S3 Ep111: Affärsrisken med ett slarvigt "nakenhetsfilter" [Ljud + text]

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

DOUG.  Tillslag, zero-days och Tik Tok-porr.

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla.

Jag är Doug Aamoth; han är Paul Ducklin.

Paul, ursäkta min röst.

Jag är sjuk, men jag känner mig mentalt skarp!

---

ANKA.  Utmärkt, Doug.

Nu hoppas jag att du haft en bra ledig vecka, och jag hoppas att du gjorde en bra Black Fridaying.

---

DOUG.  Jag har för många barn för att göra något roligt... de är för unga.

Men vi fick ett par saker på Black Friday över internet.

För, jag vet inte, jag kan inte minnas när jag senast var i en butik, men en av dessa dagar kommer jag att ta mig tillbaka.

---

ANKA.  Jag trodde att du var över Black Friday, ända sedan du blev omintetgjort för en Nintendo Wii på 18-talet, Doug?

---

DOUG.  Det är sant, ja.

Det var att vagga upp längst fram i kön och några damer sa "Du behöver en biljett", såg hur lång köen var och sa "OK, det här är inte för mig."

---

ANKA.  [SKRATTAR] Biljetten var förmodligen bara för att komma *in* i kön... då skulle du ta reda på om de faktiskt hade några kvar.

---

DOUG.  Ja, och det gjorde de inte... spoiler!

---

ANKA.  "Sir ställer sig bara i förkön."

---

DOUG.  Ja.

Så jag kände inte för att slåss mot en massa människor.

Alla dessa bilder du ser på nyheterna... det kommer aldrig att bli jag.

Vi gillar att börja föreställningen med Denna vecka i teknisk historia segment, och vi har en dubbel funktion den här veckan, Paul.

Den 28 november 1948 började Polaroid Land Camera Model 95 säljas på varuhuset Jordan Marsh här i Boston.

Det var den första kommersiella snabbkameran, redan 1948.

Och så en dag (och flera år) senare, den 29 november 1972, introducerade Atari sin första produkt, ett litet spel som heter PONG.

---

ANKA.  När du meddelade din avsikt att tillkännage Landkameran som Teknisk historia, tänkte jag... "Det var 1968".

Kanske lite tidigare - kanske i slutet av 1950-talet, en slags "Sputnik-eran".

1948, eller hur?

Wow!

Bra miniatyrisering för den tiden.

Om du tänker på hur stora datorer fortfarande var så var det inte bara det att de behövde rum, de behövde sina egna stora byggnader!

Och här var den här nästan magiska kameran – kemin i din hand.

Min bror hade en sådan när jag var liten, och jag minns att jag blev helt förvånad över den.

Men inte lika förvånad, Doug, som han var när han upptäckte att jag hade tagit ett par bilder överflödigt, bara för att se hur det fungerade.

För, naturligtvis, han betalade för filmen [SKRATT].

Vilket inte är riktigt lika billigt som filmen i vanliga kameror.

---

DOUG.  Nej, sir!

Vår första berättelse är en annan berättelse av historisk typ.

Det här var julgransmasken 1987, även känd som CHRISTMA EXEC, som skrevs på REXX skriptspråk:

CHRISTMA EXEC nätverksmasken – 35 år och räcker!

REXX... Jag hade aldrig hört talas om det här förut.

Den ritade en julgran av ASCII-konst och spreds via e-post, vilket orsakade massiva störningar på stordatorer världen över, och var en slags föregångare till Jag älskar dig virus som drabbade IBM-datorer.

---

ANKA.  Jag tror att många människor underskattade både omfattningen av IBM:s nätverk på 1980-talet och kraften i de tillgängliga skriptspråken, som REXX.

Du skriver programmet som bara vanlig gammal text – du behöver ingen kompilator, det är bara en fil.

Och om du namnger filnamnet åtta tecken, alltså JUL, inte JUL (även om du kan *skriva* JUL, eftersom det bara skulle ignorera -S)...

...och om du gav filnamnet filtillägget EXEC (alltså: CHRISTMA [mellanslag] EXEC), då när du skrev ordet "Christmas" på kommandoraden, skulle det köras.

Det borde ha varit ett varningsskott över alla våra pilbågar, men jag tror att det kändes som en liten blixt i pannan.

Tills ett år senare...

… sedan kom Internet Worm, Doug, som naturligtvis attackerade Unix-system och spred sig vida omkring:

Minnen från Internet Worm – 25 år senare

Och då tror jag att vi alla insåg: "Åh, den här virus- och maskarscenen kan bli ganska besvärlig."

Så, ja, CHRISTMA EXEC... väldigt, väldigt enkelt.

Den satte verkligen upp en julgran, och det var menat att vara distraktionen.

Du tittade på julgranen, så du märkte förmodligen inte alla små skyltar längst ner på din IBM 3270-terminal som visar all systemaktivitet, förrän du började få dessa julgransmeddelanden tillbaka från dussintals människor.

[SKRATT]

Och så fortsatte det, vidare och vidare och vidare.

"En mycket glad jul och mina bästa önskningar för nästa år", stod det, allt i ASCII-konst, eller kanske skulle jag säga EBCDIC-konst.

Det finns en kommentar överst i källkoden: "Låt denna EXEC springa och njut".

Och lite längre ner finns det en anteckning som säger: "Det är inte alls roligt att bläddra i den här filen."

Vilket uppenbarligen är helt sant om du inte är en programmerare.

Och under står det, "Skriv bara jul från kommandotolken."

Så, precis som modern makroskadlig kod som säger till användaren, "Hej, makron är inaktiverade, men för din "extra säkerhet" måste du slå på dem igen... varför inte klicka på knappen? Det är mycket lättare så."

För 35 år sedan [LAUGHS] hade skribenter av skadlig programvara redan kommit på att om du snällt ber användarna att göra något som inte alls ligger i deras intresse, kommer några av dem, möjligen många av dem, att göra det.

När du väl hade godkänt den kunde den läsa dina filer, och eftersom den kunde läsa dina filer kunde den hämta listan över alla personer du normalt korresponderade med från dina så kallade smeknamn eller NAMES-fil, och spränga sig själv till allihopa.

---

DOUG.  Jag säger inte att jag saknar den här gången, men det var något konstigt tröstande, för 20 år sedan, som startade Hotmail och såg hundratals e-postmeddelanden från personer som hade mig i sin kontaktlista...

... och bara *vet* att något var på gång.

Som, "Det är en mask som går runt, helt klart", för jag får bara en störtflod av e-postmeddelanden från folk här.

---

ANKA.  Människor du aldrig hade hört från på ett par år... plötsligt skulle de finnas överallt i din brevlåda!

---

DOUG.  OK, låt oss gå direkt till det nya, till det moderna...

…och denna TikTok "Osynliga utmaning":

TikTok "Invisible Challenge" porrprogramvara utsätter oss alla för risker

Vilket i grund och botten är ett filter på TikTok som du kan använda som får dig att verka osynlig... så det första folk gjorde var förstås, "Varför tar jag inte av mig alla mina kläder och ser om det verkligen gör mig osynlig?"

Och sedan, naturligtvis, är ett gäng bedragare som, "Låt oss lägga ut någon falsk programvara som kommer att "osynliga" nakna människor."

Har jag det rätt?

---

ANKA.  Ja, tyvärr, Doug, det är det långa och korta av det.

Och tyvärr visade det sig vara en mycket attraktiv lockelse för ett stort antal människor online.

Du är inbjuden att gå med i denna Discord-kanal för att ta reda på mer... och för att komma igång måste du gilla GitHub-sidan.

Så det är all denna självuppfyllande profetia...

---

DOUG.  Den delen av det är (jag hatar att använda B-ordet [briljant])... den aspekten av det är nästan B-ord-värdig eftersom du legitimerar detta illegitima projekt, bara genom att alla röstar upp det.
.

---

ANKA.  Absolut!

"Rösta upp det först, och *sedan* berättar vi allt om det, för självklart kommer det att bli fantastiskt, eftersom "gratis porr"."

Och projektet i sig är bara ett paket med lögner – det länkar bara till andra förråd (och det är helt normalt i den öppna källkodsförsörjningskedjan)... de ser ut som legitima projekt, men de är i grunden kloner av legitima projekt med ett linje ändrad som körs under installationen.

Vilket är en stor röd flagga, förresten, som även om det här inte hade det töntiga "klä av människor som aldrig hade tänkt det" pornotema i sig.

Du kan sluta med legitim programvara, genuint installerad från GitHub, men processen att göra installationen, tillfredsställa alla beroenden, hämta alla bitar du behöver ... *den* processen är det som introducerar skadlig programvara.

Och det är precis vad som hände här.

Det finns en rad obfuscerad Python; när du deobfuskerar det är det i princip en nedladdare som går och hämtar lite mer Python, som är superkrypterad så det är inte alls uppenbart vad den gör.

Tanken är i huvudsak att skurkarna får installera vad de vill, eftersom den nedladdaren går till en webbplats som skurkarna kontrollerar, så att de kan ladda ner vad de vill.

Och det ser ut som om den primära skadliga programvaran som skurkarna ville distribuera (även om de kunde ha installerat vad som helst) var en datastöldande trojan baserad på, tror jag, ett projekt som kallas WASP...

…som i princip går efter intressanta filer på din dator, särskilt inklusive saker som kryptomyntplånböcker, lagrade kreditkort, och viktigast av allt (du har säkert gissat vart detta tar vägen!) ditt Discord-lösenord, dina Discord-uppgifter.

Och vi vet varför skurkar älskar sociala medier och lösenord för snabbmeddelanden.

För när de får ditt lösenord och de kan nå ut direkt till dina vänner, din familj och dina arbetskollegor i en sluten grupp...

…det är så mycket mer trovärdigt att de måste få en mycket bättre framgångsgrad när det gäller att locka in nya offer än vad de gör med spray-och-be-grejer som e-post eller SMS.

---

DOUG.  OK, vi kommer att hålla ett öga på det – det utvecklas fortfarande.

Men några goda nyheter, äntligen: denna "Cryptorom"-bedrägeri, som är en krypto-/romantisk bedrägeri...

…vi har några arresteringar, stora arresteringar, eller hur?

Multimiljondollar CryptoRom-bedrägeriwebbplatser beslagtagna, misstänkta arresterade i USA

---

ANKA.  Ja.

Detta tillkännagavs av det amerikanska justitiedepartementet [DOJ]: sju sajter associerade med så kallade Cryptorom-bedragare togs ner.

Och den rapporten kopplar också till det faktum att, jag tror, ​​11 personer nyligen arresterades i USA.

Nu, Cryptorom, det är ett namn som SophosLabs forskare gav till just detta system för cyberbrottslighet eftersom det, som du säger, förenar det tillvägagångssätt som används av romantiska bedragare (dvs. leta upp dig på en dejtingsajt, skapa en falsk profil, bli kompisar med dig) med cryptocurrency bedrägeri.

Istället för "Hej, jag vill att du ska bli kär i mig; låt oss gifta oss; nu skicka mig pengar för visum" typ av bluff...

… skurkarna säger, "Ja, vi kanske inte kommer att bli ett föremål, men vi är fortfarande bra kompisar. [DRAMATISK RÖST] Har jag en investeringsmöjlighet för dig!”

Så det känns plötsligt som att det kommer från någon man kan lita på.

Det är en bluff som går ut på att övertala dig till att installera en app utanför marknaden, även om du har en iPhone.

"Det är fortfarande under utveckling; det är så nytt; du är så viktig; du har rätt i kärnan av det. Det är fortfarande under utveckling, så registrera dig för TestFlight, betaprogrammet.”

Eller så kommer de att säga: "Åh, vi publicerar det bara för personer som går med i vår verksamhet. Så ge oss mobilenhetshantering (MDM) kontroll över din telefon, och sedan kan du installera den här appen. [SECRETIVE VOICE} Och berätta inte för någon om det. Det kommer inte att finnas i appbutiken; du är speciell."

Och, naturligtvis, appen ser ut som en app för handel med kryptovalutor, och den stöds av söta grafer som bara konstigt nog fortsätter att stiga, Doug.

Dina investeringar går aldrig riktigt ner... men allt är ett paket lögner.

Och sedan, när du vill ha ut dina pengar, ja (typiskt Ponzi- eller pyramid-trick), ibland låter de dig ta ut lite pengar... du testar, så du tar ut lite, och du får det tillbaka.

Naturligtvis ger de dig bara pengarna som du redan lagt tillbaka, eller en del av dem.

---

DOUG.  [SAD] Ja.

---

ANKA.  Och då ökar dina investeringar!

Och så är de över dig: ”Tänk om du inte har tagit ut de pengarna? Varför sätter du inte tillbaka pengarna? Hej, vi kommer till och med att låna dig lite mer pengar; vi tar med dig något. Och varför inte få in dina kompisar? För något stort kommer!”

Så du lägger in pengarna och något stort händer, som att priset skjuter i höjden, och du säger: "Wow, jag är så glad att jag återinvesterade pengarna som jag tog ut!"

Och du tänker fortfarande, "Det faktum att jag kunde ha dragit tillbaka det måste betyda att dessa människor är legitima."

Det är de naturligtvis inte – det är bara ett större paket lögner än vad det var i början.

Och sedan, när du äntligen tänker, "det är bäst att jag tar ut pengar", plötsligt uppstår alla möjliga problem.

"Tja, det finns en skatt," Doug, "det finns en statlig källskatt."

Och du säger, "OK, så jag kommer att ha 20 % hackad av toppen."

Sedan är historien: "Faktiskt, nej, det är inte *tekniskt* en källskatt." (Det är där de bara tar ut pengarna från summan och ger dig resten)

"Faktiskt är ditt konto *fryst*, så regeringen kan inte hålla inne pengarna."

Du måste betala in skatten... då får du tillbaka hela beloppet.

---

DOUG.  Åh, Gud!

---

ANKA.  Du borde känna lukten av en råtta vid det här laget... men de är över dig; de pressar dig; de odlar ogräs; om de inte odlar så säger de till dig: "Ja, du kan hamna i problem. Regeringen kanske är ute efter dig!”

Folk lägger in 20% och sedan, som jag skrev [i artikeln], hoppas jag att jag inte ska vara oförskämd: GAME OVER, INSERT MYNT FÖR ATT BÖRJA NYTT SPEL.

Faktum är att du sedan kan bli kontaktad efteråt av någon som bara mirakulöst, Doug, säger: "Hej, har du blivit lurad av Cryptorom-bedrägerier? Tja, jag undersöker och jag kan hjälpa dig att få tillbaka pengarna."

Det är en hemsk sak att vara med i, för allt börjar med "rom" [romantik] delen.

De är faktiskt inte ute efter romantik, men de *är* efter tillräckligt med vänskap så att du känner att du kan lita på dem.

Så du går faktiskt in på något "speciellt" - det är därför dina vänner och familj inte var inbjudna.

---

DOUG.  Vi har pratat om den här historien flera gånger tidigare, inklusive råden som finns i artikeln här.

Demonteringen [huvudsak] i rådskolumnen är: Lyssna öppet på dina vänner och familj om de försöker varna dig.

Psykologisk krigföring, så att säga!

---

ANKA.  Verkligen.

Och näst sist är också en att komma ihåg: Låt dig inte luras för att du går till en bedragares webbplats och det ser ut som den riktiga affären.

Du tänker, "Golly, hade de verkligen råd att betala professionella webbdesigners?"

Men om du tittar på hur mycket pengar de här killarna tjänar: [A] ja, det kan de, och [B] de behöver inte ens göra det.

Det finns massor av verktyg där ute som bygger högkvalitativa, visuellt vänliga webbplatser med realtidsgrafer, realtidstransaktioner, magiskt utseende, vackra webbformulär...

---

DOUG.  Exakt.

Det är faktiskt riktigt svårt att göra en *dålig* hemsida nuförtiden.

Du måste anstränga dig extra mycket!

---

ANKA.  Den kommer att ha ett HTTPS-certifikat; det kommer att ha ett domännamn som ser tillräckligt legitimt ut; och naturligtvis, i det här fallet, är det kopplat till en app *som dina vänner inte kan kolla in åt dig genom att ladda ner själva* från App Store och säga "Vad i hela friden tänkte du på?"

För det är en "hemlig specialapp", genom "superspeciella" kanaler, som bara gör det lättare för skurkarna att lura dig genom att se mer än tillräckligt bra ut.

Så ta hand om er, gott folk!

---

DOUG.  Ta hand!

Och låt oss hålla oss till ämnet tillslag.

Det här är ytterligare ett stort tillslag – den här historien är verkligen spännande för mig, så jag är intresserad av att höra hur du reder ut den:

Röstbedrägerisidan "iSpoof" beslagtagen, 100-tals arresterade i massiv tillslag

Det här är en sajt för röstbedrägeri som hette iSspoof... och jag är chockad över att den fick fungera.

Det här är inte en darkweb-sajt, det är på den vanliga webben.

---

ANKA.  Jag antar att om allt din webbplats gör är, "Vi kommer att erbjuda dig Voice Over IP-tjänster [VoIP] med mervärde som inkluderar att ställa in dina egna samtalsnummer"...

...om de inte öppet säger, "Det primära målet med detta är att begå cyberbrottslighet", kanske det inte finns någon juridisk skyldighet för webbhotellet att ta ner webbplatsen.

Och om du är värd för det själv, och du är skurken... Jag antar att det är ganska svårt.

Det krävdes till slut ett domstolsbeslut, som jag tror förvärvat av FBI och avrättat av justitiedepartementet, för att gå och göra anspråk på dessa domäner och lägga upp [ett meddelande som säger] "Den här domänen har beslagtagits."

Så det var en ganska lång operation, som jag förstår, att bara försöka komma bakom detta.

Problemet här är att det gjorde det väldigt enkelt för dig att starta en bedrägeritjänst där, när du ringer någon, deras telefon skulle dyka upp med namnet på deras High Street-bank som de själva hade skrivit in i sin telefonkontaktlista, striagh off *bankens egen hemsida*.

Eftersom det tyvärr finns lite eller ingen autentisering i protokollet för nummerpresentation eller nummerpresentation.

De där numren som dyker upp innan du svarar på samtalet?

De är inte bättre än tips, Doug.

Men tyvärr tar folk dem som en slags evangeliesanning: ”Det står att det är banken. Hur kunde någon förfalska det? Det MÅSTE vara banken som ringer mig.”

Inte nödvändigtvis!

Om du tittar på antalet samtal som gjordes... vad var det, tre och en halv miljon bara i Storbritannien?

10 miljoner i hela Europa?

Jag tror att det var tre och en halv miljon samtal de ringde; 350,000 XNUMX av dessa besvarades och varade sedan i mer än en minut, vilket tyder på att personen började tro på hela spoofingen.

Så: "Överför pengar till fel konto", eller "Läs upp din tvåfaktorsautentiseringskod", eller "Låt oss hjälpa dig med ditt tekniska problem – låt oss börja med att installera TeamViewer", eller vad som helst.

Och till och med bli inbjuden av skurkarna: "Kontrollera numret om du inte tror mig!"

---

DOUG.  Det leder oss till en fråga som jag hade hela tiden när jag läste den här artikeln, och den passar bra ihop med vår läsarkommentar för veckan.

Läsaren Mahnn kommenterar: "Telekomföretagen borde få en rättvis del av skulden för att de tillåter spoofing på deras nätverk."

Så, i den andan, Paul, finns det något teleföretag kan göra för att stoppa detta?

---

ANKA.  Spännande nog sa nästa kommentator (tack, John, för den här kommentaren!) "Jag önskar att du hade nämnt två saker som heter STIR and SHAKEN."

Det här är amerikanska initiativ – för att ni älskar era backronymer, gillar ni inte CAN-SPAM Act?

---

DOUG.  Vi gör!

---

ANKA.  Så, RÖR är "säker telefonidentitet återbesökt".

Och SHAKEN står tydligen för (skjut inte mig, jag är bara budbäraren, Doug!)... vad är det, "signaturbaserad hantering av påstådd information med hjälp av tokens".

Så det är i princip som att säga: "Vi har äntligen vant oss vid att använda TLS/HTTPS för webbplatser."

Det är inte perfekt, men det ger åtminstone ett visst mått så att du kan verifiera certifikatet om du vill, och det stoppar vem som helst att låtsas vara vem som helst, när som helst de vill.

Problemet är att det här bara är initiativ, vad jag vet.

Vi har tekniken för att göra detta, åtminstone för internettelefoni...

…men titta på hur lång tid det tog oss att göra något så enkelt som att få HTTPS på nästan alla webbplatser i världen.

Det blev en enorm motreaktion mot det.

---

DOUG.  Ja!

---

ANKA.  Och ironiskt nog kom det inte från tjänsteleverantörerna.

Det kom från folk som sa: "Ja, jag driver en liten webbplats, så varför skulle jag behöva bry mig om det här? Varför skulle jag behöva bry mig?”

Så jag tror att det kan ta många år innan det finns någon stark identitet förknippad med inkommande telefonsamtal...

---

DOUG.  OK, så det kan ta ett tag, men som du säger, vi har valt våra akronymer, vilket är ett mycket viktigt första steg.

Så vi har fått det ur vägen... och vi får se om det här tar form så småningom.

Så tack, Mahnn, för att du skickade in det.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala: @NakedSecurity.

Det är vår show för idag; tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, och påminner dig: Tills nästa gång...

---

BÅDE.  Håll dig säker.

[MUSIKALT MODEM]