S3 Odc92: Log4Shell4Ever, porady dotyczące podróży i oszustwo [Audio + Text]

Kliknij i przeciągnij poniższe fale dźwiękowe, aby przejść do dowolnego punktu. Również możesz słuchaj bezpośrednio na Soundcloudzie.

DOUG.  Oszustwa na Facebooku, Log4Shell na zawsze i wskazówki dotyczące cyberbezpiecznego lata.

Wszystko to i wiele więcej w podkaście Naked Security.

[MOM MUZYCZNY]

Witam wszystkich w podkaście.

Jestem Doug Aamoth, a ze mną, jak zawsze, jest Paul Ducklin.

Jak się masz, Paul?

---

KACZKA.  Jestem super-głupcem, Douglas.

Tu w Anglii zaczyna się trochę ochładzać.

---

DOUG.  Tak.

---

KACZKA.  Myślę, że wybrałem zły dzień na fajną przejażdżkę rowerową.

To był taki dobry pomysł, kiedy zacząłem: „Wiem, pojadę długo, a potem po prostu dojadę pociągiem do domu, więc jestem w domu i mam mnóstwo czasu na podcast”.

A kiedy tam dotarłem, z powodu ekstremalnego upału, pociągi kursowały tylko raz na dwie godziny, a ja właśnie spóźniłem się na jeden.

Musiałem więc jechać z powrotem… i po prostu zdążyłem.

---

DOUG.  OK, proszę bardzo… ty i ja jesteśmy w pełnym rozkwicie lata i mamy kilka wskazówek na nadchodzące lato w dalszej części serialu.

Ale najpierw chciałbym o tym porozmawiać W tym tygodniu w historii technologii.

W tym tygodniu, w 1968 roku, firma Intel została założona przez Gordona Moore'a (ten z prawa Moore'a) i Roberta Noyce'a.

Noyce jest uznawany za pioniera układu scalonego, czyli mikroczipa.

Pierwszym mikroprocesorem Intela był 4004, który był używany w kalkulatorach.

I… Śmieszny fakt, nazwa Intel jest mieszanką INTegrated ELEctronics.

Więc… ta firma wyszła całkiem nieźle.

---

KACZKA.  Tak!

Myślę, że szczerze mówiąc, może powiedziałbyś: „Współpionier”?

---

DOUG.  TAk. Miałem: „Pionier”.

---

KACZKA.  Jack Kilby z Texas Instruments, jak sądzę, wymyślił pierwszy układ scalony, ale nadal wymagał połączenia części układu.

Noyce rozwiązał problem, jak upiec je wszystkie w silikonie.

Właściwie uczestniczyłem w przemówieniu Jacka Kilburna, kiedy byłem świeżo upieczonym informatykiem.

Absolutnie fascynujące – badania w Ameryce w latach 1950.!

I oczywiście Kilby otrzymał słynną Nagrodę Nobla, myślę, że w 2000 roku.

Ale jestem pewien, że Robert Noyce byłby wspólnym zwycięzcą, ale do tego czasu już umarł, a pośmiertnie nie można dostać Nagrody Nobla.

Tak więc Noyce nigdy nie dostał Nagrody Nobla, tak jak Jack St. Clair Kilby.

---

DOUG.  Cóż, to było dawno temu…

…i za jakiś czas będziemy mogli nadal mówić o Log4Shell…

---

KACZKA.  Och, kochanie, tak.

---

DOUG.  Nawet jeśli jest na to rozwiązanie, Stany Zjednoczone ujawniły się i powiedziały, że mogą minąć dziesięciolecia, zanim to się stanie faktycznie naprawiony.

---

KACZKA.  Bądźmy sprawiedliwi… powiedzieli: „Być może dekadę lub dłużej”.

To jest ciało zwane Rada ds. Przeglądu Cyberbezpieczeństwa, CSRB (część Departamentu Bezpieczeństwa Wewnętrznego), która powstała na początku tego roku.

Nie wiem, czy powstało specjalnie z powodu Log4Shell, czy po prostu dlatego, że problemy z kodem źródłowym łańcucha dostaw stają się poważną sprawą.

I prawie osiem miesięcy po tym, jak pojawił się Log4Shell, stworzyli ten raport, który ma 42 strony… samo streszczenie zajmuje prawie 3 strony.

I kiedy pierwszy raz na to spojrzałem, pomyślałem: „Och, zaczynamy”.

Niektórym urzędnikom powiedziano: „No dalej, gdzie twój raport? Jesteś komisją przeglądową. Opublikuj lub zgiń!"

Właściwie, chociaż niektóre z nich są rzeczywiście ciężkie, myślę, że powinieneś to przeczytać.

Wrzucają kilka rzeczy o tym, jak jako producent oprogramowania, jako twórca oprogramowania, jako firma dostarczająca rozwiązania programowe innym ludziom, nie jest tak trudno nawiązać kontakt, aby ludzie mogli dać ci znać, gdy coś się dzieje. przeoczyłeś.

Na przykład: „W twoim kodzie wciąż jest wersja Log4J, której nie zauważyłeś z najlepszą wolą na świecie i nie naprawiłeś”.

Dlaczego nie chcesz, aby ktoś, kto próbuje Ci pomóc, mógł Cię łatwo znaleźć i skontaktować się z Tobą?

---

DOUG.  I mówią takie rzeczy jak… ten pierwszy to rodzaj stawek przy stole, ale jest dobry dla każdego, zwłaszcza dla mniejszych firm, które o tym nie pomyślały: Opracuj spis zasobów i aplikacji, aby wiedzieć, co i gdzie działa.

---

KACZKA.  Nie grożą tym ani nie twierdzą, ponieważ to nie ci urzędnicy państwowi tworzą prawa (to zależy od władzy ustawodawczej)… ale myślę, że to, co mówią, to: „Rozwijaj tę zdolność, bo jeśli tego nie zrobisz , albo nie mogłeś się niepokoić, albo nie wiesz, jak to zrobić, albo myślisz, że Twoi klienci nie zauważą, w końcu może się okazać, że nie masz wyboru lub nie masz go wcale!”

Zwłaszcza jeśli chcesz sprzedawać produkty rządowi federalnemu! [ŚMIECH]

---

DOUG.  Tak, i rozmawialiśmy o tym wcześniej… kolejna rzecz, o której niektóre firmy mogły jeszcze nie pomyśleć, ale która jest ważna: program reagowania na podatności.

Co się stanie, jeśli masz lukę w zabezpieczeniach?

Jakie kroki podejmujesz?

Jaki jest plan gry, który stosujesz, aby rozwiązać te problemy?

---

KACZKA.  Tak, do tego nawiązywałem wcześniej.

Prostą częścią tego jest to, że po prostu potrzebujesz łatwego sposobu, aby ktoś dowiedział się, dokąd wysyła raporty w Twojej organizacji… a następnie musisz zobowiązać się, wewnętrznie jako firma, że ​​gdy otrzymasz raporty, faktycznie będziesz działać na nich.

Tak jak powiedziałem, wyobraźcie sobie, że macie ten duży zestaw narzędzi Java, który sprzedajecie, dużą aplikację z wieloma komponentami, a w jednym z systemów zaplecza jest ta wielka rzecz z Javą.

A tam wyobraź sobie, że wciąż jest podatny Log4J .JAR plik, który przeoczyłeś.

Dlaczego nie miałbyś chcieć, aby osoba, która to odkryła, mogła Ci szybko i łatwo powiedzieć, nawet za pomocą prostego e-maila?

Ile razy wchodzisz na Twittera i widzisz znanych badaczy cyberbezpieczeństwa mówiących: „Hej, czy ktoś wie, jak skontaktować się z XYZ Corp?”

Czy nie mieliśmy w podcastie przypadku faceta, który w końcu… Myślę, że poszedł na TikTok lub coś w tym rodzaju [ŚMIECH], ponieważ on nie mogłem się dowiedzieć jak skontaktować się z tą firmą.

Nakręcił film, w którym powiedział: „Hej, wiem, że uwielbiacie swoje filmy w mediach społecznościowych, po prostu próbuję wam o tym opowiedzieć”.

I w końcu to zauważyli.

Gdyby tylko mógł udać się na przykład do twojej firmy DOT com SLASH security DOT txt i znaleźć adres e-mail!

„Właśnie tam wolelibyśmy, żebyś się z nami skontaktował. Lub robimy nagrody za błędy za pośrednictwem tego programu… oto jak się do niego zarejestrować. Jeśli chcesz otrzymać zapłatę.

To nie takie trudne!

A to oznacza, że ​​ktoś, kto chce cię uprzedzić, że masz błąd, o którym być może myślałeś, że naprawiłeś, może ci powiedzieć.

---

DOUG.  Uwielbiam zsiadanie w tym artykule!

Piszesz i przekazujesz kanał Johnowi F. Kennedy'emu, mówiąc [GŁOS KENNEDY'EGO] „Nie pytaj, co wszyscy mogą dla ciebie zrobić, ale zastanów się, co możesz zrobić dla siebie, ponieważ wszelkie ulepszenia, które wprowadzisz, prawie na pewno przyniosą korzyści wszystkim innym. ”

W porządku, to jest na stronie, jeśli chcesz o tym przeczytać… jest to wymagane, jeśli jesteś w jakiejkolwiek sytuacji, w której masz do czynienia z jedną z tych rzeczy.

To dobra lektura… przynajmniej przeczytaj trzystronicowe podsumowanie, jeśli nie 42-stronicowy raport.

---

KACZKA.  Tak, jest długa, ale wydała mi się zaskakująco przemyślana i byłam bardzo mile zaskoczona.

I pomyślałem, że jeśli ludzie to przeczytają, a przypadkowi ludzie wezmą sobie do serca losową jedną dziesiątą tego…

…powinniśmy wspólnie znaleźć się w lepszym miejscu.

---

DOUG.  W porządku, ruszam dalej.

To sezon wakacyjny i często wiąże się to z zabraniem ze sobą gadżetów.

Mamy jedne wskazówki dotyczące przyjemności Twoje letnie wakacje bez, errr, „nie cieszenia się” nimi.

---

KACZKA.  „Ile gadżetów powinniśmy zabrać? [DRAMATIC] Spakuj je wszystkie!”

Niestety, im więcej bierzesz, tym większe ryzyko, mówiąc luźno.

---

DOUG.  Twoja pierwsza wskazówka jest taka, że ​​pakujesz wszystkie gadżety… czy przed wyruszeniem powinieneś zrobić kopię zapasową?

Zgadywanie odpowiedzi brzmi: „Tak!”

---

KACZKA.  Myślę, że to całkiem oczywiste.

Wszyscy wiedzą, że powinieneś zrobić kopię zapasową, ale odkładają to.

Pomyślałem więc, że to okazja, by wykrztusić naszą małą maksymę, truizm: „Jedyną kopię zapasową, której będziesz żałować, to ta, której nie zrobiłeś”.

A druga rzecz dotycząca upewnienia się, że utworzyłeś kopię zapasową urządzenia – niezależnie od tego, czy jest to konto w chmurze, z którego się wylogujesz, czy też dysk wymienny, który zaszyfrujesz i umieścisz gdzieś w szafce – oznacza to, że może usunąć Twój cyfrowy ślad na urządzeniu.

Dowiemy się, dlaczego to może być dobry pomysł… żeby nie mieć przy sobie całego swojego cyfrowego życia i historii.

Chodzi o to, że mając dobrą kopię zapasową, a następnie przerzedzając to, co faktycznie masz w telefonie, jest mniej problemów, jeśli je zgubisz; jeśli zostanie skonfiskowany; jeśli urzędnicy imigracyjni chcą się temu przyjrzeć; cokolwiek to jest.

---

DOUG.  I, co jest nieco związane z poruszaniem się, możesz stracić laptopa lub telefon komórkowy… więc powinieneś zaszyfrować te urządzenia.

---

KACZKA.  Tak.

Obecnie większość urządzeń jest domyślnie szyfrowana.

Z pewnością dotyczy to Androida; z pewnością dotyczy to iOS; I myślę, że kiedy dostajesz laptopy z systemem Windows, BitLocker jest tam.

Nie jestem użytkownikiem systemu Windows, więc nie jestem pewien… ale na pewno, nawet jeśli masz system Windows Home Edition (co irytująco i mam nadzieję, że zmieni się to w przyszłości, irytująco nie pozwoli ci korzystać z funkcji BitLocker na dyskach wymiennych) … umożliwia korzystanie z funkcji BitLocker na dysku twardym.

Dlaczego nie?

Ponieważ oznacza to, że jeśli go zgubisz, zostanie skonfiskowany, twój laptop lub telefon zostanie skradziony, to nie jest tylko przypadek, że oszust otwiera laptopa, odłącza dysk twardy, podłącza go do innego komputera i odczytuje z niego wszystko , właśnie tak.

Dlaczego nie podjąć środków ostrożności?

I, oczywiście, w telefonie, zwykle dlatego, że jest wstępnie zaszyfrowany, klucze szyfrowania są wstępnie generowane i chronione przez kod blokady.

Nie idź: „Cóż, będę w drodze, mogę być pod presją, może będę potrzebować w pośpiechu… po prostu użyję 1234 or 0000 na czas wakacji.”

Nie rób tego!

Kod blokady w telefonie zarządza rzeczywistymi kluczami pełnego szyfrowania i odszyfrowywania danych w telefonie.

Więc wybierz długi kod blokady… polecam dziesięć cyfr lub więcej.

Ustaw go i ćwicz używanie go w domu przez kilka dni, przez tydzień przed wyjazdem, aż stanie się drugą naturą.

Nie odchodź, 1234 jest wystarczająco dobry, lub „Och, będę miał długi kod blokady… pójdę 0000 0000, to jest *osiem* postaci, nikt nigdy o tym nie pomyśli!”

---

DOUG.  OK, a to jest naprawdę interesujące: masz kilka rad na temat osób przekraczających granice państwowe.

---

KACZKA.  Tak, w dzisiejszych czasach stało się to problemem.

Ponieważ wiele krajów – myślę, że wśród nich są Stany Zjednoczone i Wielka Brytania, ale w żadnym wypadku nie są one jedynymi – może powiedzieć: „Słuchaj, chcemy rzucić okiem na twoje urządzenie. Czy mógłbyś go otworzyć, proszę?

A Ty mówisz: „Nie, oczywiście, że nie! To prywatne! Nie masz do tego prawa!”

Cóż, może tak, a może nie… jeszcze nie jesteś w kraju.

To „Moja kuchnia, Moje zasady”, więc mogą powiedzieć: „OK, w porządku, *masz* pełne prawo odmówić… ale wtedy *my* odmówimy ci przyjęcia. Poczekaj tutaj w hali przylotów, aż przeniesiemy Cię do hali odlotów, aby dostać się na następny lot do domu!”

Zasadniczo nie martw się o to, co się wydarzy, np. „Mogę być zmuszony do ujawnienia danych na granicy”.

*Sprawdź*, jakie są warunki wjazdu… zasady dotyczące prywatności i nadzoru w kraju, do którego się wybierasz.

A jeśli naprawdę ich nie lubisz, to nie idź tam! Znajdź inne miejsce, do którego możesz się udać.

Lub po prostu wjedź do kraju, powiedz prawdę i zmniejsz swój cyfrowy ślad.

Tak jak mówiliśmy z kopią zapasową… im mniej rzeczy „cyfrowego życia” nosisz ze sobą, tym mniej może się pomylić i tym mniej prawdopodobne jest, że je zgubisz.

Więc „Bądź przygotowany” jest tym, o czym mówię.

---

DOUG.  OK, i to jest dobre: ​​publiczna sieć Wi-Fi, czy jest bezpieczna czy niebezpieczna?

To zależy, jak sądzę?

---

KACZKA.  Tak.

Wiele osób mówi: „O rany, jeśli korzystasz z publicznego Wi-Fi, jesteś zgubiony!”

Oczywiście wszyscy od lat korzystamy z publicznego Wi-Fi.

Nie znam nikogo, kto przestałby go używać ze strachu przed zhakowaniem, ale wiem, że ludzie mówią: „Cóż, wiem, jakie jest ryzyko. Ten router mógł należeć do kogokolwiek. Może mieć na nim jakichś oszustów; może mieć pozbawionego skrupułów operatora kawiarni; lub może po prostu ktoś zhakował go, który był tu na wakacjach w zeszłym miesiącu, ponieważ uważał to za strasznie zabawne, a dane wyciekają, ponieważ „ha ha ha”.

Ale jeśli używasz aplikacji, które mają szyfrowanie typu end-to-end i korzystasz ze stron korzystających z protokołu HTTPS, które są szyfrowane metodą end-to-end między Twoim urządzeniem a drugim końcem, istnieją znaczne ograniczenia co może ujawnić nawet całkowicie zhakowany router.

Ponieważ każde złośliwe oprogramowanie wszczepione przez poprzedniego użytkownika zostanie wszczepione do *routera*, a nie *Twojego urządzenia*.

---

DOUG.  OK, dalej… to, co uważam za komputerową wersję rzadko sprzątanych publicznych toalet.

Czy powinienem używać komputerów kioskowych na lotniskach lub w hotelach?

Pomijając cyberbezpieczeństwo… tylko tyle osób, które położyły ręce na tej brudnej, brudnej klawiaturze i myszy!

---

KACZKA.  Dokładnie.

To jest druga strona pytania „Czy powinienem korzystać z publicznego Wi-Fi?”

Czy powinienem używać komputera Kkiosk np. w hotelu czy na lotnisku?

Duża różnica między routerem Wi-Fi, który został zhakowany, a komputerem kiosku, który został zhakowany, polega na tym, że jeśli Twój ruch jest szyfrowany przez zhakowany router, istnieje limit tego, ile może Cię szpiegować.

Ale jeśli Twój ruch pochodzi ze zhakowanego lub skompromitowanego komputera kiosku, to z punktu widzenia cyberbezpieczeństwa *jest to 100% Game Over*.

Innymi słowy, komputer kiosku może mieć nieograniczony dostęp do *wszystkich danych, które wysyłasz i odbierasz w Internecie*, zanim zostaną zaszyfrowane (i po odszyfrowaniu rzeczy, które zwrócisz).

Tak więc szyfrowanie staje się zasadniczo nieistotne.

*Każde naciśnięcie klawisza*… należy założyć, że jest śledzone.

*Za każdym razem, gdy coś jest na ekranie*… powinieneś założyć, że ktoś może zrobić zrzut ekranu.

*Wszystko, co wydrukujesz*… powinieneś założyć, że w jakimś ukrytym pliku znajduje się kopia.

Więc radzę traktować te komputery kioskowe jako zło konieczne i używać ich tylko wtedy, gdy naprawdę musisz.

---

DOUG.  Tak, byłem w ostatni weekend w hotelu, który miał komputer w kiosku i ciekawość mnie pokonała.

Podszedłem… działał Windows 10 i można było na nim zainstalować wszystko.

Nie został zablokowany, a ktokolwiek wcześniej go używał, nie wylogował się z Facebooka!

A to jest hotel sieciowy, który powinien wiedzieć lepiej… ale był to po prostu szeroko otwarty system, z którego nikt się nie wylogował; potencjalne szambo cyberprzestępczości, które może się wydarzyć.

---

KACZKA.  Więc możesz po prostu podłączyć pamięć USB, a następnie przejść do „Zainstaluj keylogger”?

---

DOUG.  Tak!

---

KACZKA.  „Zainstaluj sniffer sieciowy”.

---

DOUG.  UH Huh!

---

KACZKA.  „Zainstaluj rootkita”.

---

DOUG.  Tak!

---

KACZKA.  „Umieść płonące czaszki na tapecie”.

---

DOUG.  Nie, dziękuję!

To następne pytanie nie ma świetnej odpowiedzi…

A co z kamerami szpiegowskimi, pokojami hotelowymi i Airbnbs?

Trudno je znaleźć.

---

KACZKA.  Tak, wstawiłem to, ponieważ jest to pytanie, które często nam zadaje.

Pisaliśmy o trzech różnych przypadkach niezgłoszonych kamer szpiegowskich. (To rodzaj tautologii, prawda?)

Jeden z nich był w australijskim schronisku dla robotników rolnych, gdzie ten facet zapraszał ludzi na wizach turystycznych, którzy mogą pracować na farmie, mówiąc: „Dam ci miejsce na pobyt”.

Okazało się, że był podglądaczem.

Jeden był w domu Airbnb w Irlandii.

To była rodzina, która podróżowała aż z Nowej Zelandii, więc nie mogli po prostu wsiąść do samochodu i wrócić do domu, zrezygnować!

A drugi był prawdziwym hotelem w Korei Południowej… to było naprawdę przerażające.

Nie sądzę, że to sieć była właścicielem hotelu, to byli skorumpowani pracownicy czy coś.

Umieścili kamery szpiegowskie w pokojach i nie żartuję, Doug… właściwie sprzedawali w zasadzie pay-per-view.

Mam na myśli, jakie to przerażające?

Dobra wiadomość: w dwóch z tych spraw sprawcy zostali faktycznie aresztowani i oskarżeni, więc skończyło się to dla nich źle, co jest całkiem słuszne.

Problem polega na tym, że… jeśli czytasz historię Airbnb (mamy link na temat Naked Security), facet, który przebywał tam ze swoją rodziną, był w rzeczywistości informatykiem, ekspertem od cyberbezpieczeństwa.

I zauważył, że w jednym z pokoi (podobno należy zadeklarować, czy w Airbnb są jakieś kamery) były dwa czujniki dymu.

Kiedy widzisz dwa czujniki dymu? Potrzebujesz tylko jednego.

Zaczął więc patrzeć na jednego z nich, który wyglądał jak czujnik dymu.

Drugi, no cóż, mały otwór z migającą diodą LED nie migał.

A kiedy zajrzał do środka, pomyślał: „To wygląda… podejrzanie jak soczewka na aparat!”

I w rzeczywistości była to kamera szpiegowska zamaskowana jako czujnik dymu.

Właściciel podłączył go do zwykłego Wi-Fi, więc był w stanie go znaleźć, skanując sieć… za pomocą narzędzia takiego jak Nmap lub czegoś podobnego.

Znalazł to urządzenie, a kiedy wysłał do niego ping, było oczywiste, z podpisu sieci, że w rzeczywistości była to kamera internetowa, chociaż kamera internetowa ukryta w czujniku dymu.

Więc miał szczęście.

Napisaliśmy artykuł o tym, co znalazł, łącząc i wyjaśniając, o czym wtedy pisał na blogu.

To było w 2019 roku, więc to jest trzy lata temu, więc od tego czasu technologia prawdopodobnie pojawiła się nawet trochę więcej.

W każdym razie wszedł do Internetu, aby zobaczyć: „Jaką mam szansę na znalezienie kamer w następnych miejscach, w których się zatrzymam?”

I natknął się na kamerę szpiegowską – wyobrażam sobie, że jakość obrazu byłaby okropna, ale wciąż jest to *działająca cyfrowa kamera szpiegowska*…. nie bezprzewodowy, musisz go podłączyć – osadzony *w śrubie z łbem krzyżakowym*, Doug!

---

DOUG.  Niesamowity.

---

KACZKA.  Dosłownie rodzaj śruby, którą można znaleźć na pokrywie, którą można znaleźć na włączniku światła, powiedzmy, ten rozmiar śruby.

Lub śruba, którą dostajesz na pokrywie gniazdka elektrycznego… śruba z łbem krzyżakowym o zwykłym, skromnym rozmiarze.

---

DOUG.  Szukam ich teraz na Amazon!

„Kamera ze śrubą otworkową” za 20 USD.

---

KACZKA.  Jeśli nie jest podłączony z powrotem do tej samej sieci lub jest podłączony do urządzenia, które po prostu nagrywa na kartę SD, bardzo trudno będzie go znaleźć!

Tak więc, niestety, odpowiedź na to pytanie… powód, dla którego nie napisałem pytania szóstego: „Jak mogę znaleźć kamery szpiegowskie w pokojach, w których mieszkałem?”

Odpowiedź brzmi, że możesz spróbować, ale niestety jest to cała rzecz „Brak dowodów nie jest dowodem na brak”.

Niestety, nie mamy porady, która mówi: „Istnieje mały gadżet, który możesz kupić, który ma rozmiar telefonu komórkowego. Naciskasz przycisk i piszczy, jeśli w pokoju jest kamera szpiegowska.

---

DOUG.  OK. Nasza ostatnia wskazówka dla tych z was, którzy nie mogą sobie pomóc: „Wyjeżdżam na wakacje, ale co, jeśli chcę zabrać ze sobą laptopa do pracy?”

---

KACZKA.  Nie mogę na to odpowiedzieć.

Nie możesz na to odpowiedzieć.

To nie twój laptop, to laptop do pracy.

Tak więc prosta odpowiedź brzmi: „Zapytaj!”

A jeśli powiedzą: „Gdzie jedziesz?”, a ty podasz nazwę kraju, a oni odpowiedzą „nie”…

…to tyle, nie możesz tego zabrać ze sobą.

Może po prostu powiedz: „Świetnie, czy mogę to tutaj zostawić? Czy możesz go zamknąć w szafce IT, dopóki nie wrócę?

Jeśli pójdziesz i zapytasz IT: „Jadę do kraju X. Gdybym zabrał ze sobą laptopa do pracy, czy masz jakieś specjalne zalecenia?”…

…daj im posłuchać!

Ponieważ jeśli w pracy sądzisz, że są rzeczy, o których powinieneś wiedzieć o prywatności i nadzorze w miejscu, do którego się udajesz, te rzeczy prawdopodobnie dotyczą twojego życia domowego.

---

DOUG.  W porządku, to świetny artykuł… przeczytaj resztę.

---

KACZKA.  Jestem bardzo dumna z dwóch dżingli, na których skończyłam!

---

DOUG.  O tak!

Słyszeliśmy, „Jeśli masz wątpliwości, nie podawaj tego”.

Ale to jest nowy, który wymyśliłeś, co bardzo mi się podoba….

---

KACZKA.  „Jeśli twoje życie jest na twoim telefonie / dlaczego nie zostawić go w domu?”

---

DOUG.  Tak, proszę bardzo!

W porządku, w interesie czasu, mamy kolejny artykuł na stronie, proszę o przeczytanie. Nazywa się to: Facebook Oszuści 2FA powracają, tym razem w zaledwie 21 minut.

To jest to samo oszustwo, które zajmowało 28 minut, więc zaoszczędzili siedem minut z tego oszustwa.

I mamy pytanie czytelnika dotyczące tego postu.

Czytelnik Peter pisze między innymi: „Czy naprawdę myślisz, że te rzeczy są przypadkowe? Niedawno pomogłem zmienić umowę szerokopasmową mojego teścia z British Telecom, a w dniu, w którym nastąpiła zmiana, odebrał telefon od British Telecom, który miał na celu wyłudzenie informacji. Oczywiście mogło się to zdarzyć każdego dnia, ale takie rzeczy sprawiają, że zastanawiasz się nad wyczuciem czasu. Paweł…"

---

KACZKA.  Tak, zawsze spotykamy ludzi, którzy mówią: „Wiesz co? Mam jeden z tych oszustw…”

Niezależnie od tego, czy chodzi o stronę na Facebooku, prawa autorskie na Instagramie, czy, jak tata tego faceta, o telekomunikację… „Dostałem oszustwo następnego ranka po tym, jak zrobiłem coś, co bezpośrednio odnosiło się do tego oszustwa. Z pewnością to nie przypadek?

I myślę, że większość ludzi, ponieważ komentują Naked Security, zdają sobie sprawę, że to oszustwo, więc mówią: „Z pewnością oszuści wiedzieli?”

Innymi słowy, muszą istnieć jakieś informacje wewnętrzne.

Odwrotną stroną tego jest to, że ludzie, którzy *nie* zdają sobie sprawy, że to oszustwo i nie będą komentować Naked Security, mówią: „No cóż, to nie może być przypadek, dlatego musi być autentyczny!”

Z mojego doświadczenia wynika, że ​​w większości przypadków jest to całkowicie zbieg okoliczności, po prostu na podstawie objętości.

Chodzi o to, że w większości przypadków jestem przekonany, że te oszustwa, które dostajesz, są zbiegami okoliczności, a oszuści liczą na to, że łatwo jest „wyprodukować” te zbiegi okoliczności, skoro możesz wysłać tak wiele e-maili do tak wielu ludzie tak łatwo.

I nie próbujesz oszukać *wszystkich*, po prostu próbujesz oszukać *kogoś*.

I Doug, jeśli mogę to wcisnąć na końcu: „Użyj menedżera haseł!”

Ponieważ wtedy nie możesz przez pomyłkę umieścić prawidłowego hasła na niewłaściwej stronie, a to ogromnie pomaga w tych oszustwach, niezależnie od tego, czy są przypadkowe, czy nie.

---

DOUG.  W porządku, jak zawsze bardzo dobrze!

Dziękuję za komentarz, Peter.

Jeśli masz ciekawą historię, komentarz lub pytanie, które chciałbyś przesłać, chętnie przeczytamy o tym w podkaście.

Możesz wysłać e-maila na adres tips@sophos.com, skomentować dowolny z naszych artykułów lub skontaktować się z nami na portalu społecznościowym: @nakedsecurity.

To nasz program na dzisiaj; bardzo dziękuję za wysłuchanie.

Dla Paula Ducklina jestem Doug Aamoth i przypominam, aż do następnego razu…

---

OBIE.  Bądź bezpieczny!

[MOM MUZYCZNY]