S3 Ep111: Forretningsrisikoen ved et slemt "nakenhetsfilter" [lyd + tekst]

Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Nedbrudd, zero-days og Tik Tok-porno.

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen.

Jeg er Doug Aamoth; han er Paul Ducklin.

Paul, unnskyld stemmen min.

Jeg er sykelig, men jeg føler meg mentalt skarp!

---

AND.  Utmerket, Doug.

Nå håper jeg du har hatt en fin uke fri, og jeg håper du har hatt en flott Black Fridaying.

---

DOUG.  Jeg har for mange barn til å gjøre noe hyggelig… de er for små.

Men vi fikk et par ting på Black Friday over internett.

For, jeg vet ikke, jeg kan ikke huske sist jeg har vært i en butikk, men en av disse dagene skal jeg komme meg tilbake.

---

AND.  Jeg trodde du var over Black Friday, helt siden du ble stoppet for en Nintendo Wii på 18-tallet, Doug?

---

DOUG.  Det er sant, ja.

Det var å waggle opp foran køen og noen damer som sa «Du trenger en billett», så hvor lang køen var og sa «OK, dette er ikke noe for meg.»

---

AND.  [LAGER] Billetten var antagelig bare for å komme *inn i* køen... så ville du finne ut om de faktisk hadde noen igjen.

---

DOUG.  Ja, og det gjorde de ikke... spoiler!

---

AND.  «Sir er bare med i forhåndskøen.»

---

DOUG.  Ja.

Så jeg hadde ikke lyst til å slåss med en haug med mennesker.

Alle de bildene du ser på nyhetene ... det vil aldri være meg.

Vi liker å starte forestillingen med Denne uken i teknisk historie segment, og vi har en dobbel funksjon denne uken, Paul.

Den 28. november 1948 ble Polaroid Land Camera Model 95 i salg på varehuset Jordan Marsh her i Boston.

Det var det første kommersielle øyeblikkelig kamera, tilbake i 1948.

Og så en dag (og flere år) senere, 29. november 1972, introduserte Atari sitt første produkt, et lite spill kalt PONG.

---

AND.  Da du kunngjorde din intensjon om å kunngjøre Landkameraet som Teknisk historie, tenkte jeg... "Det var 1968".

Kanskje litt tidligere - kanskje på slutten av 1950-tallet, en slags "Sputnik-æra".

1948, ikke sant?

Wow!

Flott miniatyrisering for den tiden.

Hvis du tenker på hvor store datamaskiner fortsatt var, var det ikke bare det at de trengte rom, de trengte sine egne store bygninger!

Og her var dette nesten magiske kameraet – kjemien i hånden din.

Broren min hadde en slik da jeg var liten, og jeg husker at jeg ble helt overrasket over den.

Men ikke så overrasket, Doug, som han var da han fant ut at jeg hadde tatt et par bilder overflødig, bare for å se hvordan det fungerte.

Fordi, selvfølgelig, betalte han for filmen [LATER].

Som ikke er fullt så billig som filmen i vanlige kameraer.

---

DOUG.  Nei herre!

Vår første historie er en annen historie av historisk type.

Dette var juletreormen i 1987, også kjent som CHRISTMA EXEC, som ble skrevet på REXX-skriptspråket:

CHRISTMA EXEC-nettverksormen – 35 år og teller!

REXX... Jeg hadde aldri hørt om dette før.

Det tegnet et juletre av ASCII-kunst og spredte seg via e-post, og forårsaket massiv forstyrrelse av stormaskiner over hele verden, og var en slags forløper til Jeg elsker deg virus som rammet IBM PC-er.

---

AND.  Jeg tror mange mennesker undervurderte både omfanget av IBMs nettverk på 1980-tallet, og kraften til tilgjengelige skriptspråk, som REXX.

Du skriver programmet som ren gammel tekst – du trenger ikke en kompilator, det er bare en fil.

Og hvis du navngir filnavnet åtte tegn, altså CHRISTMA, ikke CHRISTMAS (selv om du kan *skrive* CHRISTMAS, fordi det ville bare ignorere -S)...

…og hvis du ga filnavnet utvidelsen EXEC (altså: CHRISTMA [mellomrom] EXEC), så når du skrev ordet "Christmas" på kommandolinjen, ville det kjøre.

Det burde vært et varselskudd på tvers av alle buene våre, men jeg tror det føltes som et lite glimt i pannen.

Inntil et år senere...

…så kom Internett-ormen, Doug, som selvfølgelig angrep Unix-systemer og spredte seg vidt og bredt:

Minner om Internett-ormen – 25 år senere

Og da tror jeg vi alle skjønte: "Åh, denne virus-og-ormer-scenen kan bli ganske plagsom."

Så, ja, CHRISTMA EXEC ... veldig, veldig enkelt.

Den satte virkelig opp et juletre, og det var ment å være distraksjonen.

Du så på juletreet, så du la sannsynligvis ikke merke til alle de små skiltene nederst på IBM 3270-terminalen som viser all systemaktivitet, før du begynte å motta disse juletremeldingene tilbake fra dusinvis av mennesker.

[LATTER]

Og slik fortsatte det, videre og videre og videre.

"En veldig god jul og mine beste ønsker for det neste året", stod det, alt i ASCII-kunst, eller kanskje jeg burde si EBCDIC-kunst.

Det er en kommentar øverst i kildekoden: "La denne EXEC-en løpe og kos deg".

Og litt lenger nede er det en lapp som sier: «Å bla gjennom denne filen er ikke noe gøy i det hele tatt.»

Noe som åpenbart er helt sant hvis du ikke er programmerer.

Og under står det: "Bare skriv jul fra ledeteksten."

Så, akkurat som moderne makro-malware som sier til brukeren, "Hei, makroer er deaktivert, men for din "ekstra sikkerhet" må du slå dem på igjen... hvorfor ikke klikke på knappen? Det er mye enklere på den måten."

For 35 år siden [LAUGHS], hadde forfattere av malware allerede funnet ut at hvis du ber brukere pent om å gjøre noe som ikke er i deres interesse, vil noen av dem, muligens mange av dem, gjøre det.

Når du hadde autorisert den, var den i stand til å lese filene dine, og fordi den kunne lese filene dine, kunne den hente listen over alle personene du vanligvis korresponderte med fra de såkalte kallenavnene eller NAMES-filen, og sprengte seg selv til alle sammen.

---

DOUG.  Jeg sier ikke at jeg savner denne gangen, men det var noe merkelig trøstende for 20 år siden, som startet Hotmail og så hundrevis av e-poster fra folk som hadde meg i kontaktlisten deres...

... og bare *vite* at noe var på gang.

Som, "Det er en orm som går rundt, helt klart", fordi jeg bare får en flom av e-poster fra folk her.

---

AND.  Folk du aldri hadde hørt fra på et par år... plutselig var de over hele postkassen din!

---

DOUG.  OK, la oss gå rett videre til det nye, til det moderne …

…og denne TikTok "Usynlige utfordringen":

TikTok "Invisible Challenge" porno malware setter oss alle i fare

Som i utgangspunktet er et filter på TikTok som du kan bruke som får deg til å virke usynlig ... så selvfølgelig var det første folk gjorde: "Hvorfor tar jeg ikke av meg alle klærne og ser om det virkelig gjør meg usynlig?"

Og så, selvfølgelig, er en haug med svindlere som: "La oss legge ut noe falsk programvare som vil 'usynlige' nakne mennesker."

Har jeg rett til det?

---

AND.  Ja, dessverre, Doug, det er det lange og korte av det.

Og dessverre viste det seg å være et veldig attraktivt lokkemiddel for et betydelig antall mennesker på nettet.

Du er invitert til å bli med på denne Discord-kanalen for å finne ut mer ... og for å komme i gang, vel, må du like GitHub-siden.

Så det er all denne selvoppfyllende profetien...

---

DOUG.  Den delen av det er (jeg hater å bruke B-ordet [genialt])... det aspektet av det er nesten B-ord-verdig fordi du legitimerer dette illegitime prosjektet, bare ved at alle stemmer på det.
.

---

AND.  Absolutt!

«Stem opp det først, og *så* forteller vi deg alt om det, fordi det åpenbart kommer til å bli bra, fordi 'gratis porno'.»

Og prosjektet i seg selv er en pakke med løgner – det kobles bare gjennom til andre depoter (og det er ganske normalt i forsyningskjeden med åpen kildekode)... de ser ut som legitime prosjekter, men de er i bunn og grunn kloner av legitime prosjekter med ett linje endret som kjører under installasjonen.

Som er et stort rødt flagg, forresten, som selv om dette ikke hadde det sleipe "kle av folk som aldri hadde tenkt det" porno-temaet i seg.

Du kan ende opp med legitim programvare, genuint installert fra GitHub, men prosessen med å gjøre installasjonen, tilfredsstille alle avhengigheter, hente alle bitene du trenger ... *den* prosessen er det som introduserer skadelig programvare.

Og det var akkurat det som skjedde her.

Det er en linje med uklar Python; når du deobfuskerer det, er det i bunn og grunn en nedlaster som går og henter litt mer Python, som er superkryptert, så det er slett ikke åpenbart hva det gjør.

Ideen er i hovedsak at skurkene kan installere hva de vil, fordi den nedlasteren går til et nettsted som skurkene kontrollerer, slik at de kan laste ned alt de vil.

Og det ser ut som om den primære skadevaren som skurkene ønsket å distribuere (selv om de kunne ha installert hva som helst) var en data-tyvende trojaner basert på, tror jeg, et prosjekt kjent som WASP...

…som i utgangspunktet går etter interessante filer på datamaskinen din, spesielt inkludert ting som kryptomynt-lommebøker, lagrede kredittkort, og viktigere (du har sikkert gjettet hvor dette går!) Discord-passordet ditt, Discord-legitimasjonen din.

Og vi vet hvorfor skurker elsker sosiale medier og passord for direktemeldinger.

Fordi når de får passordet ditt, og de kan nå direkte til vennene dine, familien din og arbeidskollegene dine i en lukket gruppe...

…det er så mye mer troverdig at de må få en mye bedre suksessrate i å lokke inn nye ofre enn de gjør med spray-og-be-ting som e-post eller SMS.

---

DOUG.  OK, vi vil holde et øye med det – det utvikler seg fortsatt.

Men noen gode nyheter, endelig: denne "Cryptorom"-svindel, som er en krypto-/romantikk-svindel ...

…vi har noen arrestasjoner, store arrestasjoner, ikke sant?

Multimillion dollar CryptoRom-svindelsider beslaglagt, mistenkte arrestert i USA

---

AND.  Ja.

Dette ble annonsert av det amerikanske justisdepartementet [DOJ]: syv nettsteder knyttet til såkalte Cryptorom-svindlere ble tatt ned.

Og den rapporten kobler også til det faktum at, jeg tror, ​​11 personer nylig ble arrestert i USA.

Nå, Cryptorom, det er et navn som SophosLabs-forskere ga til denne spesielle nettkriminalitetsordningen fordi den, som du sier, harmonerer med tilnærmingen brukt av romantikksvindlere (dvs. slå deg opp på en datingside, lag en falsk profil, bli venner med deg) med kryptovaluta-svindel.

I stedet for «Hei, jeg vil at du skal bli forelsket i meg; la oss gifte oss; send meg nå penger for visumet" slags svindel...

… skurkene sier: «Vel, kanskje vi ikke kommer til å bli en gjenstand, men vi er fortsatt gode venner. [DRAMATISK STEMME] Har jeg en investeringsmulighet for deg!»

Så det føles plutselig som om det kommer fra noen du kan stole på.

Det er en svindel som innebærer å overtale deg til å installere en off-market app, selv om du har en iPhone.

«Det er fortsatt i utvikling; det er så nytt; du er så viktig; du har rett i kjernen av det. Det er fortsatt under utvikling, så registrer deg for TestFlight, betaprogrammet.»

Eller de sier: «Å, vi publiserer det bare til folk som blir med i virksomheten vår. Så gi oss mobilenhetsadministrasjon (MDM) kontroll over telefonen din, og så kan du installere denne appen. [SECRETIVE VOICE} Og ikke fortell det til noen. Det kommer ikke til å være i appbutikken; du er spesiell."

Og selvfølgelig ser appen ut som en app for handel med kryptovaluta, og den er støttet av søte grafer som bare merkelig nok fortsetter å gå opp, Doug.

Investeringene dine går aldri ned... men det hele er en pakke med løgner.

Og så, når du vil ha pengene dine ut, vel (typisk Ponzi eller pyramide-triks), noen ganger lar de deg ta ut litt penger ... du tester, så du trekker deg litt, og du får det tilbake.

Selvfølgelig gir de deg bare pengene du allerede har satt inn tilbake, eller noe av det.

---

DOUG.  [SAD] Ja.

---

AND.  Og da øker investeringene dine!

Og så er de over deg: «Tenk om du ikke har trukket ut de pengene? Hvorfor legger du ikke pengene tilbake? Hei, vi vil til og med låne deg litt mer penger; vi legger noe med deg. Og hvorfor ikke få vennene dine inn? For noe stort kommer!»

Så du legger inn pengene, og noe stort skjer, som at prisen stiger, og du sier: "Wow, jeg er så glad jeg reinvesterte pengene som jeg trakk ut!"

Og du tenker fortsatt, "Det faktum at jeg kunne ha trukket det må bety at disse menneskene er legitime."

Selvfølgelig er de ikke det – det er bare en større pakke med løgner enn det var i starten.

Og så, når du endelig tenker: "Jeg bør ta ut penger", er det plutselig alle slags problemer.

"Vel, det er en skatt," Doug, "det er en statlig kildeskatt."

Og du sier: "OK, så jeg skal ha 20 % kuttet av toppen."

Så er historien: "Faktisk, nei, det er ikke *teknisk* en kildeskatt." (Det er der de bare tar pengene ut av summen og gir deg resten)

"Egentlig er kontoen din *frosset*, så regjeringen kan ikke holde tilbake pengene."

Du må betale inn skatten... så får du hele beløpet tilbake.

---

DOUG.  Å, Gud!

---

AND.  Du burde lukte en rotte på dette tidspunktet ... men de er over deg; de presser deg; de luker; hvis ikke luke, sier de deg: «Vel, du kan få problemer. Regjeringen kan være ute etter deg!»

Folk legger inn 20%, og så, som jeg skrev [i artikkelen], håper jeg å ikke frekt: GAME OVER, SETT INN MYNT FOR Å BEGYNNE NYTT SPILL.

Faktisk kan du da bli kontaktet etterpå av noen som bare mirakuløst, Doug, sier: "Hei, har du blitt svindlet av Cryptorom-svindel? Vel, jeg undersøker, og jeg kan hjelpe deg med å få pengene tilbake.»

Det er en forferdelig ting å være i, fordi det hele starter med "rom" [romantikk]-delen.

De er faktisk ikke ute etter romantikk, men de *er* ute etter nok vennskap til at du føler du kan stole på dem.

Så du går faktisk inn i noe "spesielt" - det er derfor vennene dine og familien ikke ble invitert.

---

DOUG.  Vi har snakket om denne historien flere ganger før, inkludert rådene, som er i artikkelen her.

Demontering [hovedelement] i rådkolonnen er: Lytt åpent til venner og familie hvis de prøver å advare deg.

Psykologisk krigføring, som det var!

---

AND.  Faktisk.

Og nest sist er også en å huske: Ikke la deg lure fordi du går til en svindlers nettsted og det ser akkurat ut som den virkelige avtalen.

Du tenker: "Golly, hadde de virkelig råd til å betale profesjonelle webdesignere?"

Men hvis du ser på hvor mye penger disse gutta tjener: [A] ja, det kan de, og [B] de trenger egentlig ikke det.

Det er mange verktøy der ute som bygger visuelt vennlige nettsteder av høy kvalitet med sanntidsgrafer, sanntidstransaksjoner, magisk utseende, vakre nettskjemaer ...

---

DOUG.  Akkurat.

Det er faktisk veldig vanskelig å lage en *dårlig* nettside i dag.

Du må prøve ekstra hardt!

---

AND.  Den vil ha et HTTPS-sertifikat; det vil ha et legitimt nok utseende domenenavn; og selvfølgelig, i dette tilfellet, er det kombinert med en app *som vennene dine ikke kan sjekke ut for deg ved å laste ned selv* fra App Store og si: "Hva i all verden tenkte du?"

Fordi det er en "hemmelig spesiell app", gjennom "superspesielle" kanaler, som bare gjør det lettere for skurkene å lure deg ved å se mer enn bra nok ut.

Så pass på, folkens!

---

DOUG.  Ha det fint!

Og la oss holde oss til temaet nedbrytninger.

Dette er nok et stort angrep – denne historien er veldig spennende for meg, så jeg er interessert i å høre hvordan du nøster opp:

Stemmesvindelside «iSpoof» beslaglagt, 100-tallet arrestert i massiv aksjon

Dette er en stemmesvindelside som ble kalt iSspoof ... og jeg er sjokkert over at den fikk lov til å operere.

Dette er ikke en darkwebside, dette er på det vanlige nettet.

---

AND.  Jeg antar at hvis alt nettstedet ditt gjør er, "Vi vil tilby deg Voice Over IP-tjenester [VoIP] med en kul verdi som inkluderer å sette opp dine egne ringenumre"...

…hvis de ikke åpent sier: "Det primære målet med dette er å bekjempe nettkriminalitet", kan det hende at det ikke er noen juridisk forpliktelse for vertsselskapet til å fjerne nettstedet.

Og hvis du er vert for det selv, og du er kjeltringen ... jeg antar at det er ganske vanskelig.

Det måtte til slutt en rettskjennelse til, anskaffet av FBI, tror jeg, og henrettet av justisdepartementet, for å gå og kreve disse domenene og legge opp [en melding som sa] "Dette domenet har blitt beslaglagt."

Så det var en ganske langvarig operasjon, som jeg forstår, bare å prøve å komme bak dette.

Problemet her er at det gjorde det veldig enkelt for deg å starte opp en svindeltjeneste der, når du ringer noen, ville telefonen deres dukke opp med navnet på High Street-banken som de selv hadde skrevet inn i telefonkontaktlisten, striagh off *bankens egen nettside*.

Fordi det dessverre er liten eller ingen autentisering i protokollen for oppringer-ID eller nummeridentifikasjon.

De numrene som dukker opp før du svarer på anropet?

De er ikke bedre enn hint, Doug.

Men dessverre tar folk dem som en slags evangeliesannhet: «Det står at det er banken. Hvordan kunne noen forfalske det? Det MÅ være banken som ringer meg.»

Ikke nødvendigvis!

Hvis du ser på antall samtaler som ble foretatt... hva var det, tre og en halv million i Storbritannia alene?

10 millioner i hele Europa?

Jeg tror det var tre og en halv million samtaler de foretok; 350,000 XNUMX av disse ble besvart og varte deretter i mer enn ett minutt, noe som tyder på at personen begynte å tro på hele spoofingen.

Så: "Overfør penger til feil konto", eller "Les opp din tofaktorautentiseringskode", eller "La oss hjelpe deg med ditt tekniske problem – la oss starte med å installere TeamViewer", eller hva som helst.

Og til og med å bli invitert av skurkene: "Sjekk nummeret hvis du ikke tror meg!"

---

DOUG.  Det leder oss til et spørsmål som jeg hadde hele tiden å lese denne artikkelen, og det samsvarer fint med leserkommentaren vår for uken.

Leser Mahnn kommenterer: "Telekomselskapene bør få en god del av skylden for å tillate forfalskning på nettverket deres."

Så, i den ånden, Paul, er det noe teleselskaper kan gjøre for å stoppe dette?

---

AND.  Spennende nok sa den neste kommentatoren (takk, John, for denne kommentaren!) "Jeg skulle ønske du hadde nevnt to ting som heter RØR og RIST."

Dette er amerikanske initiativ – fordi dere elsker bakronymene deres, liker dere ikke CAN-SPAM Act?

---

DOUG.  Vi gjør!

---

AND.  Så, RØR er "sikker telefonidentitet besøkes på nytt".

Og SHAKEN står tilsynelatende for (ikke skyt meg, jeg er bare budbringeren, Doug!)... hva er det, "signaturbasert håndtering av påstått informasjon ved bruk av tokens".

Så det er i grunnen som å si: "Vi ble endelig vant til å bruke TLS/HTTPS for nettsteder."

Det er ikke perfekt, men det gir i det minste et mål slik at du kan bekrefte sertifikatet hvis du vil, og det stopper bare hvem som helst som utgir seg for å være hvem som helst, når som helst de vil.

Problemet er at dette bare er initiativer, så vidt jeg vet.

Vi har teknologien til å gjøre dette, i det minste for internetttelefoni...

…men se hvor lang tid det tok oss å gjøre noe så enkelt som å få HTTPS på nesten alle nettstedene i verden.

Det var et stort tilbakeslag mot det.

---

DOUG.  Ja!

---

AND.  Og ironisk nok kom det ikke fra tjenesteleverandørene.

Det kom fra folk som sa: «Vel, jeg driver et lite nettsted, så hvorfor skulle jeg måtte bry meg om dette? Hvorfor skal jeg bry meg?"

Så jeg tror det kan gå mange år før det er noen sterk identitet knyttet til innkommende telefonsamtaler...

---

DOUG.  OK, så det kan ta en stund, [WRYLY], men som du sier, vi har valgt våre akronymer, som er et veldig viktig første skritt.

Så, vi har fått det ut av veien ... og vi får se om dette tar form etter hvert.

Så takk, Mahnn, for at du sendte det inn.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @NakedSecurity.

Det er showet vårt for i dag; tusen takk for at du lyttet.

For Paul Ducklin er jeg Doug Aamoth, og minner deg på: Til neste gang …

---

BÅDE.  Hold deg trygg.

[MUSIKK MODEM]