S3 Ep92: Log4Shell4Ever, reistips en oplichting [Audio + Tekst]

Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.

DOUG.  Facebook-zwendel, Log4Shell forever en tips voor een cyberveilige zomer.

Dat alles en meer in de Naked Security Podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth, en bij mij, zoals altijd, is Paul Ducklin.

Hoe gaat het, Paulus?

---

EEND.  Ik ben superduper, Douglas.

Begint een beetje af te koelen hier in Engeland.

---

DOUG.  Ja.

---

EEND.  Ik denk dat ik de verkeerde dag heb uitgekozen om een ​​mooie grote fietstocht door het land te maken.

Het was zo'n goed idee toen ik vertrok: "Ik weet het, ik zal een mooie lange rit maken, en dan pak ik gewoon de trein naar huis, dus ik ben ruim op tijd thuis voor de podcast."

En toen ik daar aankwam, reden de treinen vanwege de extreme hitte maar eens in de twee uur, en ik had er net een gemist.

Dus ik moest helemaal terug rijden… en ik was net op tijd.

---

DOUG.  Oké, daar ga je ... jij en ik zijn in de volle gang van de zomer, en we hebben wat tips voor de zomer die later in de show komen.

Maar eerst wil ik het hebben over: Deze week in de technische geschiedenis.

Deze week, in 1968, werd de Intel Corporation gevormd door Gordon Moore (hij van Moore's Law) en Robert Noyce.

Noyce wordt gecrediteerd als pionier van de geïntegreerde schakeling of microchip.

Intel's eerste microprocessor zou de 4004 zijn, die werd gebruikt voor rekenmachines.

En een Leuk weetje, de naam Intel is een mashup van INtegrated ELEctronics.

Dus ... dat bedrijf bleek best goed.

---

EEND.  Ja!

Ik denk dat je, om eerlijk te zijn, misschien zou zeggen: "Co-pionier"?

---

DOUG.  Ja. Ik had: "Een pionier."

---

EEND.  Jack Kilby, van Texas Instruments, kwam denk ik met de eerste geïntegreerde schakeling, maar er moesten nog steeds onderdelen in de schakeling met elkaar worden verbonden.

En Noyce loste het probleem op om ze allemaal in silicium te bakken.

Ik heb zelfs een toespraak bijgewoond van Jack Kilburn, toen ik nog een kersverse computerwetenschapper was.

Absoluut fascinerend - onderzoek in de jaren vijftig in Amerika!

En natuurlijk ontving Kilby de beroemde Nobelprijs, ik denk in het jaar 2000.

Maar Robert Noyce zou, daar ben ik zeker van, een gezamenlijke winnaar zijn geweest, maar hij was toen al overleden, en je kunt postuum geen Nobelprijs krijgen.

Noyce heeft dus nooit een Nobelprijs gekregen, en Jack St. Clair Kilby wel.

---

DOUG.  Nou, dat is lang geleden...

... en over een lange tijd hebben we het misschien nog steeds over Log4Shell ...

---

EEND.  Oh lieverd, ja.

---

DOUG.  Ook al is er een oplossing voor, de VS is naar buiten gekomen en heeft gezegd dat het tientallen jaren kan duren voordat dit ding is eigenlijk gerepareerd.

---

EEND.  Laten we eerlijk zijn... ze zeiden: "Misschien een decennium of langer."

Dit is een lichaam genaamd de Beoordelingsraad voor cyberbeveiliging, de CSRB (onderdeel van het Department of Homeland Security), die eerder dit jaar werd opgericht.

Ik weet niet of het specifiek is gevormd vanwege Log4Shell, of gewoon omdat problemen met de broncode van de toeleveringsketen een groot probleem worden.

En bijna acht maanden nadat Log4Shell een ding was, produceerden ze dit rapport, van 42 pagina's ... de samenvatting alleen al beslaat bijna 3 pagina's.

En toen ik hier voor het eerst naar keek, dacht ik: "Oh, daar gaan we."

Sommige ambtenaren hebben te horen gekregen: 'Kom op, waar is je rapport? Jij bent de beoordelingsraad. Publiceren of vergaan!”

Eigenlijk, hoewel delen ervan inderdaad zwaar gaan, denk ik dat je dit moet doorlezen.

Ze hebben wat dingen ingebracht over hoe, als softwareleverancier, als softwareontwikkelaar, als een bedrijf dat softwareoplossingen levert aan andere mensen, het eigenlijk niet zo moeilijk is om gemakkelijk contact voor jezelf op te nemen, zodat mensen je kunnen laten weten wanneer er iets is. je hebt over het hoofd gezien.

Bijvoorbeeld: "Er zit nog steeds een Log4J-versie in uw code die u niet met de beste wil van de wereld hebt opgemerkt, en die u niet hebt opgelost."

Waarom zou je niet willen dat iemand die je probeert te helpen je gemakkelijk kan vinden en contact met je kan opnemen?

---

DOUG.  En ze zeggen dingen als... deze eerste is een soort tafelinzet, maar het is goed voor iedereen, vooral kleinere bedrijven die hier nog niet aan hebben gedacht: ontwikkel een activa- en applicatie-inventaris, zodat je weet wat je waar draait.

---

EEND.  Ze dreigen of beweren dit niet uitdrukkelijk, want het is niet aan deze ambtenaren om de wetten te maken (dat is aan de wetgever) ... maar ik denk dat ze zeggen: "Ontwikkel die capaciteit, want als je niet , of het kon je niet schelen, of je weet niet hoe je het moet doen, of je denkt dat je klanten het niet zullen merken, uiteindelijk zou je kunnen ontdekken dat je weinig of geen keus hebt!”

Zeker als je producten wilt verkopen aan de federale overheid! [GELACH]

---

DOUG.  Ja, en we hebben hier al eerder over gesproken... nog iets waar sommige bedrijven misschien nog niet aan hebben gedacht, maar dat wel belangrijk is om te hebben: een programma om kwetsbaarheden op te lossen.

Wat gebeurt er als u wel een kwetsbaarheid heeft?

Wat zijn de stappen die u neemt?

Wat is het spelplan dat u volgt om deze aan te pakken?

---

EEND.  Ja, daar doelde ik eerder op.

Het simpele deel daarvan is dat je gewoon een gemakkelijke manier nodig hebt voor iemand om erachter te komen waar ze rapporten in je organisatie naartoe sturen ... en dan moet je intern als bedrijf een toezegging doen dat wanneer je rapporten ontvangt, je daadwerkelijk actie op hen.

Zoals ik al zei, stel je eens voor dat je deze grote Java-toolkit hebt die je verkoopt, een grote app met veel componenten, en in een van de back-endsystemen zit een groot Java-ding.

En daarbinnen, stel je voor dat er nog steeds een kwetsbare Log4J is .JAR bestand dat u over het hoofd hebt gezien.

Waarom zou je niet willen dat de persoon die het heeft ontdekt het je snel en gemakkelijk kan vertellen, zelfs met een simpele e-mail?

Het aantal keren dat je op Twitter gaat en je ziet bekende cybersecurity-onderzoekers zeggen: "Hé, weet iemand hoe je contact kunt opnemen met XYZ Corp?"

Hadden we niet een zaak in de podcast van een man die uiteindelijk... ik denk dat hij op TikTok of iets dergelijks ging [GELACHT] omdat hij kon er niet achter komen hoe u contact kunt opnemen met dit bedrijf.

En hij maakte een video waarin hij zei: "Hallo jongens, ik weet dat je dol bent op je video's op sociale media, ik probeer je alleen maar over deze bug te vertellen."

En dat merkten ze uiteindelijk.

Had hij maar naar uw bedrijf DOT com SLASH security DOT txt kunnen gaan en bijvoorbeeld een e-mailadres hebben gevonden!

'Daar hebben we liever dat je contact met ons opneemt. Of we doen bug bounties via dit programma... zo meldt u zich ervoor aan. Als je betaald wilt worden.”

Het is niet zo moeilijk!

En dat betekent dat iemand die je wil laten weten dat je een bug hebt waarvan je dacht dat je die had opgelost, je dat kan vertellen.

---

DOUG.  Ik ben dol op de afstap in dit artikel!

Je schrijft en channelt John F. Kennedy en zegt [KENNEDY VOICE] “Vraag niet wat iedereen voor je kan doen, maar denk na over wat je voor jezelf kunt doen, want alle verbeteringen die je aanbrengt, zullen vrijwel zeker ook iedereen ten goede komen. ”

Oké, dat staat op de site als je erover wilt lezen... het is verplichte lectuur als je in een of andere situatie zit waarin je met een van deze dingen te maken krijgt.

Het is goed om te lezen ... lees in ieder geval de samenvatting van drie pagina's, zo niet het rapport van 42 pagina's.

---

EEND.  Ja, het is lang, maar ik vond het verrassend attent en ik was zeer aangenaam verrast.

En ik dacht als mensen dit lezen, en willekeurige mensen nemen een willekeurige tiende ervan ter harte...

...we zouden collectief op een betere plek moeten zijn.

---

DOUG.  Goed, ga gewoon door.

Het is zomervakantie en dat betekent vaak dat je je gadgets mee moet nemen.

We hebben een aantal tips om te genieten je zomervakantie zonder, eh, "niet genieten".

---

EEND.  “Hoeveel gadgets moeten we meenemen? [DRAMATISCH] Pak ze allemaal in!”

Helaas, hoe meer je neemt, hoe groter je risico, losjes gesproken.

---

DOUG.  Je eerste tip hier is dat je al je gadgets inpakt ... moet je een back-up maken voordat je vertrekt?

Het antwoord is waarschijnlijk: "Ja!"

---

EEND.  Ik denk dat het vrij duidelijk is.

Iedereen weet dat je een back-up moet maken, maar ze stellen het uit.

Dus ik dacht dat het een kans was om onze kleine stelregel of gemeenplaats uit te dragen: "De enige back-up waar je ooit spijt van zult krijgen, is degene die je niet hebt gemaakt."

En het andere ding om ervoor te zorgen dat je een back-up van een apparaat hebt gemaakt - of dat nu is in een cloudaccount waarvan je vervolgens uitlogt, of dat dat is op een verwisselbare schijf die je versleutelt en ergens in de kast plaatst - het betekent dat je kan uw digitale voetafdruk op het apparaat verwijderen.

We komen erachter waarom dat een goed idee zou kunnen zijn... zodat je niet je hele digitale leven en geschiedenis bij je hebt.

Het punt is dat door een goede back-up te hebben en vervolgens uit te dunnen wat je eigenlijk aan de telefoon hebt, er minder mis kan gaan als je het verliest; als het in beslag wordt genomen; als immigratieambtenaren ernaar willen kijken; wat het ook is.

---

DOUG.  En, enigszins gerelateerd aan het verplaatsen, kunt u uw laptop en of uw mobiele telefoon kwijtraken ... dus u moet die apparaten versleutelen.

---

EEND.  Ja.

Nu zijn de meeste apparaten tegenwoordig standaard versleuteld.

Dat geldt zeker voor Android; het is zeker waar voor iOS; En ik denk dat als je tegenwoordig Windows-laptops krijgt, BitLocker er is.

Ik ben geen Windows-gebruiker, dus ik weet het niet zeker... maar zeker, zelfs als je Windows Home Edition hebt (wat irritant, en ik hoop dat dit in de toekomst verandert, irritant genoeg je BitLocker niet op verwisselbare schijven laat gebruiken) … het laat je BitLocker gebruiken op je harde schijf.

Waarom niet?

Omdat het betekent dat als je het verliest, of het in beslag wordt genomen, of je laptop of telefoon wordt gestolen, het niet zomaar een geval is dat een oplichter je laptop opent, de harde schijf loskoppelt, hem in een andere computer steekt en er alles van leest , gewoon zo.

Waarom niet de voorzorg nemen?

En, natuurlijk, op een telefoon, over het algemeen omdat deze vooraf versleuteld is, worden de versleutelingssleutels vooraf gegenereerd en beschermd door uw vergrendelingscode.

Ga niet: "Nou, ik zal onderweg zijn, ik kan onder druk staan, ik heb het misschien snel nodig ... ik gebruik gewoon 1234 or 0000 voor de duur van de vakantie.”

Doe dat niet!

De vergrendelingscode op uw telefoon beheert de daadwerkelijke volledige codering en decoderingssleutels voor de gegevens op de telefoon.

Dus kies een lange slotcode... Ik raad tien cijfers of langer aan.

Stel het in en oefen het thuis een paar dagen, een week voordat je vertrekt, totdat het een tweede natuur is.

Ga niet zomaar, 1234 goed genoeg is, of "Oh, ik heb een lange vergrendelingscode ... ik ga" 0000 0000, dat zijn *acht* karakters, daar zal niemand ooit aan denken!”

---

DOUG.  OK, en dit is een heel interessante: je hebt wat advies over mensen die nationale grenzen overschrijden.

---

EEND.  Ja, dat is tegenwoordig een probleem geworden.

Omdat veel landen – ik denk de VS en het VK daaronder, maar ze zijn zeker niet de enige – kunnen zeggen: “Kijk, we willen je apparaat bekijken. Wil je hem ontgrendelen, alsjeblieft?”

En jij zegt: “Nee, natuurlijk niet! Het is prive! Daar heb je het recht niet toe!”

Nou ja, misschien wel, en misschien ook niet... je bent nog niet in het land.

Het is "Mijn keuken, mijn regels", dus ze zouden kunnen zeggen: "Oké, prima, *jij* hebt het volste recht om te weigeren... maar dan gaan *we* je toelating weigeren. Wacht hier in de aankomsthal tot we je naar de vertrekhal kunnen brengen om op de volgende vlucht naar huis te stappen!”

Kortom, maak je geen *zorgen* over wat er gaat gebeuren, zoals "Ik ben misschien gedwongen om gegevens aan de grens te onthullen."

*Zoek op* wat de toegangsvoorwaarden zijn... de privacy- en toezichtregels in het land waar je naartoe gaat.

En als je ze echt niet leuk vindt, ga daar dan niet heen! Zoek ergens anders heen om naar toe te gaan.

Of ga gewoon het land binnen, vertel de waarheid en verklein uw digitale voetafdruk.

Zoals we al zeiden met de back-up ... hoe minder 'digitale levens'-spullen je bij je hebt, hoe minder er mis kan gaan en hoe kleiner de kans dat je het kwijtraakt.

Dus, "Wees voorbereid" is wat ik zeg.

---

DOUG.  OK, en dit is een goede: openbare wifi, is het veilig of onveilig?

Het hangt ervan af, denk ik?

---

EEND.  Ja.

Er zijn veel mensen die zeggen: "Golly, als je openbare wifi gebruikt, ben je gedoemd!"

Natuurlijk gebruiken we allemaal al jaren openbare wifi.

Ik ken niemand die ermee is gestopt uit angst om gehackt te worden, maar ik weet wel dat mensen zeggen: 'Nou, ik weet wat de risico's zijn. Die router kan van iedereen zijn geweest. Er kunnen wat boeven op zitten; het zou een gewetenloze coffeeshop-exploitant kunnen hebben; of het kan gewoon zijn dat iemand het heeft gehackt die hier vorige maand op vakantie was omdat ze het vreselijk grappig vonden, en het lekt gegevens omdat 'ha ha ha'.

Maar als u apps gebruikt die end-to-end-codering hebben, en als u sites gebruikt die HTTPS zijn, zodat ze end-to-end versleuteld zijn tussen uw apparaat en de andere kant, dan zijn er aanzienlijke limieten voor wat zelfs een volledig gehackte router kan onthullen.

Omdat malware die door een eerdere bezoeker is geïmplanteerd, op de *router* wordt geïmplanteerd, niet op *uw apparaat*.

---

DOUG.  OK, vervolgens... wat ik beschouw als de computerversie van zelden schoongemaakte openbare toiletten.

Moet ik kiosk-pc's gebruiken op luchthavens of hotels?

Afgezien van cyberbeveiliging ... alleen het aantal mensen dat dat vuile, vuile toetsenbord en die muis in handen heeft gehad!

---

EEND.  Precies.

Dit is dus de keerzijde van de vraag "Moet ik openbare wifi gebruiken?"

Moet ik een Kkiosk-pc gebruiken, bijvoorbeeld in het hotel of op een luchthaven?

Het grote verschil tussen een wifi-router die is gehackt en een kiosk-pc die is gehackt, is dat als je verkeer versleuteld wordt via een gecompromitteerde router, er een limiet is aan hoeveel het je kan bespioneren.

Maar als uw verkeer afkomstig is van een gehackte of gecompromitteerde kioskcomputer, dan is het vanuit het oogpunt van cyberbeveiliging in principe * 100% Game Over*.

Met andere woorden, die kiosk-pc kan onbelemmerde toegang hebben tot * alle gegevens die u verzendt en ontvangt op internet * voordat deze wordt versleuteld (en nadat de dingen die u terugkrijgt, worden gedecodeerd).

Dus de codering wordt in wezen irrelevant.

*Elke toetsaanslag die u typt*... u moet aannemen dat deze wordt bijgehouden.

*Elke keer als er iets op het scherm staat*... moet je er vanuit gaan dat iemand een screenshot kan maken.

*Alles wat je uitprint*... je moet aannemen dat er een kopie is gemaakt in een verborgen bestand.

Dus mijn advies is om die kiosk-pc's als een noodzakelijk kwaad te behandelen en ze alleen te gebruiken als het echt moet.

---

DOUG.  Ja, ik was afgelopen weekend in een hotel met een kiosk-pc, en nieuwsgierigheid kreeg de overhand.

Ik liep naar boven ... er draaide Windows 10 en je kon er alles op installeren.

Het was niet vergrendeld en wie het eerder had gebruikt, had niet uitgelogd bij Facebook!

En dit is een hotelketen dat beter had moeten weten ... maar het was gewoon een wijd open systeem waar niemand zich had uitgelogd; een potentiële beerput van cybercriminaliteit die wacht om te gebeuren.

---

EEND.  Dus je kunt gewoon een USB-stick aansluiten en dan gaan, "Keylogger installeren"?

---

DOUG.  Ja!

---

EEND.  "Installeer netwerksniffer."

---

DOUG.  Uh Huh!

---

EEND.  "Installeer rootkit."

---

DOUG.  Ja!

---

EEND.  "Zet vlammende schedels op behang."

---

DOUG.  Nee, dank u!

Deze volgende vraag heeft geen goed antwoord...

Hoe zit het met spycams en hotelkamers en Airbnbs?

Deze zijn moeilijk te vinden.

---

EEND.  Ja, dat heb ik erbij gezet omdat het een vraag is die ons regelmatig wordt gesteld.

We hebben geschreven over drie verschillende gevallen van niet-aangegeven spionagecamera's. (Dat is een soort tautologie, nietwaar?)

Een daarvan was in een hostel voor boerenwerk in Australië, waar deze kerel mensen met een bezoekersvisum uitnodigde die werk op de boerderij mogen doen, en zei: "Ik zal je een plek geven om te blijven."

Het bleek een Peeping Tom te zijn.

Een daarvan was in een Airbnb-huis in Ierland.

Dit was een gezin dat helemaal uit Nieuw-Zeeland was gereisd, dus ze konden niet zomaar in de auto stappen en naar huis gaan, opgeven!

En de andere was een echt hotel in Zuid-Korea ... dit was echt een griezelige.

Ik denk niet dat het de keten was die het hotel bezat, het waren corrupte werknemers of zoiets.

Ze plaatsten spionagecamera's in kamers, en ik maak geen grapje, Doug... ze verkochten eigenlijk pay-per-view.

Ik bedoel, hoe eng is dat?

Het goede nieuws: in twee van die gevallen werden de daders daadwerkelijk gearresteerd en aangeklaagd, dus het liep slecht af voor hen, en dat is volkomen terecht.

Het probleem is... als je het Airbnb-verhaal leest (we hebben een link op Naked Security) was de man die daar met zijn gezin verbleef eigenlijk een It-persoon, een cybersecurity-expert.

En hij merkte op dat een van de kamers (blijkbaar moet je aangeven of er camera's in een Airbnb zijn) twee rookmelders had.

Wanneer zie je twee rookmelders? Je hebt er maar één nodig.

En dus begon hij naar een van hen te kijken, en het leek op een rookmelder.

De andere, nou ja, het kleine gaatje met de LED die knippert, knipperde niet.

En toen hij er doorheen tuurde, dacht hij: "Dat ziet er... verdacht veel op een lens voor een fototoestel!”

En het was in feite een spionagecamera vermomd als rookmelder.

De eigenaar had hem aangesloten op de gewone wifi, dus hij kon hem vinden door een netwerkscan uit te voeren... met een tool als Nmap of iets dergelijks.

Hij vond dit apparaat en toen hij het pingde, was het vrij duidelijk, uit de netwerkhandtekening, dat het eigenlijk een webcam was, hoewel een webcam verborgen in een rookmelder.

Dus hij had geluk.

We schreven een artikel over wat hij vond, linken en legden uit waar hij destijds over had geblogd.

Dit was in 2019, dus dit is drie jaar geleden, dus de technologie is sindsdien waarschijnlijk zelfs een beetje meer meegekomen.

Hoe dan ook, hij ging online om te zien: "Welke kans heb ik eigenlijk om camera's te vinden in de volgende plaatsen waar ik verblijf?"

En hij kwam een ​​spionagecamera tegen – ik kan me voorstellen dat de beeldkwaliteit behoorlijk slecht zou zijn, maar het is nog steeds een *werkende digitale spionagecamera*…. niet draadloos, je moet hem aansluiten - ingebed *in een kruiskopschroef*, Doug!

---

DOUG.  Verbazingwekkend.

---

EEND.  Letterlijk het type schroef dat je zou vinden in de afdekplaat die je op een lichtschakelaar krijgt, zeg maar die maat schroef.

Of de schroef die je op de afdekplaat van een stopcontact krijgt... een kruiskopschroef van normaal, bescheiden formaat.

---

DOUG.  Ik ben ze nu aan het opzoeken op Amazon!

"Pinhole-schroefcamera", voor $ 20.

---

EEND.  Als dat niet opnieuw is verbonden met hetzelfde netwerk, of als het is verbonden met een apparaat dat alleen op een SD-kaart opneemt, zal het erg moeilijk te vinden zijn!

Dus, helaas, het antwoord op deze vraag... de reden waarom ik vraag zes niet schreef als: "Hoe vind ik spionnen in de kamers waarin ik verbleef?"

Het antwoord is dat je het kunt proberen, maar helaas is het dat hele "Afwezigheid van bewijs is geen bewijs van afwezigheid" ding.

Helaas hebben we geen advies dat zegt: “Er is een kleine gadget die je kunt kopen ter grootte van een mobiele telefoon. Je drukt op een knop en het piept als er een spionnencamera in de kamer is.”

---

DOUG.  OKÉ. Onze laatste tip voor degenen onder u die er niets aan kunnen doen: "Ik ga op vakantie, maar wat als ik mijn werklaptop mee wil nemen?"

---

EEND.  Ik kan daar geen antwoord op geven.

Daar kun je geen antwoord op geven.

Het is niet jouw laptop, het is de laptop van het werk.

Het simpele antwoord is dus: "Vraag!"

En als ze zeggen: "Waar ga je heen?", en je geeft de naam van het land op en ze zeggen: "Nee"...

...dan is dat dat, je kunt het niet meenemen.

Misschien kun je gewoon zeggen: "Geweldig, kan ik het hier laten? Kun je het in de IT-kast opsluiten tot ik terug ben?'

Als je IT gaat vragen: "Ik ga naar land X. Als ik mijn werklaptop mee zou nemen, heb je dan speciale aanbevelingen?"...

… luister ernaar!

Want als het werk denkt dat er dingen zijn die je zou moeten weten over privacy en toezicht in de plaats waar je heen gaat, zijn die dingen waarschijnlijk ook van toepassing op je privéleven.

---

DOUG.  Oké, dat is een geweldig artikel ... lees de rest ervan.

---

EEND.  Ik ben zo trots op de twee jingles waarmee ik klaar ben!

---

DOUG.  Oh ja!

We hebben gehoord, "Als je twijfelt, geef het dan niet uit."

Maar dit is een nieuwe die je hebt bedacht, die ik erg leuk vind ....

---

EEND.  "Als je leven op je telefoon staat / waarom laat je het niet thuis?"

---

DOUG.  Ja, daar ga je!

Goed, in het belang van de tijd hebben we nog een artikel op de site die ik u verzoek te lezen. Dit heet: Facebook 2FA-oplichters keren terug, dit keer in slechts 21 minuten.

Dit is dezelfde zwendel die vroeger 28 minuten duurde, dus ze hebben zeven minuten geschoren van deze zwendel.

En we hebben een lezersvraag over dit bericht.

Lezer Peter schrijft, gedeeltelijk: 'Denk je echt dat deze dingen toeval zijn? Ik heb onlangs geholpen bij het wijzigen van het British Telecom-breedbandcontract van mijn schoonvader, en de dag dat de wijziging doorging, kreeg hij een phishing-telefoontje van British Telecom. Het had natuurlijk elke dag kunnen gebeuren, maar dat soort dingen doen je afvragen over de timing. Paulus…”

---

EEND.  Ja, we krijgen altijd mensen die zeggen: "Weet je wat? Ik heb een van deze oplichting… "

Of het nu gaat om een ​​Facebook-pagina of Instagram-auteursrecht of, zoals de vader van deze kerel, telecomgerelateerd… “Ik kreeg de zwendel de ochtend nadat ik iets deed dat direct verband hield met waar de zwendel over ging. Het is toch geen toeval?”

En ik denk dat voor de meeste mensen, omdat ze commentaar geven op Naked Security, ze beseffen dat het oplichterij is, dus zeggen ze: "De boeven wisten het zeker?"

Met andere woorden, er moet enige voorkennis zijn.

De keerzijde daarvan is dat mensen die *niet* beseffen dat het een scam is, en geen commentaar willen geven op Naked Security, zeggen: "O, nou, het kan geen toeval zijn, daarom moet het echt zijn!"

In de meeste gevallen is het in mijn ervaring absoluut toeval, gewoon op basis van volume.

Dus het punt is dat ik er in de meeste gevallen van overtuigd ben dat deze oplichting die je krijgt, toeval is, en de oplichters vertrouwen op het feit dat het gemakkelijk is om die toevalligheden te "vervaardigen" wanneer je zoveel e-mails naar zoveel mensen kunt sturen. mensen zo gemakkelijk.

En je probeert niet *iedereen* voor de gek te houden, je probeert gewoon *iemand* te misleiden.

En Doug, als ik het er aan het einde in kan persen: "Gebruik een wachtwoordbeheerder!"

Want dan kun je niet per ongeluk het juiste wachtwoord op de verkeerde site zetten, en dat helpt je enorm bij die oplichting, of ze nu toevallig zijn of niet.

---

DOUG.  Oké, heel goed zoals altijd!

Bedankt voor de reactie, Pieter.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @nakedsecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan, tot de volgende keer, om...

---

BEIDE.  Blijf veilig!

[MUZIEK MODEM]