สแกมเมอร์ในสแลมเมอร์ (และเรื่องอื่นๆ)
ดั๊ก เอมอธ และพอล ดัคลิน
เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
คลิกแล้วลากบนคลื่นเสียงด้านล่างเพื่อข้ามไปยังจุดใดก็ได้ นอกจากนี้คุณยังสามารถ ฟังโดยตรง บนซาวด์คลาวด์
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. Zero-day สองเท่าของ Microsoft คุกสำหรับผู้หลอกลวงและการโทรศัพท์ปลอม
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน ฉันคือดั๊ก อามอธ
เขาคือพอล ดักคลิน…
เป็ด. เป็นความยินดีอย่างยิ่ง ดักลาส
ดั๊ก. ฉันมีบ้าง ประวัติเทคโนโลยี สำหรับคุณและมันจะย้อนกลับ ทาง ทาง ทางกลับ และเกี่ยวข้องกับเครื่องคิดเลข
ในสัปดาห์นี้ เมื่อวันที่ 7 ตุลาคม พ.ศ. 1954 IBM ได้สาธิตเครื่องคำนวณทรานซิสเตอร์ทั้งหมดตัวแรกของชนิด
พื้นที่ เครื่องเจาะคำนวณอิเล็กทรอนิกส์ของ IBMอย่างที่เรียกกันว่า เปลี่ยนหลอดสุญญากาศ 1250 หลอดสำหรับทรานซิสเตอร์ 2000 ตัว ซึ่งลดระดับเสียงลงครึ่งหนึ่งและใช้พลังงานเพียง 5% เท่านั้น
เป็ด. ว้าว!
ฉันไม่เคยได้ยินชื่อ “604” นั้นเลย ฉันจึงไปค้นดูก็ไม่พบภาพ
เห็นได้ชัดว่า นั่นเป็นเพียงโมเดลทดลอง และไม่กี่เดือนต่อมาพวกเขาก็นำโมเดลที่คุณสามารถซื้อออกได้ ซึ่งเรียกว่า 608 และพวกเขาได้เพิ่มทรานซิสเตอร์เป็น 3000 ตัว
แต่อย่าลืมว่าดั๊ก นี่ไม่ใช่ทรานซิสเตอร์เหมือนในวงจรรวม [ไอซี] เพราะยังไม่มีไอซี
ที่ที่คุณจะมีวาล์ว วาล์วเทอร์มิโอนิก (หรือ "toob" [หลอดสุญญากาศ] อย่างที่พวกคุณเรียกกันว่า) จะมีทรานซิสเตอร์แบบต่อสายแทน
ดังนั้นถึงแม้จะเล็กกว่ามาก แต่ก็ยังเป็นส่วนประกอบที่ไม่ต่อเนื่อง
เมื่อนึกถึง “เครื่องคิดเลข” นึกถึง “เครื่องคิดเลขพกพา”...
ดั๊ก. โอ้ไม่ไม่ไม่ไม่!
เป็ด. “ไม่” อย่างที่คุณว่า...
…ขนาดตู้เย็นใหญ่มาก!
จากนั้นคุณต้องมีตู้เย็นขนาดใหญ่มากข้างๆ ในรูปที่ฉันเห็น ซึ่งฉันคิดว่ามีไว้สำหรับป้อนข้อมูล
แล้วก็มีวงจรควบคุมอื่นๆ ซึ่งดูเหมือนตู้แช่แข็งขนาดใหญ่มาก ถัดจากตู้เย็นขนาดใหญ่มากสองตู้
ฉันไม่ได้ตระหนักถึงสิ่งนี้ แต่เห็นได้ชัดว่า Thomas Watson [CEO ของ IBM] ในเวลานั้นได้ออกกฤษฎีกานี้สำหรับ IBM ทั้งหมด: "ไม่อนุญาตให้ผลิตภัณฑ์ใหม่ใช้วาล์ว หลอดสุญญากาศ เรากำลังโอบรับ รับรอง และใช้ทรานซิสเตอร์เท่านั้น”
และนั่นคือที่ที่ทุกอย่างดำเนินไปหลังจากนั้น
ดังนั้น แม้ว่าสิ่งนี้จะอยู่ในแนวหน้าของการปฏิวัติทรานซิสเตอร์ แต่ดูเหมือนว่าในไม่ช้ามันก็ถูกแทนที่… มันออกสู่ตลาดได้เพียงประมาณ 18 เดือนเท่านั้น
ดั๊ก. เอาล่ะ มาพูดถึงเรื่องใหญ่ๆ กันดีกว่า และอัปเดตผู้ฟังของเราเกี่ยวกับ Microsoft Exchange double zero-day นี้
เราได้ครอบคลุมมันใน มินิโซดา; เราได้ครอบคลุมมัน บนเว็บไซต์… แต่มีอะไรใหม่ที่เราควรรู้?
เป็ด. ไม่น่าเลย ดักลาส
ดูเหมือนว่าจะไม่ได้เข้ายึดครองโลกไซเบอร์หรือการดำเนินการด้านความปลอดภัย [SecOps] เช่น ProxyShell และ Log4Shell ได้:
ฉันเดาว่ามีเหตุผลสองประการ
ประการแรกคือรายละเอียดที่แท้จริงของช่องโหว่ยังคงเป็นความลับ
พวกเขารู้จักบริษัทเวียดนามที่ค้นพบมัน จนถึง ZeroDay Initiative [ZDI] ที่มีการเปิดเผยข้อมูลอย่างมีความรับผิดชอบ และต่อ Microsoft
และดูเหมือนว่าทุกคนจะเก็บมันไว้ใต้หมวกของพวกเขา
เท่าที่ฉันรู้ ไม่มีแนวคิดที่พิสูจน์ได้ 250 รายการ "ลองใช้เลย!" ที่เก็บ GitHub ที่คุณทำเองได้
ประการที่สอง จำเป็นต้องมีการเข้าถึงที่รับรองความถูกต้อง
และความรู้สึกลึกๆ ของฉันก็คือ "นักวิจัยด้านความปลอดภัยทางไซเบอร์" ที่อยากจะเป็นทุกคน (ใส่เครื่องหมายคำพูดอากาศยักษ์ไว้ที่นี่) ที่กระโดดเข้าสู่กลุ่มของการโจมตีทางอินเทอร์เน็ตด้วย Proxyshell หรือ Log4Shell โดยอ้างว่าพวกเขากำลังทำโลกแห่งการบริการ: "เฮ้ หากบริการเว็บของคุณมีช่องโหว่ ฉันจะรู้และจะบอกคุณ”…
…ฉันสงสัยว่าคนจำนวนมากจะคิดสองครั้งเกี่ยวกับการพยายามโจมตีแบบเดียวกันโดยที่พวกเขาต้องเดารหัสผ่านจริงๆ
รู้สึกว่าเป็นอีกด้านของเส้นที่ค่อนข้างสำคัญในทรายใช่ไหม
ดั๊ก. เอ่อ.
เป็ด. หากคุณมีเว็บเซิร์ฟเวอร์แบบเปิดที่ออกแบบมาเพื่อรับคำขอ ซึ่งต่างจากการส่งคำขอไปยังเซิร์ฟเวอร์ที่คุณรู้ว่าไม่ควรจะเข้าถึงอย่างมาก และพยายามระบุรหัสผ่านที่คุณรู้ว่าไม่ควร ที่จะรู้ว่าถ้ามันสมเหตุสมผล
ดั๊ก. ใช่.
เป็ด. ข่าวดีก็คือดูเหมือนว่าจะไม่ถูกเอารัดเอาเปรียบอย่างกว้างขวาง…
…แต่ยังไม่มีแพทช์ออกมา
และฉันคิดว่าทันทีที่แพตช์ปรากฏขึ้น คุณจะต้องได้รับมันอย่างรวดเร็ว
อย่ารอช้า เพราะฉันคิดว่าจะมีความคลั่งไคล้ในการป้อนอาหารอยู่บ้าง พยายามทำวิศวกรรมย้อนกลับของแพตช์ เพื่อค้นหาว่าคุณใช้ประโยชน์จากสิ่งนี้อย่างน่าเชื่อถือได้อย่างไร
เพราะเท่าที่เราทราบ มันใช้งานได้ค่อนข้างดี หากคุณมีรหัสผ่าน คุณสามารถใช้ช่องโหว่แรกเพื่อเปิดประตูสู่ช่องโหว่ที่สอง ซึ่งช่วยให้คุณเรียกใช้ PowerShell บนเซิร์ฟเวอร์ Exchange ได้
และนั่นจะไม่มีวันจบลงด้วยดี
ฉันได้ดูเอกสาร Guideline ของ Microsoft เมื่อเช้านี้ (เรากำลังบันทึกในวันพุธของสัปดาห์) แต่ฉันไม่เห็นข้อมูลใดๆ เกี่ยวกับแพตช์หรือเมื่อใดจะมีให้ใช้งาน
วันอังคารหน้าคือ Patch Tuesday ดังนั้นบางทีเราอาจจะต้องรอจนกว่าจะถึงตอนนั้น?
ดั๊ก. ตกลง เราจะคอยจับตาดู และโปรดอัปเดตและแก้ไขเมื่อคุณเห็นมัน... มันสำคัญ
ฉันจะวนกลับไปที่เครื่องคิดเลขของเราแล้วให้ สมการน้อย.
มันเป็นแบบนี้: 2 ปีของการหลอกลวง + 10 ล้านเหรียญที่ถูกหลอกลวง = 25 ปีในคุก:
เป็ด. นี่คืออาชญากร – ตอนนี้เราสามารถเรียกเขาแบบนั้นได้ เพราะเขาไม่เพียงแต่ถูกตัดสินว่ามีความผิด แต่ถูกพิพากษาด้วยชื่อที่ฟังดูน่าทึ่ง: Elvis Eghosa Ogiekpolor
และเขาได้ดำเนินการในสิ่งที่คุณอาจเรียกว่าไซเบอร์แก๊งช่างฝีมือในแอตแลนต้า จอร์เจีย ในสหรัฐอเมริกาเมื่อสองสามปีก่อน
ภายในเวลาเพียงสองปี ถ้าคุณชอบ พวกเขาได้ร่วมฉลองกับบริษัทที่โชคร้ายที่ตกเป็นเหยื่อของสิ่งที่เรียกว่า Business Email Compromise [BEC] และบุคคลที่โชคร้ายที่พวกเขาล่อลวงให้หลอกลวงเรื่องรักๆ ใคร่ๆ… และทำเงินได้ 10 ล้านดอลลาร์
เอลวิส (ฉันจะเรียกเขาแบบนั้น)… ในกรณีนี้ เขามีทีมที่ร่วมกันสร้างเว็บทั้งหมดของการฉ้อโกงเปิดบัญชีธนาคารในสหรัฐฯ ที่เขาสามารถฝากเงินและฟอกเงินได้
และเขาไม่เพียงแต่ถูกตัดสินว่ากระทำผิดเท่านั้น แต่ยังถูกพิพากษาอีกด้วย
เห็นได้ชัดว่าผู้พิพากษาตัดสินว่าลักษณะของอาชญากรรมนี้และลักษณะของการตกเป็นเหยื่อนั้นร้ายแรงพอสมควรที่เขาต้องโทษจำคุก 25 ปี
ดั๊ก. มาดูการประนีประนอมอีเมลธุรกิจกัน
ฉันคิดว่ามันน่าทึ่งมาก คุณกำลังแอบอ้างที่อยู่อีเมลของใครบางคน หรือคุณเคยถูกขโมยที่อยู่อีเมลจริงของพวกเขาไปแล้ว
และด้วยเหตุนี้ เมื่อคุณดึงใครซักคนได้แล้ว คุณก็สามารถทำสิ่งต่างๆ ได้มากมาย
คุณระบุไว้ในบทความที่นี่ – ฉันจะอธิบายอย่างรวดเร็ว
คุณสามารถเรียนรู้ได้เมื่อถึงกำหนดชำระจำนวนมาก...
เป็ด. จริง
แน่นอน หากคุณส่งจดหมายจากภายนอก และคุณแค่ปลอมแปลงส่วนหัวของอีเมลเพื่อแสร้งทำเป็นว่าอีเมลนั้นมาจาก CFO คุณต้องเดาว่า CFO รู้อะไร
แต่ถ้าคุณสามารถเข้าสู่ระบบบัญชีอีเมลของ CFO ได้ตั้งแต่เช้าตรู่ก่อนที่พวกเขาจะทำ คุณจะสามารถมองไปรอบๆ สิ่งที่ยิ่งใหญ่ทั้งหมดที่เกิดขึ้น และคุณสามารถจดบันทึกได้
ดังนั้น เมื่อคุณมาแอบอ้างเป็นพวกเขา ไม่เพียงแต่คุณจะส่งอีเมลที่มาจากบัญชีของพวกเขาจริงๆ เท่านั้น คุณยังทำเช่นนั้นด้วยความรู้วงในจำนวนมหาศาล
ดั๊ก. และแน่นอน เมื่อคุณได้รับอีเมลที่คุณขอให้พนักงานที่ไม่รู้จักโอนเงินจำนวนหนึ่งไปให้ผู้ขายรายนี้ แล้วพวกเขาก็พูดว่า "นี่เรื่องจริงเหรอ"...
…หากคุณเข้าถึงระบบอีเมลจริงได้แล้ว คุณสามารถตอบกลับได้ “แน่นอนว่ามันเป็นเรื่องจริง ดูที่อยู่อีเมล - ฉันเอง CFO”
เป็ด. และแน่นอน ยิ่งกว่านั้น คุณสามารถพูดได้ว่า “ยังไงก็ตาม นี่คือการซื้อกิจการ นี่คือข้อตกลงที่จะขโมยการเดินขบวนใส่คู่แข่งของเรา จึงเป็นความลับของบริษัท อย่าบอกใครในบริษัทนะ”
ดั๊ก. ใช่ – คำสาปแช่งสองเท่า!
คุณสามารถพูดว่า “ฉันเอง เรื่องจริง แต่นี่เป็นเรื่องใหญ่ เป็นความลับ อย่าบอกใครเลย ไม่มีไอที! อย่ารายงานว่านี่เป็นข้อความที่น่าสงสัย”
จากนั้นคุณสามารถเข้าไปในโฟลเดอร์ส่งแล้วและลบอีเมลปลอมที่คุณส่งในนามของ CFO เพื่อไม่ให้ใครเห็นว่าคุณอยู่ในนั้นเพื่อค้นหาข้อมูล
และหากคุณเป็นนักต้มตุ๋น BEC ที่ "ดี" คุณจะต้องค้นหาอีเมลเก่าของพนักงานจริงๆ และจับคู่สไตล์ของผู้ใช้รายนั้นด้วยการคัดลอกและวางวลีทั่วไปที่บุคคลนั้นใช้
เป็ด. อย่างแน่นอน ดั๊ก
ฉันคิดว่าเราเคยคุยกันแล้ว เมื่อเราพูดถึงฟิชชิ่งอีเมล… เกี่ยวกับผู้อ่านที่เคยรายงานมาว่า “ใช่ ฉันเจอแบบนี้ แต่ฉันดังก้องทันทีเพราะคนๆ นั้นใช้คำทักทายในอีเมลว่า เพียงเพื่อให้ออกจากตัวอักษร”
หรือมีอิโมจิบางอย่างในการลงชื่อออก เช่น หน้ายิ้ม [หัวเราะ] ซึ่งฉันรู้ว่าคนๆ นี้ไม่มีวันทำแบบนั้น
แน่นอน หากคุณเพียงแค่คัดลอกและวางอินโทรและเอาท์โทรมาตรฐานจากอีเมลฉบับก่อนๆ คุณก็จะหลีกเลี่ยงปัญหาประเภทนั้นได้
และอีกอย่าง ดั๊ก คือถ้าคุณส่งอีเมลจากบัญชีจริง อีเมลจะได้ลายเซ็นของบุคคลนั้นจริง ๆ ใช่ไหม
ซึ่งถูกเพิ่มโดยเซิร์ฟเวอร์ของบริษัท และทำให้ดูเหมือนสิ่งที่คุณคาดหวัง
ดั๊ก. แล้วฉันก็รักการลงจากหลังม้านี้ ...
…ในฐานะอาชญากรชั้นยอด ไม่เพียงแต่คุณจะฉ้อฉลบริษัทเท่านั้น คุณยังต้องติดตาม *ลูกค้า* ของบริษัทด้วยว่า “เฮ้ คุณช่วยชำระใบแจ้งหนี้นี้เดี๋ยวนี้ แล้วส่งไปที่ใบใหม่นี้ได้ไหม” บัญชีธนาคาร?"
คุณสามารถหลอกลวงไม่เพียงแต่บริษัท แต่บริษัทที่บริษัททำงานด้วย
เป็ด. อย่างแน่นอน
ดั๊ก. และเกรงว่าคุณจะคิดว่าเอลวิสเป็นเพียงบริษัทที่หลอกลวง
เป็ด. กระทรวงยุติธรรมรายงานว่าธุรกิจบางส่วนที่พวกเขาหลอกลวงถูกขโมยเงินไปหลายแสนดอลลาร์ในแต่ละครั้ง
และอีกด้านของการฉ้อโกงของพวกเขาก็คือการไล่ตามบุคคล ในสิ่งที่เรียกว่าการหลอกลวงเรื่องรัก ๆ ใคร่ ๆ
เห็นได้ชัดว่ามีคน 13 คนที่ออกมาเป็นพยานในคดีนี้ และตัวอย่างสองตัวอย่างที่ DOJ (กระทรวงยุติธรรม) กล่าวถึงนั้น ฉันคิดว่า 32,000 ดอลลาร์และ 70,000 ดอลลาร์ตามลำดับ
ดั๊ก. ตกลง เรามีคำแนะนำเกี่ยวกับวิธีการปกป้องธุรกิจของคุณจากการประนีประนอมอีเมลธุรกิจ และวิธีป้องกันตัวเองจากการหลอกลวงเรื่องความรัก
เริ่มต้นด้วยการประนีประนอมอีเมลธุรกิจ
ฉันชอบข้อแรกนี้เพราะมันง่ายและผลไม้ห้อยต่ำมาก: สร้างบัญชีอีเมลส่วนกลางเพื่อให้พนักงานรายงานอีเมลที่น่าสงสัย
เป็ด. ใช่ถ้าคุณมี security@example.com
สมมุติว่าคุณจะดูแลบัญชีอีเมลนั้นอย่างระมัดระวัง และคุณสามารถโต้แย้งได้ว่าผู้ประนีประนอมอีเมลธุรกิจมีโอกาสน้อยที่จะประนีประนอมบัญชี SecOps เมื่อเทียบกับบัญชีประนีประนอมของพนักงานสุ่มคนอื่นๆ ในบริษัท
และน่าจะเป็นไปได้ว่า หากคุณมีคนอย่างน้อยสองสามคนที่สามารถจับตาดูสิ่งที่เกิดขึ้นได้ คุณจะมีโอกาสได้รับคำตอบที่เป็นประโยชน์และมีเจตนาดีจากที่อยู่อีเมลนั้นมากกว่าแค่ถาม บุคคลที่เกี่ยวข้อง
แม้ว่าอีเมลของ CFO จะไม่ถูกบุกรุก… หากคุณมีอีเมลฟิชชิ่ง แล้วคุณถาม CFO ว่า “นี่ ถูกต้องหรือไม่” คุณกำลังทำให้ CFO อยู่ในตำแหน่งที่ยากมาก
คุณกำลังพูดว่า “คุณทำราวกับว่าคุณเป็นผู้เชี่ยวชาญด้านไอที นักวิจัยด้านความปลอดภัยทางไซเบอร์ หรือเจ้าหน้าที่ปฏิบัติการด้านความปลอดภัยได้ไหม”
ดีกว่ามากที่จะรวมศูนย์นั้นไว้ ดังนั้นจึงมีวิธีง่ายๆ ที่ผู้คนจะรายงานบางอย่างที่ดูไม่เข้าท่า
นอกจากนี้ยังหมายความว่าหากสิ่งที่คุณทำตามปกติเป็นเพียงการพูดว่า "นั่นมันฟิชชิ่งชัดๆ เดี๋ยวจะลบ”…
…โดยการส่งเข้ามา แม้ว่า *คุณ* คิดว่าชัดเจน คุณอนุญาตให้ทีม SecOps หรือทีม IT เตือนส่วนที่เหลือของบริษัท
ดั๊ก. เอาล่ะ
และคำแนะนำต่อไป: หากมีข้อสงสัย ให้ตรวจสอบกับผู้ส่งอีเมลโดยตรง
และเพื่อไม่ให้เสียเส้นมุก อาจจะไม่ผ่านทางอีเมลด้วยวิธีอื่น...
เป็ด. ไม่ว่าจะใช้กลไกอะไรในการส่งข้อความถึงคุณ คุณไม่ไว้ใจ อย่าส่งข้อความกลับผ่านระบบเดิม!
หากบัญชีไม่ถูกแฮ็ก คุณจะได้รับคำตอบว่า “ไม่เป็นไร ไม่เป็นไร”
และหากบัญชี *ถูก* ถูกแฮ็ก คุณจะได้รับข้อความตอบกลับว่า “ไม่เป็นไร ไม่เป็นไร!” [หัวเราะ]
ดั๊ก. เอาล่ะ
และสุดท้าย แต่ไม่ท้ายสุด: ต้องมีการให้สิทธิ์สำรองสำหรับการเปลี่ยนแปลงรายละเอียดการชำระเงินของบัญชี
เป็ด. หากคุณมีตาที่สองเกี่ยวกับปัญหา – การอนุญาตรอง – ที่ [A] ทำให้คนในวงที่คดโกงสามารถหลบหนีจากการหลอกลวงได้ยากขึ้นหากพวกเขากำลังช่วยเหลือ และ [B] หมายความว่าไม่มีใครใคร เห็นได้ชัดว่าพยายามช่วยเหลือลูกค้า ต้องแบกรับความรับผิดชอบและแรงกดดันทั้งหมดในการตัดสินใจว่า “สิ่งนี้ถูกกฎหมายหรือไม่”
สองตามักจะดีกว่าตาเดียว
หรือบางทีฉันหมายถึงสี่ตามักจะดีกว่าสอง...
ดั๊ก. ใช่. [หัวเราะ].
หันมาสนใจการหลอกลวงเรื่องความรักกันดีกว่า
คำแนะนำชิ้นแรกคือ: ช้าลงเมื่อการพูดคุยเรื่องการออกเดทเปลี่ยนจากมิตรภาพ ความรัก หรือความโรแมนติกมาเป็นเงิน
เป็ด. ใช่.
เดือนตุลาคม ใช่ไหม ดั๊ก
เป็นเดือนแห่งการให้ความรู้ด้านความปลอดภัยทางไซเบอร์อีกครั้ง… #cybermonth หากคุณต้องการติดตามว่าผู้คนกำลังทำอะไรและพูดอะไรบ้าง
มีคติประจำใจเล็กๆ น้อยๆ นั้น (นั่นคือคำที่ถูกต้องหรือ?) ที่เราเคยพูดกันหลายครั้งในพอดคาสต์ เพราะฉันรู้ว่าคุณและฉันชอบมัน ดั๊ก
นี่มาจากบริการสาธารณะของสหรัฐอเมริกา…
ทั้งสอง หยุด. (ระยะเวลา.)
คิด. (ระยะเวลา.)
เชื่อมต่อ. (ระยะเวลา.)
เป็ด. อย่ารีบร้อนจนเกินไป!
มันเป็นคำถามของ "การทำธุรกรรมในความเร่งรีบกลับใจในยามว่าง" เมื่อพูดถึงเรื่องออนไลน์
ดั๊ก. และคำแนะนำอื่นที่อาจเป็นเรื่องยากสำหรับบางคน… แต่ให้มองเข้าไปในตัวเองแล้วลองทำตาม: รับฟังเพื่อนและครอบครัวของคุณอย่างเปิดเผยหากพวกเขาพยายามเตือนคุณ
เป็ด. ใช่.
ฉันเคยไปงานอีเวนต์ด้านความปลอดภัยทางไซเบอร์ที่จัดการกับปัญหาการหลอกลวงเรื่องรัก ๆ ใคร่ ๆ มาก่อน ตอนที่ฉันทำงานที่ Sophos Australia
เป็นเรื่องน่าปวดหัวที่ได้ยินเรื่องเล่าจากคนในกรมตำรวจที่มีหน้าที่พยายามเข้าไปแทรกแซงกลโกง ณ จุดนี้...
…และเพียงเพื่อดูว่าตำรวจเหล่านี้บางส่วนดูอึมครึมเพียงใดเมื่อพวกเขากลับมาจากการเยี่ยมเยียน
ในบางกรณี ทั้งครอบครัวถูกหลอกให้หลอกลวง
สิ่งเหล่านี้เป็นประเภท "การลงทุนทางการเงิน" มากกว่าแบบรัก ๆ ใคร่ ๆ แต่ * ทุกคน * อยู่เคียงข้างผู้หลอกลวง ดังนั้นเมื่อหน่วยงานบังคับใช้กฎหมายไปที่นั่น ครอบครัวก็มี "คำตอบทั้งหมด" ที่ได้รับอย่างรอบคอบจาก ข้อพับ
และในการหลอกลวงเรื่องรัก ๆ ใคร่ ๆ พวกเขาจะไม่คิดว่าจะมีอะไรมายุ่งเกี่ยวกับความสนใจในความรักของคุณ *และ* ทำให้เกิดความเชื่อมโยงระหว่างคุณและครอบครัว ดังนั้นคุณจึงหยุดฟังคำแนะนำของพวกเขา
ดังนั้น ระวังให้ดีว่าคุณจะไม่ต้องเหินห่างจากครอบครัวและบัญชีธนาคารของคุณ
ดั๊ก. เอาล่ะ
แล้วก็มีคำแนะนำสุดท้ายคือ มีวิดีโอดีๆ ฝังอยู่ในบทความ
บทความนี้มีชื่อว่า Romance Scammer และ BEC Fraudster ถูกจำคุกเป็นเวลา 25 ปี:
ดูวิดีโอนั้นมีเคล็ดลับดีๆ มากมาย
มาพูดถึงเรื่องหลอกลวงกันต่อไป และพูดคุยเกี่ยวกับนักต้มตุ๋นและผู้โทรที่หลอกลวง
เป็นไปได้ไหมที่จะหยุดการโทรหลอกลวง?
เป็นเรื่องที่ คำถามใหญ่ ของวันนี้:
เป็ด. มีการโทรหลอกลวงและมีสายที่น่ารำคาญ
บางครั้ง การโทรที่สร้างความรำคาญดูเหมือนจะเข้ามาใกล้มากกับการโทรหลอกลวง
คนเหล่านี้คือตัวแทนธุรกิจที่ถูกกฎหมาย [รำคาญ] แต่พวกเขาไม่ยอมหยุดโทรหาคุณ [ทำให้ตื่นเต้นมากขึ้น] ไม่ว่าคุณจะบอกพวกเขาว่า “ฉันอยู่ในรายการห้ามโทร [โกรธ] ดังนั้นอย่าโทรอีก".
ดังนั้นฉันจึงเขียนบทความเกี่ยวกับ Naked Security บอกผู้คนว่า… หากคุณสามารถพาตัวเองไปทำสิ่งนี้ได้ (ฉันไม่ได้แนะนำให้คุณควรทำสิ่งนี้ทุกครั้ง มันเป็นเรื่องยุ่งยากจริงๆ) ปรากฎว่าถ้าคุณ *ทำ* บ่น บางครั้งก็มีผล
และสิ่งที่ทำให้ฉันต้องเขียนเรื่องนี้ก็คือ บริษัทสี่แห่งที่จำหน่ายผลิตภัณฑ์ "สิ่งแวดล้อม" ถูกจับโดยสำนักงานกรรมาธิการข้อมูล [ICO, UK Data Privacy regulator] และปรับระหว่างหมื่นถึงหลายแสนปอนด์สำหรับการโทรหาผู้ที่มี ใส่ตัวเองในสิ่งที่ค่อนข้างจะเรียกว่า บริการตั้งค่าโทรศัพท์ ในสหราชอาณาจักร…
…ราวกับว่าพวกเขากำลังยอมรับว่าบางคนต้องการเลือกรับสายขยะเหล่านี้จริงๆ [เสียงหัวเราะ]
ดั๊ก. "ชอบมากกว่า"?! [หัวเราะ]
เป็ด. ฉันชอบวิธีที่มันอยู่ในสหรัฐอเมริกา
สถานที่ที่คุณไปลงทะเบียนและร้องเรียนคือ: donotcall DOT gov.
ดั๊ก. ใช่! “อย่าโทรมา!”
เป็ด. น่าเศร้า เมื่อพูดถึงโทรศัพท์ เรายังคงอาศัยอยู่ในโลกที่ไม่ยอมรับ... พวกเขาได้รับอนุญาตให้โทรหาคุณจนกว่าคุณจะบอกว่าทำไม่ได้
แต่จากประสบการณ์ของผมคือ แม้ว่าจะไม่สามารถแก้ปัญหาได้ แต่การที่คุณลงทะเบียน Do Not Call ก็เกือบจะไม่ *เพิ่ม* จำนวนการโทรที่คุณได้รับ
มันสร้างความแตกต่างให้กับฉัน ทั้งตอนที่ฉันอาศัยอยู่ในออสเตรเลียและตอนนี้ฉันอาศัยอยู่ในสหราชอาณาจักร...
…และการรายงานเป็นครั้งคราวอย่างน้อยก็ทำให้หน่วยงานกำกับดูแลในประเทศของคุณมีโอกาสที่จะต่อสู้เพื่อดำเนินการบางอย่างในอนาคต
เพราะถ้าไม่มีใครพูดอะไร ก็เหมือนไม่มีอะไรเกิดขึ้น
ดั๊ก. ที่ประกบกันอย่างดีในความคิดเห็นของผู้อ่านในบทความนี้
ผู้อ่าน Naked Security Phil แสดงความคิดเห็น:
ข้อความเสียงได้เปลี่ยนแปลงทุกอย่างสำหรับฉัน
หากผู้โทรไม่ต้องการฝากข้อความและส่วนใหญ่ไม่ต้องการ ฉันก็ไม่มีเหตุผลที่จะโทรกลับ
ยิ่งไปกว่านั้น ในการรายงานการโทรหลอกลวง ฉันต้องเสียเวลาเพื่อรับสายจากผู้โทรที่ไม่ปรากฏชื่อและโต้ตอบกับผู้อื่นเพียงเพื่อจุดประสงค์ในการรายงานเท่านั้น
แม้ว่าฉันจะรับสาย ฉันก็จะยังคงคุยกับหุ่นยนต์อยู่ดี… ไม่ล่ะ ขอบคุณ!
นั่นคือคำตอบหรือไม่: อย่ารับสายและอย่าจัดการกับพวกหลอกลวงเหล่านี้
หรือมีวิธีที่ดีกว่าพอล?
เป็ด. สิ่งที่ฉันพบคือ ถ้าฉันคิดว่าตัวเลขนั้นเป็นตัวเลขหลอกลวง...
สแกมเมอร์หรือผู้โทรที่น่ารำคาญบางคนจะใช้หมายเลขที่แตกต่างกันทุกครั้ง - มันจะดูเหมือนเป็นท้องถิ่นเสมอ ดังนั้นจึงยากที่จะบอก แม้ว่าฉันจะถูกรบกวนโดยเมื่อเร็ว ๆ นี้ซึ่งเป็นหมายเลขเดียวกันซ้ำแล้วซ้ำอีกดังนั้นฉันจึงทำได้ บล็อกสิ่งนั้น
…โดยทั่วไปแล้วสิ่งที่ฉันทำคือเพียงแค่รับโทรศัพท์และไม่พูดอะไร
พวกเขากำลังโทรหาฉัน ถ้ามันสำคัญขนาดนั้น เขาก็จะพูดว่า “สวัสดี? สวัสดี? นั่นคือ…?” และใช้ชื่อของฉัน
ฉันพบว่าผู้โทรและสแกมเมอร์ที่สร้างความรำคาญเหล่านี้จำนวนมากใช้ระบบอัตโนมัติที่เมื่อพวกเขาได้ยินคุณรับสาย พวกเขาจะพยายามเชื่อมต่อคุณกับโอเปอเรเตอร์ที่อยู่เคียงข้างพวกเขาเท่านั้น
พวกเขาไม่มีผู้ให้บริการโทรศัพท์ทำการโทรจริง
พวกเขาโทรหาคุณ และในขณะที่คุณกำลังระบุตัวตน พวกเขาพบใครบางคนในคิวที่สามารถแสร้งทำเป็นรับสายได้อย่างรวดเร็ว
และฉันพบว่านั่นเป็นการแจกของฟรีที่ดี เพราะถ้าไม่มีอะไรเกิดขึ้น ถ้าไม่มีใครไปด้วยซ้ำ “ฮัลโหล? สวัสดี? มีใครอยู่ไหม” ถ้าอย่างนั้นคุณก็รู้ว่าคุณกำลังติดต่อกับระบบอัตโนมัติ
อย่างไรก็ตาม มีปัญหาที่น่ารำคาญ แม้ว่าฉันคิดว่านี่เป็นปัญหาเฉพาะในสหราชอาณาจักร
ระบบราชการในการรายงานสิ่งที่เรียกว่า “การเรียกเงียบ” เหมือนกับคนสะกดรอยตามหอบหายใจถี่ซึ่งไม่มีคำพูดใดๆ...
…กลไกการรายงานที่ต่างจากกลไกการรายงานการโทรที่ใครๆ ก็บอกว่า “ฉันชื่อจอห์น และฉันอยากขายผลิตภัณฑ์นี้ให้คุณ ซึ่งคุณไม่ต้องการและไม่ดีเลย” ซึ่งก็คือ น่ารำคาญจริงๆ
รายงานการโทรแบบเงียบจะผ่านหน่วยงานควบคุมโทรศัพท์ และได้รับการปฏิบัติราวกับว่าเป็นความผิดทางอาญาที่ร้ายแรงกว่า ฉันคิดว่าด้วยเหตุผลทางประวัติศาสตร์
คุณต้องระบุตัวตน – คุณไม่สามารถรายงานสิ่งเหล่านั้นโดยไม่ระบุชื่อได้
ดังนั้นฉันจึงพบว่ามันน่ารำคาญ และฉันหวังว่าพวกเขาจะเปลี่ยนแปลงมัน!
ที่มันเป็นเพียงระบบหุ่นยนต์ที่เรียกว่าคุณ และมันไม่รู้ว่าคุณอยู่ในสาย ดังนั้นจึงยังไม่ได้มอบหมายให้ใครคุยกับคุณ...
…ถ้าคุณสามารถรายงานสิ่งเหล่านั้นได้ง่ายกว่าและไม่ระบุชื่อ บอกตามตรง ฉันอยากจะทำมากกว่านี้
ดั๊ก. เอาล่ะ
เรามีลิงก์บางส่วนในบทความสำหรับการรายงานการโทรปลอมในบางประเทศ
และขอขอบคุณฟิลสำหรับการส่งความคิดเห็นนั้น
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมลไปที่ tips@sophos.com หรือแสดงความคิดเห็นในบทความของเรา หรือจะติดต่อหาเราบนโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย
[โมเด็มดนตรี]
- : ProxyNotShell
- บริษัท บีอีซี
- blockchain
- หน้าอก
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ตลาดแลกเปลี่ยน
- เอาเปรียบ
- ไฟร์วอลล์
- Kaspersky
- กฎหมายและระเบียบ
- มัลแวร์
- แมคคาฟี
- ไมโครซอฟท์
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- พอดคาสต์
- robocalls
- กลโกงความรัก
- VPN
- ความอ่อนแอ
- ความปลอดภัยของเว็บไซต์
- ลมทะเล