S3 Ep90: Chrome 0-hari lagi, True Cybercrime, dan bypass 2FA [Podcast + Transkrip]

Stempel Waktu: 7 Juli 2022 2:46
Node Sumber: 1578606

by
Paul Bebek

DENGARKAN SEKARANG

Klik-dan-tarik gelombang suara di bawah untuk melompat ke titik mana pun. Anda juga bisa dengarkan langsung di Soundcloud.

Dengan Paul Ducklin dan Chester Wisniewski.

Musik intro dan outro oleh Edith Mudge.

Anda dapat mendengarkan kami di SoundCloud, Podcast Apple, Google Podcast, Spotify, Mesin penjahit dan di mana pun podcast bagus ditemukan. Atau jatuhkan saja URL umpan RSS kami ke dalam podcatcher favorit Anda.

BACA TRANSKRIPNYA

BEBEK.  Krom! Kejahatan dunia maya! Cryptoqueen yang hilang! Menangkap token 2FA!

Dan Kasus Penasaran Chums Baru Chester.

Semua itu dan lebih banyak lagi di podcast Naked Security.

[MODEM MUSIK]

Hello everybody.

Sekali lagi, itu Bebek di kursi, karena Doug sedang berlibur.

Saya bergabung dengan teman dan kolega saya Chester Wisniewskiโ€ฆ

Czesล‚aw, hari yang sangat baik untukmu.

CHET.  Hari baik untukmu, Bebek.

Ini bagus untuk menggantikan Doug lagi.

Saya suka ketika dia berlibur - kita bisa mengobrol menarik tentang perencanaan podcast, dan karena ini agak lambat di musim panas, saya punya waktu luang dan senang bisa kembali.

BEBEK.  Sayangnya, itu tidak lambat di depan 0 hari.

Sekali lagi, kami baru saja pembaruan Chrome terbaru.

Google telah mengeluarkan tiga buletin keamanan yang pada dasarnya terpisah: satu untuk Android; satu untuk Windows dan Mac; dan satu untuk Windows dan Mac, tetapi pada versi sebelumnya, "saluran stabil yang diperluas".

Tidak disebutkan tentang Linux, tetapi mereka semua berbagi satu bug umum, yaitu "CVE-2022-2294: Buffer overflow in WebRTC."

Diketahui telah dieksploitasi di alam liar, artinya penjahat sampai di sana lebih dulu.

Jadi, ceritakan lebih banyak, Chester.

CHET.  Yah, saya dapat mengonfirmasi, setidaknya di sisi Linux, bahwa mereka memang melakukan rilis.

Saya tidak tahu apa yang ada di rilis itu, tetapi nomor versi setidaknya cocok dengan nomor versi yang kami harapkan untuk dilihat di Windows dan Mac, yaitu 103.0.5060.114.

Bagaimanapun, di Arch Linux saya yang menjalankan Chromium, itu adalah nomor build, dan itu cocok dengan rilis Chrome produksi untuk Windows di komputer saya di sebelahnya.

Jadi, setidaknya kita memiliki paritas versi. Kami tidak tahu apakah kami memiliki paritas bug.

BEBEK.  Ya, dan yang menjengkelkan, versi Android, yang seharusnya memiliki tambalan yang sama dengan yang disebutkan di versi lain, pada dasarnya adalah nomor versi yang sama kecuali ujung titik-71.

Dan tentu saja, versi 102โ€ฆ itu benar-benar berbeda karena merupakan rangkaian empat angka yang sama sekali berbeda.

Satu-satunya hal yang umum untuk mereka semua adalah nol di posisi kedua.

Jadi cukup membingungkan.

CHET.  Ya, mengingat itu ditemukan telah digunakan di alam liar, yang berarti seseorang mengalahkan Google sampai habis.

Dan fungsi khusus ini sangat penting bagi Google, karena mereka mempromosikan platform Google Meet mereka, yang merupakan versi utama merekaโ€ฆ Saya pernah mendengar orang menyebutnya sebagai โ€œGoogle Zoomโ€.

Platform MEET Google, bukan jenis daging yang mungkin Anda makan saat makan malam.

BEBEK.  Pikiran saya boggling untuk sedikit di sana!

Untuk memperjelas, saya mendapati diri saya melayang menuju Google Hangouts, yang tampaknya akan segera ditutup, dan tentu saja terlambat dan, saya pikir, Google Plus yang tidak disesali.

CHET.  Nah, jika Anda ingin sepenuhnya menelusuri lubang kelinci platform Google Messaging tentang berapa banyak hal yang telah mereka temukan dan belum temukan dan gabungkan dan batalkan dan kemudian ciptakan kembali lagi, ada artikel bagus di Vox.com yang dapat Anda baca tentang itu!

WebRTCโ€ฆ intinya, itulah protokol yang memungkinkan Anda melakukan streaming webcam ke platform seperti Google Meet, dan streaming mikrofon Anda.

Dan saya pikir itu mungkin lebih banyak digunakan daripada sejak pandemi dimulai.

Karena banyak layanan mungkin menawarkan klien gemuk untuk berbagi layar yang ditingkatkan dan hal-hal semacam ini, tetapi juga menawarkan versi web saja, sehingga Anda dapat mengakses hal-hal seperti Zoom atau Citrix dan sebagainya, seringkali hanya melalui browser Anda.

Jadi, saya pikir fungsi ini adalah sesuatu yang sangat kompleks, yang dapat menyebabkan jenis kerentanan ini, dan juga banyak digunakan akhir-akhir ini.

Saya menganggap ini salah satu jenis yang paling penting dari tiga bug yang Anda sebut dalam cerita Keamanan Telanjang.

BEBEK.  Ya, ada CVE-2022-2294, -2295 dan -2296.

Mereka semua adalah serangga yang Anda harap kami sudah selesai dan dibersihkan bertahun-tahun yang lalu, bukan?

Buffer overflow, kebingungan tipe, dan penggunaan setelah bebas โ€“ jadi semuanya pada dasarnya berkaitan dengan salah urus memori.

CHET.  Dan saya pikir Google memberi tahu dunia bahwa semua masalah diselesaikan oleh Go dan Rust, dan ini menunjukkan sangat sedikit Go dan Rust di sini.

BEBEK.  Bahkan dengan bahasa yang sangat hati-hati yang mendorong pemrograman yang benar, spesifikasi dapat mengecewakan Anda, bukan?

Dengan kata lain, jika Anda menerapkan sesuatu dengan benar, tetapi spesifikasinya kurang tepat, atau meninggalkan celah, atau meletakkan file di tempat yang salah, atau memperlakukan data dengan cara yang tidak tepat, Anda masih dapat memiliki bug rendah , tingkat keparahan sedang atau tinggi, bahkan dengan penegakan keamanan memori terbesar di dunia.

Jadi, untungnya, ada solusi sederhana, bukan?

Bagi kebanyakan orang, Chrome hampir pasti akan diperbarui secara otomatis.

Tetapi bahkan jika menurut Anda itu terjadi, ada baiknya โ€“ setidaknya di Windows dan Mac โ€“ untuk membuka Lainnya > Bantuan > Tentang Google Chrome > Perbarui Google Chrome, dan salah satunya akan mengatakan, โ€œAnda tidak perlu, Anda' punya yang terbaru,โ€ atau akan berbunyi, โ€œWah, saya belum melakukannya. Apakah Anda ingin melompat ke depan? โ€

Dan tentu saja, Anda akan melakukannya!

Di Linux, seperti yang Anda temukan, distro Anda menyediakan pembaruan, sehingga, saya kira, akan menjadi rute bagi sebagian besar pengguna Linux yang memiliki Chrome.

Jadi, ini mungkin tidak seburuk kedengarannya, tetapi itu adalah sesuatu yang, seperti yang selalu kita katakan, "Jangan tunda, lakukan hari ini."

Ke selanjutnyaโ€ฆ

Nah, ada dua cerita, bukan satu, tapi keduanya terkait dengan penegakan hukum.

Salah satunya adalah penjahat dunia maya yang mengaku bersalah di AS, dan yang lainnya adalah seseorang yang sangat ingin AS dapatkan, tetapi hilang entah di mana, dan kini telah bergabung dengan FBI. Sepuluh Teratas Dicari penjahat di seluruh dunia - satu-satunya wanita di Sepuluh Besar.

Mari kita mulai dengan dia โ€“ itulah Dr Ruja Ignatova dari Bulgaria, โ€œRatu Crypto yang Hilangโ€.

Nah, itu cerita seumur hidup, bukan?

CHET.  Ya, ini adalah salah satu hal yang tampaknya diperkenalkan oleh dunia kripto kepada kita โ€“ ini sedikit lebih inklusif untuk wanita.

Ada banyak wanita juga yang terlibat dalam pencurian dan pencangkokan, bersama dengan semua tipikal pria yang terlibat dalam begitu banyak cerita lain yang kami liput.

Sayangnya, dalam kasus ini, dia diduga menciptakan mata uang baru seperti Bitcoin yang dikenal sebagai OneCoin, dan diduga meyakinkan orang untuk memberinya US$4 miliar-dengan-aB untuk berinvestasi dalam mata uang kripto yang tidak ada, dari semua yang dapat saya baca di sini.

BEBEK.  $4 miliar.. itulah yang menurut FBI bisa dibuktikan.

Laporan lain yang saya lihat menunjukkan bahwa jumlah sebenarnya mungkin jauh lebih tinggi dari itu.

CHET.  Itu membuat pengeluaran $ 6 juta untuk gambar kera merokok tampak hampir masuk akal ...

BEBEK.  Sebaliknya membawa saya dari langkah saya di sana. [TAWA]

CHET.  Ada banyak FOMO, atau Fear Of Missing Out.

BEBEK.  Benar.

CHET.  Dan saya pikir seluruh kejahatan ini didorong oleh FOMO itu: โ€œOh, saya tidak masuk ke Bitcoin ketika Anda bisa membeli pizza dengan Bitcoin. Jadi saya ingin mendapatkan hal besar berikutnya. Saya ingin menjadi investor awal di Tesla, Uber, Apple.โ€

Saya pikir orang-orang menganggap cryptocurrency ini entah bagaimana benar-benar memiliki suasana legitimasi yang mungkin paralel dengan kisah sukses perusahaan yang nyata ini, sebagai lawan dari mimpi pipa, yang persis seperti itu.

BEBEK.  Ya, dan seperti banyak pipa ... dalam asap, Chester.

Saya pikir masalahnya dengan cryptocurrency adalah ketika orang melihat kisah Bitcoin, sebenarnya ada periode yang diperpanjang di mana tidak seolah-olah bitcoin "hanya bernilai $10".

Bitcoin pada dasarnya sangat tidak berharga sehingga, tampaknya, pada tahun 2010, seorang pria โ€“ yang disebut SmokeTooMuch โ€“ mencoba melakukan penjualan Bitcoin pertama untuk publik, dan dia memiliki 10,000 di antaranya.

Saya kira dia baru saja menambang mereka, seperti yang Anda lakukan saat itu, dan berkata, โ€œSaya ingin $50 untuk mereka.โ€

Jadi, dia menilai mereka masing-masing setengah sen ASโ€ฆ dan tidak ada yang mau membayar sebanyak itu.

Kemudian Bitcoin naik ke $10, dan kemudian pada satu titik, mereka, apa, $60,000 plus.

Jadi, saya kira ada ide bahwa jika Anda masuk *bahkan sebelum* itu seperti saham Appleโ€ฆ jika Anda masuk di hari-hari awal ketika itu belum benar-benar ada, maka itu seperti masuk tidak hanya di awal Bitcoin, tetapi *tepat di awal*.

Dan kemudian Anda tidak hanya menghasilkan 10x uang Anda atau 100x kali uang Andaโ€ฆ Anda menghasilkan 1,000,000x uang Anda.

Dan saya pikir itu, seperti yang Anda katakan, adalah mimpi yang dilihat banyak orang.

Dan itu berarti, saya curiga, itu membuat mereka lebih mau berinvestasi pada hal-hal yang tidak adaโ€ฆ ironisnya, justru karena mereka belum ada, jadi mereka benar-benar masuk ke lantai dasar.

Tampaknya, Anda masih hanya mendapatkan $ 100,000 untuk informasi yang mengarah pada keyakinan Ruja Ignatova.

Tapi dia pasti di atas sana: Sepuluh Dicari!

CHET.  Saya berjanji, jika saya mengetahui di mana dia berada, dan saya mendapatkan hadiah $ 100,000, saya tidak akan mempertaruhkannya pada cryptocurrency.

Saya dapat meyakinkan Anda tentang itu.

BEBEK.  Jadi, Chester, sekarang mari kita beralih ke yang lain bagian hukum dan ketertiban dari podcast.

Saya tahu ini adalah sesuatu yang secara khusus Anda katakan ingin Anda bicarakan, dan bukan hanya karena itu termasuk kata "Desjardins", yang kita bicarakan terakhir kali.

Ini adalah Tuan Vachon-Desjardins, dan kami telah berbicara tentang dia, atau Anda telah berbicara tentang dia, di podcast sebelumnya.

Jadi, ceritakan kepada kami kisah ini โ€“ ini menarik dan agak merusak.

CHET.  Ya. Saya menemukan itu cukup kebetulan bahwa Anda mengundang saya pada minggu ini, ketika hanya secara acak beberapa tahun yang lalu, Anda juga kebetulan mengundang saya di minggu yang saya yakin dia diekstradisi.

BEBEK.  Tidak, itu bulan Maret tahun ini ketika kami terakhir membicarakannya!

CHET.  Apakah itu?

BEBEK.  Ya, saya pikir ketika dia baru saja mendarat di Florida ...

CHET.  Ya! Dia baru saja diekstradisi, tepatnya!

Dia telah dikirim ke Amerika Serikat untuk penuntutan, yang merupakan hal biasa yang kami lakukan di sini di Kanada.

AS sering kali memiliki undang-undang yang lebih ketat dalam banyak kasus, tetapi lebih dari itu, FBI [Penegak hukum federal AS] melakukan pekerjaan yang sangat baik dalam mengumpulkan informasi untuk menuntut kasus-kasus ini.

Tidak mengatakan bahwa RCMP [Penegakan hukum federal Kanada] tidak mampu melakukan itu, tetapi FBI sedikit lebih berpengalaman, jadi saya pikir mereka sering merasa bahwa AS akan memiliki celah yang lebih baik untuk menempatkan mereka di balik jeruji besi.

BEBEK.  Karena itu, RCMP telah menuntutnya di Kanada, dan dia hampir divonis tujuh tahun penjara.

Dan seperti yang Anda katakan terakhir kali, โ€œKami telah membebaskannya dari penjara untuk sementara. Kami telah meminjamkannya ke Amerika. Dan jika dia masuk penjara di sana, ketika dia menghabiskan waktunya, maka dia akan kembali dan kami akan memasukkannya kembali ke penjara selama sisa tujuh tahun.โ€

Sepertinya dia akan keluar dari peredaran untuk sementara waktu.

CHET.  Ya, saya curiga begitu.

Meskipun, dalam jenis kejahatan tanpa kekerasan ini, ketika Anda bekerja sama dengan pihak berwenang, mereka sering akan mengurangi hukuman atau membebaskan Anda dengan pembebasan bersyarat lebih awal, hal-hal semacam itu.

Kita lihat saja apa yang terjadi.

Faktanya, dalam persetujuan pembelaannya, ketika dia mengaku bersalah di Florida, pemahaman saya adalah dicatat bahwa dia akan bekerja sama dengan pihak berwenang dalam hampir semua hal dan apa pun yang dia miliki aksesnya yang mereka inginkan ... pada dasarnya membantu mereka membangun kasus mereka .

Ketika kita berbicara tentang kelompok ransomware ini, saya menemukan kasus ini sangat menarik karena dia orang Kanada dan saya di Kanada.

Tapi lebih dari itu, saya pikir kita memiliki persepsi bahwa kejahatan ini dilakukan oleh penjahat di Rusia, dan mereka jauh dan tidak pernah bisa disentuh, jadi tidak ada gunanya melaporkan kejahatan ini karena kita tidak dapat menemukan orang-orang ini โ€“ mereka terlalu pandai bersembunyi; mereka ada di web gelap.

Dan kebenarannya adalah beberapa dari mereka ada di halaman belakang Anda. Beberapa dari mereka adalah tetangga Anda. Mereka ada di setiap negara di dunia.

Kejahatan tidak mengenal batasโ€ฆ orang-orang serakah di mana-mana, dan bersedia melakukan kejahatan ini.

Dan mereka layak dikejar ketika kita bisa mengejar mereka, seperti yang seharusnya kita lakukan.

BEBEK.  Benar.

Bahkan, jika Anda tidak keberatan, saya akan membaca dari perjanjian pembelaan, karena saya setuju dengan Anda: FBI melakukan pekerjaan yang fantastis tidak hanya dalam melakukan penyelidikan ini, tetapi juga mengumpulkan informasi โ€“ bahkan dalam sesuatu yang dokumen hukum formal dan mencolok โ€“ dalam bahasa Inggris sederhana yang memudahkan pengadilan, hakim, juri, dan siapa saja yang ingin memahami sisi buruk ransomware dan cara kerjanya untuk belajar lebih banyak .

Ini adalah dokumen yang sangat mudah dibaca, bahkan jika Anda tidak tertarik pada sisi hukum kasus ini.

Dan inilah yang mereka katakan:

โ€œNetWalker beroperasi sebagai sistem Ransomware-as-a-Service yang menampilkan pengembang berbasis di Rusia, dan afiliasi yang tinggal di seluruh dunia. Di bawah model Ransomware-as-a-Service, pengembang bertanggung jawab untuk membuat dan memperbarui ransomware dan membuatnya tersedia untuk afiliasi. Afiliasi bertanggung jawab untuk mengidentifikasi dan menyerang korban bernilai tinggi dengan ransomware. Setelah korban membayar, pengembang dan afiliasi membagi uang tebusan. Sebastian Vachon-Desjardins adalah salah satu afiliasi ransomware NetWalker yang paling produktif.โ€

Itu adalah ringkasan fantastis dari keseluruhan model ransomware-as-a-service, bukan, dengan contoh praktis dari seseorang yang jauh dari Rusia yang sebenarnya sangat aktif dalam membuat seluruh sistem bekerja.

CHET.  Benar.

Dia menyumbang, saya percaya, lebih dari 50% dari uang yang diduga dikantongi oleh geng NetWalker.

Ketika dia ditangkap, dia memiliki sedikit lebih dari $20 juta dalam cryptocurrency dari tebusan iniโ€ฆ dan saya pikir saya membaca bahwa jumlah total uang tebusan yang diyakini dikumpulkan oleh NetWalker berada di kisaran $40 juta hingga $50 juta.

Jadi ini adalah jumlah keuntungan yang signifikan โ€“ dia mungkin adalah afiliasi utama.

BEBEK.  Jelas, seperti yang Anda katakan, bahwa dia menghadapi dunia yang penuh masalahโ€ฆ

โ€ฆtapi dia sangat diharapkan untuk mengadukan mantan sahabatnya.

Dan mungkin itu akan menjadi hal yang baik?

Mungkin mereka akan dapat menutup lebih banyak contoh kejahatan semacam ini, atau lebih banyak orang yang terlibat dalam kelompok produktif ini.

CHET.  Mungkin kita harus menyimpulkan ini dengan beberapa kata yang lebih ringkas langsung dari perjanjian, karena saya pikir itu benar-benar membungkus ini dengan baik:

"Terdakwa mengaku bersalah karena dia, pada kenyataannya, bersalah."

[TERTAWA]

Jadi itu pernyataan yang cukup jelas bahwa dia tidak menggunakan kata-kata musang, bahwa dia tidak bertanggung jawab atas apa yang dia lakukan, yang menurut saya sangat penting untuk didengar oleh para korban.

Dan sebagai tambahan, mereka mengatakan:

โ€œTerdakwa setuju untuk bekerja sama sepenuhnya dengan Amerika Serikat dalam penyelidikan dan penuntutan orang lain, termasuk pengungkapan penuh dan lengkap semua informasi yang relevan, termasuk produksi setiap dan semua buku, kertas, dokumen, dan benda lain yang dimiliki terdakwa. atau kendali.โ€

Dan saya yakin "objek lain" mungkin termasuk hal-hal seperti dompet cryptocurrency, dan forum obrolan, dan hal-hal di mana perencanaan untuk semua tindakan kotor ini dilakukan.

BEBEK.  Ya, dan kemudian kabar baiknya adalah bahwa itu karena perebutan server, saya percaya, bahwa mereka dapat bekerja mundur ke arahnya, di antara orang lain.

Mari kita beralih ke bagian terakhir dari podcast yang berhubungan dengan sebuah cerita yang juga dapat Anda baca di Naked Securityโ€ฆ

Itu tentang 2FA phishing Facebook, sesuatu yang ingin saya tulis karena saya sendiri menerima penipuan ini.

Ketika saya menyelidikinya, saya berpikir, "Itu adalah salah satu situs web palsu yang paling dapat dipercaya yang pernah saya lihat."

Ada satu kesalahan ejaan, tapi saya harus mencarinya; alur kerjanya cukup bisa dipercaya; tidak ada kesalahan yang jelas kecuali nama domain yang salah.

Dan ketika saya melihat saat saya menerima email, di mana pun saya berada di daftar penerima โ€“ mungkin tidak di atas, mungkin di tengah, mungkin di bawah, siapa yang tahu? โ€“ hanya 28 menit setelah penjahat awalnya mendaftarkan domain palsu yang mereka gunakan dalam penipuan itu.

Jadi, mereka tidak tidur โ€“ semuanya terjadi dengan kecepatan kilat akhir-akhir ini.

CHET.  Tepat.

Saya mendapat peringatan sebelum membahas ini, yaitu bahwa kami sama sekali tidak ingin menyarankan kepada orang-orang bahwa mereka tidak boleh menggunakan otentikasi multifaktor.

Tapi ini mengingatkan sayaโ€ฆ Saya menipu Anda dengan podcast lain pagi ini, dan ketika saya berada di podcast lain itu, topik multifaktor muncul.

Dan salah satu tantangan yang kami hadapi dengan multifaktor yang hanya terdiri dari โ€œkode angka rahasiaโ€, adalah bahwa penjahat dapat bertindak sebagai semacam proxy-in-the-middle, di mana mereka dapat meminta Anda dengan baik untuk rangkaian angka, dan jika Anda tertipu untuk memberikannya kepada mereka, itu tidak benar-benar memberikan lapisan perlindungan tambahan.

Ada perbedaan yang jelas antara menggunakan semacam kunci keamanan, seperti kunci Titan dari Google atau Yubikey, atau otentikasi FIDO menggunakan hal-hal seperti smartphone Androidโ€ฆ

Ada perbedaan antara itu, dan sesuatu yang menampilkan enam digit di layar dan berkata, "Berikan ini ke situs web."

Enam digit di layar merupakan peningkatan besar dibandingkan hanya menggunakan kata sandi, tetapi Anda tetap harus tetap waspada terhadap jenis ancaman ini.

BEBEK.  Jika penjahat telah memikat Anda ke titik di mana Anda bersedia mengetikkan nama pengguna dan kata sandi Anda, maka Anda akan mengharapkan bahwa kode otentikasi dua faktor tiba di SMS; Anda akan mengharapkan untuk berkonsultasi dengan aplikasi Anda dan mengetik ulang kodenya, bukan?

Saya tidak mengatakan kepada orang-orang, "Berhenti menggunakannya," karena itu pasti membuat segalanya lebih sulit bagi para penjahat.

Tapi itu bukan obat mujarab โ€“ dan, yang lebih penting lagi, jika Anda memiliki faktor otentikasi kedua, itu tidak berarti Anda bisa santai dengan yang pertama.

Idenya adalah itu dimaksudkan untuk mengambil sesuatu yang telah Anda buat sekuat mungkin, misalnya dengan menggunakan kata sandi yang baik yang dihasilkan oleh pengelola kata sandi, dan kemudian Anda menambahkan sesuatu yang juga memiliki kekuatan untuk itu.

Jika tidak, Anda memiliki setengah FA ditambah setengah FA sama dengan 1FA lagi, bukan?

CHET.  Ya, tentu saja.

Dan ada dua hal untuk memerangi jenis serangan ini, dan salah satunya adalah Menggunakan Pengelola Kata Sandi itu.

Idenya di sana, tentu saja, adalah pengelola kata sandi memvalidasi bahwa halaman yang meminta kata sandi Anda * sebenarnya adalah halaman yang awalnya Anda simpan untuknya *.

Jadi itu tanda peringatan pertama Anda ... ketika tidak menawarkan kata sandi Facebook Anda karena situs tersebut sebenarnya bukan facebook.com, itu seharusnya membunyikan bel alarm bahwa ada sesuatu yang salah, jika Anda perlu mencari melalui pengelola kata sandi Anda untuk temukan kata sandi Facebook.

Jadi, ini semacam kesempatan pertama Anda di sini.

Dan kemudian jika Anda, seperti saya, menggunakan token FIDO di mana pun itu didukung (juga dikenal sebagai U2F, atau Universal Second Factor), itu juga memverifikasi bahwa situs yang meminta Anda sebenarnya adalah situs tempat Anda awalnya mengatur otentikasi itu.

Banyak situs, terutama situs besar yang banyak memancing, seperti Gmail dan Twitter, mendukung token USB kecil yang dapat Anda bawa di keyring Anda, atau token Bluetooth yang dapat Anda gunakan dengan ponsel Anda jika Anda menggunakan merek ponsel telepon yang tidak suka Anda memasukkan token ke dalamnya.

Itu adalah lapisan keamanan ekstra yang lebih baik dari enam digit itu.

Jadi, gunakan hal terbaik yang Anda miliki untuk Anda.

Tetapi ketika Anda mendapatkan petunjuk seperti, โ€œAneh, pengelola kata sandi saya tidak mengisi kata sandi Facebook saya secara otomatisโ€โ€ฆ itu adalah tanda peringatan besar Anda bahwa sesuatu tentang ini tidak seperti yang terlihat.

BEBEK.  Tentu saja, karena pengelola kata sandi Anda tidak berusaha menjadi makhluk yang cerdas, "Hei, saya dapat mengenali foto latar belakang yang indah yang telah saya lihat berkali-kali di situs web."

Itu tidak tertipu oleh penampilan; itu hanya mengatakan, "Apakah saya diminta memasukkan kata sandi untuk situs web yang sudah saya ketahui?"

Jika tidak, maka ia bahkan tidak dapat mencoba dan membantu Anda, dan seperti yang Anda katakan, itu adalah peringatan yang sempurna.

Tapi kecepatan inilah yang membuat saya tertarik.

Saya tahu bahwa semuanya terjadi sangat cepat akhir-akhir ini, tetapi 28 menit setelah domain pertama kali ditayangkan, saya menerima email.

CHET.  Ya, ini adalah indikator lain yang kami gunakan di SophosLabs ketika kami menganalisis berbagai hal: โ€œOh, itu aneh, domain ini tidak ada satu jam yang lalu. Seberapa besar kemungkinan itu akan muncul di email dalam waktu satu jam setelah pembuatan?โ€

Karena bahkan pada hari-hari terbaik saya membeli nama domain baru, saya bahkan tidak sempat mengonfigurasi server email saya dengan data MX setidaknya selama satu jam. [TERTAWA]

BEBEK.  Chester, mari kita selesaikan dengan apa yang saya umumkan di awal sebagai "Kasus Penasaran Teman Baru Chester". Ini adalah jenis scammers yang menarik. Temui Chester yang baru saja terjadi pada Anda dalam 24 jam terakhir, bukan?

CHET.  Iyaโ€ฆ

Saya memiliki tipe pengikut tertentu, katakanlah, dan saya biasanya dapat melihat orang yang mengikuti saya yang merupakan bot dengan cukup mudahโ€ฆ Anda harus berada dalam kerangka berpikir kutu buku tertentu untuk tertarik pada hal-hal yang saya posting di akun Twitter saya di media sosial.

Dan siapa pun yang berada dalam kerangka berpikir itu, dan ingin tahu apa yang saya pikirkan dapat mengikuti saya di Twitter (@chetwisniewski).

Tetapi saya memblokir hal-hal yang tampak mencurigakan bagi saya, karena saya telah berada di sekitar blok tersebut beberapa kali dan tahu bagaimana informasi sering dicuri oleh bot untuk memikat orang dengan hal-hal yang terdengar sah.

Ketika saya melihat sesuatu yang mencurigakan, saya memblokirnya.

Sayangnya, seorang kenalan saya berada di tragedi di Amerika Serikat kemarin, pada tanggal XNUMX Juli, di mana terjadi penembakan, dan dia memposting tweet tentang bagaimana dia melarikan diri dengan putrinya ke tempat yang aman.

Untungnya, dia dan keluarganya baik-baik saja, tetapi itu adalah peristiwa yang sangat traumatis dan emosional bagi mereka, dan, sebagai hasilnya, tweet-nya memiliki momen, bukan?

Puluhan ribu retweet; ratusan ribu sukaโ€ฆ dan dia biasanya bukan tipe selebriti yang mendapat perhatian seperti itu di Twitter.

Dan saya sendiri menanggapi dengan keprihatinan akan keselamatannya, dari akun Twitter saya, dan saya tidak menggabungkan dua-dua sampai kami merencanakan podcast iniโ€ฆ

Tiba-tiba, saya mulai mendapatkan suka yang sangat acak pada tweet lama yang tidak relevan dengan situasi apa pun saat ini.

Saya memposting sesuatu tentang bertemu orang-orang di San Francisco pada konferensi RSA.

Tentu saja, peristiwa itu sudah lebih dari sebulan yang lalu dan sudah lama berakhir, dan akibatnya tweet itu, pada kenyataannya, sama sekali tidak menarik, bahkan bagi orang-orang yang mungkin menarik untuk sementara, yang ingin bertemu dengan saya di RSA, dan itu mulai mendapatkan semua suka ini.

BEBEK.  Bahkan kepada orang-orang yang *melakukan* bertemu dengan Anda di RSA persis. [TAWA]

CHET.  Yang tidak terlalu banyak orang, karena setelah saya sampai di sana dan melihat mimpi buruk COVID yang sedang terjadi, saya berpikir lebih baik bertemu terlalu banyak orang di RSA.

Tapi tweet itu mulai mendapatkan suka secara acak, dan saya mulai melihat profil orang-orang yang menyukai tweet itu, dan mereka bukan orang-orang sayaโ€ฆ ini bukan orang-orang yang biasanya mengikuti saya.

Yang satu menyatakan betapa dia sangat mencintai pemain sepak bola Nigeria yang berbeda, dan yang lain mengaku sebagai wanita dari New York City yang menyukai dunia mode dan model dan semua hal semacam ini ...

BEBEK.  Tepat di jalanmu, Chester! [TAWA]

CHET.  Ya. [TERTAWA]

Dan ketika saya melihat siapa yang diikuti oleh akun-akun ini, mereka mengikuti sekelompok orang yang sangat acak yang tidak bertema.

Sebagian besar orang yang mengikuti saya mengikuti saya karena hal-hal keamanan yang saya kicaukan; mereka sering mengikuti banyak orang IT lainnya.

Saya akan melihat bahwa mereka mengikuti jenis orang "selebriti IT" yang berbeda, atau mereka mengikuti banyak perusahaan teknologi... itu adalah tanda bagi saya bahwa mereka adalah pengikut yang sah.

Tapi akun-akun ini: ketika saya melihat mereka, itu seperti orang-orang acak yang mereka ikuti.

Tidak ada sajak atau alasan untuk itu, yang tidak seperti kebanyakan dari kita.

Sebagian besar dari kita menyukai tim olahraga favorit kita, atau hobi apa pun yang kita miliki, dan selalu ada tema yang mengalir melalui orang-orang yang kita ikuti yang dapat Anda temukan dengan sangat mudah.

BEBEK.  Ya โ€“ ketika Anda mencapai โ€œtingkat pemisahan 16โ€, mengejar seseorang ke lubang kelinci Twitter, itu adalah taruhan yang cukup bagus bahwa mereka tidak benar-benar bergerak di lingkaran Anda dengan cara apa pun!

CHET.  Ya.

Dan yang aneh tentang ini adalah saya tidak begitu yakin apa yang mereka lakukan, selain mengikuti tragedi mengerikan ini dan mencoba membangun semacam reputasi.

Dan satu-satunya tebakan saya adalah bahwa mungkin mereka mencoba membuat orang lain mengikuti kembali karena mereka menyukai tweet mereka, atau mungkin setidaknya menyukai sesuatu yang telah mereka posting, untuk mencoba memberi mereka semacam dorongan media sosial.

Sangat disayangkan bahwa orang-orang memanfaatkan tragedi ini untuk mencoba menciptakan apa pun selain empati dan simpati untuk orang-orang yang terlibat.

Memberikan akun-akun ini apa yang mereka inginkan mungkin tampak cukup polosโ€ฆ Saya tahu banyak orang yang seperti, โ€œOh, saya selalu mengikuti balik.โ€

Ini cukup berbahaya untuk dilakukan.

Anda membangun reputasi yang membuat segala sesuatunya terlihat sah, yang memungkinkan penyebaran disinformasi dan ancaman serta penipuan yang berkelanjutan.

Sedikit suka atau follow back itu sebenarnya penting dalam cara yang sangat buruk.

BEBEK.  Saya setuju!

Chester, terima kasih banyak telah berbagi cerita tentang apa yang terjadi pada Anda di Twitter, dan khususnya โ€“ seperti kisah Penipuan 2FA Facebook dalam 28 Menit โ€“ kecepatan terjadinya.

Agaknya penjahat hanya mencoba untuk memeras sedikit simpati dari orang-orang yang merasa mungkin ini saatnya untuk menjadi sedikit lebih mencintai dari biasanya... tanpa memikirkan apa efek jangka panjang dari memberkati seseorang yang tidak pantas mendapatkannya. memiliki.

Terima kasih banyak telah meningkatkan seluruh podcast dalam waktu singkat.

Terima kasih kepada semua orang yang mendengarkan.

Dan seperti biasa, sampai waktu berikutnyaโ€ฆ

KEDUA.  Tetap aman!

[MODEM MUSIK]

Stempel Waktu:

Lebih dari Keamanan Telanjang