![S3 Ep111:低劣的“裸露过滤器”的商业风险[音频+文本] PlatoBlockchain 数据智能。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/08/bn-1200-2.png "S3 Ep111:下流的“裸体未过滤”的商业风险 [音频 + 文本]")
下班后恶意软件带来的商业风险
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 打击行动、零日攻击和 Tik Tok 色情内容。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是道格·阿莫斯; 他是保罗·达克林。
保罗,请原谅我的声音。
我病了,但我觉得精神很敏锐!
鸭。 太好了,道格。
现在,我希望你度过了愉快的一周,我希望你度过了愉快的黑色星期五。
道格。 我有太多孩子,无法做任何有趣的事情……他们太小了。
但是我们在黑色星期五通过互联网得到了一些东西。
因为,我不知道,我不记得上次去零售店是什么时候了,但总有一天我会回去的。
鸭。 自从你在 18 世纪因任天堂 Wii 受挫以来,我以为你已经度过了黑色星期五,道格?
道格。 没错,是的。
那是摇摇晃晃地走到队伍的最前面,一些女士说,“你需要一张票”,看到队伍有多长,然后说,“好吧,这不适合我。”
鸭。 [笑] 门票大概只是为了*进入*队列……然后你会发现他们是否真的还有剩余。
道格。 是的,他们没有……剧透!
鸭。 “先生只是加入预排队。”
道格。 是的。
所以我不想和一群人打架。
你在新闻上看到的所有那些画面……那永远不会是我。
我们喜欢用 科技史上的本周 片段,这周我们有一个双重特征,保罗。
28 年 1948 月 95 日,XNUMX 型宝丽来陆地相机在波士顿的 Jordan Marsh 百货公司开始销售。
早在 1948 年,它就是第一台商用即时相机。
一天(也是几年)之后,即 29 年 1972 月 XNUMX 日,Atari 推出了它的第一款产品,一款名为 PONG 的小游戏。
鸭。 当您宣布打算将 Land Camera 宣布为 技术历史,我想……“那是 1968 年”。
也许更早一点——也许是在 1950 年代后期,一种“人造卫星时代”之类的东西。
1948 年,嗯?
哇!
当时伟大的小型化。
如果你想一想当时的计算机有多大,他们不仅需要房间,还需要自己的大建筑物!
这就是这台近乎神奇的相机——化学在你手中。
我小的时候,我哥哥就有一个,我记得当时被它惊呆了。
但当他发现我多余地拍了几张照片,只是为了看看效果如何时,道格并没有那么惊讶。
因为,当然,他正在为这部电影买单[笑声]。
这不像普通相机中的胶卷那么便宜。
道格。 不,先生!
我们的第一个故事是另一个历史类型的故事。
这是 1987 年的圣诞树蠕虫,也称为 CHRISTMA EXEC,它是用 REXX 脚本语言编写的:
REXX……我以前从没听说过这个。
它画了一棵 ASCII 艺术圣诞树并通过电子邮件传播,对全世界的大型机造成了巨大的破坏,并且是 我爱你 影响 IBM PC 的病毒。
鸭。 我认为很多人都低估了 1980 年代 IBM 网络的范围,以及可用的脚本语言(如 REXX)的强大功能。
您将程序编写为普通的旧文本——您不需要编译器,它只是一个文件。
如果您将文件名命名为八个字符,因此是 CHRISTMA,而不是 CHRISTMAS(尽管您可以*键入* CHRISTMAS,因为它只会忽略 -S)...
…如果你给文件名扩展名 EXEC(所以:CHRISTMA [空格] EXEC),那么当你在命令行输入“Christmas”这个词时,它就会运行。
这应该是对我们所有弓箭的警告射击,但我认为它感觉有点像昙花一现。
直到一年后……
......然后是 Internet 蠕虫 Doug,它当然攻击 Unix 系统并广泛传播:
到那时我想我们都意识到了,“呃,哦,这个病毒和蠕虫的场景可能会变得非常麻烦。”
所以,是的,CHRISTMA EXEC……非常非常简单。
它确实竖起了一棵圣诞树,那是为了分散注意力。
您看着圣诞树,所以您可能没有注意到 IBM 3270 终端底部显示所有系统活动的所有小标志,直到您开始收到来自数十人的这些圣诞树消息。
[笑声]
就这样一直持续下去。
“非常快乐的圣诞节和我明年最美好的祝福”,它说,都是 ASCII 艺术,或者我应该说 EBCDIC 艺术。
源代码顶部有一句注释:“让这个 EXEC 运行并享受你自己”。
再往下一点,有一条注释说:“浏览这个文件一点也不好玩。”
如果您不是程序员,这显然是对的。
在它下面写着,“只需在命令提示符下输入 Christmas。”
所以,就像现代的宏恶意软件对用户说,“嘿,宏被禁用了,但为了你的‘额外安全’,你需要重新打开它们……为什么不点击按钮呢? 这样就容易多了。”
35 年前 [LAUGHS],恶意软件编写者已经发现,如果你善意地要求用户做一些根本不符合他们兴趣的事情,他们中的一些人,可能是很多人,都会去做。
一旦你授权它,它就可以读取你的文件,因为它可以读取你的文件,它可以从你所谓的昵称或 NAMES 文件中获取你通常与之通信的所有人员的列表,并自行爆破他们全部。
道格。 我不是说我想念这一次,但有一些奇怪的安慰,20 年前,启动 Hotmail 并看到数百封来自联系人列表中有我的人的电子邮件......
......并且只是*知道*发生了什么事。
就像,“很明显,有蠕虫在四处游荡”,因为我收到了来自这里的人们的大量电子邮件。
鸭。 几年来您从未联系过的人……突然之间,他们会遍布您的邮箱!
道格。 好的,让我们继续前进到新的、现代的……
……还有这个 TikTok 的“隐形挑战”:
这基本上是 TikTok 上的一个过滤器,你可以应用它让你看起来隐形……当然,人们做的第一件事就是,“为什么我不脱掉所有衣服,看看它是否真的让我隐形?”
然后,当然,一群骗子会说,“让我们推出一些假冒软件,让裸体的人‘隐形’。”
我有那个权利吗?
鸭。 是的,可悲的是,道格,这就是它的长短。
不幸的是,事实证明,这对大量在线用户来说是一种非常有吸引力的诱惑。
您受邀加入此 Discord 频道以了解更多信息……要开始,您必须喜欢 GitHub 页面。
所以这就是所有这些自我实现的预言……。
道格。 它的那一部分是(我讨厌使用 B 词 [辉煌])……它的那个方面几乎是 B 词值得的,因为你正在使这个非法项目合法化,只是每个人都赞成它。
.
鸭。 绝对!
“先投票,然后*然后*我们会告诉你所有相关信息,因为显然它会很棒,因为‘免费色情’。”
项目本身就是一堆谎言——它只是链接到其他存储库(这在开源供应链场景中是很正常的)……它们看起来像合法项目,但它们基本上是合法项目的克隆,只有一个在安装过程中运行的行已更改。
顺便说一句,这是一个很大的危险信号,即使它没有色情主题中的色情主题。
您最终可能会得到真正从 GitHub 上安装的合法软件,但是进行安装、满足所有依赖项、获取您需要的所有位的过程……*那个*过程是引入恶意软件的东西。
这正是这里发生的事情。
有一行混淆的 Python; 当你对它进行反混淆时,它基本上是一个下载器,它会去获取更多的 Python,这是超级混乱的,所以它的作用一点也不明显。
这个想法本质上是骗子可以安装他们喜欢的任何东西,因为下载器会转到骗子控制的网站,所以他们可以下载他们想要的任何东西。
看起来骗子想要部署的主要恶意软件(尽管他们可以安装任何东西)是一种数据窃取木马,我认为它基于一个名为 WASP 的项目......
…这基本上是在你的计算机上寻找有趣的文件,特别是包括加密货币钱包、存储的信用卡,以及重要的(你可能已经猜到这是怎么回事了!)你的 Discord 密码,你的 Discord 凭证。
我们知道为什么骗子喜欢社交媒体和即时消息密码。
因为,当他们得到你的密码后,他们可以直接联系你的朋友、家人和你在封闭组中的同事……
……他们在吸引新受害者方面获得的成功率肯定比电子邮件或短信等喷洒和祈祷的成功率高得多,这更加令人信服。
道格。 好的,我们会密切关注它——它仍在开发中。
但终于有一些好消息:这个“Cryptorom”骗局,这是一个加密/浪漫骗局......
……我们逮捕了一些人,逮捕了一些大人物,对吧?
鸭。 是的。
这是由美国司法部 [DOJ] 宣布的:与所谓的 Cryptorom 诈骗者相关的七个站点被关闭。
该报告还与我认为最近有 11 人在美国被捕的事实有关。
现在,Cryptorom,这是 SophosLabs 研究人员给这个特定网络犯罪计划起的名字,因为正如您所说,它结合了浪漫骗子使用的方法(即在约会网站上查找您,创建虚假个人资料,与您成为好友)与加密货币诈骗。
而不是“嘿,我要你爱上我; 我们结婚吧; 现在寄钱给我签证” 那种骗局......
......骗子说,“好吧,也许我们不会成为一件物品,但我们仍然是好朋友。 [戏剧性的声音]我有给你投资的机会吗!”
所以突然感觉它来自您可以信任的人。
这是一个骗局,即使您有 iPhone,也会说服您安装非市场应用程序。
“它仍在开发中; 太新了; 你是如此重要; 你是它的核心。 它仍在开发中,所以请注册 TestFlight,Beta 程序。”
或者他们会说,“哦,我们只将它发布给加入我们业务的人。 因此,让我们对您的手机进行移动设备管理 (MDM) 控制,然后您就可以安装此应用程序。 [神秘的声音] 不要告诉任何人。 它不会出现在应用商店中; 你很特别。”
而且,当然,该应用程序看起来像一个加密货币交易应用程序,并且它有漂亮的图表支持,这些图表奇怪地一直在上升,Doug。
您的投资从未真正下降……但这全是谎言。
然后,当你想取出钱时,好吧(典型的庞氏骗局或金字塔骗局),有时他们会让你取出一点钱……你在测试,所以你取出一点,你就得到了背部。
当然,他们只是给你你已经投入的钱,或者其中的一部分。
道格。 [悲伤]是的。
鸭。 然后你的投资就会增加!
然后他们就在你身边:“想象一下,如果你还没有提取那笔钱? 你为什么不把钱放回去? 嘿,我们甚至会再借给你一些钱; 我们会给你一些东西。 为什么不让你的密友加入? 因为有大事要来了!”
所以你投入了钱,然后发生了一些大事,比如价格飙升,你会说,“哇,我很高兴我把退出的钱重新投资了!”
你还在想,“我本可以撤回它的事实一定意味着这些人是合法的。”
当然,他们不是——这只是一堆比开始时更大的谎言。
然后,当你最终想到“我最好套现”时,突然之间出现了各种各样的麻烦。
“嗯,有税,”道格,“有政府预扣税。”
然后你会说,“好的,所以我要砍掉顶部的 20%。”
然后故事是,“实际上,不,这不是*技术上*预扣税。” (这是他们只是从总和中取出钱然后给你剩下的)
“实际上,你的账户已*冻结*,所以政府无法扣留这笔钱。”
您必须缴纳税款……然后您会全额退还。
道格。 [畏缩]哦,上帝!
鸭。 此时你应该闻到老鼠的味道……但它们在你身上无处不在; 他们在给你压力; 他们在除草; 如果不是除草,他们是在告诉你,“好吧,你可能会惹上麻烦。 政府可能会找你!”
人们投入了 20%,然后,正如我 [在文章中] 所写,我希望不要粗鲁:游戏结束,投币开始新游戏。
事实上,事后你可能会被一个奇迹般地联系你的人道格说,“嘿,你被 Cryptorom 骗局骗了吗? 好吧,我正在调查,我可以帮你把钱要回来。”
这是一件可怕的事情,因为这一切都始于“rom”[浪漫]部分。
他们实际上并不是追求浪漫,而是*追求*足够的友谊,让您觉得可以信任他们。
所以你实际上是在进入一些“特别”的地方——这就是你的朋友和家人没有被邀请的原因。
道格。 我们之前已经多次讨论过这个故事,包括此处文章中的建议。
建议栏中的下马【主要物品】为: 如果他们试图警告您,请公开听取您的朋友和家人的意见。
可以说是心理战!
鸭。 的确。
倒数第二个也是要记住的: 不要被骗了,因为你去了一个骗子的网站,它看起来就像真正的交易.
你会想,“天哪,他们真的付得起专业网页设计师的钱吗?”
但是如果你看看这些人赚了多少钱:[A] 是的,他们可以,[B] 他们甚至不需要。
有很多工具可以构建高质量、视觉友好的网站,包括实时图表、实时交易、神奇、漂亮的网络表单……
道格。 没错。
现在真的很难制作一个*糟糕*的网站。
你必须加倍努力!
鸭。 它会有一个 HTTPS 证书; 它会有一个看起来足够合法的域名; 当然,在这种情况下,它与一个应用程序结合在一起*您的朋友无法通过自己从 App Store 下载*来为您结账,然后问:“你到底在想什么?”
因为它是一个“秘密特殊应用程序”,通过“超级特殊”渠道,这只会让骗子更容易通过看起来足够好来欺骗你。
所以,伙计们,保重!
道格。 小心!
让我们继续讨论镇压问题。
这是又一次大打击——这个故事对我来说真的很有趣,所以我很想听听你是如何解释它的:
这是一个名为 iSspoof 的语音诈骗网站……我很震惊它被允许运营。
这不是暗网站点,这是在常规网络上。
鸭。 我想如果您的网站所做的只是,“我们将为您提供 IP 语音服务 [VoIP],并具有附加的超酷价值,包括设置您自己的呼叫号码”……
…如果他们没有公开地说,“这样做的主要目的是进行网络犯罪”,那么托管公司可能没有法律义务关闭该网站。
如果您自己托管,而您就是骗子……我想这很难。
最终法院下令,由联邦调查局获得,我相信,并由司法部执行,去索取这些域名并张贴[一条消息说]“这个域名已被没收。”
所以这是一个相当漫长的操作,据我所知,只是试图支持这个。
这里的问题是它让你很容易启动一个诈骗服务,当你打电话给某人时,他们的电话会弹出他们自己已经输入到他们的电话联系人列表中的高街银行的名称,striagh off *银行自己的网站*。
因为,遗憾的是,在来电显示或呼叫线路识别协议中很少或根本没有身份验证。
在您接听电话之前弹出的那些号码?
Doug,它们只不过是提示。
但不幸的是,人们把它们当作一种福音真理:“它说是银行。 怎么会有人伪造它? 一定是银行给我打电话。”
不必要!
如果您查看拨打的电话数量……是多少,仅在英国就有 XNUMX 万?
整个欧洲有 10 万?
我想他们打了三五十万个电话; 其中有 350,000 个被回答,然后持续了超过一分钟,这表明此人开始相信整个欺骗。
因此:“将资金转移到错误的帐户”,或“读出您的双因素身份验证代码”,或“让我们帮助您解决技术问题——让我们从安装 TeamViewer 开始”,或诸如此类。
甚至被骗子邀请:“不信你查号!”
道格。 这让我们想到了一个问题,我一直在阅读这篇文章,它与我们本周的读者评论非常吻合。
读者 Mahnn 评论说:“电信公司应该为允许在其网络上进行欺骗而承担公平的责任。”
那么,保罗,本着这种精神,电信公司实际上可以做些什么来阻止这种情况发生?
鸭。 有趣的是,下一位评论者(感谢 John 的评论!)说,“我希望你提到了两个叫做 STIR 和 SHAKEN 的东西。”
这些是美国的倡议——因为你们喜欢反义词,不是吗,比如 CAN-SPAM 法案?
道格。 我们的确是!
鸭。 所以,搅拌是 “重新审视安全电话身份”.
SHAKEN 显然代表(别开枪打我,我只是信使,道格!)……这是什么, “使用令牌对断言信息进行基于签名的处理”.
所以这基本上就像在说,“我们终于习惯了在网站上使用 TLS/HTTPS。”
它并不完美,但至少它提供了一些措施,因此您可以根据需要验证证书,并且它可以阻止任何人在任何时候冒充任何人。
问题是,据我所知,这些只是倡议。
我们拥有做到这一点的技术,至少对于互联网电话而言……
…但是看看我们花了多长时间才完成像在世界上几乎所有网站上获取 HTTPS 这样简单的事情。
它遭到了强烈的反对。
道格。 没错!
鸭。 而且,具有讽刺意味的是,它不是来自服务提供商。
它来自于人们的想法,“好吧,我经营一个小网站,所以我为什么要为此烦恼呢? 我为什么要关心?
所以我认为可能还需要很多年才能有与来电相关的任何强烈身份……
道格。 好吧,这可能需要一段时间,[WRYLY] 但正如你所说,我们已经选择了首字母缩略词,这是非常重要的第一步。
所以,我们已经解决了这个问题……我们会看看它最终是否成形。
所以谢谢你,Mahnn,把它寄来。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@NakedSecurity。
这就是我们今天的节目; 非常感谢您的聆听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您:直到下一次……
两个都。 保持安全。
[音乐调制解调器]
![S3 Ep112:数据泄露可能不止一次困扰您! [音频+文字]柏拉图区块链数据智能。 垂直搜索。 人工智能。](https://platoblockchain.com/wp-content/uploads/2022/12/goner-1-360x198.png "S3 Ep112:数据泄露不止一次困扰您! [音频+文字]")
![S3 Ep128:所以你想成为一名网络罪犯? [音频+文字]](https://platoblockchain.com/wp-content/uploads/2023/04/s3-ep128-so-you-want-to-be-a-cybercriminal-audio-text-300x157.png "S3 Ep128:所以你想成为一名网络罪犯? [音频+文字]")
