S3 Ep103: Scammers in the Slammer (og andre historier) [lyd + tekst]

Klikk og dra på lydbølgene nedenfor for å hoppe til et hvilket som helst punkt. Du kan også lytte direkte på Soundcloud.

DOUG.  Microsofts doble nulldager, fengsel for svindlere og falske telefonsamtaler.

Alt det, og mer, på Naked Security-podcasten.

[MUSIKK MODEM]

Velkommen til podcasten, alle sammen. Jeg er Doug Aamoth.

Han er Paul Ducklin...

---

AND.  Det er en stor glede, Douglas.

---

DOUG.  Jeg har noen Teknisk historie for deg og det går langt tilbake, langt, langt, langt tilbake, og det har med kalkulatorer å gjøre.

Denne uken, 7. oktober 1954, demonstrerte IBM den første i sitt slag all-transistor-kalkulator.

De IBM Electronic Calculating Punch, som det ble kalt, byttet ut sine 1250 vakuumrør med 2000 transistorer, noe som halverte volumet og brukte bare 5 % så mye strøm.

---

AND.  Wow!

Jeg hadde ikke hørt om den "604", så jeg gikk og søkte den opp, og jeg fant ikke et bilde.

Tilsynelatende var det bare den eksperimentelle modellen, og det var noen måneder senere at de tok frem den du kunne kjøpe, som ble kalt 608, og de hadde økt den til 3000 transistorer.

Men husk, Doug, dette er ikke transistorer som i integrerte kretser [IC-er] fordi det ikke fantes noen IC-er ennå.

Der du ville ha hatt en ventil, en termionisk ventil (eller et "toob" [vakuumrør], som dere ville kalt det), ville det vært en transistor koblet inn i stedet.

Så selv om det var mye mindre, var det fortsatt diskrete komponenter.

Når jeg tenker "kalkulator", tenker jeg "lommekalkulator"...

---

DOUG.  Å, nei, nei, nei!

---

AND.  "Nei", som du sier...

…det er på størrelse med et veldig stort kjøleskap!

Og så trenger du et veldig stort kjøleskap ved siden av, på bildet som jeg så, som jeg tror er for input.

Og så var det noen andre kontrollkretser som så ut som en veldig stor kummefryser, ved siden av de to veldig store kjøleskapene.

Jeg var ikke klar over dette, men tilsynelatende Thomas Watson [administrerende direktør i IBM] på den tiden utstedte dette dekretet for hele IBM: «Ingen nye produkter er tillatt å bruke ventiler, vakuumrør. Vi omfavner, støtter og bruker bare transistorer.»

Og det var der alt gikk etterpå.

Så selv om dette var i forkant av transistorrevolusjonen, ble det tilsynelatende snart erstattet ... det var bare på markedet i omtrent 18 måneder.

---

DOUG.  Vel, la oss holde oss på temaet veldig store ting, og oppdatere lytterne våre om denne Microsoft Exchange doble nulldagen.

Vi har dekket det på en minisode; vi har dekket det på siden… men noe nytt vi bør vite om?

---

AND.  Egentlig ikke, Douglas.

Det ser ikke ut til å ha tatt over cybersikkerhetsverdenen eller sikkerhetsoperasjoner [SecOps] som ProxyShell og Log4Shell gjorde:

Jeg tipper det er to grunner til det.

For det første er de faktiske detaljene om sårbarheten fortsatt hemmelige.

De er kjent for det vietnamesiske selskapet som oppdaget det, for ZeroDay Initiative [ZDI] der det ble ansvarlig avslørt, og for Microsoft.

Og alle ser ut til å holde det under hatten.

Så, så vidt jeg vet, er det ikke 250 proof-of-concept "prøv dette nå!" GitHub-repositorier hvor du kan gjøre det selv.

For det andre krever det autentisert tilgang.

Og magefølelsen min er at alle de wannabe "cybersikkerhetsforskerne" (gigantiske luftsitater satt inn her) som hoppet på bølgen med å kjøre angrep over internett med Proxyshell eller Log4Shell, og hevdet at de gjorde tjenesteverdenen: "Hei, hvis nettjenesten din er sårbar, finner jeg ut av det, og jeg skal fortelle deg"...

…Jeg mistenker at mange av disse menneskene vil tenke to ganger på å prøve å utføre det samme angrepet der de faktisk må gjette passord.

Det føles som om det er den andre siden av en ganske viktig strek i sanden, ikke sant?

---

DOUG.  Uh-he.

---

AND.  Hvis du har en åpen nettserver som er designet for å akseptere forespørsler, er det veldig forskjellig fra å sende en forespørsel til en server som du vet du ikke skal ha tilgang til, og prøve å oppgi et passord som du vet at du ikke skal ha tilgang til. å vite, om det gir mening.

---

DOUG.  Ja.

---

AND.  Så den gode nyheten er at det ikke ser ut til å bli mye utnyttet ...

...men det er fortsatt ikke en patch ut.

Og jeg tror, ​​så snart en lapp dukker opp, må du få den raskt.

Ikke nøl, for jeg ser for meg at det vil være litt matvanvid når du prøver å reversere lappene for å finne ut hvordan du faktisk utnytter denne tingen pålitelig.

Fordi, så vidt vi vet, fungerer det ganske bra - hvis du har et passord, kan du bruke den første utnyttelsen til å åpne døren til den andre utnyttelsen, som lar deg kjøre PowerShell på en Exchange-server.

Og det kan aldri ende godt.

Jeg tok en titt på Microsofts guideline-dokument i morges (vi tar opp onsdag i uken), men jeg så ingen informasjon om en oppdatering eller når en vil være tilgjengelig.

Neste tirsdag er det Patch Tuesday, så kanskje vi får vente til da?

---

DOUG.  OK, vi vil holde et øye med det, og vær så snill å oppdater og oppdatering når du ser det... det er viktig.

Jeg skal gå tilbake til kalkulatoren vår og gi deg en liten ligning.

Det går slik: 2 år med svindel + $10 millioner svindlet = 25 år i fengsel:

---

AND.  Dette er en kriminell – vi kan nå kalle ham det fordi han ikke bare er blitt dømt, men dømt – med et dramatisk klingende navn: Elvis Eghosa Ogiekpolor.

Og han drev det man kan kalle en håndverker cybergang i Atlanta, Georgia i USA for et par år siden.

På knappe to år feiret de, om du vil, med uheldige selskaper som ble ofre for det som er kjent som Business Email Compromise [BEC], og uheldige individer som de lokket til romantikksvindel … og tjente 10 millioner dollar.

Elvis (jeg vil bare kalle ham det)... i dette tilfellet hadde han fått sammen et team som skapte et helt nett av uredelig åpnede amerikanske bankkontoer hvor han kunne sette inn og deretter hvitvaske pengene.

Og han ble ikke bare dømt, han har nettopp blitt dømt.

Dommeren bestemte åpenbart at arten av denne forbrytelsen, og arten av offeret, var tilstrekkelig alvorlig til at han fikk 25 år i føderalt fengsel.

---

DOUG.  La oss grave inn i Business Email Compromise.

Jeg synes det er fascinerende – enten utgir du deg for å være noens e-postadresse, eller så har du fått tak i deres faktiske e-postadresse.

Og med det, når du først har fått noen på kroken, kan du gjøre en hel haug med ting.

Du lister dem opp i artikkelen her – jeg skal gå gjennom dem raskt.

Du kan lære når store betalinger forfaller...

---

AND.  Faktisk.

Selvfølgelig, hvis du sender e-post utenfra, og du bare forfalsker e-posthodene for å late som om e-posten kommer fra finansdirektøren, så må du gjette hva finansdirektøren vet.

Men hvis du kan logge inn på finansdirektørens e-postkonto hver morgen tidlig, før de gjør det, så kan du ta en titt rundt alle de store tingene som skjer, og du kan lage notater.

Og så, når du kommer for å etterligne dem, sender du ikke bare en e-post som faktisk kommer fra kontoen deres, du gjør det med en utrolig mengde innsidekunnskap.

---

DOUG.  Og så, selvfølgelig, når du får en e-post der du ber en uvitende ansatt om å overføre en haug med penger til denne leverandøren og de sier: "Er dette ekte?"...

…hvis du har fått tilgang til selve e-postsystemet, kan du svare tilbake. «Selvfølgelig er det ekte. Se på e-postadressen – det er meg, finansdirektøren.”

---

AND.  Og selvfølgelig, enda mer, kan du si: «Forresten, dette er et oppkjøp, dette er en avtale som vil stjele en marsj på våre konkurrenter. Så det er konfidensielt. Pass på at du ikke forteller det til noen andre i selskapet.»

---

DOUG.  Ja – dobbel knall!

Du kan si: «Det er meg, det er ekte, men dette er en stor sak, det er en hemmelighet, ikke fortell det til noen andre. Nei det! Ikke rapporter dette som en mistenkelig melding.»

Du kan deretter gå inn i Sendt-mappen og slette de falske e-postene du har sendt på vegne av finansdirektøren, slik at ingen kan se at du har vært der inne og rotet rundt.

Og hvis du er en "god" BEC-svindler, vil du gå og grave rundt i den ekte ansattes tidligere e-poster, og matche stilen til den brukeren ved å kopiere og lime inn vanlige setninger som personen har brukt.

---

AND.  Absolutt, Doug.

Jeg tror vi har snakket sammen før, når vi har snakket om phishing-e-poster … om lesere som har rapportert: «Ja, jeg fikk med meg en slik, men jeg buldret umiddelbart fordi personen brukte en hilsen i e-posten sin som er bare så ute av karakter."

Eller det var noen emojier i avmeldingen, som et smilefjes [LATER], som jeg vet at denne personen aldri ville gjort.

Selvfølgelig, hvis du bare kopierer og limer inn standard intro og outro fra tidligere e-poster, unngår du den slags problemer.

Og den andre tingen, Doug, er at hvis du sender e-posten fra den virkelige kontoen, får den personens ekte, ekte e-postsignatur, ikke sant?

Som legges til av firmaets server, og bare får det til å se ut som akkurat det du forventer.

---

DOUG.  Og så elsker jeg denne avstigningen...

...som en førsteklasses kriminell, ikke bare skal du rive selskapet av, du kommer også til å gå etter *kunder* av selskapet og si: «Hei, kan du betale denne fakturaen nå, og sende den til denne nye bankkonto?"

Du kan svindle ikke bare selskapet, men selskapene som selskapet jobber med.

---

AND.  Absolutt.

---

DOUG.  Og for at du ikke skulle tro at Elvis bare svindlet selskaper ... han drev også med romantikksvindel.

---

AND.  Justisdepartementet rapporterer at noen av virksomhetene de svindlet ble tatt for hundretusenvis av dollar om gangen.

Og baksiden av svindelen deres var å gå etter individer i det som kalles romantikksvindel.

Tilsynelatende var det 13 personer som stilte opp som vitner i saken, og to av eksemplene som DOJ (Justisdepartementet) nevnte gikk for, tror jeg, henholdsvis $32,000 og $70,000.

---

DOUG.  OK, så vi har noen råd om hvordan du kan beskytte virksomheten din mot kompromiss med e-post fra bedrifter, og hvordan du kan beskytte deg mot romantikksvindel.

La oss starte med Business Email Compromise.

Jeg liker dette første punktet fordi det er enkelt og det er veldig lavthengende frukt: Opprett en sentral e-postkonto for ansatte for å rapportere mistenkelige e-poster.

---

AND.  Ja, hvis du har security@example.com, da vil du antagelig ta vare på den e-postkontoen veldig nøye, og du kan argumentere for at det er mye mindre sannsynlig at en Business Email Compromise-person ville være i stand til å kompromittere SecOps-kontoen sammenlignet med å kompromittere kontoen til en hvilken som helst annen tilfeldig ansatt i selskapet.

Og antagelig også, hvis du har minst noen få personer som kan holde øye med hva som skjer der, har du en mye større sjanse for å få nyttige og velmente svar ut av den e-postadressen enn å bare spørre berørt person.

Selv om finansdirektørens e-post ikke har blitt kompromittert ... hvis du har en phishing-e-post, og så spør finansdirektøren, "Hei, er dette lovlig eller ikke?", setter du finansdirektøren i en veldig vanskelig posisjon.

Du sier: "Kan du oppføre deg som om du er en IT-ekspert, en cybersikkerhetsforsker eller en sikkerhetsoperasjonsperson?"

Mye bedre å sentralisere det, så det er en enkel måte for folk å rapportere noe som ser litt dårlig ut.

Det betyr også at hvis det du vanligvis ville gjort er bare å gå, "Vel, det er åpenbart phishing. Jeg sletter det bare"...

…ved å sende det inn, selv om *du* synes det er åpenbart, lar du SecOps-teamet eller IT-teamet advare resten av selskapet.

---

DOUG.  Greit.

Og neste råd: Hvis du er i tvil, sjekk med avsenderen av e-posten direkte.

Og, for ikke å ødelegge punchline, sannsynligvis kanskje ikke via e-post på noen annen måte...

---

AND.  Uansett hvilken mekanisme som brukes til å sende deg en melding du ikke stoler på, ikke send dem tilbake via samme system!

Hvis kontoen ikke har blitt hacket, vil du få et svar som sier: «Nei, ikke bekymre deg, alt er bra.»

Og hvis kontoen *har* blitt hacket, får du tilbake en melding som sier: «Å, nei, ikke bekymre deg, alt er bra!» [LETER]

---

DOUG.  Greit.

Og så sist, men absolutt ikke minst: Krev sekundær autorisasjon for endringer i kontobetalingsdetaljer.

---

AND.  Hvis du har et nytt sett med øyne på problemet – sekundær autorisasjon – at [A] gjør det vanskeligere for en skjev insider å komme unna med svindelen hvis de hjelper til, og [B] betyr at ingen person, som er åpenbart prøver å være nyttig for kundene, må bære hele ansvaret og presset for å bestemme seg, "Er dette legitimt eller ikke?"

To øyne er ofte bedre enn ett.

Eller kanskje jeg mener fire øyne er ofte bedre enn to...

---

DOUG.  Ja. [LATER].

La oss rette oppmerksomheten mot romantikksvindel.

Det første rådet er: Senk farten når datingprat går fra vennskap, kjærlighet eller romantikk til penger.

---

AND.  Ja.

Det er oktober, er det ikke, Doug?

Så det er Cybersecurity Awareness Month igjen... #cybermonth, hvis du vil holde styr på hva folk gjør og sier.

Det er det flotte lille mottoet (er det det rette ordet?) som vi har sagt mange ganger på podcasten, fordi jeg vet at du og jeg liker det, Doug.

Dette kommer fra US Public Service...

---

BÅDE.  Stoppe. (Periode.)

Synes at. (Periode.)

Koble. (Periode.)

---

AND.  Ikke ha det for travelt!

Det er virkelig et spørsmål om å "handle i all hast, omvende seg på fritiden" når det kommer til nettsaker.

---

DOUG.  Og et annet råd som kommer til å være tøft for noen mennesker ... men se inn i deg selv og prøv å følge det: Lytt åpent til venner og familie hvis de prøver å advare deg.

---

AND.  Ja.

Jeg har vært på cybersikkerhetsarrangementer som har omhandlet spørsmålet om romantikksvindel tidligere, da jeg jobbet på Sophos Australia.

Det var grusomt å høre historier fra folk i politiet som har som jobb å prøve å gripe inn i svindel på dette tidspunktet...

...og bare for å se hvor dystre noen av disse politiet var da de kom tilbake fra besøk.

I noen tilfeller hadde hele familier blitt lokket til svindel.

Disse er tydeligvis mer av typen "finansielle investeringer" enn romantikken, men *alle* var på side med svindleren, så da politiet dro dit, hadde familien "alle svarene" som var nøye gitt av kjeltring.

Og i romantikksvindel vil de ikke tenke på å fri til din romantiske interesse *og* drive en kile mellom deg og familien din, så du slutter å lytte til rådene deres.

Så bare pass på at du ikke ender opp fra familien din så vel som fra bankkontoen din.

---

DOUG.  Greit.

Og så er det et siste råd: Det er en flott video innebygd i artikkelen.

Artikkelen heter Romance Scammer og BEC Fraudster sendt til fengsel i 25 år:

Så se den videoen – den har mange gode tips.

Og la oss holde oss til temaet svindel, og snakke om svindlere og useriøse oppringere.

Er det i det hele tatt mulig å stoppe svindelsamtaler?

Det er stort spørsmål dagens akkurat nå:

---

AND.  Vel, det er svindelsamtaler og det er plagsomme samtaler.

Noen ganger ser det ut til at plagesamtalene kommer veldig nær svindelsamtaler.

Dette er folk som representerer legitime virksomheter, [IRRERET], men de vil bare ikke slutte å ringe deg, [BLIR MER OPPRETTET] uansett om du forteller dem «Jeg er på Ikke ring-listen [SIN] så IKKE RING IGJEN».

Så jeg skrev en artikkel om Naked Security og sa til folk ... hvis du kan få deg selv til å gjøre det (jeg foreslår ikke at du bør gjøre dette hver gang, det er et skikkelig problem), viser det seg at hvis du *gjør* klager, noen ganger har det et resultat.

Og det som fikk meg til å skrive dette opp er at fire selskaper som selger «miljøprodukter» ble stoppet av Information Commissioner's Office [ICO, UK Data Privacy regulator] og bøtelagt mellom titalls og hundretusenvis av pund for å ha ringt til folk som hadde sette seg på det som ganske merkelig kalles Telefonpreferansetjeneste i Storbritannia…

…det er som om de innrømmer at noen faktisk ønsker å velge disse søppelsamtalene. [LATTER]

---

DOUG.  "Foretrekker"?! [LETER]

---

AND.  Jeg liker hvordan det er i USA.

Stedet du går for å registrere deg og klage er: donotcall DOT gov.

---

DOUG.  Ja! "Ikke ring!"

---

AND.  Dessverre, når det kommer til telefoni, lever vi fortsatt i en opt-out-verden ... de har lov til å ringe deg til du sier at de ikke kan.

Men min erfaring har vært at selv om det ikke løser problemet, er det nesten sikkert at du ikke *øker* antallet anrop du får ved å sette deg selv i Ikke ring-registeret.

Det har gjort en forskjell for meg, både da jeg bodde i Australia og nå bor jeg i Storbritannia...

…og rapportering av samtaler fra tid til annen gir i det minste regulatoren i landet ditt en kjempesjanse til å ta en slags handling en gang i fremtiden.

For hvis ingen sier noe, så er det som om ingenting har skjedd.

---

DOUG.  Det passer fint inn i leserkommentaren vår til denne artikkelen.

Naken Security-leser Phil kommenterer:

Voicemail har endret alt for meg.

Hvis den som ringer ikke er villig til å legge igjen en melding og de fleste ikke er det, har jeg ingen grunn til å ringe tilbake.

Dessuten, for å rapportere en svindeltelefonsamtale, måtte jeg kaste bort tiden som er nødvendig for å svare på telefonen fra en uidentifisert oppringer og samhandle med noen utelukkende med det formål å rapportere dem.

Selv om jeg svarer på anropet, vil jeg snakke med en robot uansett ... nei takk!

Så, er det svaret: bare aldri ta telefonsamtalene, og aldri takle disse svindlerne?

Eller finnes det en bedre måte, Paul?

---

AND.  Det jeg har funnet er, hvis jeg tror at nummeret er et svindelnummer...

Noen av svindlerne eller plagsomme innringere vil bruke et annet nummer hver gang – det vil alltid se lokalt ut, så det er vanskelig å si, selv om jeg nylig har vært plaget av en der det har vært det samme nummeret om og om igjen, så jeg kan bare blokkere det.

…det jeg gjør, er at jeg bare svarer på telefonen, og jeg sier ingenting.

De ringer meg; hvis det er så viktig, vil de si: «Hallo? Hallo? Er det...?”, og bruk navnet mitt.

Jeg opplever at mange av disse plagsomme innringerne og svindlerne bruker automatiserte systemer som, når de hører deg svare på anropet, først da vil de prøve å koble deg til en operatør ved deres side.

De har ikke telefonoperatørene sine som faktisk ringer.

De ringer deg, og mens du identifiserer deg, finner de raskt noen i køen som kan late som om de har ringt.

Og jeg synes det er en kjempegod giveaway, for hvis ingenting skjer, hvis ingen i det hele tatt sier: "Hallo? Hallo? Noen der?”, så vet du at du har med et automatisert system å gjøre.

Det er imidlertid et irriterende problem, selv om jeg tror dette er spesifikt for Storbritannia.

Byråkratiet for å rapportere det som kalles en "stille samtale", som en tungpustende stalkertype der ingen ord blir sagt...

…mekanismen for rapportering som er helt forskjellig fra mekanismen for å rapportere en samtale der noen sier: "Hei, jeg heter John og jeg vil selge deg dette produktet du ikke trenger og ikke er bra", som er virkelig irriterende.

Stille samtalerapporter går gjennom telefonregulatoren, og det blir behandlet som om det var en mer alvorlig straffbar handling, antar jeg av historiske årsaker.

Du må identifisere deg selv – du kan ikke rapportere dem anonymt.

Så jeg synes det er irriterende, og jeg håper at de endrer det!

Der det bare er et robotsystem som kaller deg, og det ikke vet at du er på linjen ennå, så det har ikke gitt noen til å snakke med deg...

…hvis du kunne rapportere disse lettere og anonymt, for å være ærlig, ville jeg vært mye mer tilbøyelig til å gjøre det.

---

DOUG.  Greit.

Vi har noen lenker i artikkelen for rapportering av useriøse anrop i et utvalg land.

Og takk, Phil, for at du sendte inn den kommentaren.

Hvis du har en interessant historie, kommentar eller spørsmål du vil sende inn, vil vi gjerne lese den på podcasten.

Du kan sende en e-post til tips@sophos.com, du kan kommentere en av artiklene våre, eller du kan kontakte oss på sosiale medier: @nakedsecurity.

Det er showet vårt for i dag – tusen takk for at du lyttet.

For Paul Ducklin, jeg er Doug Aamoth, og minner deg på til neste gang om å...

---

BÅDE.  Hold deg trygg.

[MUSIKK MODEM]