ШАХРАЇ В СЛЕМЕРИ (ТА ІНШІ ІСТОРІЇ)
З Дугом Амотом і Полом Дакліном.
Вступна та кінцева музика Едіт Мадж.
Натисніть і перетягніть звукові хвилі нижче, щоб перейти до будь-якої точки. Ви також можете слухати безпосередньо на Soundcloud.
Ви можете послухати нас на Soundcloud, Apple Podcasts, Підкасти Google, Spotify, брошюровщик і скрізь, де можна знайти хороші подкасти. Або просто скиньте URL-адреса нашого каналу RSS у ваш улюблений подкечер.
ПРОЧИТАЙТЕ СКРИПТ
ДУГ. Подвійний нульовий день Microsoft, в'язниця для шахраїв і фальшиві телефонні дзвінки.
Все це та багато іншого в подкасті Naked Security.
[МУЗИЧНИЙ МОДЕМ]
Вітаємо всіх у подкасті. Я Дуг Аамот.
Він Пол Даклін...
КАЧКА. Дуже приємно, Дугласе.
ДУГ. в мене є трохи Історія техніки для вас, і це йде далеко назад, шлях, шлях, шлях назад, і це пов’язано з калькуляторами.
Цього тижня, 7 жовтня 1954 року, IBM продемонструвала перший у своєму роді повністю транзисторний калькулятор.
Команда IBM Electronic Calculation Punch, як його називали, замінив свої 1250 вакуумних ламп на 2000 транзисторів, що вдвічі зменшило його об’єм і споживало лише на 5% більше енергії.
КАЧКА. Ось це так!
Я не чув про цей «604», тож пішов і подивився, але не міг знайти зображення.
Очевидно, це була лише експериментальна модель, і через кілька місяців вони випустили ту, яку ви могли купити, яка називалася 608, і вони збільшили її до 3000 транзисторів.
Але запам’ятайте, Дуг, це не транзистори, як в інтегральних схемах [ІС], тому що ІС ще не було.
Там, де був би вентиль, термоелектронний клапан (або “toob” [вакуумна трубка], як ви б його назвали), замість нього був би підключений транзистор.
Отже, хоча він був набагато меншим, це все одно були дискретні компоненти.
Коли я думаю про «калькулятор», я думаю про «кишеньковий калькулятор»…
ДУГ. О, ні, ні, ні!
КАЧКА. «Ні», як ти кажеш…
…це розмір дуже великого холодильника!
І тоді вам потрібен дуже великий холодильник поруч із ним, на фотографії, яку я бачив, я думаю, це для введення.
А потім була інша схема керування, яка виглядала як дуже велика морозильна скриня поруч із двома дуже великими холодильниками.
Я не усвідомлював цього, але, очевидно, Томас Уотсон [генеральний директор IBM] у той час видав такий указ для всієї IBM: «У нових продуктах не дозволяється використовувати вентилі, вакуумні лампи. Ми повністю приймаємо, схвалюємо і використовуємо лише транзистори».
І ось куди все пішло потім.
Отже, хоча це було в авангарді транзисторної революції, очевидно, незабаром його витіснили... він був на ринку лише близько 18 місяців.
ДУГ. Що ж, давайте зупинимось на темі дуже великих речей і повідомимо наших слухачів про цей подвійний нульовий день Microsoft Exchange.
Ми розглянули це на мінізод; ми покрили це на сайті… але щось нове, про що ми повинні знати?
КАЧКА. Не зовсім, Дугласе.
Схоже, що він не захопив світ кібербезпеки чи операцій безпеки [SecOps], таких як ProxyShell і Log4Shell зробив:
Я припускаю, що на це є дві причини.
По-перше, фактичні деталі вразливості все ще залишаються в секреті.
Вони відомі в’єтнамській компанії, яка це виявила, ZeroDay Initiative [ZDI], де це було відповідально розкрито, і Microsoft.
І всі, здається, тримають це під шапкою.
Отже, наскільки я знаю, немає 250 доказів концепції «спробуйте це зараз!» Репозиторії GitHub, де ви можете зробити це самостійно.
По-друге, він вимагає автентифікованого доступу.
І я відчуваю, що всі бажаючі «дослідники кібербезпеки» (тут вставлено гігантські цитати), які підхопили атак в Інтернеті за допомогою Proxyshell або Log4Shell, стверджуючи, що вони надають послуги у світі: «Гей, якщо ваш веб-сервіс уразливий, я з’ясую це та розповім вам»…
…Я підозрюю, що багато з цих людей двічі подумають, намагаючись здійснити таку саму атаку, коли їм доведеться вгадувати паролі.
Таке відчуття, що це інша сторона досить важливої лінії на піску, чи не так?
ДУГ. Угу.
КАЧКА. Якщо у вас є відкритий веб-сервер, призначений для прийому запитів, це дуже відрізняється від надсилання запиту на сервер, до якого ви знаєте, що ви не маєте доступу, і спроби надати пароль, який, як ви знаєте, не повинен знати, якщо це має сенс.
ДУГ. Так.
КАЧКА. Отже, хороша новина полягає в тому, що, здається, його не використовують широко…
…але виправлення досі немає.
І я вважаю, щойно патч з’являється, його потрібно швидко отримати.
Не зволікайте, тому що я уявляю, що виникне певний ажіотаж, намагаючись переробити патчі, щоб дізнатися, як ви насправді надійно використовуєте цю річ.
Тому що, наскільки ми знаємо, це працює досить добре – якщо у вас є пароль, ви можете використовувати перший експлойт, щоб відкрити двері до другого експлойту, який дозволяє запускати PowerShell на сервері Exchange.
І це ніколи не може закінчитися добре.
Сьогодні вранці я переглянув інструкцію Microsoft (ми записуємо в середу тижня), але я не бачив жодної інформації про виправлення або про те, коли він буде доступний.
Наступного вівторка буде вихідний вівторок, тож, можливо, нам доведеться чекати до того часу?
ДУГ. Гаразд, ми стежитимемо за цим, і, будь ласка, оновіть і виправте, коли побачите це… це важливо.
Я збираюся повернутися до нашого калькулятора і дати вам маленьке рівняння.
Це виглядає так: 2 роки шахрайства + шахрайство на 10 мільйонів доларів = 25 років в'язниці:
КАЧКА. Це злочинець – тепер ми можемо так його називати, тому що його не лише засудили, але й засудили – із драматичним ім’ям: Елвіс Егоза Огієкполор.
І пару років тому він керував тим, що можна назвати ремісничою кібергрупою в Атланті, штат Джорджія, США.
Трохи менше ніж за два роки вони бенкетували, якщо хочете, нещасними компаніями, які стали жертвами так званого компромісу бізнес-електронної пошти [BEC], і нещасними людьми, яких вони заманили в романтичні афери… і заробили 10 мільйонів доларів.
Елвіс (я буду називати його так)… у цьому випадку він зібрав команду, яка створила цілу мережу шахрайським шляхом відкритих банківських рахунків у США, куди він міг вносити гроші, а потім відмивати їх.
І його не тільки засудили, його просто засудили.
Суддя, очевидно, вирішив, що характер цього злочину та характер віктимізації були достатньо серйозними, щоб він отримав 25 років у федеральній в’язниці.
ДУГ. Давайте поглибимо компроміс бізнес-електронної пошти.
Я вважаю, що це захоплююче – ви або видаєте себе за чиюсь електронну адресу, або заволоділи справжньою адресою електронної пошти.
І з цим, як тільки ви можете залучити когось на гачок, ви можете зробити цілу купу речей.
Ви перелічите їх у цій статті – я швидко їх перегляну.
Ви можете дізнатися, коли настають великі платежі...
КАЧКА. Дійсно.
Очевидно, що якщо ви надсилаєте пошту ззовні та просто підробляєте заголовки електронної пошти, щоб удавати, що електронний лист надійшов від фінансового директора, тоді ви повинні вгадати, що знає фінансовий директор.
Але якщо ви можете входити в обліковий запис електронної пошти фінансового директора щоранку рано, до того, як вони це зроблять, тоді ви можете зазирнути навколо всіх великих речей, які відбуваються, і можете робити нотатки.
І тому, коли ви намагаєтесь видати себе за них, ви не лише надсилаєте електронний лист, який насправді надходить з їхнього облікового запису, ви робите це з надзвичайною кількістю внутрішніх знань.
ДУГ. І тоді, звісно, коли ви отримуєте електронний лист, у якому ви просите якогось необізнаного працівника перерахувати купу грошей цьому постачальнику, і вони кажуть: «Це справді?»…
…якщо ви отримали доступ до фактичної системи електронної пошти, ви можете відповісти. «Звичайно, це реально. Подивіться на електронну адресу – це я, фінансовий директор».
КАЧКА. І, звичайно, навіть більше, ви можете сказати: «До речі, це придбання, це угода, яка перевершить наших конкурентів. Тому це конфіденційна інформація компанії. Переконайтеся, що ви не розповідаєте нікому іншому в компанії».
ДУГ. Так – подвійний удар!
Ви можете сказати: «Це я, це правда, але це велика справа, це секрет, не кажи нікому. Не це! Не повідомляйте про це як про підозріле повідомлення».
Потім ви можете зайти в папку «Надіслані» та видалити фальшиві електронні листи, які ви надіслали від імені фінансового директора, щоб ніхто не побачив, що ви там нишпорили.
І якщо ви «хороший» шахрай BEC, ви підете й покопаєтеся в колишніх електронних листах справжнього працівника та підберете стиль цього користувача, скопіювавши та вставивши загальні фрази, які використовувала ця особа.
КАЧКА. Абсолютно, Дуг.
Здається, ми говорили раніше, коли говорили про фішингові електронні листи… про читачів, які повідомили: «Так, я потрапив до одного такого, але я негайно його пробурчав, тому що людина використала у своєму електронному листі привітання, яке просто так нехарактерно».
Або у підписці були якісь емодзі, як-от смайлик [СМІХ], чого я знаю, що ця людина ніколи б не зробила.
Звичайно, якщо ви просто скопіюєте та вставите стандартний вступ і підсумок із попередніх електронних листів, ви уникнете такої проблеми.
І інша річ, Дуг, полягає в тому, що якщо ви надсилаєте електронний лист зі справжнього облікового запису, він отримує справжній електронний підпис людини, чи не так?
Яке додається сервером компанії, і воно виглядає саме так, як ви очікуєте.
ДУГ. І тоді я люблю цей демонтаж…
…як висококласний злочинець, ви не тільки збираєтеся обікрасти компанію, але й будете переслідувати *клієнтів* компанії, кажучи: «Гей, ви можете оплатити цей рахунок зараз і надіслати його цьому новому банківський рахунок?"
Ви можете обдурити не тільки компанію, але й компанії, з якими компанія працює.
КАЧКА. Абсолютно
ДУГ. І щоб ви не подумали, що Елвіс просто обманював компанії… він також займався романтичним шахрайством.
КАЧКА. Міністерство юстиції повідомляє, що деякі компанії, які вони ошукали, були захоплені на сотні тисяч доларів за раз.
А зворотною стороною їхнього шахрайства було переслідування окремих осіб у так званих романтичних шахрайствах.
Мабуть, у справі виступили як свідки 13 осіб, і два приклади, про які згадало Міністерство юстиції (Міністерство юстиції), витратили, я думаю, 32,000 70,000 і XNUMX XNUMX доларів відповідно.
ДУГ. Гаразд, у нас є кілька порад, як захистити свій бізнес від компрометації бізнес-електронної пошти та як захистити себе від шахрайства, пов’язаного з романами.
Почнемо з компромісу бізнес-електронної пошти.
Мені подобається цей перший пункт, тому що він простий і дуже низько висить фрукт: Створіть центральний обліковий запис електронної пошти для співробітників, щоб повідомляти про підозрілі електронні листи.
КАЧКА. Так, якщо є security@example.com, то, мабуть, ви будете дуже ретельно доглядати за цим обліковим записом електронної пошти, і ви можете стверджувати, що набагато менша ймовірність того, що особа, яка зламала ділову електронну пошту, зможе скомпрометувати обліковий запис SecOps, ніж скомпрометувати обліковий запис будь-якого іншого випадкового співробітника в компанії.
Крім того, мабуть, якщо у вас є принаймні кілька людей, які можуть стежити за тим, що там відбувається, ви маєте набагато більше шансів отримати корисні та доброзичливі відповіді з цієї електронної адреси, ніж просто запитати відповідна особа.
Навіть якщо електронна пошта фінансового директора не була скомпрометована… якщо ви отримали фішинговий електронний лист, а потім ви запитали фінансового директора: «Гей, це законно чи ні?», ви ставите фінансового директора в дуже скрутне становище.
Ви кажете: «Чи можете ви поводитись так, ніби ви ІТ-фахівець, дослідник кібербезпеки чи спеціаліст із безпеки?»
Набагато краще централізувати це, щоб у людей був простий спосіб повідомити про те, що виглядає трохи не так.
Це також означає, що якщо те, що ви робите зазвичай, це просто говорити: «Ну, це, очевидно, фішинг. Я просто видалю це»…
…надсилаючи його, навіть якщо *ви* думаєте, що це очевидно, ви дозволяєте команді SecOps або ІТ-команді попередити решту компанії.
ДУГ. Гаразд.
І наступна порада: Якщо ви сумніваєтеся, зверніться безпосередньо до відправника електронного листа.
І, щоб не псувати головний момент, можливо, можливо, не електронною поштою іншим способом…
КАЧКА. Який би механізм не використовувався для надсилання вам повідомлення, якому ви не довіряєте, не надсилайте йому повідомлення через ту саму систему!
Якщо обліковий запис не було зламано, ви отримаєте відповідь: «Ні, не хвилюйтеся, все добре».
І якщо обліковий запис *було* зламано, ви отримаєте повідомлення: «О, ні, не хвилюйтеся, все гаразд!» [СМІЄТЬСЯ]
ДУГ. Гаразд.
І останнє, але не менш важливе: Потрібна вторинна авторизація для змін платіжних даних облікового запису.
КАЧКА. Якщо у вас є другий набір поглядів на проблему – вторинна авторизація – це [A] ускладнює нечесним інсайдерам уникнути шахрайства, якщо вони допомагають, а [B] означає, що жодна особа, яка очевидно намагаючись бути корисним клієнтам, повинен нести всю відповідальність і тиск, щоб вирішити: «Це законно чи ні?»
Два ока часто краще одного.
Або, можливо, я маю на увазі, що чотири очі часто краще, ніж два…
ДУГ. Так. [СМІЄТЬСЯ].
Звернемо увагу на романтичні шахрайства.
Перша порада: Сповільніться, коли розмова про побачення переходить від дружби, любові чи романтики до грошей.
КАЧКА. Так.
Зараз жовтень, чи не так, Дуг?
Тож знову Місяць обізнаності про кібербезпеку… #кібермісяць, якщо ви хочете стежити за тим, що люди роблять і говорять.
Є чудовий маленький девіз (це правильне слово?), який ми багато разів говорили в подкасті, тому що я знаю, що тобі і мені це подобається, Дуг.
Це надходить від Державної служби США...
ОБИМ. СТОП. (Крапка.)
Подумайте. (Крапка.)
Підключитися. (Крапка.)
КАЧКА. Не поспішайте надто!
Коли мова заходить про онлайн-справи, це дійсно питання «здійснюйте операції поспішно, каяйтеся на дозвіллі».
ДУГ. І ще одна порада, яка буде важкою для деяких людей… але подивіться всередину себе та спробуйте її дотримуватися: Відверто слухайте своїх друзів і рідних, якщо вони намагаються попередити вас.
КАЧКА. Так.
У минулому, коли я працював у Sophos Australia, я брав участь у заходах з кібербезпеки, які стосувалися проблеми романтичного шахрайства.
Мені було неприємно слухати розповіді людей із поліції, чия робота полягає в тому, щоб намагатися втручатися в шахрайство в цей момент…
…і просто побачити, якими похмурими були деякі з цих копів, коли вони поверталися з візиту.
У деяких випадках цілі родини були втягнуті в афери.
Очевидно, це більше «фінансові інвестиції», ніж романтичні стосунки, але *всі* були на стороні шахрая, тож коли правоохоронні органи прибули туди, сім’я мала «всі відповіді», які були ретельно надані шахраєм. шахрай.
А під час романтичного шахрайства вони не подумають про те, щоб залицятися до вашого романтичного інтересу *і* вбивати клин між вами та вашою родиною, тож ви перестаєте слухати їхні поради.
Тож будьте обережні, щоб не залишитися відчуженим від родини, а також від свого банківського рахунку.
ДУГ. Гаразд.
І остання порада: У статтю вставлено чудове відео.
Стаття називається Романтичну шахрайку та шахрайку BEC посадили на 25 років:
Тож перегляньте це відео – у ньому багато чудових порад.
І давайте зупинимося на темі шахрайства та поговоримо про шахраїв і шахраїв.
Чи взагалі можливо зупинити шахрайські дзвінки?
ось big question дня прямо зараз:
КАЧКА. Ну, є шахрайські дзвінки, а є неприємні дзвінки.
Іноді неприємні дзвінки дуже схожі на шахрайські.
Це люди, які представляють законний бізнес, [РАЗДРУВАНІ], але вони просто не перестануть вам дзвонити, [СХВУРУЮТЬСЯ БІЛЬШЕ] незалежно від того, що ви їм кажете: «Я в списку «Не дзвонити» [ЗЛИЙ] тому БІЛЬШЕ НЕ ДЗВОНИТЬ».
Тож я написав статтю про Naked Security, кажучи людям… якщо ви можете змусити себе це зробити (я не пропоную вам робити це щоразу, це справжня проблема), виявляється, що якщо ви скаржитеся, іноді це дає результат.
Мене спонукало написати це те, що чотири компанії, які продають «екологічні» продукти, були закриті Управлінням інформаційного комісара [ICO, британський регулятор конфіденційності даних] і оштрафовані на десятки й сотні тисяч фунтів стерлінгів за дзвінки людям, які поставити себе на те, що досить дивно називається Служба телефонних пріоритетів у Великобританії…
…це ніби вони визнають, що деякі люди насправді хочуть взяти участь у цих сміттєвих дзвінках. [СМІХ]
ДУГ. «Віддаю перевагу»?! [СМІЄТЬСЯ]
КАЧКА. Мені подобається, як це в США.
Куди ви йдете, щоб зареєструватися та поскаржитися, це: не дзвоніть DOT gov.
ДУГ. Так! «Не дзвони!»
КАЧКА. На жаль, коли справа доходить до телефонії, ми все ще живемо в світі відмови... їм дозволено дзвонити вам, доки ви не скажете, що не можете.
Але мій досвід показує, що, хоча це не вирішує проблему, запис себе в реєстр «Не дзвонити» майже напевно не *збільшить* кількість дзвінків, які ви отримуєте.
Це мало для мене значення, як коли я жив в Австралії, так і зараз я живу у Великобританії…
…і час від часу звітування про дзвінки принаймні дає регулятору у вашій країні шанс вжити певних заходів у майбутньому.
Бо якщо ніхто нічого не каже, то ніби нічого й не було.
ДУГ. Це чудово вписується в коментар нашого читача до цієї статті.
Читач Naked Security Філ коментує:
Голосова пошта змінила для мене все.
Якщо абонент не бажає залишати повідомлення, а більшість цього не хоче, у мене немає причин передзвонювати.
Більше того, щоб повідомити про шахрайський телефонний дзвінок, мені довелося б витратити час, необхідний для відповіді на телефонний дзвінок невідомого абонента та спілкування з кимось виключно з метою повідомити про нього.
Навіть якщо я відповім на дзвінок, я все одно розмовлятиму з роботом… ні, дякую!
Отже, це відповідь: просто ніколи не відповідайте на телефонні дзвінки та ніколи не спілкуйтеся з цими шахраями?
Або є кращий спосіб, Поле?
КАЧКА. Я виявив, що якщо я вважаю, що номер є шахрайським...
Деякі з шахраїв або неприємних абонентів щоразу використовуватимуть інший номер – він завжди виглядатиме місцевим, тому важко сказати, хоча нещодавно мене мучив один, коли це був той самий номер знову і знову, тому я можу просто заблокувати це.
…як правило, я просто відповідаю на телефонні дзвінки і нічого не кажу.
Вони дзвонять мені; якщо це так важливо, вони скажуть: «Привіт? Привіт? Це…?» і використовуйте моє ім’я.
Я вважаю, що багато з цих неприємних абонентів і шахраїв використовують автоматизовані системи, які, коли вони чують, що ви відповідаєте на дзвінок, лише тоді вони намагаються підключити вас до свого оператора.
У них немає телефонних операторів, які насправді здійснюють дзвінки.
Вони дзвонять тобі, і поки ти представляєшся, вони швидко знаходять у черзі когось, хто може прикинутися, що дзвонив.
І я вважаю, що це дуже гарна роздача, тому що якщо нічого не станеться, якщо ніхто навіть не відповість: «Привіт? Привіт? Є хтось?», тоді ви знаєте, що маєте справу з автоматизованою системою.
Однак є неприємна проблема, хоча я думаю, що це характерно для Сполученого Королівства.
Бюрократія для звітування про те, що називається «тихим дзвінком», як тип сталкера, який важко дихає, де не вимовляються жодні слова…
…механізм звітування, який повністю відрізняється від механізму звітування про дзвінок, коли хтось каже: «Привіт, я Джон, і я хочу продати вам цей продукт, який вам не потрібен і не годиться», тобто дійсно дратує.
Звіти про тихі дзвінки проходять через телефонний регулятор, і це розглядається як більш серйозний кримінальний злочин, я вважаю, з історичних причин.
Ви повинні ідентифікувати себе – ви не можете повідомити про це анонімно.
Тож мене це дратує, і я сподіваюся, що вони це змінять!
Де вам дзвонить просто роботизована система, яка ще не знає, що ви на лінії, тому вона не призначила нікого, щоб з вами поговорити…
…якби ви могли повідомити про це легше й анонімно, чесно кажучи, я був би більш схильний це зробити.
ДУГ. Гаразд.
У статті є кілька посилань для повідомлення про несанкціоновані виклики в деяких країнах.
І дякую тобі, Філе, що надіслав цей коментар.
Якщо у вас є цікава історія, коментар або запитання, яке ви хотіли б надіслати, ми будемо раді прочитати це в подкасті.
Ви можете надіслати нам електронний лист на tips@sophos.com, ви можете прокоментувати будь-яку з наших статей або зв’язатися з нами в соціальних мережах: @nakedsecurity.
Це наше шоу на сьогодні – велике спасибі, що послухали.
Для Пола Дакліна я Дуг Аамот, нагадую вам до наступного разу…
ОБИМ. Залишайтеся в безпеці.
[МУЗИЧНИЙ МОДЕМ]
- :ProxyNotShell
- BEC
- blockchain
- бюст
- coingenius
- крипто-валютні кошельки
- криптообмін
- кібер-безпеки
- кіберзлочинці
- Кібербезпека
- управління внутрішньої безпеки
- цифрові гаманці
- обмін
- Експлуатувати
- брандмауер
- Kaspersky
- Закон і порядок
- шкідливих програм
- Макафі
- Microsoft
- Гола безпека
- Голий подкаст безпеки
- NexBLOC
- plato
- платон ai
- Інформація про дані Платона
- Гра Платон
- PlatoData
- platogaming
- Подкаст
- роботодави
- романська афера
- VPN
- вразливість
- безпеки веб-сайтів
- зефірнет
![S3, серія 126: Ціна швидкої моди (і повзання функцій) [Аудіо + текст]](https://platoaistream.net/wp-content/uploads/2023/03/s3-ep-126-the-price-of-fast-fashion-and-feature-creep-audio-text-360x188.png)
![S3 Ep119: Порушення, виправлення, витоки та налаштування! [Аудіо + текст]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep119-breaches-patches-leaks-and-tweaks-audio-text-360x188.jpg)
![S3 Ep118: Вгадайте свій пароль? Не треба, якщо його вже вкрали! [Аудіо + текст]](https://platoaistream.net/wp-content/uploads/2023/01/s3-ep118-guess-your-password-no-need-if-its-stolen-already-audio-text-360x188.png)