S3 Ep103: Scammmers in the Slammer (и другие истории) [Аудио + Текст]

Нажмите и перетащите звуковые волны ниже, чтобы перейти к любой точке. Вы также можете слушать прямо на Саундклауд.

ДУГ.  Двойной нулевой день от Microsoft, тюрьма для мошенников и фальшивые телефонные звонки.

Все это и многое другое в подкасте Naked Security.

[МУЗЫКАЛЬНЫЙ МОДЕМ]

Добро пожаловать в подкаст, все. Я Дуг Аамот.

Он Пол Даклин…

---

УТКА.  Это большое удовольствие, Дуглас.

---

ДУГ.  у меня есть немного Техническая история для вас, и это уходит в прошлое, очень, очень, очень давно, и это имеет отношение к калькуляторам.

На этой неделе, 7 октября 1954 года, IBM продемонстрировала первый в своем роде полностью транзисторный калькулятор.

Ассоциация IBM Electronic Calculator Punch, как его называли, заменила свои 1250 электронных ламп на 2000 транзисторов, что уменьшило его объем вдвое и потребляло всего на 5% больше энергии.

---

УТКА.  Вот это да!

Я не слышал об этом «604», поэтому я пошел и поискал его, но не смог найти изображения.

Судя по всему, это была всего лишь экспериментальная модель, и через несколько месяцев они выпустили модель, которую можно было купить, которая называлась 608, и увеличили ее до 3000 транзисторов.

Но помни, Дуг, это не транзисторы, как в интегральных схемах [ИС], потому что ИС еще не было.

Там, где у вас был бы клапан, термоэмиссионный клапан (или «туб» [вакуумная лампа], как вы, ребята, назвали бы это), вместо него был бы подключен транзистор.

Так что, хотя он был намного меньше, это все еще были дискретные компоненты.

Когда я думаю о «калькуляторе», я думаю о «карманном калькуляторе»…

---

ДУГ.  О, нет, нет, нет!

---

УТКА.  «Нет», как вы говорите…

…это размер очень большого холодильника!

А то рядом нужен очень большой холодильник, на фото что я видел, думаю для входа.

А еще была какая-то другая схема управления, которая выглядела как очень большой морозильный ларь рядом с двумя очень большими холодильниками.

Я этого не осознавал, но, видимо, Томас Уотсон [генеральный директор IBM] в то время издал такой указ для всей IBM: «Ни в каких новых продуктах не разрешается использовать вентили, электронные лампы. Мы полностью принимаем, одобряем и используем только транзисторы».

Вот так все и пошло дальше.

Так что, хотя это и было в авангарде транзисторной революции, по-видимому, вскоре его вытеснили… он просуществовал на рынке всего около 18 месяцев.

---

ДУГ.  Что ж, давайте остановимся на очень важных вещах и сообщим нашим слушателям об этом двойном нулевом дне Microsoft Exchange.

Мы рассмотрели это на мини сода; мы рассмотрели это на сайте… но есть ли что-то новое, о чем мы должны знать?

---

УТКА.  Не совсем так, Дуглас.

Похоже, что он не захватил мир кибербезопасности или операций по обеспечению безопасности [SecOps], таких как ProxyShell и Журнал4Shell сделал:

Я предполагаю, что на это есть две причины.

Во-первых, фактические детали уязвимости до сих пор держатся в секрете.

Они известны во вьетнамской компании, обнаружившей его, в инициативе ZeroDay [ZDI], где информация была ответственно раскрыта, и в Microsoft.

И все, кажется, держат это под своей шляпой.

Итак, насколько мне известно, не существует 250 доказательств концепции «попробуй сейчас!» Репозитории GitHub, где вы можете сделать это самостоятельно.

Во-вторых, для этого требуется авторизованный доступ.

И мое внутреннее чувство таково, что все подражатели «исследователям кибербезопасности» (здесь вставлены гигантские воздушные кавычки), которые вскочили на подножку массовых атак в Интернете с помощью Proxyshell или Log4Shell, утверждая, что они занимаются миром обслуживания: «Эй, если ваш веб-сервис уязвим, я узнаю и скажу вам»…

… Я подозреваю, что многие из этих людей дважды подумают, прежде чем пытаться осуществить ту же самую атаку, когда им действительно нужно угадывать пароли.

Такое ощущение, что это другая сторона довольно важной линии на песке, не так ли?

---

ДУГ.  Ага.

---

УТКА.  Если у вас есть открытый веб-сервер, предназначенный для приема запросов, это сильно отличается от отправки запроса на сервер, к которому, как вы знаете, вы не должны получать доступ, и попытки предоставить пароль, который, как вы знаете, вам не полагается. знать, если это имеет смысл.

---

ДУГ.  Да.

---

УТКА.  Итак, хорошая новость заключается в том, что это, похоже, не получает широкого распространения…

… но до сих пор нет патча.

И я думаю, как только патч все-таки появится, нужно его быстро получить.

Не откладывайте, потому что я полагаю, что будет что-то вроде безумия, пытаясь перепроектировать патчи, чтобы выяснить, как вы на самом деле надежно используете эту штуку.

Потому что, насколько нам известно, это работает очень хорошо — если у вас есть пароль, вы можете использовать первый эксплойт, чтобы открыть дверь для второго эксплойта, который позволяет вам запускать PowerShell на сервере Exchange.

И это никогда не может закончиться хорошо.

Сегодня утром я просмотрел документ Microsoft Guideline (мы записываемся в среду на неделе), но я не нашел никакой информации о патче или о том, когда он будет доступен.

Следующий вторник — вторник патчей, так что, может быть, нам придется подождать до тех пор?

---

ДУГ.  Хорошо, мы будем следить за этим, и, пожалуйста, обновите и исправьте, когда увидите это… это важно.

Я вернусь к нашему калькулятору и дам вам маленькое уравнение.

Это выглядит так: 2 года мошенничества + мошенничество на 10 миллионов долларов = 25 лет тюрьмы:

---

УТКА.  Это преступник — теперь мы можем называть его так, потому что он не только осужден, но и приговорен — с драматически звучащим именем: Элвис Эгоса Огиекполор.

Пару лет назад он руководил тем, что можно было бы назвать кустарной кибер-бандой в Атланте, штат Джорджия, США.

Менее чем за два года они, если угодно, насытились несчастными компаниями, ставшими жертвами так называемого компрометации деловой электронной почты [BEC], и несчастными людьми, которых они заманили в романтические аферы… и заработали 10 миллионов долларов.

Элвис (я буду называть его так)… в данном случае он собрал команду, которая создала целую сеть мошеннически открытых банковских счетов в США, куда он мог вносить деньги, а затем отмывать их.

И его не просто осудили, его только что осудили.

Судья, очевидно, решил, что характер этого преступления и характер виктимизации были достаточно серьезными, чтобы он получил 25 лет в федеральной тюрьме.

---

ДУГ.  Давайте углубимся в компрометацию деловой электронной почты.

Я думаю, это увлекательно — вы либо выдаете себя за чей-то адрес электронной почты, либо вы завладели его реальным адресом электронной почты.

И с этим, как только вы можете поймать кого-то на крючок, вы можете сделать целую кучу вещей.

Вы перечислите их в статье здесь — я пройдусь по ним очень быстро.

Вы можете узнать, когда должны быть сделаны крупные платежи…

---

УТКА.  В самом деле.

Очевидно, что если вы отправляете письмо извне и просто подделываете заголовки электронной почты, чтобы притвориться, будто письмо исходит от финансового директора, то вам придется догадываться, что известно финансовому директору.

Но если вы можете входить в учетную запись электронной почты финансового директора каждое утро пораньше, до того, как это сделают они, тогда вы сможете просматривать все важные события и делать заметки.

И поэтому, когда вы начинаете выдавать себя за них, вы не только отправляете электронное письмо, которое на самом деле исходит от их учетной записи, вы делаете это с удивительным объемом инсайдерских знаний.

---

ДУГ.  И потом, конечно, когда вы получаете электронное письмо, в котором вы просите какого-то неосведомленного сотрудника перевести кучу денег этому поставщику, и они говорят: «Это правда?»…

… если у вас есть доступ к реальной системе электронной почты, вы можете ответить. «Конечно, это реально. Посмотрите на адрес электронной почты — это я, финансовый директор».

---

УТКА.  И, конечно, даже больше, вы можете сказать: «Кстати, это приобретение, это сделка, которая опередит наших конкурентов. Так что это конфиденциальная информация компании. Убедитесь, что вы не говорите никому в компании».

---

ДУГ.  Да – двойной удар!

Вы можете сказать: «Это я, это настоящее, но это большое дело, это секрет, никому больше не говори. Нет ИТ! Не сообщайте об этом как о подозрительном сообщении».

Затем вы можете зайти в папку «Отправленные» и удалить поддельные электронные письма, которые вы отправили от имени финансового директора, чтобы никто не мог увидеть, что вы рылись там.

И если вы «хороший» мошенник BEC, вы пойдете и покопаетесь в бывших электронных письмах настоящего сотрудника и подберете стиль этого пользователя, скопировав и вставив общие фразы, которые использовал этот человек.

---

УТКА.  Абсолютно, Дуг.

Я думаю, что мы говорили раньше, когда мы говорили о фишинговых электронных письмах… о читателях, которые сообщали: «Да, я получил такое письмо, но я сразу же прогудел, потому что человек использовал приветствие в своем электронном письме, которое просто так не в характере.

Или в конце были какие-то смайлики, вроде смайлика [СМЕХ], чего, я знаю, этот человек никогда бы не сделал.

Конечно, если вы просто скопируете и вставите стандартные интро и аутро из предыдущих писем, вы избежите такой проблемы.

И еще, Даг, если вы отправляете электронное письмо с реальной учетной записи, оно получает настоящую, подлинную электронную подпись человека, не так ли?

Который добавляется сервером компании и делает его именно таким, как вы ожидаете.

---

ДУГ.  А то я люблю этот спуск…

…как первоклассный преступник, вы не только собираетесь ограбить компанию, вы также собираетесь преследовать *клиентов* компании, говоря: «Эй, не могли бы вы оплатить этот счет сейчас и отправить его этому новому банковский счет?"

Обмануть можно не просто компанию, а компании, с которыми компания работает.

---

УТКА.  Абсолютно.

---

ДУГ.  И чтобы вы не подумали, что Элвис просто обворовывал компании… он также занимался мошенничеством в романтических отношениях.

---

УТКА.  Министерство юстиции сообщает, что некоторые из мошеннических предприятий были разворованы на сотни тысяч долларов.

И обратная сторона их мошенничества заключалась в преследовании отдельных лиц в так называемых романтических аферах.

По-видимому, в качестве свидетелей по делу выступили 13 человек, и два из примеров, упомянутых Министерством юстиции (Министерство юстиции), стоили, по-моему, 32,000 70,000 и XNUMX XNUMX долларов соответственно.

---

ДУГ.  Итак, у нас есть несколько советов, как защитить свой бизнес от компрометации деловой электронной почты и как защитить себя от мошенничества с романтическими отношениями.

Начнем с компрометации корпоративной электронной почты.

Мне нравится этот первый пункт, потому что это легко и очень легко висит: Создайте центральную учетную запись электронной почты, чтобы сотрудники могли сообщать о подозрительных электронных письмах.

---

УТКА.  Да, если у вас есть security@example.com, то, по-видимому, вы будете очень внимательно следить за этой учетной записью электронной почты, и вы можете возразить, что гораздо менее вероятно, что человек, занимающийся компрометацией деловой электронной почты, сможет скомпрометировать учетную запись SecOps по сравнению с учетной записью любого другого случайного сотрудника в компании.

И, по-видимому, также, если у вас есть хотя бы несколько человек, которые могут следить за тем, что там происходит, у вас гораздо больше шансов получить полезные и благонамеренные ответы с этого адреса электронной почты, чем просто спросить у заинтересованное лицо.

Даже если электронная почта финансового директора не была скомпрометирована… если вы получили фишинговое электронное письмо, а затем спросили финансового директора: «Эй, это законно или нет?», вы ставите финансового директора в очень затруднительное положение.

Вы говорите: «Можете ли вы вести себя так, как если бы вы были ИТ-экспертом, исследователем кибербезопасности или специалистом по обеспечению безопасности?»

Гораздо лучше централизовать это, чтобы у людей был простой способ сообщить о чем-то, что выглядит немного не так.

Это также означает, что если вы обычно делаете так: «Ну, это явно фишинг. Я просто удалю это»…

…отправляя его, даже если *вы* думаете, что это очевидно, вы позволяете команде SecOps или ИТ-отделу предупредить остальную часть компании.

---

ДУГ.  Отлично.

И следующий совет: Если вы сомневаетесь, обратитесь непосредственно к отправителю электронного письма.

И, чтобы не портить кульминацию, возможно, не по электронной почте, а каким-то другим способом…

---

УТКА.  Какой бы механизм ни использовался для отправки вам сообщения, которому вы не доверяете, не отправляйте ему ответное сообщение через ту же систему!

Если учетная запись не была взломана, вы получите ответ: «Нет, не волнуйтесь, все в порядке».

И если учетная запись *была* взломана, вы получите ответное сообщение: «О, нет, не волнуйтесь, все хорошо!» [СМЕЕТСЯ]

---

ДУГ.  Отлично.

И, наконец, последнее, но не менее важное: Требовать вторичной авторизации для изменения платежных реквизитов аккаунта.

---

УТКА.  Если у вас есть вторая пара взглядов на проблему — вторичная авторизация — то [A] усложняет мошенническому инсайдеру, чтобы избежать наказания за мошенничество, если они помогают, и [B] означает, что ни один человек, который очевидно пытаясь быть полезным для клиентов, должен нести всю ответственность и давление для принятия решения: «Это законно или нет?»

Два глаза часто лучше, чем один.

Или, может быть, я имею в виду, что четыре глаза часто лучше, чем два…

---

ДУГ.  Да. [СМЕЕТСЯ].

Давайте обратим наше внимание на романтические аферы.

Первый совет таков: Притормози, когда разговор о свиданиях переходит от дружбы, любви или романтики к деньгам.

---

УТКА.  Да.

Октябрь, да, Дуг?

Итак, это снова Месяц осведомленности о кибербезопасности… #cybermonth, если вы хотите следить за тем, что люди делают и говорят.

Есть замечательный маленький девиз (это правильное слово?), который мы говорили много раз в подкасте, потому что я знаю тебя, и мне это нравится, Дуг.

Об этом сообщает Государственная служба США…

---

ОБА.  Останавливаться. (Период.)

Считать. (Период.)

Соединять. (Период.)

---

УТКА.  Не слишком торопитесь!

Это действительно вопрос «сделки на скорую руку, раскаяние на досуге», когда дело доходит до онлайн-дел.

---

ДУГ.  И еще один совет, который будет трудным для некоторых людей… но загляните внутрь себя и постарайтесь следовать ему: Открыто слушайте своих друзей и семью, если они попытаются предупредить вас.

---

УТКА.  Да.

В прошлом, когда я работал в Sophos Australia, я участвовал в мероприятиях по кибербезопасности, посвященных проблеме мошенничества в романтических отношениях.

Было мучительно слышать рассказы людей из полицейской службы, чья работа состоит в том, чтобы пытаться вмешиваться в мошенничество в этот момент…

…и просто посмотреть, какими угрюмыми были некоторые из этих полицейских, когда они возвращались с визита.

В некоторых случаях в мошеннические схемы втягивались целые семьи.

Очевидно, что это скорее «финансовые инвестиции», чем романтические отношения, но *все* были на стороне мошенника, поэтому, когда туда обратились правоохранительные органы, у семьи были «все ответы», которые были тщательно предоставлены мошенник.

А в романтических аферах они не будут думать о том, чтобы ухаживать за вашим романтическим интересом * и * вбивать клин между вами и вашей семьей, поэтому вы перестаете слушать их советы.

Так что будьте осторожны, чтобы не оказаться отчужденными от своей семьи, а также от своего банковского счета.

---

ДУГ.  Отлично.

И последний совет: В статье есть отличное видео.

Статья называется Романтический мошенник и мошенник BEC приговорены к 25 годам тюрьмы:

Так что смотрите это видео — в нем много отличных советов.

И давайте остановимся на теме мошенничества и поговорим о мошенниках и мошенниках.

Можно ли вообще остановить мошеннические звонки?

Это большой вопрос дня прямо сейчас:

---

УТКА.  Ну, есть мошеннические звонки и надоедливые звонки.

Иногда неприятные звонки, кажется, очень близки к мошенническим звонкам.

Это люди, которые представляют законный бизнес, [РАЗДРАЖАНЫ], но они просто не перестанут звонить вам, [СТАНОВЯТСЯ БОЛЕЕ ВОЗБУЖДЕННЫМИ], независимо от того, что вы говорите им: «Я в списке «Не звонить» [ЗЛИТ] так что БОЛЬШЕ НЕ ЗВОНИТЕ".

Поэтому я написал статью о Naked Security, говоря людям… если вы можете заставить себя сделать это (я не предлагаю вам делать это каждый раз, это настоящая проблема), оказывается, что если вы *делаете* жалобу, иногда это дает результат.

И что побудило меня написать это, так это то, что четыре компании, торгующие «экологическими» продуктами, были арестованы Управлением комиссара по информации [ICO, регулятор конфиденциальности данных Великобритании] и оштрафованы на десятки и сотни тысяч фунтов стерлингов за звонки людям, которые поставить себя на то, что довольно странно называется Телефонная служба предпочтений в Соединенном Королевстве…

… как будто они признают, что некоторые люди действительно хотят участвовать в этих мусорных звонках. [СМЕХ]

---

ДУГ.  "Предпочитать"?! [СМЕЕТСЯ]

---

УТКА.  Мне нравится, как это в США.

Место, куда вы идете, чтобы зарегистрироваться и подать жалобу: donotcall DOT gov.

---

ДУГ.  Да! "Не звони!"

---

УТКА.  К сожалению, когда дело доходит до телефонии, мы все еще живем в мире отказа… им разрешено звонить вам, пока вы не скажете, что они не могут.

Но мой опыт показывает, что, хотя это и не решает проблему, запись себя в реестр «Не звонить» почти наверняка не *увеличит* количество звонков, которые вы получаете.

Это имело для меня значение, когда я жил в Австралии, а сейчас живу в Великобритании…

… и время от времени сообщать о звонках, по крайней мере, дает регулирующему органу в вашей стране шанс предпринять какие-либо действия в будущем.

Потому что если никто ничего не говорит, то как будто ничего и не было.

---

ДУГ.  Это прекрасно согласуется с комментариями наших читателей к этой статье.

Читатель Naked Security Фил комментирует:

Голосовая почта изменила для меня все.

Если звонящий не хочет оставлять сообщение, а большинство из них не хотят, то у меня нет причин перезванивать.

Более того, чтобы сообщить о мошенническом телефонном звонке, мне пришлось бы тратить время, необходимое для того, чтобы ответить на звонок неизвестного абонента и взаимодействовать с кем-то исключительно для того, чтобы сообщить о них.

Даже если я отвечу на звонок, я все равно буду говорить с роботом… нет, спасибо!

Итак, это ответ: просто никогда не отвечать на телефонные звонки и никогда не иметь дело с этими мошенниками?

Или есть лучший способ, Павел?

---

УТКА.  Что я обнаружил, так это то, что если я думаю, что номер мошеннический…

Некоторые мошенники или назойливые звонящие каждый раз будут использовать разные номера — они всегда будут выглядеть как местные, так что трудно сказать, хотя недавно меня преследовал один и тот же номер, на котором снова и снова был один и тот же номер, так что я могу просто заблокировать это.

…обычно я просто отвечаю на звонки и ничего не говорю.

Они зовут меня; если это так важно, они скажут: «Привет? Привет? Это…?», и используйте мое имя.

Я обнаружил, что многие из этих надоедливых абонентов и мошенников используют автоматизированные системы, которые, когда они слышат, что вы отвечаете на звонок, только тогда попытаются соединить вас с оператором на их стороне.

У них нет своих телефонных операторов, которые на самом деле звонят.

Они звонят вам, и пока вы идентифицируете себя, они быстро находят в очереди кого-то, кто может притвориться, что звонил.

И я считаю, что это чертовски хорошая раздача, потому что, если ничего не произойдет, если никто даже не скажет: «Привет? Привет? Есть кто-нибудь?», то вы знаете, что имеете дело с автоматизированной системой.

Однако есть досадная проблема, хотя я думаю, что это характерно для Соединенного Королевства.

Бюрократия для сообщения о том, что называется «молчаливым звонком», типа тяжело дышащего сталкера, когда не говорят ни слова…

…механизм сообщения, который полностью отличается от механизма сообщения о звонке, когда кто-то говорит: «Привет, я Джон, и я хочу продать вам этот продукт, который вам не нужен и не годится», который действительно раздражает.

Сообщения о немых звонках проходят через телефонный регулятор, и к ним относятся как к более серьезному уголовному преступлению, я полагаю, по историческим причинам.

Вы должны идентифицировать себя — вы не можете сообщить об этом анонимно.

Так что меня это раздражает, и я надеюсь, что они это изменят!

Где вам звонит просто роботизированная система, которая еще не знает, что вы на линии, поэтому никому не поручила с вами разговаривать…

…если бы вы могли сообщать о них более легко и анонимно, честно говоря, я был бы гораздо более склонен это делать.

---

ДУГ.  Отлично.

В статье есть несколько ссылок для сообщения о мошеннических звонках в некоторых странах.

И спасибо, Фил, за присланный комментарий.

Если у вас есть интересная история, комментарий или вопрос, который вы хотели бы отправить, мы будем рады прочитать его в подкасте.

Вы можете написать на почту tip@sophos.com, прокомментировать любую из наших статей или связаться с нами в социальных сетях: @nakedsecurity.

Это наше шоу на сегодня – большое спасибо за внимание.

Для Пола Даклина я Дуг Аамот, напоминаю вам до следующего раза…

---

ОБА.  Оставайтесь в безопасности.

[МУЗЫКАЛЬНЫЙ МОДЕМ]