ASCOLTA ORA
Fare clic e trascinare sulle onde sonore sottostanti per passare a qualsiasi punto. Puoi anche ascolta direttamente su Soundcloud.
Con Paul Ducklin e Chester Wisniewski.
Musica introduttiva e finale di Edith Mudge.
Puoi ascoltarci su Soundcloud, Podcast Apple, Google Podcast, Spotify, Stitcher e ovunque si trovino buoni podcast. O semplicemente rilascia il URL del nostro feed RSS nel tuo podcatcher preferito.
LEGGI LA TRASCRIZIONE
ANATRA. Cromo! Crimine informatico! Una criptoregina scomparsa! Catturare i token 2FA!
E la Curioso caso dei nuovi amici di Chester.
Tutto questo e molto altro sul podcast Naked Security.
[MODE MUSICALE]
Ciao a tutti.
Ancora una volta, è Duck sulla sedia, perché Doug è in vacanza.
Sono raggiunto dal mio amico e collega Chester Wisniewski...
Czesław, una buona giornata per te.
CHET. Buona giornata a te, Papera.
È bello sostituire di nuovo Doug.
Mi piace quando va in vacanza: possiamo fare una chiacchierata interessante per pianificare il podcast, e dato che è un po' lento in estate, ho del tempo libero ed è davvero bello essere tornato.
ANATRA. Bene, purtroppo, non è lento sul fronte degli 0 giorni.
Ancora una volta, abbiamo appena avuto il ultimo aggiornamento di Chrome.
Google ha pubblicato tre bollettini sulla sicurezza essenzialmente separati: uno per Android; uno per Windows e Mac; e uno per Windows e Mac, ma nella versione precedente, il "canale stabile esteso".
Nessuna menzione di Linux, ma condividono tutti un bug comune, che è "CVE-2022-2294: Buffer overflow in WebRTC".
Noto per essere stato sfruttato in natura, il che significa che i ladri sono arrivati lì per primi.
Allora, dicci di più, Chester.
CHET. Bene, posso confermare, almeno sul lato Linux, che hanno fatto un rilascio.
Non so cosa ci sia in quella versione, ma il numero di versione corrisponde almeno al numero di versione che ci aspettiamo di vedere su Windows e Mac, che è 103.0.5060.114.
In ogni caso, sul mio Arch Linux che esegue Chromium, questo è il numero di build e corrisponde alla versione di produzione di Chrome per Windows sul mio computer accanto.
Quindi, almeno abbiamo la parità di versione. Non sappiamo se abbiamo la parità di bug.
ANATRA. Sì, e fastidiosamente, la versione di Android, che presumibilmente ha le stesse patch menzionate nelle altre, è fondamentalmente lo stesso numero di versione tranne che termina con il punto 71.
E, naturalmente, la versione 102... è completamente diversa perché è un insieme completamente diverso di quattro numeri.
L'unica cosa comune a tutti loro è lo zero in seconda posizione.
Quindi è abbastanza confuso.
CHET. Sì, considerando che è stato scoperto che è stato utilizzato in natura, il che significa che qualcuno ha battuto Google sul tempo.
E questa particolare funzionalità è particolarmente importante per Google, poiché stanno promuovendo la loro piattaforma Google Meet, che è la loro versione principale di... Ho sentito che la gente lo chiama "Google Zoom".
La piattaforma MEET di Google, non il tipo di carne che potresti avere a cena.
ANATRA. La mia mente è stata sbalorditiva per un po'!
Per chiarire, mi sono ritrovato ad andare alla deriva verso Google Hangouts, che a quanto pare chiuderà presto, e ovviamente il tardivo e, credo, non lamentato Google Plus.
CHET. Bene, se vuoi andare completamente nella tana del coniglio della piattaforma di messaggistica di Google di quante cose hanno inventato e non inventato e unito e cancellato e poi reinventato di nuovo, c'è un ottimo articolo su Vox.com che puoi leggere!
WebRTC... in sostanza, questo è il protocollo che ti consente di trasmettere in streaming la tua webcam a piattaforme come Google Meet e di trasmettere in streaming il tuo microfono.
E penso che probabilmente sia più utilizzato che mai dall'inizio della pandemia.
Perché molti servizi possono offrire un client grasso per una migliore condivisione dello schermo e questo tipo di cose, ma offrono anche una versione solo Web, così puoi accedere a cose come Zoom o Citrix e così via, spesso solo tramite il tuo browser.
Quindi, penso che questa funzionalità sia qualcosa di molto complesso, che potrebbe portare a questo tipo di vulnerabilità, ed è anche molto utilizzata in questi giorni.
Considero questo uno dei più importanti dei tre bug che hai citato nella storia di Naked Security.
ANATRA. Sì, c'è CVE-2022-2294, -2295 e -2296.
Sono tutti bug che speri che abbiamo eliminato e rispolverato molti anni fa, vero?
Un overflow del buffer, una confusione di tipi e un utilizzo dopo il libero, quindi hanno praticamente tutti a che fare con una cattiva gestione della memoria.
CHET. E pensavo che Google stesse dicendo al mondo che tutti i problemi sono stati risolti da Go and Rust, e questo suggerisce molto poco Go and Rust qui.
ANATRA. Anche con un linguaggio molto attento che incoraggia una corretta programmazione, le specifiche possono deluderti, vero?
In altre parole, se implementi qualcosa correttamente, ma dove le specifiche non sono del tutto corrette, o lasci una scappatoia, o metti i file nel posto sbagliato, o tratti i dati in modo improprio, puoi comunque avere bug di basso , di gravità media o alta, anche con la più grande applicazione di sicurezza della memoria al mondo.
Quindi, fortunatamente, c'è una soluzione semplice, no?
Per la maggior parte delle persone, Chrome si sarà quasi sicuramente aggiornato automaticamente.
Ma anche se pensi che sia successo, vale la pena, almeno su Windows e Mac, andare su Altro > Guida > Informazioni su Google Chrome > Aggiorna Google Chrome, e o dirà: "Non è necessario, tu" ho l'ultimo,” o andrà, “Whoa, non l'ho ancora fatto. Ti piacerebbe fare un salto in avanti?"
E ovviamente lo faresti!
In Linux, come hai scoperto, la tua distribuzione ha fornito l'aggiornamento, quindi quella sarà, immagino, la strada per la maggior parte degli utenti Linux che hanno Chrome.
Quindi, forse non è così male come sembra, ma è qualcosa che, come diciamo sempre, "Non ritardare, fallo oggi".
Alla prossima...
Be', ci sono due storie, non una, ma sono entrambe legate agli arresti delle forze dell'ordine.
Uno è un criminale informatico che si è dichiarato colpevole negli Stati Uniti, e l'altro è qualcuno su cui gli Stati Uniti vorrebbero mettere le mani, ma che è scomparso da qualche parte, e ora è entrato a far parte dell'FBI Dieci Top Wanted criminali in tutto il mondo: l'unica donna nella Top Ten.
Cominciamo con lei: è la dottoressa Ruja Ignatova della Bulgaria, la “Missing Cryptoqueen”.
Questa è la storia di una vita, vero?
CHET. Sì, è una delle cose a cui il mondo delle criptovalute sembra presentarci: è un po' più inclusivo per le donne.
Ci sono anche molte donne coinvolte nel furto e nell'innesto, insieme a tutti gli uomini tipici coinvolti in così tante altre storie che trattiamo.
Sfortunatamente, in questo caso, avrebbe creato una nuova valuta simile a Bitcoin nota come OneCoin e avrebbe convinto le persone a darle 4 miliardi di dollari con ab per investire nella criptovaluta inesistente, da tutto ciò che posso leggere in questo.
ANATRA. $ 4 miliardi... questo è ciò che l'FBI sembra pensare di poter provare.
Altri rapporti che ho visto suggeriscono che il totale reale potrebbe essere molto più alto di quello.
CHET. Fa sembrare quasi sensato spendere 6 milioni di dollari per l'immagine di una scimmia fumante...
ANATRA. Piuttosto mi ha tolto il passo lì. [RISATA]
CHET. C'è un sacco di FOMO, o Paura di perdersi.
ANATRA. Assolutamente.
CHET. E penso che l'intero crimine sia guidato da quella FOMO: "Oh, non sono entrato in Bitcoin quando potevi comprare una pizza per un Bitcoin. Quindi voglio passare alla prossima grande cosa. Voglio essere uno dei primi investitori in Tesla, Uber, Apple".
Penso che le persone percepiscano queste criptovalute per avere in qualche modo un'aria di legittimità che potrebbe essere parallela a queste vere storie di successo aziendali, invece di essere un sogno irrealizzabile, che è esattamente quello che è.
ANATRA. Sì, e come molte pipe... in fumo, Chester.
Penso che il problema con le criptovalute sia quando le persone guardano alla storia di Bitcoin, in realtà c'è stato un lungo periodo in cui non era come se il bitcoin "valesse solo $ 10".
Era che il bitcoin era essenzialmente così privo di valore che, a quanto pare, nel 2010, un ragazzo – chiamato in modo intrigante SmokeTooMuch – ha cercato di fare la prima vendita essenzialmente pubblica di Bitcoin, e ne aveva 10,000.
Immagino che li abbia appena estratti, come hai fatto tu allora, e abbia detto: "Voglio $ 50 per loro".
Quindi, li sta valutando a metà di un centesimo di dollaro ciascuno... e nessuno era disposto a pagare così tanto.
Poi Bitcoin è andato a $ 10, e poi a un certo punto erano, cosa, $ 60,000 in più.
Quindi, immagino che ci sia questa idea che se entri *anche prima* è come se le azioni Apple... se entri nei primi giorni quando non esiste ancora, allora è come entrare non solo all'inizio in Bitcoin, ma *proprio all'inizio*.
E poi non guadagni solo 10 volte i tuoi soldi o 100 volte i tuoi soldi... guadagni 1,000,000 di volte i tuoi soldi.
E penso che, come dici tu, sia il sogno che molte persone guardano.
E questo significa, sospetto, che li renda più disposti a investire in cose che non esistono… ironia della sorte, proprio perché non esistono ancora, quindi stanno davvero arrivando al piano terra.
A quanto pare, ricevi ancora solo $ 100,000 di ricompensa per le informazioni che portano alla condanna di Ruja Ignatova.
Ma lei è sicuramente lassù: Top Ten Wanted!
CHET. Lo prometto, se scopro dove si trova e ricevo la ricompensa di $ 100,000, non la scommetterò sulle criptovalute.
Posso garantirtelo.
ANATRA. Quindi, Chester, ora passiamo all'altro parte di legge e ordine del podcast.
So che è qualcosa di cui hai detto espressamente di volerne parlare, e non solo perché include la parola "Desjardins", di cui abbiamo parlato l'ultima volta.
Questo è il signor Vachon-Desjardins, e ne abbiamo parlato, o ne hai parlato tu, nel podcast prima.
Quindi raccontaci questa storia: è affascinante e piuttosto distruttiva.
CHET. Sì. Ho trovato abbastanza casuale che tu mi abbia invitato questa settimana, quando solo casualmente un paio di anni fa, mi hai anche invitato nella settimana in cui credo sia stato estradato.
ANATRA. No, è stato questo marzo di quest'anno quando ne abbiamo parlato l'ultima volta!
CHET. Era?
ANATRA. Sì, penso che quando era appena atterrato in Florida...
CHET. Sì! Era appena stato estradato, esatto!
Era stato mandato negli Stati Uniti per essere processato, cosa abbastanza comune che facciamo qui in Canada.
Gli Stati Uniti hanno spesso leggi più severe in molti casi, ma più di questo, l'FBI [le forze dell'ordine federali statunitensi] fa davvero un ottimo lavoro nel raccogliere le informazioni per perseguire questi casi.
Non dicendo che l'RCMP [le forze dell'ordine federali canadesi] non sia in grado di farlo, ma l'FBI è un po' più esperto, quindi penso che spesso pensino che gli Stati Uniti avranno una possibilità migliore per metterli dietro le sbarre.
ANATRA. Detto questo, l'RCMP lo aveva perseguito in Canada e aveva una condanna a quasi sette anni di reclusione.
E come hai detto l'ultima volta, “Lo abbiamo fatto uscire di prigione temporaneamente. Lo abbiamo prestato agli americani. E se va in prigione lì, quando finisce il suo tempo, poi tornerà e lo rimetteremo in prigione per il resto dei suoi sette anni”.
Sembra che sarà fuori circolazione per un po'.
CHET. Sì, lo sospetto.
Anche se, in questi tipi di reati non violenti, quando si collabora con le autorità, spesso si riducono le pene o si rilascia la parola in anticipo, quel genere di cose.
Vedremo cosa succede.
In effetti, nel suo patteggiamento, quando si è dichiarato colpevole in Florida, a quanto ho capito è stato notato che avrebbe collaborato con le autorità praticamente su tutto e tutto ciò a cui avevano accesso e ciò che desideravano... in pratica aiutandoli a costruire il loro caso .
Quando parliamo di questi gruppi di ransomware, trovo questo caso particolarmente interessante perché lui è canadese e io sono in Canada.
Ma più di questo, penso che abbiamo questa percezione che questi crimini siano commessi da criminali in Russia, e sono lontani e non possono mai essere toccati, quindi non ha senso denunciare questi crimini perché non possiamo trovare queste persone - sono troppo bravi a nascondersi; sono sul dark web.
E la verità è che alcuni di loro sono nel tuo giardino. Alcuni di loro sono tuoi vicini. Sono in tutti i paesi del mondo.
Il crimine non conosce confini... le persone sono avide ovunque e sono disposte a commettere questi crimini.
E vale la pena inseguirli quando possiamo inseguirli, proprio come dovremmo.
ANATRA. Assolutamente.
In effetti, se non ti dispiace, leggo dal patteggiamento, perché sono d'accordo con te: l'FBI fa un lavoro fantastico non solo nel fare queste indagini, ma nel mettere insieme le informazioni, anche in qualcosa che è un documento legale vistoso e formale – nel tipo di un inglese semplice che rende facile per un tribunale, per un giudice, per una giuria e per chiunque voglia capire il lato brutto del ransomware e come funziona per saperne di più .
Questi sono documenti molto leggibili, anche se non sei interessato alla parte legale del caso.
E questo è quello che dicono:
“NetWalker operava come un sistema Ransomware-as-a-Service con sviluppatori e affiliati con sede in Russia che risiedevano in tutto il mondo. Con il modello Ransomware-as-a-Service, gli sviluppatori erano responsabili della creazione e dell'aggiornamento del ransomware e della sua disponibilità agli affiliati. Gli affiliati erano responsabili dell'identificazione e dell'attacco di vittime di alto valore con il ransomware. Dopo che una vittima ha pagato, sviluppatori e affiliati si sono divisi il riscatto. Sebastian Vachon-Desjardins è stato uno degli affiliati ransomware NetWalker più prolifici.
Questo è un fantastico riassunto dell'intero modello di ransomware-as-a-service, non è vero, con un esempio pratico di qualcuno lontano dalla Russia che in realtà è molto attivo nel far funzionare l'intero sistema.
CHET. Assolutamente.
È rappresentato, credo, più del 50% del presunto denaro intascato dalla banda di NetWalker.
Quando è stato catturato, aveva poco più di $ 20 milioni in criptovalute da questi riscatti ... e ho pensato di leggere che l'importo totale del riscatto che si credeva fosse stato raccolto da NetWalker era compreso tra $ 40 milioni e $ 50 milioni.
Quindi è una quantità significativa del profitto: forse era il principale affiliato.
ANATRA. È chiaro, come dici tu, che sta affrontando un mondo di guai...
... ma che ci si aspetta che svergogni i suoi ex amici.
E forse sarà una buona cosa?
Forse saranno in grado di chiudere più esempi di questo tipo di criminalità, o più persone coinvolte in questo prolifico gruppo.
CHET. Forse dovremmo concludere questo con qualche parola più concisa direttamente dall'accordo, perché penso che racchiuda davvero bene questo:
"L'imputato si dichiara colpevole perché, di fatto, è colpevole".
[RIDE]
Quindi questa è un'affermazione abbastanza chiara che non sta usando parole da donnola, che non si assume alcuna responsabilità per quello che ha fatto, cosa che penso sia davvero importante che le vittime sentano.
E inoltre dicono:
"L'imputato accetta di cooperare pienamente con gli Stati Uniti nell'indagine e nel perseguimento di altre persone, inclusa la divulgazione completa e completa di tutte le informazioni pertinenti, inclusa la produzione di tutti i libri, documenti, documenti e altri oggetti in possesso dell'imputato o controllo”.
E sono sicuro che "altri oggetti" potrebbero includere cose come portafogli di criptovaluta e forum di chat e cose in cui è stata condotta la pianificazione per tutte queste azioni sporche.
ANATRA. Sì, e poi la buona notizia è che è stato a causa del sequestro di un server, credo, che sono stati in grado di lavorare all'indietro nei suoi confronti, tra le altre persone.
Passiamo all'ultima parte del podcast che riguarda una storia che potete leggere anche su Naked Security...
Che riguarda Phishing 2FA di Facebook, qualcosa che avevo intenzione di scrivere perché io stesso ho ricevuto questa truffa.
Quando sono andato a indagare, ho pensato: "Questo è uno dei siti Web falsi più credibili che abbia mai visto".
C'è stato un errore di ortografia, ma ho dovuto cercarlo; il flusso di lavoro è abbastanza credibile; non ci sono errori evidenti tranne il nome di dominio sbagliato.
E quando ho guardato l'ora in cui ho ricevuto l'e-mail, ovunque mi trovassi nell'elenco dei destinatari – forse non in alto, forse in mezzo, forse in fondo, chissà? – sono trascorsi solo 28 minuti dopo che i truffatori avevano originariamente registrato il dominio falso che stavano usando in quella truffa.
Quindi, non dormono: tutto accade alla velocità della luce in questi giorni.
CHET. Esattamente.
Ho un avvertimento prima di entrare in questo, che è che non vogliamo in alcun modo suggerire alle persone che non dovrebbero usare l'autenticazione a più fattori.
Ma questo mi ricorda... Stamattina ti stavo tradendo con un altro podcast, e mentre ero su quell'altro podcast, è emerso l'argomento del multifattore.
E una delle sfide che abbiamo con il multifattore che consiste solo in "codici numerici segreti", è che i criminali possono agire come una sorta di proxy-in-the-middle, dove possono semplicemente chiederti gentilmente la stringa di numeri, e se vieni indotto con l'inganno a darglielo, in realtà non fornisce alcun ulteriore livello di protezione.
C'è una netta differenza tra l'utilizzo di una sorta di chiave di sicurezza, come una chiave Titan di Google o Yubikey, o l'autenticazione FIDO utilizzando cose come uno smartphone Android...
C'è una differenza tra questo e qualcosa che mostra sei cifre sullo schermo e dice: "Dai questi al sito web".
Le sei cifre sullo schermo rappresentano un notevole miglioramento rispetto al semplice utilizzo di una password, ma è comunque necessario rimanere vigili per questo tipo di minacce.
ANATRA. Se i truffatori ti hanno già attirato al punto in cui sei disposto a digitare il tuo nome utente e la tua password, allora ti aspetterai che il codice di autenticazione a due fattori arrivi in un SMS; ti aspetteresti di consultare la tua app e di riscrivere il codice, vero?
Non sto dicendo alle persone "smettila di usarlo", perché rende sicuramente le cose più difficili per i criminali.
Ma non è una panacea e, cosa ancora più importante, se hai il secondo fattore di autenticazione, non significa che puoi diventare tutto casuale con il primo.
L'idea è di prendere qualcosa che hai reso il più forte possibile, ad esempio usando una buona password generata da un gestore di password, e poi aggiungere qualcosa che abbia anche forza.
Altrimenti hai metà FA più metà FA uguale a 1 FA di nuovo, vero?
CHET. Sì, assolutamente.
E ci sono due cose per combattere questo tipo di attacco, e una è sicuramente l'utilizzo di quel gestore di password.
L'idea, ovviamente, è che il password manager stia convalidando che la pagina che ti chiede la password *è effettivamente quella per cui l'hai originariamente memorizzata*.
Quindi questo è il tuo primo segnale di avvertimento ... quando non offre la tua password di Facebook perché il sito in realtà non è facebook.com, dovrebbe suonare un campanello d'allarme che qualcosa non va, se devi cercare nel tuo gestore di password per trova la password di Facebook.
Quindi, è una specie di prima possibilità qui.
E poi se tu, come me, utilizzi un token FIDO ovunque sia supportato (noto anche come U2F, o Universal Second Factor), ciò verifica anche che il sito che te lo chiede sia in realtà il sito con cui hai originariamente impostato l'autenticazione.
Molti siti, in particolare i siti di grandi dimensioni che sono pesantemente pescati, come Gmail e Twitter, supportano questi piccoli token USB che puoi portare sul tuo portachiavi o token Bluetooth che puoi utilizzare con il tuo cellulare se ti capita di utilizzare la marca di cellulare telefono a cui non piace che tu colleghi i token al suo interno.
Questi sono un ulteriore livello di sicurezza che è migliore di quelle sei cifre.
Quindi, usa la cosa migliore che hai a disposizione.
Ma quando ricevi un suggerimento come "È strano, il mio password manager non sta compilando automaticamente la mia password di Facebook"... questo è il tuo grande segnale di avvertimento lampeggiante che qualcosa in questo non è come sembra.
ANATRA. Assolutamente, perché il tuo password manager non sta cercando di essere un artificiosamente intelligente, senziente, "Ehi, posso riconoscere quella bellissima foto di sfondo che ho visto così tante volte sul sito web".
Non si fa ingannare dall'apparenza; dice solo "Mi viene chiesto di inserire una password per un sito Web che già conosco?"
In caso contrario, non può nemmeno provare ad aiutarti e, come dici tu, questo è un avvertimento perfetto.
Ma era la velocità di questo che mi interessava.
So che tutto accade molto rapidamente in questi giorni, ma è stato 28 minuti dopo che il dominio è stato pubblicato per la prima volta che ho ricevuto l'e-mail.
CHET. Sì, questo è un altro indicatore che utilizziamo nei SophosLabs quando analizziamo le cose: “Oh, è strano, questo dominio non esisteva un'ora fa. Quanto è probabile che venga visualizzato in un'e-mail entro un'ora dalla creazione?"
Perché anche nei giorni migliori in cui ho acquistato un nuovo nome di dominio, non sono riuscito nemmeno a configurare il mio server di posta con un record MX per almeno un'ora. [RIDE]
ANATRA. Chester, finiamo con quello che ho annunciato all'inizio come "Il curioso caso dei nuovi amici di Chester". Questo è un tipo intrigante di truffatori. Incontra Chester che ti è successo nelle ultime 24 ore, vero?
CHET. Sì…
Ho un certo tipo di follower, diciamo, e di solito riesco a individuare persone che mi seguono che sono bot abbastanza facilmente... devi essere in uno stato d'animo particolare da nerd per essere interessato alle cose che pubblico sul mio account Twitter su social media.
E chiunque sia in quello stato d'animo e voglia sapere a cosa sto pensando può seguirmi su Twitter (@chetwisniewski).
Ma blocco le cose che mi sembrano sospette, perché sono stato in giro per il blocco alcune volte e so come le informazioni vengono spesso raschiate dai robot per attirare le persone con cose che suonano legittime.
Quando vedo qualcosa di sospetto, lo blocco.
Sfortunatamente, un mio conoscente è stato alla tragedia di ieri, il XNUMX luglio, negli Stati Uniti, dove c'è stata una sparatoria, e ha pubblicato un tweet su come è fuggito con le sue figlie in salvo.
Fortunatamente, lui e la sua famiglia stanno bene, ma è stato un evento molto traumatico ed emozionante per loro e, di conseguenza, il suo tweet ha avuto un momento, giusto?
Decine di migliaia di retweet; centinaia di migliaia di Mi piace... e normalmente non è un tipo di celebrità che riceve quel tipo di attenzione su Twitter.
E io stesso ho risposto preoccupato per la sua sicurezza, dal mio account Twitter, e non ho messo insieme due più due fino a quando non abbiamo pianificato questo podcast...
Improvvisamente, ho iniziato a ricevere Mi piace molto casuali su un vecchio tweet che non aveva alcuna rilevanza per nessuna situazione attuale.
Ho postato qualcosa sull'incontro con le persone a San Francisco alla conferenza RSA.
Ovviamente, quell'evento è avvenuto più di un mese fa ed è passato ormai da tempo, e di conseguenza quel tweet è, in effetti, del tutto privo di interesse, anche per le persone che avrebbero potuto essere temporaneamente interessanti, che volevano incontrarmi a RSA, e ha iniziato a ricevere tutti questi Mi piace.
ANATRA. Anche alle persone che *ti hanno* incontrato esattamente alla RSA. [RISATA]
CHET. Che non erano molte persone, perché dopo essere arrivato lì e aver visto l'incubo COVID che stava succedendo, ho pensato che fosse meglio incontrare troppe persone alla RSA.
Ma quel tweet ha iniziato a ricevere Mi piace casuali e ho iniziato a guardare i profili di queste persone a cui piace il tweet, e non erano la mia gente... queste non sono persone che normalmente mi seguirebbero.
Uno affermava quanto amava i diversi giocatori di calcio nigeriani, e un altro pretendeva di essere una donna di New York che era nella scena della moda, delle modelle e di tutto questo genere di cose...
ANATRA. Proprio sulla tua strada, Chester! [RISATA]
CHET. Sì. [RIDE]
E quando ho visto chi stavano seguendo questi account, hanno seguito un insieme molto casuale di persone che non erano tematiche.
La maggior parte delle persone che mi seguono mi seguono per questioni di sicurezza su cui twitto; spesso seguono molte altre persone IT.
Vedrò che seguono diversi tipi di persone "celebrità IT" o seguono molte aziende tecnologiche ... questi sono segni per me che sono seguaci legittimi.
Ma questi resoconti: quando li ho guardati, era come un'immagine dispersa di persone a caso che stavano seguendo.
Non c'era una rima o una ragione per tutto ciò, il che è diverso dalla maggior parte di noi.
La maggior parte di noi ama le nostre squadre sportive preferite, o qualunque hobby abbiamo, e c'è sempre un tema che attraversa le persone che seguiamo che puoi individuare molto facilmente.
ANATRA. Sì, quando arrivi al "16° grado di separazione", inseguendo qualcuno nella tana del coniglio di Twitter, è una buona scommessa che non si muovano davvero nelle tue cerchie in alcun modo!
CHET. Sì.
E la cosa bizzarra di questo è che non sono davvero sicuro di cosa stiano facendo, a parte attaccarsi a questa orribile tragedia e cercare di costruirsi una sorta di reputazione.
E la mia unica ipotesi era che forse stessero cercando di convincere altre persone a seguire perché gli è piaciuto il loro tweet, o forse almeno gli piace qualcosa che hanno pubblicato, per cercare di dare loro una sorta di spinta sui social media.
È semplicemente deplorevole che le persone si attacchino a queste tragedie per cercare di creare qualcosa di diverso da un po' di empatia e simpatia per le persone coinvolte.
Dare a questi resoconti ciò che vogliono può sembrare abbastanza innocente... Conosco molte persone che dicono: "Oh, seguo sempre".
È abbastanza pericoloso farlo.
Stai costruendo reputazioni che fanno sembrare le cose legittime, che consentono la continua diffusione di disinformazione, minacce e truffe.
Quel piccolo mi piace o quel follow back conta davvero in un modo molto negativo.
ANATRA. Sono d'accordo!
Chester, grazie mille per aver condiviso quella storia su quello che ti è successo su Twitter, e in particolare, proprio come la storia della truffa di Facebook 2FA in 28 minuti, la velocità con cui è successo.
Presumibilmente i truffatori stanno solo cercando di trarre un po' di simpatia da persone che sentono che forse è il momento di essere un po' più amorevoli del solito... senza pensare a quali potrebbero essere gli effetti a lungo termine della benedizione di qualcuno che lo fa non lo merita avere.
Grazie mille per aver fatto un passo avanti per l'intero podcast con breve preavviso.
Grazie a tutti coloro che hanno ascoltato.
E come al solito, alla prossima volta...
TUTTI E DUE. Stai al sicuro!
[MODE MUSICALE]
