero me siento mentalmente agudo!

PATO.  Excelente, Doug.

Ahora, espero que hayas tenido una buena semana libre, y espero que hayas tenido un gran Black Friday.

DOUG.  Tengo demasiados hijos para hacer algo divertido... son demasiado jóvenes.

Pero obtuvimos un par de cosas en Black Friday a través de Internet.

Porque, no sé, no recuerdo la última vez que estuve en una tienda minorista, pero uno de estos días regresaré.

PATO.  Pensé que habías superado el Black Friday, desde que te frustraron por una Nintendo Wii en el siglo XVIII, ¿Doug?

DOUG.  Eso es cierto, sí.

Eso fue caminar al frente de la fila y algunas mujeres dijeron: "Necesitas un boleto", vieron cuán larga era la fila y dijeron: "Está bien, esto no es para mí".

PATO.  [RISAS] Presumiblemente, el boleto era solo para *entrar* en la cola... entonces averiguarías si en realidad les quedaba algo.

DOUG.  Sí, y no lo hicieron… ¡spoiler!

PATO.  "Señor solo se está uniendo a la cola previa".

DOUG.  Sí.

Así que no tenía ganas de pelear con un montón de gente.

Todas esas imágenes que ves en las noticias… ese nunca seré yo.

Nos gusta empezar el show con Esta semana en la historia de la tecnología segmento, y tenemos una función doble esta semana, Paul.

El 28 de noviembre de 1948, la Polaroid Land Camera Modelo 95 salió a la venta en los grandes almacenes Jordan Marsh aquí mismo en Boston.

Fue la primera cámara instantánea comercial, allá por 1948.

Y luego, un día (y varios años) después, el 29 de noviembre de 1972, Atari presentó su primer producto, un pequeño juego llamado PONG.

PATO.  Cuando anunció su intención de anunciar la Land Camera como Historia de la tecnología, pensé… “Era 1968”.

Tal vez un poco antes, tal vez a fines de la década de 1950, una especie de "era Sputnik".

1948, ¿eh?

¡Wow!

Gran miniaturización para la época.

Si piensas en lo grandes que todavía eran las computadoras, no era solo que necesitaban habitaciones, ¡necesitaban sus propios edificios grandes!

Y aquí estaba esta cámara casi mágica: química en tu mano.

Mi hermano tenía uno de esos cuando yo era un niño pequeño, y recuerdo estar absolutamente asombrado por él.

Pero no tan asombrado, Doug, como cuando descubrió que había tomado un par de fotografías redundantes, solo para ver cómo funcionaba.

Porque, claro, él estaba pagando la película [RISAS].

Lo cual no es tan barato como la película en cámaras normales.

DOUG.  ¡No señor!

Nuestra primera historia es otra historia de tipo histórico.

Este fue el gusano Christmas Tree en 1987, también conocido como CHRISTMA EXEC, que fue escrito en el lenguaje de programación REXX:

El gusano de red CHRISTMA EXEC: ¡35 años y contando!

REXX... Nunca había oído hablar de esto antes.

Dibujó un árbol de Navidad con arte ASCII y se difundió por correo electrónico, causando una interrupción masiva en los mainframes de todo el mundo, y fue una especie de precursor del Te Quiero virus que afectó a las PC de IBM.

PATO.  Creo que mucha gente subestimó tanto el alcance de las redes de IBM en la década de 1980 como el poder de los lenguajes de programación disponibles, como REXX.

Usted escribe el programa como texto simple y antiguo: no necesita un compilador, es solo un archivo.

Y si nombra el nombre del archivo con ocho caracteres, por lo tanto, NAVIDAD, no NAVIDAD (aunque podría *escribir* NAVIDAD, porque simplemente ignoraría la -S)...

…y si le dio al nombre de archivo la extensión EXEC (entonces: CHRISTMA [espacio] EXEC), entonces cuando escribió la palabra “Navidad” en la línea de comando, se ejecutaría.

Debería haber sido un disparo de advertencia en todas nuestras proas, pero creo que se sintió como un pequeño relámpago.

Hasta un año después ...

… luego vino el gusano de Internet, Doug, que por supuesto atacó los sistemas Unix y se extendió por todas partes:

Memorias del gusano de Internet – 25 años después

Y para entonces creo que todos nos dimos cuenta, "Oh, oh, esta escena de virus y gusanos podría resultar bastante problemática".

Entonces, sí, CHRISTMA EXEC... muy, muy simple.

De hecho, puso un árbol de Navidad, y eso estaba destinado a ser la distracción.

Miró el árbol de Navidad, por lo que probablemente no notó todos los pequeños letreros en la parte inferior de su terminal IBM 3270 que mostraban toda la actividad del sistema, hasta que comenzó a recibir estos mensajes del Árbol de Navidad de docenas de personas.

[LA RISA]

Y así siguió, una y otra vez.

“Muy feliz Navidad y mis mejores deseos para el próximo año”, decía, todo en arte ASCII, o quizás debería decir arte EBCDIC.

Hay un comentario en la parte superior del código fuente: "Deja que este EXEC se ejecute y diviértete".

Y un poco más abajo, hay una nota que dice: "Navegar por este archivo no es nada divertido".

Lo cual, obviamente, si no eres programador, es bastante cierto.

Y debajo dice: "Simplemente escriba Navidad desde el símbolo del sistema".

Entonces, al igual que el malware de macro moderno que le dice al usuario: “Oye, las macros están desactivadas, pero para tu 'seguridad adicional' necesitas volver a activarlas... ¿por qué no hacer clic en el botón? Es mucho más fácil de esa manera.”

Hace 35 años [RISAS], los desarrolladores de malware ya se habían dado cuenta de que si les pides amablemente a los usuarios que hagan algo que no les interesa en absoluto, algunos de ellos, posiblemente muchos de ellos, lo harán.

Una vez que lo autorizó, pudo leer sus archivos, y debido a que podía leer sus archivos, podía obtener la lista de todas las personas con las que normalmente se correspondía de su llamado archivo de apodos o NOMBRES, y se lanzó a sí mismo a todos ellos.

DOUG.  No digo que extrañe esta vez, pero hubo algo extrañamente reconfortante, hace 20 años, encendí Hotmail y vi cientos de correos electrónicos de personas que me tenían en su lista de contactos...

… y simplemente *sabiendo* que algo estaba pasando.

Como, "Hay un gusano dando vueltas, claramente", porque estoy recibiendo una avalancha de correos electrónicos de gente aquí.

PATO.  Gente de la que nunca habías oído hablar durante un par de años... ¡de repente estarían en todo tu buzón!

DOUG.  Bien, pasemos a lo nuevo, a lo moderno...

…y este “Desafío Invisible” de TikTok:

El malware porno TikTok “Invisible Challenge” nos pone a todos en riesgo

Que es básicamente un filtro en TikTok que puedes aplicar que te hace parecer invisible… así que, por supuesto, lo primero que hizo la gente fue: "¿Por qué no me quito toda la ropa y veo si realmente me hace invisible?"

Y luego, por supuesto, un montón de estafadores dicen: "Lancemos un software falso que 'haga invisible' a las personas desnudas".

¿Tengo ese derecho?

PATO.  Sí, lamentablemente, Doug, eso es todo.

Y, desafortunadamente, resultó ser un señuelo muy atractivo para un número significativo de personas en línea.

Estás invitado a unirte a este canal de Discord para obtener más información... y para comenzar, bueno, debes darle me gusta a la página de GitHub.

Así que es toda esta profecía autocumplida...

DOUG.  Esa parte es (odio usar la palabra B [brillante])... ese aspecto es casi digno de una palabra B porque estás legitimando este proyecto ilegítimo, solo porque todos lo votan a favor.
.

PATO.  ¡Por supuesto!

"Vota primero, y *luego* te contaremos todo al respecto, porque obviamente va a ser genial, porque es 'porno gratis'".

Y el proyecto en sí es todo un paquete de mentiras: solo se vincula a otros repositorios (y eso es bastante normal en la escena de la cadena de suministro de código abierto)... parecen proyectos legítimos, pero son básicamente clones de proyectos legítimos con una cambió la línea que se ejecuta durante la instalación.

Lo cual es una gran bandera roja, por cierto, que incluso si esto no tuviera el tema porno sórdido de 'desnuda a la gente que nunca tuvo la intención'.

Puede terminar con software legítimo, instalado genuinamente fuera de GitHub, pero el proceso de hacer la instalación, satisfacer todas las dependencias, obtener todos los bits que necesita... *ese* proceso es lo que introduce el malware.

Y eso es exactamente lo que sucedió aquí.

Hay una línea de Python ofuscado; cuando lo desofuscas, es básicamente un descargador que va y obtiene más Python, que está supercodificado, por lo que no es tan obvio lo que hace.

La idea es esencialmente que los delincuentes puedan instalar lo que quieran, porque ese descargador va a un sitio web que controlan los delincuentes, para que puedan descargar lo que quieran.

Y parece que el malware principal que los delincuentes querían implementar (aunque podrían haber instalado cualquier cosa) era un troyano que roba datos basado, creo, en un proyecto conocido como WASP...

… que básicamente persigue archivos interesantes en su computadora, en particular, incluyendo cosas como billeteras de criptomonedas, tarjetas de crédito almacenadas y, lo que es más importante (¡probablemente haya adivinado a dónde va esto!) Su contraseña de Discord, sus credenciales de Discord.

Y sabemos por qué a los delincuentes les encantan las redes sociales y las contraseñas de mensajería instantánea.

Porque, cuando obtienen su contraseña, pueden comunicarse directamente con sus amigos, su familia y sus compañeros de trabajo en un grupo cerrado...

… es mucho más creíble que deben obtener una tasa de éxito mucho mayor para atraer nuevas víctimas que con cosas de rociar y rezar, como el correo electrónico o los mensajes de texto.

DOUG.  Está bien, estaremos atentos a eso, aún se está desarrollando.

Pero buenas noticias, finalmente: esta estafa "Cryptorom", que es una estafa cripto/romance...

…tenemos algunos arrestos, arrestos importantes, ¿verdad?

Sitios de estafa multimillonarios de CryptoRom incautados, sospechosos arrestados en EE. UU.

PATO.  Sí.

Esto fue anunciado por el Departamento de Justicia de EE. UU. [DOJ]: siete sitios asociados con los llamados estafadores de Cryptorom eliminados.

Y ese informe también se relaciona con el hecho de que, creo, 11 personas fueron arrestadas recientemente en los Estados Unidos.

Ahora, Cryptorom, ese es un nombre que los investigadores de SophosLabs le dieron a este esquema de ciberdelincuencia en particular porque, como usted dice, se casa con el enfoque utilizado por los estafadores románticos (es decir, buscarlo en un sitio de citas, crear un perfil falso, convertirse en sus amigos) con estafa de criptomonedas.

En lugar del “Oye, quiero que te enamores de mí; Vamos a casarnos; ahora envíame dinero para la visa” tipo de estafa…

…los ladrones dicen: “Bueno, quizás no nos convirtamos en un elemento, pero seguimos siendo buenos amigos. [VOZ DRAMÁTICA] ¡Tengo una oportunidad de inversión para ti!”

Así que de repente se siente como si viniera de alguien en quien puedes confiar.

Es una estafa que consiste en convencerlo de que instale una aplicación fuera del mercado, incluso si tiene un iPhone.

“Todavía está en desarrollo; es tan nuevo; eres tan importante; usted está justo en el centro de la misma. Todavía está en desarrollo, así que regístrese en TestFlight, el programa Beta”.

O dirán, “Oh, solo lo estamos publicando para las personas que se unen a nuestro negocio. Así que dénos el control de la administración de dispositivos móviles (MDM) sobre su teléfono, y luego podrá instalar esta aplicación. [VOZ SECRETA} Y no se lo digas a nadie. No estará en la tienda de aplicaciones; eres especial."

Y, por supuesto, la aplicación se parece a una aplicación de comercio de criptomonedas, y está respaldada por gráficos atractivos que extrañamente siguen subiendo, Doug.

Tus inversiones nunca bajan realmente... pero todo es un montón de mentiras.

Y luego, cuando quieres sacar tu dinero, bueno (típico truco de Ponzi o esquema piramidal), a veces te dejan sacar un poco de dinero… estás probando, entonces retiras un poco y lo obtienes. espalda.

Por supuesto, solo le están dando el dinero que ya invirtió, o parte de él.

DOUG.  [TRISTE] Sí.

PATO.  ¡Y luego sus inversiones están subiendo!

Y luego te echan encima: “¿Imagínate si no has retirado ese dinero? ¿Por qué no vuelves a poner ese dinero? Oye, incluso te prestaremos algo más de dinero; vamos a poner algo con usted. ¿Y por qué no invitar a tus amigos? ¡Porque algo grande viene!”

Así que pones el dinero y sucede algo grande, como que el precio se dispara, y dices: "¡Guau, estoy tan contento de haber reinvertido el dinero que retiré!"

Y todavía estás pensando: "El hecho de que podría haberlo retirado debe significar que estas personas son legítimas".

Por supuesto, no lo son, es solo un paquete de mentiras más grande de lo que era al principio.

Y luego, cuando finalmente piensas, "Será mejor que saque dinero", de repente hay todo tipo de problemas.

"Bueno, hay un impuesto", Doug, "Hay un impuesto de retención del gobierno".

Y dices: "Está bien, entonces voy a cortar un 20% de la parte superior".

Entonces la historia es: "En realidad, no, no es *técnicamente* una retención de impuestos". (Que es donde simplemente sacan el dinero de la suma y te dan el resto)

"En realidad, su cuenta está *congelada*, por lo que el gobierno no puede retener el dinero".

Tienes que pagar el impuesto... luego te devuelven el monto total.

DOUG.  [GOMANDO] ¡Oh, Dios!

PATO.  Deberías oler una rata en este punto... pero están sobre ti; te están presionando; están desmalezando; si no es mala hierba, te están diciendo: “Bueno, podrías meterte en problemas. ¡El gobierno puede estar tras de ti!”

La gente está poniendo el 20% y luego, como escribí [en el artículo], espero no ser grosero: JUEGO TERMINADO, INSERTE LA MONEDA PARA COMENZAR EL NUEVO JUEGO.

De hecho, es posible que después te contacte alguien que milagrosamente, Doug, dice: “Oye, ¿te han estafado con estafas de Cryptorom? Bueno, estoy investigando y puedo ayudarte a recuperar el dinero.

Es terrible estar ahí, porque todo comienza con la parte “rom” [romance].

En realidad, no buscan el romance, pero *buscan* una amistad suficiente como para que sientas que puedes confiar en ellos.

Así que en realidad te estás metiendo en algo "especial"; es por eso que tus amigos y familiares no fueron invitados.

DOUG.  Hemos hablado de esta historia varias veces antes, incluido el consejo, que se encuentra en el artículo aquí.

El desmontaje [elemento principal] en la columna de consejos es: Escuche abiertamente a sus amigos y familiares si tratan de advertirle.

¡Guerra psicológica, por así decirlo!

PATO.  Ciertamente.

Y el penúltimo también es uno para recordar: No se deje engañar porque va al sitio web de un estafador y se ve como el verdadero negocio..

Piensas: "Caramba, ¿realmente podrían permitirse pagar a diseñadores web profesionales?"

Pero si miras cuánto dinero están ganando estos muchachos: [A] sí, podrían, y [B] ni siquiera necesitan hacerlo.

Existen muchas herramientas que crean sitios web de alta calidad y visualmente amigables con gráficos en tiempo real, transacciones en tiempo real, formularios web hermosos y de apariencia mágica...

DOUG.  Exactamente.

En realidad, es muy difícil hacer un sitio web que se vea *mal* hoy en día.

¡Tienes que esforzarte más!

PATO.  Tendrá un certificado HTTPS; tendrá un nombre de dominio que parezca lo suficientemente legítimo; y, por supuesto, en este caso, se combina con una aplicación * que sus amigos no pueden verificar por usted descargándose * de la App Store y diciendo: "¿En qué demonios estabas pensando?"

Porque es una "aplicación especial secreta", a través de canales "súper especiales", que facilita que los delincuentes te engañen al parecer más que suficiente.

Así que, ¡cuídense, amigos!

DOUG.  ¡Ten cuidado!

Y sigamos con el tema de las represiones.

Esta es otra gran represión: esta historia es realmente intrigante para mí, así que me interesa saber cómo la desentraña:

Sitio de estafa de voz “iSpoof” incautado, 100 arrestados en represión masiva

Este es un sitio de estafas de voz que se llamaba iSspoof... y me sorprende que se le permitiera operar.

Este no es un sitio web oscuro, está en la web normal.

PATO.  Supongo que si todo lo que su sitio está haciendo es: "Le ofreceremos servicios de voz sobre IP [VoIP] con un valor agregado que incluye configurar sus propios números de llamadas"...

…si no dicen abiertamente: “El objetivo principal de esto es cometer un delito cibernético”, es posible que la empresa de hospedaje no tenga la obligación legal de cerrar el sitio.

Y si lo organizas tú mismo y eres el ladrón... Supongo que es bastante difícil.

Al final, se necesitó una orden judicial, adquirida por el FBI, creo, y ejecutada por el Departamento de Justicia, para reclamar esos dominios y colocar [un mensaje que decía] "Este dominio ha sido incautado".

Así que fue una operación bastante larga, según tengo entendido, solo tratar de estar detrás de esto.

El problema aquí es que le facilitó mucho iniciar un servicio de estafa en el que, cuando llama a alguien, su teléfono aparece con el nombre de su banco de High Street que ellos mismos habían ingresado en su lista de contactos telefónicos, directamente. *el propio sitio web del banco*.

Porque, lamentablemente, hay poca o ninguna autenticación en el protocolo de identificación de llamadas o de identificación de llamadas.

¿Esos números que aparecen antes de contestar la llamada?

No son mejores que pistas, Doug.

Pero desafortunadamente, la gente los toma como una especie de verdad del evangelio: “Dice que es el banco. ¿Cómo podría alguien falsificar eso? DEBE ser el banco llamándome”.

¡No necesariamente!

Si observa la cantidad de llamadas que se realizaron... ¿cuántas fueron, tres millones y medio solo en el Reino Unido?

¿10 millones en toda Europa?

Creo que fueron tres millones y medio de llamadas las que hicieron; 350,000 de ellas fueron respondidas y luego duraron más de un minuto, lo que sugiere que la persona estaba comenzando a creer toda la suplantación de identidad.

Por lo tanto: "Transfiera fondos a la cuenta equivocada", o "Lea su código de autenticación de dos factores", o "Permítanos ayudarlo con su problema técnico; comencemos instalando TeamViewer", o lo que sea.

E incluso ser invitado por los ladrones: "¡Mira el número si no me crees!"

DOUG.  Eso nos lleva a una pregunta que tuve todo el tiempo leyendo este artículo, y encaja muy bien con el comentario de nuestro lector de la semana.

El lector Mahnn comenta: "Las empresas de telecomunicaciones deberían recibir una parte justa de la culpa por permitir la suplantación de identidad en su red".

Entonces, en ese espíritu, Paul, ¿hay algo que las empresas de telecomunicaciones puedan hacer para detener esto?

PATO.  Curiosamente, el siguiente comentarista (¡gracias, John, por este comentario!) dijo: "Ojalá hubieras mencionado dos cosas llamadas REVOLUCIÓN y AGOTADO".

Estas son iniciativas estadounidenses, porque a ustedes les encantan sus acrónimos, ¿no es así? ¿Le gusta la Ley CAN-SPAM?

DOUG.  ¡Hacemos!

PATO.  Entonces, STIR es “Identidad telefónica segura revisada”.

Y SHAKEN aparentemente significa (¡no me dispares, solo soy el mensajero, Doug!)... ¿qué es? "manejo basado en firmas de información afirmada usando tokens".

Básicamente, es como decir: "Finalmente nos acostumbramos a usar TLS/HTTPS para sitios web".

No es perfecto, pero al menos proporciona alguna medida para que pueda verificar el certificado si lo desea, y evita que cualquiera pretenda ser alguien, en cualquier momento que lo desee.

El problema es que estas son solo iniciativas, que yo sepa.

Tenemos la tecnología para hacer esto, al menos para telefonía por internet…

…pero mira cuánto tiempo nos tomó hacer algo tan simple como obtener HTTPS en casi todos los sitios web del mundo.

Hubo una gran reacción en su contra.

DOUG.  ¡Sí!

PATO.  E, irónicamente, no procedía de los proveedores de servicios.

Provenía de personas que decían: “Bueno, administro un sitio web pequeño, entonces, ¿por qué debería preocuparme por esto? ¿Por qué debería importarme?

Así que creo que pueden pasar muchos años antes de que haya una identidad fuerte asociada con las llamadas telefónicas entrantes...

DOUG.  Está bien, podría llevar un tiempo, [IRÓNICAMENTE] pero, como dices, hemos elegido nuestras siglas, lo cual es un primer paso muy importante.

Entonces, lo hemos solucionado... y veremos si esto toma forma eventualmente.

Así que gracias, Mahnn, por enviar eso.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @NakedSecurity.

Ese es nuestro programa de hoy; muchas gracias por escuchar

Para Paul Ducklin, soy Doug Aamoth, recordándoles: Hasta la próxima...

AMBAS COSAS.  Mantente seguro.

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda