シーズン 3 Ep103: Slammer の詐欺師 (およびその他のストーリー) [オーディオ + テキスト]

プラトン再発行

フォロワー： 0

スラマーの詐欺師（およびその他のストーリー）

ダグ・アーモスとポール・ダックリンと。

イントロとアウトロの音楽エディスマッジ.

下の音波をクリックしてドラッグし、任意のポイントにスキップします。あなたもすることができます直接聞く Soundcloudで。

あなたは私たちに聞くことができます Soundcloud, Apple Podcasts, Googleポッドキャスト, Spotifyは, 縫い合わせますそして、その良いポッドキャストが見つかるところならどこでも。または単にドロップします RSSフィードのURL お気に入りのポッドキャッチャーに。

トランスクリプトを読む

ダグ。 Microsoft の二重のゼロデイ、詐欺師の監獄、偽の電話。

NakedSecurityポッドキャストのすべてとそれ以上。

【ミュージックモデム】

みなさん、ポッドキャストへようこそ。私はダグ・アモスです。

彼はポール・ダックリン…

アヒル。 とても嬉しいです、ダグラス。

ダグ。 私はいくつか持っています 技術史 あなたにとって、それはずっと昔にさかのぼります、そしてそれは電卓と関係があります。

今週、7 年 1954 月 XNUMX 日に、IBM はこの種のものとしては初めての全トランジスタ計算機のデモを行いました。

　 IBM 電子計算パンチと呼ばれていたように、1250 個の真空管を 2000 個のトランジスタに交換しました。これにより、体積が半分になり、消費電力がわずか 5% になりました。

アヒル。 うわー！

その「604」は聞いたことがなかったので、行って調べてみましたが、写真が見つかりませんでした。

どうやら、それは単なる実験モデルであり、608 と呼ばれる購入可能なモデルが発表されたのは数か月後のことで、トランジスタ数は 3000 に増加しました。

しかし覚えておいてください、ダグ、これは集積回路 [IC] のようなトランジスタではありません。IC がまだなかったからです。

バルブ、熱電子バルブ (または「トゥーブ」[真空管] と呼びます) がある場所には、代わりにトランジスタが配線されます。

そのため、はるかに小さくなりましたが、それでもディスクリートコンポーネントでした。

「電卓」といえば「ポケット電卓」…

ダグ。 ああ、いや、いや、いや！

アヒル。 「いいえ」、あなたの言う通り…

…とても大きな冷蔵庫のサイズです！

そして、私が見た写真では、その隣に非常に大きな冷蔵庫が必要です。これは入力用だと思います。

そして、XNUMXつの非常に大きな冷蔵庫の隣に、非常に大きなチェスト冷凍庫のように見える他の制御回路がありました.

私はこれに気づきませんでしたが、当時のトーマス・ワトソン (IBM の CEO) は、IBM 全体に対して次のような命令を下したようです。私たちは完全に受け入れ、支持し、トランジスタのみを使用しています。」

そして、それがその後のすべての行き先でした。

したがって、これはトランジスタ革命の先駆者でしたが、明らかにすぐに取って代わられたようです... 約 18 か月しか市場に出ていませんでした。

ダグ。 さて、非常に大きな話題にとどまり、この Microsoft Exchange ダブルゼロデイについてリスナーに最新情報を伝えましょう。

私たちはそれをカバーしましたミニソーダ; 私たちはそれをカバーしましたサイトに…しかし、知っておくべき新しいことはありますか?

アヒル。 そうではありません、ダグラス。

ProxyShell やログ4シェルした：

それにはXNUMXつの理由があると思います。

XNUMX つ目は、脆弱性の実際の詳細がまだ秘密であることです。

彼らは、それを発見したベトナムの企業、責任を持って開示した ZeroDay Initiative [ZDI]、そして Microsoft に知られています。

そして、誰もがそれを帽子の下に置いているようです.

したがって、私の知る限り、「今すぐ試してください」という概念実証は 250 件もありません。自分で実行できる GitHub リポジトリ。

次に、認証されたアクセスが必要です。

そして私の直感は、Proxyshell や Log4Shell を使ってインターネット上で攻撃を実行するという時流に飛び乗った志望の「サイバーセキュリティ研究者」 (ここに巨大な空気の引用を挿入) のすべてが、彼らがサービスの世界を行っていると主張していることです。 Web サービスに脆弱性がある場合は、私が見つけてお知らせします。」…

…これらの人々の多くは、実際にパスワードを推測しなければならない同じ攻撃を実行しようとすることについて、よく考えないと思います。

砂の中のかなり重要なラインの向こう側にあるような気がしますね。

ダグ。 うん。

アヒル。 リクエストを受け入れるように設計されたオープン Web サーバーを使用している場合、それは、アクセスしてはならないことがわかっているサーバーにリクエストを送信し、想定されていないことを知っているパスワードを提供しようとすることとは大きく異なります。それが理にかなっているかどうかを知るために。

ダグ。 はい。

アヒル。 良いニュースは、広く悪用されていないように見えることです…

…しかし、まだパッチは出ていません。

そして、パッチが登場したらすぐに入手する必要があると思います。

パッチをリバースエンジニアリングして、実際にこのことを確実に悪用する方法を見つけようとする熱狂的な熱狂が少しあると思うので、遅滞しないでください.

私たちの知る限り、それはかなりうまく機能するためです。パスワードを知っていれば、最初のエクスプロイトを使用して、Exchange サーバーで PowerShell を実行できるようにする XNUMX 番目のエクスプロイトへの扉を開くことができます。

そして、それは決してうまく終わることはありません。

今朝、Microsoft のガイドラインドキュメントを確認しましたが (水曜日に記録しています)、パッチに関する情報や、パッチがいつ利用可能になるかについての情報はありませんでした。

来週の火曜日はパッチチューズデーなので、それまで待たされるのかな？

ダグ。 OK、私たちはそれを監視します。見つけたら更新してパッチを当ててください…それは重要です.

電卓に戻り、小さな方程式.

2 年間の詐欺 + 10 万ドルの詐欺 = 25 年の懲役:

アヒル。 これは犯罪者です。彼は有罪判決を受けただけでなく、刑を宣告されたので、今では彼をそう呼ぶことができます。劇的な響きの名前であるエルヴィスエゴサオギークポロルです。

そして彼は、数年前に米国ジョージア州アトランタで職人のサイバーギャングと呼ばれるものを運営していました。

わずか 10 年足らずで、彼らはビジネスメール詐欺 [BEC] として知られる被害者となった不運な企業や、ロマンス詐欺に誘い込んだ不運な個人をごちそうし、XNUMX 万ドルを稼ぎました。

エルビス（私は彼をそう呼びます）…この場合、彼はチームをまとめて、不正に開設された米国の銀行口座のウェブ全体を作成し、そこに入金してからお金を洗浄しました.

そして、彼は有罪判決を受けただけでなく、判決を受けたばかりです。

裁判官は明らかに、この犯罪の性質と被害の性質が十分に深刻であり、連邦刑務所で 25 年の刑を言い渡されたと判断しました。

ダグ。 ビジネスメール詐欺について詳しく見ていきましょう。

面白いと思います。誰かの電子メールアドレスになりすましているか、実際の電子メールアドレスを入手している可能性があります。

それで、誰かを引っ掛けることができれば、たくさんのことができます。

ここの記事にそれらをリストアップします。

多額の支払いがいつ行われるかを知ることができます…

アヒル。 確かに。

明らかに、外部からメールを送信していて、電子メールのヘッダーをスプーフィングして電子メールが CFO から送信されたふりをしている場合は、CFO が何を知っているかを推測する必要があります。

しかし、毎朝 CFO のメールアカウントにログインする前にログインできれば、進行中のすべての重要な事柄をのぞき見ることができ、メモを取ることができます。

そのため、彼らになりすますときは、実際に彼らのアカウントから電子メールを送信しているだけでなく、驚くほど多くのインサイダーの知識を持ってそうしているのです。

ダグ。 そしてもちろん、知らない従業員にこのベンダーに多額の電信送金を依頼するメールを受け取った場合、彼らは「これは本当ですか?」と言います…

…実際のメールシステムにアクセスできる場合は、返信できます。「もちろん本物です。メールアドレスを見てください。CFO の私です。」

アヒル。 そしてもちろん、さらにこう言うこともできます。ですので、企業秘密です。社内の誰にも言わないようにしてください。」

ダグ。 はい - ダブルワーミー！

あなたはこう言うことができます。いいえ！これを疑わしいメッセージとして報告しないでください。」

次に、送信済みフォルダーに移動して、CFO に代わって送信した偽のメールを削除します。

また、あなたが「善良な」BEC 詐欺師である場合は、実際の従業員の以前のメールを調べて、そのユーザーが使用した一般的なフレーズをコピーして貼り付けることで、そのユーザーのスタイルに一致させます。

アヒル。 もちろんです、ダグ。

以前、フィッシングメールについて話したことがあると思います。あまりにも性格が悪いだけです。

または、サインオフにスマイリーフェイスのような絵文字がいくつかありました[笑い]、この人は絶対にしないだろうと私は知っています.

もちろん、以前のメールから標準的なイントロとアウトロをコピーアンドペーストすれば、そのような問題は回避できます。

もう XNUMX つは、Doug、実際のアカウントからメールを送信すると、その人の本当の、本物のメール署名が取得されるということですよね?

これは会社のサーバーによって追加され、期待どおりに見えるだけです。

ダグ。 そして、私はこの下山が大好きです…

…一流の犯罪者として、あなたは会社をだますだけでなく、会社の*顧客*を追いかけて、「ねえ、この請求書を今支払って、この新しい会社に送ってくれませんか?」銀行口座？"

会社だけでなく、会社が協力している会社をだますことができます。

アヒル。 絶対に。

ダグ。 そして、エルヴィスが会社をだましているだけだと思わないように… 彼はロマンス詐欺でもありました.

アヒル。 司法省は、彼らが詐欺したビジネスのいくつかは、一度に数十万ドルを奪われたと報告しています.

そして、彼らの詐欺の裏側は、いわゆるロマンス詐欺で個人を狙っていました.

どうやらこの事件の証人として名乗り出たのは 13 人で、DOJ (司法省) が言及した 32,000 つの例は、それぞれ 70,000 ドルと XNUMX ドルだったと思います。

ダグ。 では、ビジネスメール侵害からビジネスを守る方法と、ロマンス詐欺から身を守る方法について、いくつかのアドバイスをご紹介します。

ビジネスメール侵害から始めましょう。

私はこの最初のポイントが気に入っています。なぜなら、それは簡単で、非常に簡単に達成できるからです。 スタッフが疑わしい電子メールを報告するための中央電子メールアカウントを作成します。

アヒル。 はい、お持ちの場合 security@example.comの場合、おそらくそのメールアカウントを非常に注意深く管理し、企業内の他のランダムな従業員のアカウントを侵害する場合と比較して、ビジネスメール詐欺の人物が SecOps アカウントを侵害する可能性ははるかに低いと主張できます。

また、おそらく、そこで何が起こっているのかを監視できる人が少なくとも数人いれば、その電子メールアドレスから有益で善意の回答を得る可能性が高くなります。関係者。

CFO のメールが侵害されていなくても、フィッシングメールを受信した場合、CFO に「これは合法かどうか」と尋ねると、CFO は非常に困難な立場に置かれます。

「IT 専門家、サイバーセキュリティ研究者、またはセキュリティ運用担当者であるかのように振舞えますか?」と言っているのです。

それを一元化する方がはるかに良いので、少しずれているように見えるものを人々が簡単に報告できる方法があります。

それはまた、あなたが通常行うことが単に行くことである場合、「まあ、それは明らかにフィッシングです。さっさと消します」…

…送信することで、*あなた*が当たり前だと思っていても、SecOps チームや IT チームが社内に警告できるようになります。

ダグ。 大丈夫。

そして次のアドバイス： 不明な点がある場合は、メールの送信者に直接確認してください。

そして、オチを台無しにしないために、おそらく他の手段で電子メールを介してではないかもしれません…

アヒル。 信頼できないメッセージを送信するメカニズムが何であれ、同じシステムを介してメッセージを返信しないでください。

アカウントがハッキングされていない場合は、「いいえ、心配しないでください。すべて問題ありません」という返信が届きます。

また、アカウントが*ハッキング*された場合は、「ああ、いや、心配しないで、大丈夫です!」というメッセージが返されます。 [笑う]

ダグ。 大丈夫。

そして最後に、しかし確かに重要なことは次のとおりです。 アカウントの支払いの詳細を変更するには、二次承認が必要です。

アヒル。 問題に XNUMX 番目の視点がある場合 (二次的な承認)、[A] は、不正なインサイダーが支援している場合、詐欺を回避するのが難しくなり、[B] は、誰一人、顧客の役に立ちたいと思っているのは明らかですが、「これは合法かどうか」を判断する全責任とプレッシャーを負わなければなりません。

多くの場合、XNUMX つよりも XNUMX つの目が優れています。

あるいは、XNUMX つよりも XNUMX つの目が優れていることが多いということでしょうか…

ダグ。 はい。 [笑う]。

ロマンス詐欺に注意を向けましょう。

最初のアドバイスは次のとおりです。 デートの話が友情、愛、ロマンスからお金に変わるときは、ゆっくりしてください。

アヒル。 はい。

XNUMX月ですね、ダグ？

ということで、今年もまたサイバーセキュリティ意識向上月間です… #cybermonth、人々の行動や発言を追跡したい場合。

私はあなたを知っていて、私はそれが好きなので、ポッドキャストで何度も言った素晴らしい小さなモットーがあります (それは正しい言葉ですか?) ダグ.

これは米国公共サービスから来ています…

どちらも。 止まる。（限目。）

考え。（限目。）

接続。（限目。）

アヒル。 急ぎすぎないで！

オンラインの問題になると、それは本当に「急いで取引し、ゆっくりと悔い改める」という問題です。

ダグ。 そして、一部の人にとっては厳しいアドバイスですが、自分の内面を見て、従うようにしてください。 彼らがあなたに警告しようとするならば、あなたの友人と家族に公然と耳を傾けてください。

アヒル。 はい。

ソフォスオーストラリアで働いていたとき、恋愛詐欺の問題を扱ったサイバーセキュリティイベントに参加したことがあります。

この時点で詐欺に介入しようとするのが仕事の警察サービスの人々からの話を聞くのは苦痛でした…

…そして、彼らが訪問から戻ったとき、これらの警官の何人かがどれほど不機嫌だったかを見るために.

場合によっては、家族全員が詐欺に誘われていました。

これらは明らかに、ロマンスの種類よりも「金融投資」のタイプですが、*誰も*が詐欺師の側にいたので、法執行機関がそこに行ったとき、家族は「すべての答え」を持っていました。詐欺師。

そして、ロマンス詐欺では、彼らはあなたのロマンチックな興味を引き付けることや、あなたとあなたの家族の間にくさびを打ち込むことを何も考えないので、あなたは彼らのアドバイスを聞くのをやめます.

ですから、銀行口座だけでなく家族とも疎遠にならないように注意してください。

ダグ。 大丈夫。

そして最後に次のアドバイスがあります。 記事内に素晴らしいビデオが埋め込まれています。

記事は呼ばれます ロマンス詐欺師と BEC 詐欺師が 25 年間刑務所に送られる:

では、そのビデオをご覧ください。すばらしいヒントがたくさん含まれています。

そして、詐欺の話題にとどまり、詐欺師と不正な発信者について話しましょう.

詐欺電話を止めることさえ可能ですか?

それです。大きな質問今日の今日:

アヒル。 詐欺電話もあるし、迷惑電話もある。

時々、迷惑電話は詐欺電話に非常に近いように見えます。

これらは正当なビジネスを代表する人々です。[怒り] しかし、彼らはあなたに電話するのをやめません. 二度と電話しないでくださいに設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」

そこで私は、Naked Security に関する記事を書いて人々に伝えました...もし自分でそれを実行できるのであれば (毎回これを行うべきだと言っているわけではありませんが、これは本当に面倒なことです)、もしあなたが文句を言うなら、結果が出ることもあります。

そして、私がこれを書こうと思ったのは、「環境」製品を販売している XNUMX つの企業が、情報コミッショナーのオフィス [ICO、英国のデータプライバシー規制当局] によって逮捕され、数万ポンドから数十万ポンドの罰金を科されたということです。かなり奇妙に呼ばれるものに身を置く 電話優先サービス イギリスで…

…まるで、一部の人々が実際にこれらのガベージコールを選択したいと考えていることを認めているかのようです。 [笑い]

ダグ。 "好む"？！ [笑う]

アヒル。 私はそれが米国のやり方が好きです。

登録して苦情を申し立てる場所は、donotcall DOT gov です。

ダグ。 はい！ "電話はしないで下さい！"

アヒル。 悲しいことに、電話に関して言えば、私たちはまだオプトアウトの世界に住んでいます.彼らはあなたができないと言うまであなたに電話することが許されています.

しかし、私の経験では、問題は解決しませんが、Do Not Call 登録を行っても、電話を受ける回数が「増加」しないことはほぼ確実です。

私がオーストラリアに住んでいたときも、今イギリスに住んでいるときも、それは私に違いをもたらしました…

…そして、電話を時々報告することで、少なくともあなたの国の規制当局は、将来のある時点で何らかの行動を取る可能性を得ることができます.

誰も何も言わなければ、何事もなかったかのようだからです。

ダグ。 これは、この記事に対する読者のコメントとうまく一致しています。

Naked Security の読者 Phil は次のようにコメントしています。

ボイスメールは私にとってすべてを変えました。

発信者がメッセージを残すことを望まず、ほとんどがそうでない場合は、折り返し電話する理由がありません。

さらに、詐欺電話を報告するには、身元不明の発信者からの電話に応答し、報告するためだけに誰かとやり取りするために必要な時間を無駄にする必要があります。

電話に出ても、ロボットと話していることになります…いや、ありません！

では、それが答えでしょうか。電話に出ないで、これらの詐欺師と取引しないでください。

それとも、もっと良い方法がありますか、ポール?

アヒル。 私が見つけたのは、その番号が詐欺の番号だと思ったら…

詐欺師や迷惑電話の発信者の中には、毎回異なる番号を使用する人もいます。常にローカルのように見えるため、見分けるのは困難ですが、最近、同じ番号が何度も何度も繰り返されることに悩まされていました。それをブロックします。

…通常、私は電話に出るだけで、何も言いません。

彼らは私を呼んでいます。そんなに重要なら、彼らはこう言うでしょう。こんにちは？それは…？」と私の名前を使って。

これらの迷惑電話や詐欺師の多くは、自動化されたシステムを使用しており、あなたが電話に出るのを聞いたときにのみ、あなたを側のオペレーターに接続しようとします.

電話オペレーターが実際に電話をかけることはありません。

彼らはあなたに電話をかけ、あなたが身元を明かしている間に、電話をかけたふりをすることができる誰かをキューですぐに見つけます.

そして、それは非常に良い景品であることがわかりました。こんにちは？誰かいますか?」という質問が表示されたら、自動化されたシステムを扱っていることがわかります。

ただし、これは英国特有のものだと思いますが、厄介な問題があります。

いわゆる「サイレントコール」を通報する官僚、まるで言葉が出ない荒い息のストーカータイプ…