CSALÓK A SLAMMERBEN (ÉS MÁS TÖRTÉNETEK)
Doug Aamoth-tal és Paul Ducklinnal.
Intro és outro zene szerzője Edith Mudge.
Kattintson és húzza az alábbi hanghullámokat, hogy bármelyik pontra ugorjon. Te is hallgatni közvetlenül a Soundcloudon.
Tovább hallgathatsz minket Soundcloudon, Apple Podcastok, Google Podcastok, Spotify, Fűzőgép és bárhol, ahol jó podcastok találhatók. Vagy csak dobd le a RSS hírfolyamunk URL-je a kedvenc podcatcheredbe.
OLVASSA EL AZ ÍRÁST
DOUG. A Microsoft dupla nulladik napja, csalók börtöne és hamis telefonhívások.
Mindez, és még sok más, a Naked Security podcastban.
[ZENEI MODEM]
Üdvözlünk mindenkit a podcastban. Doug Aamoth vagyok.
Ő Paul Ducklin…
KACSA. Ez nagy öröm, Douglas.
DOUG. nekem van pár Tech History neked és ez visszafelé, úton, úton, visszafelé megy, és ez a számológépekhez kapcsolódik.
Ezen a héten, 7. október 1954-én az IBM bemutatta a maga nemében első, teljes tranzisztoros számológépét.
A IBM Electronic Calculating Punch1250 vákuumcsövét 2000 tranzisztorra cserélte, ami felére csökkentette a térfogatát, és mindössze 5%-kal kevesebb energiát fogyasztott.
KACSA. Wow!
Nem hallottam erről a 604-ről, ezért elmentem és megnéztem, de nem találtam képet.
Úgy tűnik, ez csak egy kísérleti modell volt, és néhány hónappal később kihozták a megvásárolhatót, a 608-ast, és 3000 tranzisztorra növelték.
De ne feledje, Doug, ez nem tranzisztor, mint az integrált áramkörökben [IC-k], mert még nem voltak IC-k.
Ahol egy szelep, egy termikus szelep (vagy egy „tob” [vákuumcső], ahogy ti nevezitek volna) lett volna, ott egy tranzisztor lett volna bekötve.
Tehát bár sokkal kisebb volt, mégis különálló alkatrészek.
Amikor a „számológépre” gondolok, a „zsebszámológépre” gondolok…
DOUG. Ó, nem, nem, nem!
KACSA. „Nem”, ahogy mondod…
… akkora, mint egy nagy hűtőszekrény!
És akkor egy nagyon nagy hűtőszekrény kell mellé, a fotón, amit láttam, és szerintem bevitelre való.
Aztán volt még néhány vezérlő áramkör, ami egy nagyon nagy láda-fagyasztónak nézett ki, a két nagyon nagy hűtőszekrény mellett.
Ezt nem vettem észre, de láthatóan Thomas Watson [az IBM vezérigazgatója] akkoriban ezt a rendeletet hozta az egész IBM számára: „Semmilyen új termék nem használhat szelepeket, vákuumcsöveket. Teljesen elfogadjuk, támogatjuk és csak tranzisztorokat használunk.”
És ezután minden így ment.
Tehát, bár ez a tranzisztoros forradalom élcsapata volt, úgy tűnik, hamarosan felváltották… csak körülbelül 18 hónapig volt a piacon.
DOUG. Nos, maradjunk a nagyon nagy dolgoknál, és tájékoztassuk hallgatóinkat erről a Microsoft Exchange dupla nulladik napról.
Lefedtük a minizód; lefedtük az oldalon… de valami újdonságot kell tudnunk?
KACSA. Nem igazán, Douglas.
Úgy tűnik, nem vette át az uralmat a kiberbiztonsági világban vagy a biztonsági műveletekben [SecOps], mint a ProxyShell és Log4Shell tette:
Gondolom ennek két oka van.
Először is, a sebezhetőség tényleges részletei még mindig titkosak.
Ismerik őket a vietnami cég, amely felfedezte, a ZeroDay Initiative [ZDI], ahol felelősségteljesen nyilvánosságra hozták, valamint a Microsoft.
És úgy tűnik, mindenki a kalapja alatt tartja.
Szóval, amennyire én tudom, nincs 250 bizonyíték a koncepcióról: „Próbálja ki most!” GitHub adattárak, ahol megteheti ezt magának.
Másodszor, hiteles hozzáférést igényel.
And my gut feeling is that all of the wannabe “cybersecurity researchers” (giant air quotes inserted here) who jumped on the bandwagon of running attacks across the internet with Proxyshell or Log4Shell, claiming that they were doing the world of service: “Hey, if your web service is vulnerable, I’ll find out, and I’ll tell you”…
…Azt gyanítom, hogy ezek közül sokan kétszer is meggondolják, hogy megpróbálják-e ugyanazt a támadást végrehajtani, amikor ténylegesen ki kell találniuk a jelszavakat.
Ez olyan, mintha egy nagyon fontos vonal másik oldala lenne a homokban, nem igaz?
DOUG. UH Huh.
KACSA. Ha van egy nyitott webszervere, amelyet kérések fogadására terveztek, az nagyon különbözik attól, hogy kérelmet küldene egy olyan szervernek, amelyről tudja, hogy nem kellene hozzáférnie, és olyan jelszót próbál megadni, amelyről tudja, hogy nem kellene. tudni, van-e értelme.
DOUG. Igen.
KACSA. Szóval a jó hír az, hogy úgy tűnik, nem használják ki széles körben…
…de még mindig nincs javítás.
És azt hiszem, amint megjelenik egy tapasz, gyorsan meg kell szereznie.
Ne késlekedjen, mert úgy gondolom, hogy lesz egy kis etetési őrület, amikor megpróbálják visszafordítani a javításokat, hogy kiderüljön, hogyan lehet ezt a dolgot megbízhatóan kihasználni.
Because, as far as we know, it does work pretty well – if you’ve got a password, then you can use the first exploit to open the door to the second exploit, which lets you run PowerShell on an Exchange server.
És ennek soha nem lehet jó vége.
Ma reggel megnéztem a Microsoft útmutató dokumentumát (a hét szerdáján rögzítjük), de nem láttam semmilyen információt a javításról, vagy arról, hogy mikor lesz elérhető.
Next Tuesday is Patch Tuesday, so maybe we’re going to be made to wait until then?
DOUG. Rendben, figyelni fogjuk, és kérjük, frissítse és javítsa, ha látja… ez fontos.
Visszakanyarodok a számológépünkhöz, és megadom a kis egyenlet.
Ez így hangzik: 2 év csalás + 10 millió dollár csalás = 25 év börtön:
KACSA. This is a criminal – we can now call him that because he’s not only been convicted, but sentenced – with a dramatic sounding name: Elvis Eghosa Ogiekpolor.
És néhány évvel ezelőtt egy kézműves kibergangot vezetett Atlantában, Georgia államban, az Egyesült Államokban.
Alig két év alatt megvendégelték, ha úgy tetszik, szerencsétlen cégeket, akik az úgynevezett Business Email Compromise [BEC] áldozatai lettek, és olyan szerencsétlen egyéneket, akiket romantikus csalásokra csábítottak… és 10 millió dollárt kerestek.
Elvis (csak így hívom)… ebben az esetben összeállított egy csapatot, akik csalással nyitott amerikai bankszámlák egész hálóját hoztak létre, ahol befizethette, majd kimoshatta a pénzt.
És nemcsak elítélték, hanem éppen most ítélték el.
A bíró nyilvánvalóan úgy döntött, hogy ennek a bűncselekménynek és az áldozattá válásnak a természete elég súlyos ahhoz, hogy 25 évet szövetségi börtönben töltsön.
DOUG. Nézzük az üzleti e-mail kompromisszumot.
Szerintem ez lenyűgöző – vagy valakinek az e-mail címét adja ki, vagy megszerezte a tényleges e-mail címét.
És ezzel, ha egyszer rákapsz valakit a horogra, egy csomó dolgot megtehetsz.
Felsorolja őket az itteni cikkben – gyorsan átnézem őket.
Megtudhatja, mikor esedékes a nagy befizetések…
KACSA. Valóban.
Nyilvánvaló, hogy ha kívülről küldesz levelet, és csak az e-mailek fejléceit hamisítod, és úgy teszel, mintha az e-mail a pénzügyi igazgatótól érkezne, akkor ki kell találnod, mit tud a pénzügyi igazgató.
De ha minden reggel korán be tud jelentkezni a pénzügyi igazgató e-mail fiókjába, mielőtt ők megtennének, akkor bepillanthat a folyamatban lévő nagy dolgokba, és jegyzeteket készíthet.
Így, amikor megszemélyesítjük őket, nemcsak olyan e-mailt küldünk, amely valójában a fiókjukból származik, hanem elképesztő mennyiségű bennfentes tudással teszi ezt.
DOUG. Aztán persze, amikor kapsz egy e-mailt, amelyben megkérsz egy tudatlan alkalmazottat, hogy utaljon át egy csomó pénzt ennek az eladónak, és azt mondják: "Ez tényleg?"…
…ha hozzáfért a tényleges e-mail rendszerhez, válaszolhat. „Persze, hogy valóságos. Nézze meg az e-mail címet – én vagyok, a pénzügyi igazgató.”
KACSA. És persze még ennél is többet mondhat: „Mellesleg, ez egy felvásárlás, ez egy olyan üzlet, amely ellopja a versenytársainkat. Tehát cég bizalmas. Ügyeljen arra, hogy ne mondja el senki másnak a társaságban."
DOUG. Igen – dupla csapás!
Mondhatod: „Én vagyok, ez igaz, de ez nagy dolog, ez titok, ne mondd el senki másnak. NEM AZ! Ne jelentse ezt gyanús üzenetként.”
Ezután beléphet az Elküldött mappába, és törölheti a hamis e-maileket, amelyeket a pénzügyi igazgató nevében küldött, így senki sem láthatja, hogy ott turkált.
And if you’re a “good” BEC scammer, you will go and dig around in the real employee’s former emails, and match the style of that user by copying and pasting common phrases that person has used.
KACSA. Természetesen, Doug.
I think we’ve spoken before, when we’ve talked about phishing emails… about readers who’ve reported, “Yes, I got at one like this, but I rumbled it immediately because the person used a greeting in their email that is just so out of character.”
Vagy volt néhány hangulatjel a feliratkozásban, például egy mosolygó arc [NEVETÉS], amit tudom, hogy ez a személy soha nem tenne meg.
Természetesen, ha csak másolja és illessze be a korábbi e-mailek szokásos bevezetőjét és végét, elkerülheti az ilyen jellegű problémákat.
És a másik dolog, Doug, hogy ha a valódi fiókból küldöd az e-mailt, akkor az megkapja az illető valódi, valódi e-mail aláírását, nem?
Amit a vállalati szerver ad hozzá, és pontosan úgy néz ki, mint amire számítasz.
DOUG. És akkor imádom ezt a leszállást…
…as a top notch criminal, not only are you going to rip the company off, you’re also going to go after *customers* of the company saying, “Hey, can you pay this invoice now, and send it to this new bank account?”
Nemcsak a vállalatot csalhatja meg, hanem azokat a cégeket is, amelyekkel a vállalat együttműködik.
KACSA. Teljesen.
DOUG. És nehogy azt higgye, hogy Elvis csak becsapott cégeket… ő is romantikus csalás volt.
KACSA. Az Igazságügyi Minisztérium jelentése szerint az általuk becsapott vállalkozások egy részét egyszerre több százezer dollárért vitték el.
A csalásuk másik oldala pedig az volt, hogy egyének után kutattak az úgynevezett romantikus csalások során.
Nyilvánvalóan 13 ember jelentkezett tanúként az ügyben, és a DOJ (az Igazságügyi Minisztérium) által említett példák közül kettő, azt hiszem, 32,000 70,000, illetve XNUMX XNUMX dollárba került.
DOUG. Rendben, ezért van néhány tanácsunk, hogyan védheti meg vállalkozását az üzleti e-mailek megsértésétől, és hogyan védheti meg magát a romantikus csalásoktól.
Kezdjük az üzleti e-mail kompromisszumokkal.
Ez az első pont azért tetszik, mert egyszerű és nagyon alacsonyan csüngő gyümölcs: Hozzon létre egy központi e-mail fiókot a személyzet számára, hogy jelentse a gyanús e-maileket.
KACSA. Igen, ha van security@example.com, then presumably you’ll look after that email account really carefully, and you could argue that it’s much less likely that a Business Email Compromise person would be able to compromise the SecOps account compared to compromising account of any other random employee in the company.
És feltehetően az is, hogy ha van legalább néhány ember, aki képes figyelni az ott zajló eseményeket, akkor sokkal nagyobb esélye van arra, hogy hasznos és jó szándékú válaszokat kapjon erről az e-mail-címről, mintha csak megkérdezné érintett személy.
Even if the CFO’s email hasn’t been compromised… if you’ve got a phishing email, and then you ask the CFO, “Hey, is this legit or not?”, you’re putting the CFO in a very difficult position.
You’re saying, “Can you act as though you’re an IT expert, a cybersecurity researcher, or a security operations person?”
Sokkal jobb, ha ezt központosítjuk, így az emberek egyszerűen bejelenthetnek valamit, ami kissé elromlottnak tűnik.
Ez azt is jelenti, hogy ha normálisan azt tenné, hogy csak annyit mondjon: „Nos, ez nyilvánvalóan adathalászat. csak törlöm”…
…azzal, hogy elküldi, még akkor is, ha * Ön* úgy gondolja, hogy ez nyilvánvaló, lehetővé teszi a SecOps vagy az IT csapat számára, hogy figyelmeztesse a vállalat többi tagját.
DOUG. Rendben.
És a következő tanács: Ha kétségei vannak, forduljon közvetlenül az e-mail feladójához.
És, hogy ne rontsa el az ütési vonalat, valószínűleg nem e-mailben más módon…
KACSA. Bármilyen mechanizmussal is küldtek Önnek olyan üzenetet, amelyben nem bízik, ne küldje vissza ugyanazon a rendszeren keresztül!
Ha a fiókot nem törték fel, akkor a következő választ fog kapni: „Nem, ne aggódjon, minden rendben.”
És ha a fiókot *feltörték*, akkor visszakapsz egy üzenetet: „Ó, nem, ne aggódj, minden rendben!” [NEvet]
DOUG. Rendben.
És végül, de nem utolsósorban: Másodlagos engedélyezés szükséges a számlafizetési adatok módosításához.
KACSA. If you have a second set of eyes on the problem – secondary authorisation – that [A] makes it harder for a crooked insider to get away with the scam if they’re helping out, and [B] mean that no one person, who’s obviously trying to be helpful to customers, has to bear the entire responsibility and pressure for deciding, “Is this legit or not?”
Két szem gyakran jobb, mint egy.
Vagy talán úgy értem, hogy négy szem gyakran jobb, mint kettő…
DOUG. Igen. [NEvet].
Fordítsuk figyelmünket a romantikus csalásokra.
Az első tanács a következő: Lassíts le, amikor a randevúzási beszélgetés barátságból, szerelemből vagy romantikából a pénz felé fordul.
KACSA. Igen.
Október van, ugye, Doug?
Tehát ismét itt a Kiberbiztonsági Tudatosság Hónapja… #kiberhónap, ha nyomon akarod követni, mit tesznek és mondanak az emberek.
Van egy nagyszerű kis mottó (ez a megfelelő szó?), amit sokszor elmondtunk a podcastban, mert ismerlek, és szeretem, Doug.
Ez az amerikai közszolgálattól származik…
MINDKÉT. Állj meg. (Időszak.)
Gondol. (Időszak.)
Csatlakozás. (Időszak.)
KACSA. Ne nagyon siess!
It really is a question of “transact in haste, repent at leisure” when it comes to online matters.
DOUG. És még egy tanács, ami néhány ember számára nehéz lesz… de nézz magadba, és próbáld követni: Nyíltan hallgassa meg barátait és családtagjait, ha figyelmeztetni próbálnak.
KACSA. Igen.
A múltban, amikor a Sophos Australia-nál dolgoztam, részt vettem olyan kiberbiztonsági eseményeken, amelyek a romantikus csalás kérdésével foglalkoztak.
Borzasztó volt olyan történeteket hallani a rendőrségen dolgozóktól, akiknek az a feladata, hogy ezen a ponton megpróbáljanak beavatkozni a csalásokba…
…és csak azért, hogy lássam, milyen rosszkedvűek voltak ezek a rendőrök, amikor visszatértek a látogatásukból.
Egyes esetekben egész családokat csaltak át.
Nyilvánvalóan ezek inkább a „pénzügyi befektetések” típusai, mint a romantikusak, de *mindenki* a csaló mellett állt, így amikor a rendfenntartók odamentek, a családnak „minden válasza” volt, amelyet gondosan megadtak. csaló.
A romantikus csalásoknál pedig nem gondolnak arra, hogy udvaroljanak romantikus érdeklődésének, *és* éket verjenek közted és családod közé, így nem hallgatsz a tanácsaikra.
Tehát csak ügyeljen arra, hogy végül ne szakadjon el a családjától és a bankszámlájától.
DOUG. Rendben.
És akkor van egy utolsó tanács: A cikkben egy nagyszerű videó található.
A cikk az ún Romance Scammer és BEC Fraudster 25 év börtönt kapott:
Szóval nézze meg ezt a videót – sok nagyszerű tippet tartalmaz.
És maradjunk a csalások témánál, és beszéljünk a csalókról és a szélhámos telefonálókról.
Egyáltalán meg lehet állítani az átverő hívásokat?
Az a nagy kérdés a nap mostani:
KACSA. Nos, vannak átverő hívások és vannak zavaró hívások.
Néha úgy tűnik, hogy a kellemetlen hívások nagyon közel állnak az átverő hívásokhoz.
Ezek olyan emberek, akik törvényes vállalkozásokat képviselnek, [idegesítettek], de egyszerűen nem hagyják abba, hogy hívjanak, [LEGYEBBEN IZGATVA], függetlenül attól, hogy azt mondod nekik, hogy „A Ne hívj listán vagyok [DAGOS] szóval NE HÍVJON ÚJRA. "
Ezért írtam egy cikket a Naked Security-ről, amelyben azt mondtam az embereknek… ha rábírja magát, hogy megtegye (nem javaslom, hogy ezt minden alkalommal meg kell tennie, ez egy igazi gond), akkor kiderül, hogy ha *te* panaszkodsz, néha megvan az eredménye.
And what minded me to write this up is that four companies selling “environmental” products were busted by the Information Commissioner’s Office [ICO, UK Data Privacy regulator] the and fined between tens and hundreds of thousands of pounds for making calls to people who had put themselves on what is rather strangely called the Telefonpreferencia szolgáltatás az Egyesült Királyságban…
…mintha beismernék, hogy egyesek valóban szeretnének részt venni ezekben a szeméthívásokban. [NEVETÉS]
DOUG. "Jobban szeret"?! [NEvet]
KACSA. Nagyon szeretem, ahogy az USA-ban van.
A regisztrációhoz és panaszkodáshoz szükséges hely: donotcall DOT gov.
DOUG. Igen! "Ne hívj!"
KACSA. Sajnos, ami a telefonálást illeti, még mindig az opt-out világban élünk… addig hívhatják, amíg azt nem mondják, hogy nem.
De az a tapasztalatom, hogy bár ez nem oldja meg a problémát, szinte biztos, hogy ha felveszi magát a Ne hívjon regiszterbe, az nem *növeli* a beérkező hívások számát.
Változást jelentett számomra, amikor Ausztráliában éltem, és most az Egyesült Királyságban élek…
…és a hívások időről időre történő bejelentése legalábbis esélyt ad az Ön országának szabályozó hatóságának arra, hogy a jövőben valamiféle lépést tegyen.
Mert ha senki nem mond semmit, akkor olyan, mintha mi sem történt volna.
DOUG. Ez szépen illeszkedik olvasóink megjegyzéséhez a cikkhez.
A Naked Security olvasója, Phil megjegyzése:
A hangposta mindent megváltoztatott számomra.
Ha a hívó nem hajlandó üzenetet hagyni, és a legtöbb nem, akkor nincs okom visszahívni.
Sőt, ahhoz, hogy bejelentsem egy átverésről szóló telefonhívást, arra az időre kell pazarolnom, hogy felvegyem egy azonosítatlan hívótól érkező telefont, és csak azért kell kapcsolatba lépnem valakivel, hogy bejelentsem.
Még ha fogadom is a hívást, akkor is egy robottal fogok beszélni… nem, köszönöm!
Tehát ez a válasz: soha ne vegye fel a telefonhívásokat, és soha ne foglalkozzon ezekkel a csalókkal?
Vagy van jobb módszer, Paul?
KACSA. Amit találtam, ha azt gondolom, hogy a szám egy átverő szám…
Egyes csalók vagy zavaró hívók minden alkalommal más számot fognak használni – ez mindig helyinek fog tűnni, így nehéz megmondani, bár mostanában kínzott egy olyan szám, ahol újra és újra ugyanaz a szám, így blokkolja azt.
…általában csak felveszem a telefont, és nem szólok semmit.
Engem hívnak; ha ez olyan fontos, azt mondják: „Helló? Szia? Ez…?”, és használja a nevemet.
Azt tapasztalom, hogy sok ilyen zavaró hívó és csaló automatizált rendszereket használ, amelyek amikor meghallják, hogy felveszi a hívást, csak akkor próbálják meg összekapcsolni Önt a mellettük lévő kezelővel.
Nem a telefonszolgáltatók ténylegesen kezdeményezik a hívásokat.
Felhívnak, és miközben azonosítja magát, gyorsan találnak valakit a sorban, aki úgy tesz, mintha ő hívta volna.
És úgy gondolom, hogy ez egy jó ajándék, mert ha nem történik semmi, ha nem is megy senki: „Helló? Szia? Van ott valaki?”, akkor tudja, hogy egy automatizált rendszerrel van dolgunk.
Van azonban egy bosszantó probléma, bár szerintem ez az Egyesült Királyságra jellemző.
Az úgynevezett „néma hívás” bejelentésének bürokráciája, mint egy nehéz lélegzetű stalker típus, ahol nem mondanak ki szavakat…
…a jelentési mechanizmus teljesen más, mint egy hívás bejelentésének mechanizmusa, amikor valaki azt mondja: „Hé, John vagyok, és el akarom adni neked ezt a terméket, amelyre nincs szükséged, és nem is jó”. nagyon idegesítő.
Silent call reports go through the telephone regulator, and it’s treated as if it were a more serious criminal offence, I presume for historical reasons.
Azonosítania kell magát – ezeket nem jelentheti névtelenül.
Szóval ezt bosszantónak találom, és remélem, hogy változtatnak ezen!
Where it’s just a robotic system that’s called you, and it doesn’t know you’re on the line yet so it hasn’t assigned anyone to talk to you…
…ha ezeket könnyebben és névtelenül jelentené, őszintén szólva, sokkal hajlamosabb lennék rá.
DOUG. Rendben.
A cikkben talál néhány hivatkozást a szélhámos hívások jelentésére bizonyos országokban.
És köszönöm, Phil, hogy elküldted ezt a megjegyzést.
Ha van egy érdekes története, megjegyzése vagy kérdése, amelyet fel szeretne tenni, azt szívesen olvassuk a podcastban.
Írhat e-mailt a tips@sophos.com címre, kommentálhatja bármelyik cikkünket, vagy megkereshet minket a közösségi oldalon: @nakedsecurity.
Ez a mai műsorunk – nagyon köszönjük, hogy meghallgatott.
Paul Ducklin számára Doug Aamoth vagyok, és emlékeztetem Önt a következő alkalomig, hogy…
MINDKÉT. Maradj biztonságban.
[ZENEI MODEM]
- :ProxyNotShell
- BEC
- blockchain
- mellszobor
- coingenius
- cryptocurrency pénztárcák
- titkosítás
- kiberbiztonság
- kiberbűnözők
- Kiberbiztonság
- belbiztonsági osztály
- digitális pénztárcák
- csere
- Exploit
- tűzfal
- Kaspersky
- Törvény és rend
- malware
- McAfee
- microsoft
- Meztelen biztonság
- Meztelen biztonsági podcast
- NexBLOC
- Plató
- plato ai
- Platón adatintelligencia
- Platón játék
- PlatoData
- platogaming
- podcast
- robotlabdák
- romantikus átverés
- VPN
- sebezhetőség
- A honlap biztonsága
- zephyrnet
