ESCROQUEURS DANS LE SLAMMER (ET AUTRES HISTOIRES)
Avec Doug Aamoth et Paul Ducklin.
Musique d'intro et d'outro par Edith Mud.
Cliquez et faites glisser sur les ondes sonores ci-dessous pour passer à n'importe quel point. Vous pouvez également écouter directement sur Soundcloud.
Vous pouvez nous écouter sur Soundcloud, Podcasts Apple, Podcasts Google, Spotify, piqueur et partout où l'on trouve de bons podcasts. Ou déposez simplement le URL de notre flux RSS dans votre podcatcher préféré.
LIRE LA TRANSCRIPTION
DOUG. Le double zero-day de Microsoft, la prison pour les escrocs et les faux appels téléphoniques.
Tout cela, et plus encore, sur le podcast Naked Security.
[MODÈME MUSICAL]
Bienvenue sur le podcast, tout le monde. Je suis Doug Aamoth.
C'est Paul Ducklin...
CANARD. C'est un grand plaisir, Douglas.
DOUG. j'en ai un peu Histoire de la technologie pour vous et ça remonte loin, loin, loin, loin, et ça a à voir avec les calculatrices.
Cette semaine, le 17 octobre 1954, IBM a présenté le premier calculateur tout transistor du genre.
La Poinçon de calcul électronique IBM, comme on l'appelait, troquait ses 1250 tubes à vide contre 2000 transistors, ce qui réduisait de moitié son volume et n'utilisait que 5% d'énergie en plus.
CANARD. Hou la la!
Je n'avais pas entendu parler de ce "604", alors je suis allé le chercher, et je n'ai pas pu trouver de photo.
Apparemment, ce n'était que le modèle expérimental, et c'est quelques mois plus tard qu'ils ont sorti celui que vous pouviez acheter, qui s'appelait le 608, et ils l'avaient porté à 3000 transistors.
Mais rappelez-vous, Doug, ce ne sont pas des transistors comme dans les circuits intégrés [CI] parce qu'il n'y avait pas encore de CI.
Là où vous auriez eu une valve, une valve thermionique (ou un "toob" [tube à vide], comme vous l'appelleriez), il y aurait un transistor câblé à la place.
Ainsi, même s'il était beaucoup plus petit, il s'agissait toujours de composants discrets.
Quand je pense « calculatrice », je pense « calculatrice de poche »…
DOUG. Ah non, non, non !
CANARD. "Non", comme tu dis...
… c'est la taille d'un très grand réfrigérateur !
Et puis il faut un très grand réfrigérateur à côté, sur la photo que j'ai vue, je pense que c'est pour l'entrée.
Et puis il y avait un autre circuit de contrôle qui ressemblait à un très grand congélateur coffre, à côté des deux très grands réfrigérateurs.
Je ne m'en étais pas rendu compte, mais apparemment, Thomas Watson [PDG d'IBM] a pris à l'époque ce décret pour l'ensemble d'IBM : « Aucun nouveau produit n'est autorisé à utiliser des vannes, des tubes à vide. Nous adoptons, approuvons et n'utilisons absolument que des transistors.
Et c'est donc là que tout s'est déroulé par la suite.
Ainsi, bien qu'il ait été à l'avant-garde de la révolution des transistors, il a apparemment été rapidement remplacé… il n'a été sur le marché que pendant environ 18 mois.
DOUG. Eh bien, restons sur le sujet des choses très importantes et informons nos auditeurs de ce double zéro jour de Microsoft Exchange.
Nous l'avons couvert sur un mini-sode; nous l'avons couvert sur le site… mais quelque chose de nouveau que nous devrions savoir ?
CANARD. Pas vraiment, Douglas.
Il ne semble pas avoir pris le contrôle du monde de la cybersécurité ou des opérations de sécurité [SecOps] comme ProxyShell et Log4Shell fait:
Je suppose qu'il y a deux raisons à cela.
Premièrement, les détails réels de la vulnérabilité sont encore secrets.
Ils sont connus de la société vietnamienne qui les a découverts, de la ZeroDay Initiative [ZDI] où ils ont été divulgués de manière responsable, et de Microsoft.
Et tout le monde semble le garder sous son chapeau.
Donc, autant que je sache, il n'y a pas 250 preuves de concept "essayez ça maintenant!" Dépôts GitHub où vous pouvez le faire vous-même.
Deuxièmement, il nécessite un accès authentifié.
Et mon instinct est que tous les "chercheurs en cybersécurité" en herbe (citations aériennes géantes insérées ici) qui ont pris le train en marche pour lancer des attaques sur Internet avec Proxyshell ou Log4Shelll, affirmant qu'ils faisaient le monde du service : "Hé, si votre service Web est vulnérable, je le découvrirai et je vous le dirai »…
… Je soupçonne que beaucoup de ces personnes réfléchiront à deux fois avant d'essayer de réussir la même attaque où elles doivent réellement deviner les mots de passe.
On dirait que c'est l'autre côté d'une ligne assez importante dans le sable, n'est-ce pas ?
DOUG. Uh-huh.
CANARD. Si vous avez un serveur Web ouvert conçu pour accepter les demandes, c'est très différent de l'envoi d'une demande à un serveur auquel vous savez que vous n'êtes pas censé accéder, et d'essayer de fournir un mot de passe auquel vous savez que vous n'êtes pas censé savoir, si cela a du sens.
DOUG. Oui.
CANARD. La bonne nouvelle est donc qu'il ne semble pas être largement exploité…
… mais il n'y a toujours pas de patch.
Et je pense que dès qu'un patch apparaît, vous devez l'obtenir rapidement.
Ne tardez pas, car j'imagine qu'il y aura un peu de frénésie alimentaire en essayant de rétroconcevoir les correctifs pour savoir comment vous exploitez réellement cette chose de manière fiable.
Parce que, pour autant que nous sachions, cela fonctionne plutôt bien - si vous avez un mot de passe, vous pouvez utiliser le premier exploit pour ouvrir la porte au deuxième exploit, qui vous permet d'exécuter PowerShell sur un serveur d'échange.
Et cela ne peut jamais bien finir.
J'ai jeté un coup d'œil au document de directives de Microsoft ce matin même (nous enregistrons le mercredi de la semaine), mais je n'ai vu aucune information sur un correctif ou sur sa disponibilité.
Mardi prochain, c'est le patch Tuesday, alors peut-être qu'on va nous faire attendre jusque-là ?
DOUG. OK, nous garderons un œil dessus, et s'il vous plaît mettez à jour et corrigez quand vous le voyez… c'est important.
Je vais revenir à notre calculatrice et vous donner un petite équation.
Ça se passe comme ça : 2 ans d'escroquerie + 10 millions de dollars d'arnaque = 25 ans de prison :
CANARD. C'est un criminel – nous pouvons maintenant l'appeler ainsi parce qu'il n'a pas seulement été reconnu coupable, mais condamné – avec un nom dramatique : Elvis Egosa Ogiekpolor.
Et il a dirigé ce que vous pourriez appeler un cybergang artisanal à Atlanta, en Géorgie, aux États-Unis, il y a quelques années.
En un peu moins de deux ans, ils se sont régalés, si vous voulez, de malheureuses entreprises qui ont été victimes de ce qu'on appelle Business Email Compromise [BEC], et de malheureux individus qu'ils ont attirés dans des escroqueries amoureuses… et ont gagné 10 millions de dollars.
Elvis (je vais juste l'appeler comme ça)… dans ce cas, il avait réuni une équipe qui a créé tout un réseau de comptes bancaires américains frauduleusement ouverts où il pouvait déposer puis blanchir l'argent.
Et il n'a pas seulement été reconnu coupable, il vient d'être condamné.
Le juge a manifestement décidé que la nature de ce crime et la nature de la victimisation étaient suffisamment graves pour qu'il écope de 25 ans de prison fédérale.
DOUG. Examinons la compromission des e-mails professionnels.
Je pense que c'est fascinant - soit vous usurpez l'identité de l'adresse e-mail de quelqu'un, soit vous avez mis la main sur sa véritable adresse e-mail.
Et avec cela, une fois que vous pouvez mettre quelqu'un sur le crochet, vous pouvez faire tout un tas de choses.
Vous les énumérez dans l'article ici - je vais les parcourir très rapidement.
Vous pouvez savoir quand des paiements importants sont dus…
CANARD. En effet.
De toute évidence, si vous envoyez un courrier de l'extérieur et que vous usurpez simplement les en-têtes d'e-mail pour prétendre que l'e-mail provient du directeur financier, vous devez deviner ce que sait le directeur financier.
Mais si vous pouvez vous connecter au compte de messagerie du directeur financier chaque matin tôt, avant qu'il ne le fasse, vous pouvez jeter un coup d'œil sur toutes les grandes choses qui se passent et vous pouvez prendre des notes.
Ainsi, lorsque vous vous faites passer pour eux, non seulement vous envoyez un e-mail qui provient en fait de leur compte, mais vous le faites avec une quantité incroyable de connaissances d'initiés.
DOUG. Et puis, bien sûr, quand vous recevez un e-mail dans lequel vous demandez à un employé qui ne le sait pas de virer une somme d'argent à ce fournisseur et qu'il vous dit : "C'est pour de vrai ?"…
… si vous avez accès au système de messagerie actuel, vous pouvez répondre. « Bien sûr que c'est réel. Regardez l'adresse e-mail – c'est moi, le directeur financier.
CANARD. Et bien sûr, encore plus, vous pouvez dire : « Au fait, c'est une acquisition, c'est un accord qui va prendre une longueur d'avance sur nos concurrents. C'est donc confidentiel. Assurez-vous de ne le dire à personne d'autre dans l'entreprise.
DOUG. Oui - double coup dur !
Vous pouvez dire : « C'est moi, c'est réel, mais c'est un gros problème, c'est un secret, ne le dis à personne d'autre. Non ÇA ! Ne signalez pas cela comme un message suspect.
Vous pouvez ensuite accéder au dossier Envoyé et supprimer les faux e-mails que vous avez envoyés au nom du directeur financier, afin que personne ne puisse voir que vous y étiez en train de fouiller.
Et si vous êtes un « bon » escroc, vous allez fouiller dans les anciens e-mails du véritable employé et faire correspondre le style de cet utilisateur en copiant et en collant des phrases courantes que la personne a utilisées.
CANARD. Absolument, Doug.
Je pense que nous avons déjà parlé, lorsque nous avons parlé d'e-mails de phishing... de lecteurs qui ont signalé : "Oui, j'en ai eu un comme celui-ci, mais je l'ai immédiatement grondé parce que la personne a utilisé une salutation dans son e-mail qui est tellement hors de caractère.
Ou il y avait des emojis dans la signature, comme un visage souriant [RIRE], ce que je sais que cette personne ne ferait jamais.
Bien sûr, si vous copiez et collez simplement l'intro et la sortie standard des e-mails précédents, vous évitez ce genre de problème.
Et l'autre chose, Doug, c'est que si vous envoyez l'e-mail depuis le vrai compte, il obtient la véritable signature de l'e-mail de la personne, n'est-ce pas ?
Ce qui est ajouté par le serveur de l'entreprise et le fait ressembler exactement à ce que vous attendez.
DOUG. Et puis j'adore ce démontage...
…en tant que criminel de premier ordre, non seulement vous allez arnaquer l'entreprise, mais vous allez également vous attaquer aux *clients* de l'entreprise en disant : "Oui, pouvez-vous payer cette facture maintenant et l'envoyer à ce nouveau compte bancaire?"
Vous pouvez frauder non seulement l'entreprise, mais aussi les entreprises avec lesquelles elle travaille.
CANARD. Absolument.
DOUG. Et de peur que vous ne pensiez qu'Elvis ne faisait qu'escroquer des entreprises… il faisait aussi de l'escroquerie amoureuse.
CANARD. Le ministère de la Justice rapporte que certaines des entreprises qu'ils ont arnaquées ont été prises pour des centaines de milliers de dollars à la fois.
Et le revers de la médaille de leur fraude était de poursuivre des individus dans ce qu'on appelle des escroqueries amoureuses.
Apparemment, 13 personnes se sont présentées comme témoins dans l'affaire, et deux des exemples mentionnés par le DOJ (le ministère de la Justice) ont coûté, je pense, 32,000 70,000 $ et XNUMX XNUMX $ respectivement.
DOUG. OK, nous avons donc quelques conseils pour protéger votre entreprise contre la compromission des e-mails professionnels et pour vous protéger contre les escroqueries amoureuses.
Commençons par la compromission des e-mails professionnels.
J'aime ce premier point parce que c'est facile et que c'est très simple : Créez un compte de messagerie centralisé pour que le personnel puisse signaler les e-mails suspects.
CANARD. Oui, si vous avez security@example.com, alors vous vous occuperez probablement de ce compte de messagerie très attentivement, et vous pourriez affirmer qu'il est beaucoup moins probable qu'une personne compromise par la messagerie professionnelle soit en mesure de compromettre le compte SecOps par rapport au compte compromettant de tout autre employé aléatoire de l'entreprise.
Et probablement aussi, si vous avez au moins quelques personnes qui peuvent garder un œil sur ce qui se passe là-bas, vous avez une bien meilleure chance d'obtenir des réponses utiles et bien intentionnées de cette adresse e-mail que de simplement demander au individu concerné.
Même si l'e-mail du directeur financier n'a pas été compromis… si vous recevez un e-mail de phishing, puis que vous demandez au directeur financier : « Oui, est-ce légitime ou non ? », vous mettez le directeur financier dans une position très difficile.
Vous dites : "Pouvez-vous agir comme si vous étiez un expert en IY, un chercheur en cybersécurité ou un responsable des opérations de sécurité ?"
C'est bien mieux de centraliser cela, donc il y a un moyen facile pour les gens de signaler quelque chose qui semble un peu anormal.
Cela signifie également que si ce que vous feriez normalement est simplement de vous dire : « Eh bien, c'est évidemment du phishing. Je vais juste le supprimer »…
…en l'envoyant, même si *vous* pensez que c'est évident, vous permettez à l'équipe SecOps ou à l'équipe informatique d'avertir le reste de l'entreprise.
DOUG. D'accord.
Et le conseil suivant : En cas de doute, vérifiez directement auprès de l'expéditeur de l'e-mail.
Et, pour ne pas gâcher la punchline, probablement peut-être pas par e-mail par d'autres moyens…
CANARD. Quel que soit le mécanisme utilisé pour vous envoyer un message auquel vous ne faites pas confiance, ne leur répondez pas via le même système !
Si le compte n'a pas été piraté, vous recevrez une réponse disant : "Non, ne vous inquiétez pas, tout va bien."
Et si le compte *a* été piraté, vous recevrez en retour un message disant : "Oh, non, ne t'inquiète pas, tout va bien !" [DES RIRES]
DOUG. D'accord.
Et puis le dernier, mais certainement pas le moindre : Exiger une autorisation secondaire pour les modifications des détails de paiement du compte.
CANARD. Si vous avez une deuxième paire d'yeux sur le problème - autorisation secondaire - que [A] rend plus difficile pour un initié véreux de s'en tirer avec l'arnaque s'il aide, et [B] que personne, qui est évidemment essayer d'être utile aux clients, doit assumer l'entière responsabilité et la pression pour décider, "Est-ce légitime ou non?"
Deux yeux valent souvent mieux qu'un.
Ou peut-être que je veux dire que quatre yeux valent souvent mieux que deux…
DOUG. Oui. [DES RIRES].
Tournons notre attention vers les escroqueries amoureuses.
Le premier conseil est : Ralentissez lorsque les conversations sur les fréquentations passent de l'amitié, de l'amour ou de la romance à l'argent.
CANARD. Oui.
C'est octobre, n'est-ce pas, Doug ?
C'est donc à nouveau le Mois de la sensibilisation à la cybersécurité… #cybermonth, si vous voulez suivre ce que les gens font et disent.
Il y a cette super petite devise (est-ce le bon mot ?) que nous avons dite à plusieurs reprises sur le podcast, parce que je te connais et que j'aime ça, Doug.
Cela vient de la fonction publique américaine…
TOUS LES DEUX. Arrêt. (Période.)
Pense. (Période.)
Relier. (Période.)
CANARD. Ne soyez pas trop pressé !
C'est vraiment une question de « transiger à la hâte, se repentir à loisir » lorsqu'il s'agit d'affaires en ligne.
DOUG. Et un autre conseil qui va être difficile pour certaines personnes… mais regardez à l'intérieur de vous et essayez de le suivre : Écoutez ouvertement vos amis et votre famille s'ils essaient de vous avertir.
CANARD. Oui.
J'ai participé à des événements de cybersécurité traitant du problème de l'escroquerie amoureuse dans le passé, lorsque je travaillais chez Sophos Australie.
C'était déchirant d'entendre des histoires de gens du service de police dont le travail est d'essayer d'intervenir dans les escroqueries à ce stade…
… et juste pour voir à quel point certains de ces flics étaient maussades lorsqu'ils revenaient de leur visite.
Dans certains cas, des familles entières avaient été attirées dans des escroqueries.
Il s'agit plus du type "investissement financier", évidemment, que du genre romanesque, mais * tout le monde * était du côté de l'escroc, donc lorsque les forces de l'ordre s'y sont rendues, la famille avait "toutes les réponses" qui avaient été soigneusement fournies par le escroc.
Et dans les escroqueries amoureuses, ils n'hésiteront pas à courtiser votre intérêt romantique * et * creuser un fossé entre vous et votre famille, alors vous arrêtez d'écouter leurs conseils.
Alors, faites juste attention à ne pas vous séparer de votre famille ainsi que de votre compte bancaire.
DOUG. D'accord.
Et puis il y a un dernier conseil : Il y a une superbe vidéo intégrée à l'intérieur de l'article.
L'article s'appelle Romance Scammer et BEC Fraudster envoyés en prison pour 25 ans:
Alors regarde cette vidéo, elle contient beaucoup de bons conseils.
Et restons sur le sujet des escroqueries, et parlons des escrocs et des appelants malhonnêtes.
Est-il même possible d'arrêter les appels frauduleux ?
C'est le grande question du jour en ce moment :
CANARD. Eh bien, il y a des appels frauduleux et des appels importuns.
Parfois, les appels importuns semblent être très proches des appels frauduleux.
Ce sont des gens qui représentent des entreprises légitimes, [ANNOYED] mais ils n'arrêtent pas de vous appeler, [GETTING MORE AGITATED] peu importe que vous leur disiez "Je suis sur la liste des numéros de téléphone exclus [ANGRY] alors NE PLUS APPELEZ. »
J'ai donc écrit un article sur Naked Security disant aux gens… si vous pouvez vous résoudre à le faire (je ne suggère pas que vous devriez le faire à chaque fois, c'est un vrai problème), il s'avère que si vous vous plaignez *, parfois cela a un résultat.
Et ce qui m'a donné envie d'écrire ceci, c'est que quatre entreprises vendant des produits "environnementaux" ont été arrêtées par le bureau du commissaire à l'information [ICO, régulateur britannique de la confidentialité des données] et condamnées à une amende de dizaines à des centaines de milliers de livres pour avoir appelé gens qui s'étaient mis sur ce qu'on appelle assez étrangement le Service de préférence téléphonique au Royaume-Uni…
… c'est comme s'ils admettaient que certaines personnes veulent en fait accepter ces appels insensés. [RIRE]
DOUG. "Préfère"?! [DES RIRES]
CANARD. J'aime la façon dont c'est aux États-Unis.
L'endroit où vous allez vous inscrire et vous plaindre est : n'appelez pas le DOT gov.
DOUG. Oui! "Ne pas appeler!"
CANARD. Malheureusement, en ce qui concerne la téléphonie, nous vivons toujours dans un monde de non-participation… ils sont autorisés à vous appeler jusqu'à ce que vous disiez qu'ils ne peuvent pas.
Mais mon expérience a été que, même si cela ne résout pas le problème, vous mettre sur le registre Ne pas appeler est presque certain de ne pas * augmenter * le nombre d'appels que vous recevez.
Cela a fait une différence pour moi, à la fois quand je vivais en Australie et maintenant je vis au Royaume-Uni…
… et signaler les appels de temps en temps donne au moins au régulateur de votre pays une chance de prendre des mesures à un moment donné dans le futur.
Parce que si personne ne dit rien, c'est comme si rien ne s'était passé.
DOUG. Cela concorde bien avec notre commentaire de lecteur sur cet article.
Le lecteur de Naked Security, Phil, commente :
La messagerie vocale a tout changé pour moi.
Si l'appelant ne veut pas laisser de message et que la plupart ne le sont pas, je n'ai aucune raison de rappeler.
De plus, pour signaler un appel téléphonique frauduleux, je devrais perdre le temps nécessaire pour répondre au téléphone d'un appelant non identifié et interagir avec quelqu'un dans le seul but de le signaler.
Même si je réponds à l'appel, je parlerai quand même à un robot… non merci !
Alors, est-ce la réponse : ne répondez jamais aux appels téléphoniques et ne traitez jamais avec ces escrocs ?
Ou y a-t-il un meilleur moyen, Paul ?
CANARD. Ce que j'ai trouvé, c'est que si je pense que le numéro est un numéro frauduleux…
Certains des escrocs ou des appelants importuns utiliseront un numéro différent à chaque fois - il aura toujours l'air local, donc c'est difficile à dire, même si j'ai été tourmenté par un récemment où c'était le même numéro encore et encore, donc je peux juste bloquer ça.
… en général, ce que je fais, c'est que je réponds au téléphone et que je ne dis rien.
Ils m'appellent; si c'est si important, ils diront : « Bonjour ? Bonjour? Est-ce que… ?", et utilisez mon nom.
Je trouve que beaucoup de ces appelants et escrocs importuns utilisent des systèmes automatisés qui, lorsqu'ils vous entendent répondre à l'appel, essaient de vous connecter à un opérateur à leurs côtés.
Ils n'ont pas leurs opérateurs téléphoniques qui passent les appels.
Ils vous appellent et pendant que vous vous identifiez, ils trouvent rapidement quelqu'un dans la file d'attente qui peut prétendre avoir passé l'appel.
Et je trouve que c'est un très bon cadeau, parce que si rien ne se passe, si personne ne dit même « Bonjour ? Bonjour? Y a-t-il quelqu'un ? », alors vous savez que vous avez affaire à un système automatisé.
Cependant, il y a un problème ennuyeux, même si je pense que c'est spécifique au Royaume-Uni.
La bureaucratie pour signaler ce qu'on appelle un «appel silencieux», comme un type de harceleur à respiration lourde où aucun mot n'est prononcé…
… le mécanisme de signalement qui est complètement différent du mécanisme de signalement d'un appel où quelqu'un dit : « Hé, je m'appelle John et je veux vous vendre ce produit dont vous n'avez pas besoin et qui n'est pas bon », qui est vraiment énervant.
Les rapports d'appels silencieux passent par le régulateur téléphonique et sont traités comme s'il s'agissait d'une infraction pénale plus grave, je suppose pour des raisons historiques.
Vous devez vous identifier – vous ne pouvez pas les signaler de manière anonyme.
Donc je trouve ça ennuyeux, et j'espère qu'ils vont changer ça !
Où c'est juste un système robotique qui vous appelle, et il ne sait pas encore que vous êtes en ligne, donc il n'a désigné personne pour vous parler…
… si vous pouviez les signaler plus facilement et de manière anonyme, pour être honnête, je serais beaucoup plus enclin à le faire.
DOUG. D'accord.
Nous avons quelques liens dans l'article pour signaler les appels malveillants dans une sélection de pays.
Et merci, Phil, d'avoir envoyé ce commentaire.
Si vous avez une histoire intéressante, un commentaire ou une question que vous aimeriez soumettre, nous serions ravis de le lire sur le podcast.
Vous pouvez envoyer un e-mail à tips@sophos.com, commenter n'importe lequel de nos articles ou nous contacter sur les réseaux sociaux : @nakedsecurity.
C'est notre émission d'aujourd'hui – merci beaucoup pour votre écoute.
Pour Paul Ducklin, je suis Doug Aamoth, je vous rappelle jusqu'à la prochaine fois pour…
TOUS LES DEUX. Restez en sécurité.
[MODÈME MUSICAL]
