แกลเลอรีของ ROGUES
Rogue แพคเกจซอฟต์แวร์ Rogue “ผู้ดูแลระบบ”. Rogue คีย์ล็อกเกอร์ Rogue ผู้รับรองความถูกต้อง
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
ดั๊ก เอมอธ และพอล ดักคลิน เพลงอินโทรและเอาท์โดย อีดิธ มัดจ์.
สามารถรับฟังเราได้ที่ Soundcloud, Apple Podcasts, Google Podcast, Spotify, Stitcher และทุกที่ที่มีพอดแคสต์ดีๆ หรือเพียงแค่วาง URL ของฟีด RSS ของเรา ลงในพอดแคตเตอร์ที่คุณชื่นชอบ
อ่านข้อความถอดเสียง
ดั๊ก. แอปหลอกลวง 2FA อันธพาล และเราไม่เคยได้ยิน LastPass มาก่อน
ทั้งหมดนั้นและอีกมากมายในพอดแคสต์ Naked Security
[โมเด็มดนตรี]
ยินดีต้อนรับสู่พอดคาสต์ทุกคน
ฉัน Doug Aamoth; เขาคือพอล ดักคลิน
พอล วันนี้คุณเป็นอย่างไรบ้าง
เป็ด. ชิลลี่, ดั๊ก.
เห็นได้ชัดว่าเดือนมีนาคมจะหนาวกว่ากุมภาพันธ์
ดั๊ก. เรากำลังมีปัญหาเดียวกันที่นี่ ความท้าทายเดียวกัน
ดังนั้น ไม่ต้องกังวล – ฉันมีสิ่งที่น่าสนใจมาก สัปดาห์นี้ในประวัติศาสตร์เทคโนโลยี ส่วน
สัปดาห์นี้ เมื่อวันที่ 05 มีนาคม พ.ศ. 1975 การรวมตัวครั้งแรกของ Homebrew Computer Club จัดขึ้นที่เมนโลพาร์ก รัฐแคลิฟอร์เนีย โดยมี Fred Moore และ Gordon French เป็นเจ้าภาพ
การประชุมครั้งแรกมีผู้ที่ชื่นชอบเทคโนโลยีประมาณ 30 คนพูดคุยกันเรื่อง Altair
และประมาณหนึ่งปีต่อมา ในวันที่ 01 มีนาคม พ.ศ. 1976 สตีฟ วอซเนียกได้เข้าร่วมการประชุมพร้อมกับแผงวงจรที่เขาสร้างขึ้น โดยมีจุดประสงค์เพื่อแจกแผนดังกล่าว
สตีฟ จ็อบส์พูดให้เขาฟัง แล้วทั้งสองก็ก่อตั้งบริษัทแอปเปิล
และที่เหลือคือประวัติศาสตร์ พอล
เป็ด. แน่นอนว่ามันคือประวัติศาสตร์ ดั๊ก!
อัลแตร์ เอ๊ะ?
ว้าว!
คอมพิวเตอร์ที่ชักชวนให้ Bill Gates ลาออกจาก Harvard
และในรูปแบบการเป็นผู้ประกอบการอย่างแท้จริง ร่วมกับ Paul Allen และ Monty Davidoff ผมคิดว่าทั้งสามคนเป็นผู้เขียน Altair Basic ซึ่งแยกย้ายกันไปที่นิวเม็กซิโก
ไปทำงานที่ทรัพย์สินของผู้จำหน่ายฮาร์ดแวร์ในอัลบูเคอร์คี!
ดั๊ก. บางทีสิ่งที่อาจจะไม่สร้างประวัติศาสตร์...
…เราจะเริ่มการแสดงที่ไม่ซับซ้อนแต่น่าสนใจ การหลอกลวง แคมเปญ, พอล.
แพ็คเกจ NPM JavaScript ถูกใช้ในทางที่ผิดเพื่อสร้างลิงก์หลอกลวงจำนวนมาก
เป็ด. ใช่ ฉันเขียนเรื่องนี้บน Naked Security ดั๊ก ใต้หัวข้อข่าว แพ็คเกจ NPM JavaScript ถูกใช้ในทางที่ผิดเพื่อสร้างลิงก์หลอกลวงจำนวนมาก (มันใช้คำพูดได้ดีกว่าที่ดูเหมือนตอนที่ฉันเขียน)…
…เพราะฉันรู้สึกว่ามันเป็นมุมมองที่น่าสนใจเกี่ยวกับประเภททรัพย์สินทางเว็บที่เรามักจะเชื่อมโยงโดยตรงและเฉพาะกับการโจมตีซอร์สโค้ดของซัพพลายเชนเท่านั้น
และในกรณีนี้ พวกมิจฉาชีพคิดว่า "นี่ เราไม่ต้องการแจกจ่ายซอร์สโค้ดที่มีพิษ เราไม่ได้สนใจการโจมตีแบบซัพพลายเชนแบบนั้น สิ่งที่เรากำลังมองหาเป็นเพียงชุดของลิงก์ที่ผู้คนสามารถคลิกได้ซึ่งจะไม่ก่อให้เกิดความสงสัยใดๆ”
ดังนั้น หากคุณต้องการเว็บเพจที่มีลิงก์ไปยังเว็บไซต์หลบๆ ซ่อนๆ มากมาย… เช่น “รับรหัสโบนัส Amazon ฟรีที่นี่” และ “รับการหมุนบิงโกฟรีของคุณ” – มีอยู่หลายหมื่นรายการเหล่านี้…
…ทำไมไม่เลือกไซต์เช่น NPM Package Manager และสร้างแพ็คเกจทั้งหมด
คุณไม่จำเป็นต้องเรียนรู้ HTML เลย Doug!
คุณสามารถใช้ Markdown แบบเก่าที่ดีและมีแหล่งลิงก์ที่ดูดีและน่าเชื่อถือซึ่งคุณสามารถคลิกผ่านได้
และลิงก์เหล่านั้นที่พวกเขาใช้ เท่าที่ฉันสามารถแยกแยะออกได้ ไปที่บล็อกไซต์ที่ไม่น่าสงสัย ไซต์ชุมชน อะไรก็ตามที่มีความคิดเห็นที่ไม่ผ่านการกลั่นกรองหรือกลั่นกรองไม่ดี หรือที่ที่พวกเขาสามารถสร้างบัญชีได้ง่ายๆ แล้วแสดงความคิดเห็น ที่มีลิงค์เข้ามา
โดยพื้นฐานแล้วพวกเขากำลังสร้างการเชื่อมโยงที่ไม่ก่อให้เกิดความสงสัย
ดั๊ก. ดังนั้นเราจึงมีคำแนะนำ: อย่าคลิกลิงก์ freebie แม้ว่าคุณจะพบว่าคุณสนใจหรือสนใจก็ตาม
เป็ด. นั่นคือคำแนะนำของฉัน ดั๊ก
อาจมีรหัสฟรีบางรหัสหรืออาจมีคูปองบางอย่างที่ฉันสามารถได้รับ ... อาจจะไม่มีอะไรเสียหายที่จะดู
แต่ถ้ามีรายได้จากโฆษณาในเครือที่พ่อครัวทำเพียงแค่ล่อลวงคุณไปยังไซต์ใดไซต์หนึ่งอย่างหลอกลวง
ไม่ว่าพวกเขาจะทำเงินได้น้อยแค่ไหน ทำไมให้อะไรพวกเขาไปโดยเปล่าประโยชน์?
นั่นคือคำแนะนำของฉัน
“วิธีหลีกเลี่ยงการชกต่อยที่ดีที่สุดคือการไม่อยู่ที่นั่น” เช่นเคย
ดั๊ก. [หัวเราะ] แล้วเราก็มี: อย่ากรอกแบบสำรวจออนไลน์ แม้ว่าพวกเขาจะดูไม่เป็นอันตรายก็ตาม
เป็ด. ใช่ เราเคยพูดแบบนั้นหลายครั้งใน Naked Security
เท่าที่คุณทราบ คุณอาจจะแจ้งชื่อของคุณที่นี่ หมายเลขโทรศัพท์ของคุณที่นั่น คุณอาจให้วันเกิดของคุณเพื่อเป็นของขวัญฟรีที่นั่น และคุณคิดว่า "จะเสียหายอะไร"
แต่ถ้าข้อมูลทั้งหมดนั้นจบลงที่ถังยักษ์ใบเดียว เมื่อเวลาผ่านไป พวกมิจฉาชีพก็หาเรื่องคุณมากขึ้นเรื่อย ๆ บางครั้งอาจรวมถึงข้อมูลที่ยากต่อการเปลี่ยนแปลงด้วย
คุณสามารถทำบัตรเครดิตใหม่ได้ในวันพรุ่งนี้ แต่การได้วันเกิดใหม่หรือย้ายบ้านนั้นค่อนข้างยากกว่า!
ดั๊ก. และสุดท้าย แต่ไม่ท้ายสุด: อย่าเรียกใช้บล็อกหรือไซต์ชุมชนที่อนุญาตให้มีการโพสต์หรือความคิดเห็นที่ไม่มีการตรวจสอบ
และถ้าใครเคยใช้เว็บไซต์ WordPress ความคิดที่จะอนุญาตให้แสดงความคิดเห็นโดยไม่มีการกลั่นกรองนั้นเป็นเพียงเรื่องสั้นที่น่าเหลือเชื่อเพราะจะมีหลายพันความคิดเห็น
มันเป็นโรคระบาด
เป็ด. แม้ว่าคุณจะมีบริการป้องกันสแปมแบบอัตโนมัติในระบบแสดงความคิดเห็นของคุณ แต่นั่นก็ช่วยได้ดีมาก...
…แต่อย่าปล่อยให้เรื่องอื่นผ่านไปและคิดว่า “เออ ฉันจะกลับไปเอามันออก ถ้าฉันเห็นว่ามันดูจืดชืดในภายหลัง” เพราะอย่างที่คุณพูด มันอยู่ในสัดส่วนของการแพร่ระบาด…
ดั๊ก. นั่นเป็นงานเต็มเวลา ใช่!
เป็ด. …และเป็นมานานแล้ว
ดั๊ก. และคุณสามารถ ฉันดีใจที่ได้เห็น ทำงานในบทสวดมนต์ที่เราชื่นชอบสองบทที่นี่
ในตอนท้ายของบทความ: คิดก่อนคลิกและ: หากมีข้อสงสัย…
เป็ด. …อย่าให้มันออกมา
มันง่ายอย่างที่คิด
ดั๊ก. พูดถึงการแจกของ XNUMX หนุ่มกล่าวหาว่า หมดไปกับเงินล้าน ในการขู่กรรโชกเงิน:
ตำรวจเนเธอร์แลนด์จับกุมผู้ต้องสงสัยกรรโชกทางไซเบอร์ XNUMX ราย ที่ถูกกล่าวหาว่าได้เงินหลายล้าน
เป็ด. ใช่.
พวกเขาถูกจับในเนเธอร์แลนด์จากอาชญากรรมที่พวกเขาถูกกล่าวหาว่าเป็นผู้เริ่มก่อ... ฉันคิดว่าเมื่อสองปีที่แล้ว ดั๊ก
ตอนนี้พวกเขาอายุ 18 ปี 21 ปี และ 21 ปี
ดังนั้นพวกเขาจึงค่อนข้างเด็กเมื่อเริ่มต้น
และผู้ต้องสงสัยคนสำคัญที่อายุ 21 ปี… ตำรวจกล่าวหาว่าเขาทำเงินได้ประมาณ XNUMX ล้านยูโร
นั่นเป็นเงินจำนวนมากสำหรับเจ้าหนูดั๊ก
เป็นเงินจำนวนมากสำหรับใคร!
ดั๊ก. ฉันไม่รู้ว่าคุณกำลังทำอะไรตอนอายุ 21 แต่ฉันไม่ได้ทำมากขนาดนั้น ไม่ใกล้เคียงด้วยซ้ำ [หัวเราะ]
เป็ด. อาจจะสองยูโรห้าสิบต่อชั่วโมง? [หัวเราะ]
ดูเหมือนว่าวิธีการทำงานของพวกเขาไม่ได้จบลงด้วยแรนซัมแวร์ แต่เป็นการปล่อยให้คุณอยู่กับ *ภัยคุกคาม* ของแรนซัมแวร์เพราะมีแรนซัมแวร์อยู่แล้ว
ดังนั้นพวกเขาจึงเข้ามา พวกเขาจะขโมยข้อมูลทั้งหมด และจากนั้นแทนที่จะรบกวนการเข้ารหัสไฟล์ของคุณ ดูเหมือนว่าสิ่งที่พวกเขาทำคือพวกเขาจะพูดว่า “ดูสิ เรามี ข้อมูล; เราจะกลับมาทำลายทุกสิ่งหรือคุณจะจ่ายก็ได้”
และความต้องการอยู่ระหว่าง 100,000 ถึง 700,000 ยูโรต่อเหยื่อ
และถ้าเป็นเรื่องจริงที่หนึ่งในนั้นทำเงินได้ 2,500,000 ยูโรในช่วงสองปีที่ผ่านมาจากอาชญากรไซเบอร์ของเขา คุณลองจินตนาการดูว่าพวกเขาอาจแบล็กเมล์เหยื่อไม่กี่รายให้จ่ายเงิน เพราะกลัวว่าจะเปิดเผยอะไรออกไป...
ดั๊ก. เราได้พูดไว้ที่นี่ว่า “เราจะไม่ตัดสิน แต่เราขอเรียกร้องให้ผู้คนไม่จ่ายเงินในกรณีเช่นนี้หรือในกรณีเช่นแรนซัมแวร์”
และด้วยเหตุผลที่ดี!
เพราะในกรณีนี้ ตำรวจทราบว่าการจ่ายเงินเพื่อขู่กรรโชกไม่ได้ผลเสมอไป
พวกเขาพูดว่า:
ในหลายกรณี ข้อมูลที่ถูกขโมยนั้นรั่วไหลทางออนไลน์แม้ว่าบริษัทที่ได้รับผลกระทบจะจ่ายเงินไปแล้วก็ตาม
เป็ด. ดังนั้น. หากคุณเคยคิดว่า “ฉันสงสัยว่าฉันจะไว้ใจคนพวกนั้นไม่ให้ข้อมูลรั่วไหลหรือไม่ปรากฏทางออนไลน์ได้หรือเปล่า?”…
…ฉันคิดว่าคุณได้คำตอบแล้ว!
และโปรดจำไว้ว่า อาจไม่ใช่ว่ามิจฉาชีพเหล่านี้เป็นเพียงนักฉ้อฉลขั้นรุนแรง และพวกเขาก็เอาเงินไปและปล่อยให้มันรั่วไหลออกไป
เราไม่รู้ว่า *พวกเขา* จำเป็นต้องเป็นคนที่รั่วไหลออกมา
พวกเขาสามารถรักษาความปลอดภัยได้แย่มากจนพวกเขาขโมยมันไป พวกเขาต้องวางไว้ที่ไหนสักแห่ง และในขณะที่พวกเขากำลังเจรจาอยู่ บอกคุณว่า “เราจะลบข้อมูล”...
…เท่าที่เรารู้ อาจมีคนอื่นขโมยไปในระหว่างนี้
และนั่นก็เป็นความเสี่ยงเสมอ ดังนั้นการจ่ายเงินเพื่อความเงียบจึงไม่ค่อยจะได้ผลดีนัก
ดั๊ก. และเราได้เห็นการโจมตีในลักษณะนี้มากขึ้นเรื่อยๆ โดยที่แรนซัมแวร์ดูตรงไปตรงมามากขึ้นเล็กน้อย: “จ่ายเงินให้ฉันสำหรับคีย์ถอดรหัส คุณจ่ายให้ฉัน ฉันจะมอบให้คุณ คุณสามารถปลดล็อกไฟล์ของคุณได้”
ตอนนี้พวกเขากำลังเข้ามาและพูดว่า “เราจะไม่ล็อคอะไร หรือเราจะล็อคมัน แต่เราจะรั่วไหลทางออนไลน์ถ้าคุณไม่จ่ายเงิน…”
เป็ด. ใช่ มันเป็นการขู่กรรโชก XNUMX แบบใช่ไหม?
มีข้อความว่า “เราล็อคไฟล์ของคุณ จ่ายเงิน มิฉะนั้นธุรกิจของคุณจะตกราง”
มี "เราขโมยไฟล์ของคุณ จ่ายเงินไม่งั้นเราจะรั่วไหล จากนั้นเราอาจกลับมาและเรียกค่าไถ่คุณอยู่ดี”
และมีเหตุผลสองประการที่อาชญากรบางคนดูเหมือนจะชอบ โดยที่พวกเขาขโมยข้อมูลของคุณ *และ* พวกเขาช่วงชิงไฟล์ และพวกเขากล่าวว่า “คุณอาจต้องจ่ายเงินเพื่อถอดรหัสไฟล์ของคุณ โดยไม่มีค่าใช้จ่ายเพิ่มเติม ดั๊ก เรา จะลบข้อมูลด้วย!”
คุณไว้ใจพวกเขาได้ไหม?
นี่คือคำตอบของคุณ…
อาจจะไม่!
ดั๊ก. เอาล่ะ ตรงไปและอ่านเกี่ยวกับเรื่องนั้น
มีข้อมูลเชิงลึกและบริบทเพิ่มเติมที่ด้านล่างของบทความนั้น… พอล คุณทำ สัมภาษณ์ กับ Peter Mackenzie ของเราเอง ซึ่งเป็น Director of Incident Response ที่ Sophos (เต็ม สำเนา มีอยู่.)
ไม่มีเครื่องเล่นเสียงด้านล่าง? ฟัง โดยตรง บนซาวด์คลาวด์
และอย่างที่เราพูดกันเสมอในกรณีเช่นนี้ หากคุณได้รับผลกระทบจากเหตุการณ์นี้ ให้แจ้งตำรวจเพื่อให้ตำรวจมีข้อมูลมากที่สุดเท่าที่จะเป็นไปได้ในการดำเนินคดี
ฉันยินดีที่จะรายงานว่าเรากล่าวว่าเราจะจับตาดูมัน เราทำ; และเรามี อัปเดต LastPass:
LastPass: Keylogger บนพีซีที่บ้านนำไปสู่การถอดรหัสห้องนิรภัยรหัสผ่านขององค์กร
เป็ด. เรามีแน่นอน ดั๊ก!
สิ่งนี้บ่งชี้ว่าการละเมิดรหัสผ่านองค์กรของพวกเขาทำให้การโจมตีกลายเป็น "สิ่งเล็กน้อย" ที่พวกเขาได้รับซอร์สโค้ดไปสู่บางสิ่งที่ค่อนข้างน่าทึ่งได้อย่างไร
LastPass ดูเหมือนจะเข้าใจว่ามันเกิดขึ้นจริงได้อย่างไร… และในรายงานนี้ มีคำเตือนอย่างน้อยก็มีคำเตือน
และฉันก็พูดซ้ำในบทความที่ฉันเขียนเกี่ยวกับเรื่องนี้ สิ่งที่เราพูดไป พอดคาสต์ของสัปดาห์ที่แล้ว วิดีโอโปรโมต Doug คือ:
“แม้จะเป็นการโจมตีที่ง่ายดาย มันจะเป็นบริษัทที่กล้าหาญที่จะอ้างว่าไม่มีผู้ใช้คนใดของพวกเขาเลยที่จะตกหลุมรักสิ่งนี้…”
ฟังตอนนี้ - เรียนรู้เพิ่มเติม!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
– ความปลอดภัยที่เปลือยเปล่า (@NakedSecurity) กุมภาพันธ์ 24, 2023
น่าเศร้าที่ดูเหมือนว่าหนึ่งในนักพัฒนาที่เพิ่งมีรหัสผ่านเพื่อปลดล็อกห้องนิรภัยรหัสผ่านขององค์กร กำลังเรียกใช้ซอฟต์แวร์ที่เกี่ยวข้องกับสื่อบางประเภทซึ่งพวกเขาไม่ได้แก้ไข
และพวกมิจฉาชีพก็สามารถใช้ประโยชน์จากมันได้… เพื่อติดตั้งคีย์ล็อกเกอร์ ดั๊ก!
ซึ่งแน่นอนว่าพวกเขาได้รหัสผ่านที่เป็นความลับสุดยอดซึ่งเปิดขั้นตอนต่อไปของสมการ
หากคุณเคยได้ยินคำว่า การเคลื่อนไหวด้านข้าง – นั่นเป็นคำศัพท์เฉพาะที่คุณจะได้ยินบ่อยมาก
การเปรียบเทียบที่คุณมีกับอาชญากรทั่วไปคือ...
..เข้าไปในล็อบบี้ของอาคาร ไปไหนมาไหนสักหน่อย แล้วแอบเข้าไปในมุมหนึ่งของสำนักงานรักษาความปลอดภัย คอยอยู่ในเงามืดเพื่อไม่ให้ใครเห็นคุณจนกว่าทหารยามจะไปชงชา จากนั้นไปที่ชั้นวางข้างโต๊ะแล้วหยิบบัตรเข้าใช้เหล่านั้นมาใบหนึ่ง ที่นำคุณเข้าสู่พื้นที่ปลอดภัยข้างห้องน้ำ และในนั้นคุณจะพบกุญแจไขตู้เซฟ
คุณเห็นว่าคุณสามารถไปได้ไกลแค่ไหน จากนั้นคุณก็คิดออกว่าคุณต้องการอะไร หรือสิ่งที่คุณจะทำเพื่อก้าวไปสู่ขั้นต่อไป และอื่นๆ
ระวังคีย์ล็อกเกอร์ ดั๊ก! [หัวเราะ]
ดั๊ก. ใช่!
เป็ด. มัลแวร์ที่ดี เก่าแก่และไม่ใช่แรนซัมแวร์นั้น [A] ยังมีชีวิตอยู่และดี และ [B] อาจเป็นอันตรายต่อธุรกิจของคุณได้พอๆ กัน
ดั๊ก. ใช่!
และเรามีคำแนะนำแน่นอน
แพทช์เร็ว แพทช์บ่อย และแพทช์ทุกที่
เป็ด. ใช่.
LastPass นั้นสุภาพมาก และพวกเขาก็ไม่ได้โพล่งออกมาว่า “มันเป็นซอฟต์แวร์ XYZ ที่มีช่องโหว่”
ถ้าพวกเขาพูดว่า “โอ้ ซอฟต์แวร์ที่ถูกแฮ็กคือ X”...
…จากนั้นคนที่ไม่มี X ก็จะพูดว่า “ฉันสามารถยืนหยัดจากการแจ้งเตือนสีน้ำเงินได้ ฉันไม่ได้ใช้ซอฟต์แวร์นั้น”
อันที่จริง นั่นเป็นเหตุผลที่เราบอกว่าไม่ใช่แค่การแพตช์แต่เนิ่นๆ แพตช์บ่อยๆ… แต่แพตช์ *ทุกที่*
แค่แพตช์ซอฟต์แวร์ที่ได้รับผลกระทบ LastPass นั้นไม่เพียงพอในเครือข่ายของคุณ
จำเป็นต้องเป็นสิ่งที่คุณทำอยู่ตลอดเวลา
ดั๊ก. เราเคยพูดอย่างนี้แล้ว และเราจะพูดต่อไปจนกว่าตะวันจะมอดไหม้ เปิดใช้งาน 2FA ทุกที่ที่คุณทำได้
เป็ด. ใช่.
มัน *ไม่ใช่* ยาครอบจักรวาล แต่อย่างน้อยก็หมายความว่ารหัสผ่านเพียงอย่างเดียวไม่เพียงพอ
ดังนั้นมันจึงไม่ได้ยกระดับมาตรฐานไปจนสุด แต่ก็ไม่ได้ช่วยให้อาชญากรทำได้ง่ายขึ้นอย่างแน่นอน
ดั๊ก. และฉันเชื่อว่าเราได้พูดไปแล้วเมื่อเร็วๆ นี้: อย่ารอช้าที่จะเปลี่ยนข้อมูลประจำตัวหรือรีเซ็ตเมล็ดพันธุ์ 2FA หลังจากการโจมตีสำเร็จ
เป็ด. ดังที่เราได้กล่าวไว้ก่อนหน้านี้ กฎที่ระบุว่า “คุณต้องเปลี่ยนรหัสผ่านของคุณ – เปลี่ยนเพื่อเห็นแก่การเปลี่ยนแปลง ทำทุก ๆ สองเดือนโดยไม่คำนึง”...
…เราไม่เห็นด้วยกับสิ่งนั้น
เราแค่คิดว่านั่นทำให้ทุกคนติดเป็นนิสัยที่ไม่ดี
แต่ถ้าคุณคิดว่าอาจมีเหตุผลที่ดีในการเปลี่ยนรหัสผ่านของคุณ แม้ว่าจะเป็นเรื่องที่น่าปวดหัวก็ตาม...
…ถ้าคุณคิดว่ามันอาจช่วยได้ ทำไมไม่ทำล่ะ?
หากคุณมีเหตุผลที่จะเริ่มกระบวนการเปลี่ยนแปลง ก็แค่ดำเนินการทั้งหมด
อย่ารอช้า/ลงมือทำเลยวันนี้
[เงียบ ๆ] ดูสิ่งที่ฉันทำที่นั่น ดั๊ก?
ดั๊ก. Perfect!
เอาล่ะ เรามาต่อกันที่ เรื่องของ 2FA.
เราเห็นการเพิ่มขึ้นของแอป 2FA อันธพาลใน App Store ทั้งสองแห่ง
อาจเป็นเพราะ Twitter 2FA kerfuffle หรือเหตุผลอื่น
ระวังแอป 2FA อันธพาลใน App Store และ Google Play อย่าโดนแฮ็ก!
เป็ด. ฉันไม่รู้ว่าเป็นเพราะเคอร์ฟิว 2FA ของ Twitter โดยเฉพาะที่ Twitter ได้กล่าวด้วยเหตุผลใดก็ตามว่า "โอ้ เราจะไม่ใช้การยืนยันตัวตนแบบสองปัจจัยทาง SMS อีกต่อไป เว้นแต่คุณจะจ่ายเงินให้เรา!
และเนื่องจากคนส่วนใหญ่จะไม่ใช่ผู้ถือป้าย Twitter Blue พวกเขาจึงต้องเปลี่ยน
ดังนั้นฉันจึงไม่รู้ว่านั่นทำให้เกิดแอพปลอมจำนวนมากใน App Store และ Google Play แต่แน่นอนว่ามันดึงดูดความสนใจของนักวิจัยบางคนที่เป็นเพื่อนที่ดีของ Naked Security: @mysk_coถ้าคุณต้องการค้นหาพวกเขาบน Twitter
พวกเขาคิดว่า “ฉันพนันได้เลยว่าคนจำนวนมากกำลังมองหาแอปยืนยันตัวตน 2FA อยู่ตอนนี้ ฉันสงสัยว่าจะเกิดอะไรขึ้นถ้าคุณไปที่ App Store หรือ Google Play แล้วพิมพ์ลงไป แอป Authenticator? "
และถ้าคุณไปที่บทความเกี่ยวกับ Naked Security ซึ่งมีชื่อว่า “ระวังแอป 2FA อันธพาล” คุณจะเห็นภาพหน้าจอที่นักวิจัยเหล่านั้นเตรียมไว้
มันเป็นเพียงแถวแล้วแถวแล้วแถวของผู้ตรวจสอบสิทธิ์ที่ดูเหมือนกัน [หัวเราะ]
ดั๊ก. [หัวเราะ] พวกเขาถูกเรียกทั้งหมด Authenticator, ทั้งหมดมีล็อคและโล่!
เป็ด. บางคนถูกกฎหมายและบางคนไม่ได้
น่ารำคาญ เมื่อฉันไป – แม้ว่าหลังจากเรื่องนี้กลายเป็นข่าว… เมื่อฉันไปที่ App Store แอพยอดนิยมที่ปรากฏขึ้นเท่าที่ฉันเห็นคือหนึ่งในแอพหลอกลวงเหล่านี้
และฉันรู้สึกประหลาดใจจริงๆ!
ฉันคิดว่า “Crikey – แอปนี้ลงนามในนามของบริษัทโทรศัพท์มือถือจีนที่มีชื่อเสียงมาก”
โชคดีที่แอปดูไม่เป็นมืออาชีพ (ใช้คำได้แย่มาก) ดังนั้นฉันเลยไม่เชื่อว่านี่คือบริษัทโทรศัพท์มือถือนี้จริงๆ
แต่ฉันคิดว่า "พวกเขาจัดการอย่างไรถึงได้ใบรับรองการลงนามรหัสในนามของบริษัทที่ถูกกฎหมาย ทั้งที่เห็นได้ชัดว่าพวกเขาไม่มีเอกสารใดๆ ที่จะพิสูจน์ว่าพวกเขาเป็นบริษัทนั้น" (ขอไม่เอ่ยนามนะครับ)
จากนั้นฉันก็อ่านชื่ออย่างละเอียดถี่ถ้วน... และที่จริงแล้วมันคือการพิมพ์ผิด ดั๊ก!
ฉันจะพูดได้อย่างไรว่าตัวอักษรตัวหนึ่งที่อยู่ตรงกลางของคำนั้นมีรูปร่างและขนาดใกล้เคียงกันมากกับที่เป็นของบริษัทจริง
สันนิษฐานว่าได้ผ่านการทดสอบอัตโนมัติแล้ว
ไม่ตรงกับชื่อแบรนด์ใด ๆ ที่เป็นที่รู้จักซึ่งบางคนมีใบรับรองการลงนามรหัสอยู่แล้ว
และแม้แต่ฉันก็ต้องอ่านซ้ำถึงสองครั้ง... แม้ว่าฉันจะรู้ว่าฉันกำลังดูแอปโกงอยู่ก็ตาม เพราะฉันได้รับคำสั่งให้ไปที่นั่น!
ใน Google Play ฉันยังพบแอปที่ฉันได้รับการแจ้งเตือนจากเพื่อนที่ทำการวิจัยนี้...
…ซึ่งเป็นสิ่งที่ไม่เพียงแค่ขอให้คุณจ่าย $40 ต่อปีสำหรับสิ่งที่คุณสามารถรับได้ฟรีใน iOS หรือโดยตรงจาก Play Store ที่มีชื่อของ Google อยู่บนนั้นฟรี
นอกจากนี้ยังขโมยเมล็ดพันธุ์เริ่มต้นสำหรับบัญชี 2FA ของคุณและอัปโหลดไปยังบัญชีการวิเคราะห์ของนักพัฒนา
ว่าไง ดั๊ก?
นั่นคือการไร้ความสามารถที่ดีที่สุด
และที่แย่ที่สุดก็คือมันมุ่งร้ายโดยสิ้นเชิง
ถึงกระนั้นก็เป็น ... ผลลัพธ์อันดับต้น ๆ เมื่อนักวิจัยไปดูใน Play Store อาจเป็นเพราะพวกเขาสาดความรักโฆษณาเล็กน้อย
จำไว้ว่า ถ้ามีใครได้รับเมล็ดเริ่มต้นนั้น สิ่งมหัศจรรย์นั้นจะอยู่ในคิวอาร์โค้ดเมื่อคุณตั้งค่า 2FA ตามแอป...
…พวกเขาสามารถสร้างรหัสที่ถูกต้องสำหรับคุณสำหรับหน้าต่างการเข้าสู่ระบบ 30 วินาทีในอนาคต ตลอดไป Doug
มันง่ายอย่างที่คิด
ความลับที่ใช้ร่วมกันนั้นคือ *ตามตัวอักษร* เป็นกุญแจสู่รหัสแบบใช้ครั้งเดียวในอนาคตทั้งหมดของคุณ
ดั๊ก. และเรามีความคิดเห็นของผู้อ่านเกี่ยวกับเรื่อง 2FA อันธพาลนี้
ความคิดเห็น LR ของผู้อ่าน Naked Security บางส่วน:
ฉันทิ้ง Twitter และ Facebook เมื่อนานมาแล้ว
เนื่องจากฉันไม่ได้ใช้มัน ฉันจำเป็นต้องกังวลเกี่ยวกับสถานการณ์สองปัจจัยหรือไม่?
เป็ด. ใช่ นั่นเป็นคำถามที่น่าสนใจ และคำตอบก็คือ "ขึ้นอยู่กับ" ตามปกติ
แน่นอนว่าถ้าคุณไม่ได้ใช้ Twitter คุณก็ยังเลือกได้ไม่ดีเมื่อต้องติดตั้งแอป 2FA...
…และคุณอาจมีแนวโน้มที่จะซื้อมากขึ้น ตอนนี้ 2FA ตกเป็นข่าวเพราะเรื่องราวใน Twitter มากกว่าที่คุณคิดเมื่อหลายสัปดาห์ หลายเดือน หรือหลายปีก่อน
และหากคุณ *กำลังจะ* เลือกใช้ 2FA ตรวจสอบให้แน่ใจว่าคุณทำอย่างปลอดภัยที่สุดเท่าที่จะทำได้
อย่าเพิ่งไปค้นหาและดาวน์โหลดแอปที่ดูเหมือนเป็นแอปที่ชัดเจนที่สุด เพราะนี่คือหลักฐานที่ชัดเจนว่าคุณอาจทำให้ตัวเองตกอยู่ในอันตรายได้
แม้ว่าคุณจะอยู่ใน App Store หรือบน Google Play และไม่ไซด์โหลดแอพที่สร้างขึ้นเองจากที่อื่น!
ดังนั้น หากคุณใช้ 2FA ที่ใช้ SMS แต่คุณไม่มี Twitter คุณไม่จำเป็นต้องเปลี่ยนจากมัน
อย่างไรก็ตาม หากคุณเลือกที่จะทำเช่นนั้น ตรวจสอบให้แน่ใจว่าคุณเลือกแอปของคุณอย่างชาญฉลาด
ดั๊ก. เอาล่ะ คำแนะนำที่ดีและขอบคุณมาก LR ที่ส่งสิ่งนั้นเข้ามา
หากคุณมีเรื่องราว ข้อคิดเห็น หรือคำถามที่น่าสนใจที่คุณต้องการส่ง เรายินดีที่จะอ่านในพอดแคสต์
คุณสามารถส่งอีเมล tips@sophos.com คุณสามารถแสดงความคิดเห็นเกี่ยวกับบทความใดๆ ของเรา หรือคุณสามารถติดต่อเราทางโซเชียล: @nakedsecurity
นั่นคือการแสดงของเราในวันนี้ ขอบคุณมากสำหรับการฟัง
สำหรับ Paul Ducklin ฉัน Doug Aamoth เตือนคุณถึงครั้งต่อไปที่จะ...
ทั้งสอง รักษาความปลอดภัย!
[โมเด็มดนตรี]
- เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
- เพลโตบล็อคเชน Web3 Metaverse ข่าวกรอง ขยายความรู้. เข้าถึงได้ที่นี่.
- ที่มา: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2FA
- a
- สามารถ
- เกี่ยวกับเรา
- เข้า
- ลงชื่อเข้าใช้
- บัญชี
- ข้าม
- อยากทำกิจกรรม
- จริง
- Ad
- คำแนะนำ
- ในเครือ
- หลังจาก
- กับ
- เวลานาน
- การเล็ง
- เตือนภัย
- ทั้งหมด
- ถูกกล่าวหา
- นัยว่า
- การอนุญาต
- คนเดียว
- แล้ว
- Alright
- เสมอ
- อเมซอน
- ในหมู่
- จำนวน
- การวิเคราะห์
- และ
- คำตอบ
- ทุกแห่ง
- app
- แอปสโตร์
- ร้านค้าแอป
- ปรากฏ
- Apple
- ปพลิเคชัน
- AREA
- รอบ
- จับกุม
- บทความ
- บทความ
- ภาคี
- โจมตี
- การโจมตี
- ความสนใจ
- เสียง
- การยืนยันตัวตน
- ผู้เขียน
- อัตโนมัติ
- ใช้ได้
- หลีกเลี่ยง
- กลับ
- ไม่ดี
- ไม่ดี
- บาร์
- ขั้นพื้นฐาน
- เป็นพื้น
- หมี
- เพราะ
- ก่อน
- กำลัง
- เชื่อ
- ด้านล่าง
- ที่ดีที่สุด
- เดิมพัน
- ระหว่าง
- บิล
- บิลเกตส์
- การเล่นชนิดหนึ่ง
- กำเนิด
- บิต
- แบล็กเมล์
- บล็อก
- Blog
- สีน้ำเงิน
- ป้ายสีน้ำเงิน
- คณะกรรมการ
- กล้า
- โบนัส
- ด้านล่าง
- ยี่ห้อ
- ช่องโหว่
- การก่อสร้าง
- สร้าง
- ธุรกิจ
- แคลิฟอร์เนีย
- ที่เรียกว่า
- รณรงค์
- สามารถรับ
- บัตร
- การ์ด
- กรณี
- กรณี
- ที่เกิดจาก
- อย่างแน่นอน
- ใบรับรอง
- โซ่
- ท้าทาย
- เปลี่ยนแปลง
- รับผิดชอบ
- ชาวจีน
- Choose
- ข้อเรียกร้อง
- อย่างเห็นได้ชัด
- ปิดหน้านี้
- สโมสร
- รหัส
- รหัส
- COM
- อย่างไร
- ความเห็น
- ความคิดเห็น
- ชุมชน
- บริษัท
- บริษัท
- คอมพิวเตอร์
- เกี่ยวข้อง
- สิ่งแวดล้อม
- ต่อ
- ตามธรรมเนียม
- ตำรวจ
- มุม
- ไทม์ไลน์การ
- ได้
- คูปอง
- หลักสูตร
- แตกระแหง
- สร้าง
- ที่สร้างขึ้น
- หนังสือรับรอง
- เครดิต
- บัตรเครดิต
- อาชญากรรม
- Crooks
- ถ้วย
- การกรรโชกทางอินเทอร์เน็ต
- ข้อมูล
- วันที่
- ถอดรหัส
- อย่างแน่นอน
- ยินดี
- ความต้องการ
- ขึ้นอยู่กับ
- นักพัฒนา
- DID
- ยาก
- โดยตรง
- ผู้อำนวยการ
- พูดคุย
- กระจาย
- เอกสาร
- ไม่
- Dont
- ลง
- ดาวน์โหลด
- อย่างมาก
- หล่น
- ก่อน
- ที่ได้รับ
- โลก
- ง่ายดาย
- อย่างง่ายดาย
- มีประสิทธิภาพ
- อีเมล
- พอ
- ผู้ที่ชื่นชอบ
- ผู้ประกอบการ
- ที่ระบาด
- เป็นหลัก
- ยูโร
- แม้
- เคย
- ทุกๆ
- ทุกอย่าง
- หลักฐาน
- เอาเปรียบ
- การกรรโชก
- พิเศษ
- สุดโต่ง
- ตา
- ตก
- ไกล
- ร้านแฟชั่นเกาหลี
- กลัว
- กุมภาพันธ์
- สองสาม
- คิด
- ไฟล์
- ใส่
- หา
- ชื่อจริง
- ตลอดไป
- พบ
- ฟรี
- ภาษาฝรั่งเศส
- เพื่อน
- ราคาเริ่มต้นที่
- เต็ม
- ต่อไป
- อนาคต
- เกตส์
- การรวบรวม
- สร้าง
- ได้รับ
- ได้รับ
- ยักษ์
- ของขวัญ
- ให้
- ให้
- Go
- ไป
- ดี
- Google Play
- ของ Google
- คว้า
- ยิ่งใหญ่
- hacked
- แขวน
- ที่เกิดขึ้น
- ที่เกิดขึ้น
- มีความสุข
- ฮาร์ดแวร์
- เป็นอันตราย
- ฮาร์วาร์
- มี
- หัว
- พาดหัว
- ได้ยิน
- ได้ยิน
- ช่วย
- โปรดคลิกที่นี่เพื่ออ่านรายละเอียดเพิ่มเติม
- ประวัติ
- ตี
- ผู้ถือ
- หน้าแรก
- เป็นเจ้าภาพ
- สรุป ความน่าเชื่อถือของ Olymp Trade?
- อย่างไรก็ตาม
- HTML
- HTTPS
- ฉันเป็น
- in
- อุบัติการณ์
- การตอบสนองต่อเหตุการณ์
- ความโน้มเอียง
- รวมทั้ง
- ไร้ความสามารถ
- ข้อมูล
- ความเข้าใจ
- ติดตั้ง
- การติดตั้ง
- แทน
- สนใจ
- น่าสนใจ
- iOS
- IT
- ศัพท์แสง
- JavaScript
- การสัมภาษณ์
- งาน
- ผู้พิพากษา
- เก็บ
- คีย์
- ชนิด
- ทราบ
- ที่รู้จักกัน
- ชื่อสกุล
- LastPass
- รั่วไหล
- เรียนรู้
- ทิ้ง
- นำ
- Legit
- การเชื่อมโยง
- การฟัง
- น้อย
- โหลด
- ล๊อบบี้
- ล็อค
- ดู
- มอง
- ที่ต้องการหา
- LOOKS
- Lot
- ความรัก
- ทำ
- มายากล
- ส่วนใหญ่
- ทำ
- การทำ
- มัลแวร์
- จัดการ
- ผู้จัดการ
- หลาย
- มีนาคม
- การจับคู่
- เรื่อง
- วิธี
- ขณะ
- ที่ประชุม
- เม็กซิโก
- กลาง
- อาจ
- ใจ
- ตอบสนอง
- โทรศัพท์มือถือ
- โหมด
- ขณะ
- เงิน
- เดือน
- ข้อมูลเพิ่มเติม
- มากที่สุด
- ย้าย
- ดนตรี
- ดนตรี
- ความปลอดภัยเปล่า
- พอดคาสต์ความปลอดภัยเปลือยกาย
- ชื่อ
- คือ
- จำเป็นต้อง
- จำเป็นต้อง
- เนเธอร์แลนด์
- เครือข่าย
- ใหม่
- ข่าว
- ถัดไป
- จำนวน
- ชัดเจน
- Office
- เก่า
- ONE
- ออนไลน์
- เปิด
- ใบสั่ง
- อื่นๆ
- ของตนเอง
- แพ็คเกจ
- แพคเกจ
- ต้องจ่าย
- อาการเจ็บปวด
- ยาครอบจักรวาล
- สวนสาธารณะ
- ส่วนหนึ่ง
- ในสิ่งที่สนใจ
- ผ่าน
- รหัสผ่าน
- รหัสผ่าน
- อดีต
- ปะ
- ปะ
- พอล
- ชำระ
- การจ่ายเงิน
- PC
- คน
- บางที
- ชักชวน
- พีเตอร์
- โทรศัพท์
- เลือก
- สถานที่
- แผน
- เพลโต
- เพลโตดาต้าอินเทลลิเจนซ์
- เพลโตดาต้า
- เล่น
- Play สโตร์
- ผู้เล่น
- พอดคาสต์
- พอดคาสต์
- ตำรวจ
- โพสต์
- เตรียม
- สวย
- สำคัญ
- อาจ
- ปัญหา
- กระบวนการ
- คุณสมบัติ
- พิสูจน์
- หมัด
- ใส่
- ยังมีคิวอาร์โค้ด
- คำถาม
- เงียบ ๆ
- ยก
- ransomware
- อ่าน
- ผู้อ่าน
- จริง
- เหตุผล
- เหตุผล
- เมื่อเร็ว ๆ นี้
- เอาออก
- ทำซ้ำ
- รายงาน
- นักวิจัย
- คำตอบ
- REST
- ผล
- รายได้
- ความเสี่ยง
- แถว
- RSS
- ทำลาย
- กฎ
- วิ่ง
- วิ่ง
- ปลอดภัย
- อย่างปลอดภัย
- กล่าวว่า
- ประโยชน์
- เดียวกัน
- พูดว่า
- ค้นหา
- ลับ
- ปลอดภัย
- ความปลอดภัย
- เมล็ดพันธุ์
- เมล็ด
- เห็น
- ดูเหมือน
- ดูเหมือนว่า
- เห็น
- ส่วน
- การส่ง
- ชุด
- บริการ
- ชุด
- รูปร่าง
- ที่ใช้ร่วมกัน
- หิ้ง
- สั้น
- โชว์
- ไซด์โหลด
- ลงนาม
- การลงชื่อ
- ความเงียบ
- คล้ายคลึงกัน
- ง่าย
- ตั้งแต่
- เว็บไซต์
- สถานที่ทำวิจัย
- สถานการณ์
- ขนาด
- SMS
- แอบดู
- So
- สังคม
- ซอฟต์แวร์
- บาง
- บางคน
- บางสิ่งบางอย่าง
- บางแห่ง
- แหล่ง
- รหัสแหล่งที่มา
- การพูด
- เฉพาะ
- ขัดขวาง
- Spotify
- ระยะ
- ยืน
- เริ่มต้น
- ข้อความที่เริ่ม
- ที่เริ่มต้น
- เข้าพัก
- ขั้นตอน
- สตีฟ
- Wozniak สตีฟ
- ยังคง
- ขโมย
- ที่ถูกขโมย
- จัดเก็บ
- ร้านค้า
- เรื่องราว
- ซื่อตรง
- แข็งแรง
- ส่ง
- ที่ประสบความสำเร็จ
- ดวงอาทิตย์
- พรั่ง
- สวิตซ์
- ระบบ
- ชา
- เทคโนโลยี
- เทคโนโลยี
- การทดสอบ
- พื้นที่
- ก้าวสู่อนาคต
- เนเธอร์แลนด์
- การโจรกรรม
- ของพวกเขา
- ตัวเอง
- ดังนั้น
- สิ่ง
- สิ่ง
- คิด
- คิดว่า
- พัน
- สาม
- ตลอด
- เวลา
- ครั้ง
- ไปยัง
- ในวันนี้
- ร่วมกัน
- วันพรุ่งนี้
- ด้านบน
- จริง
- วางใจ
- ที่เชื่อถือ
- พูดเบาและรวดเร็ว
- ภายใต้
- ปลดล็อก
- อัปโหลด
- URL
- us
- ใช้
- ผู้ใช้
- หกคะเมน
- เหยื่อ
- ผู้ที่ตกเป็นเหยื่อ
- วีดีโอ
- ความอ่อนแอ
- รอ
- คำเตือน
- เว็บ
- สัปดาห์
- สัปดาห์ที่ผ่านมา
- อะไร
- ที่
- ในขณะที่
- WHO
- จะ
- ภูมิปัญญา
- คำ
- การใช้ถ้อยคำ
- WordPress
- คำ
- งาน
- ออกไปทำงาน
- โรงงาน
- แย่ที่สุด
- จะ
- X
- ปี
- ปี
- หนุ่มสาว
- ของคุณ
- ด้วยตัวคุณเอง
- ลมทะเล