슬래머의 사기꾼(및 기타 이야기)
Doug Aamoth와 Paul Ducklin과 함께.
인트로 및 아웃트로 음악 에디스 머지.
원하는 지점으로 건너뛰려면 아래의 음파를 클릭하고 끕니다. 당신은 또한 수 직접 들어 사운드클라우드에서.
당신은 우리를들을 수 있습니다 사운드 클라우드, Apple Podcasts, Google 포드 캐스트, 스포티 파이, 스티 그리고 좋은 팟캐스트가 있는 곳이면 어디든지. 아니면 그냥 버리세요 RSS 피드의 URL 좋아하는 팟캐쳐에.
대본 읽기
더그. 마이크로소프트의 이중 제로데이, 사기꾼 감옥, 가짜 전화.
Naked Security 팟캐스트에서 이 모든 것.
[뮤지컬 모뎀]
팟캐스트에 오신 것을 환영합니다. 저는 더그 아모스입니다.
그는 폴 더클린...
오리. 반가워요, 더글러스.
더그. 나는 가지고있다. 기술 역사 당신을 위해 그리고 그것은 방법, 방법, 방법, 방법, 방법, 그리고 방법과 계산기와 관련이 있습니다.
이번 주, 7년 1954월 XNUMX일 IBM은 최초의 모든 트랜지스터 계산기를 시연했습니다.
XNUMXD덴탈의 IBM 전자 계산 펀치, 라고 불리는 1250개의 진공관을 2000개의 트랜지스터로 교체했습니다.
오리. 와우!
나는 그 "604"에 대해 들어본 적이 없어서 가서 찾아보았지만 사진을 찾을 수 없었습니다.
분명히 그것은 단지 실험적인 모델이었고, 몇 달 후 그들이 당신이 살 수 있는 608이라고 불리는 것을 꺼냈고 그들은 그것을 3000개의 트랜지스터로 올렸습니다.
그러나 Doug, 이것은 아직 IC가 없었기 때문에 집적 회로[IC]에서와 같은 트랜지스터가 아니라는 것을 기억하십시오.
밸브, 열이온 밸브(또는 "toob"[진공관]이라고 칭함)가 있는 곳에 트랜지스터가 대신 배선되어 있을 것입니다.
따라서 훨씬 작았지만 여전히 개별 구성 요소였습니다.
'계산기' 하면 '포켓 계산기'가 생각나는데...
더그. 오, 안돼, 안돼!
오리. "아니요" 말씀대로...
...매우 큰 냉장고 크기입니다!
그리고 그 옆에 아주 큰 냉장고가 필요합니다. 제가 본 사진에서는 입력용이라고 생각합니다.
그리고 두 대의 매우 큰 냉장고 옆에 매우 큰 냉동고처럼 보이는 다른 제어 회로가 있었습니다.
나는 이것을 깨닫지 못했지만, 분명히 그 당시 Thomas Watson[IBM CEO]은 모든 IBM에 대해 다음과 같은 법령을 만들었습니다. 우리는 절대적으로 수용하고 지지하며 트랜지스터만을 사용하고 있습니다.”
그리고 모든 것이 그 이후로 흘러간 곳입니다.
따라서 이것은 트랜지스터 혁명의 선봉에 있었지만 분명히 곧 대체되었습니다. 시장에 출시된 지 약 18개월밖에 되지 않았습니다.
더그. 글쎄, 매우 큰 주제에 머물고 이 Microsoft Exchange 더블 제로 데이에 대해 청취자를 업데이트합시다.
우리는 그것을 덮었습니다. 미니소드; 우리는 그것을 덮었습니다 그 자리에서...하지만 우리가 알아야 할 새로운 것이 있습니까?
오리. 그렇지 않아, 더글라스.
ProxyShell 및 Log4Shell 않았다 :
거기에는 두 가지 이유가 있다고 생각합니다.
첫째, 취약점의 실제 세부 사항은 여전히 비밀입니다.
그들은 그것을 발견한 베트남 회사, 책임감 있게 공개된 ZDI(ZeroDay Initiative) 및 Microsoft에 알려져 있습니다.
그리고 모두가 그것을 모자 아래에 보관하는 것 같습니다.
따라서 내가 아는 한 "지금 이것을 시도하십시오!"라는 개념 증명이 250개 없습니다. 스스로 할 수 있는 GitHub 리포지토리.
둘째, 인증된 액세스가 필요합니다.
그리고 내 직감으로는 Proxyshell 또는 Log4Shell을 사용하여 인터넷을 통해 공격을 실행하는 유행에 뛰어든 지망생 "사이버 보안 연구원"(여기에 삽입된 거대한 공기 인용문)이 서비스의 세계를 하고 있다고 주장했습니다. 귀하의 웹 서비스가 취약한 경우 알아내고 알려드리겠습니다.”…
...많은 사람들이 실제로 암호를 추측해야 하는 동일한 공격을 시도하는 것에 대해 두 번 생각할 것이라고 생각합니다.
그것은 모래에서 다소 중요한 선의 반대편에있는 것처럼 느껴지지 않습니까?
더그. 어 - 허.
오리. 요청을 수락하도록 설계된 개방형 웹 서버가 있는 경우 액세스해서는 안 된다는 것을 알고 있는 서버에 요청을 보내고 액세스해서는 안 된다는 것을 알고 있는 암호를 제공하는 것과는 매우 다릅니다. 그것이 의미가 있는지 알기 위해.
더그. 예.
오리. 따라서 좋은 소식은 널리 악용되지 않는 것 같습니다...
...하지만 아직 패치가 나오지 않았습니다.
그리고 패치가 나오면 빨리 받아야 한다고 생각합니다.
지체하지 마십시오. 패치를 리버스 엔지니어링하여 실제로 이 기능을 안정적으로 활용하는 방법을 찾으려고 하는 열광적인 열광이 있을 것이라고 생각하기 때문입니다.
우리가 아는 한, 꽤 잘 작동하기 때문입니다. 암호가 있는 경우 첫 번째 익스플로잇을 사용하여 두 번째 익스플로잇의 문을 열어 Exchange 서버에서 PowerShell을 실행할 수 있습니다.
그리고 그것은 결코 좋게 끝날 수 없습니다.
오늘 아침에 Microsoft의 가이드라인 문서를 살펴보았지만(우리는 매주 수요일에 녹음 중입니다) 패치나 패치가 언제 제공될지에 대한 정보를 보지 못했습니다.
다음주 화요일은 패치 화요일인데 그때까지 기다리게 하는 건 아닐까?
더그. 좋습니다, 우리는 그것을 계속 주시할 것이고, 당신이 그것을 볼 때 업데이트하고 패치하십시오... 그것은 중요합니다.
계산기로 돌아가서 알려드리겠습니다. 작은 방정식.
사기 2년 + 사기 10천만 달러 = 징역 25년:
오리. 이것은 범죄자입니다. 이제 그가 유죄 판결을 받았을 뿐만 아니라 선고를 받았기 때문에 그렇게 부를 수 있습니다. 드라마틱하게 들리는 이름은 Elvis Eghosa Ogiekpolor입니다.
그리고 그는 몇 년 전 미국 조지아주 애틀랜타에서 소위 장인 사이버갱단을 운영했습니다.
불과 10년 만에 그들은 BEC(Business Email Compromise)로 알려진 사건의 희생자가 된 불행한 회사와 로맨스 사기에 유인한 불행한 개인을 먹고 XNUMX만 달러를 벌었습니다.
Elvis(그냥 그렇게 부를게요)... 이 경우, 그는 돈을 입금한 다음 세탁할 수 있는 사기로 개설된 미국 은행 계좌의 전체 웹을 만든 팀을 함께 만들었습니다.
그리고 그는 유죄 판결을 받았을 뿐만 아니라 선고를 받았습니다.
판사는 분명히 이 범죄의 성격과 희생자의 성격이 연방 교도소에서 25년형을 받을 만큼 충분히 심각하다고 결정했습니다.
더그. 비즈니스 이메일 침해에 대해 알아보겠습니다.
누군가의 이메일 주소를 사칭하거나 실제 이메일 주소를 도용하고 있다는 점이 매력적이라고 생각합니다.
그리고 이를 통해 일단 누군가를 낚아채면 많은 일을 할 수 있습니다.
여기 기사에 나열되어 있습니다. 빠르게 살펴보겠습니다.
큰 지불 기한이 언제인지 알 수 있습니다 ...
오리. 과연.
분명히, 외부에서 메일을 보내고 있고 이메일 헤더를 스푸핑하여 이메일이 CFO에게서 온 것처럼 가장하는 경우 CFO가 무엇을 알고 있는지 추측해야 합니다.
그러나 매일 아침 일찍 CFO의 이메일 계정에 로그인할 수 있다면 로그인하기 전에 진행 중인 모든 중요한 일을 엿보고 메모할 수 있습니다.
따라서 그들을 가장하기 위해 올 때 실제로 그들의 계정에서 보낸 이메일을 보내는 것뿐만 아니라 엄청난 양의 내부 지식을 가지고 그렇게 하는 것입니다.
더그. 그리고 물론, 모르는 직원에게 이 공급업체에 많은 돈을 송금해달라고 요청하는 이메일을 받았을 때 "이게 진짜입니까?"…
… 실제 이메일 시스템에 액세스한 경우 회신할 수 있습니다. “당연히 진짜야. 이메일 주소를 보세요. 저는 CFO입니다.”
오리. 그리고 물론 더 나아가 이렇게 말할 수 있습니다. 그래서 회사 기밀입니다. 회사의 다른 사람에게 알리지 않도록 하십시오.”
더그. 예 – 두 배의 위력!
당신은 이렇게 말할 수 있습니다. 아니 IT! 수상한 메시지로 보고하지 마십시오.”
그런 다음 Sent 폴더로 이동하여 CFO를 대신하여 보낸 가짜 이메일을 삭제할 수 있습니다. 그러면 아무도 당신이 그곳에 있었다는 것을 알 수 없습니다.
그리고 당신이 "좋은" BEC 사기꾼이라면 실제 직원의 이전 이메일을 뒤지고 그 사람이 사용한 일반적인 문구를 복사하여 붙여넣어 해당 사용자의 스타일을 일치시킬 것입니다.
오리. 당연하지, 더그.
이전에 피싱 이메일에 대해 이야기했을 때… 다음과 같이 보고한 독자에 대해 이야기한 것 같습니다. 성격이 너무 안 좋아."
아니면 사인오프에 웃는 얼굴과 같은 이모티콘이 있었는데 [웃음] 이 사람은 절대 하지 않을 것입니다.
물론 이전 이메일의 표준 인트로와 아웃트로만 복사하여 붙여넣으면 그런 문제를 피할 수 있습니다.
그리고 다른 점은 Doug, 실제 계정에서 이메일을 보내면 그 사람의 진짜 진짜 이메일 서명을 받는다는 것입니다. 그렇지 않나요?
회사 서버에 의해 추가되고, 당신이 기대하는 것과 똑같이 보이게 합니다.
더그. 그리고 저는 이 분리를 좋아합니다...
...최고 수준의 범죄자로서, 당신은 회사를 찢어버릴 뿐만 아니라 회사의 *고객*도 쫓아가서 "이봐, 이 인보이스를 지금 지불하고 이 새로운 은행 계좌?"
회사뿐만 아니라 회사와 협력하는 회사도 사기를 칠 수 있습니다.
오리. 전혀.
더그. 그리고 Elvis가 단지 회사를 속이고 있다고 생각하지 않도록 ... 그는 또한 로맨스 사기였습니다.
오리. 법무부는 그들이 사기를 당한 사업 중 일부가 한 번에 수십만 달러를 받았다고 보고합니다.
그리고 그들의 사기의 이면은 로맨스 사기라고 불리는 개인을 노리는 것이었습니다.
이 사건에 증인으로 나온 사람이 13명이었던 것 같은데, 법무부에서 언급한 두 가지 사례는 각각 32,000달러와 70,000달러였던 것 같습니다.
더그. 알겠습니다. 비즈니스 이메일 손상으로부터 비즈니스를 보호하는 방법과 로맨스 사기로부터 자신을 보호하는 방법에 대한 몇 가지 조언이 있습니다.
비즈니스 이메일 침해부터 시작하겠습니다.
나는 이 첫 번째 요점이 쉽고 매우 낮은 매달린 과일이기 때문에 좋아합니다. 직원이 의심스러운 이메일을 보고할 수 있는 중앙 이메일 계정을 만드십시오.
오리. 예, 가지고 있는 경우 security@example.com, 그러면 아마도 당신은 그 이메일 계정을 정말 조심스럽게 돌볼 것이며, 회사의 다른 임의 직원의 계정을 손상시키는 것과 비교하여 비즈니스 이메일 손상 담당자가 SecOps 계정을 손상시킬 가능성이 훨씬 적다고 주장할 수 있습니다.
그리고 아마도 또한 그곳에서 무슨 일이 일어나고 있는지 주시할 수 있는 사람이 최소한 몇 명 있다면, 단순히 질문하는 것보다 해당 이메일 주소에서 유용하고 선의의 응답을 얻을 가능성이 훨씬 더 높습니다. 관련 개인.
CFO의 이메일이 손상되지 않았더라도... 피싱 이메일을 받은 후 CFO에게 "이게 합법인지 아닌지?"라고 묻는다면 CFO를 매우 어려운 위치에 두는 것입니다.
"IT 전문가, 사이버 보안 연구원 또는 보안 운영 담당자처럼 행동할 수 있습니까?"라고 말하는 것입니다.
이를 중앙 집중화하는 것이 훨씬 낫습니다. 그래서 사람들이 약간 다르게 보이는 것을 보고할 수 있는 쉬운 방법이 있습니다.
그것은 또한 당신이 평소에 하는 것이 “음, 그건 분명히 피싱입니다. 그냥 지울게"…
...그것을 보내면 *당신*이 당연하다고 생각하더라도 SecOps 팀이나 IT 팀이 나머지 회사에 경고할 수 있습니다.
더그. 괜찮아.
그리고 다음 조언: 확실하지 않은 경우 이메일을 보낸 사람에게 직접 확인하십시오.
그리고 핵심 내용을 망치지 않기 위해 아마도 다른 방법으로 이메일을 통해서는 아닐 것입니다...
오리. 신뢰할 수 없는 메시지를 보내는 데 사용된 메커니즘이 무엇이든 동일한 시스템을 통해 다시 메시지를 보내지 마십시오!
계정이 해킹되지 않은 경우 "아니요, 걱정하지 마십시오. 모든 것이 정상입니다."라는 응답을 받게 됩니다.
계정이 *해킹*된 경우 "오, 아니요, 걱정하지 마세요. 모든 것이 잘 됩니다!"라는 메시지가 다시 표시됩니다. [웃음]
더그. 괜찮아.
그리고 마지막으로 중요한 것은 다음과 같습니다. 계정 결제 세부정보 변경 시 XNUMX차 승인이 필요합니다.
오리. 문제에 대한 두 번째 눈(XNUMX차 승인)이 있는 경우 [A]는 비뚤어진 내부자가 도움을 주는 경우 사기를 피하는 것을 더 어렵게 만들고 [B]는 분명히 고객을 도우려는 노력은 "이것이 합법인지 아닌지"를 결정하는 전적인 책임과 압력을 가집니다.
종종 두 눈이 하나보다 낫습니다.
아니면 네 개의 눈이 종종 두 개보다 낫다는 뜻일 수도 있습니다.
더그. 예. [웃음].
로맨스 사기에 관심을 돌려보자.
첫 번째 조언은 다음과 같습니다. 데이트 이야기가 우정, 사랑 또는 로맨스에서 돈으로 바뀔 때 속도를 줄이십시오.
오리. 예.
XNUMX월이죠, Doug?
다시 한 번 사이버 보안 인식의 달입니다... #cybermonth, 사람들이 하고 있는 말을 추적하고 싶다면.
우리가 팟캐스트에서 여러 번 말한 아주 작은 모토(그 말이 맞습니까?)가 있습니다. 왜냐하면 저는 당신과 내가 그것을 좋아하기 때문입니다, Doug.
이것은 미국 공공 서비스에서 ...
양자 모두. 중지. (기간.)
생각한다. (기간.)
연결하다. (기간.)
오리. 너무 서두르지 마십시오!
온라인 문제에 관해서는 정말로 "서두르지 말고 여유롭게 회개하십시오"의 문제입니다.
더그. 그리고 어떤 사람들에게는 어려울 수 있는 또 다른 조언은… 그러나 자신을 들여다보고 따르도록 노력하십시오. 친구와 가족이 경고하려고 하면 공개적으로 경청하십시오.
오리. 예.
저는 Sophos Australia에서 일할 때 과거에 로맨스 스캠 문제를 다룬 사이버 보안 이벤트에 참석했습니다.
이 시점에서 사기를 시도하고 개입하는 것이 직업인 경찰 서비스에 있는 사람들의 이야기를 듣는 것은 고통스러웠습니다...
...그리고 이 경찰들 중 일부가 방문에서 돌아올 때 얼마나 우울했는지 알아보기 위해.
어떤 경우에는 온 가족이 사기를 당하기도 했습니다.
이들은 분명히 로맨스 유형보다는 "금융 투자" 유형에 가깝지만 *모두*가 사기꾼의 편에 있었기 때문에 법 집행 기관이 그곳에 갔을 때 가족이 주의 깊게 제공한 "모든 답변"을 가지고 있었습니다. 구부러진 갈고리.
그리고 로맨스 사기에서 그들은 당신의 낭만적인 관심 *그리고* 당신과 가족 사이에 쐐기를 박는 것에 대해 아무 생각도 하지 않을 것이므로 당신은 그들의 조언을 듣지 않게 됩니다.
따라서 은행 계좌뿐만 아니라 가족과도 멀어지지 않도록 주의하십시오.
더그. 괜찮아.
그리고 마지막 조언이 있습니다. 기사 내부에 훌륭한 비디오가 포함되어 있습니다.
기사라고 합니다 Romance Scammer와 BEC Fraudster는 25 년 동안 감옥에 수감되었습니다.:
따라서 이 비디오를 시청하십시오. 이 비디오에는 훌륭한 팁이 많이 있습니다.
사기에 대한 주제를 계속해서 살펴보고 사기꾼과 악성 발신자에 대해 이야기해 보겠습니다.
사기 전화를 막을 수 있습니까?
즉 년대 큰 질문 오늘의 오늘:
오리. 음, 사기 전화가 있고 성가신 전화가 있습니다.
때때로 성가신 전화는 사기 전화에 매우 가까운 것 같습니다.
이들은 합법적인 비즈니스를 대표하는 사람들입니다. [분노함] 하지만 전화를 끊지 않고 [더 초조함] 당신이 "나는 전화 금지 목록에 있습니다 [분노] 그래서 다시 전화하지 마십시오. "
그래서 나는 Naked Security에 대해 사람들에게 다음과 같은 글을 썼습니다. 만약 당신이 스스로 할 수 있다면 (나는 당신이 이것을 매번 해야 한다고 제안하는 것이 아니라 정말 번거로운 일입니다), 당신이 *하고* 불평한다면, 때로는 결과가 있습니다.
이 글을 쓰게 된 계기는 "환경적" 제품을 판매하는 XNUMX개 회사가 정보 위원회[ICO, 영국 데이터 개인 정보 보호 규제 기관]에 의해 적발되었고, 다소 이상하게 불리는 것에 자신을 두다 전화 선호 서비스 영국에서…
… 마치 일부 사람들이 실제로 이러한 가비지 호출을 선택하기를 원한다는 것을 인정하는 것과 같습니다. [웃음]
더그. "선호하다"?! [웃음]
오리. 나는 미국의 방식을 좋아합니다.
등록하고 불만을 제기하는 장소는 다음과 같습니다. donotcall DOT gov.
더그. 예! "전화 걸지 마!"
오리. 슬프게도, 전화 통신의 경우 우리는 여전히 옵트아웃 세계에 살고 있습니다... 당신이 할 수 없다고 말할 때까지 그들은 당신에게 전화를 걸 수 있습니다.
그러나 내 경험에 따르면 문제가 해결되지는 않지만 Do Not Call 등록을 하는 것이 전화를 받는 횟수를 *증가시키지* 않을 것이 거의 확실합니다.
그것은 제가 호주에 살았을 때와 지금 영국에 살고 있을 때 모두 저에게 변화를 가져왔습니다.
… 그리고 때때로 전화를 보고하는 것은 적어도 귀하의 국가의 규제 기관이 미래의 어느 시점에서 일종의 조치를 취할 수 있는 싸움 기회를 제공합니다.
아무도 아무 말도 하지 않으면 마치 아무 일도 없었던 것처럼 하기 때문입니다.
더그. 이는 이 기사에 대한 독자 의견에 잘 맞습니다.
Naked Security 독자 Phil은 다음과 같이 말합니다.
음성 메일은 저에게 모든 것을 바꾸어 놓았습니다.
발신자가 메시지를 남기는 것을 꺼려하고 대부분이 그렇지 않다면 내가 전화를 받을 이유가 없습니다.
게다가 사기 전화를 신고하려면 신원을 알 수 없는 발신자의 전화를 받고 신고할 목적으로만 누군가와 소통하는 데 필요한 시간을 낭비해야 했습니다.
전화를 받더라도 어쨌든 로봇에게 말을 겁니다... 아니요!
그래서, 그것이 답입니다. 전화를 받지 않고 이 사기꾼들과 거래하지 마십시오.
아니면 더 좋은 방법이 있나요, 폴?
오리. 내가 찾은 것은 번호가 사기 번호라고 생각되면 ...
사기꾼이나 성가신 발신자 중 일부는 매번 다른 번호를 사용합니다. 항상 지역적으로 보일 것이므로 구별하기 어렵습니다. 하지만 최근에 같은 번호가 계속 반복되는 문제에 시달렸지만 그것을 차단하십시오.
…일반적으로 내가 하는 일은 전화만 받고 아무 말도 하지 않는 것입니다.
그들이 나를 부르고 있다. 그것이 그렇게 중요하다면 그들은 "안녕하세요? 안녕하십니까? 그게...?”라고 말하고 내 이름을 사용한다.
나는 이러한 성가신 발신자와 사기꾼 중 많은 수가 자동 시스템을 사용하고 있다는 것을 알게 되었습니다. 이 시스템은 귀하가 전화에 응답하는 것을 들었을 때만 귀하를 옆에 있는 교환원에게 연결하려고 시도합니다.
그들은 전화 교환원이 실제로 전화를 걸지 않습니다.
그들은 당신에게 전화를 걸고, 당신이 자신을 식별하는 동안 대기열에서 전화를 건 척 가장할 수 있는 누군가를 빠르게 찾습니다.
아무 일도 일어나지 않으면 아무도 “안녕하세요? 안녕하십니까? 아무도 없습니까?”라고 묻는다면 자동화된 시스템을 다루고 있다는 것을 알 수 있습니다.
그러나 성가신 문제가 있습니다. 제 생각에는 이것이 영국에만 해당된다고 생각합니다.
말 한 마디도 하지 않는 가쁜 숨을 몰아쉬는 스토커처럼 이른바 '침묵의 전화'를 신고하는 관료주의…
...보고 메커니즘은 누군가가 "이봐, 나는 John이고 나는 당신에게 필요하지도 않고 좋지도 않은 이 제품을 판매하고 싶다"라고 말하는 전화를 보고하는 메커니즘과 완전히 다릅니다. 정말 짜증나.
무성 통화 신고는 전화 규제 기관을 거치며 더 심각한 범죄인 것처럼 취급됩니다. 역사적 이유로 추측됩니다.
자신을 식별해야 합니다. 익명으로 보고할 수 없습니다.
그래서 나는 그것이 성가신 것을 발견하고 그들이 그것을 바꾸기를 바랍니다!
그것은 당신이라고 불리는 로봇 시스템일 뿐이고 당신이 아직 통화 중인지 알지 못하기 때문에 당신과 이야기할 사람을 배정하지 않았습니다…
… 더 쉽게 익명으로 신고할 수 있다면 솔직히 신고하고 싶습니다.
더그. 괜찮아.
일부 국가에서 악성 전화를 신고하기 위한 기사에 몇 가지 링크가 있습니다.
그리고 그 의견을 보내주신 필, 감사합니다.
제출하고 싶은 흥미로운 이야기, 의견 또는 질문이 있으면 팟캐스트에서 읽고 싶습니다.
Tips@sophos.com으로 이메일을 보내거나, 우리 기사 중 하나에 댓글을 달거나, @nakedsecurity 소셜에서 연락할 수 있습니다.
그것이 오늘의 쇼입니다. 들어주셔서 대단히 감사합니다.
Paul Ducklin에게 저는 Doug Aamoth라고 합니다. 다음 시간까지...
양자 모두. 보안 유지.
[뮤지컬 모뎀]
