S3 Ep90: Chrome 0-day again، True Cybercrime، و 2FA bypass [Podcast + Transscript] PlatoBlockchain Data Intelligence. جستجوی عمودی Ai.

S3 Ep90: Chrome 0-day again، True Cybercrime، و دور زدن 2FA [پادکست + رونوشت]

تمبر زمان: 7 ژوئیه 2022 ساعت 2:46 بعد از ظهر

by
پل داکلین

اکنون گوش کن

برای پرش به هر نقطه، روی امواج صوتی زیر کلیک کنید و بکشید. شما همچنین می توانید مستقیم گوش کن در Soundcloud

با پل داکلین و چستر ویسنیفسکی.

موسیقی مقدماتی و بیرونی توسط ادیت ماج.

شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما

رونوشت را بخوانید

اردک.  کروم! جرایم سایبری! یک کریپتوکوئن گم شده! گرفتن توکن 2FA!

و مورد عجیب و غریب چستر چمز جدید.

همه اینها و بیشتر در پادکست Naked Security.

[مودم موزیکال]

سلام به همه.

یک بار دیگر، اردک روی صندلی است، زیرا داگ در تعطیلات است.

دوست و همکارم چستر ویسنیفسکی به من ملحق شده است…

چسلاو، روز بسیار خوبی برای شماست.

CHET.  روزت بخیر، اردک.

خوب است که دوباره جای داگ را پر کنیم.

زمانی که او به تعطیلات می‌رود، دوست دارم - یک گفتگوی جالب برای برنامه‌ریزی پادکست داریم، و از آنجایی که در تابستان کمی کند است، وقت آزاد دارم و واقعاً خوب است که برگردم.

اردک.  خوب، متأسفانه، در جبهه صفر روز کند نیست.

یک بار دیگر، ما فقط آن را داشتیم آخرین آپدیت کروم.

گوگل سه بولتن امنیتی اساسا مجزا منتشر کرده است: یکی برای اندروید. یکی برای ویندوز و مک؛ و یکی برای ویندوز و مک، اما در نسخه قبلی، "کانال پایدار توسعه یافته".

هیچ اشاره ای به لینوکس نشده است، اما همه آنها یک باگ مشترک دارند و آن "CVE-2022-2294: سرریز بافر در WebRTC" است.

شناخته شده است که در طبیعت مورد استثمار قرار گرفته است، به این معنی که کلاهبرداران ابتدا به آنجا رسیدند.

بنابراین، چستر، بیشتر به ما بگویید.

CHET.  خوب، حداقل در سمت لینوکس می‌توانم تأیید کنم که آنها یک نسخه منتشر کردند.

من نمی‌دانم در آن نسخه چه چیزی وجود دارد، اما شماره نسخه حداقل با شماره نسخه‌ای که انتظار داریم در ویندوز و مک مشاهده کنیم، یعنی 103.0.5060.114 مطابقت دارد.

در هر صورت، در Arch Linux من که Chromium را اجرا می کند، این شماره ساخت است و با نسخه تولیدی Chrome برای ویندوز در رایانه من در کنار آن مطابقت دارد.

بنابراین، حداقل ما برابری نسخه را داریم. ما نمی دانیم که آیا برابری باگ داریم یا خیر.

اردک.  بله، و به طرز آزاردهنده ای، نسخه اندروید که ظاهراً همان وصله هایی را دارد که در بقیه ذکر شد، اساساً همان شماره نسخه است به جز ends dot-71.

و البته، نسخه 102 ... این کاملاً متفاوت است زیرا مجموعه ای کاملاً متفاوت از چهار عدد است.

تنها چیزی که در همه آنها مشترک است، صفر در موقعیت دوم است.

بنابراین کاملاً گیج کننده است.

CHET.  بله، با توجه به اینکه کشف شد که در طبیعت مورد استفاده قرار گرفته است، به این معنی که کسی گوگل را شکست داد.

و این عملکرد خاص به ویژه برای Google مهم است، زیرا آنها پلتفرم Google Meet خود را تبلیغ می کنند، که نسخه اصلی آنها است... من شنیده ام که مردم از آن به عنوان "Google Zoom" یاد می کنند.

پلتفرم MEET گوگل، نه نوع گوشتی که ممکن است با شام بخورید.

اردک.  کمی آنجا ذهنم درگیر بود!

برای روشن‌تر شدن، متوجه شدم که به سمت Google Hangouts حرکت می‌کنم که ظاهراً به زودی بسته می‌شود، و البته گوگل پلاس متأخر و فکر می‌کنم بی‌تفاوت.

CHET.  خوب، اگر می‌خواهید به طور کامل از سوراخ خرگوش پلتفرم پیام‌رسانی Google در مورد تعداد چیزهایی که آنها اختراع کرده‌اند و اختراع نکرده‌اند و ادغام و لغو کرده‌اند و سپس دوباره اختراع کرده‌اند، یک مقاله عالی در Vox.com وجود دارد که می‌توانید آن را بخوانید!

WebRTC... در اصل، این پروتکلی است که به شما امکان می دهد وب کم خود را در پلتفرم هایی مانند Google Meet استریم کنید و میکروفون خود را استریم کنید.

و من فکر می‌کنم از زمان شروع همه‌گیری احتمالاً بیشتر از همیشه مورد استفاده قرار گرفته است.

از آنجا که بسیاری از سرویس‌ها ممکن است یک کلاینت چربی برای اشتراک‌گذاری صفحه نمایش پیشرفته و این نوع چیزها ارائه دهند، اما یک نسخه فقط تحت وب را نیز ارائه می‌دهند، بنابراین می‌توانید به مواردی مانند Zoom یا Citrix و غیره، اغلب فقط از طریق مرورگر خود دسترسی داشته باشید.

بنابراین، من فکر می کنم این عملکرد چیزی است که بسیار پیچیده است، که می تواند منجر به این نوع آسیب پذیری ها شود، و همچنین این روزها استفاده زیادی از آن می شود.

من این را یکی از مهم‌ترین سه اشکالی می‌دانم که در داستان Naked Security مطرح می‌کنید.

اردک.  بله، CVE-2022-2294، -2295 و -2296 وجود دارد.

همه آنها اشکالاتی هستند که امیدوار بودید سال ها پیش تمام شده بودیم و گرد و غبار با آنها پاک شده بود، اینطور نیست؟

سرریز بافر، سردرگمی نوع، و استفاده پس از رایگان - بنابراین همه آنها اساساً با سوء مدیریت حافظه ارتباط دارند.

CHET.  و من فکر می کردم گوگل به دنیا می گوید که همه مشکلات با Go and Rust حل شده اند و این نشان می دهد که Go and Rust در اینجا بسیار کم است.

اردک.  حتی با یک زبان بسیار دقیق که برنامه نویسی صحیح را تشویق می کند، مشخصات می تواند شما را ناامید کند، اینطور نیست؟

به عبارت دیگر، اگر چیزی را به درستی پیاده‌سازی کنید، اما در جایی که مشخصات آن کاملاً درست نیست، یا یک حفره را ترک کنید، یا فایل‌ها را در جای اشتباه قرار دهید، یا با داده‌ها به روشی نامناسب رفتار کنید، باز هم می‌توانید باگ‌های کم داشته باشید. ، با شدت متوسط ​​یا بالا، حتی با بزرگترین اجرای ایمنی حافظه در جهان.

بنابراین، خوشبختانه، یک راه حل ساده وجود دارد، اینطور نیست؟

برای اکثر مردم، کروم تقریباً به طور خودکار به‌روزرسانی می‌شود.

اما حتی اگر فکر می‌کنید که این اتفاق افتاده است، ارزش آن را دارد – حداقل در ویندوز و مک – به مسیر بیشتر > راهنما > درباره Google Chrome > به‌روزرسانی Google Chrome بروید، و یا می‌گوید: «نیازی به این کار نیست. جدیدترین مورد را دریافت کرده‌ام، یا می‌گوید: «اوه، من هنوز آن را انجام نداده‌ام. آیا می‌خواهی جلوتر بپری؟»

و البته، شما این کار را خواهید کرد!

در لینوکس، همانطور که متوجه شدید، توزیع شما این به‌روزرسانی را ارائه کرد، بنابراین تصور می‌کنم این مسیر برای اکثر کاربران لینوکس که کروم دارند، خواهد بود.

بنابراین، شاید آنقدرها هم که به نظر می رسد بد نباشد، اما چیزی است که، همانطور که همیشه می گوییم، «تأخیر نکنید، همین امروز انجامش دهید».

به بعد…

خب، دو داستان وجود دارد، نه یک داستان، اما هر دو مربوط به انحرافات مجری قانون است.

یکی یک مجرم سایبری است که در ایالات متحده به گناه خود اعتراف کرد و دیگری کسی است که ایالات متحده خیلی دوست دارد به او دست یابد، اما جایی گم شده است و اکنون به اف بی آی پیوسته است. ده بالا تحت تعقیب جنایتکاران در سراسر جهان - تنها زن در ده نفر برتر.

بیایید با او شروع کنیم - این دکتر روجا ایگناتوا از بلغارستان، "کریپتوکوئن گم شده" است.

حالا، این داستان یک عمر است، اینطور نیست؟

CHET.  بله، این یکی از چیزهایی است که به نظر می‌رسد دنیای رمزارز ما را با آن آشنا می‌کند – این یک کمی بیشتر شامل زنان است.

بسیاری از زنان نیز در دزدی و اختلاس دخیل هستند، به همراه همه مردان معمولی که در بسیاری از داستان های دیگری که ما پوشش می دهیم، دخیل هستند.

متأسفانه، در این مورد، ظاهراً او یک ارز جدید شبیه بیت کوین به نام OneCoin ایجاد کرد و ظاهراً مردم را متقاعد کرد که از هر آنچه که من می توانم در این مورد بخوانم، 4 میلیارد دلار با aB به او بدهند تا در این ارز دیجیتال سرمایه گذاری کند.

اردک.  4 میلیارد دلار.. این چیزی است که به نظر می رسد FBI فکر می کند می تواند ثابت کند.

گزارش های دیگری که دیده ام نشان می دهد که مجموع واقعی ممکن است بسیار بیشتر از این باشد.

CHET.  این به نوعی باعث می شود که هزینه 6 میلیون دلاری برای تصویر یک میمون سیگاری تقریباً کاملاً معقول به نظر برسد…

اردک.  در عوض مرا از آنجا دور کرد. [خنده]

CHET.  تعداد زیادی FOMO یا ترس از دست دادن وجود دارد.

اردک.  کاملا.

CHET.  و من فکر می‌کنم که کل این جنایت توسط آن FOMO هدایت می‌شود: «اوه، وقتی می‌توانستید برای یک بیت‌کوین پیتزا بخرید، وارد بیت‌کوین نشدم. بنابراین من می خواهم به کار بزرگ بعدی بروم. من می خواهم یک سرمایه گذار اولیه در تسلا، اوبر، اپل باشم."

من فکر می‌کنم مردم این ارزهای رمزپایه را به‌گونه‌ای می‌دانند که واقعاً فضایی از مشروعیت دارند که ممکن است به موازات این داستان‌های موفقیت واقعی شرکت باشد، نه اینکه یک رویای پیپ باشد، که دقیقاً همان چیزی است که هست.

اردک.  بله، و مانند بسیاری از لوله ها ... در دود، چستر.

من فکر می‌کنم موضوع ارزهای دیجیتال این است که وقتی مردم به داستان بیت‌کوین نگاه می‌کنند، در واقع یک دوره طولانی وجود داشت که انگار بیت‌کوین «فقط ۱۰ دلار ارزش داشت» نبود.

این بود که بیت کوین اساساً آنقدر بی ارزش بود که ظاهراً در سال 2010، مردی - که به طرز جالبی SmokeTooMuch نامیده می شد - سعی کرد اولین فروش عمومی بیت کوین را انجام دهد و 10,000 عدد از آنها داشت.

من حدس می‌زنم که او فقط آنها را استخراج کرده است، همانطور که شما در آن زمان انجام دادید، و گفت: "من 50 دلار برای آنها می خواهم."

بنابراین، او آنها را برای هر یک نیم سنت آمریکا ارزش گذاری می کند ... و هیچ کس حاضر به پرداخت این مقدار نبود.

سپس بیت کوین به 10 دلار رسید، و سپس در یک نقطه، 60,000 دلار به اضافه شد.

بنابراین، حدس می‌زنم این ایده وجود دارد که اگر *حتی قبل* وارد شوید، مانند سهام اپل است... اگر در روزهای اولیه که هنوز واقعاً وجود ندارد، وارد شوید، آنگاه مانند این است که نه فقط در اوایل بیت کوین، بلکه در اوایل ورود به بیت کوین، بلکه *در همان ابتدا*.

و سپس شما فقط 10 برابر یا 100 برابر پول خود را به دست نمی آورید، بلکه 1,000,000 برابر پول خود را به دست می آورید.

و من فکر می کنم که همانطور که شما می گویید، رویایی است که بسیاری از مردم به آن نگاه می کنند.

و این بدان معناست که، من گمان می‌کنم، آن‌ها را برای سرمایه‌گذاری روی چیزهایی که وجود ندارند بیشتر می‌کند... از قضا، دقیقاً به این دلیل که هنوز وجود ندارند، بنابراین واقعاً در طبقه همکف قرار می‌گیرند.

ظاهراً برای اطلاعاتی که منجر به محکومیت روجا ایگناتوا شود، فقط 100,000 دلار جایزه دریافت می کنید.

اما او مطمئناً آنجاست: ده نفر برتر تحت تعقیب هستند!

CHET.  قول می دهم اگر بفهمم او کجاست و 100,000 دلار پاداش دریافت کنم، آن را روی ارزهای دیجیتال قمار نخواهم کرد.

برایت در آن مورد اطمینان میدهم.

اردک.  بنابراین، چستر، اکنون اجازه دهید به سراغ دیگری برویم بخش نظم و قانون از پادکست

من می دانم که این چیزی است که شما به طور خاص گفتید که می خواهید در مورد آن صحبت کنید، و نه فقط به این دلیل که شامل کلمه "Desjardins" می شود، که دفعه قبل در مورد آن صحبت کردیم.

این آقای Vachon-Desjardins است و ما قبلاً در مورد او یا شما در مورد او در پادکست صحبت کرده ایم.

پس این داستان را برای ما بگویید – داستانی جذاب و نسبتاً مخرب است.

CHET.  آره. من این را کاملا تصادفی دیدم که شما من را در این هفته دعوت کردید، در حالی که چند سال پیش به طور تصادفی، شما نیز در هفته ای که فکر می کنم او مسترد شد، من را دعوت کردید.

اردک.  نه، همین مارس امسال بود که آخرین بار در مورد آن صحبت کردیم!

CHET.  بود؟

اردک.  بله، من فکر می کنم زمانی که او در واقع به فلوریدا فرود آمد…

CHET.  آره! تازه استرداد شده بود، دقیقا!

او برای پیگرد قانونی به ایالات متحده فرستاده شده بود، کاری که ما اینجا در کانادا انجام می دهیم.

ایالات متحده اغلب در بسیاری از موارد قوانین سخت گیرانه تری دارد، اما بیشتر از آن، FBI [مجری قانون فدرال ایالات متحده] در جمع آوری اطلاعات برای پیگرد قانونی این موارد واقعاً خوب عمل می کند.

ناگفته نماند که RCMP [مجری قانون فدرال کانادا] توانایی آن را ندارد، اما FBI کمی با تجربه تر است، بنابراین فکر می کنم آنها اغلب احساس می کنند که ایالات متحده شکاف بهتری در به زندان انداختن آنها در پشت میله های زندان خواهد داشت.

اردک.  با این اوصاف، RCMP او را در کانادا تحت پیگرد قانونی قرار داده بود و او نزدیک به هفت سال حبس داشت.

و همانطور که دفعه قبل گفتید، «ما او را موقتاً از زندان آزاد کردیم. ما او را به آمریکایی ها قرض داده ایم. و اگر در آنجا به زندان برود، زمانی که وقتش تمام شد، باز می‌گردد و او را تا هفت سال باقی‌مانده به زندان می‌اندازیم.»

به نظر می رسد او برای مدتی از گردش خارج خواهد شد.

CHET.  بله، من شک دارم.

اگرچه، در این نوع جرایم غیرخشونت آمیز، وقتی با مقامات همکاری می کنید، آنها اغلب مجازات ها را کاهش می دهند یا شما را زودتر از موعد آزادی مشروط می گذارند، از این قبیل چیزها.

خواهیم دید چه اتفاقی می افتد.

در واقع، در موافقت نامه خود، زمانی که او در فلوریدا به جرم خود اعتراف کرد، متوجه شدم که او قصد داشت با مقامات در مورد تقریباً همه چیز و هر چیزی که به آن دسترسی داشته باشد همکاری کند... اساساً به آنها کمک می کند تا پرونده خود را بسازند. .

وقتی در مورد این گروه‌های باج‌افزار صحبت می‌کنیم، این مورد را به ویژه جالب می‌بینم زیرا او کانادایی است و من در کانادا هستم.

اما بیشتر از آن، من فکر می‌کنم که ما این تصور را داریم که این جنایات توسط جنایتکاران در روسیه انجام می‌شوند، و آنها بسیار دور هستند و هرگز نمی‌توان آنها را لمس کرد، بنابراین گزارش این جنایات فایده‌ای ندارد زیرا ما نمی‌توانیم این افراد را پیدا کنیم – آنها در پنهان کردن خیلی خوب هستند. آنها در وب تاریک هستند.

و حقیقت این است که برخی از آنها در حیاط خانه شما هستند. برخی از آنها همسایه شما هستند. آنها در همه کشورهای جهان هستند.

جنایت هیچ مرزی نمی شناسد... مردم در همه جا حریص هستند و مایل به ارتکاب این جنایات هستند.

و زمانی که ما بتوانیم آنها را تعقیب کنیم، ارزش دنبال کردن را دارند، همانطور که باید.

اردک.  کاملا.

در واقع، اگر مشکلی ندارید، من از توافق نامه می خوانم، زیرا من با شما موافقم: FBI نه تنها در انجام این تحقیقات، بلکه در کنار هم قرار دادن اطلاعات - حتی در موردی که یک سند حقوقی آشکار و رسمی - به زبان انگلیسی ساده که یادگیری چیزهای بیشتر را برای دادگاه، قاضی، هیئت منصفه و برای هر کسی که می‌خواهد جنبه زشت باج‌افزار و نحوه عملکرد آن را درک کند، آسان می‌کند. .

اینها اسناد بسیار خواندنی هستند، حتی اگر به جنبه حقوقی پرونده علاقه ای نداشته باشید.

و این چیزی است که می گویند:

«NetWalker به‌عنوان یک سیستم باج‌افزار به‌عنوان سرویس با توسعه‌دهندگان مستقر در روسیه و شرکت‌های وابسته که در سرتاسر جهان زندگی می‌کردند، عمل می‌کرد. تحت مدل Ransomware-as-a-Service، توسعه دهندگان مسئول ایجاد و به روز رسانی باج افزار و در دسترس قرار دادن آن در اختیار شرکت های وابسته بودند. شرکت های وابسته مسئول شناسایی و حمله به قربانیان با ارزش بالا با این باج افزار بودند. پس از اینکه قربانی پرداخت کرد، توسعه دهندگان و شرکت های وابسته باج را تقسیم کردند. Sebastian Vachon-Desjardins یکی از پرکارترین باج افزارهای وابسته به NetWalker بود.

این یک خلاصه فوق‌العاده از کل مدل باج‌افزار به‌عنوان یک سرویس است، اینطور نیست، با یک مثال عملی از فردی دور از روسیه که در واقع در کارکرد کل سیستم بسیار فعال است.

CHET.  کاملا.

من معتقدم که او بیش از 50 درصد از پول ادعایی که توسط باند نت واکر به جیب زده شده است.

زمانی که او دستگیر شد، او کمی بیش از 20 میلیون دلار ارزهای دیجیتال از این باج‌ها داشت... و فکر کردم خواندم که کل باج‌هایی که تصور می‌شود توسط نت‌واکر جمع‌آوری می‌شود، چیزی بین 40 تا 50 میلیون دلار است.

بنابراین، این مقدار قابل توجهی از سود است - او شاید اولین شرکت وابسته بود.

اردک.  به قول شما مشخص است که با دنیایی پر از دردسر روبروست…

...اما قطعاً از او انتظار می رود که دوستان سابق خود را به هم بزند.

و شاید این چیز خوبی باشد؟

شاید آنها بتوانند نمونه های بیشتری از این نوع جنایت ها یا افراد بیشتری را که در این گروه پرکار دخیل هستند، ببندند.

CHET.  شاید بهتر باشد این را با چند کلمه موجز دیگر به طور مستقیم از توافق به پایان برسانیم، زیرا فکر می کنم که واقعاً این موضوع را به خوبی تکمیل می کند:

متهم به جرم خود اعتراف می کند زیرا در واقع مجرم است.

[می خندد]

بنابراین این یک بیانیه کاملاً واضح است که او از هیچ کلمه راسو استفاده نمی کند، که او هیچ مسئولیتی در قبال کاری که انجام داده است را بر عهده نمی گیرد، که به نظر من شنیدن آن برای قربانیان بسیار مهم است.

و علاوه بر این می گویند:

«متهم موافقت می کند که در تحقیقات و تعقیب سایر افراد، از جمله افشای کامل و کامل تمام اطلاعات مربوطه، از جمله تولید هر یک و همه کتاب ها، اوراق، اسناد و سایر اشیایی که در اختیار متهم است، به طور کامل با ایالات متحده همکاری کند. یا کنترل کنید.»

و من مطمئن هستم که "اشیاء دیگر" ممکن است شامل مواردی مانند کیف پول های رمزنگاری، و انجمن های گفتگو و مواردی باشد که در آن برنامه ریزی برای همه این اعمال کثیف انجام شده است.

اردک.  بله، و پس از آن خبر خوب این است که به دلیل توقیف یک سرور بود، به اعتقاد من، آنها توانستند به سمت او و در میان افراد دیگر کار کنند.

بیایید به قسمت آخر پادکست برویم که به داستانی مربوط می شود که می توانید در امنیت برهنه نیز بخوانید…

این در مورد است 2FA فیشینگ فیس بوک، چیزی که من قصد نوشتن آن را داشتم زیرا خودم این کلاهبرداری را دریافت کردم.

وقتی برای بررسی آن رفتم، فکر کردم، "این یکی از باورپذیرترین وب سایت های جعلی است که تا به حال دیده ام."

یک اشتباه املایی وجود داشت، اما من باید به دنبال آن می رفتم. گردش کار کاملاً قابل باور است. هیچ اشتباه آشکاری به جز نام دامنه اشتباه وجود ندارد.

و وقتی به زمان دریافت ایمیل نگاه کردم، هر کجا که در لیست گیرندگان بودم – شاید نه در بالا، شاید در وسط، شاید در پایین، چه کسی می‌داند؟ - تنها 28 دقیقه پس از آن بود که کلاهبرداران ابتدا دامنه جعلی را که در آن کلاهبرداری استفاده می کردند، ثبت کردند.

بنابراین، آنها خواب نیستند - این روزها همه چیز با سرعت رعد و برق اتفاق می افتد.

CHET.  دقیقا.

من قبل از ورود به این موضوع هشداری دریافت کرده‌ام، و آن این است که ما به هیچ وجه نمی‌خواهیم به مردم پیشنهاد کنیم که از احراز هویت چند عاملی استفاده نکنند.

اما این به من یادآوری می کند... امروز صبح داشتم با یک پادکست دیگر به شما تقلب می کردم، و در حالی که در آن پادکست دیگر بودم، موضوع چند عاملی مطرح شد.

و یکی از چالش‌هایی که ما با چند عاملی داریم که فقط از «کدهای اعداد مخفی» تشکیل شده است، این است که مجرمان می‌توانند به‌عنوان نوعی پروکسی در وسط عمل کنند، جایی که می‌توانند به خوبی از شما رشته اعداد را بخواهند. و اگر فریب خورده اید تا آن را به آنها بدهید، در واقع هیچ لایه حفاظتی اضافی ارائه نمی دهد.

تفاوت مشخصی بین استفاده از نوعی کلید امنیتی، مانند کلید Titan از Google یا Yubikey، یا احراز هویت FIDO با استفاده از چیزهایی مانند تلفن هوشمند Android وجود دارد.

تفاوتی بین آن وجود دارد و چیزی که شش رقم را روی صفحه نمایش می دهد و می گوید: "اینها را به وب سایت بدهید."

شش رقم روی صفحه نمایش پیشرفت بزرگی نسبت به استفاده از رمز عبور است، اما همچنان باید مراقب این نوع تهدیدات باشید.

اردک.  اگر کلاهبرداران قبلاً شما را فریب داده اند تا جایی که بخواهید نام کاربری و رمز عبور خود را تایپ کنید، پس انتظار دارید که کد احراز هویت دو عاملی در یک پیام کوتاه وارد شود. انتظار دارید با برنامه خود مشورت کنید و کد را دوباره تایپ کنید، اینطور نیست؟

من به مردم نمی گویم، "استفاده از آن را متوقف کنید"، زیرا قطعا کار را برای کلاهبرداران سخت تر می کند.

اما این یک نوشدارویی نیست – و مهمتر از آن، اگر فاکتور دوم احراز هویت را دارید، به این معنی نیست که می‌توانید با اولین مورد کاملاً معمولی باشید.

هدف این است که چیزی را که ساخته‌اید تا جایی که می‌توانید قوی کنید، به عنوان مثال با استفاده از یک رمز عبور خوب که توسط یک مدیر رمز عبور ایجاد شده است، استفاده کنید و سپس چیزی را اضافه کنید که دارای قدرت نیز باشد.

در غیر این صورت، شما نصف FA به اضافه نصف FA برابر با 1FA دوباره دارید، اینطور نیست؟

CHET.  بله کاملا.

و دو چیز برای مبارزه با این نوع حمله وجود دارد، و یکی استفاده از آن مدیر رمز عبور است.

البته ایده این است که مدیر رمز عبور تأیید کند که صفحه ای که از شما رمز عبور می خواهد *در واقع همان چیزی است که در ابتدا آن را برای آن ذخیره کرده اید*.

بنابراین این اولین علامت هشدار شماست... وقتی رمز عبور فیس بوک شما را ارائه نمی کند، زیرا سایت در واقع facebook.com نیست، باید زنگ خطر را به صدا در بیاورد که مشکلی وجود دارد، اگر نیاز دارید از طریق مدیر رمز عبور خود جستجو کنید تا رمز عبور فیس بوک را پیدا کنید

بنابراین، این اولین شانس شما در اینجا است.

و سپس اگر شما، مانند من، از یک توکن FIDO در هر جایی که پشتیبانی می‌شود استفاده کنید (همچنین به عنوان U2F یا Universal Second Factor شناخته می‌شود)، این نیز تأیید می‌کند که سایتی که از شما درخواست می‌کند در واقع سایتی است که شما در ابتدا آن احراز هویت را با آن تنظیم کرده‌اید.

بسیاری از سایت‌ها، به‌ویژه سایت‌های بزرگی که به شدت مورد توجه قرار می‌گیرند، مانند جی‌میل و توییتر، از این توکن‌های کوچک USB که می‌توانید روی کلید خود حمل کنید، یا توکن‌های بلوتوثی که در صورت استفاده از برند تلفن همراه می‌توانید با تلفن همراه خود استفاده کنید، پشتیبانی می‌کنند. تلفنی که دوست ندارد توکن ها را به آن وصل کنید.

اینها یک لایه امنیتی اضافی هستند که بهتر از آن شش رقم هستند.

پس از بهترین چیزی که در اختیار دارید استفاده کنید.

اما هنگامی که شما یک اشاره مانند، "عجیب است، مدیر رمز عبور من رمز عبور فیس بوک من را به طور خودکار پر نمی کند" دریافت می کنید ... این علامت هشدار چشمک زن بزرگ شما است که چیزی در مورد این چیزی که به نظر می رسد نیست.

اردک.  مسلماً، چون مدیر رمز عبور شما سعی نمی‌کند یک هوش مصنوعی و باهوش باشد، «هی، من می‌توانم آن عکس پس‌زمینه زیبایی را که بارها در وب‌سایت دیده‌ام تشخیص دهم.»

گول ظاهر را نمی خورد. فقط می گوید: "آیا از من خواسته می شود برای وب سایتی که از قبل می دانم رمز عبور بگذارم؟"

اگر نه، پس حتی نمی تواند تلاش کند و به شما کمک کند، و همانطور که شما می گویید، این یک هشدار کامل است.

اما این سرعت این بود که برایم جالب بود.

می‌دانم که این روزها همه چیز سریع اتفاق می‌افتد، اما ۲۸ دقیقه پس از شروع فعال شدن دامنه، ایمیل را دریافت کردم.

CHET.  بله، این شاخص دیگری است که ما در SophosLabs هنگام تجزیه و تحلیل چیزها استفاده می کنیم: «اوه، عجیب است، این دامنه یک ساعت پیش وجود نداشت. چقدر احتمال دارد که ظرف یک ساعت پس از ایجاد در یک ایمیل نمایش داده شود؟

زیرا حتی در بهترین روزهایی که یک نام دامنه جدید خریدم، حتی برای حداقل یک ساعت نتوانستم سرور ایمیل خود را با رکورد MX پیکربندی کنم. [می خندد]

اردک.  چستر، اجازه دهید آنچه را که در ابتدا با عنوان «مورد عجیب و غریب چستر» اعلام کردم به پایان برسانیم. این یک نوع جذاب از کلاهبرداران است. چستر را ملاقات کنید که در 24 ساعت گذشته برای شما اتفاق افتاده است، اینطور نیست؟

CHET.  آره…

فرض کنید من نوع خاصی از فالوورها را دارم و معمولاً می‌توانم افرادی را که ربات‌های من را دنبال می‌کنند به راحتی تشخیص دهم... برای اینکه به چیزهایی که در حساب توییتر خود پست می‌کنم علاقه‌مند باشید، باید در یک چارچوب ذهنی خاص باشید. رسانه های اجتماعی

و هر کسی که در این چارچوب فکری است، و می‌خواهد بداند من به چه چیزی فکر می‌کنم، می‌تواند من را در توییتر (@chetwisniewski) دنبال کند.

اما من چیزهایی را که به نظرم مشکوک به نظر می‌رسند مسدود می‌کنم، زیرا چندین بار در اطراف این بلوک بوده‌ام و می‌دانم که چگونه اطلاعات اغلب توسط ربات‌ها خراشیده می‌شوند تا مردم را با چیزهایی که صدایی مشروع دارند جذب کنند.

وقتی چیز مشکوکی می بینم آن را مسدود می کنم.

متأسفانه یکی از آشنایان من در فاجعه دیروز چهارم ژوئیه در آمریکا بود که در آن تیراندازی شد و توییتی منتشر کرد که چگونه با دخترانش به مکان امن فرار کرده است.

خوشبختانه حال او و خانواده اش خوب است، اما این یک اتفاق بسیار دردناک و عاطفی برای آنها بود و در نتیجه، توییت او لحظه ای داشت، درست است؟

ده ها هزار ریتوییت؛ صدها هزار لایک... و او معمولاً یک فرد مشهور نیست که در توییتر چنین توجهی را به خود جلب کند.

و من خودم با نگرانی برای امنیت او از حساب توییتر خود پاسخ دادم و تا زمانی که این پادکست را برنامه ریزی کردیم دو و دو را با هم قرار ندادم…

ناگهان، شروع به گرفتن لایک های بسیار تصادفی در یک توییت قدیمی کردم که هیچ ارتباطی با هیچ موقعیت فعلی نداشت.

من چیزی در مورد ملاقات با مردم در سانفرانسیسکو در کنفرانس RSA پست کردم.

البته، آن رویداد بیش از یک ماه پیش بود و اکنون مدت هاست که به پایان رسیده است، و در نتیجه آن توییت در واقع کاملاً غیر جالب است، حتی برای افرادی که ممکن است موقتاً برایشان جالب باشد، که می خواستند با من ملاقات کنند. RSA، و شروع به گرفتن همه این لایک ها کرد.

اردک.  حتی برای افرادی که دقیقاً با شما در RSA ملاقات کردند. [خنده]

CHET.  که افراد زیادی نبودند، زیرا بعد از اینکه به آنجا رسیدم و کابوس COVID را دیدم که در حال وقوع بود، به نوعی فکر کردم بهتر است با افراد زیادی در RSA ملاقات کنم.

اما آن توییت شروع به گرفتن لایک های تصادفی کرد، و من شروع به نگاه کردن به پروفایل این افرادی کردم که توییت را دوست دارند، و آنها افراد من نبودند... اینها افرادی نیستند که معمولاً من را دنبال می کنند.

یکی اظهار می کرد که چقدر به بازیکنان مختلف فوتبال نیجریه علاقه دارد و دیگری ادعا می کرد زنی از شهر نیویورک است که به صحنه مد و مدل ها و این همه چیز علاقه دارد…

اردک.  درست در خیابان خود، چستر! [خنده]

CHET.  آره. [می خندد]

و وقتی به این موضوع نگاه کردم که این حساب‌ها چه کسانی را دنبال می‌کنند، آنها مجموعه‌ای تصادفی از افراد را دنبال کردند که موضوعی نبودند.

بیشتر افرادی که من را دنبال می کنند به دلیل موارد امنیتی که من در مورد آنها توییت می کنم، من را دنبال می کنند. آنها اغلب افراد زیادی از فناوری اطلاعات را دنبال می کنند.

می بینم که آنها از افراد مختلف «مشهور فناوری اطلاعات» پیروی می کنند، یا از شرکت های فناوری زیادی پیروی می کنند... اینها برای من نشانه هایی است که نشان می دهد آنها دنبال کنندگان قانونی هستند.

اما این گزارش‌ها: وقتی به آنها نگاه کردم، مانند پراکنده‌ای از افراد تصادفی بود که آنها را دنبال می‌کردند.

هیچ قافیه یا دلیلی برای هیچ کدام از آن وجود نداشت، که بر خلاف اکثر ماست.

بسیاری از ما در تیم های ورزشی مورد علاقه خود، یا هر سرگرمی دیگری که داریم، هستیم و همیشه موضوعی در میان افرادی که دنبال می کنیم وجود دارد که می توانید به راحتی آن را تشخیص دهید.

اردک.  بله - وقتی به "درجه شانزدهم جدایی" می رسید، و کسی را در سوراخ خرگوش توییتر تعقیب می کنید، شرط بسیار خوبی است که آنها واقعاً به هیچ وجه در حلقه های شما حرکت نکنند!

CHET.  بله.

و آنچه در این مورد عجیب است این است که من واقعاً مطمئن نیستم که آنها چه کار می کنند، به جز اینکه به این تراژدی وحشتناک دست می زنند و سعی می کنند نوعی شهرت ایجاد کنند.

و تنها حدس من این بود که شاید آنها سعی می‌کنند دیگران را وادار کنند که آنها را دنبال کنند، زیرا از توییت آنها خوششان آمده است، یا حداقل شاید چیزی را که پست کرده‌اند را لایک کنند، تا سعی کنند به نوعی در رسانه‌های اجتماعی به آنها کمک کنند.

فقط تاسف آور است که مردم به این تراژدی ها دست می زنند تا سعی کنند چیزی غیر از همدلی و همدردی با افراد درگیر ایجاد کنند.

دادن آنچه به این حساب‌ها می‌خواهد ممکن است به اندازه کافی بی‌گناه به نظر برسد... من افراد زیادی را می‌شناسم که می‌گویند: "اوه، من همیشه دنبال می‌کنم."

انجام این کار کاملا خطرناک است.

شما در حال ساختن شهرتی هستید که همه چیز را مشروع جلوه می دهد، که امکان گسترش مداوم اطلاعات نادرست و تهدیدها و کلاهبرداری ها را فراهم می کند.

آن لایک کوچک یا آن فالو در واقع به طرز بسیار بدی اهمیت دارد.

اردک.  موافقم!

چستر، از شما بسیار سپاسگزارم که این داستان را در مورد آنچه برای شما اتفاق افتاد در توییتر به اشتراک گذاشتید، و به ویژه - درست مانند داستان Facebook 2FA Scam in 28 Minutes - سرعت وقوع آن.

احتمالاً کلاهبرداران فقط سعی می‌کنند کمی همدردی از افرادی که احساس می‌کنند زمان آن رسیده است که کمی بیشتر از حد معمول دوست داشته باشند... بدون فکر کردن به این که اساساً برکت دادن به کسی که لیاقتش را ندارد، چه تأثیرات بلندمدتی دارد. دارند.

از اینکه در کوتاه ترین زمان برای کل پادکست آماده شدید بسیار سپاسگزارم.

با تشکر از همه کسانی که گوش دادند.

و طبق معمول تا دفعه بعد…

هر دو.  ایمن بمان

[مودم موزیکال]

تمبر زمان:

بیشتر از امنیت برهنه