OPLICHTERS IN DE SLAMMER (EN ANDERE VERHALEN)
Met Doug Aamoth en Paul Ducklin.
Intro en outro muziek door Edith Mudge.
Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.
Je kunt naar ons luisteren op Soundcloud, Apple Podcasts, Google Podcasts, Spotify, stikster en overal waar goede podcasts te vinden zijn. Of laat de URL van onze RSS-feed in je favoriete podcatcher.
LEES DE TRANSCRIPT
DOUG. Microsoft's dubbele zero-day, gevangenis voor oplichters en neptelefoontjes.
Dat alles, en meer, op de Naked Security-podcast.
[MUZIEK MODEM]
Welkom bij de podcast, allemaal. Ik ben Doug Aamoth.
Hij is Paul Ducklin...
EEND. Het is een groot genoegen, Douglas.
DOUG. ik heb wat Technische geschiedenis voor jou en het gaat ver terug, ver, ver, ver terug, en het heeft te maken met rekenmachines.
Deze week, op 7 oktober 1954, demonstreerde IBM de eerste in zijn soort all-transistor rekenmachine.
De IBM elektronische rekenpons, zoals het werd genoemd, verruilde zijn 1250 vacuรผmbuizen voor 2000 transistors, waardoor het volume werd gehalveerd en slechts 5% zoveel stroom werd verbruikt.
EEND. Wow!
Ik had nog nooit van die "604" gehoord, dus ik ging het opzoeken, en ik kon geen foto vinden.
Blijkbaar was dat slechts het experimentele model, en een paar maanden later brachten ze degene uit die je kon kopen, de 608, en ze hadden het verhoogd tot 3000 transistors.
Maar onthoud, Doug, dit zijn geen transistors zoals in geรฏntegreerde schakelingen [IC's] omdat er nog geen IC's waren.
Waar je een klep zou hebben gehad, een thermionische klep (of een "toob" [vacuรผmbuis], zoals jullie het zouden noemen), zou in plaats daarvan een transistor zijn aangesloten.
Dus hoewel het veel kleiner was, waren het nog steeds discrete componenten.
Als ik aan "rekenmachine" denk, denk ik aan "zakcalculator" ...
DOUG. O, nee, nee, nee!
EEND. "Nee", zoals je zegt...
โฆhet is zo groot als een hele grote koelkast!
En dan heb je een hele grote koelkast ernaast nodig, op de foto die ik zag, die volgens mij voor input is.
En dan was er nog een ander regelcircuit dat eruitzag als een zeer grote diepvrieskist, naast de twee zeer grote koelkasten.
Ik realiseerde me dit niet, maar blijkbaar heeft Thomas Watson [CEO van IBM] destijds dit decreet voor heel IBM uitgevaardigd: โNieuwe producten mogen geen kleppen, vacuรผmbuizen gebruiken. We omarmen, onderschrijven en gebruiken absoluut alleen transistors.โ
En zo ging alles daarna.
Dus hoewel dit in de voorhoede van de transistorrevolutie was, was het blijkbaar snel achterhaald ... het was slechts ongeveer 18 maanden op de markt.
DOUG. Nou, laten we bij het onderwerp blijven van hele grote dingen, en onze luisteraars informeren over deze dubbele zero-day van Microsoft Exchange.
We hebben het behandeld op een mini-frisdrank; we hebben het gedekt op de plaatsโฆ maar is er iets nieuws dat we moeten weten?
EEND. Niet echt, Douglas.
Het lijkt de cybercurity-wereld of beveiligingsoperaties [SecOps] zoals ProxyShell en Log4Shell deed:
Ik vermoed dat daar twee redenen voor zijn.
Ten eerste zijn de feitelijke details van de kwetsbaarheid nog steeds geheim.
Ze zijn bekend bij het Vietnamese bedrijf dat het ontdekte, bij het ZeroDay Initiative [ZDI] waar het op verantwoorde wijze werd bekendgemaakt, en bij Microsoft.
En iedereen lijkt het onder de pet te houden.
Dus, voor zover ik weet, zijn er geen 250 proof-of-concept "probeer dit nu!" GitHub-opslagplaatsen waar u het zelf kunt doen.
Ten tweede vereist het geverifieerde toegang.
En mijn gevoel is dat alle wannabe "cybersecurity-onderzoekers" (gigantische luchtcitaten hier ingevoegd) die op de kar sprongen van het uitvoeren van aanvallen via internet met Proxyshell of Log4Shell, bewerend dat ze de wereld van service deden: "Hรฉ, als uw webservice kwetsbaar is, zal ik erachter komen, en ik zal u vertellen "...
โฆIk vermoed dat veel van die mensen twee keer zullen nadenken over het proberen om dezelfde aanval uit te voeren waarbij ze wachtwoorden moeten raden.
Dat voelt alsof het de andere kant is van een nogal belangrijke lijn in het zand, nietwaar?
DOUG. Uh Huh.
EEND. Als je een open webserver hebt die is ontworpen om verzoeken te accepteren, is dat heel wat anders dan het verzenden van een verzoek naar een server waarvan je weet dat je er geen toegang toe hebt, en proberen een wachtwoord op te geven waarvan je weet dat het niet de bedoeling is weten, als dat zinvol is.
DOUG. Ja.
EEND. Dus het goede nieuws is dat het niet op grote schaal wordt uitgebuit...
... maar er is nog steeds geen patch uit.
En ik denk dat, zodra een patch verschijnt, je deze snel moet hebben.
Wacht niet te lang, want ik stel me voor dat er een beetje een razende razernij zal zijn bij het proberen om de patches te reverse-engineeren om erachter te komen hoe je dit ding echt betrouwbaar kunt exploiteren.
Omdat het, voor zover we weten, best goed werkt - als je een wachtwoord hebt, kun je de eerste exploit gebruiken om de deur te openen naar de tweede exploit, waarmee je PowerShell op een Exchange-server kunt draaien.
En dat kan nooit goed aflopen.
Ik heb vanochtend het document Richtlijnen van Microsoft bekeken (we nemen de woensdag van de week op), maar ik heb geen informatie gezien over een patch of wanneer deze beschikbaar zal zijn.
Aanstaande dinsdag is het Patch Tuesday, dus misschien moeten we tot dan wachten?
DOUG. OK, we houden dat in de gaten, en update en patch als je het ziet... het is belangrijk.
Ik ga terug naar onze rekenmachine en geef je een kleine vergelijking.
Het gaat als volgt: 2 jaar oplichting + $10 miljoen opgelicht = 25 jaar gevangenisstraf:
EEND. Dit is een crimineel โ we kunnen hem nu zo noemen omdat hij niet alleen is veroordeeld, maar veroordeeld โ met een dramatisch klinkende naam: Elvis Eghosa Ogiekpolor.
En hij leidde een paar jaar geleden wat je een ambachtelijke cyberbende zou kunnen noemen in Atlanta, Georgia in de Verenigde Staten.
In iets minder dan twee jaar smulden ze, zo je wilt, van ongelukkige bedrijven die het slachtoffer waren van wat bekend staat als Business Email Compromise [BEC], en ongelukkige individuen die ze hebben gelokt tot romantiekzwendel... en $ 10 miljoen verdienden.
Elvis (ik noem hem maar zo)... in dit geval had hij een team bij elkaar gekregen dat een heel web van frauduleus geopende Amerikaanse bankrekeningen had gecreรซerd waar hij het geld kon storten en vervolgens wit kon wassen.
En hij is niet alleen veroordeeld, hij is zojuist veroordeeld.
De rechter besloot duidelijk dat de aard van deze misdaad, en de aard van het slachtofferschap, voldoende ernstig was dat hij 25 jaar in een federale gevangenis kreeg.
DOUG. Laten we ingaan op zakelijke e-mailcompromissen.
Ik vind het fascinerend - je doet of iemands e-mailadres na, of je hebt het echte e-mailadres van iemand te pakken gekregen.
En daarmee, als je eenmaal iemand aan de haak kunt krijgen, kun je een heleboel dingen doen.
Je noemt ze hier in het artikel - ik zal ze heel snel doornemen.
U kunt leren wanneer grote betalingen verschuldigd zijn ...
EEND. Inderdaad.
Het is duidelijk dat als je van buitenaf mailt en je de e-mailheaders vervalst om te doen alsof de e-mail van de CFO komt, je moet raden wat de CFO weet.
Maar als je elke ochtend vroeg kunt inloggen op het e-mailaccount van de CFO, voordat ze dat doen, dan kun je een kijkje nemen in alle grote dingen die gaande zijn en je kunt aantekeningen maken.
En dus, wanneer je hen gaat imiteren, verstuur je niet alleen een e-mail die daadwerkelijk van hun account komt, je doet dit met een verbazingwekkende hoeveelheid voorkennis.
DOUG. En dan, natuurlijk, wanneer u een e-mail ontvangt waarin u een onwetende werknemer vraagt โโom een โโhoop geld over te maken naar deze verkoper en zij zeggen: "Is dit echt?"...
...als je toegang hebt gekregen tot het eigenlijke e-mailsysteem, kun je antwoorden. โNatuurlijk is het echt. Kijk naar het e-mailadres โ ik ben het, de CFO.โ
EEND. En natuurlijk, meer nog, je kunt zeggen: โTrouwens, dit is een overname, dit is een deal die een opmars naar onze concurrenten zal stelen. Het is dus bedrijfsgeheim. Zorg ervoor dat je het aan niemand anders in het bedrijf vertelt.โ
DOUG. Ja - dubbele klap!
Je kunt zeggen: 'Ik ben het, het is echt, maar dit is een groot probleem, het is een geheim, vertel het aan niemand anders. Nee het! Meld dit niet als een verdacht bericht.โ
Je kunt dan naar de map Verzonden gaan en de valse e-mails verwijderen die je namens de CFO hebt verzonden, zodat niemand kan zien dat je daar hebt rondgekeken.
En als je een "goede" BEC-oplichter bent, ga je rondneuzen in de voormalige e-mails van de echte werknemer en pas je de stijl van die gebruiker aan door veelvoorkomende zinnen te kopiรซren en te plakken die die persoon heeft gebruikt.
EEND. Absoluut, Doug.
Ik denk dat we het eerder hebben gehad, toen we het hadden over phishing-e-mails ... over lezers die hebben gemeld: "Ja, ik heb er een als deze, maar ik mompelde het meteen omdat de persoon een begroeting in zijn e-mail gebruikte die is gewoon zo karakterloos.โ
Of er waren enkele emoji's in de afmelding, zoals een smiley [GELACHT], waarvan ik weet dat deze persoon het gewoon nooit zou doen.
Natuurlijk, als je gewoon de standaard intro en outro uit eerdere e-mails kopieert en plakt, vermijd je dat soort problemen.
En het andere, Doug, is dat als je de e-mail vanaf het echte account verzendt, het de echte, echte e-mailhandtekening van de persoon krijgt, nietwaar?
Die wordt toegevoegd door de bedrijfsserver en zorgt ervoor dat het er precies uitziet zoals u verwacht.
DOUG. En dan hou ik van deze afstap...
... als een eersteklas crimineel ga je niet alleen het bedrijf oplichten, je gaat ook achter *klanten* van het bedrijf aan die zeggen: "Hรฉ, kun je deze factuur nu betalen en naar deze nieuwe bankrekening?"
U kunt niet alleen het bedrijf bedriegen, maar ook de bedrijven waarmee het bedrijf samenwerkt.
EEND. Absoluut.
DOUG. En opdat je niet denkt dat Elvis gewoon bedrijven oplichtte... hij was ook romantiek aan het oplichten.
EEND. Het ministerie van Justitie meldt dat sommige van de bedrijven die ze hebben opgelicht, voor honderdduizenden dollars per keer zijn gestolen.
En de keerzijde van hun fraude was dat ze achter individuen aangingen in wat romantische oplichting wordt genoemd.
Blijkbaar waren er 13 mensen die naar voren kwamen als getuigen in de zaak, en twee van de voorbeelden die het DOJ (het ministerie van Justitie) noemde, gingen voor, denk ik, respectievelijk $ 32,000 en $ 70,000.
DOUG. Okรฉ, dus we hebben wat advies hoe u uw bedrijf kunt beschermen tegen zakelijke e-mailcompromissen en hoe u uzelf kunt beschermen tegen romantiekzwendel.
Laten we beginnen met Business Email Compromise.
Ik vind dit eerste punt leuk omdat het gemakkelijk is en het is erg laaghangend fruit: Maak een centraal e-mailaccount voor medewerkers om verdachte e-mails te melden.
EEND. Ja, als je dat hebt security@example.com, dan zult u vermoedelijk heel zorgvuldig voor dat e-mailaccount zorgen, en u zou kunnen stellen dat het veel minder waarschijnlijk is dat een persoon met een zakelijk e-mailcompromis het SecOps-account zou kunnen compromitteren in vergelijking met een compromitterend account van een andere willekeurige werknemer in het bedrijf.
En vermoedelijk ook, als je op zijn minst een paar mensen hebt die in de gaten kunnen houden wat daar gebeurt, heb je een veel grotere kans om nuttige en goedbedoelde reacties van dat e-mailadres te krijgen dan alleen de betrokken persoon.
Zelfs als de e-mail van de CFO niet is gecompromitteerd... als je een phishing-e-mail hebt gekregen en je vraagt โโde CFO: "Hรฉ, is dit legitiem of niet?", breng je de CFO in een zeer moeilijke positie.
U zegt: "Kun je doen alsof je een IT-expert, een cyberbeveiligingsonderzoeker of een beveiligingsmedewerker bent?"
Veel beter om dat te centraliseren, dus er is een gemakkelijke manier voor mensen om iets te melden dat er een beetje vreemd uitziet.
Het betekent ook dat als je normaal gesproken gewoon zou gaan, โNou, dat is duidelijk phishing. Ik verwijder het gewoon"...
...door het op te sturen, hoewel *je* denkt dat het voor de hand ligt, laat je het SecOps-team of het IT-team de rest van het bedrijf waarschuwen.
DOUG. Okee.
En het volgende advies: Neem bij twijfel rechtstreeks contact op met de afzender van de e-mail.
En, om de clou niet te bederven, waarschijnlijk misschien niet via e-mail op een andere manier...
EEND. Welk mechanisme u ook heeft gebruikt om u een bericht te sturen dat u niet vertrouwt, stuur ze niet via hetzelfde systeem terug!
Als het account niet is gehackt, krijg je het antwoord: "Nee, maak je geen zorgen, alles is in orde."
En als het account *is* gehackt, krijg je een bericht terug met de tekst: "Oh nee, maak je geen zorgen, alles is goed!" [LACHT]
DOUG. Okee.
En dan als laatste, maar zeker niet de minste: Secundaire autorisatie vereisen voor wijzigingen in de betalingsgegevens van uw account.
EEND. Als je een tweede paar ogen op het probleem hebt - secundaire autorisatie - dat [A] het moeilijker maakt voor een malafide insider om weg te komen met de zwendel als ze helpen, en [B] bedoelt dat niemand, die duidelijk proberen om klanten behulpzaam te zijn, moet de volledige verantwoordelijkheid en druk dragen om te beslissen: "Is dit legitiem of niet?"
Twee ogen zijn vaak beter dan รฉรฉn.
Of misschien bedoel ik dat vier ogen vaak beter zijn dan twee...
DOUG. Ja. [LACHT].
Laten we onze aandacht richten op romantiekzwendel.
Het eerste advies is: Vertraag wanneer datinggesprek verandert van vriendschap, liefde of romantiek in geld.
EEND. Ja.
Het is oktober, nietwaar, Doug?
Het is dus weer Cybersecurity Awareness Month... #cybermonth, als je wilt bijhouden wat mensen doen en zeggen.
Er is dat geweldige kleine motto (is dat het juiste woord?) dat we vaak in de podcast hebben gezegd, omdat ik je ken en ik vind het leuk, Doug.
Dit komt van de US Public Service...
BEIDE. Hou op. (Periode.)
Denken. (Periode.)
Aansluiten. (Periode.)
EEND. Wees niet te gehaast!
Het is echt een kwestie van "haast handelen, op je gemak berouw hebben" als het gaat om online zaken.
DOUG. En nog een advies dat voor sommige mensen moeilijk zal zijn... maar kijk in jezelf en probeer het op te volgen: Luister open naar je vrienden en familie als ze je proberen te waarschuwen.
EEND. Ja.
Ik ben bij cybersecurity-evenementen geweest die in het verleden te maken hadden met romantiekzwendel, toen ik bij Sophos Australia werkte.
Het was hartverscheurend om verhalen te horen van mensen bij de politie wiens taak het is om op dit moment te proberen in te grijpen in oplichting ...
...en gewoon om te zien hoe somber sommige van deze agenten waren toen ze terugkwamen van een bezoek.
In sommige gevallen waren hele families tot oplichting gelokt.
Dit zijn duidelijk meer van het type "financiรซle investering" dan van het romantische soort, maar *iedereen* stond aan de kant van de oplichter, dus toen de politie daarheen ging, had de familie "alle antwoorden" die zorgvuldig waren verstrekt door de oplichter.
En bij romantiekzwendel zullen ze er niets aan doen om je romantische interesse * en * een wig te drijven tussen jou en je familie, dus stop je met luisteren naar hun advies.
Pas dus op dat u niet vervreemd raakt van uw familie en ook van uw bankrekening.
DOUG. Okee.
En dan is er nog een laatste advies: Er is een geweldige video ingesloten in het artikel.
Het artikel heet Romance Scammer en BEC Fraudster krijgen 25 jaar cel:
Dus bekijk die video โ er staan โโveel goede tips in.
En laten we bij het onderwerp oplichting blijven, en praten over oplichters en malafide bellers.
Is het zelfs mogelijk om oplichters te stoppen?
Dat is de grote vraag van de dag nu:
EEND. Nou, er zijn oplichtingsgesprekken en er zijn hinderlijke telefoontjes.
Soms lijken de hinderlijke oproepen heel dicht bij oplichtingsoproepen te komen.
Dit zijn mensen die legitieme bedrijven vertegenwoordigen, [GEรซrgerd] maar ze houden gewoon niet op je te bellen, [WORDEN MEER GEAGITEERD], ongeacht of je ze vertelt: "Ik sta op de bel-me-niet-lijst [ANGRY] dus NIET MEER BELLEN. '
Dus schreef ik een artikel over Naked Security en zei tegen mensen... als je jezelf ertoe kunt brengen om het te doen (ik suggereer niet dat je dit elke keer zou moeten doen, het is een heel gedoe), het blijkt dat als je *doe* klagen, soms heeft het wel resultaat.
En wat me opviel om dit op te schrijven, is dat vier bedrijven die 'milieu'-producten verkopen, zijn opgepakt door de Information Commissioner's Office [ICO, UK Data Privacy Regulator] en een boete hebben gekregen van tien tot honderdduizenden ponden voor het bellen naar mensen die zetten zich op wat nogal vreemd wordt genoemd de Telefoonvoorkeursservice in het Verenigd Koninkrijkโฆ
โฆ het is alsof ze toegeven dat sommige mensen zich daadwerkelijk willen aanmelden voor deze onzinoproepen. [GELACH]
DOUG. "Verkiezen"?! [LACHT]
EEND. Ik hou van de manier waarop het is in de VS.
De plaats waar je naartoe gaat om je te registreren en te klagen is: bel niet DOT gov.
DOUG. Ja! "Bel niet!"
EEND. Helaas, als het op telefonie aankomt, leven we nog steeds in een opt-out wereld... ze mogen je bellen totdat je zegt dat ze dat niet kunnen.
Maar mijn ervaring is dat, hoewel het het probleem niet oplost, het vrijwel zeker is dat je jezelf in het Bel-me-niet-register niet meer *verhoogt*.
Het heeft voor mij een verschil gemaakt, zowel toen ik in Australiรซ woonde als nu in het VK...
...en het af en toe melden van telefoontjes geeft de toezichthouder in uw land in ieder geval een goede kans om op een bepaald moment in de toekomst actie te ondernemen.
Want als niemand iets zegt, dan is het alsof er niets is gebeurd.
DOUG. Dat sluit mooi aan bij onze lezerscommentaar op dit artikel.
Naked Security-lezer Phil merkt op:
Voicemail heeft alles voor mij veranderd.
Als de beller geen bericht wil achterlaten en de meeste niet, dan heb ik geen reden om terug te bellen.
Bovendien zou ik, om een โโzwendeltelefoontje te melden, de tijd moeten verspillen die nodig is om de telefoon te beantwoorden van een niet-geรฏdentificeerde beller en alleen met iemand te communiceren met het doel deze te melden.
Zelfs als ik de oproep beantwoord, praat ik toch met een robot... nee bedankt!
Dus, is dat het antwoord: neem gewoon nooit de telefoon op en ga nooit met deze oplichters om?
Of is er een betere manier, Paul?
EEND. Wat ik heb gevonden, is dat als ik denk dat het nummer een oplichternummer is...
Sommige oplichters of hinderlijke bellers zullen elke keer een ander nummer gebruiken โ het zal er altijd lokaal uitzien, dus het is moeilijk te zeggen, hoewel ik de laatste tijd geplaagd werd door een nummer waarbij het steeds hetzelfde nummer was, dus ik kan gewoon blokkeer dat.
...wat ik meestal doe, is dat ik gewoon de telefoon beantwoord en niets zeg.
Ze bellen me; als het zo belangrijk is, zullen ze zeggen: 'Hallo? Hallo? Is datโฆ?โ, en gebruik mijn naam.
Ik merk dat veel van deze vervelende bellers en oplichters geautomatiseerde systemen gebruiken die, wanneer ze je horen beantwoorden, alleen dan zullen proberen je door te verbinden met een telefoniste aan hun zijde.
Ze hebben niet hun telefonisten die daadwerkelijk de oproepen plaatsen.
Ze bellen je, en terwijl je jezelf identificeert, vinden ze snel iemand in de wachtrij die kan doen alsof hij gebeld heeft.
En ik vind dat een heel goede weggeefactie, want als er niets gebeurt, als niemand zelfs maar zegt: "Hallo? Hallo? Is daar iemand?โ, dan weet je dat je met een geautomatiseerd systeem te maken hebt.
Er is echter een vervelend probleem, hoewel ik denk dat dit specifiek is voor het Verenigd Koninkrijk.
De bureaucratie voor het melden van wat een "stille oproep" wordt genoemd, zoals een zwaar ademend type stalker waar geen woorden worden gesproken ...
...het mechanisme voor het melden dat totaal anders is dan het mechanisme voor het melden van een oproep waarbij iemand zegt: "Hรฉ, ik ben John en ik wil je dit product verkopen dat je niet nodig hebt en niet goed is", wat is heel vervelend.
Stille oproeprapporten gaan via de telefoonregelaar en het wordt behandeld alsof het een ernstiger misdrijf is, neem ik aan om historische redenen.
Je moet je legitimeren, die kun je niet anoniem melden.
Dat vind ik dus vervelend, en ik hoop echt dat ze daar verandering in brengen!
Waar het gewoon een robotsysteem is dat je belt, en het weet nog niet dat je aan de lijn bent, dus het heeft niemand toegewezen om met je te praten...
โฆals je die makkelijker en anoniemer zou kunnen melden, eerlijk gezegd, zou ik dat veel eerder doen.
DOUG. Okee.
We hebben enkele links in het artikel voor het melden van malafide oproepen in een selectie van landen.
En bedankt, Phil, voor het insturen van die opmerking.
Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.
Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @nakedsecurity.
Dat is onze show voor vandaag โ heel erg bedankt voor het luisteren.
Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...
BEIDE. Blijf veilig.
[MUZIEK MODEM]
- :ProxyNotShell
- BEC
- blockchain
- buste
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- uitwisseling
- Exploiteren
- firewall
- Kaspersky
- Wet & gezag
- malware
- Mcafee
- Microsoft
- Naakte beveiliging
- Naakte beveiligingspodcast
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Podcast
- robocalls
- romantiek oplichting
- VPN
- kwetsbaarheid
- website veiligheid
- zephyrnet
