گالری سرکشان
سرکش بسته های نرم افزاری سرکش “sysadmins”. سرکش کی لاگرها سرکش احراز هویت
پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud
با داگ آموت و پل داکلین. موسیقی مقدماتی و بیرونی توسط ادیت ماج.
شما می توانید به ما گوش دهید Soundcloud, پادکست های اپل, پادکست های Google, Spotify, Stitcher به و هر جایی که پادکست های خوب پیدا می شود. یا فقط رها کنید URL فید RSS ما به پادکچر مورد علاقه شما
رونوشت را بخوانید
دوغ. Scambaiting، برنامه های سرکش 2FA، و ما آخرین LastPass را نشنیده ایم.
همه اینها و بیشتر در پادکست Naked Security.
[مودم موزیکال]
به پادکست خوش آمدید، همه.
من داگ آموت هستم. او پل داکلین است.
پل، امروز چطوری؟
اردک. چیلی، داگ.
ظاهراً مارس سردتر از فوریه خواهد بود.
دوغ. ما اینجا همین مشکل را داریم، همان چالش.
بنابراین، نگران نباشید - من یک چیز بسیار جالب دارم این هفته در تاریخ فناوری بخش.
این هفته، در 05 مارس 1975، اولین گردهمایی باشگاه کامپیوتر هومبرو در منلو پارک، کالیفرنیا به میزبانی فرد مور و گوردون فرنچ برگزار شد.
در اولین جلسه حدود 30 نفر از علاقه مندان به فناوری، از جمله در مورد Altair بحث کردند.
و حدود یک سال بعد، در 01 مارس 1976، استیو وزنیاک در جلسه ای با صفحه مداری که خود ایجاد کرده بود، حاضر شد و قصد داشت نقشه ها را از بین ببرد.
استیو جابز او را از این موضوع منصرف کرد و آن دو به راه اندازی اپل ادامه دادند.
و بقیه تاریخ است، پل.
اردک. خب، مطمئناً تاریخ است، داگ!
الطیر، نه؟
وای!
کامپیوتری که بیل گیتس را متقاعد کرد که از هاروارد خارج شود.
و به شیوه واقعی کارآفرینی، همراه با پل آلن و مونتی دیویدوف - من فکر می کنم این سه نفر بودند که Altair Basic را نوشتند - به نیومکزیکو رفتند.
برو و در ملک فروشنده سخت افزار در آلبوکرکی کار کن!
دوغ. شاید چیزی که شاید تاریخ ساز نشود…
... ما نمایش را با یک نمایش ساده و در عین حال جالب شروع خواهیم کرد کلاهبرداری کمپین، پل.
از بستههای جاوا اسکریپت NPM برای ایجاد پیوندهای scambait به صورت انبوه سوء استفاده شد
اردک. بله، من این را در امنیت برهنه، داگ، زیر عنوان نوشتم از بستههای جاوا اسکریپت NPM برای ایجاد پیوندهای scambait به صورت انبوه سوء استفاده شد (برای گفتن بسیار پرکلام تر از آن چیزی است که در زمان نوشتن آن به نظر می رسید)…
...چون من احساس کردم این یک زاویه جالب در نوع خاصیت وب است که ما تمایل داریم مستقیماً و فقط با حملات به اصطلاح کد منبع زنجیره تأمین مرتبط کنیم.
و در این مورد، کلاهبرداران فهمیدند: «هی، ما نمیخواهیم کد منبع مسموم را توزیع کنیم. ما درگیر آن نوع حمله زنجیره تامین نیستیم. آنچه ما به دنبال آن هستیم فقط یک سری لینک است که افراد می توانند روی آنها کلیک کنند و هیچ شکی برانگیخته نشوند.
بنابراین، اگر یک صفحه وب میخواهید که کسی بتواند از آن بازدید کند و دارای لینکهای زیادی به سایتهای مبهم باشد... مانند «کدهای جایزه رایگان آمازون خود را از اینجا دریافت کنید» و «چرخشهای یکنوع بازی شبیه لوتو رایگان خود را دریافت کنید» – به معنای واقعی کلمه دهها هزار مورد از این موارد وجود دارد…
... چرا سایتی مانند NPM Package Manager را انتخاب نکنید و تعداد زیادی بسته ایجاد نکنید؟
پس شما حتی نیازی به یادگیری HTML ندارید، داگ!
شما فقط می توانید از Markdown خوب قدیمی استفاده کنید، و در آنجا اساساً یک منبع زیبا و قابل اعتماد از پیوندهایی دارید که می توانید روی آنها کلیک کنید.
و پیوندهایی که آنها استفاده میکردند، تا آنجا که من متوجه شدم، به سایتهای بلاگ غیر مشکوک، سایتهای انجمن، هر چیز دیگری که نظرات کنترلنشده یا ضعیفی داشتند، یا جایی که به راحتی میتوانستند حساب ایجاد کنند و سپس نظر بدهند، رفتند. که لینک داشت
بنابراین آنها اساساً در حال ایجاد زنجیره ای از پیوندها هستند که شک و ظن ایجاد نمی کند.
دوغ. بنابراین، ما توصیه هایی داریم: روی پیوندهای رایگان کلیک نکنید، حتی اگر متوجه شدید که علاقه مند هستید یا شیفته آن هستید.
اردک. این توصیه من است، داگ.
شاید کدهای رایگان وجود داشته باشد، یا شاید چیزهای کوپنی وجود داشته باشد که بتوانم آنها را دریافت کنم... شاید نگاه کردن به آن ضرری نداشته باشد.
اما اگر نوعی درآمد تبلیغاتی وابسته به آن وجود داشته باشد، آشپزها فقط با جذب شما به یک سایت خاص به طور جعلی به دست می آورند؟
مهم نیست که چقدر مبلغ ناچیزی که آنها می سازند، چرا چیزی به آنها نمی دهیم؟
این توصیه من است.
مثل همیشه «بهترین راه برای جلوگیری از مشت زدن، نبودن است».
دوغ. [می خندد] و سپس داریم: نظرسنجی های آنلاین را پر نکنید، مهم نیست که چقدر بی ضرر به نظر می رسند.
اردک. بله، این را بارها در Naked Security گفته ایم.
برای هر چیزی که می دانید، ممکن است نام خود را اینجا، شماره تلفن خود را در آنجا می دهید، شاید تاریخ تولد خود را برای یک هدیه رایگان در آنجا می دهید، و فکر می کنید، "چه ضرری دارد؟"
اما اگر همه این اطلاعات در واقع در یک سطل غول پیکر قرار می گیرند، با گذشت زمان، کلاهبرداران بیشتر و بیشتر در مورد شما اطلاعاتی پیدا می کنند، که گاهی ممکن است شامل داده هایی باشد که تغییر آنها بسیار دشوار است.
فردا می توانید یک کارت اعتباری جدید دریافت کنید، اما گرفتن تولد جدید یا خانه تکانی سخت تر است!
دوغ. و آخرین ، اما مطمئناً مهم نیست: وبلاگها یا سایتهای انجمنی را که اجازه پستها یا نظرات کنترل نشده را میدهند، راهاندازی نکنید.
و اگر کسی تا به حال، مثلاً یک سایت وردپرسی را اجرا کند، فکر اجازه دادن به نظرات بدون تعدیل ذهن آور نیست، زیرا هزاران نفر از آنها وجود خواهند داشت.
این یک اپیدمی است.
اردک. حتی اگر یک سرویس خودکار ضد هرزنامه در سیستم نظرات خود داشته باشید، این کار عالی خواهد بود…
... اما اجازه ندهید چیزهای دیگر از بین بروند و فکر کنید، "اوه، خوب، من برمی گردم و آن را حذف می کنم، اگر بعداً دیدم که بد به نظر می رسد" زیرا، همانطور که شما گفتید، در ابعاد همه گیر است…
دوغ. این یک کار تمام وقت است، بله!
اردک. ... و برای قرن ها بوده است.
دوغ. و من از دیدن آن خوشحالم که توانستید در دو تا از مانتراهای مورد علاقه ما در اینجا کار کنید.
در پایان مقاله: قبل از اینکه کلیک کنید فکر کنید، و: اگر شک…
اردک. ... آن را بیرون ندهید.
این مثل اون خیلی آسونه.
دوغ. گفته می شود که سه جوان در مورد ارائه چیزهایی صحبت می کنند با میلیون ها نفر ساخته شده است در اخاذی:
پلیس هلند سه مظنون اخاذی سایبری را که ادعا می شود میلیون ها درآمد داشته اند دستگیر کرد
اردک. بله.
آنها در هلند به دلیل جنایاتی که گفته می شود شروع به ارتکاب کرده اند دستگیر شدند... فکر می کنم دو سال پیش است، داگ.
و الان 18 سال و 21 سال و 21 سال دارند.
بنابراین وقتی شروع کردند خیلی جوان بودند.
و مظنون اصلی که 21 سال دارد... پلیس ها ادعا می کنند که او حدود دو و نیم میلیون یورو درآمد داشته است.
این برای یک جوان، داگ، پول زیادی است.
این برای هر کسی پول زیادی است!
دوغ. من نمی دانم در 21 سالگی چه می ساختی، اما من آنقدرها هم درست نمی کردم، حتی نزدیکم. [می خندد]
اردک. شاید ساعتی دو یورو پنجاه؟ [خنده]
به نظر می رسد که روش کار آنها این نبود که به باج افزار ختم شود، بلکه این بود که شما را با *تهدید* باج افزار به دلیل اینکه قبلاً وارد شده بودند، رها کردند.
بنابراین آنها وارد می شدند، تمام سرقت اطلاعات را انجام می دادند، و سپس به جای اینکه واقعاً زحمت رمزگذاری فایل های شما را به زحمت بیندازند، به نظر می رسد کاری که انجام می دهند این است که می گویند، "ببین، ما این فایل را داریم. داده ها؛ ما میتوانیم برگردیم و همه چیز را خراب کنیم، یا شما میتوانید پرداخت کنید.»
و خواسته ها بین 100,000 تا 700,000 یورو برای هر قربانی بود.
و اگر درست باشد که یکی از آنها در دو سال گذشته از طریق جرایم سایبری خود 2,500,000 یورو به دست آورده است، می توانید تصور کنید که آنها احتمالاً از ترس اینکه چه چیزی ممکن است فاش شود، تعداد زیادی از قربانیان را برای پرداخت پول سیاه نمایی کرده اند.
دوغ. ما در اینجا گفتهایم: «ما قرار نیست قضاوت کنیم، اما از مردم میخواهیم در مواردی مانند این یا در مواردی مانند باجافزار هزینه پرداخت نکنند.»
و به دلایل خوب!
زیرا در این مورد، پلیس متذکر می شود که پرداخت باج گیری همیشه جواب نمی دهد.
آنها گفتند:
در بسیاری از موارد، حتی پس از پرداخت هزینه شرکت های آسیب دیده، داده های سرقت شده به صورت آنلاین به بیرون درز می کردند.
اردک. بنابراین. اگر تا به حال فکر کرده اید، "من نمی دانم که آیا می توانم به آن افراد اعتماد کنم که داده ها را درز نمی کنند یا به صورت آنلاین ظاهر نمی شوند؟"…
... من فکر می کنم شما پاسخ خود را در آنجا دریافت کرده اید!
و به خاطر داشته باشید که ممکن است این کلاهبرداران خاص فقط فوقالعاده دوگانه بودهاند، و به هر حال پول را گرفتهاند و فاش کردهاند.
ما نمی دانیم که *آنها* لزوماً افرادی بودند که آن را فاش کردند.
آنها می توانستند خودشان آنقدر از نظر امنیت بد باشند که آن را دزدیدند. آنها باید آن را در جایی قرار می دادند. و در حالی که آنها در حال مذاکره بودند، به شما میگفتند: «ما دادهها را حذف میکنیم»…
... با تمام آنچه ما می دانیم، شخص دیگری می توانست آن را در این مدت دزدیده باشد.
و این همیشه یک خطر است، بنابراین پرداخت برای سکوت به ندرت نتیجه خوبی دارد.
دوغ. و ما حملات بیشتر و بیشتری از این قبیل را دیدهایم که در آن باجافزارها در واقع کمی سادهتر به نظر میرسند: «برای کلید رمزگشایی به من پول بده. تو به من پول می دهی من آن را به شما می دهم؛ می توانید قفل فایل های خود را باز کنید."
خب، حالا آنها وارد میشوند و میگویند: «ما چیزی را قفل نمیکنیم، یا قفلش میکنیم، اما اگر پولی نپردازید، آن را به صورت آنلاین افشا خواهیم کرد…»
اردک. بله، این سه نوع اخاذی است، اینطور نیست؟
وجود دارد، "ما فایل های شما را قفل کردیم، پول را پرداخت کنید وگرنه کسب و کار شما از خط خارج می شود."
وجود دارد، "ما فایل های شما را دزدیدیم. پرداخت کنید وگرنه آنها را لو میدهیم، و سپس ممکن است برگردیم و به هر حال شما را باجافزاری کنیم.»
و به نظر می رسد که برخی از کلاهبرداران آن را دوست دارند، جایی که آنها داده های شما را می دزدند *و* فایل ها را به هم می ریزند، و می گویند، "شما هم می توانید برای رمزگشایی فایل های خود پول پرداخت کنید، بدون هیچ هزینه اضافی، داگ، ما داده ها را نیز حذف می کنم!
بنابراین، آیا می توانید به آنها اعتماد کنید؟
خب اینم جوابتون…
احتمالا نه!
دوغ. بسیار خوب، سر بزنید و در مورد آن بخوانید.
بینش و زمینه بیشتری در پایین آن مقاله وجود دارد... پل، شما این کار را انجام دادید مصاحبه با پیتر مکنزی خودمان، که مدیر واکنش به حوادث اینجا در سوفوس است. (پر شده رونوشت در دسترس.)
پخش کننده صوتی زیر نیست؟ گوش بده مستقیما در Soundcloud
و همانطور که همیشه در مواردی از این دست می گوییم، اگر تحت تأثیر این موضوع قرار گرفتید، فعالیت را به پلیس گزارش دهید تا آنها تا آنجا که می توانند اطلاعاتی را برای جمع آوری پرونده خود داشته باشند.
خوشحالم که گزارش دادیم که گفتیم آن را زیر نظر داشته باشیم. ما انجام دادیم؛ و ما یک به روز رسانی LastPass:
LastPass: Keylogger در رایانه خانگی منجر به شکسته شدن مخزن رمز عبور شرکتی شد
اردک. ما واقعاً داریم، داگ!
این نشان میدهد که چگونه نقض گذرواژههای شرکتی آنها باعث شد تا حمله از یک «چیز کوچک» تبدیل شود، جایی که آنها کد منبع را به چیزی نسبتاً چشمگیرتر تبدیل کردند.
به نظر میرسد LastPass متوجه شده است که واقعاً چگونه این اتفاق افتاده است... و در این گزارش، اگر نگوییم حکمتآمیز، حداقل کلمات هشدار دهنده وجود دارد.
و من در مقاله ای که در این مورد نوشتم، آنچه را که در مورد آن گفتیم، تکرار کردم پادکست هفته گذشته ویدئوی تبلیغاتی، داگ، یعنی:
"به همان اندازه که حمله ساده بود، یک شرکت جسور است که ادعا می کند هیچ یک از کاربران آنها هرگز گرفتار چنین چیزهایی نمی شوند ..."
اکنون گوش کنید - بیشتر بدانید!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
— امنیت برهنه (@NakedSecurity) فوریه 24، 2023
متأسفانه، به نظر می رسد یکی از توسعه دهندگان، که به طور اتفاقی رمز عبور برای باز کردن قفل رمز عبور شرکتی را داشت، نوعی نرم افزار مرتبط با رسانه را اجرا می کرد که آنها آن را وصله نکرده بودند.
و کلاهبرداران توانستند از یک اکسپلویت علیه آن استفاده کنند... برای نصب کی لاگر، داگ!
که البته از آن پسورد فوق محرمانه ای که مرحله بعدی معادله را باز کرد، گرفتند.
اگر تا به حال این اصطلاح را شنیده اید حرکت جانبی - این یک اصطلاح اصطلاحی است که شما زیاد خواهید شنید.
تشبیهی که شما با جنایت مرسوم دارید این است…
.. وارد لابی ساختمان شوید. کمی بچرخید؛ سپس مخفیانه به گوشه ای از دفتر امنیتی بروید. در سایه صبر کن تا کسی تو را نبیند تا نگهبانان بروند و یک فنجان چای درست کنند. سپس به قفسه کنار میز بروید و یکی از آن کارت های دسترسی را بردارید. که شما را وارد منطقه امن در کنار حمام می کند. و در آنجا، کلید گاوصندوق را خواهید یافت.
میبینید تا کجا میتوانید پیش بروید، و سپس احتمالاً آنچه را که نیاز دارید، یا کاری را که انجام خواهید داد، برای رسیدن به مرحله بعدی و غیره کار میکنید.
مراقب کی لاگر باشید، داگ! [می خندد]
دوغ. بله!
اردک. بدافزار خوب، قدیمی و غیر باج افزاری [A] زنده و سالم است و [B] می تواند به همان اندازه برای کسب و کار شما مضر باشد.
دوغ. بله!
و البته ما توصیه هایی داریم.
زودتر وصله کنید، اغلب وصله کنید، و همه جا را وصله کنید.
اردک. بله.
LastPass بسیار مودب بود، و آنها به زبان نمیآوردند: «این نرمافزار XYZ بود که این آسیبپذیری را داشت».
اگر آنها می گفتند: "اوه، نرم افزاری که هک شد X بود"…
… سپس افرادی که X نداشتند میگفتند: «من میتوانم از هشدار آبی پایین بیایم. من از آن نرم افزار استفاده نمی کنم.»
در واقع، به همین دلیل است که می گوییم نه فقط زودتر وصله کنید، بلکه اغلب وصله کنید... بلکه *همه جا* را وصله کنید.
فقط وصله نرم افزاری که بر LastPass تأثیر گذاشته است در شبکه شما کافی نیست.
این باید کاری باشد که همیشه انجام می دهید.
دوغ. و سپس این را قبلاً گفته ایم، و تا زمانی که خورشید بسوزد به گفتن آن ادامه می دهیم: 2FA را در هر کجا که می توانید فعال کنید.
اردک. بله.
این یک دارو * نیست، اما حداقل به این معنی است که رمزهای عبور به تنهایی کافی نیستند.
بنابراین میله را تا آخر بالا نمی برد، اما قطعا کار را برای کلاهبرداران آسان نمی کند.
دوغ. و من معتقدم که ما اخیراً این را گفته ایم: پس از یک حمله موفقیت آمیز منتظر تغییر اعتبارنامه یا تنظیم مجدد 2FA seed نباشید.
اردک. همانطور که قبلاً گفتیم، قانونی که می گوید: "شما باید رمز عبور خود را تغییر دهید - به خاطر تغییر، این کار را هر دو ماه یکبار انجام دهید بدون توجه به"…
ما با آن موافق نیستیم.
ما فقط فکر می کنیم که این باعث می شود همه به یک عادت بد عادت کنند.
اما اگر فکر میکنید ممکن است دلیل خوبی برای تغییر رمزهای عبورتان وجود داشته باشد، حتی اگر انجام این کار واقعاً دردناک باشد…
... اگر فکر می کنید ممکن است کمک کند، چرا به هر حال آن را انجام ندهید؟
اگر دلیلی برای شروع فرآیند تغییر دارید، پس فقط کل کار را انجام دهید.
به تأخیر نیندازید/این کار را امروز انجام دهید.
[بی سر و صدا] ببین من آنجا چه کار کردم، داگ؟
دوغ. کامل!
خوب، بیایید در ادامه مطلب بمانیم موضوع 2FA.
در هر دو اپ استور شاهد جهش اپلیکیشن های سرکش 2FA هستیم.
آیا این می تواند به دلیل kerfuffle توییتر 2FA یا دلیل دیگری باشد؟
مراقب برنامه های سرکش 2FA در اپ استور و گوگل پلی باشید – هک نشوید!
اردک. من نمی دانم که این به طور خاص به دلیل kerfuffle توییتر 2FA است، جایی که توییتر به هر دلیلی گفته است، "اوه، ما دیگر از احراز هویت دو مرحله ای SMS استفاده نمی کنیم، مگر اینکه شما پولی به ما پرداخت کنید."
و از آنجایی که اکثر مردم قرار نیست دارنده نشان آبی توییتر باشند، باید تغییر کنند.
بنابراین نمیدانم که این باعث افزایش برنامههای سرکش در App Store و Google Play شده است، اما مطمئناً توجه برخی از محققان را که دوستان خوبی به Naked Security هستند جلب کرد: @mysk_co، اگر می خواهید آنها را در توییتر پیدا کنید.
آنها فکر کردند، "شرط می بندم که بسیاری از مردم در حال حاضر به دنبال برنامه های احراز هویت 2FA هستند. نمی دانم اگر به اپ استور یا گوگل پلی بروید و فقط تایپ کنید چه اتفاقی می افتد برنامه احراز هویت؟ "
و اگر به مقاله امنیت برهنه با عنوان «برنامههای سرکش 2FA مراقب باشید» بروید، اسکرینشاتی را خواهید دید که آن محققان تهیه کردهاند.
این فقط ردیف به ردیف از یک ردیف به ردیف از احراز هویت یکسان است. [می خندد]
دوغ. [می خندد] همه آنها صدا شده اند Authenticator را، همه با قفل و سپر!
اردک. برخی از آنها قانونی هستند و برخی از آنها غیرقانونی هستند.
آزاردهنده وقتی رفتم - حتی بعد از اینکه این خبرها منتشر شد ... وقتی به اپ استور رفتم، بهترین برنامه ای که ظاهر شد، تا آنجا که من می توانم ببینم، یکی از این برنامه های سرکش بود.
و من واقعا تعجب کردم!
فکر کردم، "Cricey - این برنامه به نام یک شرکت تلفن همراه بسیار معروف چینی امضا شده است."
خوشبختانه، برنامه نسبتاً غیرحرفهای به نظر میرسید (کلمات بسیار بد بود)، بنابراین یک لحظه باور نکردم که واقعاً این شرکت تلفن همراه است.
اما من فکر کردم، "چطور آنها موفق شدند یک گواهی امضای رمز به نام یک شرکت قانونی دریافت کنند، در حالی که به وضوح هیچ مدرکی برای اثبات اینکه آنها آن شرکت هستند، نداشتند؟" (نامش را ذکر نمی کنم.)
سپس نام را با دقت خواندم... و در واقع یک اشتباه تایپی بود، داگ!
یکی از حروف وسط کلمه، چگونه می توانم بگویم، شکل و اندازه ای بسیار شبیه به حروف متعلق به شرکت واقعی داشت.
بنابراین، احتمالاً آزمایشهای خودکار را پشت سر گذاشته است.
با هیچ نام تجاری شناخته شده ای مطابقت نداشت که شخصی قبلاً گواهی امضای کد برای آن داشته باشد.
و حتی من مجبور شدم آن را دو بار بخوانم ... حتی اگر می دانستم که به یک برنامه سرکش نگاه می کنم، زیرا به من گفته شده بود که به آنجا بروم!
در Google Play نیز با اپلیکیشنی برخورد کردم که توسط همکارانی که این تحقیق را انجام دادند به من هشدار دادند…
... که فقط از شما نمی خواهد برای چیزی که می توانید به صورت رایگان در iOS یا مستقیماً از فروشگاه Play با نام Google به صورت رایگان دریافت کنید، 40 دلار در سال بپردازید.
همچنین پایههای اولیه حسابهای 2FA شما را دزدید و آنها را در حساب تحلیلی توسعهدهنده آپلود کرد.
چطور، داگ؟
پس این در بهترین حالت بی کفایتی شدید است.
و در بدترین حالت، کاملاً بدخواهانه است.
و با این حال، زمانی که محققان به جستجوی فروشگاه Play رفتند، نتیجه برتر بود، احتمالاً به این دلیل که کمی از عشق تبلیغاتی روی آن پاشیدند.
به یاد داشته باشید، اگر کسی آن دانه شروع را دریافت کند، آن چیز جادویی که در کد QR وجود دارد، هنگام راهاندازی 2FA مبتنی بر برنامه…
... آنها می توانند کد مناسب را برای شما، برای هر پنجره ورود 30 ثانیه ای در آینده، برای همیشه و همیشه، داگ، تولید کنند.
به همین سادگی.
آن راز مشترک *به معنای واقعی کلمه* کلید تمام کدهای یکبار مصرف آینده شماست.
دوغ. و ما یک نظر خواننده در مورد این داستان سرکش 2FA داریم.
Naked Security reader LR، در بخشی از نظرات:
من توییتر و فیسبوک را قدیم رها کردم.
از آنجایی که من از آنها استفاده نمی کنم، آیا باید نگران وضعیت دو عاملی باشم؟
اردک. بله، این یک سوال جذاب است، و پاسخ، طبق معمول، "بستگی دارد."
مطمئناً اگر از توییتر استفاده نمی کنید، هنوز هم می توانید هنگام نصب یک برنامه 2FA انتخاب بدی داشته باشید…
... و ممکن است بیشتر تمایل داشته باشید که بروید و یکی را تهیه کنید، اکنون 2FA به دلیل داستان توییتر در اخبار منتشر شده است، تا هفته ها، ماه ها یا سال ها پیش.
و اگر *میخواهید بروید و 2FA را انتخاب کنید، فقط مطمئن شوید که تا آنجا که میتوانید با خیال راحت این کار را انجام دهید.
فقط نروید و جستجو کنید و برنامهای که به نظر واضحترین برنامه به نظر میرسد را دانلود نکنید، زیرا در اینجا شواهد قوی وجود دارد که نشان میدهد میتوانید خود را بسیار در معرض خطر قرار دهید.
حتی اگر در اپ استور یا گوگل پلی هستید، و برخی از برنامه های ساخته شده را که از جای دیگری تهیه کرده اید، اضافه نمی کنید!
بنابراین، اگر از 2FA مبتنی بر پیامک استفاده میکنید، اما توییتر ندارید، دیگر نیازی به تغییر آن ندارید.
با این حال، اگر تصمیم به انجام این کار دارید، مطمئن شوید که برنامه خود را عاقلانه انتخاب کرده اید.
دوغ. بسیار خوب، توصیه بسیار خوبی است، و بسیار متشکرم، LR، برای ارسال آن.
اگر داستان، نظر یا سوال جالبی دارید که میخواهید ارسال کنید، مایلیم آن را در پادکست بخوانید.
میتوانید به tips@sophos.com ایمیل بزنید، میتوانید با مهربانی در مورد هر یک از مقالههای ما نظر دهید، یا میتوانید در شبکههای اجتماعی به ما مراجعه کنید: @nakedsecurity.
این برنامه امروز ماست - خیلی ممنون که گوش دادید.
برای پل داکلین، من داگ آموت هستم، تا دفعه بعد به شما یادآوری می کنم که…
هر دو. ایمن بمان
[مودم موزیکال]
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- پلاتوبلاک چین. Web3 Metaverse Intelligence. دانش تقویت شده دسترسی به اینجا.
- منبع: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2F به
- a
- قادر
- درباره ما
- دسترسی
- حساب
- حساب ها
- در میان
- فعالیت
- واقعا
- Ad
- نصیحت
- وابسته
- پس از
- در برابر
- قرون
- هدف
- هوشیار
- معرفی
- ادعا شده است
- ادعا شده
- اجازه دادن
- تنها
- قبلا
- بسيار خوب
- همیشه
- آمازون
- در میان
- مقدار
- علم تجزیه و تحلیل
- و
- پاسخ
- هر جا
- نرم افزار
- فروشگاه نرم افزار
- فروشگاه های برنامه
- ظاهر شدن
- اپل
- برنامه های
- محدوده
- دور و بر
- بازداشت
- مقاله
- مقالات
- وابسته
- حمله
- حمله
- توجه
- سمعی
- تصدیق
- نویسنده
- خودکار
- در دسترس
- اجتناب از
- به عقب
- بد
- بدی
- بار
- اساسی
- اساسا
- خرس
- زیرا
- قبل از
- بودن
- باور
- در زیر
- بهترین
- شرط
- میان
- لایحه
- بیل گیتس
- یکنوع بازی شبیه لوتو
- تولد
- بیت
- تهدید
- بلاگ
- وبلاگ ها
- آبی
- نشان آبی
- تخته
- جسور
- جایزه
- پایین
- نام تجاری
- شکاف
- بنا
- ساخته
- کسب و کار
- کالیفرنیا
- نام
- کمپین بین المللی حقوق بشر
- می توانید دریافت کنید
- کارت
- کارت ها
- مورد
- موارد
- ایجاد می شود
- قطعا
- گواهی نامه
- زنجیر
- به چالش
- تغییر دادن
- بار
- چینی
- را انتخاب کنید
- ادعا
- به وضوح
- نزدیک
- باشگاه
- رمز
- کد
- COM
- بیا
- توضیح
- نظرات
- انجمن
- شرکت
- شرکت
- کامپیوتر
- علاقمند
- زمینه
- ادامه دادن
- معمولی
- پلیس
- گوشه
- شرکت
- میتوانست
- کوپن
- دوره
- ترک خورده
- ایجاد
- ایجاد شده
- مجوزها و اعتبارات
- اعتبار
- کارت اعتباری
- جنایات
- Crooks
- فنجان
- اخاذی سایبری
- داده ها
- تاریخ
- رمزگشایی کنید
- قطعا
- خوشحالم
- خواسته
- بستگی دارد
- توسعه دهندگان
- DID
- مشکل
- مستقیما
- مدیر
- بحث در مورد
- توزیع کردن
- مستندات
- نمی کند
- آیا
- پایین
- دانلود
- نمایشی
- قطره
- در اوایل
- به دست آورده
- زمین
- آسان تر
- به آسانی
- به طور موثر
- پست الکترونیک
- کافی
- علاقه مندان
- کارآفرینی
- بیماری همه گیر
- اساسا
- یورو
- حتی
- تا کنون
- هر
- همه چیز
- مدرک
- بهره برداری
- اخاذی
- اضافی
- مفرط
- چشم
- فیس بوک
- سقوط
- بسیار
- روش
- ترس
- فوریه
- کمی از
- شکل گرفت
- فایل ها
- پر کردن
- پیدا کردن
- نام خانوادگی
- برای همیشه
- یافت
- رایگان
- فرانسوی
- دوستان
- از جانب
- کامل
- بیشتر
- آینده
- گیتس
- جمع آوری
- تولید می کنند
- دریافت کنید
- گرفتن
- غول
- هدیه
- دادن
- دادن
- Go
- رفتن
- خوب
- گوگل
- گوگل بازی
- گوگل
- گرفتن
- بزرگ
- هک
- آویزان کردن
- اتفاق افتاده است
- اتفاق می افتد
- خوشحال
- سخت افزار
- مضر
- دانشگاه هاروارد
- داشتن
- سر
- عنوان
- شنیدن
- شنیده
- کمک
- اینجا کلیک نمایید
- تاریخ
- اصابت
- دارندگان
- صفحه اصلی
- میزبانی
- چگونه
- اما
- HTML
- HTTPS
- من می خواهم
- in
- حادثه
- پاسخ حادثه
- شیب دار
- از جمله
- بی کفایتی
- اطلاعات
- بینش
- نصب
- نصب کردن
- در عوض
- علاقه مند
- جالب
- IOS
- IT
- اصطلاحات مخصوص یک صنف
- جاوا اسکریپت
- کار
- شغل ها
- قاضی
- نگاه داشتن
- کلید
- نوع
- دانستن
- شناخته شده
- نام
- برنامه LastPass
- نشت
- یاد گرفتن
- ترک کردن
- رهبری
- Legit
- لینک ها
- استماع
- کوچک
- بار
- راهرو
- قفل شده
- نگاه کنيد
- نگاه
- به دنبال
- مطالب
- خیلی
- عشق
- ساخته
- شعبده بازي
- اکثریت
- ساخت
- ساخت
- نرم افزارهای مخرب
- مدیریت
- مدیر
- بسیاری
- مارس
- مسابقه
- ماده
- به معنی
- در ضمن
- نشست
- مکزیک
- متوسط
- قدرت
- ذهن
- موبایل
- تلفن همراه
- حالت
- لحظه
- پول
- ماه
- بیش
- اکثر
- حرکت
- موسیقی
- موسیقی
- امنیت برهنه
- پادکست امنیتی برهنه
- نام
- از جمله
- لزوما
- نیاز
- هلند
- شبکه
- جدید
- اخبار
- بعد
- عدد
- واضح
- دفتر
- قدیمی
- ONE
- آنلاین
- باز
- سفارش
- دیگر
- خود
- بسته
- بسته
- پرداخت
- درد
- اکسیر
- پارک
- بخش
- ویژه
- گذشت
- کلمه عبور
- کلمه عبور
- گذشته
- وصله
- پچ کردن
- پل
- پرداخت
- پرداخت
- PC
- مردم
- شاید
- متقاعد شد
- از پا افتادن
- تلفن
- انتخاب کنید
- محل
- برنامه
- افلاطون
- هوش داده افلاطون
- PlatoData
- بازی
- بازی فروشگاه
- بازیکن
- پادکست
- پــادکـست
- پلیس
- پست ها
- آماده شده
- زیبا
- نخستین
- شاید
- مشکل
- روند
- ویژگی
- ثابت كردن
- مشت
- قرار دادن
- کد QR
- سوال
- ملایم
- بالا بردن
- باجافزار
- خواندن
- خواننده
- واقعی
- دلیل
- دلایل
- تازه
- برداشتن
- تکرار
- گزارش
- محققان
- پاسخ
- REST
- نتیجه
- درامد
- خطر
- ROW
- RSS
- خراب کردن
- قانون
- دویدن
- در حال اجرا
- امن
- با خیال راحت
- سعید
- دلیل
- همان
- می گوید:
- جستجو
- راز
- امن
- تیم امنیت لاتاری
- دانه
- دانه
- مشاهده
- به نظر می رسید
- به نظر می رسد
- می بیند
- بخش
- در حال ارسال
- سلسله
- سرویس
- تنظیم
- شکل
- به اشتراک گذاشته شده
- تاقچه
- کوتاه
- نشان
- ساید بای ساید
- امضاء شده
- امضای
- سکوت
- مشابه
- ساده
- پس از
- سایت
- سایت
- وضعیت
- اندازه
- SMS
- دزدکی حرکت کردن
- So
- آگاهی
- نرم افزار
- برخی از
- کسی
- چیزی
- یک جایی
- منبع
- کد منبع
- صحبت کردن
- به طور خاص
- سنبله
- Spotify
- صحنه
- ایستادن
- شروع
- آغاز شده
- راه افتادن
- ماندن
- گام
- استیو
- استیو ووزنیاک (Steve Wozniak)
- هنوز
- دزدیده شد
- به سرقت رفته
- opbevare
- پرده
- داستان
- ساده
- قوی
- ارسال
- موفق
- خورشید
- افزایش
- گزینه
- سیستم
- چای
- فن آوری
- پیشرفته
- تست
- La
- آینده
- هلند
- سرقت
- شان
- خودشان
- از این رو
- چیز
- اشیاء
- فکر کردن
- فکر
- هزاران نفر
- سه
- از طریق
- زمان
- بار
- به
- امروز
- با هم
- فردا
- بالا
- درست
- اعتماد
- مورد اعتماد
- توییتر
- زیر
- باز
- آپلود شده
- URL
- us
- استفاده کنید
- کاربران
- طاق
- قربانی
- قربانیان
- تصویری
- آسیب پذیری
- صبر کنيد
- هشدار
- وب
- هفته
- هفته
- چی
- که
- در حین
- WHO
- اراده
- خرد
- کلمه
- متن
- وردپرس
- کلمات
- مهاجرت کاری
- کار کردن
- با این نسخهها کار
- بدترین
- خواهد بود
- X
- سال
- سال
- جوان
- شما
- خودت
- زفیرنت