S3 Ep103: Scammers in the Slammer (และเรื่องอื่น ๆ ) [เสียง + ข้อความ]

คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์

ดั๊ก.  Zero-day สองเท่าของ Microsoft คุกสำหรับผู้หลอกลวงและการโทรศัพท์ปลอม

ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security

[โมเด็มดนตรี]

ยินดีต้อนรับสู่พอดคาสต์ทุกคน ฉันคือดั๊ก อามอธ

เขาคือพอล ดักคลิน…

---

เป็ด.  เป็นความยินดีอย่างยิ่ง ดักลาส

---

ดั๊ก.  ฉันมีบ้าง ประวัติเทคโนโลยี สำหรับคุณและมันจะย้อนกลับ ทาง ทาง ทางกลับ และเกี่ยวข้องกับเครื่องคิดเลข

ในสัปดาห์นี้ เมื่อวันที่ 7 ตุลาคม พ.ศ. 1954 IBM ได้สาธิตเครื่องคำนวณทรานซิสเตอร์ทั้งหมดตัวแรกของชนิด

พื้นที่ เครื่องเจาะคำนวณอิเล็กทรอนิกส์ของ IBMอย่างที่เรียกกันว่า เปลี่ยนหลอดสุญญากาศ 1250 หลอดสำหรับทรานซิสเตอร์ 2000 ตัว ซึ่งลดระดับเสียงลงครึ่งหนึ่งและใช้พลังงานเพียง 5% เท่านั้น

---

เป็ด.  ว้าว!

ฉันไม่เคยได้ยินชื่อ “604” นั้นเลย ฉันจึงไปค้นดูก็ไม่พบภาพ

เห็นได้ชัดว่า นั่นเป็นเพียงโมเดลทดลอง และไม่กี่เดือนต่อมาพวกเขาก็นำโมเดลที่คุณสามารถซื้อออกได้ ซึ่งเรียกว่า 608 และพวกเขาได้เพิ่มทรานซิสเตอร์เป็น 3000 ตัว

แต่อย่าลืมว่าดั๊ก นี่ไม่ใช่ทรานซิสเตอร์เหมือนในวงจรรวม [ไอซี] เพราะยังไม่มีไอซี

ที่ที่คุณจะมีวาล์ว วาล์วเทอร์มิโอนิก (หรือ "toob" [หลอดสุญญากาศ] อย่างที่พวกคุณเรียกกันว่า) จะมีทรานซิสเตอร์แบบต่อสายแทน

ดังนั้นถึงแม้จะเล็กกว่ามาก แต่ก็ยังเป็นส่วนประกอบที่ไม่ต่อเนื่อง

เมื่อนึกถึง “เครื่องคิดเลข” นึกถึง “เครื่องคิดเลขพกพา”...

---

ดั๊ก.  โอ้ไม่ไม่ไม่ไม่!

---

เป็ด.  “ไม่” อย่างที่คุณว่า...

…ขนาดตู้เย็นใหญ่มาก!

จากนั้นคุณต้องมีตู้เย็นขนาดใหญ่มากข้างๆ ในรูปที่ฉันเห็น ซึ่งฉันคิดว่ามีไว้สำหรับป้อนข้อมูล

แล้วก็มีวงจรควบคุมอื่นๆ ซึ่งดูเหมือนตู้แช่แข็งขนาดใหญ่มาก ถัดจากตู้เย็นขนาดใหญ่มากสองตู้

ฉันไม่ได้ตระหนักถึงสิ่งนี้ แต่เห็นได้ชัดว่า Thomas Watson [CEO ของ IBM] ในเวลานั้นได้ออกกฤษฎีกานี้สำหรับ IBM ทั้งหมด: "ไม่อนุญาตให้ผลิตภัณฑ์ใหม่ใช้วาล์ว หลอดสุญญากาศ เรากำลังโอบรับ รับรอง และใช้ทรานซิสเตอร์เท่านั้น”

และนั่นคือที่ที่ทุกอย่างดำเนินไปหลังจากนั้น

ดังนั้น แม้ว่าสิ่งนี้จะอยู่ในแนวหน้าของการปฏิวัติทรานซิสเตอร์ แต่ดูเหมือนว่าในไม่ช้ามันก็ถูกแทนที่… มันออกสู่ตลาดได้เพียงประมาณ 18 เดือนเท่านั้น

---

ดั๊ก.  เอาล่ะ มาพูดถึงเรื่องใหญ่ๆ กันดีกว่า และอัปเดตผู้ฟังของเราเกี่ยวกับ Microsoft Exchange double zero-day นี้

เราได้ครอบคลุมมันใน มินิโซดา; เราได้ครอบคลุมมัน บนเว็บไซต์… แต่มีอะไรใหม่ที่เราควรรู้?

---

เป็ด.  ไม่น่าเลย ดักลาส

ดูเหมือนว่าจะไม่ได้เข้ายึดครองโลกไซเบอร์หรือการดำเนินการด้านความปลอดภัย [SecOps] เช่น ProxyShell และ Log4Shell ได้:

ฉันเดาว่ามีเหตุผลสองประการ

ประการแรกคือรายละเอียดที่แท้จริงของช่องโหว่ยังคงเป็นความลับ

พวกเขารู้จักบริษัทเวียดนามที่ค้นพบมัน จนถึง ZeroDay Initiative [ZDI] ที่มีการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ และต่อ Microsoft

และดูเหมือนว่าทุกคนจะเก็บมันไว้ใต้หมวกของพวกเขา

เท่าที่ฉันรู้ ไม่มีแนวคิดที่พิสูจน์ได้ 250 รายการ "ลองใช้เลย!" ที่เก็บ GitHub ที่คุณทำเองได้

ประการที่สอง จำเป็นต้องมีการเข้าถึงที่รับรองความถูกต้อง

และความรู้สึกลึกๆ ของฉันก็คือ "นักวิจัยด้านความปลอดภัยทางไซเบอร์" ที่อยากจะเป็นทุกคน (ใส่เครื่องหมายคำพูดอากาศยักษ์ไว้ที่นี่) ที่กระโดดเข้าสู่กลุ่มของการโจมตีทางอินเทอร์เน็ตด้วย Proxyshell หรือ Log4Shell โดยอ้างว่าพวกเขากำลังทำโลกแห่งการบริการ: "เฮ้ หากบริการเว็บของคุณมีช่องโหว่ ฉันจะรู้และจะบอกคุณ”…

…ฉันสงสัยว่าคนจำนวนมากจะคิดสองครั้งเกี่ยวกับการพยายามโจมตีแบบเดียวกันโดยที่พวกเขาต้องเดารหัสผ่านจริงๆ

รู้สึกว่าเป็นอีกด้านของเส้นที่ค่อนข้างสำคัญในทรายใช่ไหม

---

ดั๊ก.  เอ่อ.

---

เป็ด.  หากคุณมีเว็บเซิร์ฟเวอร์แบบเปิดที่ออกแบบมาเพื่อรับคำขอ ซึ่งต่างจากการส่งคำขอไปยังเซิร์ฟเวอร์ที่คุณรู้ว่าไม่ควรจะเข้าถึงอย่างมาก และพยายามระบุรหัสผ่านที่คุณรู้ว่าไม่ควร ที่จะรู้ว่าถ้ามันสมเหตุสมผล

---

ดั๊ก.  ใช่.

---

เป็ด.  ข่าวดีก็คือดูเหมือนว่าจะไม่ถูกเอารัดเอาเปรียบอย่างกว้างขวาง…

…แต่ยังไม่มีแพทช์ออกมา

และฉันคิดว่าทันทีที่แพตช์ปรากฏขึ้น คุณจะต้องได้รับมันอย่างรวดเร็ว

อย่ารอช้า เพราะฉันคิดว่าจะมีความคลั่งไคล้ในการป้อนอาหารอยู่บ้าง พยายามทำวิศวกรรมย้อนกลับของแพตช์ เพื่อค้นหาว่าคุณใช้ประโยชน์จากสิ่งนี้อย่างน่าเชื่อถือได้อย่างไร

เพราะเท่าที่เราทราบ มันใช้งานได้ค่อนข้างดี หากคุณมีรหัสผ่าน คุณสามารถใช้ช่องโหว่แรกเพื่อเปิดประตูสู่ช่องโหว่ที่สอง ซึ่งช่วยให้คุณเรียกใช้ PowerShell บนเซิร์ฟเวอร์ Exchange ได้

และนั่นจะไม่มีวันจบลงด้วยดี

ฉันได้ดูเอกสาร Guideline ของ Microsoft เมื่อเช้านี้ (เรากำลังบันทึกในวันพุธของสัปดาห์) แต่ฉันไม่เห็นข้อมูลใดๆ เกี่ยวกับแพตช์หรือเมื่อใดจะมีให้ใช้งาน

วันอังคารหน้าคือ Patch Tuesday ดังนั้นบางทีเราอาจจะต้องรอจนกว่าจะถึงตอนนั้น?

---

ดั๊ก.  ตกลง เราจะคอยจับตาดู และโปรดอัปเดตและแก้ไขเมื่อคุณเห็นมัน... มันสำคัญ

ฉันจะวนกลับไปที่เครื่องคิดเลขของเราแล้วให้ สมการน้อย.

มันเป็นแบบนี้: 2 ปีของการหลอกลวง + 10 ล้านเหรียญที่ถูกหลอกลวง = 25 ปีในคุก:

---

เป็ด.  นี่คืออาชญากร – ตอนนี้เราสามารถเรียกเขาแบบนั้นได้ เพราะเขาไม่เพียงแต่ถูกตัดสินว่ามีความผิด แต่ถูกพิพากษาด้วยชื่อที่ฟังดูน่าทึ่ง: Elvis Eghosa Ogiekpolor

และเขาได้ดำเนินการในสิ่งที่คุณอาจเรียกว่าไซเบอร์แก๊งช่างฝีมือในแอตแลนต้า จอร์เจีย ในสหรัฐอเมริกาเมื่อสองสามปีก่อน

ภายในเวลาเพียงสองปี ถ้าคุณชอบ พวกเขาได้ร่วมฉลองกับบริษัทที่โชคร้ายที่ตกเป็นเหยื่อของสิ่งที่เรียกว่า Business Email Compromise [BEC] และบุคคลที่โชคร้ายที่พวกเขาล่อลวงให้หลอกลวงเรื่องรักๆ ใคร่ๆ… และทำเงินได้ 10 ล้านดอลลาร์

เอลวิส (ฉันจะเรียกเขาแบบนั้น)… ในกรณีนี้ เขามีทีมที่ร่วมกันสร้างเว็บทั้งหมดของการฉ้อโกงเปิดบัญชีธนาคารในสหรัฐฯ ที่เขาสามารถฝากเงินและฟอกเงินได้

และเขาไม่เพียงแต่ถูกตัดสินว่ากระทำผิดเท่านั้น แต่ยังถูกพิพากษาอีกด้วย

เห็นได้ชัดว่าผู้พิพากษาตัดสินว่าลักษณะของอาชญากรรมนี้และลักษณะของการตกเป็นเหยื่อนั้นร้ายแรงพอสมควรที่เขาต้องโทษจำคุก 25 ปี

---

ดั๊ก.  มาดูการประนีประนอมอีเมลธุรกิจกัน

ฉันคิดว่ามันน่าทึ่งมาก คุณกำลังแอบอ้างที่อยู่อีเมลของใครบางคน หรือคุณเคยถูกขโมยที่อยู่อีเมลจริงของพวกเขาไปแล้ว

และด้วยเหตุนี้ เมื่อคุณดึงใครซักคนได้แล้ว คุณก็สามารถทำสิ่งต่างๆ ได้มากมาย

คุณระบุไว้ในบทความที่นี่ – ฉันจะอธิบายอย่างรวดเร็ว

คุณสามารถเรียนรู้ได้เมื่อถึงกำหนดชำระจำนวนมาก...

---

เป็ด.  จริง

แน่นอน หากคุณส่งจดหมายจากภายนอก และคุณแค่ปลอมแปลงส่วนหัวของอีเมลเพื่อแสร้งทำเป็นว่าอีเมลนั้นมาจาก CFO คุณต้องเดาว่า CFO รู้อะไร

แต่ถ้าคุณสามารถเข้าสู่ระบบบัญชีอีเมลของ CFO ได้ตั้งแต่เช้าตรู่ก่อนที่พวกเขาจะทำ คุณจะสามารถมองไปรอบๆ สิ่งที่ยิ่งใหญ่ทั้งหมดที่เกิดขึ้น และคุณสามารถจดบันทึกได้

ดังนั้น เมื่อคุณมาแอบอ้างเป็นพวกเขา ไม่เพียงแต่คุณจะส่งอีเมลที่มาจากบัญชีของพวกเขาจริงๆ เท่านั้น คุณยังทำเช่นนั้นด้วยความรู้วงในจำนวนมหาศาล

---

ดั๊ก.  และแน่นอน เมื่อคุณได้รับอีเมลที่คุณขอให้พนักงานที่ไม่รู้จักโอนเงินจำนวนหนึ่งไปให้ผู้ขายรายนี้ แล้วพวกเขาก็พูดว่า "นี่เรื่องจริงเหรอ"...

…หากคุณเข้าถึงระบบอีเมลจริงได้แล้ว คุณสามารถตอบกลับได้ “แน่นอนว่ามันเป็นเรื่องจริง ดูที่อยู่อีเมล - ฉันเอง CFO”

---

เป็ด.  และแน่นอน ยิ่งกว่านั้น คุณสามารถพูดได้ว่า “ยังไงก็ตาม นี่คือการซื้อกิจการ นี่คือข้อตกลงที่จะขโมยการเดินขบวนใส่คู่แข่งของเรา จึงเป็นความลับของบริษัท อย่าบอกใครในบริษัทนะ”

---

ดั๊ก.  ใช่ – คำสาปแช่งสองเท่า!

คุณสามารถพูดว่า “ฉันเอง เรื่องจริง แต่นี่เป็นเรื่องใหญ่ เป็นความลับ อย่าบอกใครเลย ไม่มีไอที! อย่ารายงานว่านี่เป็นข้อความที่น่าสงสัย”

จากนั้นคุณสามารถเข้าไปในโฟลเดอร์ส่งแล้วและลบอีเมลปลอมที่คุณส่งในนามของ CFO เพื่อไม่ให้ใครเห็นว่าคุณอยู่ในนั้นเพื่อค้นหาข้อมูล

และหากคุณเป็นนักต้มตุ๋น BEC ที่ "ดี" คุณจะต้องค้นหาอีเมลเก่าของพนักงานจริงๆ และจับคู่สไตล์ของผู้ใช้รายนั้นด้วยการคัดลอกและวางวลีทั่วไปที่บุคคลนั้นใช้

---

เป็ด.  อย่างแน่นอน ดั๊ก

ฉันคิดว่าเราเคยคุยกันแล้ว เมื่อเราพูดถึงฟิชชิ่งอีเมล… เกี่ยวกับผู้อ่านที่เคยรายงานมาว่า “ใช่ ฉันเจอแบบนี้ แต่ฉันดังก้องทันทีเพราะคนๆ นั้นใช้คำทักทายในอีเมลว่า เพียงเพื่อให้ออกจากตัวอักษร”

หรือมีอิโมจิบางอย่างในการลงชื่อออก เช่น หน้ายิ้ม [หัวเราะ] ซึ่งฉันรู้ว่าคนๆ นี้ไม่มีวันทำแบบนั้น

แน่นอน หากคุณเพียงแค่คัดลอกและวางอินโทรและเอาท์โทรมาตรฐานจากอีเมลฉบับก่อนๆ คุณก็จะหลีกเลี่ยงปัญหาประเภทนั้นได้

และอีกอย่าง ดั๊ก คือถ้าคุณส่งอีเมลจากบัญชีจริง อีเมลจะได้ลายเซ็นของบุคคลนั้นจริง ๆ ใช่ไหม

ซึ่งถูกเพิ่มโดยเซิร์ฟเวอร์ของบริษัท และทำให้ดูเหมือนสิ่งที่คุณคาดหวัง

---

ดั๊ก.  แล้วฉันก็รักการลงจากหลังม้านี้ ...

…ในฐานะอาชญากรชั้นยอด ไม่เพียงแต่คุณจะฉ้อฉลบริษัทเท่านั้น คุณยังต้องติดตาม *ลูกค้า* ของบริษัทด้วยว่า “เฮ้ คุณช่วยชำระใบแจ้งหนี้นี้เดี๋ยวนี้ แล้วส่งไปที่ใบใหม่นี้ได้ไหม” บัญชีธนาคาร?"

คุณสามารถหลอกลวงไม่เพียงแต่บริษัท แต่บริษัทที่บริษัททำงานด้วย

---

เป็ด.  อย่างแน่นอน

---

ดั๊ก.  และเกรงว่าคุณจะคิดว่าเอลวิสเป็นเพียงบริษัทที่หลอกลวง

---

เป็ด.  กระทรวงยุติธรรมรายงานว่าธุรกิจบางส่วนที่พวกเขาหลอกลวงถูกขโมยเงินไปหลายแสนดอลลาร์ในแต่ละครั้ง

และอีกด้านของการฉ้อโกงของพวกเขาก็คือการไล่ตามบุคคล ในสิ่งที่เรียกว่าการหลอกลวงเรื่องรัก ๆ ใคร่ ๆ

เห็นได้ชัดว่ามีคน 13 คนที่ออกมาเป็นพยานในคดีนี้ และตัวอย่างสองตัวอย่างที่ DOJ (กระทรวงยุติธรรม) กล่าวถึงนั้น ฉันคิดว่า 32,000 ดอลลาร์และ 70,000 ดอลลาร์ตามลำดับ

---

ดั๊ก.  ตกลง เรามีคำแนะนำเกี่ยวกับวิธีการปกป้องธุรกิจของคุณจากการประนีประนอมอีเมลธุรกิจ และวิธีป้องกันตัวเองจากการหลอกลวงเรื่องความรัก

เริ่มต้นด้วยการประนีประนอมอีเมลธุรกิจ

ฉันชอบข้อแรกนี้เพราะมันง่ายและผลไม้ห้อยต่ำมาก: สร้างบัญชีอีเมลส่วนกลางเพื่อให้พนักงานรายงานอีเมลที่น่าสงสัย

---

เป็ด.  ใช่ถ้าคุณมี security@example.comสมมุติว่าคุณจะดูแลบัญชีอีเมลนั้นอย่างระมัดระวัง และคุณสามารถโต้แย้งได้ว่าผู้ประนีประนอมอีเมลธุรกิจมีโอกาสน้อยที่จะประนีประนอมบัญชี SecOps เมื่อเทียบกับบัญชีประนีประนอมของพนักงานสุ่มคนอื่นๆ ในบริษัท

และน่าจะเป็นไปได้ว่า หากคุณมีคนอย่างน้อยสองสามคนที่สามารถจับตาดูสิ่งที่เกิดขึ้นได้ คุณจะมีโอกาสได้รับคำตอบที่เป็นประโยชน์และมีเจตนาดีจากที่อยู่อีเมลนั้นมากกว่าแค่ถาม บุคคลที่เกี่ยวข้อง

แม้ว่าอีเมลของ CFO จะไม่ถูกบุกรุก… หากคุณมีอีเมลฟิชชิ่ง แล้วคุณถาม CFO ว่า “นี่ ถูกต้องหรือไม่” คุณกำลังทำให้ CFO อยู่ในตำแหน่งที่ยากมาก

คุณกำลังพูดว่า “คุณทำราวกับว่าคุณเป็นผู้เชี่ยวชาญด้านไอที นักวิจัยด้านความปลอดภัยทางไซเบอร์ หรือเจ้าหน้าที่ปฏิบัติการด้านความปลอดภัยได้ไหม”

ดีกว่ามากที่จะรวมศูนย์นั้นไว้ ดังนั้นจึงมีวิธีง่ายๆ ที่ผู้คนจะรายงานบางอย่างที่ดูไม่เข้าท่า

นอกจากนี้ยังหมายความว่าหากสิ่งที่คุณทำตามปกติเป็นเพียงการพูดว่า "นั่นมันฟิชชิ่งชัดๆ เดี๋ยวจะลบ”…

…โดยการส่งเข้ามา แม้ว่า *คุณ* คิดว่าชัดเจน คุณอนุญาตให้ทีม SecOps หรือทีม IT เตือนส่วนที่เหลือของบริษัท

---

ดั๊ก.  เอาล่ะ

และคำแนะนำต่อไป: หากมีข้อสงสัย ให้ตรวจสอบกับผู้ส่งอีเมลโดยตรง

และเพื่อไม่ให้เสียเส้นมุก อาจจะไม่ผ่านทางอีเมลด้วยวิธีอื่น...

---

เป็ด.  ไม่ว่าจะใช้กลไกอะไรในการส่งข้อความถึงคุณ คุณไม่ไว้ใจ อย่าส่งข้อความกลับผ่านระบบเดิม!

หากบัญชีไม่ถูกแฮ็ก คุณจะได้รับคำตอบว่า “ไม่เป็นไร ไม่เป็นไร”

และหากบัญชี *ถูก* ถูกแฮ็ก คุณจะได้รับข้อความตอบกลับว่า “ไม่เป็นไร ไม่เป็นไร!” [หัวเราะ]

---

ดั๊ก.  เอาล่ะ

และสุดท้าย แต่ไม่ท้ายสุด: ต้องมีการให้สิทธิ์สำรองสำหรับการเปลี่ยนแปลงรายละเอียดการชำระเงินของบัญชี

---

เป็ด.  หากคุณมีตาที่สองเกี่ยวกับปัญหา – การอนุญาตรอง – ที่ [A] ทำให้คนในวงที่คดโกงสามารถหลบหนีจากการหลอกลวงได้ยากขึ้นหากพวกเขากำลังช่วยเหลือ และ [B] หมายความว่าไม่มีใครใคร เห็นได้ชัดว่าพยายามช่วยเหลือลูกค้า ต้องแบกรับความรับผิดชอบและแรงกดดันทั้งหมดในการตัดสินใจว่า “สิ่งนี้ถูกกฎหมายหรือไม่”

สองตามักจะดีกว่าตาเดียว

หรือบางทีฉันหมายถึงสี่ตามักจะดีกว่าสอง...

---

ดั๊ก.  ใช่. [หัวเราะ].

หันมาสนใจการหลอกลวงเรื่องความรักกันดีกว่า

คำแนะนำชิ้นแรกคือ: ช้าลงเมื่อการพูดคุยเรื่องการออกเดทเปลี่ยนจากมิตรภาพ ความรัก หรือความโรแมนติกมาเป็นเงิน

---

เป็ด.  ใช่.

เดือนตุลาคม ใช่ไหม ดั๊ก

เป็นเดือนแห่งการให้ความรู้ด้านความปลอดภัยทางไซเบอร์อีกครั้ง… #cybermonth หากคุณต้องการติดตามว่าผู้คนกำลังทำอะไรและพูดอะไรบ้าง

มีคติประจำใจเล็กๆ น้อยๆ นั้น (นั่นคือคำที่ถูกต้องหรือ?) ที่เราเคยพูดกันหลายครั้งในพอดคาสต์ เพราะฉันรู้ว่าคุณและฉันชอบมัน ดั๊ก

นี่มาจากบริการสาธารณะของสหรัฐอเมริกา…

---

ทั้งสอง  หยุด. (ระยะเวลา.)

คิด. (ระยะเวลา.)

เชื่อมต่อ. (ระยะเวลา.)

---

เป็ด.  อย่ารีบร้อนจนเกินไป!

มันเป็นคำถามของ "การทำธุรกรรมในความเร่งรีบกลับใจในยามว่าง" เมื่อพูดถึงเรื่องออนไลน์

---

ดั๊ก.  และคำแนะนำอื่นที่อาจเป็นเรื่องยากสำหรับบางคน… แต่ให้มองเข้าไปในตัวเองแล้วลองทำตาม: รับฟังเพื่อนและครอบครัวของคุณอย่างเปิดเผยหากพวกเขาพยายามเตือนคุณ

---

เป็ด.  ใช่.

ฉันเคยไปงานอีเวนต์ด้านความปลอดภัยทางไซเบอร์ที่จัดการกับปัญหาการหลอกลวงเรื่องรัก ๆ ใคร่ ๆ มาก่อน ตอนที่ฉันทำงานที่ Sophos Australia

เป็นเรื่องน่าปวดหัวที่ได้ยินเรื่องเล่าจากคนในกรมตำรวจที่มีหน้าที่พยายามเข้าไปแทรกแซงกลโกง ณ จุดนี้...

…และเพียงเพื่อดูว่าตำรวจเหล่านี้บางส่วนดูอึมครึมเพียงใดเมื่อพวกเขากลับมาจากการเยี่ยมเยียน

ในบางกรณี ทั้งครอบครัวถูกหลอกให้หลอกลวง

สิ่งเหล่านี้เป็นประเภท "การลงทุนทางการเงิน" มากกว่าแบบรัก ๆ ใคร่ ๆ แต่ * ทุกคน * อยู่เคียงข้างผู้หลอกลวง ดังนั้นเมื่อหน่วยงานบังคับใช้กฎหมายไปที่นั่น ครอบครัวก็มี "คำตอบทั้งหมด" ที่ได้รับอย่างรอบคอบจาก ข้อพับ

และในการหลอกลวงเรื่องรัก ๆ ใคร่ ๆ พวกเขาจะไม่คิดว่าจะมีอะไรมายุ่งเกี่ยวกับความสนใจในความรักของคุณ *และ* ทำให้เกิดความเชื่อมโยงระหว่างคุณและครอบครัว ดังนั้นคุณจึงหยุดฟังคำแนะนำของพวกเขา

ดังนั้น ระวังให้ดีว่าคุณจะไม่ต้องเหินห่างจากครอบครัวและบัญชีธนาคารของคุณ

---

ดั๊ก.  เอาล่ะ

แล้วก็มีคำแนะนำสุดท้ายคือ มีวิดีโอดีๆ ฝังอยู่ในบทความ

บทความนี้มีชื่อว่า Romance Scammer และ BEC Fraudster ถูกจำคุกเป็นเวลา 25 ปี:

ดูวิดีโอนั้นมีเคล็ดลับดีๆ มากมาย

มาพูดถึงเรื่องหลอกลวงกันต่อไป และพูดคุยเกี่ยวกับนักต้มตุ๋นและผู้โทรที่หลอกลวง

เป็นไปได้ไหมที่จะหยุดการโทรหลอกลวง?

เป็นเรื่องที่ คำถามใหญ่ ของวันนี้:

---

เป็ด.  มีการโทรหลอกลวงและมีสายที่น่ารำคาญ

บางครั้ง การโทรที่สร้างความรำคาญดูเหมือนจะเข้ามาใกล้มากกับการโทรหลอกลวง

คนเหล่านี้คือตัวแทนธุรกิจที่ถูกกฎหมาย [รำคาญ] แต่พวกเขาไม่ยอมหยุดโทรหาคุณ [ทำให้ตื่นเต้นมากขึ้น] ไม่ว่าคุณจะบอกพวกเขาว่า “ฉันอยู่ในรายการห้ามโทร [โกรธ] ดังนั้นอย่าโทรอีก".

ดังนั้นฉันจึงเขียนบทความเกี่ยวกับ Naked Security บอกผู้คนว่า… หากคุณสามารถพาตัวเองไปทำสิ่งนี้ได้ (ฉันไม่ได้แนะนำให้คุณควรทำสิ่งนี้ทุกครั้ง มันเป็นเรื่องยุ่งยากจริงๆ) ปรากฎว่าถ้าคุณ *ทำ* บ่น บางครั้งก็มีผล

และสิ่งที่ทำให้ฉันต้องเขียนเรื่องนี้ก็คือ บริษัทสี่แห่งที่จำหน่ายผลิตภัณฑ์ "สิ่งแวดล้อม" ถูกจับโดยสำนักงานกรรมาธิการข้อมูล [ICO, UK Data Privacy regulator] และปรับระหว่างหมื่นถึงหลายแสนปอนด์สำหรับการโทรหาผู้ที่มี ใส่ตัวเองในสิ่งที่ค่อนข้างจะเรียกว่า บริการตั้งค่าโทรศัพท์ ในสหราชอาณาจักร…

…ราวกับว่าพวกเขากำลังยอมรับว่าบางคนต้องการเลือกรับสายขยะเหล่านี้จริงๆ [เสียงหัวเราะ]

---

ดั๊ก.  "ชอบมากกว่า"?! [หัวเราะ]

---

เป็ด.  ฉันชอบวิธีที่มันอยู่ในสหรัฐอเมริกา

สถานที่ที่คุณไปลงทะเบียนและร้องเรียนคือ: donotcall DOT gov.

---

ดั๊ก.  ใช่! “อย่าโทรมา!”

---

เป็ด.  น่าเศร้า เมื่อพูดถึงโทรศัพท์ เรายังคงอาศัยอยู่ในโลกที่ไม่ยอมรับ... พวกเขาได้รับอนุญาตให้โทรหาคุณจนกว่าคุณจะบอกว่าทำไม่ได้

แต่จากประสบการณ์ของผมคือ แม้ว่าจะไม่สามารถแก้ปัญหาได้ แต่การที่คุณลงทะเบียน Do Not Call ก็เกือบจะไม่ *เพิ่ม* จำนวนการโทรที่คุณได้รับ

มันสร้างความแตกต่างให้กับฉัน ทั้งตอนที่ฉันอาศัยอยู่ในออสเตรเลียและตอนนี้ฉันอาศัยอยู่ในสหราชอาณาจักร...

…และการรายงานเป็นครั้งคราวอย่างน้อยก็ทำให้หน่วยงานกำกับดูแลในประเทศของคุณมีโอกาสที่จะต่อสู้เพื่อดำเนินการบางอย่างในอนาคต

เพราะถ้าไม่มีใครพูดอะไร ก็เหมือนไม่มีอะไรเกิดขึ้น

---

ดั๊ก.  ที่ประกบกันอย่างดีในความคิดเห็นของผู้อ่านในบทความนี้

ผู้อ่าน Naked Security Phil แสดงความคิดเห็น:

ข้อความเสียงได้เปลี่ยนแปลงทุกอย่างสำหรับฉัน

หากผู้โทรไม่ต้องการฝากข้อความและส่วนใหญ่ไม่ต้องการ ฉันก็ไม่มีเหตุผลที่จะโทรกลับ

ยิ่งไปกว่านั้น ในการรายงานการโทรหลอกลวง ฉันต้องเสียเวลาเพื่อรับสายจากผู้โทรที่ไม่ปรากฏชื่อและโต้ตอบกับผู้อื่นเพียงเพื่อจุดประสงค์ในการรายงานเท่านั้น

แม้ว่าฉันจะรับสาย ฉันก็จะยังคงคุยกับหุ่นยนต์อยู่ดี… ไม่ล่ะ ขอบคุณ!

นั่นคือคำตอบหรือไม่: อย่ารับสายและอย่าจัดการกับพวกหลอกลวงเหล่านี้

หรือมีวิธีที่ดีกว่าพอล?

---

เป็ด.  สิ่งที่ฉันพบคือ ถ้าฉันคิดว่าตัวเลขนั้นเป็นตัวเลขหลอกลวง...

สแกมเมอร์หรือผู้โทรที่น่ารำคาญบางคนจะใช้หมายเลขที่แตกต่างกันทุกครั้ง - มันจะดูเหมือนเป็นท้องถิ่นเสมอ ดังนั้นจึงยากที่จะบอก แม้ว่าฉันจะถูกรบกวนโดยเมื่อเร็ว ๆ นี้ซึ่งเป็นหมายเลขเดียวกันซ้ำแล้วซ้ำอีกดังนั้นฉันจึงทำได้ บล็อกสิ่งนั้น

…โดยทั่วไปแล้วสิ่งที่ฉันทำคือเพียงแค่รับโทรศัพท์และไม่พูดอะไร

พวกเขากำลังโทรหาฉัน ถ้ามันสำคัญขนาดนั้น เขาก็จะพูดว่า “สวัสดี? สวัสดี? นั่นคือ…?” และใช้ชื่อของฉัน

ฉันพบว่าผู้โทรและสแกมเมอร์ที่สร้างความรำคาญเหล่านี้จำนวนมากใช้ระบบอัตโนมัติที่เมื่อพวกเขาได้ยินคุณรับสาย พวกเขาจะพยายามเชื่อมต่อคุณกับโอเปอเรเตอร์ที่อยู่เคียงข้างพวกเขาเท่านั้น

พวกเขาไม่มีผู้ให้บริการโทรศัพท์ทำการโทรจริง

พวกเขาโทรหาคุณ และในขณะที่คุณกำลังระบุตัวตน พวกเขาพบใครบางคนในคิวที่สามารถแสร้งทำเป็นรับสายได้อย่างรวดเร็ว

และฉันพบว่านั่นเป็นการแจกของฟรีที่ดี เพราะถ้าไม่มีอะไรเกิดขึ้น ถ้าไม่มีใครไปด้วยซ้ำ “ฮัลโหล? สวัสดี? มีใครอยู่ไหม” ถ้าอย่างนั้นคุณก็รู้ว่าคุณกำลังติดต่อกับระบบอัตโนมัติ

อย่างไรก็ตาม มีปัญหาที่น่ารำคาญ แม้ว่าฉันคิดว่านี่เป็นปัญหาเฉพาะในสหราชอาณาจักร

ระบบราชการในการรายงานสิ่งที่เรียกว่า “การเรียกเงียบ” เหมือนกับคนสะกดรอยตามหอบหายใจถี่ซึ่งไม่มีคำพูดใดๆ...

…กลไกการรายงานที่ต่างจากกลไกการรายงานการโทรที่ใครๆ ก็บอกว่า “ฉันชื่อจอห์น และฉันอยากขายผลิตภัณฑ์นี้ให้คุณ ซึ่งคุณไม่ต้องการและไม่ดีเลย” ซึ่งก็คือ น่ารำคาญจริงๆ

รายงานการโทรแบบเงียบจะผ่านหน่วยงานควบคุมโทรศัพท์ และได้รับการปฏิบัติราวกับว่าเป็นความผิดทางอาญาที่ร้ายแรงกว่า ฉันคิดว่าด้วยเหตุผลทางประวัติศาสตร์

คุณต้องระบุตัวตน – คุณไม่สามารถรายงานสิ่งเหล่านั้นโดยไม่ระบุชื่อได้

ดังนั้นฉันจึงพบว่ามันน่ารำคาญ และฉันหวังว่าพวกเขาจะเปลี่ยนแปลงมัน!

ที่มันเป็นเพียงระบบหุ่นยนต์ที่เรียกว่าคุณ และมันไม่รู้ว่าคุณอยู่ในสาย ดังนั้นจึงยังไม่ได้มอบหมายให้ใครคุยกับคุณ...

…ถ้าคุณสามารถรายงานสิ่งเหล่านั้นได้ง่ายกว่าและไม่ระบุชื่อ บอกตามตรง ฉันอยากจะทำมากกว่านี้

---

ดั๊ก.  เอาล่ะ

เรามีลิงก์บางส่วนในบทความสำหรับการรายงานการโทรปลอมในบางประเทศ

และขอขอบคุณฟิลสำหรับการส่งความคิดเห็นนั้น

หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์

คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity

นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง

สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...

---

ทั้งสอง  รักษาความปลอดภัย

[โมเด็มดนตรี]