GALLERY ROGUES
Κατεργάρης πακέτα λογισμικού. Κατεργάρης "sysadmins". Κατεργάρης keyloggers. Κατεργάρης αυθεντικοποιητές.
Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.
Με τους Doug Aamoth και Paul Ducklin. Intro και outro μουσική από Edith Mudge.
Μπορείτε να μας ακούσετε στο SoundCloud, Apple Podcasts, Podcasts Google, Spotify, Ράπτων και οπουδήποτε υπάρχουν καλά podcast. Ή απλά ρίξτε το URL της ροής RSS μας στο αγαπημένο σας podcatcher.
ΔΙΑΒΑΣΤΕ ΤΟ ΜΕΤΑΓΡΑΦΟ
ΖΥΜΗ. Scambaiting, απατεώνες 2FA εφαρμογές, και δεν έχουμε ακούσει το τελευταίο του LastPass.
Όλα αυτά και πολλά άλλα στο podcast του Naked Security.
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
Καλώς ήρθατε στο podcast, όλοι.
Είμαι ο Doug Aamoth. είναι ο Paul Ducklin.
Παύλο, πώς τα πας σήμερα;
ΠΑΠΙΑ. Τσίλι, Νταγκ.
Προφανώς, ο Μάρτιος θα είναι πιο κρύος από τον Φεβρουάριο.
ΖΥΜΗ. Έχουμε το ίδιο πρόβλημα εδώ, την ίδια πρόκληση.
Επομένως, μην ανησυχείτε - έχω ένα πολύ ενδιαφέρον Αυτή η εβδομάδα στην ιστορία της τεχνολογίας τμήμα.
Αυτή την εβδομάδα, στις 05 Μαρτίου 1975, πραγματοποιήθηκε η πρώτη συγκέντρωση του Homebrew Computer Club στο Menlo Park της Καλιφόρνια, με οικοδεσπότη τον Fred Moore και τον Gordon French.
Η πρώτη συνάντηση είδε περίπου 30 λάτρεις της τεχνολογίας να συζητούν, μεταξύ άλλων, για το Altair.
Και περίπου ένα χρόνο αργότερα, την 01η Μαρτίου 1976, ο Steve Wozniak εμφανίστηκε σε μια συνάντηση με μια πλακέτα κυκλωμάτων που δημιούργησε, με στόχο να δώσει μακριά τα σχέδια.
Ο Steve Jobs τον απομάκρυνε και οι δυο τους συνέχισαν να ξεκινήσουν την Apple.
Και τα υπόλοιπα είναι ιστορία, Παύλο.
ΠΑΠΙΑ. Λοιπόν, σίγουρα είναι ιστορία, Νταγκ!
Altair, ε;
Ουάου!
Ο υπολογιστής που έπεισε τον Μπιλ Γκέιτς να εγκαταλείψει το Χάρβαρντ.
Και με αληθινό επιχειρηματικό τρόπο, μαζί με τον Paul Allen και τον Monty Davidoff –νομίζω ότι ήταν το τρίο που έγραψε το Altair Basic– αποστρατεύτηκαν στο Νέο Μεξικό.
Πηγαίνετε και δουλέψτε στην ιδιοκτησία του πωλητή υλικού στο Αλμπουκέρκη!
ΖΥΜΗ. Ίσως κάτι που ίσως δεν πρόκειται να γράψει ιστορία…
…θα ξεκινήσουμε την επίδειξη με ένα απλό αλλά ενδιαφέρον απάτη καμπάνια, Paul.
Τα πακέτα JavaScript NPM καταχράστηκαν για τη μαζική δημιουργία συνδέσμων scambait
ΠΑΠΙΑ. Ναι, το έγραψα στο Naked Security, Doug, κάτω από τον τίτλο Τα πακέτα JavaScript NPM καταχράστηκαν για τη μαζική δημιουργία συνδέσμων scambait (είναι πολύ πιο λεκτικό να το πω από ό,τι φαινόταν τη στιγμή που το έγραψα)…
…επειδή ένιωσα ότι ήταν μια ενδιαφέρουσα οπτική γωνία για το είδος της ιδιοκτησίας ιστού που τείνουμε να συσχετίζουμε άμεσα, και μόνο, με τις λεγόμενες επιθέσεις πηγαίου κώδικα της αλυσίδας εφοδιασμού.
Και σε αυτή την περίπτωση, οι απατεώνες σκέφτηκαν: «Ε, δεν θέλουμε να διανείμουμε δηλητηριασμένο πηγαίο κώδικα. Δεν είμαστε σε αυτό το είδος επίθεσης στην εφοδιαστική αλυσίδα. Αυτό που αναζητούμε είναι απλώς μια σειρά από συνδέσμους στους οποίους μπορούν να κάνουν κλικ οι άνθρωποι και δεν θα προκαλούν υποψίες.»
Έτσι, αν θέλετε μια ιστοσελίδα που μπορεί να επισκεφτεί κάποιος και να έχει πολλούς συνδέσμους προς άστοχους ιστότοπους… όπως «Λάβετε τους δωρεάν κωδικούς μπόνους Amazon εδώ» και «Λάβετε τις δωρεάν περιστροφές μπίνγκο» – υπήρχαν κυριολεκτικά δεκάδες χιλιάδες από αυτά…
…γιατί να μην επιλέξετε έναν ιστότοπο όπως το NPM Package Manager και να δημιουργήσετε ένα ολόκληρο φόρτο πακέτων;
Τότε δεν χρειάζεται καν να μάθεις HTML, Νταγκ!
Θα μπορούσατε απλώς να χρησιμοποιήσετε το παλιό καλό Markdown, και εκεί έχετε ουσιαστικά μια όμορφη, αξιόπιστη πηγή συνδέσμων στους οποίους μπορείτε να κάνετε κλικ.
Και αυτοί οι σύνδεσμοι που χρησιμοποιούσαν, όσο μπορώ να καταλάβω, πήγαν σε ουσιαστικά ανύποπτους ιστότοπους ιστολογίου, ιστότοπους κοινότητας, οτιδήποτε άλλο, που είχαν σχόλια χωρίς εποπτεία ή κακή εποπτεία ή όπου μπορούσαν εύκολα να δημιουργήσουν λογαριασμούς και στη συνέχεια να κάνουν σχόλια που είχε συνδέσμους μέσα.
Οπότε βασικά χτίζουν μια αλυσίδα κρίκων που δεν θα δημιουργούσαν υποψίες.
ΖΥΜΗ. Λοιπόν, έχουμε μερικές συμβουλές: Μην κάνετε κλικ σε συνδέσμους freebie, ακόμα κι αν διαπιστώσετε ότι σας ενδιαφέρει ή σας ενδιαφέρει.
ΠΑΠΙΑ. Αυτή είναι η συμβουλή μου, Νταγκ.
Ίσως υπάρχουν μερικοί δωρεάν κωδικοί ή ίσως υπάρχουν κάποια κουπόνια που θα μπορούσα να λάβω… ίσως δεν είναι κακό να ρίξω μια ματιά.
Αλλά αν υπάρχει κάποιο είδος συνδεδεμένων διαφημιστικών εσόδων με αυτό, που βγάζουν οι μάγειρες απλώς παρασύροντάς σας ψευδώς σε έναν συγκεκριμένο ιστότοπο;
Ανεξάρτητα από το πόσο μικροσκοπικό είναι το ποσό που βγάζουν, γιατί να τους δίνετε τίποτα για το τίποτα;
Αυτή είναι η συμβουλή μου.
«Ο καλύτερος τρόπος για να αποφύγεις τη γροθιά είναι να μην είσαι εκεί», όπως πάντα.
ΖΥΜΗ. [ΓΕΛΙΑ] Και μετά έχουμε: Μην συμπληρώνετε διαδικτυακές έρευνες, όσο ακίνδυνες κι αν φαίνονται.
ΠΑΠΙΑ. Ναι, το έχουμε πει πολλές φορές στο Naked Security.
Για όλα όσα ξέρετε, μπορεί να δίνετε το όνομά σας εδώ, τον αριθμό τηλεφώνου σας εκεί, ίσως να δώσετε την ημερομηνία γέννησής σας σε κάτι δωρεάν εκεί και να σκεφτείτε, "Ποιο είναι το κακό;"
Αλλά αν όλες αυτές οι πληροφορίες στην πραγματικότητα καταλήγουν σε έναν τεράστιο κουβά, τότε, με την πάροδο του χρόνου, οι απατεώνες κερδίζουν όλο και περισσότερα πράγματα για εσάς, μερικές φορές ίσως να περιλαμβάνουν δεδομένα που είναι πολύ δύσκολο να αλλάξετε.
Μπορείτε να πάρετε μια νέα πιστωτική κάρτα αύριο, αλλά είναι μάλλον πιο δύσκολο να αποκτήσετε νέα γενέθλια ή να μετακομίσετε σπίτι!
ΖΥΜΗ. Και τελευταίο, αλλά σίγουρα όχι λιγότερο σημαντικό: Μην εκτελείτε ιστολόγια ή ιστότοπους κοινότητας που επιτρέπουν μη εποπτευόμενες αναρτήσεις ή σχόλια.
Και αν κάποιος διευθύνει ποτέ, ας πούμε, έναν ιστότοπο WordPress, η σκέψη να επιτρέπονται τα μη εποπτευόμενα σχόλια είναι ελάχιστα εντυπωσιακή, γιατί θα υπάρχουν χιλιάδες από αυτά.
Είναι μια επιδημία.
ΠΑΠΙΑ. Ακόμα κι αν έχετε μια αυτοματοποιημένη υπηρεσία anti-spamming στο σύστημα σχολίων σας, αυτό θα κάνει εξαιρετική δουλειά…
…αλλά μην αφήσετε τα άλλα πράγματα να περάσουν και σκεφτείτε, «Ω, καλά, θα πάω πίσω και θα το αφαιρέσω, αν δω ότι φαίνεται σκόρπιο μετά», γιατί, όπως είπες, έχει διαστάσεις επιδημίας…
ΖΥΜΗ. Αυτή είναι μια δουλειά πλήρους απασχόλησης, ναι!
ΠΑΠΙΑ. …και είναι εδώ και αιώνες.
ΖΥΜΗ. Και μπορέσατε, με χαρά βλέπω, να δουλέψετε σε δύο από τα αγαπημένα μας μάντρα εδώ γύρω.
Στο τέλος του άρθρου: Σκεφτείτε πριν κάνετε κλικ, και: Σε περίπτωση αμφιβολίας…
ΠΑΠΙΑ. …μην το δώσεις έξω.
Είναι πραγματικά τόσο απλό.
ΖΥΜΗ. Μιλώντας για τα πράγματα έξω, τρεις νεαροί φέρονται φτιαχτεί με εκατομμύρια σε χρήματα εκβίασης:
ΠΑΠΙΑ. Ναί.
Συνελήφθησαν στην Ολλανδία για εγκλήματα που φέρεται ότι άρχισαν να διαπράττουν… Νομίζω ότι είναι πριν από δύο χρόνια, Νταγκ.
Και είναι 18 ετών, 21 ετών και 21 ετών τώρα.
Ήταν λοιπόν αρκετά νέοι όταν ξεκίνησαν.
Και ο βασικός ύποπτος, που είναι 21 ετών… οι αστυνομικοί ισχυρίζονται ότι έχει βγάλει περίπου δυόμισι εκατομμύρια ευρώ.
Αυτά είναι πολλά χρήματα για έναν νεαρό, τον Νταγκ.
Είναι πολλά τα λεφτά για κανέναν!
ΖΥΜΗ. Δεν ξέρω τι έφτιαχνες στα 21 σου, αλλά δεν έβγαζα τόσα πολλά, ούτε καν κοντά. [ΓΕΛΙΑ]
ΠΑΠΙΑ. Ίσως δύο ευρώ πενήντα την ώρα; [ΓΕΛΙΟ]
Φαίνεται ότι ο τρόπος λειτουργίας τους δεν ήταν να καταλήξουν με ransomware, αλλά να σας αφήσουν με την *απειλή* του ransomware επειδή ήταν ήδη μέσα.
Έτσι θα έμπαιναν, θα έκαναν όλη την κλοπή δεδομένων και, στη συνέχεια, αντί να κάνουν τον κόπο να κρυπτογραφήσουν τα αρχεία σας, ακούγεται ότι αυτό που θα έκαναν ήταν να έλεγαν, "Κοίτα, έχουμε το δεδομένα; μπορούμε να επιστρέψουμε και να καταστρέψουμε τα πάντα, ή μπορείτε να πληρώσετε».
Και οι απαιτήσεις ήταν κάπου μεταξύ 100,000 και 700,000 ευρώ ανά θύμα.
Και αν είναι αλήθεια ότι ένας από αυτούς κέρδισε 2,500,000 ευρώ τα τελευταία δύο χρόνια από την εγκληματικότητα του στον κυβερνοχώρο, μπορείτε να φανταστείτε ότι πιθανότατα εκβίασαν αρκετά θύματα για να πληρώσουν, φοβούμενοι τι μπορεί να αποκαλυφθεί…
ΖΥΜΗ. Έχουμε πει εδώ γύρω, "Δεν πρόκειται να κρίνουμε, αλλά προτρέπουμε τους ανθρώπους να μην πληρώνουν σε περιπτώσεις όπως αυτή ή σε περιπτώσεις όπως το ransomware."
Και για καλό λόγο!
Διότι, σε αυτή την περίπτωση, η αστυνομία σημειώνει ότι η πληρωμή του εκβιασμού δεν έβγαινε πάντα.
Αυτοι ειπαν:
Σε πολλές περιπτώσεις, τα κλεμμένα δεδομένα διέρρευσαν στο Διαδίκτυο ακόμη και μετά την πληρωμή των επηρεαζόμενων εταιρειών.
ΠΑΠΙΑ. Ετσι. αν σκεφτήκατε ποτέ, «Αναρωτιέμαι αν μπορώ να εμπιστευτώ αυτούς τους τύπους να μην διαρρεύσουν τα δεδομένα ή να μην εμφανίζονται στο διαδίκτυο;»…
…Νομίζω ότι έχεις την απάντησή σου εκεί!
Και να έχετε κατά νου ότι μπορεί να μην είναι ότι αυτοί οι συγκεκριμένοι απατεώνες ήταν απλώς υπερδιπλοί και ότι πήραν τα χρήματα και τα διέρρευσαν ούτως ή άλλως.
Δεν ξέρουμε ότι *αυτοί* ήταν απαραίτητα οι άνθρωποι που το διέρρευσαν.
Θα μπορούσαν να ήταν τόσο κακοί στην ασφάλεια οι ίδιοι που την έκλεψαν. έπρεπε να το βάλουν κάπου? και ενώ διαπραγματεύονταν, σας έλεγαν «Θα διαγράψουμε τα δεδομένα»…
…για όσα γνωρίζουμε, κάποιος άλλος θα μπορούσε να το είχε κλέψει στο μεταξύ.
Και αυτό είναι πάντα ένας κίνδυνος, επομένως η πληρωμή για τη σιωπή σπάνια λειτουργεί καλά.
ΖΥΜΗ. Και έχουμε δει όλο και περισσότερες επιθέσεις όπως αυτή όπου το ransomware φαίνεται λίγο πιο απλό: «Πληρωμή με για το κλειδί αποκρυπτογράφησης. με πληρώνεις? Θα σου το δώσω. μπορείτε να ξεκλειδώσετε τα αρχεία σας."
Λοιπόν, τώρα μπαίνουν και λένε, "Δεν πρόκειται να κλειδώσουμε τίποτα, ή θα το κλειδώσουμε, αλλά θα το διαρρεύσουμε επίσης στο διαδίκτυο εάν δεν πληρώσετε..."
ΠΑΠΙΑ. Ναι, είναι τριών ειδών εκβιασμός, έτσι δεν είναι;
Υπάρχει, "Κλειδώσαμε τα αρχεία σας, πληρώστε τα χρήματα διαφορετικά η επιχείρησή σας θα παραμείνει εκτροχιασμένη".
Υπάρχει, «Κλέψαμε τα αρχεία σας. Πληρώστε τα χρήματα διαφορετικά θα τα διαρρεύσουμε, και μετά μπορεί να επιστρέψουμε και να σας λύσουμε ούτως ή άλλως."
Και υπάρχει η διπλή αιτία που φαίνεται να αρέσει σε ορισμένους απατεώνες, όπου κλέβουν τα δεδομένα σας *και* ανακατεύουν τα αρχεία, και λένε, «Μπορείς να πληρώσεις για την αποκρυπτογράφηση των αρχείων σου και χωρίς επιπλέον χρέωση, Νταγκ, εμείς Θα διαγράψω και τα δεδομένα!»
Λοιπόν, μπορείτε να τους εμπιστευτείτε;
Λοιπόν, ορίστε η απάντησή σας…
Πιθανώς όχι!
ΖΥΜΗ. Εντάξει, κατευθυνθείτε και διαβάστε για αυτό.
Υπάρχει περαιτέρω διορατικότητα και πλαίσιο στο κάτω μέρος αυτού του άρθρου… Paul, έκανες ένα συνέντευξη με τον δικό μας Peter Mackenzie, ο οποίος είναι ο Διευθυντής Αντιμετώπισης Συμβάντων εδώ στη Sophos. (Γεμάτος αντίγραφο διαθέσιμος.)
Δεν υπάρχει πρόγραμμα αναπαραγωγής ήχου παρακάτω; Ακούω κατευθείαν στο Soundcloud.
Και, όπως λέμε πάντα σε περιπτώσεις όπως αυτές, εάν επηρεάζεστε από αυτό, αναφέρετε τη δραστηριότητα στην αστυνομία, ώστε να έχει όσες περισσότερες πληροφορίες μπορεί να πάρει για να συντάξει την υπόθεσή τους.
Είμαι στην ευχάριστη θέση να αναφέρω ότι είπαμε ότι θα το παρακολουθούμε. κάναμε; και έχουμε ένα Ενημέρωση LastPass:
ΠΑΠΙΑ. Έχουμε πράγματι, Νταγκ!
Αυτό δείχνει πώς η παραβίαση των εταιρικών κωδικών πρόσβασης επέτρεψε στην επίθεση να μετατραπεί από ένα «μικρό πράγμα» όπου πήραν τον πηγαίο κώδικα σε κάτι μάλλον πιο δραματικό.
Το LastPass φαίνεται να έχει καταλάβει πώς συνέβη στην πραγματικότητα… και σε αυτήν την έκθεση, υπάρχουν ουσιαστικά, αν όχι λόγια σοφίας, τουλάχιστον λόγια προειδοποίησης.
Και επανέλαβα, στο άρθρο που έγραψα για αυτό, αυτό που είπαμε το podcast της περασμένης εβδομάδας βίντεο προώθησης, Doug, συγκεκριμένα:
«Όσο απλή και αν ήταν η επίθεση, θα ήταν μια τολμηρή εταιρεία που θα ισχυριζόταν ότι κανένας από τους χρήστες της, ποτέ, δεν θα έπεφτε σε κάτι τέτοιο…»
Ακούστε τώρα – Μάθετε περισσότερα!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
— Γυμνή ασφάλεια (@NakedSecurity) Φεβρουάριος 24, 2023
Δυστυχώς, φαίνεται ότι ένας από τους προγραμματιστές, που μόλις έτυχε να έχει τον κωδικό πρόσβασης για να ξεκλειδώσει το θησαυροφυλάκιο εταιρικού κωδικού πρόσβασης, εκτελούσε κάποιο είδος λογισμικού σχετικού με τα μέσα που δεν είχαν επιδιορθώσει.
Και οι απατεώνες μπόρεσαν να χρησιμοποιήσουν ένα exploit εναντίον του… για να εγκαταστήσουν ένα keylogger, Doug!
Από το οποίο, φυσικά, πήραν αυτόν τον υπερ-μυστικό κωδικό πρόσβασης που άνοιξε το επόμενο στάδιο της εξίσωσης.
Αν έχετε ακούσει ποτέ τον όρο πλευρική κίνηση – αυτός είναι ένας όρος Jargon που θα ακούσετε πολλά.
Η αναλογία που έχετε με τη συμβατική εγκληματικότητα είναι…
..μπαίνετε στο λόμπι του κτιρίου. κρεμάστε λίγο? Στη συνέχεια, μπείτε κρυφά σε μια γωνία του γραφείου ασφαλείας. Περίμενε στις σκιές για να μην σε δει κανείς μέχρι να πάνε οι φρουροί και να φτιάξουν ένα φλιτζάνι τσάι. Στη συνέχεια, πηγαίνετε στο ράφι δίπλα στο γραφείο και αρπάξτε μία από αυτές τις κάρτες πρόσβασης. που σας οδηγεί στην ασφαλή περιοχή δίπλα στο μπάνιο. και εκεί μέσα, θα βρείτε το κλειδί του χρηματοκιβωτίου.
Βλέπεις πόσο μακριά μπορείς να φτάσεις, και μετά θα βρεις πιθανώς τι χρειάζεσαι ή τι θα κάνεις, για να φτάσεις στο επόμενο βήμα κ.λπ.
Προσοχή στο keylogger, Νταγκ! [ΓΕΛΙΑ]
ΖΥΜΗ. Ναι!
ΠΑΠΙΑ. Το καλό, παλιό, μη ransomware κακόβουλο λογισμικό είναι [A] ζωντανό και καλά, και το [B] μπορεί να είναι εξίσου επιβλαβές για την επιχείρησή σας.
ΖΥΜΗ. Ναι!
Και έχουμε κάποιες συμβουλές, φυσικά.
Επιδιορθώστε νωρίς, επιδιορθώστε συχνά και επιδιορθώστε παντού.
ΠΑΠΙΑ. Ναί.
Το LastPass ήταν πολύ ευγενικό και δεν ξεστόμισαν, «Ήταν το λογισμικό XYZ που είχε την ευπάθεια».
Αν έλεγαν, "Ω, το λογισμικό που παραβιάστηκε ήταν το X"…
…τότε οι άνθρωποι που δεν είχαν Χ έλεγαν, «Μπορώ να σταματήσω από το μπλε συναγερμό. Δεν χρησιμοποιώ αυτό το λογισμικό."
Στην πραγματικότητα, γι' αυτό λέμε όχι απλώς μπαλώνετε νωρίς, επιδιορθώνετε συχνά… αλλά διορθώνετε *παντού*.
Μόνο η επιδιόρθωση του λογισμικού που επηρέασε το LastPass δεν θα είναι αρκετή στο δίκτυό σας.
Πρέπει να είναι κάτι που κάνεις συνέχεια.
ΖΥΜΗ. Και μετά το έχουμε ξαναπεί και θα συνεχίσουμε να το λέμε μέχρι να καεί ο ήλιος: Ενεργοποιήστε το 2FA όπου μπορείτε.
ΠΑΠΙΑ. Ναί.
*Δεν είναι πανάκεια, αλλά τουλάχιστον σημαίνει ότι μόνο οι κωδικοί πρόσβασης δεν αρκούν.
Έτσι δεν ανεβάζει τον πήχη μέχρι τέρμα, αλλά σίγουρα δεν διευκολύνει τους απατεώνες.
ΖΥΜΗ. Και πιστεύω ότι το είπαμε πρόσφατα: Μην περιμένετε να αλλάξετε τα διαπιστευτήρια ή να επαναφέρετε τους σπόρους 2FA μετά από μια επιτυχημένη επίθεση.
ΠΑΠΙΑ. Όπως έχουμε ξαναπεί, ένας κανόνας που λέει, "Πρέπει να αλλάξετε τον κωδικό πρόσβασής σας - αλλάξτε για χάρη της αλλαγής, κάντε το κάθε δύο μήνες ανεξάρτητα"…
…δεν συμφωνούμε με αυτό.
Απλώς πιστεύουμε ότι αυτό σημαίνει να αποκτήσουν όλοι τη συνήθεια μιας κακής συνήθειας.
Αλλά αν πιστεύετε ότι μπορεί να υπάρχει ένας καλός λόγος να αλλάξετε τους κωδικούς πρόσβασής σας, παρόλο που είναι πραγματικός πόνος στο λαιμό να το κάνετε…
…αν πιστεύετε ότι μπορεί να βοηθήσει, γιατί να μην το κάνετε ούτως ή άλλως;
Εάν έχετε έναν λόγο για να ξεκινήσετε τη διαδικασία αλλαγής, τότε απλώς προχωρήστε με το όλο θέμα.
Μην καθυστερείτε/Κάντε το σήμερα.
[ΗΣΥΧΑ] Βλέπεις τι έκανα εκεί, Νταγκ;
ΖΥΜΗ. Τέλεια!
Εντάξει, ας μείνουμε στο αντικείμενο της 2FA.
Βλέπουμε μια απότομη αύξηση των απατεώνων εφαρμογών 2FA και στα δύο καταστήματα εφαρμογών.
Θα μπορούσε αυτό να οφείλεται στο Twitter 2FA kerfuffle ή σε κάποιον άλλο λόγο;
Προσοχή στις απατεώνες 2FA εφαρμογές στο App Store και στο Google Play – μην παραβιαστείτε!
ΠΑΠΙΑ. Δεν ξέρω ότι οφείλεται συγκεκριμένα στο Twitter 2FA kerfuffle, όπου το Twitter είπε, για οποιονδήποτε λόγο, «Ωχ, δεν πρόκειται να χρησιμοποιήσουμε πια έλεγχο ταυτότητας δύο παραγόντων SMS, εκτός αν μας πληρώσετε χρήματα.!
Και δεδομένου ότι η πλειοψηφία των ανθρώπων δεν πρόκειται να είναι κάτοχοι σήματος Twitter Blue, θα πρέπει να αλλάξουν.
Επομένως, δεν ξέρω ότι αυτό προκάλεσε αύξηση των απατεώνων εφαρμογών στο App Store και στο Google Play, αλλά σίγουρα τράβηξε την προσοχή ορισμένων ερευνητών που είναι καλοί φίλοι στο Naked Security: @mysk_co, αν θέλετε να τα βρείτε στο Twitter.
Σκέφτηκαν, «Στοιχηματίζω ότι πολλοί άνθρωποι ψάχνουν πραγματικά για εφαρμογές ελέγχου ταυτότητας 2FA αυτή τη στιγμή. Αναρωτιέμαι τι θα συμβεί αν πάτε στο App Store ή στο Google Play και απλώς πληκτρολογήσετε Εφαρμογή ελέγχου ταυτότητας; "
Και αν μεταβείτε στο άρθρο για τη Γυμνή Ασφάλεια, με τίτλο «Προσοχή στις εφαρμογές απατεώνων 2FA», θα δείτε ένα στιγμιότυπο οθόνης που ετοίμασαν αυτοί οι ερευνητές.
Είναι ακριβώς σειρά μετά από σειρά ελεγκτών ταυτόσημης εμφάνισης. [ΓΕΛΙΑ]
ΖΥΜΗ. [ΓΕΛΙΑ] Καλούνται όλοι ελέγχου ταυτότητας, όλα με κλειδαριά και ασπίδα!
ΠΑΠΙΑ. Μερικοί από αυτούς είναι νόμιμοι, και άλλοι από αυτούς δεν είναι.
Ενοχλητικά. Όταν πήγα – ακόμα και αφού αυτό έγινε στις ειδήσεις… όταν πήγα στο App Store, η κορυφαία εφαρμογή που εμφανίστηκε ήταν, από όσο μπορούσα να δω, μια από αυτές τις απατεώνες εφαρμογές.
Και πραγματικά εξεπλάγην!
Σκέφτηκα, "Cricey - αυτή η εφαρμογή είναι υπογεγραμμένη στο όνομα μιας πολύ γνωστής κινεζικής εταιρείας κινητής τηλεφωνίας."
Ευτυχώς, η εφαρμογή φαινόταν μάλλον αντιεπαγγελματική (η διατύπωση ήταν πολύ κακή), οπότε δεν πίστεψα για μια στιγμή ότι ήταν πραγματικά αυτή η εταιρεία κινητής τηλεφωνίας.
Αλλά σκέφτηκα, «Πώς στο καλό κατάφεραν να πάρουν ένα πιστοποιητικό κωδικής υπογραφής στο όνομα μιας νόμιμης εταιρείας, ενώ προφανώς δεν θα είχαν κανένα έγγραφο που να αποδεικνύει ότι ήταν αυτή η εταιρεία;» (Δεν θα αναφέρω το όνομά του.)
Μετά διάβασα το όνομα πολύ προσεκτικά… και ήταν, στην πραγματικότητα, ένα τυπογραφικό λάθος, Νταγκ!
Ένα από τα γράμματα στη μέση της λέξης είχε, πώς να το πω, πολύ παρόμοιο σχήμα και μέγεθος με αυτό που ανήκε στην πραγματική εταιρεία.
Και έτσι, κατά πάσα πιθανότητα, είχε περάσει αυτοματοποιημένες δοκιμές.
Δεν ταίριαζε με καμία γνωστή επωνυμία για την οποία κάποιος είχε ήδη πιστοποιητικό υπογραφής κωδικού.
Και ακόμη και έπρεπε να το διαβάσω δύο φορές… παρόλο που ήξερα ότι κοιτούσα μια απατεώνα εφαρμογή, γιατί μου είχαν πει να πάω εκεί!
Στο Google Play, συνάντησα επίσης μια εφαρμογή για την οποία με ειδοποίησαν οι συνεργάτες που έκαναν αυτήν την έρευνα…
…το οποίο δεν σας ζητά απλώς να πληρώνετε 40 $ το χρόνο για κάτι που θα μπορούσατε να αποκτήσετε δωρεάν ενσωματωμένο στο iOS ή απευθείας από το Play Store με το όνομα της Google δωρεάν.
Έκλεψε επίσης τους αρχικούς σπόρους για τους λογαριασμούς σας 2FA και τους ανέβασε στον λογαριασμό αναλυτικών στοιχείων του προγραμματιστή.
Τι λέτε για αυτό, Νταγκ;
Άρα αυτό είναι στην καλύτερη περίπτωση ακραία ανικανότητα.
Και, στη χειρότερη, είναι απλώς εντελώς κακόβουλο.
Και όμως, εκεί ήταν… το κορυφαίο αποτέλεσμα όταν οι ερευνητές πήγαν να ψάξουν στο Play Store, πιθανώς επειδή έριξαν λίγη αγάπη για τη διαφήμιση.
Θυμηθείτε, αν κάποιος πάρει αυτό το αρχικό seed, αυτό το μαγικό πράγμα που βρίσκεται στον κωδικό QR όταν ρυθμίζετε το 2FA που βασίζεται σε εφαρμογές…
…μπορούν να δημιουργήσουν τον σωστό κωδικό για εσάς, για οποιοδήποτε παράθυρο σύνδεσης 30 δευτερολέπτων στο μέλλον, για πάντα, Doug.
Είναι τόσο απλό.
Αυτό το κοινό μυστικό είναι *κυριολεκτικά* το κλειδί για όλους τους μελλοντικούς κωδικούς μιας χρήσης.
ΖΥΜΗ. Και έχουμε ένα σχόλιο αναγνώστη για αυτήν την απατεώνα ιστορία 2FA.
Το Naked Security reader LR σχολιάζει, εν μέρει:
Έριξα το Twitter και το Facebook πριν από πολύ καιρό.
Εφόσον δεν τα χρησιμοποιώ, χρειάζεται να ανησυχώ για την κατάσταση δύο παραγόντων;
ΠΑΠΙΑ. Ναι, αυτή είναι μια ενδιαφέρουσα ερώτηση και η απάντηση είναι, ως συνήθως, «Εξαρτάται».
Σίγουρα, αν δεν χρησιμοποιείτε το Twitter, θα μπορούσατε να επιλέξετε άσχημα όταν πρόκειται να εγκαταστήσετε μια εφαρμογή 2FA…
…και μπορεί να είστε πιο διατεθειμένοι να πάτε και να πάρετε ένα, τώρα το 2FA είναι στις ειδήσεις λόγω της ιστορίας του Twitter, από ό,τι θα κάνατε εβδομάδες, μήνες ή χρόνια πριν.
Και αν * πρόκειται* να πάτε και να επιλέξετε το 2FA, απλώς φροντίστε να το κάνετε όσο πιο ασφαλή μπορείτε.
Μην πηγαίνετε απλώς και αναζητάτε και κατεβάζετε αυτό που φαίνεται σαν η πιο προφανής εφαρμογή, γιατί εδώ υπάρχουν ισχυρές αποδείξεις ότι θα μπορούσατε να θέσετε τον εαυτό σας σε πολύ κακό δρόμο.
Ακόμα κι αν βρίσκεστε στο App Store ή στο Google Play και δεν φορτώνετε κάποια κατασκευασμένη εφαρμογή που πήρατε από κάπου αλλού!
Έτσι, εάν χρησιμοποιείτε 2FA που βασίζεται σε SMS αλλά δεν έχετε Twitter, τότε δεν χρειάζεται να απομακρυνθείτε από αυτό.
Εάν επιλέξετε να το κάνετε, ωστόσο, βεβαιωθείτε ότι έχετε επιλέξει την εφαρμογή σας με σύνεση.
ΖΥΜΗ. Εντάξει, υπέροχες συμβουλές, και ευχαριστώ πολύ, LR, που την έστειλες.
Εάν έχετε μια ενδιαφέρουσα ιστορία, σχόλιο ή ερώτηση που θέλετε να υποβάλετε, θα θέλαμε να τη διαβάσουμε στο podcast.
Μπορείτε να στείλετε email στο tips@sophos.com, να σχολιάσετε ευγενικά οποιοδήποτε από τα άρθρα μας ή να μας ενημερώσετε στα social: @nakedsecurity.
Αυτή είναι η εκπομπή μας για σήμερα – ευχαριστώ πολύ που με ακούσατε.
Για τον Paul Ducklin, είμαι ο Doug Aamoth, σας υπενθυμίζω μέχρι την επόμενη φορά να…
ΚΑΙ ΤΑ ΔΥΟ. Μείνετε ασφαλείς!
[ΜΟΥΣΙΚΟ ΜΟΝΤΕΜ]
- SEO Powered Content & PR Distribution. Ενισχύστε σήμερα.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. Πρόσβαση εδώ.
- πηγή: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2FA
- a
- Ικανός
- Σχετικά
- πρόσβαση
- Λογαριασμός
- Λογαριασμοί
- απέναντι
- δραστηριότητα
- πραγματικά
- Ad
- συμβουλές
- Συνδεδεμένος
- Μετά το
- κατά
- Ηλικίες
- Στοχεύω
- Ειδοποίηση
- Όλα
- υποτιθεμένος
- φέρεται ότι
- Επιτρέποντας
- alone
- ήδη
- Καλώς
- πάντοτε
- Amazon
- μεταξύ των
- ποσό
- analytics
- και
- απάντηση
- οπουδήποτε
- app
- app κατάστημα
- app καταστήματα
- εμφανίζομαι
- Apple
- εφαρμογές
- ΠΕΡΙΟΧΗ
- γύρω
- σύλληψη
- άρθρο
- εμπορεύματα
- Συνεργάτης
- επίθεση
- Επιθέσεις
- προσοχή
- ήχου
- Πιστοποίηση
- συγγραφέας
- Αυτοματοποιημένη
- διαθέσιμος
- αποφύγετε
- πίσω
- Κακός
- κακώς
- μπαρ
- βασικός
- Βασικα
- Αρκούδα
- επειδή
- πριν
- είναι
- Πιστεύω
- παρακάτω
- ΚΑΛΎΤΕΡΟΣ
- Στοίχημα
- μεταξύ
- Νομοσχέδιο
- Bill Gates
- λοταρία
- γέννηση
- Κομμάτι
- Εκβιασμός
- Blog
- ιστολόγια
- Μπλε
- μπλε σήμα
- επιτροπή
- Δώρο
- Κάτω μέρος
- μάρκα
- παραβίαση
- Κτίριο
- χτισμένο
- επιχείρηση
- Καλιφόρνια
- που ονομάζεται
- Εκστρατεία
- Μπορεί να πάρει
- κάρτα
- Κάρτες
- περίπτωση
- περιπτώσεις
- προκαλούνται
- σίγουρα
- πιστοποιητικό
- αλυσίδα
- πρόκληση
- αλλαγή
- χρέωση
- κινέζικο
- Επιλέξτε
- ισχυρισμός
- σαφώς
- Κλεισιμο
- λέσχη
- κωδικός
- Κώδικες
- COM
- Ελάτε
- σχόλιο
- σχόλια
- κοινότητα
- Εταιρείες
- εταίρα
- υπολογιστή
- ενδιαφερόμενος
- συμφραζόμενα
- ΣΥΝΕΧΕΙΑ
- συμβατικός
- μπάτσοι
- Γωνία
- Εταιρικές εκδηλώσεις
- θα μπορούσε να
- τοκομερίδιο
- πορεία
- Ραγισμένο
- δημιουργία
- δημιουργήθηκε
- Διαπιστεύσεις
- μονάδες
- πιστωτική κάρτα
- Εγκλήματα
- απατεώνες
- Φλιτζάνι
- κυβερνοεκβιασμός
- ημερομηνία
- Ημερομηνία
- Αποκρυπτογράφηση
- οπωσδηποτε
- ευχαριστημένος
- απαιτήσεις
- εξαρτάται
- προγραμματιστές
- DID
- δύσκολος
- κατευθείαν
- Διευθυντής
- συζητώντας
- διανέμω
- τεκμηρίωση
- Όχι
- Μην
- κάτω
- κατεβάσετε
- δραματικά
- Πτώση
- Νωρίς
- κέρδισε
- γη
- ευκολότερη
- εύκολα
- αποτελεσματικά
- ΗΛΕΚΤΡΟΝΙΚΗ ΔΙΕΥΘΥΝΣΗ
- αρκετά
- ενθουσιώδες
- επιχειρηματικό
- Επιδημία
- κατ 'ουσίαν,
- ευρώ
- Even
- ΠΑΝΤΑ
- Κάθε
- πάντα
- απόδειξη
- Εκμεταλλεύομαι
- εκβιασμός
- επιπλέον
- άκρο
- μάτι
- Πτώση
- μακριά
- Μόδα
- φόβος
- Φεβρουάριος
- λίγοι
- σχηματικός
- Αρχεία
- συμπληρώστε
- Εύρεση
- Όνομα
- για πάντα
- Βρέθηκαν
- Δωρεάν
- Γαλλικά
- φίλους
- από
- πλήρη
- περαιτέρω
- μελλοντικός
- Πύλες
- συγκέντρωση
- παράγουν
- παίρνω
- να πάρει
- γίγαντας
- δώρο
- Δώστε
- Δίνοντας
- Go
- μετάβαση
- καλός
- Το Google Play
- Της Google
- πιάσε
- εξαιρετική
- hacked
- Κρεμώ
- συνέβη
- συμβαίνει
- ευτυχισμένος
- υλικού
- επιβλαβής
- Harvard
- που έχει
- κεφάλι
- επικεφαλίδα
- ακούω
- ακούσει
- βοήθεια
- εδώ
- ιστορία
- Επιτυχία
- Οι κάτοχοι
- Αρχική
- φιλοξενείται
- Πως
- Ωστόσο
- HTML
- HTTPS
- ΕΓΩ ΘΑ
- in
- περιστατικό
- απάντηση περιστατικού
- Κεκλιμένος
- Συμπεριλαμβανομένου
- ανικανότητα
- πληροφορίες
- διορατικότητα
- εγκαθιστώ
- εγκατάσταση
- αντί
- ενδιαφερόμενος
- ενδιαφέρον
- iOS
- IT
- ορολογία
- το JavaScript
- Δουλειά
- Θέσεις εργασίας
- δικαστής
- Διατήρηση
- Κλειδί
- Είδος
- Ξέρω
- γνωστός
- Επίθετο
- LastPass
- διαρροή
- ΜΑΘΑΊΝΩ
- Άδεια
- Led
- Legit
- ΣΥΝΔΕΣΜΟΙ
- Ακούγοντας
- λίγο
- φορτίο
- Αίθουσα Αναμονής
- κλειδωμένη
- ματιά
- κοίταξε
- κοιτάζοντας
- ΦΑΊΝΕΤΑΙ
- Παρτίδα
- αγάπη
- που
- μαγεία
- Η πλειοψηφία
- κάνω
- Κατασκευή
- malware
- διαχείριση
- διευθυντής
- πολοί
- Μάρτιος
- Ταίριασμα
- ύλη
- μέσα
- Εντομεταξύ
- συνάντηση
- Μεξικό
- Μέσο
- ενδέχεται να
- νου
- Κινητό
- κινητό τηλέφωνο
- Τρόπος
- στιγμή
- χρήματα
- μήνες
- περισσότερο
- πλέον
- μετακινήσετε
- Μουσική
- μιούζικαλ
- Γυμνή ασφάλεια
- Γυμνό Podcast ασφαλείας
- όνομα
- και συγκεκριμένα
- αναγκαίως
- Ανάγκη
- Ολλανδία
- δίκτυο
- Νέα
- νέα
- επόμενη
- αριθμός
- Εμφανή
- Office
- Παλιά
- ONE
- διαδικτυακά (online)
- άνοιξε
- τάξη
- ΑΛΛΑ
- δική
- πακέτο
- Packages
- καταβλήθηκε
- Πόνος
- πανάκεια
- Πάρκο
- μέρος
- Ειδικότερα
- πέρασε
- Κωδικός Πρόσβασης
- Κωδικοί πρόσβασης
- Το παρελθόν
- Patch
- Διόρθωση
- Παύλος
- Πληρωμή
- πληρώνουν
- PC
- People
- ίσως
- πεπεισμένοι
- Πέτρος
- τηλέφωνο
- επιλέξτε
- Μέρος
- φώναξε
- Πλάτων
- Πληροφορία δεδομένων Plato
- Πλάτωνα δεδομένα
- Δοκιμάστε να παίξετε
- Play Store
- παίχτης
- το podcast
- podcasts
- Police
- Δημοσιεύσεις
- έτοιμος
- αρκετά
- Ακμή
- πιθανώς
- Πρόβλημα
- διαδικασια μας
- περιουσία
- Αποδείξτε
- γροθιά
- βάζω
- QR code
- ερώτηση
- ήσυχα
- αύξηση
- ransomware
- Διάβασε
- Αναγνώστης
- πραγματικός
- λόγος
- λόγους
- πρόσφατα
- αφαιρέστε
- επαναλαμβάνω
- αναφέρουν
- ερευνητές
- απάντησης
- ΠΕΡΙΦΕΡΕΙΑ
- αποτέλεσμα
- έσοδα
- Κίνδυνος
- ΣΕΙΡΑ
- rss
- καταστροφή
- Άρθρο
- τρέξιμο
- τρέξιμο
- ένα ασφαλές
- ασφάλεια
- Είπε
- χάρη
- ίδιο
- λέει
- Αναζήτηση
- Μυστικό
- προστατευμένο περιβάλλον
- ασφάλεια
- σπόρος
- σπόροι
- βλέποντας
- φαινόταν
- φαίνεται
- βλέπει
- τμήμα
- αποστολή
- Σειρές
- υπηρεσία
- σειρά
- Shape
- Shared
- Ράφι
- Κοντά
- δείχνουν
- παράπλευρη φόρτωση
- υπογραφεί
- υπογραφή
- Σιωπή
- παρόμοιες
- Απλούς
- αφού
- ιστοσελίδα
- Sites
- κατάσταση
- Μέγεθος
- SMS
- σπιούνος
- So
- Μ.Κ.Δ
- λογισμικό
- μερικοί
- Κάποιος
- κάτι
- κάπου
- Πηγή
- πρωτογενής κώδικας
- ομιλία
- ειδικά
- ακίδα
- Spotify
- Στάδιο
- σταθεί
- Εκκίνηση
- ξεκίνησε
- Ξεκινήστε
- παραμονή
- Βήμα
- Ο Steve
- Steve Wozniak
- Ακόμη
- επιτραχήλιο
- κλαπεί
- κατάστημα
- καταστήματα
- Ιστορία
- ειλικρινής
- ισχυρός
- υποβάλουν
- επιτυχής
- Κυρ.
- ανακύπτει
- διακόπτης
- σύστημα
- Τσάι
- tech
- Τεχνολογία
- δοκιμές
- Η
- Το μέλλον
- Κάτω Χώρες
- κλοπή
- τους
- τους
- επομένως
- πράγμα
- πράγματα
- Νομίζω
- σκέψη
- χιλιάδες
- τρία
- Μέσω
- ώρα
- φορές
- προς την
- σήμερα
- μαζι
- αύριο
- κορυφή
- αληθής
- Εμπιστευθείτε
- Έμπιστος
- Τουίτερ
- υπό
- ξεκλειδώσετε
- Φορτώθηκε
- URL
- us
- χρήση
- Χρήστες
- Θόλος
- Θύμα
- θύματα
- Βίντεο
- ευπάθεια
- περιμένετε
- προειδοποίηση
- ιστός
- εβδομάδα
- Εβδ.
- Τι
- Ποιό
- ενώ
- Ο ΟΠΟΊΟΣ
- θα
- σοφία
- λέξη
- διατύπωση
- WordPress
- λόγια
- Εργασία
- επεξεργάζομαι
- λειτουργεί
- χειρότερη
- θα
- X
- έτος
- χρόνια
- νέος
- Σας
- τον εαυτό σας
- zephyrnet