S3 Ep111: Бізнес-ризик неякісного «дефільтра наготи» [Аудіо + текст]

Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.

ДУГ.  Репресії, zero-days і Tik Tok порно.

Все це та багато іншого в подкасті Naked Security.

[МУЗИЧНИЙ МОДЕМ]

Ласкаво просимо в подкаст, усі.

Я Дуг Аамот; він Пол Даклін.

Поле, будь ласка, вибачте за мій голос.

Я хворий, але почуваюся розумово гострим!

---

КАЧКА.  Чудово, Дуг.

Тепер, я сподіваюся, ви добре провели вихідний тиждень, і я сподіваюся, що ви провели чудову Чорну п’ятницю.

---

ДУГ.  У мене занадто багато дітей, щоб робити щось приємне… вони занадто маленькі.

Але ми отримали кілька речей у Чорну п’ятницю через Інтернет.

Тому що, я не знаю, я не можу згадати, коли я востаннє був у роздрібному магазині, але днями я повернуся.

---

КАЧКА.  Дуг, я думав, що ти закінчив Чорну п’ятницю, відтоді як тобі завадили отримати Nintendo Wii у 18 столітті?

---

ДУГ.  Це правда, так.

Це було перевалюванням до черги, а деякі жінки казали: «Вам потрібен квиток», дивилися, скільки черги, і казали: «Добре, це не для мене».

---

КАЧКА.  [СМІЄТЬСЯ] Квиток, мабуть, був лише для того, щоб потрапити *в* чергу… тоді ви дізнаєтеся, чи в них насправді залишилося щось.

---

ДУГ.  Так, і вони не… спойлер!

---

КАЧКА.  «Сер тільки приєднується до попередньої черги».

---

ДУГ.  Так.

Тому я не відчував бажання битися з купою людей.

Усі ті зображення, які ви бачите в новинах… це ніколи не буде мною.

Ми любимо починати шоу з Цей тиждень з історії технологій сегмент, і цього тижня у нас є подвійна функція, Пол.

28 листопада 1948 року фотоапарат Polaroid Land Camera Model 95 надійшов у продаж в універмазі Jordan Marsh прямо тут, у Бостоні.

Це була перша комерційна миттєва камера в 1948 році.

І ось одного дня (і через кілька років), 29 листопада 1972 року, Atari представила свій перший продукт, маленьку гру під назвою PONG.

---

КАЧКА.  Коли ви оголосили про свій намір оголосити Land Camera як Історія техніки, я подумав… «Це був 1968 рік».

Можливо, трохи раніше – можливо, наприкінці 1950-х років, щось на зразок «ери Супутника».

1948 рік, а?

Ось це так!

Велика мініатюризація на той час.

Якщо ви подумаєте, наскільки великими були комп’ютери, то їм потрібні були не просто кімнати, а власні великі будівлі!

І ось ця майже чарівна камера – хімія в руці.

У мого брата був один із них, коли я був маленькою дитиною, і я пам’ятаю, що мене це надзвичайно вразило.

Але Даг не так вражений, як коли виявив, що я зробив пару фотографій зайвими, просто щоб побачити, як це працює.

Тому що, звичайно, він платив за фільм [СМІХ].

Коштує вона не так дешево, як плівка у звичайних фотоапаратах.

---

ДУГ.  Ні, сер!

Наша перша історія — це ще одна історія історичного типу.

Це був хробак Christmas Tree 1987 року, також відомий як CHRISTMA EXEC, який був написаний на мові сценаріїв REXX:

Мережевому хробаку CHRISTMA EXEC – 35 років і росте!

REXX… Я ніколи раніше не чув про це.

Він намалював різдвяну ялинку в стилі ASCII і поширився електронною поштою, спричинивши масовий збій у роботі мейнфреймів у всьому світі, і був свого роду попередником Я тебе люблю вірус, який вразив IBM PC.

---

КАЧКА.  Я думаю, що багато людей недооцінювали як масштаби мереж IBM у 1980-х роках, так і потужність доступних мов сценаріїв, таких як REXX.

Ви пишете програму як звичайний старий текст – вам не потрібен компілятор, це просто файл.

І якщо назва файлу називається вісім символів, тобто РІЗДВО, а не РІЗДВО (хоча ви можете *ввести* РІЗДВО, оскільки це просто проігнорує -S)…

…і якщо ви дали назві файлу розширення EXEC (тобто: CHRISTMA [пробіл] EXEC), тоді, коли ви вводите слово «Christmas» у командному рядку, він запускатиметься.

Це мав бути попереджувальний постріл через усі наші луки, але я думаю, що це було схоже на спалах.

Аж через рік…

…потім з’явився інтернет-хробак, Дуг, який, звісно, ​​атакував системи Unix і поширився далеко й широко:

Спогади про Інтернет-хробака – 25 років потому

І тоді, я думаю, ми всі зрозуміли: «Ой, ця сцена з вірусами та хробаками може виявитися досить неприємною».

Отже, так, CHRISTMA EXEC… дуже, дуже просто.

На ньому дійсно була ялинка, і це мало відволікти увагу.

Ви дивилися на різдвяну ялинку, тож, ймовірно, не помічали всі маленькі знаки внизу вашого терміналу IBM 3270, які показують усю активність системи, доки ви не почали отримувати ці повідомлення про різдвяну ялинку від десятків людей.

[СМІХ]

І так воно тривало, і далі, і далі.

«Щасливого Різдва та найкращих побажань у наступному році», — було написано все в графічному форматі ASCII або, мабуть, краще сказати, у стилі EBCDIC.

У верхній частині вихідного коду є коментар: «Запустіть цей EXEC і насолоджуйтесь».

А трохи нижче є примітка: «Переглядати цей файл зовсім не весело».

Що, очевидно, якщо ви не програміст, цілком вірно.

А під ним написано: «Просто введіть Різдво в командному рядку».

Тож, як і сучасне зловмисне програмне забезпечення для макросів, яке каже користувачеві: «Гей, макроси вимкнено, але для вашої «додаткової безпеки» їх потрібно знову ввімкнути… чому б не натиснути кнопку? Так набагато легше».

35 років тому [СМІЄТЬСЯ] автори зловмисного програмного забезпечення вже зрозуміли, що якщо ви мило попросите користувачів зробити щось, що зовсім не в їхніх інтересах, деякі з них, можливо, багато з них це зроблять.

Після того, як ви авторизували його, він міг читати ваші файли, а оскільки він міг читати ваші файли, він міг отримати список усіх людей, з якими ви зазвичай листувалися з ваших так званих псевдонімів або файлу NAMES, і вибухнув до усі.

---

ДУГ.  Я не кажу, що я сумую за цим часом, але було щось на диво втішне, 20 років тому, запустивши Hotmail і побачивши сотні електронних листів від людей, які мали мене в списку контактів…

… і просто *знати*, що щось відбувається.

На кшталт: «Очевидно, ходить хробак», тому що я отримую купу електронних листів від людей тут.

---

КАЧКА.  Люди, про яких ви не чули пару років… раптом вони опинились у вашій поштовій скриньці!

---

ДУГ.  Гаразд, перейдемо до нового, до сучасності…

…і цей «Невидимий виклик» TikTok:

TikTok “Invisible Challenge” порно шкідливе програмне забезпечення піддає всіх нас ризику

По суті, це фільтр TikTok, який ви можете застосувати, щоб ви виглядали невидимими… тому, звичайно, перше, що люди зробили, було: «Чому б мені не зняти весь свій одяг і подивитися, чи справді це робить мене невидимим?»

І тоді, звісно, ​​купа шахраїв каже: «Давайте випустимо фальшиве програмне забезпечення, яке буде «невидимим» для голих людей».

Чи маю я на це право?

---

КАЧКА.  Так, на жаль, Дуг, це все і коротко.

І, на жаль, це виявилося дуже привабливою приманкою для значної кількості людей в Інтернеті.

Вас запрошують приєднатися до цього каналу Discord, щоб дізнатися більше… і щоб почати, вам потрібно поставити лайк на сторінці GitHub.

Отже, це все це пророцтво, що самореалізується...

---

ДУГ.  Ця частина (я ненавиджу використовувати слово «Б» [геніально])… цей аспект цього майже гідний слова «Б», тому що ви легітимізуєте цей нелегітимний проект, просто тим, що всі голосують за нього.
.

---

КАЧКА.  Абсолютно!

«Спочатку проголосуйте за це, а потім* ми розповімо вам усе про це, тому що, очевидно, це буде чудово, тому що «безкоштовне порно»».

А сам проект — це ціла купа брехні — він просто посилається на інші репозиторії (і це цілком нормально на сцені ланцюга постачання з відкритим кодом)… вони виглядають як законні проекти, але в основному є клонами законних проектів з одним змінився рядок, який запускається під час встановлення.

Що, до речі, є великим червоним прапором, навіть якби в цьому не було непристойної порно-теми «роздягни людей, які ніколи цього не збиралися».

Ви можете отримати законне програмне забезпечення, справді встановлене з GitHub, але процес встановлення, задоволення всіх залежностей, отримання всіх необхідних бітів… *цей* процес — це те, що вводить зловмисне програмне забезпечення.

І саме це тут сталося.

Є один рядок обфусцованого Python; коли ви його деобфускаціюєте, це, по суті, завантажувач, який йде і отримує ще трохи Python, який є супер-скрамбульованим, тому зовсім неочевидно, що він робить.

По суті, ідея полягає в тому, що шахраї можуть встановлювати все, що завгодно, тому що цей завантажувач переходить на веб-сайт, який контролюють шахраї, тож вони можуть розміщувати для завантаження все, що завгодно.

І схоже, що основним зловмисним програмним забезпеченням, яке хотіли розгорнути шахраї (хоча вони могли встановити будь-що), був троян, що викрадає дані, на основі, я думаю, проекту, відомого як WASP…

…які в основному переслідують цікаві файли на вашому комп’ютері, зокрема такі речі, як гаманці з криптовалютами, збережені кредитні картки та, що важливо (ви, напевно, здогадалися, куди це йде!) ваш пароль Discord, ваші облікові дані Discord.

І ми знаємо, чому шахраї люблять соціальні мережі та паролі для обміну миттєвими повідомленнями.

Тому що, коли вони отримають ваш пароль, вони зможуть зв’язатися безпосередньо з вашими друзями, родиною та колегами по роботі в закритій групі…

…набагато більш правдоподібно, що вони повинні отримати набагато кращий рівень успіху в заманюванні нових жертв, ніж вони це роблять за допомогою бризок і молитв, таких як електронна пошта чи SMS.

---

ДУГ.  Добре, ми будемо стежити за цим – воно все ще розвивається.

Але нарешті хороші новини: це шахрайство з «Cryptorom», яке є крипто/романтичним шахрайством…

…у нас кілька арештів, масштабних арештів, так?

Багатомільйонні шахрайські сайти CryptoRom вилучено, підозрюваних заарештовано в США

---

КАЧКА.  Так.

Про це повідомило Міністерство юстиції США [DOJ]: сім сайтів, пов'язаних з так званими шахраями Cryptorom, ліквідовано.

І в цьому звіті також згадується той факт, що, я думаю, нещодавно в США було заарештовано 11 осіб.

Тепер, Cryptorom, це назва, яку дослідники SophosLabs дали цій конкретній схемі кіберзлочинності, тому що, як ви сказали, вона поєднує підхід, який використовують шахраї, які займаються любовними стосунками (тобто шукають вас на сайті знайомств, створюють фальшивий профіль, дружать з вами) з шахрайством з криптовалютою.

Замість «Гей, я хочу, щоб ти закохався в мене; Давай одружимося; а тепер надішліть мені гроші на візу, таке шахрайство…

…шахраї кажуть: «Ну, можливо, ми й не станемо предметом, але ми все одно хороші друзі. [ДРАМАТИЧНИЙ ГОЛОС] У мене є для вас інвестиційна можливість!»

Тож раптом здається, що це йде від когось, кому можна довіряти.

Це шахрайство, яке полягає в тому, що вас вмовляють встановити сторонню програму, навіть якщо у вас є iPhone.

«Це все ще в розробці; це так нове; ти такий важливий; ви праві в основі цього. Він ще в розробці, тож зареєструйтесь у бета-версії TestFlight».

Або вони скажуть: «О, ми публікуємо це лише для людей, які приєдналися до нашого бізнесу. Тож надайте нам керування мобільними пристроями (MDM) над вашим телефоном, а потім ви зможете встановити цю програму. [ТАЄМНИЙ ГОЛОС} І нікому про це не кажи. Його не буде в магазині програм; ти особливий».

І, звісно, ​​програма виглядає як програма для торгівлі криптовалютою, і вона підтримується привабливими графіками, які просто дивним чином продовжують рости, Дуг.

Ваші інвестиції насправді ніколи не зменшаться... але все це брехня.

А потім, коли ви хочете отримати свої гроші, ну (типовий трюк Понці або піраміди), інколи вони дозволять вам взяти трохи грошей… ви тестуєте, тож знімаєте трохи, і отримуєте їх назад.

Звичайно, вони просто повертають вам гроші, які ви вже вклали, або їх частину.

---

ДУГ.  [СУМНО] Так.

---

КАЧКА.  І тоді ваші інвестиції зростають!

А потім на тебе: «Уяви, ти не зняв ці гроші? Чому б вам не повернути ці гроші? Гей, ми навіть позичимо тобі ще трохи грошей; ми з тобою щось покладемо. А чому б не залучити своїх друзів? Бо наближається щось велике!»

Отже, ви вкладаєте гроші, і відбувається щось велике, наприклад ціна різко зростає, і ви говорите: «Ого, я такий радий, що реінвестував гроші, які зняв!»

І ви все ще думаєте: «Той факт, що я міг забрати це, означає, що ці люди законні».

Звичайно, ні – це просто більша зграя брехні, ніж на початку.

А потім, коли ти нарешті думаєш: «Краще я виведу готівку», раптом виникають усілякі проблеми.

«Ну, є податок, — Даг, — є державний податок, який утримується».

І ви говорите: «Добре, я збираюся відрізати 20% верхівки».

Тоді історія така: «Насправді, ні, *технічно* це не податок, що утримується». (Тут вони просто забирають гроші з суми, а решту віддають)

«Насправді ваш рахунок *заморожено*, тому уряд не може затримати гроші».

Ви повинні сплатити податок… тоді ви отримаєте всю суму назад.

---

ДУГ.  [МОРЩИТЬСЯ] О, Боже!

---

КАЧКА.  У цей момент ви повинні відчути запах щура… але вони повсюди над вами; вони тиснуть на вас; вони прополюють; якщо не Weedling, вони кажуть вам: «Ну, ви можете потрапити в біду. Уряд може переслідувати вас!»

Люди вкладають 20%, а потім, як я писав [у статті], я сподіваюся, що не грубо: ГРА ЗАВЕРШЕНА, ВСТАВТЕ МОНЕТУ, ЩОБ ПОЧАТИ НОВУ ГРУ.

Насправді, згодом з вами може зв’язатися хтось, який дивовижним чином, Даг, скаже: «Гей, вас не обманули шахраї Cryptorom? Ну, я розслідую і можу допомогти вам повернути гроші».

Це жахливо бути учасником, тому що все починається з частини «rom» [роман].

Насправді вони не прагнуть романтики, але вони прагнуть достатньої кількості дружби, що ви відчуваєте, що можете їм довіряти.

Отже, ви насправді потрапляєте в щось «особливе» – тому ваших друзів і родину не запросили.

---

ДУГ.  Ми вже говорили про цю історію кілька разів раніше, включаючи поради, які є в цій статті.

Демонтувати [основний елемент] у колонці порад є: Відверто слухайте своїх друзів і рідних, якщо вони намагаються попередити вас.

Психологічна війна, начебто!

---

КАЧКА.  Дійсно.

І передостанній також варто пам’ятати: Не обманюйте себе, оскільки ви заходите на веб-сайт шахрая, і це виглядає як справжня угода.

Ви думаєте: «Боже, вони дійсно можуть дозволити собі платити професійним веб-дизайнерам?»

Але якщо ви подивіться, скільки грошей заробляють ці хлопці: [A] так, вони могли б, і [B] їм це навіть не потрібно.

Існує безліч інструментів, які створюють високоякісні, зручні для візуального перегляду веб-сайти з графіками в реальному часі, транзакціями в реальному часі, чарівними, красивими веб-формами…

---

ДУГ.  Саме так.

Насправді сьогодні дуже важко створити *поганий* веб-сайт.

Ви повинні дуже постаратися!

---

КАЧКА.  Він матиме сертифікат HTTPS; воно матиме досить законне доменне ім’я; і, звісно, ​​у цьому випадку це поєднується з додатком, *який ваші друзі не можуть перевірити за вас, завантаживши самі* з App Store і запитавши: «Про що ти, на біса, думав?»

Тому що це «секретна спеціальна програма» через «суперспеціальні» канали, яка просто полегшує шахраям обдурити вас, виглядаючи більш ніж добре.

Тож, бережіть себе, люди!

---

ДУГ.  Бережіть себе!

І зупинимося на темі репресій.

Це ще одна велика репресія – ця історія дуже інтригує мене, тому мені цікаво почути, як ви її розгадаєте:

Сайт голосового шахрайства «iSpoof» конфісковано, 100 заарештовано під час масового розгону

Це сайт голосового шахрайства під назвою iSspoof… і я шокований, що йому дозволили працювати.

Це не дарквеб-сайт, це звичайна мережа.

---

КАЧКА.  Гадаю, якщо все, що робить ваш сайт, це: «Ми запропонуємо вам послуги голосового зв’язку через IP [VoIP] із додатковими перевагами, які включають налаштування ваших власних номерів для виклику»…

…якщо вони відкрито не кажуть: «Основна мета цього — вчинити кіберзлочин», тоді хостингова компанія може не мати юридичних зобов’язань видаляти сайт.

І якщо ви самі розміщуєте це, і ви шахрай… Я думаю, це досить складно.

Зрештою знадобився судовий наказ, який, я вважаю, отримав ФБР і виконав Міністерство юстиції, щоб вимагати ці домени та розмістити [повідомлення] «Цей домен конфісковано».

Тож це була досить тривала операція, як я розумію, просто спроба застати за це.

Проблема полягає в тому, що вам було дуже легко запустити службу шахрайства, де, коли ви телефонуєте комусь, на його телефоні з’являється назва банку на High Street, яку вони самі внесли у свій список телефонних контактів. *власний сайт банку*.

Тому що, на жаль, автентифікація в протоколі Caller ID або Calling Line Identification невелика або взагалі відсутня.

Ці номери з’являються перед тим, як ви відповісте на дзвінок?

Вони не кращі за натяки, Дуг.

Але, на жаль, люди сприймають їх як якусь євангельську істину: «Там написано, що це банк. Як хтось міг це підробити? Мені Дзвонить банк».

Не обов'язково!

Якщо ви подивіться на кількість дзвінків, які були здійснені... скільки це було, три з половиною мільйони лише у Великобританії?

10 мільйонів по всій Європі?

Я думаю, що вони зробили три з половиною мільйони дзвінків; На 350,000 XNUMX із них було надано відповідь, і вони тривали більше хвилини, що свідчить про те, що людина почала вірити у всю підробку.

Отже: «Переведіть кошти на неправильний рахунок», або «Прочитайте свій код двофакторної автентифікації», або «Дозвольте нам допомогти вам вирішити вашу технічну проблему – давайте почнемо з встановлення TeamViewer», або що завгодно.

І навіть на запрошення шахраїв: «Перевірте номер, якщо не вірите!»

---

ДУГ.  Це підводить нас до питання, яке я мав весь час, читаючи цю статтю, і воно чудово узгоджується з нашими коментарями читачів за тиждень.

Читач Манн коментує: «Телекомунікаційні компанії повинні отримати справедливу частку провини за те, що вони дозволили спуфінг у своїй мережі».

Отже, у цьому дусі, Пол, чи можуть телекомунікаційні компанії щось зробити, щоб зупинити це?

---

КАЧКА.  Інтригуюче те, що наступний коментатор (дякую, Джоне, за цей коментар!) сказав: «Я б хотів, щоб ви згадали дві речі, що називаються ПЕРЕМІШУВАННЯ та СТРУШАННЯ».

Це американські ініціативи, тому що ви, хлопці, любите свої акроніми, чи не так, вам подобається закон CAN-SPAM?

---

ДУГ.  Так!

---

КАЧКА.  Отже, STIR є «Безпечна телефонна ідентифікація переглянута».

І SHAKEN, очевидно, означає (не стріляйте в мене, я лише посланець, Дуг!)… що це, «обробка підтвердженої інформації на основі підпису за допомогою маркерів».

Тож це все одно, що сказати: «Ми нарешті звикли використовувати TLS/HTTPS для веб-сайтів».

Це не ідеально, але принаймні воно забезпечує певну міру, щоб ви могли перевірити сертифікат, якщо хочете, і це зупиняє будь-кого, хто прикидається будь-ким, коли завгодно.

Проблема в тому, що це лише ініціативи, наскільки я знаю.

У нас є технологія для цього, принаймні для інтернет-телефонії…

…але подивіться, скільки часу нам знадобилося, щоб зробити щось таке просте, як встановлення HTTPS майже на всіх веб-сайтах у світі.

Була величезна реакція проти цього.

---

ДУГ.  Так!

---

КАЧКА.  І, за іронією долі, це надходило не від постачальників послуг.

Це виходило від людей, які казали: «Ну, я керую невеликим веб-сайтом, то чому я маю про це турбуватися? Чому я маю піклуватися?»

Тож я думаю, що може пройти багато років, перш ніж з’явиться якась сильна ідентичність, пов’язана з вхідними телефонними дзвінками…

---

ДУГ.  Гаразд, тож це може зайняти деякий час, [КРИВО], але, як ви сказали, ми вибрали наші абревіатури, що є дуже важливим першим кроком.

Отже, ми з цим позбулися… і ми побачимо, чи це зрештою прийме форму.

Тож дякую, Мані, що надіслав це.

Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.

Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @NakedSecurity.

Це наше шоу на сьогодні; дуже дякую, що вислухали.

Для Пола Дакліна я Даг Аамот, нагадую: до наступного разу…

---

ОБИМ.  Залишайтеся в безпеці.

[МУЗИЧНИЙ МОДЕМ]