S3 Ep94: Dit soort cryptovaluta (grafiek), en het andere soort cryptovaluta (valuta!) [Audio + Tekst]

Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.

DOUG.  A kritieke Samba-bug, nog een ander cryptodiefstal en Fijne SysAdmin-dag.

Dat alles en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth.

Bij mij is, zoals altijd, Paul Ducklin... Paul, hoe gaat het vandaag?

---

EEND.  Uitstekend, bedankt, Douglas.

---

DOUG.  We beginnen de show graag met wat technische geschiedenis.

En deze week, Paul, gaan we ver terug naar 1858!

Deze week in 1858 werd de eerste trans-Atlantische telegraafkabel voltooid.

Het werd geleid door de Amerikaanse koopman Cyrus Westfield, en de kabel liep van Trinity Bay, Newfoundland, naar Valencia, Ierland, zo'n 2000 mijl breed en meer dan 2 mijl diep.

Dit zou de vijfde poging zijn en helaas werkte de kabel maar ongeveer een maand.

Maar het functioneerde wel lang genoeg voor de toenmalige president James Buchanan en koningin Victoria om beleefdheden uit te wisselen.

---

EEND.  Ja, ik geloof dat het zo was, hoe zal ik het zeggen... flauw. [GELACH]

1858!

Wat heeft God gedaan?, Doug! [WOORDEN VERZONDEN IN EERSTE TELEGRAAFBERICHT OOIT]

---

DOUG.  [LACHT] Nu we het toch over dingen hebben die zijn aangericht, er is een... kritieke Samba-bug dat is inmiddels verholpen.

Ik ben op geen enkele manier een expert, maar door deze bug kan iedereen een domeinbeheerder worden... dat klinkt slecht.

---

EEND.  Nou, het klinkt slecht, Doug, voornamelijk om de reden dat het *is* nogal slecht!

---

DOUG.  Daar ga je!

---

EEND.  Samba... laten we voor de duidelijkheid, voordat we beginnen, de gewenste versies doornemen.

Als je de 4.16-smaak hebt, heb je 4.16.4 of hoger nodig; als je op 4.15 zit, heb je 4.15.9 of hoger nodig; en als je op 4.14 zit, heb je 4.14.14 of hoger nodig.

Die bugfixes hebben in totaal zes verschillende bugs gepatcht die als ernstig genoeg werden beschouwd om CVE-nummers te krijgen - officiële aanduidingen.

Degene die opviel is CVE-2022-32744.

En de titel van de bug zegt het al: Samba Active Directory-gebruikers kunnen wachtwoordwijzigingsverzoeken voor elke gebruiker vervalsen.

---

DOUG.  Ja, dat klinkt slecht.

---

EEND.  Dus, zoals het volledige bugrapport in het beveiligingsadvies, zegt het wijzigingslogboek, op nogal orotundaire manier:

“Een gebruiker kan het wachtwoord van het beheerdersaccount wijzigen en totale controle over het domein krijgen. Volledig verlies van vertrouwelijkheid en integriteit zou mogelijk zijn, evenals van beschikbaarheid door gebruikers de toegang tot hun accounts te ontzeggen.”

En zoals onze luisteraars waarschijnlijk weten, is de zogenaamde "heilige drie-eenheid" (luchtcitaten) van computerbeveiliging: beschikbaarheid, vertrouwelijkheid en integriteit.

Je hoort ze allemaal te hebben, niet slechts één.

Dus, integriteit betekent dat niemand anders binnen kan komen en met je spullen kan rommelen zonder dat je het merkt.

Beschikbaarheid zegt dat je altijd bij je spullen kunt – ze kunnen niet voorkomen dat je er bij kunt wanneer je maar wilt.

En vertrouwelijkheid betekent dat ze er niet naar kunnen kijken, tenzij ze geacht worden te zijn toegestaan.

Elk van deze, of twee van die, heeft op zichzelf niet veel zin.

Dus dit was echt een trifecta, Doug!

En irritant genoeg zit het juist in het deel van Samba dat je misschien niet alleen gebruikt als je een Unix-computer probeert te verbinden met een Windows-domein, maar als je probeert een Active Directory-domein in te stellen voor Windows-computers om te gebruiken op een stel Linux- of Unix-computers.

---

DOUG.  Dat is alle vakjes op de verkeerde manier aanvinken!

Maar er is een patch uit - en we zeggen altijd: "Patch vroeg, patch vaak."

Is er een soort van oplossing die mensen kunnen gebruiken als ze om de een of andere reden niet meteen kunnen patchen, of is dit een kwestie van gewoon doen?

---

EEND.  Welnu, ik heb begrepen dat deze bug zich in de wachtwoordverificatieservice bevindt die wordt genoemd kpasswd.

Wat die service in wezen doet, is dat het zoekt naar een verzoek om een ​​wachtwoord te wijzigen en controleert of het is ondertekend of geautoriseerd door een soort vertrouwde partij.

En helaas, na een bepaalde reeks foutcondities, zou die vertrouwde partij u ook kunnen zijn.

Dus het is een beetje als een Druk uw eigen paspoort af bug, zo je wilt.

Je moet een paspoort laten zien... het kan een echt paspoort zijn dat is uitgegeven door je eigen overheid, of het kan er een zijn die je thuis op je inkjetprinter hebt geslagen, en ze zouden allebei slagen. [GELACH]

De truc is dat als je niet echt vertrouwt op deze wachtwoordverificatieservice bij je gebruik van Samba, je dat kunt voorkomen kpasswd dienst van het lopen.

Natuurlijk, als je echt op het hele Samba-systeem vertrouwt om je Active Directory-authenticatie en je wachtwoordwijzigingen te geven, zou de tijdelijke oplossing je eigen systeem kapot maken.

Dus de beste verdediging is natuurlijk de patch die de bug *verwijdert* in plaats van hem gewoon *vermijden*.

---

DOUG.  Heel goed.

Je kunt lees meer over dat op de site: nakedscurity.sophos.com.

En we gaan gelijk door naar de mooiste tijd van het jaar!

We hebben net gevierd SysAdmin-dag, Paul, en ik zal de clou hier niet telegraferen ... maar je had nogal een schrijven.

---

EEND.  Nou, een keer per jaar, het is niet te veel gevraagd dat we naar de IT-afdeling moeten gaan en glimlachen naar iedereen die al dit verborgen achtergrondwerk heeft gedaan ...

… om onze computers, en onze servers, en onze clouddiensten, en onze laptops, en onze telefoons, en onze netwerkswitches [DOUG LACHS], en onze DSL-verbindingen en onze Wi-Fi-kit in stand te houden [SNELLER EN SNELLER WORDEN] Goede werkvolgorde.

Verkrijgbaar! Vertrouwelijk! Vol integriteit, het hele jaar door!

Als je het niet deed op de laatste vrijdag van juli, dat is SysAdmin Waarderingsdag, waarom zou u het dan niet vandaag doen?

En zelfs als u het deed, is er niets dat zegt dat u uw SysAdmins niet elke dag van het jaar kunt waarderen.

Je hoeft het niet alleen in juli te doen, Doug.

---

DOUG.  Goed punt!

---

EEND.  Dus dit is wat je moet doen, Doug.

Ik ga dit een "gedicht" of "vers" noemen... Ik denk dat het technisch gezien een rijmelarij is [GELACH], maar ik ga net doen alsof het alle vreugde en warmte heeft van een Shakespeare-sonnet.

Het *is geen* sonnet, maar het zal wel moeten.

---

DOUG.  Perfect.

---

EEND.  Alsjeblieft, Doug.

Als de batterijen van uw muis leeg zijn Of als uw webcamlampje niet brandt Als u uw wachtwoord niet meer weet Of als uw e-mailadres gewoon niet wordt weergegeven Als u uw USB-drive bent kwijtgeraakt Of als uw vergadering niet kan worden gestart Als u dat niet kunt maak een histogram Of teken een mooie ronde grafiek Als je per ongeluk op [Verwijderen] drukt Of je schijf hebt geformatteerd Als je een back-up wilde maken Maar in plaats daarvan gewoon een risico nam Als je weet dat de boosdoener duidelijk is En de schuld naar jou wijst Niet geef de hoop op en wees terneergeslagen Er is nog één ding te doen! Neem chocolaatjes, wijn, wat gejuich, een glimlach En meen het als je zegt: "Ik kom net even langs om jullie allemaal een geweldige SysAdmin-dag te wensen!"

---

DOUG.  [KLAPPEN] Echt goed! Een van je beste!

---

EEND.  Zoveel van wat SysAdmins doen is onzichtbaar, en zoveel ervan is verrassend moeilijk om goed en betrouwbaar te doen...

...en te doen zonder het ene te repareren en het andere te verbreken.

Die glimlach is het minste wat ze verdienen, Doug.

---

DOUG.  Het allerminst!

---

EEND.  Dus, aan alle SysAdmins over de hele wereld, ik hoop dat je genoten hebt van afgelopen vrijdag.

En als je niet genoeg geglimlacht hebt, neem er dan nu een.

---

DOUG.  Fijne SysAdmin-dag, iedereen, en lees dat gedicht, wat geweldig is ... het staat op de site.

Oké, verder gaan met iets dat niet zo geweldig is: a geheugen wanbeheer bug in GnuTLS.

---

EEND.  Ja, ik dacht dat dit de moeite waard was om op Naked Security te schrijven, want als mensen denken aan open-source cryptografie, denken ze meestal aan OpenSSL.

Omdat (A) dat degene is waar iedereen van heeft gehoord, en (B) het is degene die de afgelopen jaren waarschijnlijk de meeste publiciteit heeft gekregen over bugs, vanwege heartbleed.

Zelfs als je er toen niet bij was (het was acht jaar geleden), heb je waarschijnlijk gehoord van Heartbleed, wat een soort datalek en geheugenlekbug was in OpenSSL.

Het stond al eeuwen in de code en niemand merkte het.

En toen merkte iemand het op, en ze gaven het de mooie naam, en ze gaven de bug een logo, en ze gaven de bug een website, en ze maakten er dit enorme PR-ding van.

---

DOUG.  [LACHT] Zo weet je dat het echt is...

---

EEND.  Oké, ze deden het omdat ze de aandacht wilden vestigen op het feit dat ze het ontdekten, en daar waren ze erg trots op.

En de keerzijde was dat mensen erop uit gingen om deze bug te repareren die ze anders misschien niet hadden gedaan ... omdat, nou ja, het is gewoon een bug.

Het lijkt niet erg dramatisch - het is geen uitvoering van externe code. dus ze kunnen niet zomaar binnenkomen en meteen al mijn websites, enz. enz. overnemen.

Maar het maakte OpenSSL wel een begrip, niet per se om de juiste redenen.

Er zijn echter veel open source cryptografische bibliotheken, niet alleen OpenSSL, en minstens twee ervan worden verrassend veel gebruikt, zelfs als je er nog nooit van hebt gehoord.

Er is NSS, een afkorting van Netwerkbeveiligingsservice, de eigen cryptografische bibliotheek van Mozilla.

Je kunt dat onafhankelijk van specifieke Mozilla-projecten downloaden en gebruiken, maar je zult het met name vinden in Firefox en Thunderbird, waarbij alle codering daarin wordt uitgevoerd - ze gebruiken geen OpenSSL.

En dat is er gnuTLS, een open-sourcebibliotheek onder het GNU-project, die in wezen, als je wilt, een concurrent of een alternatief is voor OpenSSL, en die wordt gebruikt (zelfs als je het je niet realiseert) door een verrassend aantal open- bronprojecten en producten...

... inclusief per code, op welk platform u zich ook bevindt, dat u waarschijnlijk op uw systeem hebt staan.

Dus dat omvat alles wat te maken heeft met bijvoorbeeld: FFmpeg; Mencoder; GnuPGP (de GNU-sleutelbeheertool); QEMU, Rdesktop; Samba, waar we het net over hadden in de vorige bug; Wget, dat veel mensen gebruiken voor het downloaden van internet; Wireshark's netwerk sniffing tools; Zlib.

Er zijn heel veel tools die een cryptografische bibliotheek nodig hebben, en hebben besloten om ofwel GnuTLS *in plaats* van OpenSSL te gebruiken, of misschien zelfs *en*, afhankelijk van de problemen in de toeleveringsketen van welke subpakketten ze hebben getrokken in.

Je hebt misschien een project waarbij sommige delen GnuTLS gebruiken voor hun cryptografie, en sommige delen OpenSSL, en het is moeilijk om de een boven de ander te kiezen.

Dus je eindigt, ten goede of ten kwade, met beide.

En helaas had GnuTLS (de gewenste versie is 3.7.7 of hoger) een type bug dat bekend staat als een dubbel-vrij… geloof het of niet in het deel van de code dat TLS-certificaatvalidatie uitvoert.

Dus, in het soort ironie dat we eerder in cryptografische bibliotheken hebben gezien, code die TLS gebruikt voor gecodeerde transmissies maar die niet de moeite neemt om de andere kant te verifiëren ... code die luidt: "Certificaatvalidatie, wie heeft het nodig?"

Dat wordt over het algemeen als een extreem slecht idee beschouwd, nogal armoedig vanuit veiligheidsoogpunt... maar elke code die dat doet, zal niet kwetsbaar zijn voor deze bug, omdat hij de buggy-code niet aanroept.

Dus helaas kan code die probeert het *juiste* te doen, misleid worden door een frauduleus certificaat.

En om het eenvoudig uit te leggen, a dubbel-vrij is het soort bug waarbij je het besturingssysteem of het systeem vraagt: "Hé, geef me wat geheugen. Ik heb tijdelijk wat geheugen nodig. In dit geval heb ik al deze certificaatgegevens, ik wil het tijdelijk opslaan, valideren, en als ik klaar ben, zal ik het geheugen teruggeven zodat het door een ander deel van het programma kan worden gebruikt. ”

Als je een C-programmeur bent, ben je bekend met de functies malloc(), een afkorting voor "memory allocate", en free(), wat "teruggeven" is.

En we weten dat er een soort bug is genaamd gebruik-na-gratis, waar je de gegevens teruggeeft, maar dan toch dat geheugenblok blijft gebruiken, vergetend dat je het hebt opgegeven.

Maar een double-free is een beetje anders - het is waar je het geheugen teruggeeft, en je plichtsgetrouw vermijdt om het opnieuw te gebruiken, maar dan in een later stadium ga je, "Wacht even, ik weet zeker dat ik dat niet heb overhandigd geheugen nog terug. Ik kan het maar beter teruggeven voor het geval dat.”

En dus zeg je tegen het besturingssysteem: "OK, maak dit geheugen weer vrij."

Het lijkt er dus op dat het een legitiem verzoek is om de gegevens * vrij te maken waarop een ander deel van het programma mogelijk vertrouwt *.

En zoals je je kunt voorstellen, kunnen er slechte dingen gebeuren, want dat betekent dat je twee delen van het programma tegelijkertijd kunt krijgen die onbewust afhankelijk zijn van hetzelfde stuk geheugen.

Het goede nieuws is dat ik niet geloof dat er een werkende exploit is gevonden voor deze bug, en daarom, als je patcht, loop je de boeven voor in plaats van ze gewoon in te halen.

Maar het slechte nieuws is natuurlijk dat wanneer bugfixes zoals deze uitkomen, er meestal een hele reeks mensen naar ze gaan kijken, proberen te analyseren wat er mis is gegaan, in de hoop snel te begrijpen wat ze kunnen doen om misbruik te maken de bug tegen al die mensen die traag zijn geweest om te patchen.

Met andere woorden: wacht niet te lang. Doe het vandaag.

---

DOUG.  Oké, de nieuwste versie van GnuTLS is 3.7.7... update alstublieft.

Je kunt lees daar meer over op de site.

---

EEND.  Oh, en Doug, blijkbaar is de bug geïntroduceerd in GnuTLS 3.6.0.

---

DOUG.  OK.

---

EEND.  Dus, in theorie, als je een eerdere versie hebt, ben je niet kwetsbaar voor deze bug...

... maar gebruik dat alsjeblieft niet als een excuus om te zeggen: "Ik hoef nog niet te updaten."

Je kunt net zo goed vooruit springen over alle andere updates die zijn uitgekomen, voor alle andere beveiligingsproblemen, tussen 3.6.0 en 3.7.6.

Dus het feit dat je niet in de categorie van deze bug valt – gebruik dat niet als excuus om niets te doen.

Gebruik het als de aanzet om jezelf naar het heden te brengen… dat is mijn advies.

---

DOUG.  OK!

En ons laatste verhaal van de week: we hebben het over weer een crypto-overval.

Deze keer, slechts $ 200 miljoen, maar Paulus.

Dit is een stomme verandering in vergelijking met sommige van de andere waar we het over hebben gehad.

---

EEND.  Ik wil dit bijna niet zeggen, Doug, maar een van de redenen waarom ik dit opschreef, is dat ik ernaar keek en dacht: 'O, slechts 200 miljoen? Dat is nogal een kleine ti… WAT DENK IK!?” [GELACH]

$ 200 miljoen, eigenlijk ... nou ja, niet "door het toilet", eerder "uit de bankkluis".

Deze service Nomad is van een bedrijf dat de naam Illusory Systems Incorporated draagt.

En ik denk dat u het ermee eens zult zijn dat, zeker vanuit veiligheidsoogpunt, het woord 'illusoir' misschien de juiste soort metafoor is.

Het is een service waarmee u in wezen kunt doen wat in het jargon bekend staat als overbrugging.

Je ruilt in feite actief de ene cryptocurrency voor de andere.

Dus je stopt wat cryptocurrency van jezelf in een gigantische emmer samen met heel veel andere mensen ... en dan kunnen we al deze mooie, "gedecentraliseerde financiële" geautomatiseerde slimme contracten doen.

We kunnen Bitcoin inruilen voor Ether of Ether voor Monero, of wat dan ook.

Helaas lijkt het erop dat ze tijdens een recente code-update in hetzelfde soort gat zijn gevallen als de jongens van Samba met de bug waar we het in Samba over hadden.

Er is eigenlijk een Druk uw eigen paspoort afof een Autoriseer uw eigen transactie bug die ze hebben geïntroduceerd.

Er is een punt in de code waar een cryptografische hash, een 256-bit cryptografische hash, moet worden gevalideerd... iets dat niemand anders dan een geautoriseerde goedkeurder zou kunnen bedenken.

Behalve dat als je toevallig de waarde nul zou gebruiken, je zou slagen.

Je zou in principe de bestaande transactie van iemand anders kunnen nemen, de naam van de ontvanger met die van jou kunnen herschrijven ("Hé, betaal *mijn* cryptocurrency-portemonnee") en gewoon de transactie opnieuw afspelen.

En het systeem zal zeggen: "OK".

Je moet alleen de gegevens in het juiste formaat krijgen, dat begrijp ik.

En de gemakkelijkste manier om een ​​transactie te maken die door de beugel kan, is simpelweg de vooraf voltooide, bestaande transactie van iemand anders te nemen, deze opnieuw af te spelen, maar de naam of het rekeningnummer door te strepen en het uwe in te voeren.

Dus, als cryptocurrency-analist @samczsun zei op Twitter, "Aanvallers misbruikten dit om transacties te kopiëren en plakken en maakten de brug snel leeg in een waanzinnige free-for-all."

Met andere woorden, mensen werden gewoon gek door geld op te nemen bij de geldautomaat die iedereens bankkaart zou accepteren, op voorwaarde dat je een pincode van nul invoerde.

En niet alleen totdat de geldautomaat leeg was... de geldautomaat was in feite direct verbonden met de zijkant van de bankkluis, en het geld stroomde er gewoon uit.

---

DOUG.  Aarrrgh!

---

EEND.  Zoals je zegt, blijkbaar hebben ze in korte tijd ergens tot $ 200 miljoen verloren.

Oh jee.

---

DOUG.  Nou, we hebben wat advies, en het is vrij eenvoudig...

---

EEND.  Het enige advies dat u echt kunt geven, is: "Maak niet te veel haast om mee te doen aan deze gedecentraliseerde financiële revolutie."

Zoals we misschien al eerder hebben gezegd, zorg er dan voor dat als je *doe* deelneemt aan deze "online handel; leen ons cryptocurrency en wij betalen u rente; stop je spullen in een hot wallet zodat je binnen enkele seconden kunt handelen; stap in de hele slimme contractscene; koop mijn niet-vervangbare tokens [NFT's]" - al die dingen ...

...als je besluit dat marktplaats *is* voor jou, zorg er dan voor dat je naar binnen gaat met je ogen wijd open, niet met je ogen wijd dicht!

En de simpele reden is dat in dit soort gevallen, het niet zo is dat de boeven *sommige* geldautomaten van de bank leeg kunnen halen.

In dit geval klinkt het ten eerste alsof ze bijna alles hebben leeggezogen, en ten tweede zijn er, in tegenstelling tot conventionele banken, gewoon niet de wettelijke beschermingen die u zou genieten als een echte bank failliet zou gaan.

In het geval van gedecentraliseerde financiën, het hele idee dat het gedecentraliseerd is, en nieuw en cool is, en iets waar je je op wilt haasten ...

...is dat het *niet* deze vervelende regelgevende bescherming heeft.

Je zou kunnen, en mogelijk - omdat we hier vaker over hebben gesproken dan ik me op mijn gemak voel, echt - je zou *alles* kunnen verliezen.

En de keerzijde daarvan is dat als je dingen bent kwijtgeraakt in een of andere gedecentraliseerde financiële of "Web 3.0 gloednieuwe super-trading website"-implosie zoals deze, wees dan heel voorzichtig met mensen die langskomen die zeggen: "Hé, maak je geen zorgen. Ondanks het gebrek aan regelgeving zijn er deskundige bedrijven die uw geld terug kunnen krijgen. Het enige wat u hoeft te doen is contact opnemen met bedrijf X, individu Y of social media-account Z”.

Omdat, wanneer er een ramp van dit soort is, de secundaire oplichters vrij snel komen rennen en aanbieden om "een manier te vinden" om je geld terug te krijgen.

Er zijn tal van oplichters die rondzweven, dus wees erg op uw hoede.

Als je geld hebt verloren, doe dan niet je best om goed geld naar slecht geld te gooien (of slecht geld naar goed, wat het ook is).

---

DOUG.  Oké, daar kun je meer over lezen: Cryptocoin "token swapper" Nomad verliest $ 200 miljoen aan codeerblunder.

En als we van een van onze lezers over dit verhaal horen, schrijft een anonieme commentator, en ik ben het ermee eens ... Ik begrijp niet hoe dit werkt:

“Het verbazingwekkende is dat een online startup al zoveel te verliezen had. $ 200,000, je kunt je voorstellen. Maar 200 miljoen dollar lijkt ongelooflijk."

En ik denk dat we die vraag een beetje hebben beantwoord, maar waar komt al dit geld vandaan, om gewoon $ 200 miljoen te pakken?

---

EEND.  Ik kan daar geen antwoord op geven, Doug.

---

DOUG.  Nr.

---

EEND.  Is het dat de wereld meer goedgelovig is dan vroeger?

Is het dat er ontzettend veel onrechtmatig verkregen winsten rondklotsen in de cryptocurrency-gemeenschap?

Er zijn dus mensen die hier niet echt hun eigen geld in hebben gestopt, maar ze eindigden met een hele lading cryptovaluta op foute wijze in plaats van eerlijk. (We weten dat ransomware-betalingen over het algemeen als cryptocurrencies komen, nietwaar?)

Zodat het lijkt op grappig geld... de persoon die het "geld" verliest, heeft misschien niet vooraf contant geld gestort?

Is het gewoon een bijna religieuze ijver van de kant van mensen die zeggen: "Nee, nee, *dit* is de manier om het te doen. We moeten de wurggreep doorbreken waarop de ouderwetse, fuddy-duddy, sterk gereguleerde financiële organisaties dingen doen. We moeten loskomen van The Man'?

Ik weet het niet, misschien is 200 miljoen niet veel meer, Doug?

---

DOUG.  [LACHT] Nou, natuurlijk!

---

EEND.  Ik vermoed dat er gewoon mensen naar binnen gaan met hun ogen wijd dicht.

Ze zeggen: "Ik ben * bereid om dit risico te nemen omdat het gewoon zo cool is."

En het probleem is dat als je $ 200 of $ 2000 gaat verliezen, en je kunt het je veroorloven om het te verliezen, dat één ding is.

Maar als je voor $ 2000 bent gegaan en je denkt: "Weet je wat. Misschien moet ik voor $ 20,000 gaan?" En dan denk je: "Weet je wat. Misschien moet ik voor $ 200,000 gaan? Misschien moet ik all-in gaan?”

Dan denk ik dat je inderdaad heel voorzichtig moet zijn!

Precies om de redenen die de wettelijke beschermingen die je misschien denkt te hebben, zoals je hebt wanneer er iets ergs gebeurt met je creditcard en je belt gewoon op en betwist het en ze gaan. "OK", en ze halen die $ 52.23 van de rekening af ...

…dat gaat in dit geval niet gebeuren.

En het is onwaarschijnlijk dat het $ 52 zal zijn, het zal waarschijnlijk veel meer zijn dan dat.

Dus wees voorzichtig daar, mensen!

---

DOUG.  Pas op, inderdaad.

Oké, bedankt voor de reactie.

En als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt ons mailen op tips@sophos.com; je kunt reageren op een van onze artikelen; je kunt ons bereiken op social: @NakedSecurity.

Dat is onze show voor vandaag – heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan, tot de volgende keer om...

---

BEIDE.  Blijf veilig!

[MUZIEK MODEM]