S3 Ep90: Chrome 0-day שוב, True Cybercrime, ו-2FA עוקף [Podcast + Transcript] PlatoBlockchain Data Intelligence. חיפוש אנכי. איי.

S3 Ep90: Chrome 0-day again, True Cybercrime, ומעקף 2FA [פודקאסט + תמלול]

חותמת זמן: 7 ביולי 2022 2:46

by
פול דוקלין

תקשיב עכשיו

לחץ וגרור על גלי הקול למטה כדי לדלג לכל נקודה. אתה יכול גם להקשיב ישירות בסאונדקלאוד.

עם פול דאקלין וצ'סטר ויסנייבסקי.

מוזיקת ​​אינטרו ואאוטרו מאת אדית מדג'.

אתה יכול להאזין לנו ב Soundcloud, Apple Podcasts, Google Podcasts, Spotify, Stitcher ובכל מקום שבו נמצאים פודקאסטים טובים. או פשוט זרוק את כתובת האתר של הזנת ה-RSS שלנו לתוך הפודקטצ'ר האהוב עליך.

קרא את התמליל

ברווז.  כרום! פשע סייבר! קריפטוקווין חסר! לכידת אסימוני 2FA!

ו מקרה מוזר של החברים החדשים של צ'סטר.

כל זה ועוד בפודקאסט הביטחון העירום.

[מודם מוזיקלי]

שלום לכולם.

שוב, זה ברווז בכיסא, כי דאג בחופשה.

מצטרף אלי חברי ועמיתי צ'סטר ויסנייבסקי...

צ'סלב, יום טוב מאוד לך.

ח.  יום טוב לך, ברווז.

טוב למלא את מקומו של דאג שוב.

אני אוהב את זה כשהוא לוקח חופשה - אנחנו יכולים לנהל צ'אט מעניין בתכנון הפודקאסט, ומכיוון שהוא קצת איטי בקיץ, יש לי זמן פנוי וממש טוב לחזור.

ברווז.  ובכן, למרבה הצער, זה לא איטי בחזית 0 הימים.

שוב, זה עתה היה לנו עדכון Chrome האחרון.

גוגל פרסמה שלושה עלוני אבטחה נפרדים בעצם: אחד עבור אנדרואיד; אחד עבור Windows ו-Mac; ואחד עבור Windows ו-Mac, אבל בגרסה הקודמת, "ערוץ יציב מורחב".

אין אזכור ללינוקס, אבל לכולם יש באג נפוץ אחד, שהוא "CVE-2022-2294: גלישת מאגר ב-WebRTC."

ידוע שניצל בטבע, כלומר הנוכלים הגיעו לשם ראשונים.

אז ספר לנו עוד, צ'סטר.

ח.  ובכן, אני יכול לאשר, לפחות בצד הלינוקס, שהם אכן עשו שחרור.

אני לא יודע מה יש במהדורה הזו, אבל מספר הגרסה לפחות תואם למספר הגרסה שאנו מצפים לראות ב-Windows וב-Mac, שהוא 103.0.5060.114.

בכל מקרה, ב-Arch Linux שלי עם Chromium, זה מספר ה-build, והוא תואם את מהדורת הייצור של Chrome עבור Windows במחשב שלי ליד.

אז לפחות יש לנו שוויון גרסה. אנחנו לא יודעים אם יש לנו שוויון באגים.

ברווז.  כן, ולמרבה הצער, גרסת האנדרואיד, שכביכול יש לה את אותם תיקונים שהוזכרו באחרים, היא בעצם אותו מספר גרסה למעט הקצוות נקודה-71.

וכמובן, גרסת 102... זה שונה לחלוטין כי זה קבוצה שונה לחלוטין של ארבעה מספרים.

הדבר היחיד המשותף לכולם הוא האפס במיקום השני.

אז זה די מבלבל.

ח.  כן, בהתחשב בכך שהתגלה כי נעשה בו שימוש בטבע, מה שאומר שמישהו ניצח את גוגל עד הסוף.

והפונקציונליות הספציפית הזו חשובה במיוחד לגוגל, מכיוון שהם מקדמים את פלטפורמת ה-Google Meet שלהם, שהיא הגרסה העיקרית שלהם של... שמעתי שאנשים מתייחסים לזה כ"גוגל זום".

פלטפורמת ה-MEET של גוגל, לא סוג הבשר שאולי תאכל עם ארוחת הערב.

ברווז.  המוח שלי התבלבל קצת שם!

לשם הבהרה, מצאתי את עצמי נסחף לכיוון Google Hangouts, שככל הנראה נסגר בקרוב, וכמובן גוגל פלוס המאוחר, ולדעתי, הלא מקונן.

ח.  ובכן, אם אתה רוצה לרדת במלואו למחסום פלטפורמת ההודעות של Google של כמה דברים הם המציאו ולא המציאו והתמזגו וביטלו ואז המציאו מחדש שוב, יש מאמר נהדר ב-Vox.com שתוכל לקרוא על זה!

WebRTC... בעצם, זה הפרוטוקול שמאפשר לך להזרים את מצלמת האינטרנט שלך לפלטפורמות כמו Google Meet ולהזרים את המיקרופון שלך.

ואני חושב שזה כנראה בשימוש יותר מאי פעם מאז החלה המגיפה.

מכיוון ששירותים רבים עשויים להציע לקוח שמן לשיתוף מסך משופר ודברים מסוג זה, אך מציעים גם גרסת אינטרנט בלבד, כך שתוכל לגשת לדברים כמו Zoom או Citrix וכן הלאה, לעתים קרובות רק דרך הדפדפן שלך.

אז, אני חושב שהפונקציונליות הזו היא משהו שהוא מאוד מורכב, מה שעלול להוביל לסוגים אלה של פגיעויות, והיא גם נמצאת בשימוש רב בימינו.

אני מחשיב את זה כאחד מהבאגים החשובים ביותר מבין שלושת הבאגים שאתה קורא בסיפור הביטחון העירום.

ברווז.  כן, יש CVE-2022-2294, -2295 ו-2296.

כולם באגים שכדאי לקוות שסיימנו ונאבק איתם לפני שנים רבות, לא?

הצפת חיץ, בלבול סוג ושימוש לאחר חינמי - אז כולם קשורים בעצם לניהול לא נכון של הזיכרון.

ח.  וחשבתי שגוגל אומרת לעולם שכל הבעיות נפתרו על ידי Go and Rust, וזה מרמז על מעט מאוד Go and Rust כאן.

ברווז.  אפילו עם שפה מאוד זהירה שמעודדת תכנות נכון, המפרט יכול לאכזב אותך, לא?

במילים אחרות, אם אתה מיישם משהו נכון, אבל אם המפרטים לא ממש תקינים, או משאירים פרצה, או מכניסים קבצים במקום הלא נכון, או מטפלים בנתונים בצורה לא נאותה, עדיין יכולים להיות באגים נמוכים , חומרה בינונית או גבוהה, אפילו עם אכיפת בטיחות הזיכרון הגדולה ביותר בעולם.

אז, למרבה המזל, יש פתרון פשוט, לא?

עבור רוב האנשים, Chrome כמעט בוודאות יתעדכן אוטומטית.

אבל גם אם אתה חושב שזה קרה, כדאי - לפחות ב-Windows וב-Mac - לעבור לעוד > עזרה > אודות Google Chrome > עדכן את Google Chrome, או שהוא יגיד "אתה לא צריך, אתה" יש לי את האחרון," או שזה יקרא, "וואו, עדיין לא עשיתי את זה. האם תרצה לקפוץ קדימה?"

וכמובן, היית עושה!

בלינוקס, כפי שמצאת, ההפצה שלך סיפקה את העדכון, כך שאני מתאר לעצמי שזה יהיה המסלול עבור רוב משתמשי לינוקס שיש להם כרום.

אז, זה אולי לא כל כך נורא כמו שזה נשמע, אבל זה משהו שכפי שאנחנו תמיד אומרים, "אל תתעכב, עשה את זה היום."

אל הבא…

ובכן, יש שני סיפורים, לא אחד, אבל שניהם קשורים לפסילות של אכיפת החוק.

האחד הוא פושע רשת שהודה באשמה בארה"ב, והשני הוא מישהו שארה"ב מאוד תשמח לשים עליו את ידה, אבל הוא חסר איפשהו, וכעת הצטרף ל-FBI עשרת טופ מבוקשים פושעים ברחבי העולם - האישה היחידה בעשירייה הראשונה.

נתחיל איתה - זו ד"ר רוג'ה איגנטובה מבולגריה, "מלכת הקריפטו החסרה".

עכשיו, זה סיפור של פעם בחיים, לא?

ח.  כן, זה אחד הדברים שנדמה שעולם הקריפטו מציג אותנו אליהם - זה קצת יותר כולל נשים.

יש גם הרבה נשים שמעורבות בגניבה ובהשתלה, יחד עם כל הגברים הטיפוסיים שמעורבים בכל כך הרבה מהסיפורים האחרים שאנו מכסים.

לרוע המזל, במקרה זה, היא יצרה לכאורה מטבע חדש דמוי ביטקוין המכונה OneCoin, ולכאורה שכנעה אנשים לתת לה 4 מיליארד דולר עם aB כדי להשקיע במטבע הקריפטו הלא קיים, מכל מה שאני יכול לקרוא בזה.

ברווז.  4 מיליארד דולר... זה מה שה-FBI חושב שהוא יכול להוכיח.

דיווחים אחרים שראיתי מצביעים על כך שהסכום האמיתי עשוי להיות גבוה בהרבה מזה.

ח.  זה גורם להוצאת 6 מיליון דולר על תמונה של קוף מעשן להיראות כמעט הגיוני לחלוטין...

ברווז.  אלא הוריד אותי מהפסיעה שם. [צחוק]

ח.  יש הרבה FOMO, או Fear Of Missing Out.

ברווז.  בהחלט.

ח.  ואני חושב שכל הפשע הזה מונע על ידי ה-FOMO הזה: "אה, לא נכנסתי לביטקוין כשהייתם יכולים לקנות פיצה בביטקוין. אז אני רוצה להתקדם לדבר הגדול הבא. אני רוצה להיות משקיע מוקדם בטסלה, אובר, אפל".

אני חושב שאנשים רואים במטבעות הקריפטו האלה איכשהו בעצם אווירה של לגיטימציה שעשוי להקביל לסיפורי ההצלחה האמיתיים של החברה האלה, בניגוד להיותם חלום צינור, וזה בדיוק מה שזה.

ברווז.  כן, וכמו מקטרות רבות... עולות בעשן, צ'סטר.

אני חושב שהעניין עם מטבעות קריפטוגרפיים הוא כשאנשים מסתכלים על סיפור הביטקוין, למעשה הייתה תקופה ממושכת שבה זה לא היה כאילו הביטקוין "שווה רק 10 דולר".

זה היה שהביטקוין בעצם היה כל כך חסר ערך, עד שככל הנראה, בשנת 2010, בחור - שנקרא באופן מסקרן SmokeTooMuch - ניסה לבצע את המכירה הפומבית הראשונה של ביטקוין, והיו לו 10,000 כאלה.

אני מניח שהוא פשוט כרה אותם, כפי שעשית אז, ואמר, "אני רוצה 50 דולר עבורם."

אז הוא מעריך אותם בחצי סנט אמריקאי כל אחד... ואף אחד לא היה מוכן לשלם כל כך הרבה.

ואז הביטקוין עלה ל-$10, ואז, בשלב מסוים, הם היו, מה, $60,000 פלוס.

אז, אני מניח שיש רעיון שאם אתה נכנס *עוד לפני* זה כמו מניות של אפל... אם אתה נכנס בימים הראשונים כשהם עדיין לא באמת קיים, אז זה כמו להיכנס לא רק מוקדם בביטקוין, אלא *ממש בהתחלה*.

ואז אתה לא סתם מרוויח פי 10 מהכסף שלך או פי 100 מהכסף שלך... אתה מרוויח פי 1,000,000 מהכסף שלך.

ואני חושב שזה, כמו שאתה אומר, החלום שאנשים רבים מסתכלים עליו.

וזה אומר, אני חושד, שזה גורם להם יותר לנכונות להשקיע בדברים שלא קיימים... למרבה האירוניה, דווקא בגלל שהם עדיין לא קיימים, אז הם באמת נכנסים לקומת הקרקע.

אתה עדיין מקבל רק 100,000 $ כפרס, ככל הנראה, עבור מידע שמוביל להרשעתה של Ruja Ignatova.

אבל היא בהחלט שם למעלה: עשרת המבוקשים!

ח.  אני מבטיח שאם אגלה איפה היא נמצאת, ואקבל את הפרס של 100,000$, לא אהמר אותו על מטבעות קריפטוגרפיים.

אני יכול להבטיח לך את זה.

ברווז.  אז, צ'סטר, עכשיו בואו נעבור לשני חלק חוק וסדר של הפודקאסט.

אני יודע שזה משהו שאמרת ספציפית שאתה רוצה לדבר עליו, ולא רק בגלל שהוא כולל את המילה "דז'ארדינס", שעליה דיברנו בפעם הקודמת.

זהו מר ואשון-דז'ארדינס, ודיברנו עליו, או דיברתם עליו, בפודקאסט בעבר.

אז ספר לנו את הסיפור הזה - זה סיפור מרתק ודי הרסני.

ח.  כן. מצאתי שזה די מקרי שהזמנת אותי השבוע, כשלפני כמה שנים באקראי, הזמנת אותי במקרה גם בשבוע שבו אני מאמין שהוא הוסגר.

ברווז.  לא, זה היה במרץ השנה כשדיברנו על זה בפעם האחרונה!

ח.  האם זה היה?

ברווז.  כן, אני חושב כשהוא בעצם נחת בפלורידה...

ח.  כן! הוא בדיוק הוסגר, בדיוק!

הוא נשלח לארצות הברית להעמדה לדין, וזה דבר די נפוץ שאנחנו עושים כאן בקנדה.

לארה"ב יש לעתים קרובות חוקים מחמירים יותר במקרים רבים, אבל יותר מזה, ה-FBI [אכיפת החוק הפדרלית בארה"ב] עושה עבודה ממש טובה באיסוף המידע כדי לתבוע את התיקים הללו.

לא אומר שה-RCMP [אכיפת החוק הפדרלית הקנדית] לא מסוגלת לזה, אבל ה-FBI קצת יותר מנוסה, אז אני חושב שלעתים קרובות הם מרגישים שלארה"ב יהיה טוב יותר לשים אותם מאחורי סורג ובריח.

ברווז.  לאחר שאמרתי זאת, ה-RCMP העמיד אותו לדין בקנדה, והוא נגזר על קרוב לשבע שנות מאסר.

וכמו שאמרת בפעם הקודמת, "שחררנו אותו מהכלא באופן זמני. השאלנו אותו לאמריקאים. ואם יכנס שם לכלא, כשיגמר את זמנו, הוא יחזור ונחזיר אותו לכלא לשארית שבע שנותיו".

נראה שהוא יהיה מחוץ למחזור לזמן מה.

ח.  כן, אני חושד שכן.

אמנם, בסוגים אלה של פשעים לא אלימים, כאשר אתה משתף פעולה עם הרשויות, לעתים קרובות הם יפחיתו עונשים או ישחררו אותך על תנאי מוקדם, דברים מהסוג הזה.

אנחנו נראה מה יקרה.

למעשה, בהסדר הטיעון שלו, כשהוא הודה באשמה בפלורידה, להבנתי צוין שהוא עומד לשתף פעולה עם הרשויות כמעט בכל דבר וכל מה שהייתה לו גישה אליו הם רוצים... בעצם לעזור להם לבנות את התיק שלהם .

כשאנחנו מדברים על קבוצות תוכנות הכופר האלה, אני מוצא את המקרה הזה מעניין במיוחד כי הוא קנדי ​​ואני בקנדה.

אבל יותר מזה, אני חושב שיש לנו את התפיסה הזו שהפשעים האלה מבוצעים על ידי פושעים ברוסיה, והם רחוקים ולעולם לא ניתן לגעת בהם, אז אין טעם לדווח על הפשעים האלה כי אנחנו לא יכולים למצוא את האנשים האלה - הם טובים מדי בלהסתתר; הם ברשת האפלה.

והאמת היא שכמה מהם נמצאים בחצר האחורית שלך. חלקם הם השכנים שלך. הם נמצאים בכל מדינה בעולם.

לפשע אין גבולות... אנשים חמדנים בכל מקום, ומוכנים לבצע את הפשעים האלה.

וכדאי מאוד לרדוף אחריהם כשאנחנו יכולים לרדוף אחריהם, בדיוק כפי שאנחנו צריכים.

ברווז.  בהחלט.

למעשה, אם לא אכפת לך, אני אקרא מהסדר הטיעון, כי אני מסכים איתך: ה-FBI עושה עבודה נפלאה לא רק בביצוע החקירות האלה, אלא גם בחיבור המידע - אפילו במשהו שהוא מסמך משפטי בולט ורשמי - בסוג של אנגלית פשוטה שמקלה על בית משפט, על שופט, על חבר מושבעים, ועל כל מי שרוצה להבין את הצד המכוער של תוכנת כופר וכיצד זה עובד ללמוד הרבה יותר .

אלו מסמכים קריאים מאוד, גם אם אינך מעוניין בצד המשפטי של התיק.

וזה מה שאומרים:

"NetWalker פעלה כמערכת Ransomware-as-a-Service הכוללת מפתחים מבוססי רוסיה, ושותפות שגרו בכל רחבי העולם. במסגרת מודל הכופר כשירות, מפתחים היו אחראים ליצור ולעדכן את תוכנת הכופר והפיכתה לזמינה לשותפים. השותפים היו אחראים לזהות ולתקוף קורבנות בעלי ערך גבוה באמצעות תוכנת הכופר. לאחר שקורבן שילם, מפתחים ושותפים חילקו את הכופר. Sebastian Vachon-Desjardins היה אחד מהשותפים הפוריים ביותר של NetWalker תוכנות הכופר."

זה סיכום פנטסטי של כל מודל תוכנת הכופר כשירות, לא, עם דוגמה מעשית של מישהו רחוק מרוסיה שלמעשה פעיל מאוד בהפעלת המערכת כולה.

ח.  בהחלט.

הוא אחראי, אני מאמין, יותר מ-50% מהכסף לכאורה שנשלח לכיסו על ידי כנופיית NetWalker.

כשהוא נתפס, היו לו קצת יותר מ-20 מיליון דולר במטבעות קריפטוגרפיים מהכופר הזה... וחשבתי שקראתי שהסכום הכולל של הכופר, שלדעתנו נגבה על ידי NetWalker, היה איפשהו בטווח של 40 מיליון דולר עד 50 מיליון דולר.

אז זה סכום משמעותי מהרווח - הוא היה אולי השותף הראשי.

ברווז.  ברור, כמו שאתה אומר, שהוא מתמודד עם עולם של צרות...

...אבל בהחלט מצפים ממנו להרוס את חבריו לשעבר.

ואולי זה יהיה טוב?

אולי הם יוכלו לסגור עוד דוגמאות לסוג זה של עבריינות, או יותר אנשים המעורבים בקבוצה הפורה הזו.

ח.  אולי כדאי שנסיים את זה עם עוד כמה מילים תמציתיות ישירות מההסכם, כי אני חושב שזה באמת מסכם את זה היטב:

"הנאשם מודה באשמה כי הוא, למעשה, אשם".

[צוחק]

אז זו אמירה די ברורה שהוא לא משתמש בשום מילים סמור, שהוא לא לוקח אחריות על מה שהוא עשה, שלדעתי חשוב מאוד שהקורבנות ישמעו.

ובנוסף, הם אומרים:

"הנאשם מסכים לשתף פעולה באופן מלא עם ארה"ב בחקירה והעמדה לדין של אנשים אחרים, לרבות חשיפה מלאה ומלאה של כל המידע הרלוונטי, לרבות הפקת כל הספרים, המסמכים, המסמכים והחפצים האחרים שברשותו של הנאשם. או שליטה."

ואני בטוח ש"חפצים אחרים" עשויים לכלול דברים כמו ארנקי מטבעות קריפטוגרפיים ופורומי צ'אט, ודברים שבהם בוצע התכנון של כל המעשים המלוכלכים האלה.

ברווז.  כן, ואז החדשות הטובות הן שזה היה בגלל תפיסת שרת, אני מאמין, שהם הצליחו לעבוד לאחור כלפיו, בין השאר.

בואו נעבור לחלק האחרון של הפודקאסט המתייחס לסיפור שתוכלו לקרוא גם ב-Naked Security...

זה בערך דיוג 2FA של פייסבוק, משהו שרציתי לכתוב כי אני עצמי קיבלתי את ההונאה הזו.

כשהלכתי לחקור את זה, חשבתי, "זה אחד מהאתרים המזויפים היותר אמינים שראיתי אי פעם."

הייתה טעות כתיב אחת, אבל הייתי צריך ללכת לחפש אותה; זרימת העבודה די אמינה; אין טעויות ברורות מלבד שם הדומיין הלא נכון.

וכשהסתכלתי בזמן שקיבלתי את המייל, איפה שהייתי ברשימת הנמענים - אולי לא בראש, אולי באמצע, אולי בתחתית, מי יודע? – חלפו רק 28 דקות לאחר שהנוכלים רשמו במקור את הדומיין המזויף שבו השתמשו בהונאה הזו.

אז, הם לא ישנים - הכל קורה במהירות הבזק בימים אלה.

ח.  בדיוק.

יש לי אזהרה לפני שאני נכנס לזה, והיא שאנחנו בשום אופן לא רוצים להציע לאנשים שהם לא צריכים להשתמש באימות רב-גורמי.

אבל זה כן מזכיר לי... בגדתי בך עם פודקאסט אחר הבוקר, ובזמן שהייתי בפודקאסט האחר, הנושא של מולטי-גורמים עלה על הפרק.

ואחד האתגרים שיש לנו מול מולטי-פקטור שרק מורכב מ"קודי מספרים סודיים", הוא שהפושעים יכולים לשמש כמעין פרוקסי-באמצע, שבו הם יכולים פשוט לבקש ממך יפה את מחרוזת המספרים, ואם מרמים אותך לתת להם את זה, זה לא באמת מספק שום שכבת הגנה נוספת.

יש הבדל מובהק בין שימוש במפתח אבטחה כלשהו, ​​כמו מפתח Titan מגוגל או Yubikey, או אימות FIDO באמצעות דברים כמו סמארטפון אנדרואיד...

יש הבדל בין זה לבין משהו שמציג שש ספרות על המסך ואומר, "תן את אלה לאתר."

שש הספרות על המסך הן שיפור משמעותי בהשוואה לשימוש בסיסמה בלבד, אך עדיין עליך לשמור על ערנות לאיומים מסוג זה.

ברווז.  אם הנוכלים כבר פיתו אותך לנקודה שבה אתה מוכן להקליד את שם המשתמש והסיסמה שלך, אז אתה תצפה שקוד האימות הדו-גורמי הזה יגיע ב-SMS; אתה מצפה להתייעץ עם האפליקציה שלך ולהקליד מחדש את הקוד, נכון?

אני לא אומר לאנשים, "תפסיק להשתמש בזה", כי זה בהחלט מקשה על הנוכלים.

אבל זה לא תרופת פלא - וחשוב עוד יותר, אם יש לך את הגורם השני של אימות, זה לא אומר שאתה יכול להיות סתמי עם הראשון.

הרעיון הוא שזה נועד לקחת משהו שהפכת חזק ככל האפשר, למשל באמצעות סיסמה טובה שנוצרה על ידי מנהל סיסמאות, ואז אתה מוסיף משהו שיש לו גם כוח.

אחרת יש לך חצי FA פלוס חצי FA שווה 1FA כל פעם מחדש, לא?

ח.  כן בהחלט.

ויש שני דברים להילחם בהתקפה מסוג זה, ואחד הוא בהחלט שימוש במנהל הסיסמאות הזה.

הרעיון שם, כמובן, הוא שמנהל הסיסמאות מאמת שהדף שמבקש ממך את הסיסמה *הוא בעצם הדף שעבורו אחסנת במקור*.

אז זה סימן האזהרה הראשון שלך... כאשר הוא לא מציע את הסיסמה שלך בפייסבוק כי האתר אינו למעשה facebook.com, זה אמור לצלצל בפעמוני אזעקה שמשהו לא בסדר, אם אתה צריך לעבור חיפוש במנהל הסיסמאות שלך כדי למצוא את הסיסמה לפייסבוק.

אז, זו סוג של ההזדמנות הראשונה שלך כאן.

ואז אם אתה, כמוני, משתמש באסימון FIDO בכל מקום בו הוא נתמך (ידוע גם בשם U2F, או Universal Second Factor), זה גם מאמת שהאתר ששואל אותך הוא למעשה האתר שאיתו הגדרת את האימות במקור.

אתרים רבים, במיוחד אתרים גדולים שדגים בהם בכבדות, כמו Gmail וטוויטר, אכן תומכים באסימוני USB הקטנים הללו שתוכלו לשאת על מחזיק המפתחות שלכם, או באסימוני בלוטות' שתוכלו להשתמש בהם עם הטלפון הנייד שלכם אם במקרה אתם משתמשים במותג הנייד. טלפון שלא אוהב שאתה מחבר אליו אסימונים.

אלה הם שכבת אבטחה נוספת טובה יותר משש הספרות הללו.

לכן, השתמש בדבר הטוב ביותר שעומד לרשותך.

אבל כאשר אתה מקבל רמז כגון, "זה מוזר, מנהל הסיסמאות שלי לא ממלא אוטומטית את הסיסמה שלי בפייסבוק"... זה סימן האזהרה הגדול והמהבהב שלך שמשהו בזה הוא לא איך שהוא נראה.

ברווז.  בהחלט, מכיוון שמנהל הסיסמאות שלך לא מנסה להיות אינטליגנטי מלאכותי, רגיש, "היי, אני יכול לזהות את תמונת הרקע היפה שראיתי כל כך הרבה פעמים באתר."

זה לא הולך שולל על ידי המראה; זה רק אומר, "האם אני מתבקש להכניס סיסמה לאתר שאני כבר יודע עליו?"

אם לא, אז זה אפילו לא יכול לנסות לעזור לך, וכמו שאתה אומר, זו אזהרה מושלמת.

אבל המהירות של זה היא שעניינה אותי.

אני יודע שהכל קורה ממש מהר בימים אלה, אבל זה היה 28 דקות לאחר שהדומיין עלה לאוויר לראשונה שקיבלתי את האימייל.

ח.  כן, זהו אינדיקטור נוסף שאנו כן משתמשים בו ב-SophosLabs כאשר אנו מנתחים דברים: "הו, זה מוזר, התחום הזה לא היה קיים לפני שעה. מה הסיכוי שזה יופיע באימייל תוך שעה מרגע היצירה?"

כי גם בימים הטובים שבהם קניתי שם דומיין חדש, לא יצא לי אפילו להגדיר את שרת הדואר שלי עם רשומת MX ​​למשך שעה לפחות. [צוחק]

ברווז.  צ'סטר, בוא נסיים עם מה שהכרזתי בהתחלה בתור "המקרה המוזר של החברים החדשים של צ'סטר". זהו סוג מסקרן של רמאים. תכירו את צ'סטר שזה קרה לכם ב-24 השעות האחרונות, לא?

ח.  כן…

יש לי סוג מסוים של עוקבים, נניח, ובדרך כלל אני יכול לזהות אנשים שעוקבים אחרי שהם בוטים די בקלות... אתה צריך להיות במצב רוח חנון מסוים כדי להתעניין בדברים שאני מפרסם בחשבון הטוויטר שלי ב מדיה חברתית.

וכל מי שנמצא במצב הרוח הזה ורוצה לדעת על מה אני חושב יכול לעקוב אחרי בטוויטר (@chetwisniewski).

אבל אני חוסם דברים שנראים לי חשודים, כי הייתי בסביבה כמה פעמים ויודע איך מידע נגרד לרוב על ידי בוטים כדי לפתות אנשים עם דברים שנשמעים לגיטימיים.

כשאני רואה משהו חשוד, אני חוסמת אותו.

לרוע המזל, מכר שלי היה אתמול בטרגדיה בארצות הברית, ברביעי ביולי, שם היה ירי, והוא פרסם ציוץ על איך הוא ברח עם בנותיו למקום מבטחים.

למרבה המזל, הוא ומשפחתו בסדר, אבל זה היה אירוע מאוד טראומטי ואמוציונלי עבורם, וכתוצאה מכך, לציוץ שלו היה רגע, נכון?

עשרות אלפי ציוצים מחדש; מאות אלפי לייקים... והוא בדרך כלל לא אדם מהסוג של סלבריטי שזוכה לסוג כזה של תשומת לב בטוויטר.

ואני הגבתי בדאגה לשלומו בעצמי, מחשבון הטוויטר שלי, ולא חיברתי שניים ושתיים עד שתכננו את הפודקאסט הזה...

פתאום התחלתי לקבל לייקים מאוד אקראיים על ציוץ ישן שלא היה רלוונטי לאף מצב עכשווי.

פרסמתי משהו על מפגש עם אנשים בסן פרנסיסקו בכנס RSA.

כמובן, האירוע הזה היה לפני יותר מחודש ונגמר מזמן, וכתוצאה מכך הציוץ הזה הוא, למעשה, לגמרי לא מעניין, אפילו לאנשים שאולי היה מעניין אותם זמנית, שרצו להיפגש איתי ב- RSA, וזה התחיל לקבל את כל הלייקים האלה.

ברווז.  אפילו לאנשים ש*נפגשו איתך ב-RSA בדיוק. [צחוק]

ח.  וזה לא היה הרבה אנשים, כי אחרי שהגעתי לשם וראיתי את סיוט ה-COVID שמתרחש, חשבתי שעדיף לפגוש יותר מדי אנשים ב-RSA.

אבל הציוץ הזה התחיל לקבל לייקים אקראיים, והתחלתי להסתכל על הפרופילים של האנשים האלה שאוהבים את הציוץ, והם לא היו האנשים שלי... אלה לא אנשים שהיו עוקבים אחריי בדרך כלל.

אחד הצהיר על כמה אהבה הייתה לו לשחקני כדורגל ניגרים שונים, ואחד אחר התיימר להיות אישה מניו יורק שעוסקת בסצנת האופנה, בדוגמניות וכל הסוג הזה...

ברווז.  ממש במעלה הרחוב שלך, צ'סטר! [צחוק]

ח.  כן. [צוחק]

וכאשר הסתכלתי על מי החשבונות האלה עוקבים, הם עקבו אחר קבוצה אקראית מאוד של אנשים שאינם נושאים.

רוב האנשים שעוקבים אחרי עוקבים אחרי בגלל דברים ביטחוניים שאני מצייץ עליהם; לעתים קרובות הם עוקבים אחרי המון אנשי IT אחרים.

אני אראה שהם עוקבים אחר סוג אחר של אנשים מסוג "סלבריטאי IT", או שהם עוקבים אחרי הרבה חברות טכנולוגיה... אלה סימנים עבורי שהם עוקבים לגיטימיים.

אבל החשבונות האלה: כשהסתכלתי עליהם, זה היה כמו פיזור של אנשים אקראיים שהם עקבו אחריהם.

לא היה שום חריזה או סיבה לכל זה, שלא כמו רובנו.

רובנו עוסקים בקבוצות הספורט האהובות עלינו, או בכל תחביב שיש לנו, ותמיד יש נושא שעובר בין האנשים שאנו עוקבים אחריהם שאתה יכול לזהות בקלות רבה.

ברווז.  כן - כשאתה מגיע ל"דרגת ההפרדה ה-16", רודף אחרי מישהו במורד חור הארנב של הטוויטר, זה הימור די טוב שהוא לא ממש זז במעגלים שלך בשום צורה שהיא!

ח.  כן.

ומה שמוזר בזה הוא שאני לא ממש בטוח מה הם עושים, מלבד להיאחז בטרגדיה הנוראה הזו ולנסות לבנות איזשהו מוניטין.

והניחוש היחיד שלי היה שאולי הם מנסים לגרום לאנשים אחרים לעקוב בחזרה כי הם אהבו את הציוץ שלהם, או אולי לפחות לאהוב משהו שהם פרסמו, כדי לנסות לתת להם מעין דחיפה במדיה החברתית.

זה פשוט מצער שאנשים נאחזים בטרגדיות האלה כדי לנסות ליצור משהו מלבד קצת אמפתיה ואהדה לאנשים המעורבים.

לתת לחשבונות האלה את מה שהם רוצים אולי נראה תמים מספיק... אני מכיר הרבה אנשים שהם כמו, "הו, אני תמיד חוזר".

זה די מסוכן לעשות את זה.

אתה בונה מוניטין שגורם לדברים להיראות לגיטימיים, שמאפשרים את המשך ההפצה של דיסאינפורמציה ואיומים והונאות.

הדומה הקטן הזה או המעקב הזה באמת חשוב בצורה גרועה מאוד.

ברווז.  אני מסכים!

צ'סטר, תודה רבה על ששיתפת את הסיפור הזה על מה שקרה לך בטוויטר, ובמיוחד - בדיוק כמו סיפור הונאת פייסבוק 2FA ב-28 דקות - המהירות שבה זה קרה.

ככל הנראה נוכלים רק מנסים לחלוב מעט סימפטיה מאנשים שמרגישים שזה אולי הזמן להיות קצת יותר אוהבים מהרגיל... בלי לחשוב מה יכולות להיות ההשפעות ארוכות הטווח של בעצם ברכה למישהו שלא מגיע לזה. יש.

תודה רבה על התגבורת הפודקאסט כולו בהתראה קצרה.

תודה לכל מי שהקשיב.

וכרגיל, עד הפעם הבאה...

שניהם.  הישאר בטוח!

[מודם מוזיקלי]

בול זמן:

עוד מ ביטחון עירום