एक बदमाशों की गैलरी
दुष्ट सॉफ्टवेयर का संकुल। दुष्ट "सिसडमिन्स"। दुष्ट कीलॉगर दुष्ट प्रमाणक।
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
डग आमोथ और पॉल डकलिन के साथ। इंट्रो और आउट्रो म्यूजिक by एडिथ मुडगे.
आप हमें इस पर सुन सकते हैं Soundcloud, ऐप्पल पॉडकास्ट्स, Google पॉडकास्ट, Spotify, सीनेवाली मशीन और कहीं भी अच्छे पॉडकास्ट मिल जाते हैं। या बस छोड़ दें हमारे आरएसएस फ़ीड का यूआरएल अपने पसंदीदा पॉडकैचर में।
प्रतिलेख पढ़ें
डौग स्कैमबाइटिंग, दुष्ट 2FA ऐप्स, और हमने LastPass के बारे में नहीं सुना है।
वह सब, और बहुत कुछ, नग्न सुरक्षा पॉडकास्ट पर।
[संगीत मोडेम]
पॉडकास्ट में आपका स्वागत है, सब लोग।
मैं डौग आमोत हूँ; वह पॉल डकलिन है।
पॉल, आज आप कैसे हैं?
बत्तख। मिर्च, डौग।
जाहिर है, मार्च फरवरी की तुलना में अधिक ठंडा होने वाला है।
डौग हमारे यहां भी वही समस्या है, वही चुनौती है।
तो, झल्लाहट नहीं - मेरे पास एक बहुत दिलचस्प है टेक इतिहास में यह सप्ताह खंड।
इस हफ्ते, 05 मार्च 1975 को, होमब्रू कंप्यूटर क्लब की पहली सभा कैलिफोर्निया के मेनलो पार्क में हुई, जिसकी मेजबानी फ्रेड मूर और गॉर्डन फ्रेंच ने की।
पहली बैठक में लगभग 30 प्रौद्योगिकी उत्साही लोगों ने अल्टेयर पर चर्चा की।
और लगभग एक साल बाद, 01 मार्च 1976 को, स्टीव वोज्नियाक अपने द्वारा बनाए गए सर्किट बोर्ड के साथ बैठक में आए, जिसका उद्देश्य योजनाओं को दूर करना था।
स्टीव जॉब्स ने उनसे बात की और दोनों ने Apple शुरू किया।
और बाकी इतिहास है, पॉल।
बत्तख। खैर, यह निश्चित रूप से इतिहास है, डौग!
अल्टेयर, एह?
वाह!
वह कंप्यूटर जिसने बिल गेट्स को हार्वर्ड छोड़ने के लिए राजी किया।
और सच्चे उद्यमी फैशन में, पॉल एलेन और मोंटी डेविडऑफ़ के साथ - मुझे लगता है कि वह तिकड़ी थी जिसने अल्टेयर बेसिक लिखा था - न्यू मैक्सिको के लिए रवाना हुआ।
जाओ और अल्बुकर्क में हार्डवेयर विक्रेता की संपत्ति पर काम करो!
डौग शायद कुछ ऐसा जो शायद इतिहास न बनने वाला हो...
…हम शो की शुरुआत एक अपरिष्कृत लेकिन दिलचस्प के साथ करेंगे स्कैमबेटिंग अभियान, पॉल।
थोक में स्कैमबेट लिंक बनाने के लिए एनपीएम जावास्क्रिप्ट पैकेज का दुरुपयोग किया गया
बत्तख। हां, मैंने इसे हेडलाइन के तहत नग्न सुरक्षा, डॉग पर लिखा था थोक में स्कैमबेट लिंक बनाने के लिए एनपीएम जावास्क्रिप्ट पैकेज का दुरुपयोग किया गया (यह उस समय की तुलना में कहने के लिए बहुत शब्द है जब मैंने इसे लिखा था) ...
… क्योंकि मुझे लगा कि यह उस तरह की वेब संपत्ति पर एक दिलचस्प कोण था जिसे हम सीधे और केवल तथाकथित आपूर्ति-श्रृंखला स्रोत कोड हमलों के साथ जोड़ते हैं।
और इस मामले में, बदमाशों ने सोचा, "अरे, हम जहरीला स्रोत कोड वितरित नहीं करना चाहते हैं। हम उस तरह की आपूर्ति-श्रृंखला हमले में नहीं हैं। हम जो खोज रहे हैं वह केवल लिंक की एक श्रृंखला है जिस पर लोग क्लिक कर सकते हैं जिससे कोई संदेह पैदा नहीं होगा।
इसलिए, यदि आप एक ऐसा वेब पेज चाहते हैं, जिस पर कोई जा सके, जिसमें डोडी साइटों के लिंक का भार हो ... जैसे "अपना मुफ्त अमेज़ॅन बोनस कोड यहां प्राप्त करें" और "अपना मुफ्त बिंगो स्पिन प्राप्त करें" - वास्तव में इनमें से हजारों थे ...
...क्यों न एनपीएम पैकेज मैनेजर जैसी साइट का चयन किया जाए, और ढेर सारे पैकेज तैयार किए जाएं?
तब आपको HTML सीखने की भी आवश्यकता नहीं है, डौग!
आप बस अच्छे पुराने मार्कडाउन का उपयोग कर सकते हैं, और वहां आपको अनिवार्य रूप से लिंक का एक अच्छा दिखने वाला, विश्वसनीय स्रोत मिल गया है, जिस पर आप क्लिक कर सकते हैं।
और वे लिंक जो वे उपयोग कर रहे थे, जहां तक मैं समझ सकता हूं, अनिवार्य रूप से संदिग्ध ब्लॉग साइटों, सामुदायिक साइटों, जो भी हो, पर चले गए, जिनमें अनियंत्रित या खराब मॉडरेट टिप्पणियां थीं, या जहां वे आसानी से खाते बनाने और फिर टिप्पणियां करने में सक्षम थे जिसमें लिंक थे।
तो वे मूल रूप से लिंक की एक श्रृंखला बना रहे हैं जो संदेह पैदा नहीं करेगा।
डौग तो, हमारे पास कुछ सलाह है: फ्रीबी लिंक पर क्लिक न करें, भले ही आपको लगता है कि आप रुचि रखते हैं या साज़िश करते हैं।
बत्तख। यह मेरी सलाह है, डौग।
हो सकता है कि कुछ मुफ्त कोड हों, या हो सकता है कि कुछ कूपन सामग्री हो जो मुझे मिल सके... शायद देखने में कोई बुराई नहीं है।
लेकिन अगर उसके साथ किसी प्रकार का संबद्ध विज्ञापन राजस्व है, जो रसोइये आपको किसी विशेष साइट पर फर्जी तरीके से लुभा कर बना रहे हैं?
इससे कोई फर्क नहीं पड़ता कि वे कितनी कम राशि बना रहे हैं, उन्हें मुफ्त में कुछ क्यों दें?
यह मेरी सलाह है।
हमेशा की तरह, "पंच से बचने का सबसे अच्छा तरीका नहीं है"।
डौग [हंसते हैं] और फिर हमारे पास: ऑनलाइन सर्वेक्षणों को न भरें, चाहे वे कितने भी हानिरहित क्यों न लगें।
बत्तख। हां, हमने कई बार नग्न सुरक्षा पर कहा है।
जैसा कि आप सभी जानते हैं, हो सकता है कि आप यहां अपना नाम दे रहे हों, अपना फोन नंबर वहां दे रहे हों, हो सकता है कि आप किसी मुफ्त उपहार के लिए अपनी जन्मतिथि किसी को दे रहे हों, और आप सोच रहे हों, "इसमें क्या बुराई है?"
लेकिन अगर वह सारी जानकारी वास्तव में एक बड़ी बाल्टी में समाप्त हो रही है, तो समय के साथ, बदमाश आपके बारे में अधिक से अधिक प्राप्त कर रहे हैं, कभी-कभी शायद डेटा भी शामिल है जिसे बदलना बहुत मुश्किल है।
आप कल एक नया क्रेडिट कार्ड प्राप्त कर सकते हैं, लेकिन नया जन्मदिन प्राप्त करना या घर बदलना काफी कठिन है!
डौग और अंतिम, लेकिन निश्चित रूप से कम से कम नहीं: ऐसे ब्लॉग या सामुदायिक साइट न चलाएँ जो असंयमित पोस्ट या टिप्पणियों की अनुमति देते हैं।
और अगर कोई कभी चलता है, मान लीजिए, एक वर्डप्रेस साइट, तो अनमॉडरेट टिप्पणियों की अनुमति देने का विचार आश्चर्यजनक नहीं है, क्योंकि उनमें से हजारों होंगे।
यह एक महामारी है।
बत्तख। यहां तक कि अगर आपके टिप्पणी सिस्टम पर स्वचालित एंटी-स्पैमिंग सेवा है, तो यह बहुत अच्छा काम करेगी...
...लेकिन अन्य सामान को ऐसा न होने दें और सोचें, "ओह, ठीक है, मैं वापस जाऊंगा और इसे हटा दूंगा, अगर मैं देखता हूं कि यह बाद में अस्पष्ट दिखता है," क्योंकि, जैसा कि आपने कहा, यह महामारी के अनुपात में है...
डौग यह पूर्णकालिक काम है, हाँ!
बत्तख। …और युगों से है।
डौग और आप यहां हमारे दो पसंदीदा मंत्रों में काम करने में सक्षम थे, मुझे यह देखकर खुशी हुई।
लेख के अंत में: क्लिक करने से पूर्व सोचें, तथा: यदि आशंका हो तो…
बत्तख। …इसे बाहर मत दो।
यह सच में इतना आसान है।
डौग कथित तौर पर तीन युवकों ने सामान देने की बात कही लाखों के साथ बंद कर दिया जबरन वसूली में :
डच पुलिस ने कथित तौर पर करोड़ों कमाने वाले तीन साइबर जबरन वसूली के संदिग्धों को गिरफ्तार किया
बत्तख। हां.
उनका नीदरलैंड्स में उन अपराधों के लिए भंडाफोड़ किया गया था, जिन पर आरोप है कि उन्होंने अपराध करना शुरू कर दिया था... मुझे लगता है कि यह दो साल पहले की बात है, डौग।
और वे अभी 18 साल, 21 साल और 21 साल के हैं।
इसलिए जब उन्होंने शुरुआत की तो वे काफी युवा थे।
और मुख्य संदिग्ध, जो 21 साल का है... पुलिस का आरोप है कि उसने लगभग ढाई मिलियन यूरो कमाए हैं।
एक नौजवान डौग के लिए यह बहुत पैसा है।
यह किसी के लिए बहुत पैसा है!
डौग मुझे नहीं पता कि आप 21 साल की उम्र में क्या बना रहे थे, लेकिन मैं इतना नहीं बना रहा था, करीब भी नहीं। [हंसते हुए]
बत्तख। शायद दो यूरो पचास घंटे? [हँसी]
ऐसा लगता है कि उनका काम करने का तरीका रैंसमवेयर के साथ खत्म होना नहीं था, बल्कि आपको रैंसमवेयर के *खतरे* से बचाना था क्योंकि वे पहले से ही अंदर थे।
तो वे आएंगे, वे सभी डेटा चोरी करेंगे, और फिर वास्तव में आपकी फ़ाइलों को एन्क्रिप्ट करने के लिए परेशान करने के बजाय, ऐसा लगता है जैसे वे क्या करेंगे, वे कहेंगे, "देखो, हमें मिल गया है आंकड़े; हम वापस आ सकते हैं और सब कुछ बर्बाद कर सकते हैं, या आप भुगतान कर सकते हैं।
और मांग कहीं €100,000 और €700,000 प्रति पीड़ित के बीच थी।
और अगर यह सच है कि उनमें से एक ने पिछले दो वर्षों में अपने साइबर अपराध से €2,500,000 कमाए हैं, तो आप कल्पना कर सकते हैं कि उन्होंने शायद कुछ पीड़ितों को भुगतान करने के लिए ब्लैकमेल किया, इस डर से कि क्या खुलासा हो सकता है ...
डौग हमने इधर-उधर कहा है, "हम न्याय नहीं करने जा रहे हैं, लेकिन हम लोगों से आग्रह करते हैं कि वे इस तरह के मामलों में या रैंसमवेयर जैसे मामलों में भुगतान न करें।"
और अच्छे कारण के लिए!
क्योंकि, इस मामले में, पुलिस ने नोट किया कि ब्लैकमेल का भुगतान करना हमेशा काम नहीं करता था।
उन्होंने कहा:
कई मामलों में, प्रभावित कंपनियों द्वारा भुगतान किए जाने के बाद भी चोरी किए गए डेटा को ऑनलाइन लीक कर दिया गया।
बत्तख। इसलिए। अगर आपने कभी सोचा, "मुझे आश्चर्य है कि क्या मैं उन लोगों पर भरोसा कर सकता हूं जो डेटा लीक नहीं करते हैं, या इसके लिए ऑनलाइन नहीं दिखाई देते हैं?" ...
…मुझे लगता है कि आपको वहां अपना जवाब मिल गया है!
और ध्यान रखें कि ऐसा नहीं हो सकता है कि ये विशेष बदमाश सिर्फ अति-नकली थे, और उन्होंने पैसे ले लिए और वैसे भी इसे लीक कर दिया।
हम नहीं जानते कि *वे* आवश्यक रूप से वे लोग थे जिन्होंने इसे लीक किया था।
हो सकता है कि वे खुद सुरक्षा को लेकर इतने खराब हों कि उन्होंने इसे चुरा लिया; उन्हें इसे कहीं रखना था; और जब वे बातचीत कर रहे थे, आपको बता रहे थे, "हम डेटा हटा देंगे"...
…हम सभी जानते हैं कि इस दौरान कोई और इसे चुरा सकता था।
और यह हमेशा एक जोखिम होता है, इसलिए चुप्पी के लिए भुगतान करना शायद ही कभी अच्छा काम करता है।
डौग और हमने इस तरह के अधिक से अधिक हमले देखे हैं जहां रैंसमवेयर वास्तव में थोड़ा अधिक सीधा दिखता है: “डिक्रिप्शन कुंजी के लिए मुझे भुगतान करें; आप मुझे भुगतान कीजिए; मैं तुम्हें यह दूँगा; आप अपनी फ़ाइलें अनलॉक कर सकते हैं।”
खैर, अब वे अंदर जा रहे हैं और कह रहे हैं, "हम कुछ भी लॉक नहीं करने जा रहे हैं, या हम इसे लॉक करने जा रहे हैं, लेकिन अगर आप भुगतान नहीं करते हैं तो हम इसे ऑनलाइन लीक करने जा रहे हैं ..."
बत्तख। हाँ, यह जबरन वसूली के तीन प्रकार है, है ना?
वहाँ है, "हमने आपकी फ़ाइलों को बंद कर दिया है, पैसे का भुगतान करें या आपका व्यवसाय पटरी से उतर जाएगा।"
वहाँ है, “हमने आपकी फ़ाइलें चुरा लीं। भुगतान करें या हम उन्हें लीक कर देंगे, और फिर हम वापस आ सकते हैं और वैसे भी आपको फिरौती दे सकते हैं।
और ऐसा दोहरा आधार है कि कुछ बदमाश पसंद करते हैं, जहां वे आपका डेटा चुराते हैं *और* वे फाइलों को खंगालते हैं, और वे कहते हैं, "आप अपनी फाइलों को डिक्रिप्ट करने के लिए भुगतान कर सकते हैं, और कोई अतिरिक्त शुल्क नहीं, डौग, हम मैं डेटा भी हटा दूंगा!"
तो, क्या आप उन पर भरोसा कर सकते हैं?
खैर, ये रहा आपका जवाब...
शायद नहीं!
डौग ठीक है, आगे बढ़ें और उसके बारे में पढ़ें।
उस लेख के निचले भाग में और अंतर्दृष्टि और संदर्भ है ... पॉल, आपने एक किया साक्षात्कार हमारे अपने पीटर मैकेंज़ी के साथ, जो यहाँ सोफोस में इंसीडेंट रिस्पांस के निदेशक हैं। (भरा हुआ प्रतिलिपि उपलब्ध।)
नीचे कोई ऑडियो प्लेयर नहीं है? सुनना सीधे साउंडक्लाउड पर।
और, जैसा कि हम हमेशा इस तरह के मामलों में कहते हैं, यदि आप इससे प्रभावित होते हैं, तो पुलिस को गतिविधि की रिपोर्ट करें ताकि उनके मामले को एक साथ रखने के लिए उनके पास अधिक से अधिक जानकारी हो सके।
मुझे यह बताते हुए खुशी हो रही है कि हमने कहा कि हम इस पर नजर रखेंगे; हमने किया; और हमारे पास एक है लास्टपास अपडेट:
लास्टपास: होम पीसी पर कीलॉगर ने कॉर्पोरेट पासवर्ड वॉल्ट को क्रैक किया
बत्तख। हमारे पास वास्तव में है, डौग!
यह इंगित कर रहा है कि कैसे उनके कॉर्पोरेट पासवर्ड के उल्लंघन ने हमले को एक "छोटी चीज" होने से जाने दिया, जहां उन्हें कुछ अधिक नाटकीय रूप से स्रोत कोड मिला।
ऐसा लगता है कि लास्टपास ने यह पता लगा लिया है कि वास्तव में यह कैसे हुआ ... और इस रिपोर्ट में प्रभावी रूप से, यदि ज्ञान के शब्द नहीं हैं, तो कम से कम चेतावनी के शब्द हैं।
और इस बारे में मैंने जो लेख लिखा था, उसमें मैंने दोहराया था, हमने उस पर क्या कहा था पिछले हफ्ते का पॉडकास्ट प्रोमो वीडियो, डौग, अर्थात्:
"हमला जितना सरल था, यह एक साहसिक कंपनी होगी जो दावा करेगी कि उनके उपयोगकर्ताओं में से कोई भी, कभी भी इस तरह की चीज़ों के लिए नहीं गिरेगा ..."
अभी सुनें - और जानें!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
- नग्न सुरक्षा (@NakedSecurity) फ़रवरी 24, 2023
अफसोस की बात है कि ऐसा लगता है कि डेवलपर्स में से एक, जिसके पास कॉरपोरेट पासवर्ड वॉल्ट को अनलॉक करने के लिए अभी-अभी पासवर्ड हुआ था, मीडिया से संबंधित किसी तरह का सॉफ्टवेयर चला रहा था, जिसे उन्होंने पैच नहीं किया था।
और बदमाश इसके खिलाफ एक शोषण का उपयोग करने में सक्षम थे ... एक कीलॉगर स्थापित करने के लिए, डौग!
जिससे, ज़ाहिर है, उन्हें वह सुपर-सीक्रेट पासवर्ड मिला जिसने समीकरण के अगले चरण को खोल दिया।
यदि आपने कभी शब्द सुना है पार्श्व आंदोलन - यह एक शब्दजाल शब्द है जिसे आपने बहुत कुछ सुना होगा।
आपके पास पारंपरिक आपराधिकता के साथ समानता है ...
..इमारत की लॉबी में जाओ; थोड़ा सा लटकाओ; फिर सुरक्षा कार्यालय के एक कोने में घुस जाते हैं; छाया में प्रतीक्षा करें ताकि कोई आपको तब तक न देखे जब तक कि गार्ड जाकर चाय का कप न बना लें; फिर डेस्क के बगल में स्थित शेल्फ पर जाएं और उनमें से एक एक्सेस कार्ड लें; जो आपको बाथरूम के बगल में सुरक्षित क्षेत्र में ले जाता है; और वहां आपको तिजोरी की चाबी मिलेगी।
आप देखते हैं कि आप कितनी दूर जा सकते हैं, और फिर आप यह पता लगाते हैं कि आपको अगला कदम उठाने के लिए क्या चाहिए, या आप क्या करेंगे, और इसी तरह।
कीलॉगर से सावधान रहें, डौग! [हंसते हुए]
डौग हाँ!
बत्तख। अच्छा, पुराना स्कूल, गैर-रैंसमवेयर मैलवेयर [ए] जीवित और अच्छी तरह से है, और [बी] आपके व्यवसाय के लिए उतना ही हानिकारक हो सकता है।
डौग हाँ!
और हमें कुछ सलाह मिली है, बिल्कुल।
जल्दी पैच करें, अक्सर पैच करें, और हर जगह पैच करें।
बत्तख। हां.
LastPass बहुत विनम्र थे, और उन्होंने यह नहीं कहा, "यह XYZ सॉफ़्टवेयर था जिसमें भेद्यता थी।"
अगर उन्होंने कहा, "ओह, जो सॉफ्टवेयर हैक किया गया था वह एक्स था" ...
…फिर जिन लोगों के पास X नहीं था, वे जाते, “मैं ब्लू अलर्ट से नीचे खड़ा हो सकता हूं; मैं उस सॉफ़्टवेयर का उपयोग नहीं करता।"
वास्तव में, इसीलिए हम कहते हैं कि न केवल जल्दी पैच करें, अक्सर पैच करें... बल्कि पैच *हर जगह* करें।
केवल लास्टपास को प्रभावित करने वाले सॉफ़्टवेयर को पैच करना आपके नेटवर्क के लिए पर्याप्त नहीं होगा।
यह कुछ ऐसा होना चाहिए जो आप हर समय करते हैं।
डौग और फिर हमने यह पहले भी कहा है, और हम इसे तब तक कहते रहेंगे जब तक कि सूरज जल न जाए: आप जहां भी कर सकते हैं 2FA सक्षम करें।
बत्तख। हां.
यह *नहीं* रामबाण है, लेकिन कम से कम इसका मतलब है कि अकेले पासवर्ड पर्याप्त नहीं हैं।
तो यह बार को पूरी तरह से नहीं बढ़ाता है, लेकिन यह निश्चित रूप से बदमाशों के लिए आसान नहीं बनाता है।
डौग और मुझे विश्वास है कि हमने हाल ही में यह कहा है: एक सफल हमले के बाद क्रेडेंशियल्स बदलने या 2FA बीजों को रीसेट करने की प्रतीक्षा न करें।
बत्तख। जैसा कि हमने पहले कहा है, एक नियम जो कहता है, "आपको अपना पासवर्ड बदलना होगा - बदलाव के लिए बदलाव करें, चाहे इसे हर दो महीने में करें"...
...हम इससे सहमत नहीं हैं।
हम बस यही सोचते हैं कि हर किसी को एक बुरी आदत की आदत पड़ रही है।
लेकिन अगर आपको लगता है कि अपना पासवर्ड बदलने का एक अच्छा कारण हो सकता है, भले ही ऐसा करना गर्दन में वास्तविक दर्द हो ...
…अगर आपको लगता है कि यह मदद कर सकता है, तो फिर भी इसे क्यों न करें?
यदि आपके पास बदलाव की प्रक्रिया शुरू करने का कोई कारण है, तो बस पूरी बात पर गौर करें।
देर न करें/आज ही करें।
[चुपचाप] देखिए मैंने वहां क्या किया, डॉग?
डौग बिल्कुल सही!
ठीक है, पर बने रहते हैं 2FA का विषय.
हम दोनों ऐप स्टोर में दुष्ट 2FA ऐप्स में स्पाइक देख रहे हैं।
क्या यह Twitter 2FA kerfuffle, या किसी अन्य कारण से हो सकता है?
ऐप स्टोर और Google Play में दुष्ट 2FA ऐप्स से सावधान रहें - हैक न हों!
बत्तख। मुझे नहीं पता कि यह विशेष रूप से Twitter 2FA kerfuffle के कारण है, जहाँ Twitter ने कहा है, उनके पास जो भी कारण हों, “ऊह, हम अब SMS दो-कारक प्रमाणीकरण का उपयोग नहीं करने जा रहे हैं, जब तक कि आप हमें पैसे नहीं देते हैं।!
और चूंकि अधिकांश लोग ट्विटर ब्लू बैज धारक नहीं होने जा रहे हैं, उन्हें स्विच करना होगा।
इसलिए मुझे नहीं पता कि इसकी वजह से ऐप स्टोर और Google Play में दुष्ट ऐप्स में उछाल आया है, लेकिन इसने निश्चित रूप से कुछ शोधकर्ताओं का ध्यान आकर्षित किया जो नग्न सुरक्षा के अच्छे दोस्त हैं: @mysk_co, अगर आप उन्हें ट्विटर पर ढूंढना चाहते हैं।
उन्होंने सोचा, "मुझे यकीन है कि बहुत से लोग वास्तव में अभी 2FA प्रमाणक ऐप्स की तलाश कर रहे हैं। मुझे आश्चर्य है कि अगर आप ऐप स्टोर या Google Play पर जाते हैं और बस टाइप करते हैं तो क्या होता है प्रमाणक ऐप"?
और अगर आप नग्न सुरक्षा पर लेख पर जाते हैं, जिसका शीर्षक है "दुष्ट 2FA ऐप्स से सावधान रहें", तो आपको उन शोधकर्ताओं द्वारा तैयार किया गया एक स्क्रीनशॉट दिखाई देगा।
यह समान रूप से दिखने वाले प्रमाणीकरणकर्ताओं की पंक्ति के बाद पंक्ति है। [हंसते हुए]
डौग [हंसते हैं] वे सभी बुलाए गए हैं प्रमाणक, सभी एक ताला और एक ढाल के साथ!
बत्तख। उनमें से कुछ वैध हैं, और उनमें से कुछ नहीं हैं।
झुंझलाहट। जब मैं गया - इसके बाद भी यह खबरों में आ गया था ... जब मैं ऐप स्टोर में गया, तो जो शीर्ष ऐप आया, जहाँ तक मैं देख सकता था, इनमें से एक दुष्ट ऐप था।
और मैं सचमुच हैरान था!
मैंने सोचा, "क्राइकी - यह ऐप एक बहुत प्रसिद्ध चीनी मोबाइल फोन कंपनी के नाम से हस्ताक्षरित है।"
सौभाग्य से, ऐप बल्कि अव्यवसायिक लग रहा था (शब्द बहुत खराब था), इसलिए मुझे एक पल के लिए विश्वास नहीं हुआ कि यह वास्तव में यह मोबाइल फोन कंपनी थी।
लेकिन मैंने सोचा, "पृथ्वी पर उन्होंने एक वैध कंपनी के नाम पर एक कोड-हस्ताक्षर प्रमाणपत्र कैसे प्राप्त किया, जब स्पष्ट रूप से उनके पास यह साबित करने के लिए कोई दस्तावेज नहीं था कि वे ही कंपनी थे?" (मैं इसका नाम नहीं लूंगा।)
फिर मैंने नाम को बहुत ध्यान से पढ़ा... और वास्तव में, यह एक टाइपोस्क्वाट था, डौग!
शब्द के बीच के अक्षरों में से एक, मैं कैसे कह सकता हूं, वास्तविक कंपनी से संबंधित एक बहुत ही समान आकार और आकार का था।
और इसलिए, संभवतः, इसने स्वचालित परीक्षण पास कर लिया था।
यह किसी ऐसे ज्ञात ब्रांड नाम से मेल नहीं खाता था जिसके लिए किसी के पास पहले से कोड हस्ताक्षर प्रमाणपत्र था।
और यहां तक कि मुझे इसे दो बार पढ़ना पड़ा... हालांकि मुझे पता था कि मैं एक दुष्ट ऐप देख रहा था, क्योंकि मुझे वहां जाने के लिए कहा गया था!
Google Play पर, मुझे एक ऐसा ऐप भी मिला जिसके बारे में मुझे उन लोगों ने सतर्क किया जिन्होंने यह शोध किया था...
...जो एक ऐसा है जो आपको आईओएस में निर्मित मुफ्त में, या सीधे Google के नाम के साथ Play Store से मुफ्त में प्राप्त होने वाली किसी चीज़ के लिए $40 का भुगतान करने के लिए नहीं कहता है।
इसने आपके 2FA खातों के शुरुआती बीजों को भी चुरा लिया और उन्हें डेवलपर के एनालिटिक्स खाते में अपलोड कर दिया।
उसके बारे में कैसे, डौग?
तो यह चरम अक्षमता है।
और, सबसे बुरी स्थिति में, यह बिल्कुल पूरी तरह से द्वेषपूर्ण है।
और फिर भी, यह वहाँ था ... शीर्ष परिणाम जब शोधकर्ता प्ले स्टोर में देखने गए, संभवतः इसलिए क्योंकि उन्होंने उस पर थोड़ा सा विज्ञापन प्यार छिड़का।
याद रखें, अगर किसी को वह शुरुआती बीज मिलता है, तो वह जादुई चीज जो क्यूआर कोड में होती है जब आप ऐप-आधारित 2FA सेट करते हैं ...
…वे आपके लिए, भविष्य में किसी भी 30-सेकंड की लॉगिन विंडो के लिए, हमेशा-हमेशा के लिए सही कोड उत्पन्न कर सकते हैं, डॉग।
यह इतना सरल है।
वह साझा रहस्य *सचमुच* आपके सभी भविष्य के एक बार के कोड की कुंजी है।
डौग और हमें इस दुष्ट 2FA कहानी पर एक पाठक की टिप्पणी मिली है।
नग्न सुरक्षा पाठक एलआर टिप्पणियां, आंशिक रूप से:
मैंने युगों पहले ट्विटर और फेसबुक को छोड़ दिया था।
चूँकि मैं उनका उपयोग नहीं कर रहा हूँ, क्या मुझे दो-कारक स्थिति के बारे में चिंतित होने की आवश्यकता है?
बत्तख। हां, यह एक पेचीदा सवाल है, और हमेशा की तरह इसका जवाब है, "यह निर्भर करता है।"
निश्चित रूप से यदि आप ट्विटर का उपयोग नहीं कर रहे हैं, तब भी आप 2FA ऐप इंस्टॉल करने के मामले में गलत विकल्प चुन सकते हैं...
…और हो सकता है कि आप जाने और एक प्राप्त करने के इच्छुक हों, अब 2FA ट्विटर की कहानी के कारण चर्चा में रहा है, आपके पास हफ्तों, महीनों या वर्षों पहले की तुलना में।
और अगर आप *जाने जा रहे हैं और 2FA का चुनाव करने जा रहे हैं, तो सुनिश्चित करें कि आप इसे यथासंभव सुरक्षित रूप से करें।
बस जाकर खोज न करें, और जो सबसे स्पष्ट ऐप जैसा लगता है उसे डाउनलोड करें, क्योंकि यहां इस बात के पुख्ता सबूत हैं कि आप खुद को बहुत नुकसान पहुंचा सकते हैं।
भले ही आप ऐप स्टोर या Google Play पर हों, और किसी ऐसे बनाए गए ऐप को साइडलोड नहीं कर रहे हों जो आपको कहीं और से मिला हो!
इसलिए, यदि आप एसएमएस-आधारित 2FA का उपयोग कर रहे हैं, लेकिन आपके पास ट्विटर नहीं है, तो आपको इससे दूर जाने की आवश्यकता नहीं है।
हालांकि, यदि आप ऐसा करना चुनते हैं, तो सुनिश्चित करें कि आपने अपना ऐप बुद्धिमानी से चुना है।
डौग ठीक है, बढ़िया सलाह, और बहुत-बहुत धन्यवाद, LR, इसे भेजने के लिए।
यदि आपके पास कोई दिलचस्प कहानी, टिप्पणी या प्रश्न है जिसे आप सबमिट करना चाहते हैं, तो हमें इसे पॉडकास्ट पर पढ़ना अच्छा लगेगा।
आप tips@sophos.com पर ईमेल कर सकते हैं, आप हमारे किसी भी लेख पर टिप्पणी कर सकते हैं, या आप हमें सोशल: @nakedsecurity पर संपर्क कर सकते हैं।
आज के लिए यही हमारा शो है - सुनने के लिए बहुत-बहुत धन्यवाद।
पॉल डकलिन के लिए, मैं डौग आमोथ हूं, आपको अगली बार तक याद दिला रहा हूं ...
दोनों को। सुरक्षित रहें!
[संगीत मोडेम]
- एसईओ संचालित सामग्री और पीआर वितरण। आज ही प्रवर्धित हो जाओ।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। यहां पहुंचें।
- स्रोत: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2FA
- a
- योग्य
- About
- पहुँच
- लेखा
- अकौन्टस(लेखा)
- के पार
- गतिविधि
- वास्तव में
- Ad
- सलाह
- सम्बद्ध
- बाद
- के खिलाफ
- युग
- एमिंग
- चेतावनी
- सब
- ने आरोप लगाया
- कथित तौर पर
- की अनुमति दे
- अकेला
- पहले ही
- ठीक है
- हमेशा
- वीरांगना
- के बीच में
- राशि
- विश्लेषिकी
- और
- जवाब
- कहीं भी
- अनुप्रयोग
- app की दुकान
- ऐप स्टोर
- दिखाई देते हैं
- Apple
- क्षुधा
- क्षेत्र
- चारों ओर
- गिरफ्तारी
- लेख
- लेख
- सहयोगी
- आक्रमण
- आक्रमण
- ध्यान
- ऑडियो
- प्रमाणीकरण
- लेखक
- स्वचालित
- उपलब्ध
- से बचने
- वापस
- बुरा
- बुरी तरह
- बार
- बुनियादी
- मूल रूप से
- भालू
- क्योंकि
- से पहले
- जा रहा है
- मानना
- नीचे
- BEST
- शर्त
- के बीच
- बिल
- बिल गेट्स
- बिंगो
- जन्म
- बिट
- भयादोहन
- ब्लॉग
- ब्लॉग
- नीला
- नीला बिल्ला
- मंडल
- पिन
- बोनस
- तल
- ब्रांड
- भंग
- इमारत
- बनाया गया
- व्यापार
- कैलिफ़ोर्निया
- बुलाया
- अभियान
- पा सकते हैं
- कार्ड
- पत्ते
- मामला
- मामलों
- के कारण होता
- निश्चित रूप से
- प्रमाण पत्र
- श्रृंखला
- चुनौती
- परिवर्तन
- प्रभार
- चीनी
- चुनें
- दावा
- स्पष्ट रूप से
- समापन
- क्लब
- कोड
- संहिताओं
- COM
- कैसे
- टिप्पणी
- टिप्पणियाँ
- समुदाय
- कंपनियों
- कंपनी
- कंप्यूटर
- चिंतित
- प्रसंग
- जारी रखने के
- परम्परागत
- पुलिस
- कोना
- कॉर्पोरेट
- सका
- कूपन
- पाठ्यक्रम
- फटा
- बनाना
- बनाया
- साख
- श्रेय
- क्रेडिट कार्ड
- अपराध
- बदमाश
- कप
- साइबरएक्सटॉर्शन
- तिथि
- तारीख
- डिक्रिप्ट
- निश्चित रूप से
- प्रसन्न
- मांग
- निर्भर करता है
- डेवलपर्स
- डीआईडी
- मुश्किल
- सीधे
- निदेशक
- पर चर्चा
- बांटो
- दस्तावेज़ीकरण
- नहीं करता है
- dont
- नीचे
- डाउनलोड
- नाटकीय
- बूंद
- शीघ्र
- अर्जित
- पृथ्वी
- आसान
- आसानी
- प्रभावी रूप से
- ईमेल
- पर्याप्त
- उत्साही
- उद्यमी
- महामारी
- अनिवार्य
- यूरो
- और भी
- कभी
- प्रत्येक
- सब कुछ
- सबूत
- शोषण करना
- बलाद्ग्रहण
- अतिरिक्त
- चरम
- आंख
- फेसबुक
- गिरना
- दूर
- फैशन
- डर
- फरवरी
- कुछ
- लगा
- फ़ाइलें
- भरना
- खोज
- प्रथम
- सदा
- पाया
- मुक्त
- फ्रेंच
- मित्रों
- से
- पूर्ण
- आगे
- भविष्य
- गेट्स
- सभा
- उत्पन्न
- मिल
- मिल रहा
- विशाल
- उपहार
- देना
- देते
- Go
- जा
- अच्छा
- गूगल
- गूगल प्ले
- गूगल की
- पकड़ लेना
- महान
- hacked
- लटकना
- हुआ
- हो जाता
- खुश
- हार्डवेयर
- हानिकारक
- हावर्ड
- होने
- सिर
- शीर्षक
- सुनना
- सुना
- मदद
- यहाँ उत्पन्न करें
- इतिहास
- मारो
- धारकों
- होम
- मेजबानी
- कैसे
- तथापि
- एचटीएमएल
- HTTPS
- मैं करता हूँ
- in
- घटना
- घटना की प्रतिक्रिया
- झुका
- सहित
- अक्षमता
- करें-
- अन्तर्दृष्टि
- स्थापित
- स्थापित कर रहा है
- बजाय
- रुचि
- दिलचस्प
- iOS
- IT
- शब्दजाल
- जावास्क्रिप्ट
- काम
- नौकरियां
- न्यायाधीश
- रखना
- कुंजी
- बच्चा
- जानना
- जानने वाला
- पिछली बार
- LastPass
- रिसाव
- जानें
- छोड़ना
- नेतृत्व
- कानूनी
- लिंक
- सुनना
- थोड़ा
- भार
- लॉबी
- बंद
- देखिए
- देखा
- देख
- लग रहा है
- लॉट
- मोहब्बत
- बनाया गया
- जादू
- बहुमत
- बनाना
- निर्माण
- मैलवेयर
- प्रबंधन
- प्रबंधक
- बहुत
- मार्च
- मैच
- बात
- साधन
- इसी बीच
- बैठक
- मेक्सिको
- मध्यम
- हो सकता है
- मन
- मोबाइल
- मोबाइल फ़ोन
- ढंग
- पल
- धन
- महीने
- अधिक
- अधिकांश
- चाल
- संगीत
- संगीत
- नग्न सुरक्षा
- नग्न सुरक्षा पॉडकास्ट
- नाम
- यानी
- अनिवार्य रूप से
- आवश्यकता
- नीदरलैंड्स
- नेटवर्क
- नया
- समाचार
- अगला
- संख्या
- स्पष्ट
- Office
- पुराना
- ONE
- ऑनलाइन
- खोला
- आदेश
- अन्य
- अपना
- पैकेज
- संकुल
- प्रदत्त
- दर्द
- रामबाण
- पार्क
- भाग
- विशेष
- पारित कर दिया
- पासवर्ड
- पासवर्ड
- अतीत
- पैच
- पैच
- पॉल
- वेतन
- का भुगतान
- PC
- स्टाफ़
- शायद
- राजी
- पीटर
- फ़ोन
- चुनना
- जगह
- योजनाओं
- प्लेटो
- प्लेटो डेटा इंटेलिजेंस
- प्लेटोडाटा
- प्ले
- प्ले स्टोर
- खिलाड़ी
- पॉडकास्ट
- पॉडकास्ट
- पुलिस
- पोस्ट
- तैयार
- सुंदर
- मुख्य
- शायद
- मुसीबत
- प्रक्रिया
- संपत्ति
- साबित करना
- पंच
- रखना
- QR कोड
- प्रश्न
- चुपचाप
- उठाना
- Ransomware
- पढ़ना
- पाठक
- वास्तविक
- कारण
- कारण
- हाल ही में
- हटाना
- दोहराना
- रिपोर्ट
- शोधकर्ताओं
- प्रतिक्रिया
- बाकी
- परिणाम
- राजस्व
- जोखिम
- आरओडब्ल्यू
- आरएसएस
- नाश
- नियम
- रन
- दौड़ना
- सुरक्षित
- सुरक्षित
- कहा
- कारण
- वही
- कहते हैं
- Search
- गुप्त
- सुरक्षित
- सुरक्षा
- बीज
- बीज
- देखकर
- लग रहा था
- लगता है
- देखता है
- खंड
- भेजना
- कई
- सेवा
- सेट
- आकार
- साझा
- शेल्फ
- कम
- दिखाना
- साइड लोड किया जाना
- पर हस्ताक्षर किए
- पर हस्ताक्षर
- चुप्पी
- समान
- सरल
- के बाद से
- साइट
- साइटें
- स्थिति
- आकार
- एसएमएस
- उचक्का
- So
- सोशल मीडिया
- सॉफ्टवेयर
- कुछ
- कोई
- कुछ
- कहीं न कहीं
- स्रोत
- स्रोत कोड
- बोल रहा हूँ
- विशेष रूप से
- कील
- Spotify
- ट्रेनिंग
- स्टैंड
- प्रारंभ
- शुरू
- शुरुआत में
- रहना
- कदम
- स्टीव
- स्टीव वॉज़निक
- फिर भी
- चुरा लिया
- चुराया
- की दुकान
- भंडार
- कहानी
- सरल
- मजबूत
- प्रस्तुत
- सफल
- रवि
- रेला
- स्विच
- प्रणाली
- चाय
- तकनीक
- टेक्नोलॉजी
- परीक्षण
- RSI
- भविष्य
- नीदरलैंड
- चोरी
- लेकिन हाल ही
- अपने
- इसलिये
- बात
- चीज़ें
- सोचना
- विचार
- हजारों
- तीन
- यहाँ
- पहर
- बार
- सेवा मेरे
- आज
- एक साथ
- कल
- ऊपर का
- <strong>उद्देश्य</strong>
- ट्रस्ट
- विश्वस्त
- के अंतर्गत
- अनलॉक
- अपलोड की गई
- यूआरएल
- us
- उपयोग
- उपयोगकर्ताओं
- मेहराब
- शिकार
- शिकार
- वीडियो
- भेद्यता
- प्रतीक्षा
- चेतावनी
- वेब
- सप्ताह
- सप्ताह
- क्या
- कौन कौन से
- जब
- कौन
- मर्जी
- बुद्धिमत्ता
- शब्द
- शब्दों
- WordPress
- शब्द
- काम
- व्यायाम
- कार्य
- वर्स्ट
- होगा
- X
- वर्ष
- साल
- युवा
- आपका
- स्वयं
- जेफिरनेट