S3 Tập111: Rủi ro kinh doanh của một “máy lọc ảnh khỏa thân” nhếch nhác [Âm thanh + Văn bản]

Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ.  Các cuộc đàn áp, zero-day và Tik Tok khiêu dâm.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin.

Paul, xin thứ lỗi cho giọng nói của tôi.

Tôi ốm yếu, nhưng tôi cảm thấy tinh thần minh mẫn!

---

VỊT.  Tuyệt vời, Doug.

Bây giờ, tôi hy vọng bạn đã có một tuần nghỉ vui vẻ và tôi hy vọng bạn đã có một ngày Thứ Sáu Đen tuyệt vời.

---

CHÓ.  Tôi có quá nhiều con để làm bất cứ điều gì thú vị… chúng còn quá nhỏ.

Nhưng chúng tôi có một số thứ vào Thứ Sáu Đen qua internet.

Bởi vì, tôi không biết, tôi không thể nhớ lần cuối cùng tôi đến một cửa hàng bán lẻ là khi nào, nhưng một ngày nào đó tôi sẽ quay lại.

---

VỊT.  Tôi nghĩ bạn đã qua Thứ Sáu Đen, kể từ khi bạn bị cản trở cho một chiếc Nintendo Wii vào thế kỷ 18, Doug?

---

CHÓ.  Đó là sự thật, vâng.

Đó là đi lạch bạch đến phía trước hàng và một số phụ nữ nói, "Bạn cần một vé", xem hàng dài bao lâu và nói, "OK, cái này không dành cho tôi."

---

VỊT.  [CƯỜI] Chiếc vé có lẽ chỉ để *vào* hàng đợi… sau đó bạn sẽ biết liệu họ có thực sự còn vé hay không.

---

CHÓ.  Vâng, và họ đã không… spoiler!

---

VỊT.  "Sir chỉ tham gia xếp hàng trước."

---

CHÓ.  Vâng.

Vì vậy, tôi không cảm thấy muốn chiến đấu với một đám người.

Tất cả những hình ảnh bạn thấy trên tin tức… đó sẽ không bao giờ là tôi.

Chúng tôi muốn bắt đầu chương trình với Tuần này trong Lịch sử Công nghệ phân khúc và chúng tôi có một tính năng kép trong tuần này, Paul.

Vào ngày 28 tháng 1948 năm 95, Máy ảnh Polaroid Land Model XNUMX đã được bán tại cửa hàng bách hóa Jordan Marsh ngay tại Boston.

Đó là chiếc máy ảnh lấy ngay thương mại đầu tiên, vào năm 1948.

Và rồi một ngày (và vài năm sau), ngày 29 tháng 1972 năm XNUMX, Atari giới thiệu sản phẩm đầu tiên của mình, một trò chơi nhỏ tên là PONG.

---

VỊT.  Khi bạn thông báo ý định công bố Land Camera là Lịch sử công nghệ, tôi nghĩ… “Đó là năm 1968”.

Có thể sớm hơn một chút - có thể là vào cuối những năm 1950, một kiểu của “kỷ nguyên Sputnik”.

1948 hả bạn?

Wow!

Thu nhỏ tuyệt vời cho thời gian đó.

Nếu bạn nghĩ về những chiếc máy tính lớn như thế nào, thì không chỉ là chúng cần phòng, chúng cần những tòa nhà lớn của riêng chúng!

Và đây là chiếc máy ảnh gần như kỳ diệu này - chất hóa học nằm trong tay bạn.

Anh trai tôi đã có một trong số đó khi tôi còn nhỏ, và tôi nhớ mình đã vô cùng ngạc nhiên về nó.

Nhưng đừng ngạc nhiên như vậy, Doug, khi anh ấy phát hiện ra rằng tôi đã chụp một vài bức ảnh dư thừa, chỉ để xem nó hoạt động như thế nào.

Bởi vì, tất nhiên, anh ấy đã trả tiền cho bộ phim [CƯỜI].

Không rẻ bằng phim trong máy ảnh thông thường.

---

CHÓ.  Không, thưa ngài!

Câu chuyện đầu tiên của chúng tôi là một câu chuyện thuộc thể loại lịch sử khác.

Đây là sâu cây Giáng sinh năm 1987, còn được gọi là CHRISTMA EXEC, được viết bằng ngôn ngữ kịch bản REXX:

Sâu mạng CHRISTMA EXEC – 35 năm và còn tiếp tục!

REXX… Tôi chưa bao giờ nghe nói về điều này trước đây.

Nó đã vẽ một cây thông Giáng sinh theo phong cách nghệ thuật ASCII và lan truyền qua email, gây ra sự gián đoạn lớn cho các máy tính lớn trên toàn thế giới và là tiền thân của I Love You vi-rút đã ảnh hưởng đến máy tính cá nhân của IBM.

---

VỊT.  Tôi nghĩ rằng nhiều người đã đánh giá thấp cả phạm vi mạng của IBM vào những năm 1980 và sức mạnh của các ngôn ngữ kịch bản có sẵn, như REXX.

Bạn viết chương trình dưới dạng văn bản cũ thuần túy – bạn không cần trình biên dịch, nó chỉ là một tệp.

Và nếu bạn đặt tên tệp tám ký tự, do đó CHRISTMA, không phải CHRISTMAS (mặc dù bạn có thể *gõ* CHRISTMAS, vì nó sẽ bỏ qua -S)…

…và nếu bạn đặt tên tệp là phần mở rộng EXEC (vì vậy: CHRISTMA [dấu cách] EXEC), thì khi bạn gõ từ “Christmas” ở dòng lệnh, nó sẽ chạy.

Lẽ ra đó phải là một phát súng cảnh cáo đối với tất cả các cung của chúng tôi, nhưng tôi nghĩ nó giống như một cú chớp nhoáng trong chảo.

Cho đến một năm sau…

…sau đó là Internet Worm, Doug, tất nhiên đã tấn công các hệ thống Unix và lan rộng:

Hồi ức về con sâu Internet – 25 năm sau

Và đến lúc đó, tôi nghĩ tất cả chúng tôi đều nhận ra, "Uh-oh, cảnh virus và sâu này có thể trở nên khá rắc rối."

Vì vậy, vâng, CHRISTMA EXEC… rất, rất đơn giản.

Nó thực sự đã dựng một cây thông Noel, và điều đó nhằm mục đích đánh lạc hướng.

Bạn đã nhìn vào cây thông Noel, vì vậy bạn có thể không nhận thấy tất cả các dấu hiệu nhỏ ở dưới cùng của thiết bị đầu cuối IBM 3270 hiển thị tất cả hoạt động của hệ thống, cho đến khi bạn bắt đầu nhận được các tin nhắn về Cây thông Noel này từ hàng chục người.

[CON GÁI]

Và cứ thế, tiếp tục và tiếp tục.

“Chúc một Giáng sinh vui vẻ và những lời chúc tốt đẹp nhất của tôi cho năm tới”, Nó nói, tất cả đều bằng nghệ thuật ASCII, hoặc có lẽ tôi nên nói là nghệ thuật EBCDIC.

Có một nhận xét ở đầu mã nguồn: “Hãy để EXEC này chạy và tận hưởng”.

Và xa hơn một chút, có một ghi chú có nội dung: “Duyệt tệp này không thú vị chút nào.”

Rõ ràng là nếu bạn không phải là một lập trình viên, thì điều đó hoàn toàn đúng.

Và bên dưới nó ghi, "Chỉ cần gõ Giáng sinh từ dấu nhắc lệnh."

Vì vậy, giống như phần mềm độc hại macro hiện đại nói với người dùng, “Này, macro đã bị tắt, nhưng để 'an toàn hơn', bạn cần bật lại chúng... tại sao không nhấp vào nút? Cách đó dễ dàng hơn nhiều.”

35 năm trước [CƯỜI], những kẻ viết phần mềm độc hại đã nhận ra rằng nếu bạn khéo léo yêu cầu người dùng làm điều gì đó mà họ không hề quan tâm, thì một số người trong số họ, có thể là nhiều người trong số họ, sẽ làm điều đó.

Khi bạn đã cho phép nó, nó có thể đọc các tệp của bạn và vì nó có thể đọc các tệp của bạn nên nó có thể lấy danh sách tất cả những người mà bạn thường trao đổi thư từ từ tệp được gọi là biệt hiệu hoặc tệp TÊN của bạn và tự gửi đến Tất cả bọn họ.

---

CHÓ.  Tôi không nói rằng tôi nhớ khoảng thời gian này, nhưng có một điều gì đó an ủi lạ lùng, 20 năm trước, tôi kích hoạt Hotmail và thấy hàng trăm email từ những người có tôi trong danh sách liên lạc của họ…

… và chỉ *biết* rằng có chuyện gì đó đang xảy ra.

Giống như, “Rõ ràng là có một con sâu đang lẩn quẩn”, bởi vì tôi vừa nhận được vô số email từ những người ở đây.

---

VỊT.  Những người mà bạn chưa từng nghe tin tức gì trong vài năm… đột nhiên họ sẽ tràn ngập hộp thư của bạn!

---

CHÓ.  Được rồi, chúng ta hãy chuyển sang cái mới, đến thời hiện đại…

…và “Thử thách vô hình” TikTok này:

Phần mềm độc hại khiêu dâm “Thử thách vô hình” của TikTok khiến tất cả chúng ta gặp rủi ro

Về cơ bản, đây là một bộ lọc trên TikTok mà bạn có thể áp dụng để khiến bạn dường như vô hình… nên tất nhiên, điều đầu tiên mọi người làm là “Tại sao tôi không cởi hết quần áo ra và xem liệu nó có thực sự khiến tôi tàng hình không?”

Và sau đó, tất nhiên, một loạt những kẻ lừa đảo sẽ nói, “Hãy tạo ra một số phần mềm giả mạo sẽ 'không thể nhìn thấy' những người khỏa thân."

Tôi có quyền đó không?

---

VỊT.  Vâng, thật đáng buồn, Doug, đó là vấn đề dài và ngắn.

Và thật không may, điều đó đã chứng tỏ là một sức hút rất hấp dẫn đối với một số lượng đáng kể những người trực tuyến.

Bạn được mời tham gia kênh Discord này để tìm hiểu thêm… và để bắt đầu, bạn phải thích trang GitHub.

Vì vậy, đó là tất cả lời tiên tri tự ứng nghiệm này….

---

CHÓ.  Phần đó là (tôi ghét sử dụng từ B [tuyệt vời])… khía cạnh đó của nó gần như xứng đáng với từ B vì bạn đang hợp pháp hóa dự án bất hợp pháp này, chỉ bằng cách mọi người ủng hộ nó.
.

---

VỊT.  Chắc chắn rồi!

“Hãy bình chọn cho nó trước, và *sau đó* chúng tôi sẽ cho bạn biết tất cả về nó, bởi vì rõ ràng nó sẽ rất tuyệt, bởi vì 'khiêu dâm miễn phí'.”

Và bản thân dự án là một gói dối trá – nó chỉ liên kết thông qua các kho lưu trữ khác (và điều đó khá bình thường trong bối cảnh chuỗi cung ứng nguồn mở)… chúng trông giống như các dự án hợp pháp, nhưng về cơ bản chúng là bản sao của các dự án hợp pháp với một thay đổi dòng chạy trong khi cài đặt.

Nhân tiện, đó là một lá cờ đỏ lớn, rằng ngay cả khi điều này không có chủ đề khiêu dâm 'cởi quần áo của những người không bao giờ có ý định đó' trong đó.

Bạn có thể kết thúc với phần mềm hợp pháp, được cài đặt thực sự từ GitHub, nhưng quá trình thực hiện cài đặt, đáp ứng tất cả các phụ thuộc, tìm nạp tất cả các bit bạn cần… *quá trình đó* là thứ giới thiệu phần mềm độc hại.

Và đó chính xác là những gì đã xảy ra ở đây.

Có một dòng Python bị xáo trộn; khi bạn giải mã mã nguồn cho nó, về cơ bản, nó là một trình tải xuống chạy và tìm nạp thêm một số Python, được siêu xáo trộn nên hoàn toàn không rõ nó làm gì.

Về cơ bản, ý tưởng là những kẻ lừa đảo có thể cài đặt bất cứ thứ gì chúng thích, bởi vì trình tải xuống đó đi đến một trang web mà kẻ gian kiểm soát, vì vậy chúng có thể đưa bất cứ thứ gì chúng muốn lên để tải xuống.

Và có vẻ như phần mềm độc hại chính mà những kẻ lừa đảo muốn triển khai (mặc dù chúng có thể đã cài đặt bất cứ thứ gì) là một Trojan đánh cắp dữ liệu dựa trên, tôi nghĩ, một dự án được gọi là WASP…

…về cơ bản sẽ theo dõi các tệp thú vị trên máy tính của bạn, đáng chú ý là bao gồm những thứ như ví tiền điện tử, thẻ tín dụng được lưu trữ và quan trọng là (có lẽ bạn đã đoán được điều này sẽ xảy ra ở đâu!) mật khẩu Discord, thông tin đăng nhập Discord của bạn.

Và chúng tôi biết lý do tại sao kẻ lừa đảo yêu thích mạng xã hội và mật khẩu nhắn tin nhanh.

Bởi vì, khi họ lấy được mật khẩu của bạn và họ có thể liên hệ trực tiếp với bạn bè, gia đình và đồng nghiệp của bạn trong một nhóm kín…

…điều đáng tin cậy hơn nhiều là họ phải đạt được tỷ lệ thành công cao hơn nhiều trong việc thu hút nạn nhân mới so với cách họ làm với những thứ phun-và-cầu-nguyện như email hoặc SMS.

---

CHÓ.  OK, chúng tôi sẽ theo dõi điều đó – nó vẫn đang phát triển.

Nhưng cuối cùng cũng có một số tin tốt: trò lừa đảo “Cryptorom” này, một trò lừa đảo tiền điện tử/tình cảm…

…chúng tôi đã có một số vụ bắt giữ, những vụ bắt giữ lớn, phải không?

Các trang web lừa đảo CryptoRom trị giá hàng triệu đô la bị tịch thu, nghi phạm bị bắt ở Mỹ

---

VỊT.  Vâng.

Điều này đã được Bộ Tư pháp Hoa Kỳ [DOJ] công bố: bảy trang web liên quan đến cái gọi là những kẻ lừa đảo Cryptorom đã bị gỡ xuống.

Và báo cáo đó cũng liên quan đến thực tế là, tôi nghĩ, 11 người gần đây đã bị bắt ở Mỹ.

Bây giờ, Cryptorom, đó là cái tên mà các nhà nghiên cứu của SophosLabs đã đặt cho kế hoạch tội phạm mạng cụ thể này bởi vì, như bạn nói, nó kết hợp với cách tiếp cận được sử dụng bởi những kẻ lừa đảo lãng mạn (tức là tìm kiếm bạn trên một trang web hẹn hò, tạo hồ sơ giả, trở thành bạn bè với bạn) với lừa đảo tiền điện tử.

Thay vì “Này, tôi muốn bạn yêu tôi; Hãy lập gia đình; bây giờ hãy gửi tiền cho tôi để xin thị thực” kiểu lừa đảo…

…những kẻ lừa đảo nói, “Chà, có thể chúng ta sẽ không trở thành một món hàng, nhưng chúng ta vẫn là bạn tốt của nhau. [DRAMATIC VOICE] Tôi có cơ hội đầu tư cho bạn đấy!”

Vì vậy, nó đột nhiên có cảm giác như nó đến từ một người mà bạn có thể tin tưởng.

Đó là một trò lừa đảo liên quan đến việc thuyết phục bạn cài đặt một ứng dụng ngoài thị trường, ngay cả khi bạn có iPhone.

“Nó vẫn đang trong quá trình phát triển; nó rất mới; bạn rất quan trọng; bạn đang ở ngay cốt lõi của nó. Nó vẫn đang được phát triển, vì vậy hãy đăng ký TestFlight, chương trình Beta.”

Hoặc họ sẽ nói: “Ồ, chúng tôi chỉ xuất bản nó cho những người tham gia kinh doanh của chúng tôi. Vì vậy, hãy cung cấp cho chúng tôi quyền kiểm soát quản lý thiết bị di động (MDM) trên điện thoại của bạn và sau đó bạn có thể cài đặt ứng dụng này. [GIỌNG NÓI BÍ MẬT} Và đừng nói với ai về điều đó. Nó sẽ không có trong cửa hàng ứng dụng; bạn thật đặc biệt.”

Và, tất nhiên, ứng dụng này trông giống như một ứng dụng giao dịch tiền điện tử, và nó được hỗ trợ bởi các biểu đồ trông dễ thương cứ tăng lên một cách kỳ lạ, Doug.

Các khoản đầu tư của bạn không bao giờ thực sự giảm sút… nhưng tất cả chỉ là một mớ dối trá.

Và sau đó, khi bạn muốn rút tiền của mình, (điển hình là thủ đoạn Ponzi hoặc mô hình kim tự tháp), đôi khi họ sẽ cho phép bạn rút một ít tiền… bạn đang thử nghiệm, vì vậy bạn rút một ít và bạn nhận được tiền mặt sau.

Tất nhiên, họ chỉ trả lại cho bạn số tiền mà bạn đã đặt lại hoặc một phần trong số đó.

---

CHÓ.  [SAD] Vâng.

---

VỊT.  Và sau đó các khoản đầu tư của bạn đang tăng lên!

Và sau đó họ quay sang bạn: “Hãy tưởng tượng nếu bạn chưa rút số tiền đó? Tại sao bạn không đặt số tiền đó trở lại? Này, chúng tôi thậm chí sẽ cho bạn vay thêm tiền; chúng tôi sẽ đặt một cái gì đó với bạn. Và tại sao không nhận được bạn bè của bạn trong? Bởi vì một cái gì đó lớn đang đến!

Vì vậy, bạn bỏ tiền vào, và một điều gì đó lớn lao xảy ra, chẳng hạn như giá tăng vọt, và bạn sẽ nói: “Chà, tôi rất vui vì đã tái đầu tư số tiền mà tôi đã rút!”

Và bạn vẫn đang nghĩ, “Thực tế là tôi có thể rút lại nó có nghĩa là những người này là hợp pháp.”

Tất nhiên, chúng không phải như vậy - nó chỉ là một mớ dối trá lớn hơn lúc ban đầu.

Và sau đó, khi cuối cùng bạn nghĩ, “Tốt hơn là mình nên rút tiền mặt”, thì đột nhiên có đủ loại rắc rối.

“Chà, có một loại thuế,” Doug, “Có một khoản thuế khấu trừ của chính phủ.”

Và bạn nói, “Được rồi, vậy tôi sẽ cắt bớt 20% trên đầu.”

Sau đó, câu chuyện là, “Thực ra, không, đó không phải *về mặt kỹ thuật* là thuế khấu trừ.” (Đó là nơi họ chỉ lấy tiền từ tổng số tiền và đưa cho bạn phần còn lại)

“Thực ra, tài khoản của bạn *bị đóng băng*, vì vậy chính phủ không thể giữ lại tiền.”

Bạn phải trả tiền thuế… sau đó bạn sẽ lấy lại được toàn bộ số tiền.

---

CHÓ.  [WINCING] Ôi Chúa ơi!

---

VỊT.  Bạn nên ngửi thấy mùi của một con chuột vào thời điểm này… nhưng chúng ở khắp nơi trên bạn; họ đang gây áp lực cho bạn; họ đang làm cỏ; nếu không nhổ cỏ, họ đang nói với bạn, “Chà, bạn có thể gặp rắc rối đấy. Chính phủ có thể đang theo đuổi bạn!

Mọi người đang đặt 20% và sau đó, như tôi đã viết [trong bài báo], tôi hy vọng không thô lỗ: HẾT TRÒ CHƠI, CHÈN XU ĐỂ BẮT ĐẦU TRÒ CHƠI MỚI.

Trên thực tế, sau đó bạn có thể được liên lạc bởi một người nào đó, Doug, một cách thần kỳ, nói: “Này, bạn có bị lừa bởi những trò gian lận Cryptorom không? Chà, tôi đang điều tra và tôi có thể giúp bạn lấy lại tiền ”.

Đó là một điều khủng khiếp khi tham gia, bởi vì tất cả đều bắt đầu với phần “rom” [lãng mạn].

Họ không thực sự theo đuổi sự lãng mạn, nhưng họ *đang* theo đuổi một tình bạn mà bạn cảm thấy có thể tin tưởng họ.

Vì vậy, bạn đang thực sự tham gia vào một điều gì đó “đặc biệt” – đó là lý do tại sao bạn bè và gia đình của bạn không được mời.

---

CHÓ.  Chúng tôi đã nói về câu chuyện này nhiều lần trước đây, bao gồm cả lời khuyên, trong bài báo ở đây.

Phần tháo gỡ [mục chính] trong cột lời khuyên là: Hãy cởi mở lắng nghe bạn bè và gia đình của bạn nếu họ cố gắng cảnh báo bạn.

Chiến tranh tâm lý, như nó đã được!

---

VỊT.  Thực sự.

Và thứ hai cuối cùng cũng là một điều cần nhớ: Đừng để bị lừa vì bạn truy cập trang web của kẻ lừa đảo và nó trông giống như giao dịch thực.

Bạn nghĩ, “Trời ơi, họ có thực sự đủ khả năng trả tiền cho các nhà thiết kế web chuyên nghiệp không?”

Nhưng nếu bạn nhìn vào số tiền mà những người này đang kiếm được: [A] vâng, họ có thể, và [B] họ thậm chí không thực sự cần.

Có rất nhiều công cụ để xây dựng các trang web chất lượng cao, trực quan thân thiện với đồ thị thời gian thực, giao dịch thời gian thực, các biểu mẫu web đẹp mắt, đẹp mắt…

---

CHÓ.  Chính xác.

Ngày nay, thật sự rất khó để tạo ra một trang web có giao diện *xấu*.

Bạn phải cố gắng nhiều hơn nữa!

---

VỊT.  Nó sẽ có chứng chỉ HTTPS; nó sẽ có một tên miền trông đủ hợp pháp; và tất nhiên, trong trường hợp này, nó được kết hợp với một ứng dụng *mà bạn bè của bạn không thể kiểm tra giúp bạn bằng cách tự tải xuống* từ App Store và hỏi, “Bạn đang nghĩ cái quái gì vậy?”

Bởi vì nó là một “ứng dụng đặc biệt bí mật”, thông qua các kênh “siêu đặc biệt”, điều đó chỉ giúp kẻ gian dễ dàng đánh lừa bạn hơn bằng cách nhìn quá đẹp.

Vì vậy, hãy cẩn thận, các bạn!

---

CHÓ.  Bảo trọng!

Và hãy tập trung vào chủ đề đàn áp.

Đây là một cuộc đàn áp lớn khác – câu chuyện này thực sự hấp dẫn đối với tôi, vì vậy tôi muốn biết cách bạn làm sáng tỏ nó:

Trang web lừa đảo bằng giọng nói “iSpoof” bị tịch thu, 100 người bị bắt trong cuộc đàn áp lớn

Đây là một trang web lừa đảo bằng giọng nói được gọi là iSspoof… và tôi bị sốc khi nó được phép hoạt động.

Đây không phải là trang darkweb, đây là trang web thông thường.

---

VỊT.  Tôi đoán nếu tất cả những gì trang web của bạn đang làm là, “Chúng tôi sẽ cung cấp cho bạn Dịch vụ Thoại qua IP [VoIP] với giá trị thú vị được thêm vào bao gồm thiết lập số điện thoại của riêng bạn”…

…nếu họ không công khai nói rằng, “Mục tiêu chính của việc này là thực hiện tội phạm mạng”, thì có thể không có nghĩa vụ pháp lý nào đối với công ty lưu trữ phải gỡ trang web xuống.

Và nếu bạn đang tự tổ chức nó, và bạn là kẻ lừa đảo… Tôi đoán điều đó khá khó khăn.

Cuối cùng, tôi tin rằng phải có lệnh của tòa án, do FBI mua lại và được Bộ Tư pháp thực thi, để đi và yêu cầu các miền đó và đưa ra [một thông báo có nội dung] “Tên miền này đã bị tịch thu”.

Vì vậy, đó là một hoạt động khá dài, theo tôi hiểu, chỉ cố gắng hoàn thành việc này.

Vấn đề ở đây là nó giúp bạn bắt đầu một dịch vụ lừa đảo thực sự dễ dàng khi bạn gọi cho ai đó, điện thoại của họ sẽ hiện ra tên ngân hàng High Street mà chính họ đã nhập vào danh sách liên lạc trên điện thoại của mình. *trang web riêng của ngân hàng*.

Đáng buồn thay, bởi vì có rất ít hoặc không có xác thực trong ID người gọi hoặc giao thức Nhận dạng đường dây gọi.

Những số bật lên trước khi bạn trả lời cuộc gọi?

Chúng không tốt hơn những gợi ý, Doug.

Nhưng thật không may, mọi người coi chúng như một loại chân lý phúc âm: “Nó nói đó là ngân hàng. Làm thế nào bất cứ ai có thể giả mạo đó? Đó PHẢI là ngân hàng đang gọi cho tôi.”

Không cần thiết!

Nếu bạn nhìn vào số lượng cuộc gọi đã được thực hiện… nó là gì, ba triệu rưỡi chỉ riêng ở Vương quốc Anh?

10 triệu khắp châu Âu?

Tôi nghĩ họ đã thực hiện 350,000 triệu cuộc gọi; XNUMX trong số đó đã được trả lời và sau đó kéo dài hơn một phút, điều này cho thấy rằng người đó bắt đầu tin vào toàn bộ sự giả mạo.

Vì vậy: “Chuyển tiền vào tài khoản sai” hoặc “Đọc mã xác thực hai yếu tố của bạn” hoặc “Hãy để chúng tôi giúp bạn giải quyết vấn đề kỹ thuật – hãy bắt đầu bằng cách cài đặt TeamViewer”, hoặc bất cứ điều gì.

Và thậm chí còn bị kẻ gian mời chào: “Không tin check số đi!”

---

CHÓ.  Điều đó dẫn chúng tôi đến một câu hỏi mà tôi đã dành toàn bộ thời gian để đọc bài báo này và nó rất phù hợp với nhận xét của độc giả trong tuần.

Độc giả Mahnn nhận xét: “Các công ty viễn thông phải nhận phần lớn trách nhiệm vì đã cho phép giả mạo trên mạng của họ.”

Vì vậy, theo tinh thần đó, Paul, có điều gì mà các công ty viễn thông thực sự có thể làm để ngăn chặn điều này không?

---

VỊT.  Thật thú vị, người bình luận tiếp theo (cảm ơn John, vì bình luận này!) nói: “Tôi ước bạn đã đề cập đến hai thứ gọi là STIR và SHAKEN.”

Đây là những sáng kiến ​​của Mỹ – bởi vì các bạn yêu thích các từ viết tắt của mình, chẳng hạn như Đạo luật CAN-SPAM?

---

CHÓ.  Chúng tôi làm!

---

VỊT.  Vì vậy, STIR là “xem lại danh tính điện thoại an toàn”.

Và SHAKEN rõ ràng là viết tắt của (đừng bắn tôi, tôi chỉ là người đưa tin, Doug!)… nó là gì, “xử lý thông tin được xác nhận dựa trên chữ ký bằng cách sử dụng mã thông báo”.

Vì vậy, về cơ bản nó giống như nói, “Cuối cùng chúng tôi đã quen với việc sử dụng TLS/HTTPS cho các trang web.”

Nó không hoàn hảo, nhưng ít nhất nó cung cấp một số biện pháp để bạn có thể xác minh chứng chỉ nếu muốn và nó ngăn chặn việc bất kỳ ai giả vờ là bất kỳ ai, bất cứ lúc nào họ muốn.

Vấn đề là đây chỉ là những sáng kiến, theo như tôi biết.

Chúng tôi có công nghệ để làm điều này, ít nhất là cho điện thoại internet…

…nhưng hãy xem chúng tôi đã mất bao lâu để làm một việc đơn giản như nhận HTTPS trên hầu hết các trang web trên thế giới.

Có một phản ứng dữ dội chống lại nó.

---

CHÓ.  Có!

---

VỊT.  Và trớ trêu thay, nó không đến từ các nhà cung cấp dịch vụ.

Nó đến từ những người nói: “Chà, tôi điều hành một trang web nhỏ, vậy tại sao tôi phải bận tâm về điều này? Tại sao tôi phải quan tâm?”

Vì vậy, tôi nghĩ có thể phải mất nhiều năm nữa trước khi có bất kỳ danh tính mạnh mẽ nào liên quan đến các cuộc điện thoại đến…

---

CHÓ.  OK, vì vậy có thể mất một lúc, [WRYLY] nhưng như bạn nói, chúng tôi đã chọn từ viết tắt của mình, đây là bước đầu tiên rất quan trọng.

Vì vậy, chúng tôi đã giải quyết vấn đề đó… và cuối cùng chúng tôi sẽ xem liệu điều này có thành hình hay không.

Vì vậy, cảm ơn bạn, Mahnn, vì đã gửi nó.

Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, xin nhắc bạn: Cho đến lần sau…

---

CẢ HAI.  Giữ an toàn.

[CHẾ ĐỘ ÂM NHẠC]