S3 Ep103: Scammers in the Slammer (και άλλες ιστορίες) [Ήχος + Κείμενο]

Κάντε κλικ και σύρετε στα ηχητικά κύματα παρακάτω για να μεταβείτε σε οποιοδήποτε σημείο. Μπορείτε επίσης να ακούστε απευθείας στο Soundcloud.

ΖΥΜΗ.  Η διπλή ημέρα μηδέν της Microsoft, φυλακή για απατεώνες και ψεύτικες τηλεφωνικές κλήσεις.

Όλα αυτά και πολλά άλλα στο podcast του Naked Security.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]

Καλώς ήρθατε στο podcast, όλοι. Είμαι ο Doug Aamoth.

Είναι ο Paul Ducklin…

---

ΠΑΠΙΑ.  Είναι μεγάλη χαρά, Ντάγκλας.

---

ΖΥΜΗ.  έχω μερικά Τεχνολογική Ιστορία για σένα και πάει πολύ πίσω, πολύ, πολύ πίσω, και έχει να κάνει με αριθμομηχανές.

Αυτή την εβδομάδα, στις 7 Οκτωβρίου 1954, η IBM παρουσίασε τον πρώτο στο είδος του υπολογιστή με τρανζίστορ.

Η IBM Electronic Calculating Punch, όπως ονομαζόταν, άλλαξε τους 1250 σωλήνες κενού του με 2000 τρανζίστορ, τα οποία μείωσαν στο μισό τον όγκο του και κατανάλωσαν μόλις 5% περισσότερη ισχύ.

---

ΠΑΠΙΑ.  Ουάου!

Δεν είχα ακούσει για αυτό το "604", οπότε πήγα και το έψαξα και δεν μπορούσα να βρω φωτογραφία.

Προφανώς, αυτό ήταν απλώς το πειραματικό μοντέλο, και λίγους μήνες αργότερα έβγαλαν αυτό που μπορούσατε να αγοράσετε, το οποίο ονομαζόταν 608, και το είχαν ανεβάσει στα 3000 τρανζίστορ.

Αλλά να θυμάσαι, Doug, αυτό δεν είναι τρανζίστορ όπως στα ολοκληρωμένα κυκλώματα [IC] γιατί δεν υπήρχαν ακόμα IC.

Εκεί που θα είχατε μια βαλβίδα, μια θερμιονική βαλβίδα (ή ένα "toob" [σωλήνας κενού], όπως θα το λέγατε εσείς), θα υπήρχε ένα τρανζίστορ συνδεδεμένο.

Έτσι, παρόλο που ήταν πολύ μικρότερο, ήταν ακόμα διακριτά εξαρτήματα.

Όταν σκέφτομαι «αριθμομηχανή», σκέφτομαι «αριθμομηχανή τσέπης»…

---

ΖΥΜΗ.  Ω, όχι, όχι, όχι!

---

ΠΑΠΙΑ.  «Όχι», όπως λες…

…έχει το μέγεθος ενός πολύ μεγάλου ψυγείου!

Και μετά χρειάζεσαι ένα πολύ μεγάλο ψυγείο δίπλα, στη φωτογραφία που είδα, που νομίζω ότι είναι για εισαγωγή.

Και μετά υπήρχε κάποιο άλλο κύκλωμα ελέγχου που έμοιαζε με πολύ μεγάλο καταψύκτη, δίπλα στα δύο πολύ μεγάλα ψυγεία.

Δεν το είχα συνειδητοποιήσει, αλλά προφανώς ο Thomas Watson [Διευθύνων Σύμβουλος της IBM] εκείνη την εποχή έβγαλε αυτό το διάταγμα για όλη την IBM: «Κανένα νέο προϊόν δεν επιτρέπεται να χρησιμοποιεί βαλβίδες, σωλήνες κενού. Αγκαλιάζουμε απόλυτα, εγκρίνουμε και χρησιμοποιούμε μόνο τρανζίστορ».

Και έτσι όλα πήγαν εκεί μετά.

Έτσι, αν και αυτό ήταν στην πρωτοπορία της επανάστασης των τρανζίστορ, προφανώς σύντομα αντικαταστάθηκε… ήταν στην αγορά μόνο για περίπου 18 μήνες.

---

ΖΥΜΗ.  Λοιπόν, ας μείνουμε στο θέμα των πολύ μεγάλων πραγμάτων και ας ενημερώσουμε τους ακροατές μας σχετικά με αυτήν τη διπλή μηδενική ημέρα του Microsoft Exchange.

Το καλύψαμε σε α Minisode; το καλύψαμε στην τοποθεσία… αλλά κάτι νέο πρέπει να γνωρίζουμε;

---

ΠΑΠΙΑ.  Όχι πραγματικά, Ντάγκλας.

Δεν φαίνεται να έχει καταλάβει τον κόσμο της κυβερνοασφάλειας ή τις λειτουργίες ασφάλειας [SecOps] όπως το ProxyShell και Log4Shell έκανε:

Υποθέτω ότι υπάρχουν δύο λόγοι για αυτό.

Πρώτον είναι ότι οι πραγματικές λεπτομέρειες της ευπάθειας παραμένουν μυστικές.

Είναι γνωστά στη βιετναμέζικη εταιρεία που το ανακάλυψε, στην Πρωτοβουλία ZeroDay [ZDI] όπου αποκαλύφθηκε υπεύθυνα, και στη Microsoft.

Και όλοι φαίνεται να το κρατούν κάτω από το καπέλο τους.

Έτσι, από όσο γνωρίζω, δεν υπάρχουν 250 αποδείξεις "δοκιμάστε το τώρα!" Αποθετήρια GitHub όπου μπορείτε να το κάνετε μόνοι σας.

Δεύτερον, απαιτεί πιστοποιημένη πρόσβαση.

Και το ένστικτό μου είναι ότι όλοι οι περίεργοι «ερευνητές της κυβερνοασφάλειας» (γιγαντιαία εισαγωγικά εισαγωγικά εισάγονται εδώ) που πήδηξαν στη σειρά των επιθέσεων στο διαδίκτυο με το Proxyshell ή το Log4Shell, ισχυριζόμενοι ότι έκαναν τον κόσμο των υπηρεσιών: «Γεια, εάν η υπηρεσία ιστού σας είναι ευάλωτη, θα το μάθω και θα σας το πω”…

…Υποψιάζομαι ότι πολλοί από αυτούς τους ανθρώπους θα σκεφτούν δύο φορές για να προσπαθήσουν να κάνουν την ίδια επίθεση όπου πρέπει να μαντέψουν πραγματικά τους κωδικούς πρόσβασης.

Αυτό μοιάζει σαν να είναι η άλλη πλευρά μιας αρκετά σημαντικής γραμμής στην άμμο, έτσι δεν είναι;

---

ΖΥΜΗ.  Ωχ.

---

ΠΑΠΙΑ.  Εάν έχετε έναν ανοιχτό διακομιστή ιστού που έχει σχεδιαστεί για να δέχεται αιτήματα, αυτό είναι πολύ διαφορετικό από το να στείλετε ένα αίτημα σε έναν διακομιστή στον οποίο γνωρίζετε ότι δεν πρέπει να έχετε πρόσβαση και να προσπαθήσετε να δώσετε έναν κωδικό πρόσβασης στον οποίο γνωρίζετε ότι δεν υποτίθεται ότι να ξέρεις, αν έχει νόημα.

---

ΖΥΜΗ.  Ναί.

---

ΠΑΠΙΑ.  Τα καλά νέα λοιπόν είναι ότι δεν φαίνεται να γίνεται ευρέως αντικείμενο εκμετάλλευσης…

…αλλά δεν υπάρχει ακόμα ένα μπάλωμα έξω.

Και νομίζω ότι, μόλις εμφανιστεί ένα έμπλαστρο, πρέπει να το αποκτήσετε γρήγορα.

Μην καθυστερείτε, γιατί φαντάζομαι ότι θα υπάρχει λίγη φρενίτιδα τροφοδοσίας που προσπαθεί να αναστρέψει τα μπαλώματα για να μάθετε πώς πραγματικά εκμεταλλεύεστε αυτό το πράγμα αξιόπιστα.

Επειδή, από όσο γνωρίζουμε, λειτουργεί αρκετά καλά – εάν έχετε κωδικό πρόσβασης, τότε μπορείτε να χρησιμοποιήσετε το πρώτο exploit για να ανοίξετε την πόρτα στο δεύτερο exploit, το οποίο σας επιτρέπει να εκτελέσετε το PowerShell σε διακομιστή Exchange.

Και αυτό δεν μπορεί ποτέ να τελειώσει καλά.

Πράγματι, έριξα μια ματιά στο έγγραφο Οδηγιών της Microsoft σήμερα το πρωί (ηχογραφούμε την Τετάρτη της εβδομάδας), αλλά δεν είδα καμία πληροφορία σχετικά με μια ενημέρωση κώδικα ή πότε θα είναι διαθέσιμη.

Την επόμενη Τρίτη είναι Patch Tuesday, οπότε ίσως θα αναγκαστούμε να περιμένουμε μέχρι τότε;

---

ΖΥΜΗ.  Εντάξει, θα το παρακολουθούμε και ενημερώστε και διορθώστε το όταν το δείτε… είναι σημαντικό.

Θα επιστρέψω στην αριθμομηχανή μας και θα σας δώσω ένα μικρή εξίσωση.

Έχει ως εξής: 2 χρόνια απάτη + 10 εκατομμύρια δολάρια απάτη = 25 χρόνια φυλάκιση:

---

ΠΑΠΙΑ.  Αυτός είναι ένας εγκληματίας –μπορούμε τώρα να τον αποκαλούμε έτσι επειδή όχι μόνο έχει καταδικαστεί, αλλά και καταδικάστηκε– με ένα δραματικό όνομα: Elvis Eghosa Ogiekpolor.

Και διηύθυνε αυτό που θα μπορούσατε να ονομάσετε τεχνίτης cybergang στην Ατλάντα της Τζόρτζια στις Ηνωμένες Πολιτείες πριν από μερικά χρόνια.

Σε λιγότερο από δύο χρόνια, γλέντισαν, αν θέλετε, με άτυχες εταιρείες που έπεσαν θύματα αυτού που είναι γνωστό ως Business Email Compromise [BEC], και ατυχή άτομα τα οποία παρέσυραν σε ρομαντικές απάτες… και κέρδισαν 10 εκατομμύρια δολάρια.

Έλβις (θα τον αποκαλώ απλώς έτσι)… σε αυτή την περίπτωση, είχε συγκεντρώσει μια ομάδα που δημιούργησε έναν ολόκληρο ιστό από δόλια ανοιγμένους τραπεζικούς λογαριασμούς στις ΗΠΑ όπου μπορούσε να καταθέσει και στη συνέχεια να ξεπλύνει τα χρήματα.

Και όχι μόνο καταδικάστηκε, αλλά και καταδικάστηκε.

Ο δικαστής προφανώς αποφάσισε ότι η φύση αυτού του εγκλήματος, και η φύση της θυματοποίησης, ήταν αρκετά σοβαρή ώστε έμεινε 25 χρόνια σε ομοσπονδιακή φυλακή.

---

ΖΥΜΗ.  Ας εμβαθύνουμε στο Business Email Compromise.

Νομίζω ότι είναι συναρπαστικό – είτε υποδύεστε τη διεύθυνση email κάποιου, είτε έχετε καταλάβει την πραγματική του διεύθυνση email.

Και με αυτό, μόλις καταφέρετε να βάλετε κάποιον στο γάντζο, μπορείτε να κάνετε πολλά πράγματα.

Μπορείτε να τα αναφέρετε στο άρθρο εδώ - θα τα εξετάσω πολύ γρήγορα.

Μπορείτε να μάθετε πότε οφείλονται μεγάλες πληρωμές…

---

ΠΑΠΙΑ.  Πράγματι.

Προφανώς, εάν στέλνετε αλληλογραφία από έξω και απλώς πλαστογραφείτε τις κεφαλίδες των email για να προσποιηθείτε ότι το email προέρχεται από τον οικονομικό διευθυντή, τότε πρέπει να μαντέψετε τι γνωρίζει ο Οικονομικός Διευθυντής.

Αλλά αν μπορείτε να συνδεθείτε στο λογαριασμό email του CFO κάθε πρωί νωρίς, πριν το κάνουν, τότε μπορείτε να ρίξετε μια ματιά σε όλα τα μεγάλα πράγματα που συμβαίνουν και να κάνετε σημειώσεις.

Και έτσι, όταν έρχεστε να τους υποδυθείτε, όχι μόνο στέλνετε ένα email που προέρχεται στην πραγματικότητα από τον λογαριασμό τους, αλλά το κάνετε και με μια εκπληκτική γνώση εκ των έσω.

---

ΖΥΜΗ.  Και μετά, φυσικά, όταν λαμβάνετε ένα email όπου ζητάτε από κάποιον άγνωστο υπάλληλο να στείλει ένα σωρό χρήματα σε αυτόν τον πωλητή και εκείνος λέει, «Είναι αλήθεια;»…

…αν έχετε πρόσβαση στο πραγματικό σύστημα email, μπορείτε να απαντήσετε. «Φυσικά και είναι αληθινό. Κοιτάξτε τη διεύθυνση email – είμαι εγώ, ο οικονομικός διευθυντής.»

---

ΠΑΠΙΑ.  Και φυσικά, ακόμη περισσότερο, μπορείτε να πείτε, «Παρεμπιπτόντως, αυτό είναι μια εξαγορά, αυτή είναι μια συμφωνία που θα κλέψει μια πορεία στους ανταγωνιστές μας. Άρα είναι εμπιστευτικό της εταιρείας. Φρόντισε να μην το πεις σε κανέναν άλλον στην εταιρεία».

---

ΖΥΜΗ.  Ναι - διπλό χτύπημα!

Μπορείτε να πείτε, «Είμαι εγώ, είναι αληθινό, αλλά αυτό είναι μεγάλη υπόθεση, είναι μυστικό, μην το πεις σε κανέναν άλλον. Οχι αυτό! Μην το αναφέρετε ως ύποπτο μήνυμα.»

Στη συνέχεια, μπορείτε να μεταβείτε στο φάκελο "Απεσταλμένα" και να διαγράψετε τα ψεύτικα μηνύματα ηλεκτρονικού ταχυδρομείου που έχετε στείλει για λογαριασμό του Οικονομικού Διευθυντή, ώστε να μην μπορεί κανείς να δει ότι βρεθήκατε εκεί και ψαχουλεύετε.

Και αν είστε «καλός» απατεώνας της BEC, θα πάτε και θα ψάξετε στα πρώην email του πραγματικού υπαλλήλου και θα ταιριάξετε με το στυλ αυτού του χρήστη αντιγράφοντας και επικολλώντας κοινές φράσεις που έχει χρησιμοποιήσει αυτό το άτομο.

---

ΠΑΠΙΑ.  Σίγουρα, Νταγκ.

Νομίζω ότι έχουμε μιλήσει στο παρελθόν, όταν μιλήσαμε για μηνύματα ηλεκτρονικού "ψαρέματος"… για αναγνώστες που ανέφεραν, "Ναι, κατάλαβα ένα τέτοιο, αλλά το κούρασα αμέσως επειδή το άτομο χρησιμοποίησε έναν χαιρετισμό στο email του που είναι απλά τόσο εκτός χαρακτήρα».

Ή υπήρχαν κάποια emoji στην υπογραφή, όπως ένα χαμογελαστό πρόσωπο [ΓΕΛΙΟ], που ξέρω ότι αυτό το άτομο δεν θα έκανε ποτέ.

Φυσικά, αν απλώς αντιγράψετε και επικολλήσετε την τυπική εισαγωγή και εξαγωγή από προηγούμενα μηνύματα ηλεκτρονικού ταχυδρομείου, τότε θα αποφύγετε τέτοιου είδους προβλήματα.

Και το άλλο πράγμα, Doug, είναι ότι αν στείλεις το email από τον πραγματικό λογαριασμό, παίρνει την πραγματική, γνήσια υπογραφή email του ατόμου, έτσι δεν είναι;

Το οποίο προστίθεται από τον διακομιστή της εταιρείας και το κάνει να μοιάζει ακριβώς με αυτό που περιμένετε.

---

ΖΥΜΗ.  Και τότε μου αρέσει αυτή η κατάργηση…

…ως κορυφαίος εγκληματίας, όχι μόνο θα ξεσκίσεις την εταιρεία, αλλά θα κυνηγάς και *πελάτες* της εταιρείας λέγοντας, «Γεια, μπορείς να πληρώσεις αυτό το τιμολόγιο τώρα και να το στείλεις σε αυτό το νέο τραπεζικός λογαριασμός?"

Μπορείτε να εξαπατήσετε όχι μόνο την εταιρεία, αλλά και τις εταιρείες με τις οποίες συνεργάζεται η εταιρεία.

---

ΠΑΠΙΑ.  Απολύτως.

---

ΖΥΜΗ.  Και για να μην πιστεύετε ότι ο Έλβις απλώς εξαπατούσε εταιρείες… επίσης απατούσε ρομαντικά.

---

ΠΑΠΙΑ.  Το Υπουργείο Δικαιοσύνης αναφέρει ότι ορισμένες από τις επιχειρήσεις που απάτησαν καταδικάστηκαν για εκατοντάδες χιλιάδες δολάρια τη φορά.

Και η άλλη πλευρά της απάτης τους ήταν να καταδιώκουν άτομα σε αυτό που ονομάζονται ερωτικές απάτες.

Προφανώς υπήρχαν 13 άτομα που παρουσιάστηκαν ως μάρτυρες στην υπόθεση και δύο από τα παραδείγματα που ανέφερε το DOJ (το Υπουργείο Δικαιοσύνης) κοστίζουν, νομίζω, 32,000 $ και 70,000 $ αντίστοιχα.

---

ΖΥΜΗ.  Εντάξει, λοιπόν, έχουμε μερικές συμβουλές για το πώς να προστατεύσετε την επιχείρησή σας από συμβιβασμούς μέσω email για επιχειρήσεις και πώς να προστατευτείτε από ερωτικές απάτες.

Ας ξεκινήσουμε με το Business Email Compromise.

Μου αρέσει αυτό το πρώτο σημείο γιατί είναι εύκολο και είναι πολύ χαμηλά κρεμαστά φρούτα: Δημιουργήστε έναν κεντρικό λογαριασμό email για το προσωπικό να αναφέρει ύποπτα email.

---

ΠΑΠΙΑ.  Ναι, αν έχετε security@example.com, τότε πιθανότατα θα φροντίσετε πολύ προσεκτικά αυτόν τον λογαριασμό email και θα μπορούσατε να υποστηρίξετε ότι είναι πολύ λιγότερο πιθανό ένα άτομο που έχει παραβιάσει το Business Email να μπορέσει να θέσει σε κίνδυνο τον λογαριασμό SecOps σε σύγκριση με τον παραβιαστικό λογαριασμό οποιουδήποτε άλλου τυχαίου υπαλλήλου στην εταιρεία.

Και πιθανώς επίσης, εάν έχετε τουλάχιστον μερικά άτομα που μπορούν να παρακολουθούν τι συμβαίνει εκεί, έχετε πολύ περισσότερες πιθανότητες να λάβετε χρήσιμες και καλοπροαίρετες απαντήσεις από αυτήν τη διεύθυνση ηλεκτρονικού ταχυδρομείου από το να ρωτήσετε απλώς τον ενδιαφερόμενο άτομο.

Ακόμα κι αν το email του CFO δεν έχει παραβιαστεί... αν έχετε ένα email ηλεκτρονικού "ψαρέματος" και μετά ρωτήσετε τον Οικονομικό Διευθυντή, "Ε, είναι νόμιμο αυτό ή όχι;", φέρνετε τον Οικονομικό Διευθυντή σε πολύ δύσκολη θέση.

Λέτε, "Μπορείτε να συμπεριφέρεστε σαν να είστε ειδικός πληροφορικής, ερευνητής κυβερνοασφάλειας ή άτομο επιχειρήσεων ασφαλείας;"

Είναι πολύ καλύτερο να το συγκεντρώνουμε αυτό, οπότε υπάρχει ένας εύκολος τρόπος για τους ανθρώπους να αναφέρουν κάτι που φαίνεται λίγο άγνωστο.

Σημαίνει επίσης ότι αν αυτό που θα κάνατε κανονικά είναι απλώς να πάτε, «Λοιπόν, αυτό είναι προφανώς phishing. Απλώς θα το διαγράψω»…

…με την αποστολή του, παρόλο που *εσείς* πιστεύετε ότι είναι προφανές, επιτρέπετε στην ομάδα SecOps ή στην ομάδα IT να προειδοποιήσει την υπόλοιπη εταιρεία.

---

ΖΥΜΗ.  Εντάξει.

Και η επόμενη συμβουλή: Εάν έχετε αμφιβολίες, επικοινωνήστε απευθείας με τον αποστολέα του email.

Και, για να μην χαλάσουμε τη γροθιά, ίσως όχι μέσω email με κάποιο άλλο μέσο…

---

ΠΑΠΙΑ.  Όποιος κι αν είναι ο μηχανισμός που χρησιμοποιήθηκε για να σας στείλει ένα μήνυμα που δεν εμπιστεύεστε, μην τους στείλετε μήνυμα μέσω του ίδιου συστήματος!

Εάν ο λογαριασμός δεν έχει παραβιαστεί, θα λάβετε μια απάντηση λέγοντας: "Όχι, μην ανησυχείτε, όλα είναι καλά".

Και αν ο λογαριασμός *έχει* χακαριστεί, θα λάβετε πίσω ένα μήνυμα που θα λέει, "Ω, όχι, μην ανησυχείς, όλα καλά!" [ΓΕΛΙΑ]

---

ΖΥΜΗ.  Εντάξει.

Και μετά τελευταίο, αλλά σίγουρα εξίσου σημαντικό: Απαιτείται δευτερεύουσα εξουσιοδότηση για αλλαγές στα στοιχεία πληρωμής λογαριασμού.

---

ΠΑΠΙΑ.  Εάν έχετε μια δεύτερη ματιά στο πρόβλημα - δευτερεύουσα εξουσιοδότηση - ότι το [A] δυσκολεύει έναν απατεώνα να ξεφύγει από την απάτη εάν βοηθάει, και το [B] σημαίνει ότι κανένα άτομο, που να προφανώς προσπαθώντας να είναι χρήσιμος στους πελάτες, πρέπει να φέρει όλη την ευθύνη και την πίεση για να αποφασίσει, "Είναι νόμιμο αυτό ή όχι;"

Δύο μάτια είναι συχνά καλύτερα από ένα.

Ή ίσως εννοώ ότι τέσσερα μάτια είναι συχνά καλύτερα από δύο…

---

ΖΥΜΗ.  Ναί. [ΓΕΛΙΑ].

Ας στρέψουμε την προσοχή μας στις ρομαντικές απάτες.

Η πρώτη συμβουλή είναι: Επιβραδύνετε όταν η συζήτηση για ραντεβού μετατρέπεται από φιλία, έρωτα ή ρομαντισμό σε χρήματα.

---

ΠΑΠΙΑ.  Ναί.

Είναι Οκτώβριος, έτσι δεν είναι, Νταγκ;

Είναι λοιπόν για άλλη μια φορά ο Μήνας Ευαισθητοποίησης για την Κυβερνοασφάλεια… #cybermonth, αν θέλετε να παρακολουθείτε τι κάνουν και τι λένε οι άνθρωποι.

Υπάρχει αυτό το υπέροχο μικρό μότο (είναι αυτή η σωστή λέξη;) που έχουμε πει πολλές φορές στο podcast, γιατί σε ξέρω και μου αρέσει, Doug.

Αυτό προέρχεται από τη Δημόσια Υπηρεσία των ΗΠΑ…

---

ΚΑΙ ΤΑ ΔΥΟ.  Να σταματήσει. (Περίοδος.)

Νομίζω. (Περίοδος.)

Συνδέω-συωδεομαι. (Περίοδος.)

---

ΠΑΠΙΑ.  Μην βιάζεστε πολύ!

Πραγματικά πρόκειται για «συναλλαγές βιαστικά, μετάνοια στον ελεύθερο χρόνο» όταν πρόκειται για διαδικτυακά θέματα.

---

ΖΥΜΗ.  Και μια άλλη συμβουλή που θα είναι δύσκολη για μερικούς ανθρώπους… αλλά κοιτάξτε μέσα σας και προσπαθήστε να την ακολουθήσετε: Ακούστε ανοιχτά τους φίλους και την οικογένειά σας εάν προσπαθούν να σας προειδοποιήσουν.

---

ΠΑΠΙΑ.  Ναί.

Έχω πάει σε εκδηλώσεις κυβερνοασφάλειας που είχαν ασχοληθεί με το θέμα της ερωτικής απάτης στο παρελθόν, όταν εργαζόμουν στη Sophos Australia.

Ήταν απογοητευτικό να ακούς ιστορίες από άτομα στην αστυνομία των οποίων η δουλειά είναι να προσπαθούν να παρέμβουν σε απάτες σε αυτό το σημείο…

…και μόνο για να δω πόσο αηδιασμένοι ήταν μερικοί από αυτούς τους αστυνομικούς όταν επέστρεφαν από την επίσκεψη.

Σε ορισμένες περιπτώσεις, ολόκληρες οικογένειες είχαν παρασυρθεί σε απάτες.

Αυτά είναι περισσότερο του τύπου «οικονομικής επένδυσης», προφανώς, παρά του ρομαντισμού, αλλά *όλοι* ήταν δίπλα στον απατεώνα, οπότε όταν οι αρχές επιβολής του νόμου πήγαν εκεί, η οικογένεια είχε «όλες τις απαντήσεις» που είχαν δοθεί προσεκτικά από τους απατεώνας.

Και σε ερωτικές απάτες, δεν θα σκεφτούν τίποτα να φλερτάρουν το ρομαντικό σας ενδιαφέρον *και* να φέρουν σφήνα ανάμεσα σε εσάς και την οικογένειά σας, οπότε σταματήστε να ακούτε τις συμβουλές τους.

Προσέξτε, λοιπόν, μόνο να μην αποξενωθείτε από την οικογένειά σας καθώς και από τον τραπεζικό σας λογαριασμό.

---

ΖΥΜΗ.  Εντάξει.

Και μετά υπάρχει μια τελευταία συμβουλή: Υπάρχει ένα υπέροχο βίντεο ενσωματωμένο μέσα στο άρθρο.

Το άρθρο ονομάζεται Ο Romance Scammer και ο BEC Fraudster οδηγήθηκαν σε φυλάκιση 25 ετών:

Δείτε λοιπόν αυτό το βίντεο – έχει πολλές εξαιρετικές συμβουλές.

Και ας μείνουμε στο θέμα των απατών, και ας μιλήσουμε για απατεώνες και απατεώνες.

Είναι ακόμη δυνατό να σταματήσετε τις κλήσεις απάτης;

Αυτό είναι το μεγάλη ερώτηση της ημέρας αυτή τη στιγμή:

---

ΠΑΠΙΑ.  Λοιπόν, υπάρχουν κλήσεις απάτης και υπάρχουν κλήσεις όχλησης.

Μερικές φορές, οι ενοχλητικές κλήσεις φαίνεται να πλησιάζουν πολύ τις κλήσεις απάτης.

Αυτοί είναι άνθρωποι που εκπροσωπούν νόμιμες επιχειρήσεις, [ΕΝΟΧΛΗΜΕΝΟΙ] αλλά δεν θα σταματήσουν να σας καλούν, [ΓΙΝΟΝΤΑΙ ΠΕΡΙΣΣΟΤΕΡΟ ΤΑΡΑΓΩΜΕΝΟΙ] ανεξάρτητα από το εάν τους πείτε «Είμαι στη λίστα «Μην τηλεφωνείτε» [ΘΥΜΩΜΕΝΟΣ] οπότε ΜΗΝ ΚΑΛΕΣΕΙΣ ΞΑΝΑ. "

Έτσι έγραψα ένα άρθρο για τη Γυμνή Ασφάλεια λέγοντας στους ανθρώπους… αν μπορείτε να αναγκαστείτε να το κάνετε (δεν προτείνω να το κάνετε αυτό κάθε φορά, είναι μια πραγματική ταλαιπωρία), αποδεικνύεται ότι εάν *κάνετε* παραπονιέστε, μερικές φορές έχει αποτέλεσμα.

Και αυτό που με ενόχλησε να το γράψω είναι ότι τέσσερις εταιρείες που πωλούν «περιβαλλοντικά» προϊόντα καταδικάστηκαν από το Γραφείο του Επιτρόπου Πληροφοριών [ICO, ρυθμιστική αρχή προστασίας δεδομένων του Ηνωμένου Βασιλείου] και επιβλήθηκαν πρόστιμα μεταξύ δεκάδων και εκατοντάδων χιλιάδων λιρών για πραγματοποίηση κλήσεων σε άτομα που είχαν βάζουν τον εαυτό τους σε αυτό που μάλλον περίεργα ονομάζεται το Τηλεφωνική υπηρεσία προτίμησης στο Ηνωμένο Βασίλειο…

…είναι σαν να παραδέχονται ότι κάποιοι θέλουν πραγματικά να συμμετέχουν σε αυτές τις κλήσεις για σκουπίδια. [ΓΕΛΙΟ]

---

ΖΥΜΗ.  "Προτιμώ"?! [ΓΕΛΙΑ]

---

ΠΑΠΙΑ.  Μου αρέσει όπως είναι στις ΗΠΑ.

Το μέρος που πηγαίνετε για να εγγραφείτε και να παραπονεθείτε είναι: μην καλέσετε το DOT gov.

---

ΖΥΜΗ.  Ναί! "Μην καλείτε!"

---

ΠΑΠΙΑ.  Δυστυχώς, όσον αφορά την τηλεφωνία, εξακολουθούμε να ζούμε σε έναν κόσμο εξαίρεσης… επιτρέπεται να σας καλέσουν μέχρι να πείτε ότι δεν μπορούν.

Αλλά η εμπειρία μου είναι ότι, αν και δεν λύνει το πρόβλημα, η εγγραφή του εαυτού σας στο μητρώο Do Not Call είναι σχεδόν βέβαιο ότι δεν *αυξάνει* τον αριθμό των κλήσεων που λαμβάνετε.

Έχει κάνει τη διαφορά για μένα, τόσο όταν ζούσα στην Αυστραλία όσο και τώρα ζω στο Ηνωμένο Βασίλειο…

…και η αναφορά κλήσεων από καιρό σε καιρό δίνει τουλάχιστον στη ρυθμιστική αρχή στη χώρα σας μια μαχητική ευκαιρία να λάβει κάποιου είδους δράση κάποια στιγμή στο μέλλον.

Γιατί αν κανείς δεν πει τίποτα, τότε είναι σαν να μην είχε συμβεί τίποτα.

---

ΖΥΜΗ.  Αυτό συνδυάζεται όμορφα με το σχόλιο του αναγνώστη μας σε αυτό το άρθρο.

Ο αναγνώστης του Naked Security Phil σχολιάζει:

Το φωνητικό ταχυδρομείο άλλαξε τα πάντα για μένα.

Εάν ο καλών δεν είναι πρόθυμος να αφήσει μήνυμα και οι περισσότεροι δεν το κάνουν, τότε δεν έχω λόγο να επιστρέψω την κλήση.

Επιπλέον, για να αναφέρω μια τηλεφωνική κλήση απάτης, θα πρέπει να χάσω τον απαραίτητο χρόνο για να απαντήσω στο τηλέφωνο από έναν άγνωστο καλούντα και να αλληλεπιδράσω με κάποιον αποκλειστικά για τον σκοπό της αναφοράς του.

Ακόμα κι αν απαντήσω στην κλήση, θα μιλήσω με ένα ρομπότ ούτως ή άλλως… όχι ευχαριστώ!

Λοιπόν, είναι αυτή η απάντηση: απλώς μην λαμβάνετε ποτέ τα τηλεφωνήματα και μην ασχολείστε ποτέ με αυτούς τους απατεώνες;

Ή μήπως υπάρχει καλύτερος τρόπος, Παύλο;

---

ΠΑΠΙΑ.  Αυτό που βρήκα είναι, αν νομίζω ότι ο αριθμός είναι απάτη…

Μερικοί από τους απατεώνες ή τους ενοχλητικούς καλούντες θα χρησιμοποιούν έναν διαφορετικό αριθμό κάθε φορά – θα φαίνεται πάντα τοπικός, επομένως είναι δύσκολο να το καταλάβω, αν και με έχει ταλαιπωρήσει πρόσφατα ένας αριθμός όπου ήταν ο ίδιος αριθμός ξανά και ξανά, οπότε μπορώ να μπλοκάρει το.

…συνήθως αυτό που κάνω είναι απλά απαντώ στο τηλέφωνο και δεν λέω τίποτα.

Μου τηλεφωνούν. αν είναι τόσο σημαντικό, θα πουν, «Γεια; Χαίρετε? Είναι αυτό…;», και χρησιμοποιήστε το όνομά μου.

Διαπιστώνω ότι πολλοί από αυτούς τους ενοχλητικούς καλούντες και απατεώνες χρησιμοποιούν αυτοματοποιημένα συστήματα που, όταν σας ακούσουν να απαντάτε στην κλήση, μόνο τότε θα προσπαθήσουν να σας συνδέσουν με έναν χειριστή στο πλευρό τους.

Δεν έχουν τους τηλεφωνητές τους να πραγματοποιούν πραγματικά τις κλήσεις.

Σας τηλεφωνούν και ενώ εσείς αναγνωρίζετε τον εαυτό σας, βρίσκουν γρήγορα κάποιον στην ουρά που μπορεί να προσποιηθεί ότι έκανε την κλήση.

Και θεωρώ ότι είναι ένα καλό δώρο, γιατί αν δεν συμβεί τίποτα, αν κανείς δεν πάει καν, «Γεια; Χαίρετε? Κανείς εκεί;», τότε ξέρεις ότι έχεις να κάνεις με ένα αυτοματοποιημένο σύστημα.

Ωστόσο, υπάρχει ένα ενοχλητικό πρόβλημα, αν και νομίζω ότι αυτό είναι συγκεκριμένο για το Ηνωμένο Βασίλειο.

Η γραφειοκρατία για την αναφορά αυτού που ονομάζεται «σιωπηλό κάλεσμα», όπως ένας τύπος καταδίωξης με βαριά ανάσα όπου δεν λέγονται λόγια…

…ο μηχανισμός αναφοράς που είναι εντελώς διαφορετικός από τον μηχανισμό αναφοράς μιας κλήσης όπου κάποιος λέει, "Γεια, είμαι ο John και θέλω να σου πουλήσω αυτό το προϊόν που δεν χρειάζεσαι και δεν είναι καλό", που είναι πραγματικά ενοχλητικό.

Οι αναφορές σιωπηλών κλήσεων περνούν από τη ρυθμιστική αρχή τηλεφώνου και αντιμετωπίζονται σαν να ήταν πιο σοβαρό ποινικό αδίκημα, υποθέτω για ιστορικούς λόγους.

Πρέπει να αναγνωρίσετε τον εαυτό σας - δεν μπορείτε να τα αναφέρετε ανώνυμα.

Έτσι το βρίσκω ενοχλητικό και ελπίζω να το αλλάξουν!

Όπου είναι απλώς ένα ρομποτικό σύστημα που λέγεται εσύ, και δεν ξέρει ότι είσαι ακόμα στη γραμμή, οπότε δεν έχει αναθέσει σε κανέναν να σου μιλήσει…

…αν μπορούσατε να τα αναφέρετε πιο εύκολα και ανώνυμα, για να είμαι ειλικρινής, θα ήμουν πολύ πιο διατεθειμένος να το κάνω.

---

ΖΥΜΗ.  Εντάξει.

Έχουμε μερικούς συνδέσμους στο άρθρο για την αναφορά απατεώνων κλήσεων σε μια επιλογή χωρών.

Και σε ευχαριστώ, Phil, που έστειλες αυτό το σχόλιο.

Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.

Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.

Αυτή είναι η εκπομπή μας για σήμερα – ευχαριστώ πολύ που με ακούσατε.

Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…

---

ΚΑΙ ΤΑ ΔΥΟ.  Μείνετε ασφαλείς.

[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]