S3 Ep103: Scammers in the Slammer (och andra berättelser) [Audio + Text]

Klicka och dra på ljudvågorna nedan för att hoppa till valfri punkt. Du kan också lyssna direkt på Soundcloud.

DOUG.  Microsofts dubbla nolldagar, fängelse för bedragare och falska telefonsamtal.

Allt det och mer i podden Naked Security.

[MUSIKALT MODEM]

Välkommen till podden, alla. Jag är Doug Aamoth.

Han är Paul Ducklin...

---

ANKA.  Det är ett stort nöje, Douglas.

---

DOUG.  Jag har en del Teknisk historia för dig och det går långt tillbaka, långt, långt, långt tillbaka, och det har att göra med miniräknare.

Denna vecka, den 7 oktober 1954, demonstrerade IBM den första i sitt slag all-transistor-räknare.

Smakämnen IBM Electronic Calculating Punch, som det hette, bytte sina 1250 vakuumrör mot 2000 transistorer, vilket halverade volymen och använde bara 5% så mycket effekt.

---

ANKA.  Wow!

Jag hade inte hört talas om den där "604", så jag gick och letade upp den, och jag kunde inte hitta en bild.

Tydligen var det bara den experimentella modellen, och det var några månader senare som de tog fram den du kunde köpa, som hette 608, och de hade höjt den till 3000 transistorer.

Men kom ihåg, Doug, detta är inte transistorer som i integrerade kretsar [ICs] eftersom det inte fanns några IC:er ännu.

Där du skulle ha haft en ventil, en termionventil (eller ett "toob" [vakuumrör], som ni skulle kalla det), skulle det finnas en transistor inkopplad istället.

Så även om det var mycket mindre, var det fortfarande diskreta komponenter.

När jag tänker "miniräknare", tänker jag "fickräknare"...

---

DOUG.  Åh, nej, nej, nej!

---

ANKA.  "Nej", som du säger...

…det är storleken på ett mycket stort kylskåp!

Och så behöver du ett väldigt stort kylskåp bredvid, på bilden som jag såg, som jag tror är för input.

Och så fanns det några andra kontrollkretsar som såg ut som en mycket stor frys, bredvid de två mycket stora kylskåpen.

Jag insåg inte detta, men tydligen gjorde Thomas Watson [VD för IBM] vid den tiden detta dekret för hela IBM: "Inga nya produkter är tillåtna att använda ventiler, vakuumrör. Vi omfamnar, stöder och använder bara transistorer.

Och så var det där allt gick sedan.

Så även om detta var i framkanten av transistorrevolutionen, ersattes det tydligen snart... det var bara på marknaden i cirka 18 månader.

---

DOUG.  Nåväl, låt oss hålla oss till ämnet mycket stora saker och uppdatera våra lyssnare om denna Microsoft Exchange-dubbla nolldag.

Vi har täckt det på en minisod; vi har täckt det på plats… men något nytt vi borde veta om?

---

ANKA.  Inte riktigt, Douglas.

Det verkar inte ha tagit över cybersäkerhetsvärlden eller säkerhetsoperationer [SecOps] som ProxyShell och Log4Shell gjorde:

Jag gissar att det finns två anledningar till det.

För det första är de faktiska detaljerna om sårbarheten fortfarande hemliga.

De är kända för det vietnamesiska företaget som upptäckte det, för ZeroDay Initiative [ZDI] där det på ett ansvarsfullt sätt avslöjades, och för Microsoft.

Och alla verkar ha det under hatten.

Så, så vitt jag vet, finns det inte 250 proof-of-concept "prova det här nu!" GitHub-arkiv där du kan göra det själv.

För det andra kräver det autentiserad åtkomst.

Och min magkänsla är att alla wannabe "cybersäkerhetsforskare" (gigantiska luftcitat infogade här) som hoppade på tåget med att köra attacker över internet med Proxyshell eller Log4Shell, och hävdade att de gjorde tjänstens värld: "Hej, om din webbtjänst är sårbar så tar jag reda på det och jag ska berätta för dig”...

…Jag misstänker att många av dessa människor kommer att tänka två gånger på att försöka genomföra samma attack där de faktiskt måste gissa lösenord.

Det känns som att det är andra sidan av en ganska viktig linje i sanden, eller hur?

---

DOUG.  Uh-va.

---

ANKA.  Om du har en öppen webbserver som är utformad för att acceptera förfrågningar, är det väldigt annorlunda från att skicka en förfrågan till en server som du vet att du inte ska ha åtkomst till och att försöka ange ett lösenord som du vet att du inte ska att veta, om det är vettigt.

---

DOUG.  Ja.

---

ANKA.  Så den goda nyheten är att den inte verkar bli allmänt utnyttjad...

…men det finns fortfarande ingen lapp.

Och jag tror att så fort ett plåster dyker upp måste du få det snabbt.

Dröj inte, för jag föreställer mig att det kommer att bli lite av en matningsfrenesi att försöka omvända manipulera plåstren för att ta reda på hur du faktiskt utnyttjar den här saken på ett tillförlitligt sätt.

För så vitt vi vet fungerar det ganska bra – om du har ett lösenord kan du använda den första exploateringen för att öppna dörren till den andra exploateringen, som låter dig köra PowerShell på en Exchange-server.

Och det kan aldrig sluta bra.

Jag tog en titt på Microsofts guideline-dokument i morse (vi spelar in på onsdagen i veckan), men jag såg ingen information om en patch eller när en kommer att finnas tillgänglig.

Nästa tisdag är det lapptisdag, så vi kanske får vänta tills dess?

---

DOUG.  OK, vi kommer att hålla ett öga på det och uppdatera och korrigera när du ser det... det är viktigt.

Jag ska gå tillbaka till vår miniräknare och ge dig en liten ekvation.

Det ser ut så här: 2 års bedrägeri + $10 miljoner lurad = 25 år i fängelse:

---

ANKA.  Det här är en brottsling – vi kan nu kalla honom så eftersom han inte bara har dömts utan även dömts – med ett dramatiskt klingande namn: Elvis Eghosa Ogiekpolor.

Och han drev vad man kan kalla ett hantverkare cybergäng i Atlanta, Georgia i USA för ett par år sedan.

På knappt två år festade de, om du så vill, i olyckliga företag som blev offer för vad som kallas Business Email Compromise [BEC], och olyckliga individer som de lockade in i romantikbedrägerier... och tjänade 10 miljoner dollar.

Elvis (jag ska bara kalla honom det)... i det här fallet hade han fått ihop ett team som skapade ett helt nät av bedrägligt öppnade amerikanska bankkonton där han kunde sätta in och sedan tvätta pengarna.

Och han dömdes inte bara, han har bara dömts.

Domaren beslutade uppenbarligen att arten av detta brott, och arten av offer, var tillräckligt allvarlig för att han fick 25 år i ett federalt fängelse.

---

DOUG.  Låt oss gräva i Business Email Compromise.

Jag tycker att det är fascinerande – antingen utger du dig för att vara någons e-postadress, eller så har du fått tag i deras faktiska e-postadress.

Och med det, när du väl kan få någon på kroken, kan du göra en hel massa saker.

Du listar dem i artikeln här – jag ska gå igenom dem snabbt.

Du kan lära dig när stora betalningar ska betalas...

---

ANKA.  Verkligen.

Självklart, om du skickar e-post utifrån och du bara förfalskar e-posthuvudena för att låtsas att e-postmeddelandet kommer från CFO, då måste du gissa vad CFO vet.

Men om du kan logga in på CFO:s e-postkonto varje morgon tidigt, innan de gör det, då kan du ta en titt på alla stora grejer som pågår och du kan göra anteckningar.

Och så, när du kommer för att imitera dem, skickar du inte bara ett e-postmeddelande som faktiskt kommer från deras konto, du gör det med en fantastisk mängd insiderkunskap.

---

DOUG.  Och sedan, naturligtvis, när du får ett e-postmeddelande där du ber någon ovetande anställd att överföra en massa pengar till den här leverantören och de säger, "Är det här på riktigt?"...

...om du har fått tillgång till själva e-postsystemet kan du svara tillbaka. "Självklart är det på riktigt. Titta på e-postadressen – det är jag, CFO.”

---

ANKA.  Och naturligtvis, ännu mer, kan du säga, "Förresten, det här är ett förvärv, det här är en affär som kommer att stjäla en marsch på våra konkurrenter. Så det är företagshemligheter. Se till att du inte berättar för någon annan i företaget.”

---

DOUG.  Ja – dubbelt slag!

Du kan säga: ”Det är jag, det är på riktigt, men det här är en stor sak, det är en hemlighet, berätta inte för någon annan. Nej det! Rapportera inte detta som ett misstänkt meddelande."

Du kan sedan gå in i mappen Skickat och radera de falska mejlen som du har skickat på uppdrag av CFO, så att ingen kan se att du har varit där inne och rotat runt.

Och om du är en "bra" BEC-bedragare kommer du att gå och gräva runt i den riktiga medarbetarens tidigare e-postmeddelanden och matcha användarens stil genom att kopiera och klistra in vanliga fraser som personen har använt.

---

ANKA.  Absolut, Doug.

Jag tror att vi har pratat om förut, när vi har pratat om nätfiske-e-postmeddelanden... om läsare som har rapporterat: "Ja, jag fick till en sådan här, men jag mullrade omedelbart eftersom personen använde en hälsning i sin e-post som är bara så ur karaktär."

Eller så fanns det några emojis i skyltningen, som en smiley [SKRATT], vilket jag vet att den här personen aldrig skulle göra.

Självklart, om du bara kopierar-och-klistrar in standardintro och outro från tidigare e-postmeddelanden, så slipper du den typen av problem.

Och den andra saken, Doug, är att om du skickar e-postmeddelandet från det riktiga kontot får det personens riktiga, äkta e-postsignatur, eller hur?

Som läggs till av företagets server och bara får det att se ut precis som du förväntar dig.

---

DOUG.  Och så älskar jag den här nedstigningen...

...som en förstklassig brottsling kommer du inte bara att riva företaget, du kommer också att gå efter *kunder* på företaget och säga: "Hej, kan du betala den här fakturan nu och skicka den till den här nya bankkonto?"

Du kan lura inte bara företaget, utan de företag som företaget arbetar med.

---

ANKA.  Absolut.

---

DOUG.  Och så att du inte tror att Elvis bara lurade företag... han var också med romantik.

---

ANKA.  Justitiedepartementet rapporterar att några av företagen de lurade togs för hundratusentals dollar åt gången.

Och baksidan av deras bedrägeri var att gå efter individer i vad som kallas romantikbedrägerier.

Tydligen var det 13 personer som trädde fram som vittnen i fallet, och två av exemplen som DOJ (Justitiedepartementet) nämnde gick på, tror jag, $32,000 respektive $70,000.

---

DOUG.  OK, så vi har några råd om hur du skyddar ditt företag från affärsmässiga e-postkompromisser och hur du skyddar dig från romantiska bedrägerier.

Låt oss börja med Business Email Compromise.

Jag gillar den här första punkten eftersom det är lätt och det är väldigt lågt hängande frukt: Skapa ett centralt e-postkonto så att personalen kan rapportera misstänkta e-postmeddelanden.

---

ANKA.  Ja, om du har security@example.com, då kommer du förmodligen att ta hand om det e-postkontot väldigt noggrant, och du kan hävda att det är mycket mindre troligt att en Business Email Compromise-person skulle kunna äventyra SecOps-kontot jämfört med att kompromissa med kontot för någon annan slumpmässig anställd i företaget.

Och förmodligen också, om du har åtminstone ett fåtal personer som kan hålla ett öga på vad som händer där, har du en mycket bättre chans att få användbara och välmenande svar från den e-postadressen än att bara fråga berörda individ.

Även om CFO:s e-post inte har äventyrats... om du har ett nätfiske-e-postmeddelande och sedan frågar CFO, "Hej, är detta legitimt eller inte?", försätter du CFO i en mycket svår position.

Du säger, "Kan du agera som om du vore en IT-expert, en cybersäkerhetsforskare eller en säkerhetsoperationsperson?"

Det är mycket bättre att centralisera det, så det finns ett enkelt sätt för folk att rapportera något som ser lite avigt ut.

Det betyder också att om det du skulle göra normalt bara är att gå, "Ja, det är uppenbarligen nätfiske. Jag tar bara bort det"...

…genom att skicka in det, även om *du* tycker att det är uppenbart, låter du SecOps-teamet eller IT-teamet varna resten av företaget.

---

DOUG.  Okej.

Och nästa råd: Om du är osäker, kontakta avsändaren av e-postmeddelandet direkt.

Och, för att inte förstöra punchline, förmodligen kanske inte via e-post på något annat sätt...

---

ANKA.  Oavsett vilken mekanism som används för att skicka ett meddelande till dig som du inte litar på, skicka inte tillbaka ett meddelande till dem via samma system!

Om kontot inte har blivit hackat får du ett svar som säger "Nej, oroa dig inte, allt är bra."

Och om kontot *har* blivit hackat får du tillbaka ett meddelande som säger: "Åh, nej, oroa dig inte, allt är bra!" [skrattar]

---

DOUG.  Okej.

Och så sist men absolut inte minst: Kräv sekundär auktorisering för ändringar i kontobetalningsuppgifter.

---

ANKA.  Om du har en andra uppsättning ögon på problemet – sekundär auktorisering – gör att [A] det svårare för en sned insider att komma undan med bluffen om de hjälper till, och [B] menar att ingen person, som är uppenbarligen försöker vara till hjälp för kunderna, måste bära hela ansvaret och trycket för att bestämma sig, "Är det här legitimt eller inte?"

Två ögon är ofta bättre än ett.

Eller jag menar kanske fyra ögon är ofta bättre än två...

---

DOUG.  Ja. [skrattar].

Låt oss rikta vår uppmärksamhet mot romantikbedrägerier.

Det första rådet är: Sakta ner när dejtingsnacket förvandlas från vänskap, kärlek eller romantik till pengar.

---

ANKA.  Ja.

Det är oktober, är det inte, Doug?

Så det är Cybersecurity Awareness Month igen... #cybermonth, om du vill hålla reda på vad folk gör och säger.

Det är det där fantastiska lilla mottot (är det rätt ord?) som vi har sagt många gånger på podden, för jag vet att du och jag gillar det, Doug.

Detta kommer från US Public Service...

---

BÅDE.  Sluta. (Period.)

Tror. (Period.)

Ansluta. (Period.)

---

ANKA.  Ha inte för bråttom!

Det är verkligen en fråga om att "handla i hast, ångra sig på fritiden" när det gäller onlinefrågor.

---

DOUG.  Och ett annat råd som kommer att vara svårt för vissa människor... men titta in i dig själv och försök att följa det: Lyssna öppet på dina vänner och familj om de försöker varna dig.

---

ANKA.  Ja.

Jag har varit på cybersäkerhetsevenemang som har behandlat frågan om romantikbedrägeri tidigare, när jag arbetade på Sophos Australia.

Det var pinsamt att höra berättelser från personer inom polisen vars uppgift är att försöka ingripa i bedrägerier vid det här laget...

...och bara för att se hur dystra några av dessa poliser var när de kom tillbaka från besöket.

I vissa fall hade hela familjer lockats till bedrägerier.

Dessa är uppenbarligen mer av typen "finansiella investeringar" än den romantiska sorten, men *alla* var på plats med bedragaren, så när polisen åkte dit hade familjen "alla svar" som noggrant hade tillhandahållits av skurk.

Och i romantikbedrägerier kommer de inte att tänka på att uppvakta ditt romantiska intresse *och* slå in en kil mellan dig och din familj, så du slutar lyssna på deras råd.

Så var bara försiktig så att du inte hamnar främmande från din familj såväl som från ditt bankkonto.

---

DOUG.  Okej.

Och så kommer ett sista råd: Det finns en bra video inbäddad i artikeln.

Artikeln heter Romance Scammer och BEC Fraudster dömdes till fängelse i 25 år:

Så titta på den videon – den har många bra tips i den.

Och låt oss hålla oss till ämnet bedrägerier och prata om bedragare och oseriösa uppringare.

Är det ens möjligt att stoppa bluffsamtal?

Det är stor fråga för dagen just nu:

---

ANKA.  Tja, det finns bluffsamtal och det finns störande samtal.

Ibland verkar störande samtal komma väldigt nära bluffsamtal.

Det här är människor som representerar legitima företag, [ARGITERADE] men de kommer bara inte att sluta ringa dig, [BLIR MER ARGITERADE] oavsett att du säger till dem "Jag är på listan Ring inte [ARG] så RING INTE IGEN. "

Så jag skrev en artikel om Naked Security där jag sa till folk... om du kan få dig själv att göra det (jag föreslår inte att du ska göra det varje gång, det är ett riktigt krångel), visar det sig att om du *gör* klagar, ibland ger det resultat.

Och det som fick mig att skriva det här är att fyra företag som säljer "miljöprodukter" slogs av Information Commissioner's Office [ICO, UK Data Privacy regulator] och bötfälldes mellan tiotals och hundratusentals pund för att ha ringt till personer som hade sätta sig på det som ganska konstigt kallas för Telefonpreferenstjänst i UK…

…det är som om de erkänner att vissa människor faktiskt vill välja dessa sopsamtal. [SKRATT]

---

DOUG.  "Föredra"?! [skrattar]

---

ANKA.  Jag gillar hur det är i USA.

Platsen du går för att registrera dig och klaga är: donotcall DOT gov.

---

DOUG.  ja! "Ring inte!"

---

ANKA.  Tyvärr, när det kommer till telefoni, lever vi fortfarande i en opt-out-värld... de får ringa dig tills du säger att de inte kan.

Men min erfarenhet har varit att, även om det inte löser problemet, är det nästan säkert att du inte *ökar* antalet samtal du får genom att placera dig själv i Ring inte-registret.

Det har gjort skillnad för mig, både när jag bodde i Australien och nu bor jag i Storbritannien...

…och att rapportera samtal då och då ger åtminstone tillsynsmyndigheten i ditt land en strid chans att vidta någon form av åtgärder någon gång i framtiden.

För om ingen säger något så är det som om ingenting har hänt.

---

DOUG.  Det passar bra in i vår läsarkommentar till den här artikeln.

Naked Security-läsaren Phil kommenterar:

Röstbrevlådan har förändrat allt för mig.

Om den som ringer inte är villig att lämna ett meddelande och de flesta inte är det, har jag ingen anledning att ringa tillbaka.

Dessutom, för att rapportera ett bluffsamtal, skulle jag behöva slösa bort den tid som krävs för att svara i telefonen från en oidentifierad uppringare och interagera med någon enbart i syfte att rapportera dem.

Även om jag svarar på samtalet kommer jag att prata med en robot ändå... nej tack!

Så, är det svaret: bara aldrig svara på telefonsamtal och aldrig ta itu med dessa bedragare?

Eller finns det ett bättre sätt, Paul?

---

ANKA.  Det jag har hittat är att om jag tror att numret är ett bluffnummer...

Vissa av bedragarna eller störande uppringare kommer att använda ett annat nummer varje gång – det kommer alltid att se lokalt ut, så det är svårt att säga, även om jag har plågats av en nyligen där det har varit samma nummer om och om igen, så jag kan bara blockera det.

…det jag gör är vanligtvis att jag bara svarar i telefonen och jag säger ingenting.

De ringer mig; om det är så viktigt kommer de att säga ”Hej? Hallå? Är det...?” och använd mitt namn.

Jag tycker att många av dessa störande uppringare och bedragare använder automatiserade system som, när de hör dig svara på samtalet, först då kommer de att försöka koppla dig till en operatör vid deras sida.

De har inte sina telefonoperatörer som faktiskt ringer.

De ringer dig och medan du identifierar dig hittar de snabbt någon i kön som kan låtsas ha ringt.

Och jag tycker att det är en riktigt bra giveaway, för om inget händer, om ingen ens säger, "Hej? Hallå? Någon där?”, då vet du att du har att göra med ett automatiserat system.

Det finns dock ett irriterande problem, även om jag tror att detta är specifikt för Storbritannien.

Byråkratin för att rapportera vad som kallas ett "tyst samtal", som en tungandande stalkertyp där inga ord sägs...

…mekanismen för rapportering som är helt annorlunda än mekanismen för att rapportera ett samtal där någon säger, "Hej, jag heter John och jag vill sälja den här produkten du inte behöver och inte är bra", vilket är riktigt irriterande.

Tysta samtalsrapporter går via telefonregulatorn, och det behandlas som om det vore ett allvarligare brott, antar jag av historiska skäl.

Du måste identifiera dig – du kan inte anmäla dem anonymt.

Så jag tycker att det är irriterande, och jag hoppas att de ändrar på det!

Där det bara är ett robotsystem som ringer dig, och det inte vet att du är på linjen än så det har inte tilldelat någon att prata med dig...

...om du kunde rapportera dem enklare och anonymt, för att vara ärlig, skulle jag vara mycket mer benägen att göra det.

---

DOUG.  Okej.

Vi har några länkar i artikeln för att rapportera falska samtal i ett urval av länder.

Och tack, Phil, för att du skickade in den kommentaren.

Om du har en intressant berättelse, kommentar eller fråga som du vill skicka in, läser vi det gärna i podden.

Du kan skicka e-post till tips@sophos.com, du kan kommentera någon av våra artiklar, eller så kan du kontakta oss på sociala medier: @nakedsecurity.

Det är vår show för idag – tack så mycket för att du lyssnade.

För Paul Ducklin, jag heter Doug Aamoth, påminner dig tills nästa gång att...

---

BÅDE.  Håll dig säker.

[MUSIKALT MODEM]