PHÒNG THƯ VIỆN CỦA MỘT ROGUES
Rogue gói phần mềm. Rogue “quản trị viên hệ thống”. Rogue keylogger. Rogue người xác thực.
Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.
Với Doug Aamoth và Paul Ducklin. Nhạc giới thiệu và kết thúc bởi Edith Mudge.
Bạn có thể lắng nghe chúng tôi trên Soundcloud, Podcast của Apple, Google Podcasts, Spotify, người may quần áo và bất cứ nơi nào tìm thấy podcast tốt. Hoặc chỉ cần thả URL của nguồn cấp dữ liệu RSS của chúng tôi vào podcatcher yêu thích của bạn.
ĐỌC BẢNG BIỂU
CHÓ. Lừa đảo, các ứng dụng 2FA giả mạo và chúng tôi chưa nghe thấy gì về LastPass.
Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.
[CHẾ ĐỘ ÂM NHẠC]
Chào mừng mọi người đến với podcast.
Tôi là Doug Aamoth; anh ấy là Paul Ducklin.
Paul, hôm nay bạn thế nào?
VỊT. Lạnh lùng, Doug.
Rõ ràng, tháng Ba sẽ lạnh hơn tháng Hai.
CHÓ. Chúng tôi đang có cùng một vấn đề ở đây, cùng một thách thức.
Vì vậy, đừng băn khoăn – tôi có một điều rất thú vị Tuần này trong Lịch sử Công nghệ phân khúc.
Tuần này, vào ngày 05 tháng 1975 năm XNUMX, buổi họp mặt đầu tiên của Câu lạc bộ Máy tính Homebrew đã diễn ra tại Menlo Park, California, do Fred Moore và Gordon French tổ chức.
Cuộc họp đầu tiên có khoảng 30 người đam mê công nghệ thảo luận, trong số những thứ khác, Altair.
Và khoảng một năm sau, vào ngày 01 tháng 1976 năm XNUMX, Steve Wozniak xuất hiện trong một cuộc họp với một bảng mạch do ông tạo ra, nhằm mục đích tiết lộ các kế hoạch.
Steve Jobs đã nói chuyện với anh ấy và cả hai tiếp tục thành lập Apple.
Và phần còn lại là lịch sử, Paul.
VỊT. Chà, nó chắc chắn là lịch sử rồi, Doug!
Altair hả?
Wow!
Chiếc máy tính đã thuyết phục Bill Gates bỏ học Harvard.
Và theo phong cách doanh nhân đích thực, cùng với Paul Allen và Monty Davidoff – tôi nghĩ đó là bộ ba đã viết cuốn Altair Basic – đã chuyển đến New Mexico.
Đi và làm việc tại cơ sở của nhà cung cấp phần cứng ở Albuquerque!
CHÓ. Có lẽ một cái gì đó có thể sẽ không làm nên lịch sử…
…chúng ta sẽ bắt đầu chương trình với một cách đơn giản nhưng thú vị lừa đảo chiến dịch, Paul.
Các gói JavaScript NPM bị lạm dụng để tạo hàng loạt liên kết lừa đảo
VỊT. Vâng, tôi đã viết điều này trên Naked Security, Doug, dưới tiêu đề Các gói JavaScript NPM bị lạm dụng để tạo hàng loạt liên kết lừa đảo (có vẻ dài dòng hơn nhiều so với lúc tôi viết nó)…
…bởi vì tôi cảm thấy đó là một khía cạnh thú vị đối với loại thuộc tính web mà chúng ta có xu hướng liên kết trực tiếp và duy nhất với cái gọi là các cuộc tấn công mã nguồn chuỗi cung ứng.
Và trong trường hợp này, những kẻ lừa đảo đã tìm ra, “Này, chúng tôi không muốn phân phối mã nguồn bị nhiễm độc. Chúng tôi không tham gia vào kiểu tấn công chuỗi cung ứng đó. Những gì chúng tôi đang tìm kiếm chỉ là một loạt các liên kết mà mọi người có thể nhấp vào sẽ không gây ra bất kỳ sự nghi ngờ nào.”
Vì vậy, nếu bạn muốn một trang Web mà ai đó có thể truy cập có vô số liên kết đến các trang web lừa đảo… như “Nhận mã thưởng Amazon miễn phí của bạn tại đây” và “Nhận vòng quay bingo miễn phí của bạn” – thực sự có hàng chục ngàn liên kết như vậy…
…tại sao không chọn một trang web như Trình quản lý gói NPM và tạo toàn bộ các gói?
Sau đó, bạn thậm chí không cần phải học HTML, Doug!
Bạn chỉ có thể sử dụng Markdown cũ tốt và ở đó về cơ bản bạn đã có một nguồn liên kết đẹp, đáng tin cậy mà bạn có thể nhấp qua.
Và những liên kết mà họ đang sử dụng, theo như tôi có thể tìm ra, đã chuyển đến các trang blog, trang cộng đồng về cơ bản không đáng ngờ, bất cứ thứ gì, có nhận xét không được kiểm duyệt hoặc được kiểm duyệt kém hoặc nơi họ có thể dễ dàng tạo tài khoản và sau đó đưa ra nhận xét mà đã có liên kết trong.
Vì vậy, về cơ bản, họ đang xây dựng một chuỗi liên kết không khơi dậy sự nghi ngờ.
CHÓ. Vì vậy, chúng tôi có một số lời khuyên: Đừng nhấp vào các liên kết miễn phí, ngay cả khi bạn thấy mình quan tâm hoặc tò mò.
VỊT. Đó là lời khuyên của tôi, Doug.
Có thể có một số mã miễn phí, hoặc có thể có một số phiếu giảm giá mà tôi có thể nhận được… có thể xem qua cũng chẳng hại gì.
Nhưng nếu có một số loại doanh thu quảng cáo được liên kết với điều đó, mà các đầu bếp đang kiếm được chỉ bằng cách lôi kéo bạn một cách giả tạo vào một trang web cụ thể?
Cho dù số tiền họ kiếm được rất nhỏ, tại sao lại cho họ bất cứ thứ gì mà không có gì?
Đó là lời khuyên của tôi.
“Cách tốt nhất để tránh cú đấm là không có ở đó,” như mọi khi.
CHÓ. [CƯỜI] Và sau đó chúng ta có: Đừng điền vào các cuộc khảo sát trực tuyến, bất kể chúng có vẻ vô hại như thế nào.
VỊT. Vâng, chúng tôi đã nói điều đó nhiều lần trên Naked Security.
Đối với tất cả những gì bạn biết, bạn có thể ghi tên của mình ở đây, số điện thoại của bạn ở đó, bạn có thể cung cấp ngày sinh của mình cho một thứ gì đó để nhận quà miễn phí ở đó và bạn nghĩ, "Có hại gì?"
Nhưng nếu tất cả thông tin đó thực sự kết thúc trong một thùng khổng lồ, thì theo thời gian, những kẻ lừa đảo sẽ ngày càng biết nhiều hơn về bạn, đôi khi có thể bao gồm cả dữ liệu rất khó thay đổi.
Bạn có thể nhận được một thẻ tín dụng mới vào ngày mai, nhưng sẽ khó hơn để có một sinh nhật mới hoặc chuyển nhà!
CHÓ. Và cuối cùng, nhưng chắc chắn không kém: Không chạy các blog hoặc trang web cộng đồng cho phép các bài đăng hoặc nhận xét không được kiểm duyệt.
Và nếu ai đó đã từng điều hành một trang web WordPress, chẳng hạn, thì ý nghĩ cho phép các nhận xét không được kiểm duyệt chỉ là một điều đáng kinh ngạc, bởi vì sẽ có hàng nghìn nhận xét như vậy.
Nó là một bệnh dịch.
VỊT. Ngay cả khi bạn có một dịch vụ chống thư rác tự động trên hệ thống nhận xét của mình, điều đó sẽ làm rất tốt…
…nhưng đừng để những thứ khác lướt qua và nghĩ, “Ồ, tôi sẽ quay lại và xóa nó đi, nếu sau đó tôi thấy nó có vẻ tinh ranh,” bởi vì, như bạn đã nói, nó có tỷ lệ dịch bệnh…
CHÓ. Đó là một công việc toàn thời gian, vâng!
VỊT. …và đã có từ lâu đời.
CHÓ. Và bạn đã có thể, tôi rất vui khi thấy, làm việc trong hai câu thần chú yêu thích của chúng tôi quanh đây.
Ở cuối bài viết: Hãy suy nghĩ trước khi bạn nhấp vàovà: Nếu nghi ngờ…
VỊT. …đừng đưa nó ra ngoài.
Nó thực sự là đơn giản như vậy.
CHÓ. Nói về việc cho đi, ba thanh niên bị cáo buộc kiếm được hàng triệu tống tiền:
Cảnh sát Hà Lan bắt giữ ba nghi phạm tống tiền qua mạng bị cáo buộc kiếm hàng triệu USD
VỊT. Vâng.
Họ bị bắt ở Hà Lan vì những tội ác mà họ được cho là đã bắt đầu thực hiện… Tôi nghĩ đó là hai năm trước, Doug.
Và bây giờ họ đã 18 tuổi, 21 tuổi và 21 tuổi.
Vì vậy, họ còn khá trẻ khi bắt đầu.
Và nghi phạm chính, 21 tuổi… cảnh sát cáo buộc anh ta đã kiếm được khoảng hai triệu rưỡi Euro.
Đó là số tiền lớn đối với một thanh niên, Doug.
Đó là rất nhiều tiền cho bất cứ ai!
CHÓ. Tôi không biết bạn đã kiếm được bao nhiêu ở tuổi 21, nhưng tôi không kiếm được nhiều như vậy, thậm chí không gần. [CƯỜI]
VỊT. Có lẽ hai Euro năm mươi một giờ? [CƯỜI]
Có vẻ như phương thức hoạt động của họ không phải là kết thúc bằng phần mềm tống tiền mà là để lại cho bạn *mối đe dọa* của phần mềm tống tiền vì họ đã tham gia.
Vì vậy, họ sẽ đến, họ sẽ thực hiện tất cả các hành vi trộm cắp dữ liệu, và sau đó thay vì thực sự bận tâm đến việc mã hóa các tệp của bạn, có vẻ như những gì họ sẽ làm là nói, “Hãy nhìn xem, chúng tôi có dữ liệu; chúng tôi có thể quay lại và phá hỏng mọi thứ, hoặc bạn có thể trả tiền.
Và các yêu cầu nằm trong khoảng từ 100,000 đến 700,000 euro cho mỗi nạn nhân.
Và nếu đúng là một trong số họ đã kiếm được 2,500,000 € trong hai năm qua từ hoạt động tội phạm mạng của mình, thì bạn có thể tưởng tượng rằng họ có thể đã tống tiền khá nhiều nạn nhân để họ phải trả tiền, vì sợ những gì có thể bị bại lộ…
CHÓ. Chúng tôi đã nói ở đây, “Chúng tôi sẽ không phán xét, nhưng chúng tôi kêu gọi mọi người không trả tiền trong những trường hợp như thế này hoặc trong những trường hợp như ransomware.”
Và vì lý do chính đáng!
Bởi vì, trong trường hợp này, cảnh sát lưu ý rằng việc trả tiền tống tiền không phải lúc nào cũng thành công.
Họ nói rằng:
Trong nhiều trường hợp, dữ liệu bị đánh cắp đã bị rò rỉ trực tuyến ngay cả sau khi các công ty bị ảnh hưởng đã thanh toán.
VỊT. Vì thế. nếu bạn đã từng nghĩ, “Tôi tự hỏi liệu tôi có thể tin tưởng những kẻ đó sẽ không làm rò rỉ dữ liệu hay để nó không xuất hiện trực tuyến không?”…
…Tôi nghĩ rằng bạn đã có câu trả lời của bạn ở đó!
Và hãy nhớ rằng có thể không phải những kẻ lừa đảo đặc biệt này chỉ cực kỳ gian dối, và dù sao thì chúng cũng đã lấy tiền và rò rỉ nó.
Chúng tôi không biết rằng *họ* nhất thiết phải là những người đã làm rò rỉ nó.
Họ có thể tự bảo mật quá tệ đến mức đã đánh cắp nó; họ phải đặt nó ở đâu đó; và trong khi họ đang đàm phán, nói với bạn, “Chúng tôi sẽ xóa dữ liệu”…
…đối với tất cả những gì chúng tôi biết, ai đó khác có thể đã đánh cắp nó trong thời gian chờ đợi.
Và đó luôn là một rủi ro, vì vậy việc trả tiền cho sự im lặng hiếm khi mang lại kết quả tốt.
CHÓ. Và chúng tôi đã chứng kiến ngày càng nhiều cuộc tấn công như thế này, trong đó phần mềm tống tiền thực sự có vẻ đơn giản hơn một chút: “Hãy trả tiền cho tôi để lấy khóa giải mã; Bạn trả cho tôi; Tôi sẽ cung cấp cho bạn; bạn có thể mở khóa các tập tin của mình.”
Chà, bây giờ họ sẽ vào và nói, “Chúng tôi sẽ không khóa bất cứ thứ gì, hoặc chúng tôi sẽ khóa nó nhưng chúng tôi cũng sẽ tiết lộ nó trực tuyến nếu bạn không trả tiền…”
VỊT. Vâng, đó là ba loại tống tiền, phải không?
Có, "Chúng tôi đã khóa các tệp của bạn, hãy trả tiền nếu không công việc kinh doanh của bạn sẽ bị trật bánh."
Có, “Chúng tôi đã đánh cắp các tập tin của bạn. Hãy trả tiền hoặc chúng tôi sẽ rò rỉ chúng, sau đó chúng tôi có thể quay lại và tống tiền bạn.”
Và có một lý do kép mà một số kẻ lừa đảo có vẻ thích, nơi chúng đánh cắp dữ liệu của bạn *và* chúng xáo trộn các tệp và nói: “Bạn cũng có thể trả tiền để giải mã các tệp của mình và không tính thêm phí, Doug, chúng tôi cũng sẽ xóa dữ liệu!”
Vì vậy, bạn có thể tin tưởng họ?
Vâng, đây là câu trả lời của bạn ...
Chắc là không!
CHÓ. Được rồi, đi qua và đọc về điều đó.
Có thêm thông tin chi tiết và bối cảnh ở cuối bài viết đó… Paul, bạn đã làm một cuộc phỏng vấn với Peter Mackenzie của chúng tôi, Giám đốc Ứng phó Sự cố tại Sophos. (Đầy bảng điểm có sẵn.)
Không có trình phát âm thanh bên dưới? Nghe trực tiếp trên Soundcloud.
Và, như chúng tôi luôn nói trong những trường hợp như thế này, nếu bạn bị ảnh hưởng bởi điều này, hãy báo cáo hoạt động này với cảnh sát để họ có nhiều thông tin nhất có thể nhằm xử lý vụ việc của mình.
Tôi vui mừng báo cáo rằng chúng tôi đã nói rằng chúng tôi sẽ theo dõi nó; chúng tôi đã làm; và chúng tôi đã có một Cập nhật LastPass:
LastPass: Keylogger trên PC tại nhà dẫn đến bẻ khóa kho mật khẩu của công ty
VỊT. Chúng tôi thực sự có, Doug!
Điều này cho thấy cách vi phạm mật khẩu công ty của họ đã cho phép cuộc tấn công đi từ một “chuyện nhỏ” khi họ lấy được mã nguồn thành một thứ gì đó khá kịch tính hơn.
LastPass dường như đã tìm ra cách điều đó thực sự xảy ra… và trong báo cáo này, có hiệu quả, nếu không phải là những lời khôn ngoan, thì ít nhất là những lời cảnh báo.
Và tôi đã lặp lại, trong bài báo tôi đã viết về điều này, những gì chúng tôi đã nói trên podcast của tuần trước video quảng cáo, Doug, cụ thể là:
“Đơn giản như cuộc tấn công, đó sẽ là một công ty táo bạo tuyên bố rằng không một người dùng nào của họ sẽ rơi vào loại điều này…”
Nghe ngay bây giờ - Tìm hiểu thêm!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
- Bảo mật khỏa thân (@NakedSecurity) 24 Tháng hai, 2023
Đáng buồn thay, có vẻ như một trong những nhà phát triển, người tình cờ có mật khẩu để mở kho mật khẩu của công ty, đang chạy một số loại phần mềm liên quan đến phương tiện mà họ chưa vá lỗi.
Và những kẻ lừa đảo đã có thể sử dụng một lỗ hổng để chống lại nó… để cài đặt một keylogger, Doug!
Tất nhiên, từ đó, họ có được mật khẩu siêu bí mật mở ra giai đoạn tiếp theo của phương trình.
Nếu bạn đã từng nghe thuật ngữ chuyển động bên – đó là một thuật ngữ biệt ngữ mà bạn sẽ nghe thấy rất nhiều.
Sự tương đồng mà bạn có với tội phạm thông thường là…
..vào sảnh tòa nhà; loanh quanh một chút; sau đó lẻn vào một góc của văn phòng bảo vệ; đợi trong bóng tối để không ai nhìn thấy bạn cho đến khi lính canh đi pha một tách trà; sau đó đi đến kệ bên cạnh bàn và lấy một trong những thẻ truy cập đó; đưa bạn vào khu vực an toàn bên cạnh phòng tắm; và trong đó, bạn sẽ tìm thấy chìa khóa két sắt.
Bạn thấy mình có thể đi được bao xa, và sau đó bạn tìm ra những gì có thể bạn cần, hoặc những gì bạn sẽ làm, để giúp bạn đạt được bước tiếp theo, v.v.
Hãy coi chừng keylogger, Doug! [CƯỜI]
CHÓ. Có!
VỊT. Phần mềm độc hại tốt, kiểu cũ, không phải ransomware vẫn [A] tồn tại và hoạt động tốt và [B] có thể gây hại cho doanh nghiệp của bạn.
CHÓ. Có!
Và chúng tôi đã có một số lời khuyên, tất nhiên.
Vá sớm, vá thường xuyên và vá mọi nơi.
VỊT. Vâng.
LastPass rất lịch sự và họ không buột miệng nói: “Chính phần mềm XYZ có lỗ hổng bảo mật.”
Nếu họ nói, “Ồ, phần mềm bị tấn công là X”…
…sau đó những người không có X sẽ nói: “Tôi có thể ngừng cảnh báo xanh; Tôi không sử dụng phần mềm đó.”
Trên thực tế, đó là lý do tại sao chúng tôi nói rằng không chỉ vá sớm, vá thường xuyên… mà còn vá *ở mọi nơi*.
Chỉ vá phần mềm ảnh hưởng đến LastPass sẽ không đủ trong mạng của bạn.
Nó cần phải là một cái gì đó bạn làm mọi lúc.
CHÓ. Và rồi chúng ta đã nói điều này trước đây, và chúng ta sẽ tiếp tục nói điều đó cho đến khi mặt trời lặn: Kích hoạt 2FA bất cứ nơi nào bạn có thể.
VỊT. Vâng.
Nó *không* là thuốc chữa bách bệnh, nhưng ít nhất điều đó có nghĩa là chỉ mật khẩu thôi là chưa đủ.
Vì vậy, nó không hoàn toàn nâng cao tiêu chuẩn, nhưng nó chắc chắn không tạo điều kiện dễ dàng hơn cho kẻ gian.
CHÓ. Và tôi tin rằng chúng ta đã nói điều này gần đây: Đừng chờ đợi để thay đổi thông tin đăng nhập hoặc đặt lại hạt giống 2FA sau khi tấn công thành công.
VỊT. Như chúng tôi đã nói trước đây, một quy tắc nói rằng, “Bạn phải thay đổi mật khẩu của mình – thay đổi vì lợi ích của thay đổi, hãy thực hiện hai tháng một lần bất kể”…
…chúng tôi không đồng ý với điều đó.
Chúng tôi chỉ nghĩ rằng điều đó đang khiến mọi người có thói quen xấu.
Nhưng nếu bạn nghĩ rằng có thể có lý do chính đáng để thay đổi mật khẩu của mình, mặc dù thực sự rất khó để làm điều đó…
…nếu bạn nghĩ rằng nó có thể hữu ích, tại sao không làm điều đó?
Nếu bạn có lý do để bắt đầu quá trình thay đổi, thì hãy thực hiện toàn bộ.
Đừng trì hoãn / Hãy làm điều đó ngay hôm nay.
[QUIETLY] Xem tôi đã làm gì ở đó, Doug?
CHÓ. Perfect!
Được rồi, chúng ta hãy tiếp tục chủ đề của 2FA.
Chúng tôi đang chứng kiến sự gia tăng đột biến các ứng dụng 2FA giả mạo trong cả hai cửa hàng ứng dụng.
Điều này có thể là do Twitter 2FA kerfuffle, hoặc một số lý do khác?
Cẩn thận với các ứng dụng 2FA lừa đảo trong App Store và Google Play – đừng để bị hack!
VỊT. Tôi không biết rằng đó có phải là do vụ lộn xộn Twitter 2FA hay không, trong đó Twitter đã nói, vì bất kỳ lý do gì họ có, “Ồ, chúng tôi sẽ không sử dụng xác thực hai yếu tố qua SMS nữa, trừ khi bạn trả tiền cho chúng tôi.!
Và vì phần lớn mọi người sẽ không trở thành chủ sở hữu huy hiệu Twitter Blue, nên họ sẽ phải chuyển đổi.
Vì vậy, tôi không biết điều đó đã gây ra sự gia tăng số lượng ứng dụng giả mạo trong App Store và Google Play, nhưng nó chắc chắn đã thu hút sự chú ý của một số nhà nghiên cứu, những người bạn tốt của Naked Security: @mysk_co, nếu bạn muốn tìm chúng trên Twitter.
Họ nghĩ: “Tôi cá là hiện tại có rất nhiều người đang thực sự tìm kiếm các ứng dụng xác thực 2FA. Tôi tự hỏi điều gì sẽ xảy ra nếu bạn truy cập App Store hoặc Google Play và chỉ cần nhập Ứng dụng Authenticator? "
Và nếu bạn xem bài viết trên Naked Security, có tựa đề “Cẩn thận với các ứng dụng 2FA giả mạo”, bạn sẽ thấy một ảnh chụp màn hình mà các nhà nghiên cứu đó đã chuẩn bị.
Nó chỉ là hàng sau hàng này đến hàng khác của các trình xác thực trông giống hệt nhau. [CƯỜI]
CHÓ. [CƯỜI] Tất cả đều được gọi là Authenticator, tất cả đều có khóa và khiên!
VỊT. Một số trong số họ là hợp pháp, và một số trong số họ không.
Khó chịu. Khi tôi đi - ngay cả sau khi điều này đã trở thành tin tức... khi tôi truy cập App Store, ứng dụng hàng đầu xuất hiện, theo như tôi thấy, là một trong những ứng dụng giả mạo này.
Và tôi đã thực sự ngạc nhiên!
Tôi nghĩ, “Crikey – ứng dụng này được đăng ký dưới tên của một công ty điện thoại di động rất nổi tiếng của Trung Quốc.”
May mắn thay, ứng dụng trông khá thiếu chuyên nghiệp (từ ngữ rất tệ), vì vậy tôi đã không tin rằng đó thực sự là công ty điện thoại di động này.
Nhưng tôi nghĩ, “Làm thế quái nào mà họ có được chứng chỉ ký mã dưới tên của một công ty hợp pháp, trong khi rõ ràng họ sẽ không có bất kỳ tài liệu nào chứng minh rằng họ là công ty đó?” (Tôi sẽ không đề cập đến tên của nó.)
Sau đó, tôi đọc cái tên rất cẩn thận… và trên thực tế, đó là một lỗi đánh máy, Doug!
Tôi có thể nói sao được, một trong những chữ cái ở giữa từ có hình dạng và kích thước rất giống với chữ cái của công ty thực.
Và vì vậy, có lẽ, nó đã vượt qua các bài kiểm tra tự động.
Nó không khớp với bất kỳ tên thương hiệu đã biết nào mà ai đó đã có chứng chỉ ký mã.
Và thậm chí tôi đã phải đọc nó hai lần… mặc dù tôi biết rằng mình đang xem một ứng dụng lừa đảo, bởi vì tôi được yêu cầu vào đó!
Trên Google Play, tôi cũng bắt gặp một ứng dụng mà tôi đã được cảnh báo bởi những người đã thực hiện nghiên cứu này…
…là thứ không chỉ yêu cầu bạn trả 40 đô la một năm cho thứ gì đó mà bạn có thể nhận miễn phí được tích hợp sẵn trong iOS hoặc trực tiếp từ Cửa hàng Play có tên Google trên đó miễn phí.
Nó cũng đánh cắp các hạt giống ban đầu cho tài khoản 2FA của bạn và tải chúng lên tài khoản phân tích của nhà phát triển.
Còn chuyện đó thì sao, Doug?
Vì vậy, đó là sự kém cỏi nhất.
Và, tệ nhất, nó hoàn toàn ác độc.
Chưa hết, đó là… kết quả hàng đầu khi các nhà nghiên cứu tìm kiếm trong Cửa hàng Play, có lẽ vì họ đã dành một chút tình cảm quảng cáo cho nó.
Hãy nhớ rằng, nếu ai đó nhận được hạt giống ban đầu đó, điều kỳ diệu đó có trong mã QR khi bạn thiết lập 2FA dựa trên ứng dụng…
…họ có thể tạo mã phù hợp cho bạn, cho bất kỳ cửa sổ đăng nhập 30 giây nào trong tương lai, mãi mãi, Doug.
Nó đơn giản như vậy.
Bí mật được chia sẻ đó *theo nghĩa đen* là chìa khóa cho tất cả các mã dùng một lần trong tương lai của bạn.
CHÓ. Và chúng tôi đã nhận được một bình luận của độc giả về câu chuyện giả mạo 2FA này.
Người đọc Naked Security LR nhận xét, một phần:
Tôi đã từ bỏ Twitter và Facebook từ rất lâu rồi.
Vì tôi không sử dụng chúng, tôi có cần lo lắng về tình huống hai yếu tố không?
VỊT. Vâng, đó là một câu hỏi hấp dẫn, và câu trả lời, như thường lệ, “Còn tùy.”
Chắc chắn nếu bạn không sử dụng Twitter, bạn vẫn có thể chọn sai khi cài đặt ứng dụng 2FA…
…và bạn có thể có xu hướng đi và lấy một cái, bây giờ 2FA đã được đưa tin vì câu chuyện trên Twitter, so với những gì bạn có thể có hàng tuần, hàng tháng hoặc hàng năm trước.
Và nếu bạn *đang* định chọn tham gia 2FA, chỉ cần đảm bảo rằng bạn thực hiện điều đó một cách an toàn nhất có thể.
Đừng chỉ đi và tìm kiếm và tải xuống ứng dụng có vẻ giống như ứng dụng rõ ràng nhất, bởi vì đây là bằng chứng chắc chắn rằng bạn có thể tự đặt mình vào tình thế rất nguy hiểm.
Ngay cả khi bạn đang ở trên App Store hoặc trên Google Play và không tải xuống một số ứng dụng tạo sẵn mà bạn lấy từ nơi khác!
Vì vậy, nếu bạn đang sử dụng 2FA dựa trên SMS nhưng không có Twitter thì bạn không cần phải tắt nó.
Tuy nhiên, nếu bạn chọn làm như vậy, hãy đảm bảo rằng bạn chọn ứng dụng của mình một cách khôn ngoan.
CHÓ. Được rồi, lời khuyên tuyệt vời, và cảm ơn bạn rất nhiều, LR, vì đã gửi nó.
Nếu bạn có một câu chuyện, nhận xét hoặc câu hỏi thú vị mà bạn muốn gửi, chúng tôi rất muốn đọc nó trên podcast.
Bạn có thể gửi email tới tips@sophos.com, bạn có thể nhập nhận xét về bất kỳ bài viết nào của chúng tôi hoặc bạn có thể liên hệ với chúng tôi trên mạng xã hội: @nakedsecurity.
Đó là chương trình của chúng tôi cho ngày hôm nay - cảm ơn rất nhiều vì đã lắng nghe.
Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn cho đến lần sau hãy…
CẢ HAI. Giữ an toàn!
[CHẾ ĐỘ ÂM NHẠC]
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- Platoblockchain. Web3 Metaverse Intelligence. Khuếch đại kiến thức. Truy cập Tại đây.
- nguồn: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2FA
- a
- Có khả năng
- Giới thiệu
- truy cập
- Tài khoản
- Trợ Lý Giám Đốc
- ngang qua
- hoạt động
- thực sự
- Ad
- tư vấn
- Liên kết
- Sau
- chống lại
- Lứa tuổi
- Định hướng
- Cảnh báo
- Tất cả
- cáo buộc
- bị cáo buộc
- Cho phép
- cô đơn
- Đã
- được rồi
- luôn luôn
- đàn bà gan dạ
- trong số
- số lượng
- phân tích
- và
- trả lời
- bất cứ nơi nào
- ứng dụng
- ứng dụng cửa hàng
- cửa hàng ứng dụng
- xuất hiện
- Apple
- ứng dụng
- KHU VỰC
- xung quanh
- bắt giữ
- bài viết
- bài viết
- Liên kết
- tấn công
- Các cuộc tấn công
- sự chú ý
- âm thanh
- Xác thực
- tác giả
- Tự động
- có sẵn
- tránh
- trở lại
- Bad
- tệ
- thanh
- cơ bản
- Về cơ bản
- Ghi
- bởi vì
- trước
- được
- Tin
- phía dưới
- BEST
- Đặt cược
- giữa
- Hóa đơn
- Bill Gates
- chơi lô tô
- sinh
- Một chút
- Sự dọa
- Blog
- blog
- Màu xanh da trời
- huy hiệu màu xanh
- bảng
- đậm
- Thêm các lợi ích
- đáy
- thương hiệu
- vi phạm
- Xây dựng
- xây dựng
- kinh doanh
- california
- gọi là
- Chiến dịch
- Có thể có được
- thẻ
- Thẻ
- trường hợp
- trường hợp
- gây ra
- chắc chắn
- Giấy chứng nhận
- chuỗi
- thách thức
- thay đổi
- phí
- Trung Quốc
- Chọn
- xin
- Rõ ràng
- Đóng
- câu lạc bộ
- mã
- Mã số
- COM
- Đến
- bình luận
- Bình luận
- cộng đồng
- Các công ty
- công ty
- máy tính
- quan tâm
- bối cảnh
- tiếp tục
- thông thường
- cảnh sát
- Corner
- Doanh nghiệp
- có thể
- phiếu
- khóa học mơ ước
- nứt
- tạo
- tạo ra
- Credentials
- tín dụng
- thẻ tín dụng
- Tội phạm
- Crooks
- Cup
- tống tiền mạng
- dữ liệu
- Ngày
- Giải mã
- chắc chắn
- vui mừng
- nhu cầu
- phụ thuộc
- phát triển
- ĐÃ LÀM
- khó khăn
- trực tiếp
- Giám đốc
- thảo luận
- phân phát
- tài liệu hướng dẫn
- Không
- dont
- xuống
- tải về
- đáng kể
- Rơi
- Đầu
- kiếm được
- trái đất
- dễ dàng hơn
- dễ dàng
- hiệu quả
- đủ
- những người đam mê
- kinh doanh
- Dịch
- chủ yếu
- Euro
- Ngay cả
- BAO GIỜ
- Mỗi
- tất cả mọi thứ
- bằng chứng
- Khai thác
- tống tiền
- thêm
- cực
- mắt
- Rơi
- xa
- Thời trang
- sợ hãi
- Tháng Hai
- vài
- hình
- Các tập tin
- điền
- Tìm kiếm
- Tên
- mãi mãi
- tìm thấy
- Miễn phí
- Tiếng Pháp
- bạn bè
- từ
- Full
- xa hơn
- tương lai
- Gates
- thu thập
- tạo ra
- được
- nhận được
- khổng lồ
- quà tặng
- Cho
- Cho
- Go
- đi
- tốt
- Google play
- lấy
- tuyệt vời
- hack
- Treo
- đã xảy ra
- xảy ra
- vui mừng
- phần cứng
- có hại
- harvard
- có
- cái đầu
- tiêu đề
- Nghe
- nghe
- giúp đỡ
- tại đây
- lịch sử
- Đánh
- người
- Trang Chủ
- tổ chức
- Độ đáng tin của
- Tuy nhiên
- HTML
- HTTPS
- TÔI SẼ
- in
- sự cố
- ứng phó sự cố
- Nghiêng
- Bao gồm
- không có khả năng
- thông tin
- cái nhìn sâu sắc
- cài đặt, dựng lên
- Cài đặt
- thay vì
- quan tâm
- thú vị
- iOS
- IT
- biệt ngữ
- JavaScript
- Việc làm
- việc làm
- thẩm phán
- Giữ
- Key
- Loại
- Biết
- nổi tiếng
- Họ
- LastPass
- bị rò rỉ
- LEARN
- Rời bỏ
- Led
- Legit
- liên kết
- Listening
- ít
- tải
- Lobby
- khóa
- Xem
- nhìn
- tìm kiếm
- NHÌN
- Rất nhiều
- yêu
- thực hiện
- ma thuật
- Đa số
- làm cho
- Làm
- phần mềm độc hại
- quản lý
- giám đốc
- nhiều
- Tháng Ba
- Trận đấu
- chất
- có nghĩa
- trong khi đó
- cuộc họp
- Mexico
- Tên đệm
- Might
- tâm
- di động
- điện thoại di động
- chế độ
- thời điểm
- tiền
- tháng
- chi tiết
- hầu hết
- di chuyển
- Âm nhạc
- âm nhạc
- An ninh trần trụi
- Podcast bảo mật khỏa thân
- tên
- cụ thể là
- nhất thiết
- Cần
- Nước Hà Lan
- mạng
- Mới
- tin tức
- tiếp theo
- con số
- Rõ ràng
- Office
- Xưa
- ONE
- Trực tuyến
- mở
- gọi món
- Nền tảng khác
- riêng
- gói
- gói
- thanh toán
- Đau
- thuốc vạn ứng
- Công viên
- một phần
- riêng
- thông qua
- Mật khẩu
- Mật khẩu
- qua
- Vá
- Vá
- paul
- Trả
- trả tiền
- PC
- người
- có lẽ
- thuyết phục
- Peter
- điện thoại
- chọn
- Nơi
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Play
- Cửa hàng play
- máy nghe nhạc
- Podcast
- Podcasts
- Công an
- bài viết
- chuẩn bị
- khá
- Thủ tướng Chính phủ
- có lẽ
- Vấn đề
- quá trình
- tài sản
- Chứng minh
- cú đấm
- đặt
- QR code
- câu hỏi
- lặng lẽ
- nâng cao
- ransomware
- Đọc
- Người đọc
- thực
- lý do
- lý do
- gần đây
- tẩy
- lặp lại
- báo cáo
- nhà nghiên cứu
- phản ứng
- REST của
- kết quả
- doanh thu
- Nguy cơ
- HÀNG
- rss
- làm hỏng
- Quy tắc
- chạy
- chạy
- an toàn
- một cách an toàn
- Nói
- sake
- tương tự
- nói
- Tìm kiếm
- Bí mật
- an toàn
- an ninh
- hạt giống
- hạt giống
- nhìn thấy
- dường như
- dường như
- nhìn
- phân khúc
- gửi
- Loạt Sách
- dịch vụ
- định
- Hình dạng
- chia sẻ
- kệ
- ngắn
- hiển thị
- phụ tải
- Ký kết
- ký
- Sự im lặng
- tương tự
- Đơn giản
- kể từ khi
- website
- Các trang web
- tình hình
- Kích thước máy
- SMS
- lẻn
- So
- Mạng xã hội
- Phần mềm
- một số
- Một người nào đó
- một cái gì đó
- một nơi nào đó
- nguồn
- mã nguồn
- nói
- đặc biệt
- mũi nhọn
- Spotify
- Traineeship
- đứng
- Bắt đầu
- bắt đầu
- Bắt đầu
- ở lại
- Bước
- Steve
- Steve Wozniak
- Vẫn còn
- lấy trộm
- ăn cắp
- hàng
- cửa hàng
- Câu chuyện
- đơn giản
- mạnh mẽ
- trình
- thành công
- mặt trời
- dâng trào
- Công tắc điện
- hệ thống
- Trà
- công nghệ cao
- Công nghệ
- kiểm tra
- Sản phẩm
- Tương lai
- Hà Lan
- trộm cắp
- cung cấp their dịch
- tự
- vì thế
- điều
- điều
- Hãy suy nghĩ
- nghĩ
- hàng ngàn
- số ba
- Thông qua
- thời gian
- thời gian
- đến
- bây giờ
- bên nhau
- mai
- hàng đầu
- đúng
- NIỀM TIN
- đáng tin cậy
- Dưới
- mở khóa
- tải lên
- URL
- us
- sử dụng
- Người sử dụng
- Vault
- nạn nhân
- nạn nhân
- Video
- dễ bị tổn thương
- chờ đợi
- cảnh báo
- web
- tuần
- tuần
- Điều gì
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- sự khôn ngoan
- Từ
- từ ngữ
- WordPress
- từ
- Công việc
- tập thể dục
- công trinh
- tệ nhất
- sẽ
- X
- năm
- năm
- trẻ
- trên màn hình
- mình
- zephyrnet