S3 Ep111: O risco comercial de um “sem filtro de nudez” desprezível [Áudio + Texto]

Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

DOUG.  Repressões, zero-days e pornografia Tik Tok.

Tudo isso e muito mais no podcast Naked Security.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth; ele é Paul Ducklin.

Paul, por favor, desculpe minha voz.

Estou doente, mas me sinto mentalmente afiado!

---

PATO.  Excelente, Doug.

Agora, espero que você tenha tido uma boa semana de folga e que tenha feito uma ótima Black Friday.

---

DOUG.  Tenho filhos demais para fazer qualquer coisa agradável... eles são muito jovens.

Mas conseguimos algumas coisas na Black Friday pela internet.

Porque, não sei, não me lembro da última vez que fui a uma loja de varejo, mas um dia desses volto.

---

PATO.  Achei que você tinha acabado a Black Friday, desde que foi contrariado por um Nintendo Wii no século 18, Doug?

---

DOUG.  Isso é verdade, sim.

Isso foi gingando até a frente da fila e algumas senhoras dizendo: “Você precisa de um ingresso”, vendo quanto tempo a fila era e dizendo: “OK, isso não é para mim”.

---

PATO.  [Risos] O ingresso era presumivelmente apenas para *entrar* na fila… então você descobriria se eles realmente tinham algum sobrando.

---

DOUG.  Sim, e eles não… spoiler!

---

PATO.  “O senhor está apenas entrando na pré-fila.”

---

DOUG.  Sim.

Então eu não estava com vontade de lutar com um monte de gente.

Todas aquelas imagens que você vê no noticiário… nunca serei eu.

Nós gostamos de começar o show com Esta semana na história da tecnologia segmento, e temos um recurso duplo esta semana, Paul.

Em 28 de novembro de 1948, a Polaroid Land Camera Model 95 foi colocada à venda na loja de departamentos Jordan Marsh aqui mesmo em Boston.

Foi a primeira câmera instantânea comercial, em 1948.

E então, um dia (e vários anos) depois, 29 de novembro de 1972, a Atari apresentou seu primeiro produto, um joguinho chamado PONG.

---

PATO.  Quando você anunciou sua intenção de anunciar a Land Camera como Histórico de tecnologia, pensei… “Era 1968”.

Talvez um pouco antes – talvez no final dos anos 1950, uma espécie de “era Sputnik”.

1948, né?

Wow!

Ótima miniaturização para a época.

Se você pensar em como os computadores ainda eram grandes, eles não precisavam apenas de salas, eles precisavam de seus próprios prédios grandes!

E aqui estava essa câmera quase mágica – a química em suas mãos.

Meu irmão tinha um desses quando eu era criança e me lembro de ter ficado absolutamente maravilhado com ele.

Mas não tão surpreso, Doug, quanto ficou quando descobriu que eu havia tirado algumas fotos redundantemente, só para ver como funcionava.

Porque, claro, ele estava pagando pelo filme [RISOS].

O que não é tão barato quanto o filme em câmeras comuns.

---

DOUG.  Não senhor!

Nossa primeira história é outra história do tipo histórico.

Este foi o worm Árvore de Natal em 1987, também conhecido como CHRISTMA EXEC, que foi escrito na linguagem de script REXX:

O worm de rede CHRISTMA EXEC – 35 anos e contando!

REXX… Eu nunca tinha ouvido falar disso antes.

Ele desenhou uma árvore de Natal com arte ASCII e se espalhou por e-mail, causando grande interrupção em mainframes em todo o mundo, e foi uma espécie de precursor do Eu te amo vírus que afetou os PCs IBM.

---

PATO.  Acho que muitas pessoas subestimaram a extensão das redes da IBM na década de 1980 e o poder das linguagens de script disponíveis, como o REXX.

Você escreve o programa como um simples texto antigo – você não precisa de um compilador, é apenas um arquivo.

E se você nomear o nome do arquivo com oito caracteres, assim CHRISTMA, não CHRISTMAS (embora você possa *digitar* CHRISTMAS, porque simplesmente ignoraria o -S)…

…e se você der ao nome do arquivo a extensão EXEC (portanto: CHRISTMA [espaço] EXEC), então, quando você digitar a palavra “Natal” na linha de comando, ele será executado.

Deveria ter sido um tiro de advertência em todos os nossos arcos, mas acho que foi um pouco como um flash na panela.

Até que um ano depois…

…então veio o Internet Worm, Doug, que obviamente atacou os sistemas Unix e se espalhou por toda parte:

Memórias do Worm da Internet – 25 anos depois

E então acho que todos nós percebemos: “Uh-oh, essa cena de vírus e worms pode se tornar bastante problemática”.

Então, sim, CHRISTMA EXEC... muito, muito simples.

Ele realmente montou uma árvore de Natal, e isso deveria ser a distração.

Você olhou para a árvore de Natal, então provavelmente não notou todos os pequenos sinais na parte inferior do seu terminal IBM 3270 mostrando toda a atividade do sistema, até que você começou a receber essas mensagens da Árvore de Natal de dezenas de pessoas.

[RISO]

E assim foi, assim por diante.

“Um feliz Natal e meus melhores votos para o próximo ano”, dizia, tudo em arte ASCII, ou talvez eu devesse dizer arte EBCDIC.

Há um comentário no topo do código-fonte: “Deixe este EXEC rodar e divirta-se”.

E um pouco mais abaixo, há uma nota que diz: “Navegar neste arquivo não é nada divertido”.

O que, obviamente, se você não for um programador, é bem verdade.

E embaixo diz: “Basta digitar Christmas no prompt de comando”.

Portanto, assim como o malware de macro moderno que diz ao usuário: “Ei, as macros estão desativadas, mas para sua 'segurança extra', você precisa ativá-las novamente… por que não clicar no botão? É muito mais fácil assim.”

35 anos atrás [RISOS], os criadores de malware já haviam descoberto que, se você pedir educadamente aos usuários para fazer algo que não é do interesse deles, alguns deles, possivelmente muitos deles, o farão.

Uma vez que você o autorizou, ele foi capaz de ler seus arquivos e, como pode ler seus arquivos, pode obter a lista de todas as pessoas com quem você normalmente se corresponde a partir de seus chamados apelidos ou arquivo de nomes e explodir para todos eles.

---

DOUG.  Não estou dizendo que sinto falta dessa época, mas havia algo estranhamente reconfortante, 20 anos atrás, abrir o Hotmail e ver centenas de e-mails de pessoas que me tinham em sua lista de contatos…

… e apenas *saber* que algo estava acontecendo.

Tipo, “Há um worm por aí, claramente”, porque estou recebendo uma enxurrada de e-mails de pessoas aqui.

---

PATO.  Pessoas de quem você nunca ouviu falar por alguns anos... de repente elas estariam em toda a sua caixa de correio!

---

DOUG.  OK, vamos passar para o novo, para os dias modernos...

…e este “Desafio Invisível” do TikTok:

O malware pornô TikTok “Invisible Challenge” coloca todos nós em risco

Que é basicamente um filtro no TikTok que você pode aplicar para fazer você parecer invisível… então, é claro, a primeira coisa que as pessoas fizeram foi: “Por que não tiro todas as minhas roupas e vejo se isso realmente me torna invisível?”

E então, é claro, um bando de golpistas pensa: “Vamos lançar um software falso que tornará 'invisíveis' pessoas nuas”.

Eu entendi direito?

---

PATO.  Sim, infelizmente, Doug, isso é tudo.

E, infelizmente, isso provou ser uma atração muito atraente para um número significativo de pessoas online.

Você está convidado a entrar neste canal do Discord para saber mais… e para começar, bem, você precisa curtir a página do GitHub.

Então é toda essa profecia autorrealizável….

---

DOUG.  Essa parte é (eu odeio usar a palavra B [brilhante])… esse aspecto é quase digno de uma palavra B porque você está legitimando esse projeto ilegítimo, apenas por todos votarem nele.
.

---

PATO.  Sem dúvida que sim!

“Agradeça primeiro e *depois* contaremos tudo sobre isso, porque obviamente vai ser ótimo, porque 'pornografia gratuita'.”

E o projeto em si é um monte de mentiras - ele apenas se conecta a outros repositórios (e isso é normal na cena da cadeia de suprimentos de código aberto) ... eles parecem projetos legítimos, mas são basicamente clones de projetos legítimos com um linha alterada que é executada durante a instalação.

O que é uma grande bandeira vermelha, a propósito, mesmo que isso não tivesse o tema pornô desprezível 'despir as pessoas que nunca pretenderam'.

Você pode acabar com um software legítimo, genuinamente instalado no GitHub, mas o processo de fazer a instalação, satisfazer todas as dependências, buscar todos os bits de que você precisa… *esse* processo é o que introduz o malware.

E foi exatamente isso que aconteceu aqui.

Há uma linha de Python ofuscada; quando você o desofusca, é basicamente um downloader que vai e busca um pouco mais de Python, que é super-escriturado, então não é nada óbvio o que ele faz.

A ideia é essencialmente que os bandidos instalem o que quiserem, porque esse downloader vai para um site que os bandidos controlam, para que eles possam colocar o que quiserem para download.

E parece que o principal malware que os bandidos queriam implantar (embora eles pudessem ter instalado qualquer coisa) era um Trojan de roubo de dados baseado, eu acho, em um projeto conhecido como WASP…

… que basicamente vai atrás de arquivos interessantes em seu computador, incluindo coisas como carteiras de criptomoedas, cartões de crédito armazenados e, mais importante (você provavelmente já adivinhou onde isso está indo!) Sua senha do Discord, suas credenciais do Discord.

E sabemos por que os bandidos adoram redes sociais e senhas de mensagens instantâneas.

Porque, quando eles pegam sua senha e podem entrar em contato diretamente com seus amigos, sua família e seus colegas de trabalho em um grupo fechado…

…é muito mais crível que eles devem obter uma taxa de sucesso muito maior em atrair novas vítimas do que com coisas como e-mail ou SMS.

---

DOUG.  OK, vamos ficar de olho nisso – ainda está em desenvolvimento.

Mas, finalmente, uma boa notícia: esse golpe “Cryptorom”, que é um golpe criptográfico/romance…

…nós temos algumas prisões, grandes prisões, certo?

Sites fraudulentos de CryptoRom multimilionários são apreendidos e suspeitos são presos nos EUA

---

PATO.  Sim.

Isso foi anunciado pelo Departamento de Justiça dos EUA [DOJ]: sete sites associados aos chamados golpistas Cryptorom foram derrubados.

E esse relatório também está ligado ao fato de que, eu acho, 11 pessoas foram presas recentemente nos Estados Unidos.

Agora, Cryptorom, esse é um nome que os pesquisadores da SophosLabs deram a esse esquema de crime cibernético específico porque, como você disse, ele combina com a abordagem usada pelos golpistas românticos (ou seja, procurá-lo em um site de namoro, criar um perfil falso, tornar-se amigo de você) com golpes de criptomoeda.

Em vez de “Ei, quero que você se apaixone por mim; vamos nos casar; agora me mande dinheiro para o visto” tipo de golpe…

…os bandidos dizem: “Bem, talvez não nos tornemos um casal, mas ainda somos bons amigos. [VOZ DRAMÁTICA] Tenho uma oportunidade de investimento para você!”

Então, de repente, parece que vem de alguém em quem você pode confiar.

É um golpe que envolve convencê-lo a instalar um aplicativo fora do mercado, mesmo se você tiver um iPhone.

“Ainda está em desenvolvimento; é tão novo; você é tão importante; você está bem no centro disso. Ainda está em desenvolvimento, então inscreva-se no TestFlight, o programa Beta.”

Ou eles dirão: “Oh, estamos publicando apenas para pessoas que se juntam ao nosso negócio. Portanto, dê-nos o controle de gerenciamento de dispositivo móvel (MDM) sobre seu telefone e, em seguida, você poderá instalar este aplicativo. [VOZ SECRETA} E não conte a ninguém sobre isso. Não estará na loja de aplicativos; você é especial.”

E, claro, o aplicativo se parece com um aplicativo de negociação de criptomoedas e é apoiado por gráficos bonitos que estranhamente continuam subindo, Doug.

Seus investimentos nunca caem de verdade... mas é tudo um monte de mentiras.

E então, quando você quer o seu dinheiro, bem (típico truque de Ponzi ou esquema de pirâmide), às vezes eles permitem que você retire um pouco de dinheiro ... você está testando, então você retira um pouco e consegue de volta.

Claro, eles estão apenas dando a você o dinheiro que você já colocou de volta, ou parte dele.

---

DOUG.  [TRISTE] Sim.

---

PATO.  E então seus investimentos estão subindo!

E então eles estão em cima de você: “Imagina se você não sacou esse dinheiro? Por que você não coloca esse dinheiro de volta? Ei, vamos até te emprestar mais algum dinheiro; vamos colocar algo com você. E por que não colocar seus amigos? Porque algo grande está chegando!”

Então você coloca o dinheiro e algo grande acontece, como o preço dispara, e você pensa: “Uau, estou tão feliz por ter reinvestido o dinheiro que saquei!”

E você ainda está pensando: “O fato de eu ter desistido deve significar que essas pessoas são legítimas”.

Claro, eles não são - é apenas um monte de mentiras maior do que era no começo.

E então, quando você finalmente pensa: “É melhor eu sacar”, de repente há todo tipo de problema.

“Bem, há um imposto,” Doug, “Há um imposto retido na fonte pelo governo.”

E você diz: "OK, então vou cortar 20% do topo".

Então a história é: “Na verdade, não, não é *tecnicamente* um imposto retido na fonte.” (Que é onde eles apenas tiram o dinheiro da soma e dão o resto)

“Na verdade, sua conta está *congelada*, então o governo não pode reter o dinheiro.”

Você tem que pagar o imposto... então você recebe o valor total de volta.

---

DOUG.  [estremecendo] Oh, Deus!

---

PATO.  Você deve sentir o cheiro de um rato neste momento... mas eles estão em cima de você; eles estão pressionando você; eles estão plantando ervas daninhas; se não estão plantando ervas daninhas, eles estão dizendo a você: “Bem, você pode ter problemas. O governo pode estar atrás de você!”

As pessoas estão colocando os 20% e então, como escrevi [no artigo], espero não ser grosseiro: GAME OVER, INSERIR MOEDA PARA COMEÇAR NOVO JOGO.

Na verdade, você pode ser contatado posteriormente por alguém que milagrosamente, Doug, diz: “Ei, você foi enganado por golpes de Cryptorom? Bem, estou investigando e posso ajudá-lo a recuperar o dinheiro.

É uma coisa terrível de se estar, porque tudo começa com a parte “rom” [romance].

Na verdade, eles não estão atrás de romance, mas *estão* atrás de uma amizade suficiente para que você sinta que pode confiar neles.

Então você está realmente entrando em algo “especial” – é por isso que seus amigos e familiares não foram convidados.

---

DOUG.  Já falamos sobre essa história várias vezes antes, inclusive o conselho, que está no artigo aqui.

A desmontagem [item principal] na coluna de conselhos é: Ouça abertamente seus amigos e familiares se eles tentarem avisá-lo.

Guerra psicológica, por assim dizer!

---

PATO.  De fato.

E o penúltimo também é algo a ser lembrado: Não se engane porque você acessa o site de um golpista e parece ser o verdadeiro.

Você pensa: “Caramba, eles realmente poderiam pagar por web designers profissionais?”

Mas se você olhar quanto dinheiro esses caras estão ganhando: [A] sim, eles poderiam, e [B] eles nem precisam.

Existem muitas ferramentas por aí que criam sites visualmente amigáveis ​​de alta qualidade com gráficos em tempo real, transações em tempo real, belos formulários da web de aparência mágica…

---

DOUG.  Exatamente.

É realmente muito difícil fazer um site *ruim* hoje em dia.

Você tem que se esforçar muito!

---

PATO.  Terá um certificado HTTPS; terá um nome de domínio com aparência bastante legítima; e, claro, neste caso, é acoplado a um aplicativo *que seus amigos não podem verificar para você baixando-se* da App Store e dizendo: "O que diabos você estava pensando?"

Porque é um “aplicativo especial secreto”, através de canais “superespeciais”, que apenas torna mais fácil para os bandidos enganá-lo, parecendo mais do que bom o suficiente.

Então, cuidem-se, pessoal!

---

DOUG.  Tome cuidado!

E vamos nos ater ao assunto das repressões.

Esta é outra grande repressão – esta história é realmente intrigante para mim, então estou interessado em saber como você a desvenda:

Site de fraude de voz “iSpoof” apreendido, 100s presos em repressão maciça

Este é um site de fraude por voz chamado iSspoof… e estou chocado por ter permissão para operar.

Este não é um site darkweb, está na web normal.

---

PATO.  Acho que se tudo o que seu site está fazendo é: “Ofereceremos serviços de voz sobre IP [VoIP] com um valor interessante agregado que inclui a configuração de seus próprios números de chamada”…

…se eles não estiverem dizendo abertamente: “O objetivo principal disso é cometer crimes cibernéticos”, então pode não haver nenhuma obrigação legal para a empresa de hospedagem retirar o site do ar.

E se você mesmo está hospedando, e você é o vigarista... Acho que é bem difícil.

No final, foi necessária uma ordem judicial, adquirida pelo FBI, acredito, e executada pelo Departamento de Justiça, para reivindicar esses domínios e colocar [uma mensagem dizendo] “Este domínio foi confiscado”.

Portanto, foi uma operação bastante longa, pelo que entendi, apenas tentando ficar por trás disso.

O problema aqui é que ficou muito fácil para você iniciar um serviço fraudulento onde, quando você liga para alguém, o telefone deles aparece com o nome do banco da High Street que eles mesmos inseriram em sua lista de contatos telefônicos, striagh off *site do próprio banco*.

Porque, infelizmente, há pouca ou nenhuma autenticação no protocolo de identificação do chamador ou da linha de chamada.

Aqueles números que aparecem antes de atender a chamada?

Eles não são melhores do que dicas, Doug.

Mas, infelizmente, as pessoas as consideram uma espécie de verdade do evangelho: “Diz que é o banco. Como alguém poderia forjar isso? DEVE ser o banco me ligando.

Não necessariamente!

Se você olhar para o número de chamadas que foram feitas... o que foi, três milhões e meio só no Reino Unido?

10 milhões em toda a Europa?

Acho que foram três milhões e meio de ligações que eles fizeram; 350,000 delas foram respondidas e duraram mais de um minuto, o que sugere que a pessoa estava começando a acreditar em toda a falsificação.

Então: “Transfira fundos para a conta errada”, ou “Leia seu código de autenticação de dois fatores”, ou “Deixe-nos ajudá-lo com seu problema técnico – vamos começar instalando o TeamViewer”, ou o que quer que seja.

E mesmo sendo convidado pelos bandidos: “Verifica o número se não acredita em mim!”

---

DOUG.  Isso nos leva a uma pergunta que eu tive o tempo todo lendo este artigo, e ela se encaixa perfeitamente com o comentário do leitor da semana.

O leitor Mahnn comenta: “As empresas de telecomunicações deveriam receber uma parte justa da culpa por permitir a falsificação em sua rede”.

Então, com esse espírito, Paul, há alguma coisa que as empresas de telecomunicações possam realmente fazer para impedir isso?

---

PATO.  Curiosamente, o próximo comentarista (obrigado, John, por este comentário!) Disse: “Gostaria que você tivesse mencionado duas coisas chamadas STIR e SHAKEN.”

Essas são iniciativas americanas – porque vocês amam seus backronyms, não é, gostam da Lei CAN-SPAM?

---

DOUG.  Nós fazemos!

---

PATO.  Então, STIR é “identidade de telefone seguro revisitada”.

E SHAKEN aparentemente significa (não atire em mim, sou apenas o mensageiro, Doug!)... o que é isso, “manuseio baseado em assinatura de informações declaradas usando tokens”.

É basicamente como dizer: “Finalmente nos acostumamos a usar TLS/HTTPS para sites”.

Não é perfeito, mas pelo menos fornece alguma medida para que você possa verificar o certificado, se quiser, e impede que qualquer um finja ser alguém, quando quiser.

O problema é que são apenas iniciativas, até onde eu sei.

Temos a tecnologia para fazer isso, pelo menos para telefonia via internet…

…mas veja quanto tempo levamos para fazer algo tão simples quanto obter HTTPS em quase todos os sites do mundo.

Houve uma grande reação contra isso.

---

DOUG.  Sim!

---

PATO.  E, ironicamente, não vinha dos provedores de serviço.

Estava vindo de pessoas dizendo: “Bem, eu administro um pequeno site, então por que devo me preocupar com isso? Por que eu deveria me importar?”

Então, acho que pode levar muitos anos até que haja uma identidade forte associada às chamadas telefônicas recebidas…

---

DOUG.  OK, então pode demorar um pouco, [IRROGADAMENTE], mas como você disse, escolhemos nossos acrônimos, o que é um primeiro passo muito importante.

Então, resolvemos isso… e veremos se isso toma forma eventualmente.

Obrigado, Mahnn, por enviar isso.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @NakedSecurity.

Esse é o nosso show de hoje; muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando: Até a próxima…

---

AMBAS.  Fique seguro.

[MODEM MUSICAL]