SLAMMER 中的骗子(和其他故事)
与道格·阿莫斯和保罗·达克林一起。
介绍和结尾音乐 伊迪丝·马奇.
单击并拖动下面的声波以跳到任何一点。你也可以 直接听 在 Soundcloud 上。
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 微软的双零日、诈骗者监狱和虚假电话。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。 我是道格·阿莫斯。
他是保罗·达克林……
鸭。 很高兴,道格拉斯。
道格。 我有一些 技术历史 对你来说,它可以追溯到很久以前,方式,方式,方式,它与计算器有关。
本周,即 7 年 1954 月 XNUMX 日,IBM 展示了首个同类全晶体管计算器。
IBM 电子计算冲床,正如它所说的那样,将其 1250 个真空管换成了 2000 个晶体管,这将其体积减少了一半,并且仅使用了 5% 的功率。
鸭。 哇!
我没听说过那个“604”,所以我去查了一下,没找到图片。
显然,这只是实验模型,几个月后,他们推出了你可以买到的那个,叫做 608,他们把它提高到 3000 个晶体管。
但请记住,道格,这不是集成电路 [IC] 中的晶体管,因为当时还没有 IC。
如果你有一个阀门,一个热电子阀门(或你们所说的“toob”[真空管]),就会有一个晶体管代替。
因此,尽管它要小得多,但它仍然是分立元件。
当我想到“计算器”时,我想到的是“袖珍计算器”……
道格。 哦,不,不,不!
鸭。 “不”,正如你所说……
…这是一个非常大的冰箱的大小!
然后你需要一个非常大的冰箱,在我看到的照片中,我认为它是用于输入的。
然后还有一些其他的控制电路,看起来像一个非常大的冷藏柜,紧挨着两个非常大的冰箱。
我没有意识到这一点,但显然当时 Thomas Watson [IBM 的 CEO] 为所有 IBM 制定了这条法令:“不允许新产品使用阀门、真空管。 我们绝对接受、支持并且只使用晶体管。”
这就是之后的一切。
所以,虽然这是晶体管革命的先锋,但显然它很快就被取代了……它只上市了大约 18 个月。
道格。 好吧,让我们继续讨论非常大的问题,并让我们的听众了解这个 Microsoft Exchange 双零日漏洞。
我们已经在一个 迷你剧; 我们已经介绍过了 在网站上……但是我们应该知道什么新的东西?
鸭。 不是真的,道格拉斯。
它似乎没有接管网络安全世界或安全运营 [SecOps],如 ProxyShell 和 Log4Shell 做:
我猜有两个原因。
首先是漏洞的实际细节仍然是秘密。
发现它的越南公司、负责任地披露它的 ZeroDay Initiative [ZDI] 以及微软都知道它们。
每个人似乎都把它藏在了帽子里。
所以,据我所知,没有 250 个概念验证“现在就试试这个!” GitHub 存储库,您可以在其中自己完成。
其次,它确实需要经过身份验证的访问。
我的直觉是,所有想成为“网络安全研究人员”(此处插入巨大的空引号)的人都加入了使用 Proxyshell 或 Log4Shell 在互联网上运行攻击的行列,声称他们正在做服务世界:“嘿,如果您的网络服务容易受到攻击,我会找出来,然后告诉您”...
…我怀疑很多人会三思而后行,试图发起他们必须实际猜测密码的相同攻击。
感觉就像它是沙中一条相当重要的线的另一边,不是吗?
道格。 嗯。
鸭。 如果您有一个旨在接受请求的开放式 Web 服务器,这与向您知道不应该访问的服务器发送请求并尝试提供您知道不应该访问的密码非常不同要知道,如果这有意义。
道格。 是的。
鸭。 所以好消息是它似乎并没有被广泛利用……
......但仍然没有补丁。
而且我认为,一旦出现补丁,您就需要尽快获得它。
不要拖延,因为我想会有一些狂热的尝试对补丁进行逆向工程,以找出你如何真正可靠地利用这个东西。
因为,据我们所知,它确实工作得很好——如果你有密码,那么你可以使用第一个漏洞来打开第二个漏洞的大门,这让你可以在 Exchange 服务器上运行 PowerShell。
这永远不会结束。
今天早上我确实查看了 Microsoft 的指南文档(我们在每周的星期三录制),但我没有看到任何有关补丁或何时可用的信息。
下周二是补丁星期二,所以也许我们要等到那时?
道格。 好的,我们会密切关注,当你看到它时请更新和修补……这很重要。
我要回到我们的计算器,给你一个 小方程式.
它是这样的:2 年的诈骗 + 10 万美元的诈骗 = 25 年的监禁:
鸭。 这是一名罪犯——我们现在可以这样称呼他,因为他不仅被定罪,而且被判刑——有一个听起来很戏剧性的名字:埃尔维斯·埃戈萨·奥吉克波洛尔(Elvis Eghosa Ogiekpolor)。
几年前,他在美国佐治亚州亚特兰大经营着一个你可以称之为工匠网络团伙的组织。
在不到两年的时间里,如果你愿意的话,他们大吃一顿,这些不幸的公司是所谓的商业电子邮件妥协 [BEC] 的受害者,以及他们引诱进入浪漫骗局的不幸个人……并赚了 10 万美元。
猫王(我就这么称呼他)……在这种情况下,他组建了一个团队,他们创建了一个由欺诈性开设的美国银行账户组成的整个网络,他可以在其中存款然后洗钱。
他不仅被判有罪,他刚刚被判刑。
法官显然认定,这起罪行的性质和受害的性质非常严重,以至于他在联邦监狱服刑 25 年。
道格。 让我们深入研究一下商业电子邮件妥协。
我认为这很有趣——你要么冒充某人的电子邮件地址,要么掌握了他们的实际电子邮件地址。
有了这个,一旦你可以让某人陷入困境,你就可以做很多事情。
你在这里的文章中列出了它们——我会快速浏览它们。
您可以了解何时应支付大笔款项……
鸭。 的确。
显然,如果您是从外部发送邮件,并且您只是在欺骗电子邮件标题以假装电子邮件来自 CFO,那么您必须猜测 CFO 知道什么。
但是,如果您可以每天一大早在 CFO 的电子邮件帐户之前登录,那么您就可以浏览所有正在发生的大事并做笔记。
因此,当您冒充他们时,您不仅发送了一封实际上来自他们帐户的电子邮件,而且您还拥有大量的内幕知识。
道格。 然后,当然,当您收到一封电子邮件,要求一些不知情的员工向该供应商汇一大笔钱时,他们会说,“这是真的吗?”......
…如果您可以访问实际的电子邮件系统,则可以回复。 “当然是真的。 看看电子邮件地址——是我,首席财务官。”
鸭。 当然,你甚至可以说,“顺便说一句,这是一项收购,这是一项将抢占我们竞争对手的先机的交易。 所以这是公司机密。 确保你不要告诉公司里的其他人。”
道格。 是的——双重打击!
你可以说,“是我,这是真的,但这是一件大事,这是一个秘密,不要告诉任何人。 没有它! 不要将此报告为可疑消息。”
然后,您可以进入“已发送”文件夹并删除您代表 CFO 发送的虚假电子邮件,这样没有人可以看到您一直在里面翻找。
如果您是一个“优秀”的 BEC 诈骗者,您将深入挖掘真正员工以前的电子邮件,并通过复制和粘贴该人使用过的常用短语来匹配该用户的风格。
鸭。 当然,道格。
我想我们之前已经谈过,当我们谈论网络钓鱼电子邮件时......关于读者报告说,“是的,我收到了这样的邮件,但我立即发出了隆隆声,因为该人在电子邮件中使用了问候语,即简直太不符合性格了。”
或者在签收时有一些表情符号,比如笑脸[笑声],我知道这个人永远不会这样做。
当然,如果您只是从以前的电子邮件中复制并粘贴标准的介绍和结尾,那么您就可以避免这种问题。
另一件事,Doug,如果你从真实账户发送电子邮件,它会得到这个人真实的、真实的电子邮件签名,不是吗?
这是由公司服务器添加的,只是让它看起来完全符合您的期望。
道格。 然后我喜欢这个下马……
……作为一名顶级罪犯,你不仅要敲诈公司,还要追捕公司的“客户”,说:“嘿,你现在可以支付这张发票,然后将其发送给这个新的客户吗?”银行账户?”
您不仅可以欺骗公司,还可以欺骗与公司合作的公司。
鸭。 绝对。
道格。 以免你认为猫王只是在欺骗公司……他也是浪漫骗局。
鸭。 司法部报告说,他们诈骗的一些企业一次被骗了数十万美元。
他们欺诈的另一面是在所谓的浪漫骗局中追捕个人。
显然,有 13 人作为证人出庭作证,我认为 DOJ(司法部)提到的两个例子分别是 32,000 美元和 70,000 美元。
道格。 好的,所以我们有一些建议如何保护您的企业免受企业电子邮件泄露,以及如何保护自己免受浪漫诈骗。
让我们从商业电子邮件妥协开始。
我喜欢第一点,因为它很简单,而且非常容易实现: 为员工创建一个中央电子邮件帐户以报告可疑电子邮件。
鸭。 是的,如果你有 security@example.com
,那么你可能会非常仔细地照顾该电子邮件帐户,并且你可能会说,与公司中任何其他随机员工的帐户相比,商业电子邮件泄露人员能够泄露 SecOps 帐户的可能性要小得多。
而且大概还有,如果您至少有几个人可以密切关注那里发生的事情,那么您就有更好的机会从该电子邮件地址中获得有用和善意的回复,而不仅仅是询问有关个人。
即使 CFO 的电子邮件没有被泄露……如果您收到一封网络钓鱼电子邮件,然后您问 CFO,“嘿,这是否合法?”,您就会将 CFO 置于非常困难的境地。
您的意思是:“您能表现得像 IT 专家、网络安全研究员或安全运营人员吗?”
集中起来要好得多,所以人们有一种简单的方法可以报告看起来有点不对劲的东西。
这也意味着,如果您通常会做的只是去,“嗯,这显然是网络钓鱼。 我直接删了”...
…通过发送它,即使*您*认为这很明显,您也允许 SecOps 团队或 IT 团队警告公司的其他人。
道格。 好吧。
下一条建议: 如有疑问,请直接与电子邮件的发件人联系。
而且,不要破坏妙语,也许不是通过其他方式通过电子邮件......
鸭。 无论使用何种机制向您发送您不信任的消息,都不要通过同一系统向他们发送消息!
如果帐户没有被黑,你会收到回复说:“不,别担心,一切都很好。”
如果帐户*已*被黑,您会收到一条消息,说:“哦,不,别担心,一切都好!” [笑]
道格。 好吧。
最后,但同样重要的是: 需要二次授权才能更改帐户付款详细信息。
鸭。 如果你对这个问题有第二双眼睛——二次授权——那么[A]会让不诚实的内部人士在提供帮助的情况下更难摆脱骗局,[B]意味着没有人,谁是显然,为了帮助客户,必须承担决定“这是否合法?”的全部责任和压力。
两只眼睛往往比一只眼睛好。
或者我的意思是四只眼睛通常比两只眼睛好……
道格。 是的。 [笑]。
让我们把注意力转向浪漫骗局。
第一条建议是: 当约会话题从友谊、爱情或浪漫转向金钱时,请放慢脚步。
鸭。 是的。
现在是十月,不是吗,道格?
因此,又是网络安全意识月……#cybermonth,如果您想跟踪人们在做什么和在说什么。
我们在播客上多次说过那句很棒的小格言(这个词对吗?),因为我认识你,我喜欢它,道格。
这来自美国公共服务...
两个都。 停止。 (时期。)
思考。 (时期。)
连接。 (时期。)
鸭。 不要太着急!
网络上的事情确实是一个“匆匆忙忙,闲来无事”的问题。
道格。 还有一条对某些人来说很难的建议……但请审视自己并尝试遵循它: 如果他们试图警告您,请公开听取您的朋友和家人的意见。
鸭。 是的。
当我在 Sophos Australia 工作时,我曾参加过处理浪漫诈骗问题的网络安全活动。
听到警察部门的人的故事,他们的工作是在这一点上尝试干预诈骗,这令人痛苦……
……只是看看这些警察中的一些人从探访回来时有多闷闷不乐。
在某些情况下,整个家庭都被引诱进入骗局。
显然,这些更多的是“金融投资”类型,而不是浪漫类型,但*每个人*都与骗子站在一起,所以当执法人员去那里时,这家人已经有了由骗子。
在浪漫骗局中,他们不会考虑追求你的浪漫兴趣*并*在你和你的家人之间挑拨离间,所以你不再听他们的建议。
因此,请注意不要与家人和银行账户疏远。
道格。 好吧。
然后是最后一条建议: 文章中嵌入了一个很棒的视频。
这篇文章叫做 浪漫骗子和 BEC 欺诈者被判入狱 25 年:
所以看那个视频——里面有很多很棒的技巧。
让我们留在诈骗的主题上,谈谈诈骗者和流氓来电者。
甚至有可能阻止诈骗电话吗?
这就是 大问题 现在的一天:
鸭。 嗯,有诈骗电话,也有骚扰电话。
有时,骚扰电话似乎非常接近诈骗电话。
这些是代表合法企业的人,[生气] 但他们不会停止给你打电话,[越来越激动] 不管你告诉他们“我在不来电名单上 [愤怒] 所以不要再打电话了设立的区域办事处外,我们在美国也开设了办事处,以便我们为当地客户提供更多的支持。“
所以我写了一篇关于裸体安全的文章,对人们说……如果你能让自己去做(我不是建议你每次都应该这样做,这真的很麻烦),事实证明,如果你*确实*抱怨,有时它确实有结果。
促使我写这篇文章的原因是,四家销售“环保”产品的公司被信息专员办公室(ICO,英国数据隐私监管机构)查封,并被处以数万至数十万英镑的罚款,因为他们打电话给那些把自己放在一个相当奇怪的地方 电话优先服务 在英国…
……就好像他们承认有些人真的想加入这些垃圾电话。 [笑声]
道格。 “更喜欢”?! [笑]
鸭。 我喜欢它在美国的方式。
你去登记和投诉的地方是:donotcall DOT gov。
道格。 是的! “不要打电话!”
鸭。 可悲的是,在电话方面,我们仍然生活在一个选择退出的世界中……他们可以给你打电话,直到你说他们不能。
但我的经验是,虽然它不能解决问题,但将自己置于“请勿呼叫”寄存器几乎可以肯定不会*增加*您接到的电话数量。
这对我产生了影响,无论是当我住在澳大利亚还是现在我住在英国……
…并且不时报告电话至少使您所在国家/地区的监管机构有机会在未来某个时间采取某种行动。
因为如果没有人说什么,那么就好像什么都没发生过一样。
道格。 这与我们的读者对本文的评论非常吻合。
赤裸裸的安全读者菲尔评论:
语音邮件改变了我的一切。
如果来电者不愿意留言而大多数人都不愿意,那么我没有理由回电话。
更重要的是,为了举报诈骗电话,我不得不浪费必要的时间来接听身份不明的来电者的电话,并仅为了举报而与某人互动。
即使我确实接听了电话,我还是会和机器人说话……不,谢谢!
那么,答案就是:永远不要接电话,永远不要与这些骗子打交道吗?
或者有更好的方法吗,保罗?
鸭。 我发现,如果我认为这个号码是诈骗号码......
一些诈骗者或骚扰电话每次都会使用不同的号码——它总是看起来是本地的,所以很难说,尽管我最近一直被一个号码困扰着,它一遍又一遍地使用同一个号码,所以我只能阻止它。
…通常我只是接电话,什么也不说。
他们在呼唤我; 如果这很重要,他们会说,“喂? 你好? 那是……?”,并使用我的名字。
我发现很多骚扰电话和诈骗者都在使用自动化系统,当他们听到您接听电话时,他们才会尝试将您连接到他们身边的接线员。
他们没有电话接线员实际拨打电话。
他们给你打电话,当你表明自己的身份时,他们很快就会在队列中找到可以假装打过电话的人。
而且我发现这是一个非常好的赠品,因为如果什么都没发生,甚至没有人去,“你好? 你好? 有人在吗?”,然后你就知道你正在处理一个自动化系统。
但是,有一个烦人的问题,尽管我认为这是英国特有的。
报告所谓的“无声呼叫”的官僚机构,就像呼吸沉重的跟踪者类型,不说任何话……
…报告机制与报告电话的机制完全不同真的很烦人。
无声电话报告会经过电话监管机构,我认为这是由于历史原因而被视为更严重的刑事犯罪。
您必须表明自己的身份——您不能匿名举报。
所以我觉得这很烦人,我希望他们能改变它!
它只是一个给你打电话的机器人系统,而且它还不知道你正在通话中,所以它还没有指派任何人与你通话……
......如果你能更容易和匿名地报告这些,老实说,我会更倾向于这样做。
道格。 好吧。
我们在文章中提供了一些链接,用于报告选定国家/地区的恶意呼叫。
谢谢你,菲尔,发送评论。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至tips@sophos.com,您可以评论我们的任何一篇文章,或者您可以在社交媒体上联系我们:@nakedsecurity。
这就是我们今天的节目——非常感谢您的收听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全。
[音乐调制解调器]