S3 Ep103: Golpistas no Slammer (e outras histórias) [Áudio + Texto] PlatoBlockchain Data Intelligence. Pesquisa vertical. Ai.

S3 Ep103: Golpistas no Slammer (e outras histórias) [Áudio + Texto]

Carimbo de data / hora: 6 de outubro de 2022 10h43

by
Paul Ducklin

SCAMMERS NO SLAMMER (E OUTRAS HISTÓRIAS)

Com Doug Aamoth e Paul Ducklin.

Música de introdução e final de Edith Mudge.

Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

Você pode nos ouvir em Soundcloud, Podcasts da Apple, Google Podcasts, Spotify, Costureiro e em qualquer lugar que bons podcasts sejam encontrados. Ou simplesmente solte o URL do nosso feed RSS em seu podcatcher favorito.

LEIA A TRANSCRIÇÃO

DOUG.  O duplo dia zero da Microsoft, prisão para golpistas e telefonemas falsos.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal. Eu sou Doug Aamoth.

Ele é Paul Ducklin...

PATO.  É um grande prazer, Douglas.

DOUG.  eu tenho alguns Histórico de tecnologia para você e isso vai muito, muito, muito, muito tempo atrás, e tem a ver com calculadoras.

Esta semana, em 7 de outubro de 1954, a IBM demonstrou a primeira calculadora de transistores de seu tipo.

A Perfurador de Cálculo Eletrônico IBMA , como era chamada, trocou suas 1250 válvulas por 2000 transistores, que reduziram pela metade seu volume e consumiram apenas 5% da potência.

PATO.  Wow!

Eu não tinha ouvido falar desse “604”, então fui e procurei, e não consegui encontrar uma foto.

Aparentemente, esse era apenas o modelo experimental, e alguns meses depois eles lançaram o que você podia comprar, que se chamava 608, e o aumentaram para 3000 transistores.

Mas lembre-se, Doug, isso não é transistor como em circuitos integrados [CIs] porque ainda não havia CIs.

Onde você teria uma válvula, uma válvula termiônica (ou um “toob” [tubo de vácuo], como vocês chamariam), haveria um transistor conectado.

Portanto, embora fosse muito menor, ainda eram componentes discretos.

Quando penso em “calculadora”, penso em “calculadora de bolso”…

DOUG.  Ah, não, não, não!

PATO.  “Não”, como você diz…

…é do tamanho de uma geladeira muito grande!

E aí você precisa de uma geladeira bem grande ao lado, na foto que eu vi, que eu acho que é para entrada.

E então havia algum outro circuito de controle que parecia um freezer muito grande, próximo aos dois refrigeradores muito grandes.

Eu não percebi isso, mas aparentemente Thomas Watson [CEO da IBM] na época fez este decreto para toda a IBM: “Nenhum produto novo pode usar válvulas, tubos de vácuo. Estamos absolutamente abraçando, endossando e usando apenas transistores.”

E foi aí que tudo aconteceu depois disso.

Então, embora isso estivesse na vanguarda da revolução do transistor, aparentemente logo foi superado… estava no mercado apenas por cerca de 18 meses.

DOUG.  Bem, vamos ficar no assunto de coisas muito grandes e atualizar nossos ouvintes sobre esse dia zero duplo do Microsoft Exchange.

Nós cobrimos isso em um minisódio; nós cobrimos isso no site… mas alguma coisa nova que devamos saber?

PATO.  Não exatamente, Douglas.

Parece não ter assumido o mundo da cibersegurança ou operações de segurança [SecOps] como ProxyShell e Log4Shell fez:

Eu estou supondo que há duas razões para isso.

A primeira é que os detalhes reais da vulnerabilidade ainda são secretos.

Eles são conhecidos pela empresa vietnamita que o descobriu, pela ZeroDay Initiative [ZDI], onde foi divulgado com responsabilidade, e pela Microsoft.

E todo mundo parece estar mantendo isso debaixo do chapéu.

Então, até onde eu sei, não existem 250 provas de conceito “tente isso agora!” repositórios do GitHub onde você pode fazer isso sozinho.

Em segundo lugar, requer acesso autenticado.

E meu pressentimento é que todos os aspirantes a “pesquisadores de segurança cibernética” (aspas gigantes inseridas aqui) que aderiram ao movimento de executar ataques pela Internet com Proxyshell ou Log4Shell, alegando que estavam fazendo o mundo dos serviços: “Ei, se o seu serviço web for vulnerável, eu descobrirei e lhe direi”…

…Suspeito que muitas dessas pessoas pensarão duas vezes antes de tentar realizar o mesmo ataque em que precisam adivinhar senhas.

Parece que é o outro lado de uma linha bastante importante na areia, não é?

DOUG.  Uh-huh

PATO.  Se você tem um servidor da Web aberto projetado para aceitar solicitações, isso é muito diferente de enviar uma solicitação para um servidor que você sabe que não deveria acessar e tentar fornecer uma senha que você sabe que não deveria saber, se isso faz sentido.

DOUG.  Sim.

PATO.  Portanto, a boa notícia é que não parece estar sendo amplamente explorado…

…mas ainda não há um patch para fora.

E eu acho que, assim que um patch aparece, você precisa obtê-lo rapidamente.

Não demore, porque imagino que haverá um certo frenesi tentando fazer engenharia reversa dos patches para descobrir como você realmente explora essa coisa de maneira confiável.

Porque, até onde sabemos, funciona muito bem – se você tiver uma senha, poderá usar o primeiro exploit para abrir a porta para o segundo exploit, que permite executar o PowerShell em um servidor Exchange.

E isso nunca pode acabar bem.

Eu dei uma olhada no documento de Diretrizes da Microsoft esta manhã (estamos gravando na quarta-feira da semana), mas não vi nenhuma informação sobre um patch ou quando um estará disponível.

A próxima terça é Patch Tuesday, então talvez tenhamos que esperar até lá?

DOUG.  OK, vamos ficar de olho nisso e, por favor, atualize e corrija quando vir... é importante.

Vou voltar para a nossa calculadora e dar-lhe um pequena equação.

É assim: 2 anos de fraude + $ 10 milhões de fraude = 25 anos de prisão:

PATO.  Este é um criminoso – podemos agora chamá-lo assim porque ele não só foi condenado, mas sentenciado – com um nome que soa dramático: Elvis Eghosa Ogiekpolor.

E ele dirigiu o que você pode chamar de uma gangue cibernética de artesãos em Atlanta, Geórgia, nos Estados Unidos, alguns anos atrás.

Em pouco menos de dois anos, eles se banquetearam, por assim dizer, com empresas infelizes que foram vítimas do que é conhecido como Business Email Compromise [BEC], e indivíduos infelizes que eles atraíram para golpes de romance… e ganharam US$ 10 milhões.

Elvis (vou chamá-lo assim)… neste caso, ele reuniu uma equipe que criou toda uma rede de contas bancárias nos EUA abertas de forma fraudulenta, onde ele poderia depositar e depois lavar o dinheiro.

E ele não só foi condenado, ele acabou de ser sentenciado.

O juiz obviamente decidiu que a natureza desse crime e a natureza da vitimização eram suficientemente graves para que ele pegasse 25 anos em uma prisão federal.

DOUG.  Vamos nos aprofundar no Business Email Compromise.

Acho fascinante – ou você está se passando pelo endereço de e-mail de alguém ou conseguiu o endereço de e-mail real.

E com isso, uma vez que você consegue pegar alguém no gancho, você pode fazer um monte de coisas.

Você os lista no artigo aqui – eu os analisarei bem rápido.

Você pode saber quando grandes pagamentos são devidos…

PATO.  De fato.

Obviamente, se você está enviando e-mails de fora e está apenas falsificando os cabeçalhos dos e-mails para fingir que o e-mail vem do CFO, então você tem que adivinhar o que o CFO sabe.

Mas se você puder fazer login na conta de e-mail do CFO todas as manhãs bem cedo, antes que eles o façam, poderá dar uma olhada em todas as grandes coisas que estão acontecendo e fazer anotações.

E assim, quando você se passa por eles, não apenas está enviando um e-mail que realmente vem da conta deles, mas também com uma quantidade incrível de conhecimento interno.

DOUG.  E então, é claro, quando você recebe um e-mail pedindo a algum funcionário desconhecido para transferir um monte de dinheiro para esse fornecedor e eles dizem: “Isso é real?”…

…se você tiver acesso ao sistema de e-mail real, poderá responder. “Claro que é real. Olhe para o endereço de e-mail – sou eu, o CFO.”

PATO.  E, claro, ainda mais, você pode dizer: “A propósito, isso é uma aquisição, esse é um negócio que vai roubar uma vantagem sobre nossos concorrentes. Portanto, é confidencial da empresa. Certifique-se de não contar a ninguém na empresa.”

DOUG.  Sim - golpe duplo!

Você pode dizer: “Sou eu, é real, mas isso é grande coisa, é um segredo, não conte a mais ninguém. Sem TI! Não denuncie isso como uma mensagem suspeita.”

Você pode então ir para a pasta Enviados e excluir os e-mails falsos que você enviou em nome do CFO, para que ninguém possa ver que você esteve lá vasculhando.

E se você for um “bom” golpista de BEC, você irá vasculhar os e-mails anteriores do funcionário real e combinar o estilo desse usuário, copiando e colando frases comuns que essa pessoa usou.

PATO.  Com certeza, Douglas.

Acho que já falamos antes, quando falamos sobre e-mails de phishing… sobre leitores que relataram: “Sim, recebi um como este, mas estraguei imediatamente porque a pessoa usou uma saudação em seu e-mail que é tão fora do personagem.

Ou havia alguns emojis na assinatura, como uma carinha sorridente [RISOS], o que eu sei que essa pessoa nunca faria.

É claro que, se você apenas copiar e colar a introdução e o final padrão dos e-mails anteriores, evitará esse tipo de problema.

E a outra coisa, Doug, é que se você enviar o e-mail da conta real, ele receberá a assinatura de e-mail real e genuína da pessoa, não é?

Que é adicionado pelo servidor da empresa e apenas faz com que pareça exatamente o que você está esperando.

DOUG.  E então eu amo esse desmonte…

…como um criminoso de primeira linha, você não apenas irá roubar a empresa, mas também irá atrás dos *clientes* da empresa dizendo: “Ei, você pode pagar esta fatura agora e enviá-la para este novo conta bancária?"

Você pode fraudar não apenas a empresa, mas as empresas com as quais a empresa trabalha.

PATO.  Absolutamente.

DOUG.  E para que você não pense que Elvis estava apenas defraudando empresas…

PATO.  O Departamento de Justiça relata que algumas das empresas que eles fraudaram foram tomadas por centenas de milhares de dólares de uma só vez.

E o outro lado de sua fraude foi perseguir indivíduos no que é chamado de golpes de romance.

Aparentemente, havia 13 pessoas que se apresentaram como testemunhas no caso, e dois dos exemplos mencionados pelo DOJ (o Departamento de Justiça) custaram, acho, US$ 32,000 e US$ 70,000, respectivamente.

DOUG.  OK, então temos alguns conselhos sobre como proteger sua empresa do comprometimento de e-mail comercial e como se proteger de golpes românticos.

Vamos começar com o Compromisso de Email Comercial.

Eu gosto deste primeiro ponto porque é fácil e é uma fruta muito fácil: Crie uma conta de e-mail central para que a equipe denuncie e-mails suspeitos.

PATO.  Sim, se você tiver security@example.com, então, presumivelmente, você cuidará dessa conta de e-mail com muito cuidado e poderá argumentar que é muito menos provável que uma pessoa do Business Email Compromise seja capaz de comprometer a conta SecOps em comparação com a conta comprometedora de qualquer outro funcionário aleatório da empresa.

E presumivelmente também, se você tiver pelo menos algumas pessoas que podem ficar de olho no que está acontecendo lá, você tem uma chance muito maior de obter respostas úteis e bem-intencionadas desse endereço de e-mail do que apenas perguntar ao indivíduo em causa.

Mesmo que o e-mail do CFO não tenha sido comprometido… se você recebeu um e-mail de phishing e depois pergunta ao CFO: “Ei, isso é legítimo ou não?”, você está colocando o CFO em uma posição muito difícil.

Você está dizendo: “Você pode agir como se fosse um especialista em TI, um pesquisador de segurança cibernética ou um profissional de operações de segurança?”

Muito melhor centralizar isso, então há uma maneira fácil de as pessoas relatarem algo que parece um pouco errado.

Isso também significa que, se o que você faria normalmente é apenas dizer: “Bem, isso é obviamente phishing. Vou apenas deletar”…

…ao enviá-lo, mesmo que *você* ache que é óbvio, você permite que a equipe de SecOps ou a equipe de TI avise o resto da empresa.

DOUG.  Tudo certo.

E o próximo conselho: Em caso de dúvida, verifique diretamente com o remetente do e-mail.

E, para não estragar a piada, provavelmente talvez não por e-mail por algum outro meio…

PATO.  Seja qual for o mecanismo usado para enviar uma mensagem em que você não confia, não envie mensagens de volta pelo mesmo sistema!

Se a conta não tiver sido invadida, você receberá uma resposta dizendo: "Não, não se preocupe, está tudo bem".

E se a conta *foi* hackeada, você receberá uma mensagem dizendo: “Ah, não, não se preocupe, está tudo bem!” [RISOS]

DOUG.  Tudo certo.

E por último, mas não menos importante: Exigir autorização secundária para alterações nos detalhes de pagamento da conta.

PATO.  Se você tiver um segundo par de olhos sobre o problema – autorização secundária – que [A] torna mais difícil para um insider corrupto escapar impune do golpe se estiver ajudando, e [B] significa que ninguém, quem está obviamente, tentando ser útil aos clientes, tem que arcar com toda a responsabilidade e pressão para decidir: “Isso é legítimo ou não?”

Dois olhos são muitas vezes melhores do que um.

Ou talvez eu queira dizer que quatro olhos são muitas vezes melhores que dois…

DOUG.  Sim. [RISOS].

Vamos voltar nossa atenção para golpes de romance.

A primeira dica é: Desacelere quando a conversa de namoro passar de amizade, amor ou romance para dinheiro.

PATO.  Sim.

É outubro, não é, Doug?

Então é o Mês da Conscientização sobre Segurança Cibernética mais uma vez... #cibermês, se você quiser acompanhar o que as pessoas estão fazendo e dizendo.

Há aquele grande lema (essa é a palavra certa?) que dissemos muitas vezes no podcast, porque eu sei que você e eu gosto, Doug.

Isso vem do Serviço Público dos EUA…

AMBAS.  Pare. (Período.)

Acho. (Período.)

Conectar. (Período.)

PATO.  Não tenha muita pressa!

É realmente uma questão de “fazer transações com pressa, arrepender-se com calma” quando se trata de assuntos on-line.

DOUG.  E outro conselho que vai ser difícil para algumas pessoas… mas olhe para dentro de si mesmo e tente segui-lo: Ouça abertamente seus amigos e familiares se eles tentarem avisá-lo.

PATO.  Sim.

Eu estive em eventos de segurança cibernética que lidaram com a questão do golpe de romance no passado, quando eu trabalhava na Sophos Australia.

Foi doloroso ouvir histórias de pessoas do serviço policial cujo trabalho é tentar intervir em golpes neste momento…

... e só para ver como alguns desses policiais estavam tristes quando voltavam de uma visita.

Em alguns casos, famílias inteiras foram atraídas para golpes.

Estes são mais do tipo “investimento financeiro”, obviamente, do que do tipo romance, mas *todo mundo* estava do lado do golpista, então quando a polícia foi lá, a família tinha “todas as respostas” que haviam sido cuidadosamente fornecidas pelo trapaceiro.

E em golpes de romance, eles não pensarão em cortejar seu interesse romântico * e * criar uma barreira entre você e sua família, então você para de ouvir os conselhos deles.

Portanto, tome cuidado para não acabar afastado de sua família e de sua conta bancária.

DOUG.  Tudo certo.

E aí vai um conselho final: Há um ótimo vídeo embutido no artigo.

O artigo chama-se Romance Scammer e BEC Fraudster condenado a 25 anos de prisão:

Então assista esse vídeo – ele tem muitas dicas ótimas.

E vamos ficar no assunto de golpes e falar sobre golpistas e chamadores desonestos.

É possível parar as chamadas fraudulentas?

Essa é a grande questão do dia agora:

PATO.  Bem, há chamadas fraudulentas e chamadas incômodas.

Às vezes, as chamadas incômodas parecem chegar muito perto das chamadas fraudulentas.

São pessoas que representam negócios legítimos, [IRRITADOS], mas eles simplesmente não param de ligar para você, [FICANDO MAIS AGITADOS], não importa se você lhes diga “Estou na lista de Não Ligar [IRRITADO] então NÃO LIGUE NOVAMENTE. "

Então eu escrevi um artigo sobre Naked Security dizendo para as pessoas... às vezes tem um resultado.

E o que me motivou a escrever isto foi que quatro empresas que vendem produtos “ambientais” foram detidas pelo Gabinete do Comissário de Informação [ICO, regulador de privacidade de dados do Reino Unido] e multadas entre dezenas e centenas de milhares de libras por fazerem chamadas para pessoas que tinham colocar-se no que é estranhamente chamado de Serviço de preferência por telefone no Reino Unido…

…é como se eles estivessem admitindo que algumas pessoas realmente querem optar por essas ligações inúteis. [RISADA]

DOUG.  “Prefiro”?! [RISOS]

PATO.  Eu gosto do jeito que é nos EUA.

O lugar que você vai para se registrar e reclamar é: donotcall DOT gov.

DOUG.  Sim! "Não ligue!"

PATO.  Infelizmente, quando se trata de telefonia, ainda vivemos em um mundo de opt-out… eles podem ligar para você até que você diga que não podem.

Mas minha experiência tem sido que, embora não resolva o problema, colocar-se no registro Do Not Call é quase certo para não *aumentar* o número de chamadas que você recebe.

Isso fez a diferença para mim, tanto quando eu morava na Austrália quanto agora estou morando no Reino Unido…

…e relatar chamadas de tempos em tempos pelo menos dá ao regulador em seu país uma chance de tomar algum tipo de ação em algum momento no futuro.

Porque se ninguém fala nada, então é como se nada tivesse acontecido.

DOUG.  Isso se encaixa muito bem no comentário do nosso leitor neste artigo.

O leitor do Naked Security Phil comenta:

O correio de voz mudou tudo para mim.

Se o chamador não estiver disposto a deixar uma mensagem e a maioria não estiver, não tenho motivos para retornar a ligação.

Além disso, para denunciar um telefonema fraudulento, eu teria que perder o tempo necessário para atender o telefone de um chamador não identificado e interagir com alguém apenas com o objetivo de denunciá-lo.

Mesmo se eu atender a chamada, estarei falando com um robô de qualquer maneira... não, obrigado!

Então, essa é a resposta: nunca atenda as ligações e nunca lide com esses golpistas?

Ou há uma maneira melhor, Paul?

PATO.  O que eu descobri é que, se eu acho que o número é um número fraudulento…

Alguns dos golpistas ou chamadas incômodas usarão um número diferente a cada vez - sempre parecerá local, por isso é difícil dizer, embora eu tenha sido atormentado por um recentemente em que era o mesmo número repetidamente, então posso apenas bloquear isso.

…normalmente o que eu faço é apenas atender o telefone e não dizer nada.

Eles estão me chamando; se for tão importante, eles dirão: “Olá? Olá? Isso é...?”, e use meu nome.

Acho que muitos desses chamadores incômodos e golpistas estão usando sistemas automatizados que, quando ouvem você atendendo a chamada, só então tentam conectá-lo a um operador ao lado deles.

Eles não têm suas operadoras de telefone realmente fazendo as chamadas.

Eles ligam para você e, enquanto você se identifica, eles rapidamente encontram alguém na fila que pode fingir que fez a ligação.

E acho que é uma oferta muito boa, porque se nada acontecer, se ninguém disser: “Olá? Olá? Alguém aí?”, então você sabe que está lidando com um sistema automatizado.

No entanto, há um problema irritante, embora eu ache que isso seja específico do Reino Unido.

A burocracia para denunciar o que é chamado de “chamada silenciosa”, como um tipo stalker de respiração pesada onde nenhuma palavra é dita…

...o mecanismo de denúncia que é completamente diferente do mecanismo de denúncia de uma chamada em que alguém diz: "Ei, eu sou John e quero lhe vender este produto que você não precisa e não é bom", que é realmente irritante.

Os relatórios de chamadas silenciosas passam pelo regulador telefônico e são tratados como se fossem um crime mais grave, presumo por razões históricas.

Você tem que se identificar – você não pode denunciá-los anonimamente.

Então eu acho isso chato, e eu espero que eles mudem isso!

Onde é apenas um sistema robótico que chama você e ainda não sabe que você está na linha, então não designou ninguém para falar com você…

…se você pudesse denunciá-los de forma mais fácil e anônima, para ser honesto, eu estaria muito mais inclinado a fazê-lo.

DOUG.  Tudo certo.

Temos alguns links no artigo para relatar chamadas não autorizadas em vários países.

E obrigado, Phil, por enviar esse comentário.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @nakedsecurity.

Esse é o nosso show de hoje – muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando você até a próxima…

AMBAS.  Fique seguro.

[MODEM MUSICAL]

Carimbo de hora:

Mais de Segurança nua