流氓画廊
流氓 软件包。 流氓 “系统管理员”。 流氓 键盘记录器。 流氓 验证器。
下面没有音频播放器? 听 直接 在 Soundcloud 上。
与道格·阿莫斯和保罗·达克林。 前奏和后奏音乐 伊迪丝·马奇.
你可以听我们的 的SoundCloud, 苹果播客, Google播客, Spotify, 缝 以及任何可以找到好的播客的地方。 或者只是放下 我们的 RSS 提要的 URL 进入你最喜欢的播客。
阅读成绩单
道格。 诈骗、流氓 2FA 应用程序,我们还没有听说过 LastPass。
所有这些,以及更多,都在 Naked Security 播客上。
[音乐调制解调器]
欢迎大家收听播客。
我是道格·阿莫斯; 他是保罗·达克林。
保罗,你今天好吗?
鸭。 寒冷,道格。
显然,三月会比二月更冷。
道格。 我们在这里遇到同样的问题,同样的挑战。
所以,别担心——我有一个非常有趣的 科技史上的本周 分割。
本周,即 05 年 1975 月 XNUMX 日,Homebrew 计算机俱乐部的第一次聚会在加利福尼亚州门洛帕克举行,由 Fred Moore 和 Gordon French 主持。
在第一次会议上,大约 30 名技术爱好者讨论了 Altair 等话题。
大约一年后,也就是 01 年 1976 月 XNUMX 日,史蒂夫·沃兹尼亚克 (Steve Wozniak) 带着他制作的电路板出席了一次会议,目的是公开这些计划。
史蒂夫·乔布斯说服了他,两人继续创办了苹果公司。
剩下的就是历史了,保罗。
鸭。 嗯,这当然是历史,道格!
阿尔泰尔,嗯?
哇!
说服比尔盖茨从哈佛退学的计算机。
以真正的创业方式,与 Paul Allen 和 Monty Davidoff 一起——我认为这是 Altair Basic 的三人组——逃往新墨西哥州。
去阿尔伯克基的硬件供应商工作!
道格。 也许有些东西不会创造历史……
......我们将以简单而有趣的方式开始展示 诈骗 运动,保罗。
鸭。 是的,我在 Naked Security Doug 的标题下写了这篇文章 NPM JavaScript 包被滥用来批量创建诈骗链接 (说起来比我写它时看起来要冗长得多)……
......因为我觉得这是一个有趣的角度来看待我们倾向于直接关联的那种网络财产,并且只与所谓的供应链源代码攻击联系起来。
在这种情况下,骗子认为,“嘿,我们不想分发有毒的源代码。 我们不参与那种供应链攻击。 我们正在寻找的只是一系列人们可以点击而不会引起任何怀疑的链接。”
因此,如果您想要一个有人可以访问的网页,其中包含大量指向不可靠网站的链接……例如“在此处获取您的免费亚马逊红利代码”和“获取您的免费宾果游戏旋转”——实际上有数以万计的此类……
…为什么不选择像 NPM 包管理器这样的网站,并创建一大堆包呢?
那么你甚至不需要学习 HTML,道格!
您可以只使用良好的旧 Markdown,并且您实际上已经获得了一个美观、值得信赖的链接来源,您可以点击进入。
据我所知,他们使用的那些链接转到了基本上毫无可疑的博客网站、社区网站等,这些网站的评论未经审核或审核不当,或者他们可以轻松创建帐户然后发表评论里面有链接。
所以他们基本上是在建立一个不会引起怀疑的链接链。
道格。 所以,我们有一些建议: 不要点击免费赠品链接,即使您发现自己感兴趣或好奇。
鸭。 这是我的建议,道格。
也许有一些免费代码,或者也许有一些我可以获得的优惠券……也许看看也没什么坏处。
但是,如果有某种附属广告收入,厨师只是通过虚假地引诱您到特定网站来赚取?
不管他们赚的钱是多么微不足道,为什么要白送他们呢?
这是我的建议。
“避免受到打击的最好方法就是不去那里,”一如既往。
道格。 [笑]然后我们有: 不要填写在线调查,无论它们看起来多么无害。
鸭。 是的,我们已经在 Naked Security 上说过很多次了。
就你所知,你可能会在这里提供你的名字,在那里提供你的电话号码,你可能会在那里提供你的出生日期以获得免费礼物,然后你会想,“这有什么害处?”
但是,如果所有这些信息实际上都集中在一个巨大的桶中,那么随着时间的推移,骗子就会越来越多地了解您,有时可能包括很难更改的数据。
明天就可以办一张新的信用卡,但是要办新的生日或者搬家就比较难了!
道格。 最后,但同样重要的是: 不要运行允许未经审核的帖子或评论的博客或社区站点。
如果有人曾经经营过,比如说,一个 WordPress 网站,允许未经审核的评论的想法简直令人兴奋,因为会有成千上万的评论。
这是一种流行病。
鸭。 即使您的评论系统上有自动反垃圾邮件服务,那也会做得很好……
......但是不要让其他东西通过并想,“哦,好吧,我会回去删除它,如果我之后发现它看起来很狡猾,”因为,就像你说的那样,它处于流行病的比例......
道格。 那是一份全职工作,是的!
鸭。 ......并且已经存在了很长时间。
道格。 我很高兴看到你能够在这里用我们最喜欢的两个咒语工作。
在文章的最后: 点击之前请深思,和: 如果有疑虑…
鸭。 ……别说出来。
它真的是那么简单。
道格。 说到送东西,据称是三个年轻人 赚了数百万 在敲诈勒索中:
鸭。 是的。
他们在荷兰因据称开始犯下的罪行而被捕……我想那是两年前的事了,道格。
而他们现在分别是18岁、21岁、21岁。
所以他们开始的时候还很年轻。
21 岁的主要嫌疑人……警察声称他赚了大约 XNUMX 万欧元。
这对一个年轻人来说是一大笔钱,道格。
这对任何人来说都是一大笔钱!
道格。 我不知道你在 21 岁时做了什么,但我没有赚那么多,甚至差得远。 [笑]
鸭。 也许每小时两欧元五十? [笑声]
似乎他们的作案手法不是以勒索软件告终,而是让你面临勒索软件的*威胁*,因为他们已经进入了。
所以他们进来了,他们会窃取所有数据,然后他们不会真正费心加密你的文件,听起来他们会做的是说,“看,我们有数据; 我们可以回来毁掉一切,或者你可以付钱。”
每个受害者的要求在 100,000 欧元到 700,000 欧元之间。
如果他们中的一个人在过去两年中确实从他的网络犯罪中赚取了 2,500,000 欧元,那么您可以想象他们可能会勒索相当多的受害者付款,因为担心可能会被泄露......
道格。 我们在这里说过,“我们不会评判,但我们敦促人们不要在这种情况下或勒索软件等情况下付款。”
并且有充分的理由!
因为,在这种情况下,警方注意到支付敲诈勒索并不总能奏效。
他们说:
在许多情况下,即使受影响的公司已经付款,被盗数据也会在网上泄露。
鸭。 所以。 如果你曾经想过,“我想知道我是否可以相信那些人不会泄露数据,或者它不会出现在网上?”......
……我想你已经找到答案了!
请记住,这些特定的骗子可能并不是非常口是心非,而是他们拿走了钱并泄露了它。
我们不知道*他们*一定是泄露它的人。
他们可能自己的安全性太差以至于偷了它; 他们不得不把它放在某个地方; 当他们在谈判时,告诉你,“我们将删除数据”......
......据我们所知,其他人可能同时偷走了它。
这始终是一种风险,因此为沉默付出代价很少会奏效。
道格。 我们已经看到越来越多的此类攻击,其中勒索软件实际上看起来更直接一些:“付钱给我解密密钥; 你付钱给我; 我给你; 你可以解锁你的文件。”
好吧,现在他们进去说,“我们不会把任何东西锁起来,或者我们会把它锁起来,但如果你不付钱,我们也会把它泄露到网上……”
鸭。 是的,这是三种勒索,不是吗?
有,“我们锁定了你的文件,付了钱,否则你的生意就会出轨。”
有,“我们偷了你的文件。 付钱,否则我们会泄露它们,然后我们可能会回来勒索你。”
还有一些骗子似乎喜欢的双重理由,他们窃取您的数据*并且*他们扰乱文件,他们说,“你最好付钱解密你的文件,而且不需要额外收费,道格,我们数据也会被删除!”
那么,你能相信他们吗?
那么,这是你的答案......
可能不是!
道格。 好吧,过去读一读。
在那篇文章的底部有进一步的见解和背景……保罗,你做了一个 访问 与我们自己的 Peter Mackenzie,他是 Sophos 的事件响应总监。 (满的 抄本 可用。)
下面没有音频播放器? 听 直接 在 Soundcloud 上。
而且,正如我们在此类案件中经常说的那样,如果您受此影响,请向警方报告该活动,以便他们获得尽可能多的信息,以便将他们的案子放在一起。
我很高兴地报告说我们会密切关注它; 我们做到了; 我们有一个 LastPass 更新:
鸭。 我们确实有,道格!
这表明他们的公司密码遭到破坏是如何让攻击从他们获得源代码的“小事”变成了更加戏剧性的事情。
LastPass 似乎已经弄清楚了这到底是怎么发生的……在这份报告中,即使不是智慧的话,至少也有警告的话。
我确实在我写的关于这个的文章中重复了我们在 上周的播客 宣传视频,道格,即:
“尽管攻击很简单,但如果一家公司声称他们的用户永远不会上当受骗,那就太大胆了……”
现在收听 - 了解更多!https://t.co/CdZpuDSW2f pic.twitter.com/0DFb4wALhi
— 裸安全 (@NakedSecurity) 2023 年 2 月 24 日
可悲的是,似乎其中一位恰好拥有解锁公司密码库密码的开发人员正在运行某种他们没有修补的与媒体相关的软件。
骗子们能够利用它来攻击它……安装键盘记录器,道格!
当然,他们从中得到了打开等式下一阶段的超级秘密密码。
如果你听说过这个词 横向运动 – 这是一个您会经常听到的行话。
你与传统犯罪的类比是……
..进入建筑物的大厅; 闲逛一会儿; 然后潜入保卫处的一角; 在暗处等着,这样没人会看到你,直到守卫去泡茶为止; 然后去桌子旁边的架子拿一张门禁卡; 带您进入浴室旁边的安全区域; 在那里,你会找到保险箱的钥匙。
你会看到你能走多远,然后你可能会计算出你需要什么,或者你会做什么,才能让你迈出下一步,等等。
当心键盘记录器,道格! [笑]
道格。 没错!
鸭。 好的、老式的非勒索软件恶意软件 [A] 仍然存在并且 [B] 可能对您的业务同样有害。
道格。 没错!
当然,我们有一些建议。
早打补丁,经常打补丁,到处打补丁。
鸭。 是的。
LastPass 非常有礼貌,他们没有脱口而出,“是 XYZ 软件有漏洞。”
如果他们说,“哦,被黑的软件是 X”……
......然后没有 X 的人会说,“我可以从蓝色警报中退出; 我不使用那个软件。”
事实上,这就是为什么我们说不只是尽早打补丁,经常打补丁……而是*到处打补丁*。
仅修补影响 LastPass 的软件在您的网络中是不够的。
它确实需要是你一直做的事情。
道格。 然后我们以前说过,我们会继续说,直到太阳熄灭: 尽可能启用 2FA。
鸭。 是的。
它*不是*灵丹妙药,但至少意味着仅靠密码是不够的。
所以它并没有一路提高门槛,但绝对不会让骗子更容易上手。
道格。 我相信我们最近说过: 不要等到攻击成功后才更改凭据或重置 2FA 种子。
鸭。 正如我们之前所说,一条规则说,“你必须更改密码——为更改而更改,无论如何每两个月更改一次”……
……我们不同意这一点。
我们只是认为这让每个人都养成了坏习惯。
但是,如果您认为更改密码可能有充分的理由,即使这样做真的很痛苦……
......如果你认为它可能有帮助,为什么不这样做呢?
如果你有理由开始改变过程,那就完成整个过程。
不要拖延/今天就做。
[安静地] 看到我在那里做了什么,道格?
道格。 完美!
好吧,让我们继续 2FA的主题.
我们发现两家应用商店中的流氓 2FA 应用数量激增。
这可能是因为 Twitter 2FA 混乱,还是其他原因?
鸭。 我不知道这是因为 Twitter 2FA 混乱,Twitter 曾说过,无论出于何种原因,“哦,我们不会再使用 SMS 双因素身份验证,除非你付钱给我们。!
由于大多数人不会成为 Twitter Blue 徽章持有者,因此他们将不得不转换。
所以我不知道这是否导致了 App Store 和 Google Play 中流氓应用程序的激增,但它确实引起了一些研究人员的注意,他们是 Naked Security 的好朋友: @mysk_co,如果您想在 Twitter 上找到它们。
他们想,“我敢打赌,现在很多人实际上都在寻找 2FA 身份验证器应用程序。 我想知道如果你去 App Store 或 Google Play 并输入会发生什么 身份验证器应用?“
如果您阅读 Naked Security 上题为“当心流氓 2FA 应用程序”的文章,您将看到这些研究人员准备的屏幕截图。
它只是一排又一排外观相同的验证器。 [笑]
道格。 [笑] 他们都被称为 验证器,都带有锁和盾牌!
鸭。 其中一些是合法的,而另一些则不是。
烦人的。 当我去的时候——甚至在这已经成为新闻之后……当我去 App Store 时,据我所知,出现在最前面的应用程序是这些流氓应用程序之一。
我真的很惊讶!
我想,“天哪——这个应用程序是以一家非常知名的中国手机公司的名义签名的。”
幸好这个app看起来很不专业(措辞很烂),所以我一时不敢相信真的是这家手机公司。
但我想,“他们到底是如何设法以一家合法公司的名义获得代码签名证书的,而显然他们没有任何文件可以证明他们就是那家公司?” (我不会提到它的名字。)
然后我非常仔细地阅读了这个名字……事实上,它是一个错误域名,道格!
单词中间的一个字母,我怎么能说,形状和大小与真正公司的字母非常相似。
因此,据推测,它因此通过了自动化测试。
它与某人已经拥有代码签名证书的任何已知品牌名称都不匹配。
甚至我不得不读了两遍……尽管我知道我在看一个流氓应用程序,因为我被告知要去那里!
在 Google Play 上,我还遇到了一个应用程序,做这项研究的人提醒我……
…这不仅仅是要求您每年支付 40 美元来购买 iOS 内置免费的东西,或者直接从带有 Google 名称的 Play 商店免费获得的东西。
它还窃取了您的 2FA 帐户的起始种子,并将它们上传到开发者的分析帐户。
怎么样,道格?
所以这充其量是极度无能。
而且,在最坏的情况下,它只是彻头彻尾的恶意。
然而,当研究人员在 Play 商店中寻找时,它是……最好的结果,大概是因为他们在上面投入了一点广告。
请记住,如果有人得到了那个起始种子,那么当您设置基于应用程序的 2FA 时,二维码中的那个神奇的东西……
...他们可以为您生成正确的代码,适用于未来任何 30 秒的登录窗口,永远永远,道格。
它是如此简单。
这个共享秘密*字面上*是您未来所有一次性代码的关键。
道格。 我们收到了读者对这个流氓 2FA 故事的评论。
Naked Security 读者 LR 部分评论:
我很久以前就放弃了 Twitter 和 Facebook。
由于我不使用它们,我是否需要关注双因素情况?
鸭。 是的,这是一个有趣的问题,答案和往常一样是“视情况而定”。
当然,如果您不使用 Twitter,在安装 2FA 应用程序时您仍然可能会做出错误的选择……
......你可能更倾向于去买一个,现在 2FA 因为 Twitter 的故事而成为新闻,而不是几周、几个月或几年前。
如果您*打算*选择 2FA,请确保尽可能安全地进行。
不要只是去搜索并下载看起来最明显的应用程序,因为这里有强有力的证据表明你可能会让自己处于危险之中。
即使您在 App Store 或 Google Play 上,而不是侧载您从其他地方获得的一些制作的应用程序!
因此,如果您使用基于 SMS 的 2FA 但没有 Twitter,则无需切换。
但是,如果您选择这样做,请确保您明智地选择了您的应用程序。
道格。 好的,很好的建议,非常感谢 LR 发送。
如果您想提交有趣的故事、评论或问题,我们很乐意在播客上阅读。
您可以发送电子邮件至 tips@sophos.com,您可以对我们的任何一篇文章发表评论,或者您可以在社交网站上联系我们:@nakedsecurity。
这就是我们今天的节目——非常感谢您的收听。
对于 Paul Ducklin,我是 Doug Aamoth,提醒您下次……
两个都。 保持安全!
[音乐调制解调器]
- SEO 支持的内容和 PR 分发。 今天得到放大。
- 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
- Sumber: https://nakedsecurity.sophos.com/2023/03/02/s3-ep124-when-so-called-security-apps-go-rogue-audio-text/
- 000
- 2FA
- a
- Able
- 关于我们
- ACCESS
- 账号管理
- 账户
- 横过
- 活动
- 通
- Ad
- 忠告
- 附属
- 后
- 驳
- 年龄
- 致力
- 警惕
- 所有类型
- 所谓的
- 据称
- 允许
- 单
- 已经
- 好的
- 时刻
- Amazon
- 其中
- 量
- 分析
- 和
- 回答
- 分析数据
- 应用
- 应用程序商店
- 应用商店
- 出现
- Apple
- 应用
- 国家 / 地区
- 围绕
- 逮捕
- 刊文
- 刊文
- 律师
- 攻击
- 攻击
- 关注我们
- 音频
- 认证
- 作者
- 自动化
- 可使用
- 避免
- 背部
- 坏
- 惨
- 酒吧
- 基本包
- 基本上
- 承担
- 因为
- before
- 作为
- 相信
- 如下。
- 最佳
- 打赌
- 之间
- 法案
- 比尔·盖茨
- 宾果
- 分娩
- 位
- 敲诈
- 博客
- 博客
- 蓝色
- 蓝色徽章
- 板
- 无所畏惧
- 奖金
- 半身裙/裤
- 品牌
- 违反
- 建筑物
- 建
- 商业
- 加州
- 被称为
- 营销活动
- 可以得到
- 卡
- 牌
- 案件
- 例
- 造成
- 当然
- 证书
- 链
- 挑战
- 更改
- 充
- 中文
- 要求
- 明确地
- 关闭
- 俱乐部
- 码
- 代码
- COM的
- 如何
- 评论
- 注释
- 社体的一部分
- 公司
- 公司
- 一台
- 关心
- 上下文
- 继续
- 常规
- 警察
- 角落
- 公司
- 可以
- 优惠券
- 课程
- 皴
- 创建信息图
- 创建
- 资历
- 信用
- 信用卡
- 犯罪
- 克鲁克斯
- 杯
- 网络勒索
- data
- 日期
- 解码
- 无疑
- 欣喜的
- 需求
- 依靠
- 开发
- DID
- 难
- 直接
- 副总经理
- 讨论
- 分发
- 文件
- 不会
- 别
- 向下
- 下载
- 显着
- 下降
- 早
- 赚
- 地球
- 更容易
- 容易
- 只
- 邮箱地址
- 更多
- 爱好者
- 创业
- 疫情
- 本质上
- 欧元
- 甚至
- EVER
- 所有的
- 一切
- 证据
- 利用
- 敲诈
- 额外
- 极端
- 眼
- 秋季
- 远
- 时尚
- 恐惧
- 二月
- 少数
- 想通
- 档
- 填
- 找到最适合您的地方
- 姓氏:
- 永远
- 发现
- Free
- 法语
- 朋友
- 止
- ,
- 进一步
- 未来
- 盖茨
- 搜集
- 生成
- 得到
- 越来越
- 巨人
- 礼物
- 给
- 给予
- Go
- 去
- 非常好
- 谷歌
- Google Play
- 谷歌的
- 抢
- 大
- 至少从2010年开始,
- 挂
- 发生
- 发生
- 快乐
- 硬件
- 有害
- 哈佛
- 有
- 头
- 标题
- 听
- 听说
- 帮助
- 点击此处
- 历史
- 击中
- 持有人
- 主页
- 托管
- 创新中心
- 但是
- HTML
- HTTPS
- 生病
- in
- 事件
- 事件响应
- 斜
- 包含
- 无能
- 信息
- 洞察
- 安装
- 安装
- 代替
- 有兴趣
- 有趣
- iOS
- IT
- 行话
- JavaScript的
- 工作
- 工作机会
- 法官
- 保持
- 键
- 类
- 知道
- 已知
- 名:
- LastPass的
- 泄漏
- 学习用品
- 离开
- 导致
- 合法的
- 链接
- 听力
- 小
- 加载
- 前厅
- 锁定
- 看
- 看着
- 寻找
- LOOKS
- 占地
- 爱
- 制成
- 魔法
- 多数
- 使
- 制作
- 恶意软件
- 管理
- 经理
- 许多
- 三月
- 匹配
- 问题
- 手段
- 与此同时
- 会议
- 墨西哥
- 中间
- 可能
- 介意
- 联络号码
- 移动电话
- 作案
- 时刻
- 钱
- 个月
- 更多
- 最先进的
- 移动
- 音乐
- 音乐
- 裸体安全
- 裸播安全播客
- 姓名
- 亦即
- 一定
- 需求
- 荷兰
- 网络
- 全新
- 消息
- 下页
- 数
- 明显
- 办公
- 老
- 一
- 在线
- 打开
- 秩序
- 其他名称
- 己
- 包
- 包
- 支付
- 面包
- 灵丹妙药
- 地形公园
- 部分
- 特别
- 通过
- 密码
- 密码
- 过去
- 打补丁
- 修补
- 保罗
- 付款
- PC
- 员工
- 也许
- 说服
- 彼得
- 电话
- 挑
- 地方
- 计划
- 柏拉图
- 柏拉图数据智能
- 柏拉图数据
- 播放
- Play商店
- 播放机
- 播客
- 播客
- Police
- 帖子
- 准备
- 漂亮
- 总理
- 大概
- 市场问题
- 过程
- 财产
- 证明
- 冲床
- 放
- QR码
- 题
- 悄悄
- 提高
- 勒索
- 阅读
- 读者
- 真实
- 原因
- 原因
- 最近
- 去掉
- 重复
- 报告
- 研究人员
- 响应
- REST的
- 导致
- 收入
- 风险
- 行
- RSS
- 毁
- 第
- 运行
- 运行
- 安全
- 安然
- 说
- 清酒
- 同
- 说
- 搜索
- 秘密
- 安全
- 保安
- 种子
- 种子
- 看到
- 似乎
- 似乎
- 看到
- 段
- 发送
- 系列
- 服务
- 集
- 形状
- 共用的,
- 架
- 短
- 显示
- 侧面加载
- 签
- 签约
- 沉默
- 类似
- 简易
- 自
- 网站
- 网站
- 情况
- 尺寸
- 短信
- 潜行
- So
- 社会
- 软件
- 一些
- 有人
- 东西
- 某处
- 来源
- 源代码
- 发言
- 特别是
- 穗
- Spotify
- 阶段
- 站
- 开始
- 开始
- 开始
- 留
- 步
- Steve (史蒂夫)
- 史蒂夫•沃兹尼亚克(Steve Wozniak)
- 仍
- 偷了
- 被盗
- 商店
- 商店
- 故事
- 简单的
- 强烈
- 提交
- 成功
- 周日
- 浪涌
- Switch 开关
- 系统
- 茶
- 科技
- 专业技术
- 测试
- 未来
- 荷兰人
- 盗窃
- 其
- 他们自己
- 因此
- 事
- 事
- 认为
- 思想
- 数千
- 三
- 通过
- 次
- 时
- 至
- 今晚
- 一起
- 明天
- 最佳
- true
- 信任
- 信任
- 下
- 开锁
- 上传
- 网址
- us
- 使用
- 用户
- 拱顶
- 受害者
- 受害者
- 视频
- 漏洞
- 等待
- 警告
- 卷筒纸
- 周
- 周
- 什么是
- 这
- 而
- WHO
- 将
- 智慧
- Word
- 措辞
- WordPress
- 话
- 工作
- 锻炼
- 合作
- 最差
- 将
- X
- 年
- 年
- 年轻
- 您一站式解决方案
- 你自己
- 和风网