S3 Ep103: Scammers in the Slammer (ja muud lood) [heli + tekst]

Klõpsake ja lohistage allolevatel helilainetel mis tahes punkti hüppamiseks. Sa saad ka kuula otse Soundcloudis.

DOUG.  Microsofti topeltnullpäev, petturite vangla ja võltsitud telefonikõned.

Kõik see ja palju muud – Naked Security taskuhäälingusaates.

[MUUSIKAMODEEM]

Tere tulemast podcasti, kõik. Mina olen Doug Aamoth.

Ta on Paul Ducklin…

---

PART.  See on suur rõõm, Douglas.

---

DOUG.  mul on mõned Tehnika ajalugu teie jaoks ja see läheb tagasi, tee, tee, tagasi, ja see on seotud kalkulaatoritega.

Sel nädalal, 7. oktoobril 1954, demonstreeris IBM esimest omataolist täistransistoride kalkulaatorit.

. IBM elektrooniline arvutusstants, nagu seda kutsuti, vahetas oma 1250 vaakumtoru 2000 transistori vastu, mis vähendas selle mahtu poole võrra ja kasutas vaid 5% rohkem energiat.

---

PART.  Wow!

Ma polnud sellest “604”-st kuulnud, seega läksin ja otsisin selle järgi, aga pilti ei leidnud.

Ilmselt oli see lihtsalt eksperimentaalne mudel ja paar kuud hiljem toodi välja see, mida saite osta, nimega 608, ja nad suurendasid selle 3000 transistorini.

Kuid pidage meeles, Doug, see ei ole transistorid nagu integraallülitustes [IC-d], sest IC-sid veel polnud.

Kui teil oleks olnud ventiil, termoventiil (või "toob" [vaakumtoru], nagu te seda nimetaksite), oleks selle asemel ühendatud transistor.

Ehkki see oli palju väiksem, oli see siiski diskreetne komponent.

Kui ma mõtlen “kalkulaatorile”, mõtlen ma “taskukalkulaatorile”…

---

DOUG.  Oh, ei, ei, ei!

---

PART.  “Ei”, nagu sa ütled…

…see on väga suure külmiku suurus!

Ja siis on vaja väga suurt külmkappi selle kõrvale, fotol, mida ma nägin, mis minu arvates on sisendiks.

Ja siis oli kahe väga suure külmiku kõrval veel üks juhtlülitus, mis nägi välja nagu väga suur sügavkülmik.

Ma ei mõistnud seda, kuid ilmselt tegi Thomas Watson [IBM-i tegevjuht] sel ajal kogu IBM-ile järgmise dekreedi: „Ükski uus toode ei tohi kasutada ventiile, vaakumtorusid. Me võtame täielikult omaks, toetame ja kasutame ainult transistore.

Ja nii läkski kõik edasi.

Ehkki see oli transistorevolutsiooni esirinnas, ilmselt asendati see peagi... see oli turul vaid umbes 18 kuud.

---

DOUG.  Noh, jäägem ikka väga suurte asjade juurde ja teavitame oma kuulajaid sellest Microsoft Exchange’i topeltnullpäevast.

Oleme seda käsitlenud a minisood; oleme seda katnud kohapeal… aga midagi uut, millest peaksime teadma?

---

PART.  Mitte päriselt, Douglas.

Tundub, et see ei võtnud üle küberjulgeoleku maailma ega turvaoperatsioone [SecOps], nagu ProxyShell ja Log4Shell tegi:

Ma arvan, et sellel on kaks põhjust.

Esiteks on haavatavuse tegelikud üksikasjad endiselt salajased.

Neid teavad selle avastanud Vietnami ettevõte, ZeroDay Initiative [ZDI], kus see vastutustundlikult avalikustati, ja Microsoft.

Ja tundub, et kõik hoiavad seda oma mütsi all.

Nii palju kui ma tean, pole 250 kontseptsiooni tõestust "proovige seda kohe!" GitHubi hoidlad, kus saate seda ise teha.

Teiseks nõuab see autentitud juurdepääsu.

Ja minu sisetunne ütleb, et kõik tahtjad küberjulgeoleku uurijad (siia lisatud hiiglaslikud õhutsitaadid), kes hüppasid Proxyshelli või Log4Shelliga Internetis rünnakute teele, väites, et nad teenivad teenust: "Hei, kui teie veebiteenus on haavatav, avastan selle ja ütlen teile. ”…

…Ma kahtlustan, et paljud neist inimestest mõtlevad kaks korda, kas proovida läbi viia sama rünnak, kus nad peavad tegelikult paroole ära arvama.

Tundub, et see on liivas üsna olulise joone teine ​​pool, kas pole?

---

DOUG.  UH ah.

---

PART.  Kui teil on avatud veebiserver, mis on loodud päringute vastuvõtmiseks, on see väga erinev päringu saatmisest serverile, millele te teate, et te ei peaks juurde pääsema, ja proovimisest anda parool, mida te teate, et te ei peaks seda tegema. teada, kas sellel on mõtet.

---

DOUG.  Jah.

---

PART.  Nii et hea uudis on see, et seda ei kasutata laialdaselt…

…aga ikka pole plaastrit väljas.

Ja ma arvan, et niipea, kui plaaster ilmub, peate selle kiiresti hankima.

Ärge viivitage, sest ma kujutan ette, et plaastrite ümberpööramisel tekib väike söömishullus, et teada saada, kuidas te seda asja tegelikult usaldusväärselt ära kasutate.

Sest meile teadaolevalt töötab see päris hästi – kui teil on parool, siis saate esimese eksploiti abil avada ukse teisele exploitile, mis võimaldab teil Exchange'i serveris PowerShelli käivitada.

Ja see ei saa kunagi hästi lõppeda.

Vaatasin täna hommikul Microsofti juhiste dokumenti (salvestame nädala kolmapäeval), kuid ma ei näinud teavet plaastri või selle kohta, millal see saadaval on.

Järgmisel teisipäeval on plaastri teisipäev, nii et äkki pannakse meid selle ajani ootama?

---

DOUG.  OK, me hoiame sellel silma peal ja palun värskendage ja parandage, kui seda näete... see on oluline.

Ma pöördun tagasi meie kalkulaatori juurde ja annan teile a väike võrrand.

See kõlab nii: 2 aastat pettust + 10 miljonit dollarit pettus = 25 aastat vangistust:

---

PART.  See on kurjategija – nüüd võime teda nii kutsuda, sest ta pole mitte ainult süüdi mõistetud, vaid ka süüdi mõistetud – dramaatiliselt kõlava nimega: Elvis Eghosa Ogiekpolor.

Ja ta juhtis paar aastat tagasi Ameerika Ühendriikides Georgias Atlantas nn käsitööliste kübergangi.

Veidi vähem kui kahe aasta jooksul pidutsesid nad, kui soovite, õnnetute ettevõtetega, kes langesid nn ärimeilide kompromissi [BEC] ohvriks, ja õnnetute isikutega, keda nad meelitasid romantikapettusi… ja teenisid 10 miljonit dollarit.

Elvis (ma kutsun teda lihtsalt nii)… antud juhul oli tal kokku pandud meeskond, kes lõi terve võrgu pettusega avatud USA pangakontodest, kuhu ta sai raha hoiustada ja seejärel pesta.

Ja teda mitte ainult ei mõistetud süüdi, vaid ta on just mõistetud.

Kohtunik otsustas ilmselgelt, et selle kuriteo olemus ja ohvriks langemise iseloom on piisavalt tõsine, et ta sai 25 aastat föderaalses vanglas.

---

DOUG.  Uurime ärimeili kompromissi.

Minu arvates on see põnev – te kas esinete kellegi e-posti aadressina või olete saanud kätte tema tegeliku e-posti aadressi.

Ja sellega, kui saad kellegi konksu otsa, saad teha terve hunniku asju.

Loetlete need siin artiklis - ma vaatan need kiiresti läbi.

Saate teada, millal on suurte maksete tähtaeg …

---

PART.  Tõepoolest.

Ilmselgelt, kui saadate meili väljastpoolt ja võltsite lihtsalt e-kirjade päiseid, et teeselda, et kiri tuleb finantsjuhilt, siis peate arvama, mida finantsjuht teab.

Kuid kui saate igal hommikul varakult varakult finantsjuhi meilikontole sisse logida, siis saate piiluda kõigis toimuvates asjades ja teha märkmeid.

Seega, kui tulete nendena esinema, ei saada te mitte ainult meili, mis tegelikult pärineb nende kontolt, vaid teete seda ka hämmastava hulga siseteadmistega.

---

DOUG.  Ja siis muidugi, kui saate meili, kus palute mõnel teadmatul töötajal sellele müüjale hunnik raha kanda ja nad ütlevad: "Kas see on tõsi?"

…kui teil on juurdepääs tegelikule meilisüsteemile, võite vastata. "Muidugi on see tõsi. Vaadake meiliaadressi – see olen mina, finantsjuht.

---

PART.  Ja muidugi, veelgi enam, võite öelda: "Muide, see on omandamine, see on tehing, mis röövib meie konkurentide marssi. Nii et see on ettevõtte konfidentsiaalne. Veenduge, et te ei räägi sellest kellelegi teisele ettevõttes."

---

DOUG.  Jah – topeltpõlv!

Võite öelda: "See olen mina, see on tõsi, aga see on suur asi, see on saladus, ärge rääkige kellelegi teisele. EI SEDA! Ärge teatage sellest kui kahtlasest sõnumist.

Seejärel saate minna kausta Saadetud ja kustutada võltskirjad, mille olete finantsjuhi nimel saatnud, et keegi ei näeks, et olete seal ringi tuhninud.

Ja kui olete "hea" BEC-pettur, lähete ja uurite tegeliku töötaja endistes e-kirjades ning sobitate selle kasutaja stiiliga, kopeerides ja kleepides selle inimese kasutatud levinud fraasid.

---

PART.  Absoluutselt, Doug.

Ma arvan, et oleme varem rääkinud, kui oleme rääkinud andmepüügimeilidest... lugejatest, kes on teatanud: „Jah, ma sain ühe sellise jutu peale, aga ma ütlesin selle kohe välja, sest inimene kasutas oma meilis tervitust, mis on lihtsalt nii iseloomust väljas."

Või olid sisselogimisel mõned emotikonid, nagu naerunägu [NAER], mida ma tean, et see inimene lihtsalt kunagi ei teeks.

Muidugi, kui kopeerite ja kleepite lihtsalt eelmiste meilide standardse sissejuhatuse ja lõpu, väldite seda tüüpi probleeme.

Ja teine ​​asi, Doug, on see, et kui saadate meili päris kontolt, saab see inimese tõelise, ehtsa e-kirja allkirja, kas pole?

Selle lisab ettevõtte server ja see näeb välja täpselt selline, nagu ootate.

---

DOUG.  Ja siis ma armastan seda mahasõitu…

... tipptasemel kurjategijana ei kavatse te mitte ainult ettevõtet ära rebida, vaid hakkate ka ettevõtte *klientidele* järele minema, öeldes: "Hei, kas saate selle arve kohe maksta ja saata sellele uuele pangakonto?"

Saate petta mitte ainult ettevõtet, vaid ka ettevõtteid, kellega ettevõte koostööd teeb.

---

PART.  Absoluutselt.

---

DOUG.  Ja et te ei arvaks, et Elvis pettis lihtsalt ettevõtteid... ta tegi ka romantikapettusi.

---

PART.  Justiitsministeerium teatab, et mõned ettevõtted, mida nad petsid, võeti korraga sadade tuhandete dollarite eest.

Ja nende pettuse tagumine külg oli üksikisikute jälitamine nn romantikapettustes.

Ilmselt oli juhtumis tunnistajateks 13 inimest ja kaks näidet, mille DOJ (justiitsministeerium) mainis, maksid minu arvates vastavalt 32,000 70,000 ja XNUMX XNUMX dollarit.

---

DOUG.  OK, nii et meil on mõned nõuanded, kuidas kaitsta teie ettevõtet ettevõtte meiliprobleemide eest ja kuidas kaitsta end romantikapettuste eest.

Alustame ettevõtte e-posti kompromissiga.

Mulle meeldib see esimene punkt, sest see on lihtne ja see on väga madalal rippuv vili: Looge töötajatele keskne meilikonto, et teavitada kahtlastest meilidest.

---

PART.  Jah, kui teil on security@example.com, siis arvatavasti hoolitsete selle e-posti konto eest väga hoolikalt ja võite väita, et on palju vähem tõenäoline, et ettevõtte e-posti kompromissiga isik suudab SecOpsi kontot rikkuda, võrreldes mõne teise juhusliku ettevõtte töötaja kontoga.

Ja arvatavasti ka, kui teil on vähemalt paar inimest, kes saavad seal toimuval silma peal hoida, on teil palju suurem võimalus saada sellelt meiliaadressilt kasulikke ja heade kavatsustega vastuseid, kui lihtsalt küsida asjaomane isik.

Isegi kui finantsjuhi meili pole ohustatud… kui teile on andmepüügimeil ja te küsite finantsjuhilt: "Hei, kas see on legaalne või mitte?", paned finantsjuhi väga raskesse olukorda.

Te ütlete: "Kas saate käituda nii, nagu oleksite IT-ekspert, küberjulgeoleku uurija või turvaoperatsioonidega tegelev inimene?"

Palju parem on see tsentraliseerida, nii et inimestel on lihtne viis teatada millestki, mis tundub natukene.

See tähendab ka seda, et kui te tavaliselt teeksite lihtsalt: „Noh, see on ilmselgelt andmepüügi. Ma lihtsalt kustutan selle ”…

...saates selle, kuigi *teie* arvate, et see on ilmselge, lubate SecOpsi meeskonnal või IT-meeskonnal ülejäänud ettevõtet hoiatada.

---

DOUG.  Hästi.

Ja järgmine nõuanne: Kahtluse korral pöörduge otse meili saatja poole.

Ja et mitte rikkuda, võib-olla mitte meili teel mõnel muul viisil…

---

PART.  Ükskõik, millist mehhanismi kasutati teile ebausaldusväärse sõnumi saatmiseks, ärge saatke neile sama süsteemi kaudu tagasi!

Kui kontole pole häkitud, saate vastuse: "Ei, ärge muretsege, kõik on hästi."

Ja kui kontole *on* sisse häkitud, saate tagasi sõnumi: "Oh, ei, ärge muretsege, kõik on hästi!" [NAERAB]

---

DOUG.  Hästi.

Ja siis viimaseks, kuid kindlasti mitte vähemtähtsaks: Konto maksete üksikasjade muutmiseks on vaja teisest autoriseerimist.

---

PART.  Kui teil on probleemile teine ​​pilk – teisene volitus –, siis [A] muudab kõvera siseringi isikul keerulisemaks kelmusest pääseda, kui ta aitab hädast välja, ja [B] tähendab, et keegi ei ilmselgelt, püüdes olla klientidele abiks, peab kandma kogu vastutust ja survet, et otsustada: "Kas see on seaduslik või mitte?"

Kaks silma on sageli parem kui üks.

Või äkki ma mõtlen, et neli silma on sageli parem kui kaks…

---

DOUG.  Jah. [NAERAB].

Pöörame oma tähelepanu romantikapettustele.

Esimene nõuanne on: Aeglustage, kui kohtingujutt muutub sõprusest, armastusest või romantikast rahaks.

---

PART.  Jah.

On oktoober, kas pole, Doug?

Seega on taaskord käes küberturvalisuse teadlikkuse kuu… #küberkuu, kui tahad jälgida, mida inimesed teevad ja räägivad.

Seal on see suurepärane väike moto (kas see on õige sõna?), mida oleme podcastis mitu korda öelnud, sest ma tunnen sind ja see meeldib mulle, Doug.

See pärineb USA avalikust teenistusest…

---

MÕlemad.  Peatus. (Periood.)

Mõtle. (Periood.)

Ühendage. (Periood.)

---

PART.  Ärge kiirustage liiga palju!

Interneti-asjade puhul on tõesti küsimus "tehi kiirustades, vabal ajal meelt parandades".

---

DOUG.  Ja veel üks nõuanne, mis mõnele inimesele raskeks läheb... aga vaadake enda sisse ja proovige seda järgida: Kuulake avameelselt oma sõpru ja perekonda, kui nad üritavad teid hoiatada.

---

PART.  Jah.

Olen osalenud küberturvalisusega seotud üritustel, mis on käsitlenud romantikapettuste teemat ka varem, kui töötasin Sophos Austraalias.

Oli valus kuulda jutte politseiteenistuses olevatelt inimestelt, kelle ülesandeks on praegusel hetkel pettustesse sekkuda...

…ja lihtsalt selleks, et näha, kuidas mõned neist politseinikest olid, kui nad külaskäigult tagasi tulid.

Mõnel juhul olid petuskeemidesse meelitatud terved pered.

Ilmselgelt on need rohkem "finantsinvesteeringute" kui romantika tüüpi, kuid *kõik* olid petturiga seotud, nii et kui korrakaitsjad sinna läksid, olid perel "kõik vastused", mille oli hoolikalt andnud. kelm.

Ja romantikapettuste puhul ei mõtle nad midagi teie romantilise huvi eest hoolitsemisest *ja* teie ja teie pere vahele kiilu löömisest, nii et te lõpetate nende nõuande kuulamise.

Seega olge ettevaatlik, et te ei võõrduks nii oma perekonnast kui ka pangakontost.

---

DOUG.  Hästi.

Ja siis viimane nõuanne: Artiklisse on manustatud suurepärane video.

Artiklit nimetatakse Romance Scammer ja BEC Fraudster saadeti 25 aastaks vangi:

Nii et vaadake seda videot – see sisaldab palju häid näpunäiteid.

Ja jääme pettuste teema juurde ning räägime petturitest ja petturitest.

Kas kelmuskõnesid on üldse võimalik peatada?

See on suur küsimus päeva hetkel:

---

PART.  Noh, on kelmuskõnesid ja on häirivaid kõnesid.

Mõnikord näivad häirivad kõned olevat petukõnedele väga lähedal.

Need on inimesed, kes esindavad seaduslikke ettevõtteid, [pahandatud], kuid nad lihtsalt ei lakka teile helistamast, [HAIGUTAVAD ERINEVAMAKS] olenemata sellest, kui ütlete neile: "Ma olen loendis Mitte helistada [VIHANE] nii et ÄRGE VEEL HELISTAGE. "

Nii et ma kirjutasin alasti turvalisuse kohta artikli, milles ütlesin inimestele… kui suudate end seda teha (ma ei soovita, et peaksite seda iga kord tegema, see on tõeline tüli), selgub, et kui te *teed* kaebate, mõnikord on sellel tulemus.

Ja mind ajendas seda üles kirjutama see, et teabevoliniku büroo [ICO, Ühendkuningriigi andmete privaatsuse regulaator] katkestas neli keskkonnatooteid müüvat ettevõtet ja määras neile kümnete kuni sadade tuhandete naelsterlingi suuruse trahvi selle eest, et nad helistasid inimestele, kes olid panevad end sellesse, mida üsna kummaliselt nimetatakse Telefoni eelistuste teenus Ühendkuningriigis…

…nagu nad tunnistaksid, et mõned inimesed tahavad tegelikult nendesse prügikõnedesse lubada. [NAER]

---

DOUG.  "Eelista"?! [NAERAB]

---

PART.  Mulle meeldib see, kuidas see USA-s on.

Koht, kuhu lähete registreeruma ja kaebama, on: donotcall DOT gov.

---

DOUG.  Jah! "Ära helista!"

---

PART.  Kahjuks elame telefoni teel endiselt loobumismaailmas... neil on lubatud teile helistada seni, kuni te ütlete, et nad ei saa.

Kuid minu kogemus on olnud see, et kuigi see ei lahenda probleemi, on end mittehelistamisregistrisse kandmine peaaegu kindel, et see ei *suurenda* teile saadavate kõnede arvu.

See on mind muutnud nii Austraalias elades kui ka praegu Ühendkuningriigis…

…ja aeg-ajalt kõnedest teatamine annab vähemalt teie riigi reguleerivale asutusele võimaluse tulevikus mingil ajal midagi ette võtta.

Sest kui keegi midagi ei ütle, siis tundub, nagu poleks midagi juhtunud.

---

DOUG.  See sobib hästi meie lugeja kommentaariga selle artikli kohta.

Alasti turvalisuse lugeja Phil kommenteerib:

Kõnepost on minu jaoks kõike muutnud.

Kui helistaja ei soovi sõnumit jätta ja enamik ei soovi, pole mul põhjust helistada.

Veelgi enam, kelmuse telefonikõnest teatamiseks peaksin raiskama aega, mis on vajalik selleks, et vastata tundmatu helistaja telefonile ja suhelda kellegagi ainult selleks, et temast teavitada.

Isegi kui ma kõnele vastan, räägin ma ikkagi robotiga... ei aitäh!

Niisiis, kas see on vastus: lihtsalt ärge kunagi võtke telefonikõnesid vastu ja ärge kunagi tegelege nende petturitega?

Või on parem viis, Paul?

---

PART.  Mida ma avastasin, on see, kui arvan, et see number on petunumber…

Mõned petturid või häirivad helistajad kasutavad iga kord erinevat numbrit – see näeb alati välja kohalik, nii et seda on raske öelda, kuigi mind on viimasel ajal vaevanud üks number, kus see on ikka ja jälle olnud sama number, nii et saan lihtsalt blokeeri see.

… tavaliselt ma lihtsalt vastan telefonile ega ütle midagi.

Nad helistavad mulle; kui see on nii tähtis, siis nad ütlevad: "Tere? Tere? Kas see on…?” ja kasutage minu nime.

Ma leian, et paljud neist häirivatest helistajatest ja petturitest kasutavad automatiseeritud süsteeme, mis kui nad kuulevad teid kõnele vastamas, proovivad nad teid alles siis ühendada enda kõrval asuva operaatoriga.

Neil ei ole telefonioperaatoritel tegelikult kõnesid.

Nad helistavad teile ja kui te end tuvastate, leiavad nad kiiresti järjekorrast kellegi, kes võib teeselda, et on helistanud.

Ja ma leian, et see on surnud hea kingitus, sest kui midagi ei juhtu, kui keegi isegi ei lähe: "Tere? Tere? Kas keegi on?”, siis teate, et tegemist on automatiseeritud süsteemiga.

Siiski on tüütu probleem, kuigi ma arvan, et see on Ühendkuningriigile omane.

Bürokraatia nn vaikivaks kõneks teatamiseks, nagu raskelt hingav jälitaja, kus sõnu ei räägita…

…teavitamise mehhanism, mis erineb täielikult kõnest teatamise mehhanismist, kus keegi ütleb: "Hei, ma olen John ja ma tahan teile müüa seda toodet, mida te ei vaja ja mis ei ole hea". tõesti tüütu.

Vaiksete kõnede teated läbivad telefoniregulaatori ja seda käsitletakse nii, nagu oleks tegemist tõsisema kuriteoga, eeldan ajaloolistel põhjustel.

Peate end tuvastama – te ei saa neist anonüümselt teatada.

Nii et ma leian, et see on tüütu ja ma loodan, et nad seda muudavad!

Kui see on lihtsalt robotsüsteem, mida kutsutakse teile ja see ei tea, et olete veel liinil, nii et ta pole määranud kedagi teiega rääkima…

…kui saaksite neist lihtsamalt ja anonüümselt teada anda, ausalt öeldes oleksin palju rohkem valmis seda tegema.

---

DOUG.  Hästi.

Meil on artiklis mõned lingid, et teavitada petturitest kõnedest valitud riikides.

Ja tänan sind, Phil, selle kommentaari saatmise eest.

Kui teil on huvitav lugu, kommentaar või küsimus, mille soovite esitada, loeksime seda hea meelega taskuhäälingusaates.

Võite saata e-posti aadressil tips@sophos.com, kommenteerida mõnda meie artiklit või anda meile suhtlusvõrgustik: @nakedsecurity.

See on meie tänane saade – suur tänu kuulamast.

Paul Ducklini jaoks olen mina Doug Aamoth, tuletan teile kuni järgmise korrani meelde, et…

---

MÕlemad.  Ole turvaline.

[MUUSIKAMODEEM]