Klik en sleep op de onderstaande geluidsgolven om naar een willekeurig punt te gaan. Je kan ook luister direct op Soundcloud.

DOUG.  Hardhandig optreden, zero-days en Tik Tok-porno.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paul, excuseer mijn stem.

Ik ben ziekelijk, maar ik voel me mentaal scherp!

---

EEND.  Uitstekend, Doug.

Ik hoop dat je een goede week vrij hebt gehad en ik hoop dat je een geweldige Black Friday hebt gedaan.

---

DOUG.  Ik heb te veel kinderen om iets leuks te doen... ze zijn te jong.

Maar we hebben een paar dingen op Black Friday via internet gekregen.

Want, ik weet het niet, ik kan me niet herinneren wanneer ik voor het laatst in een winkel ben geweest, maar een dezer dagen kom ik terug.

---

EEND.  Ik dacht dat je Black Friday voorbij was, sinds je in de 18e eeuw werd gedwarsboomd voor een Nintendo Wii, Doug?

---

DOUG.  Dat is waar, ja.

Dat was naar de voorkant van de rij waggelen en sommige dames zeiden: "Je hebt een kaartje nodig", kijken hoe lang de rij was en zeiden: "Oké, dit is niets voor mij."

---

EEND.  [LACHT] Het kaartje was vermoedelijk alleen bedoeld om *in* de rij te komen... dan zou je erachter komen of ze er nog over hadden.

---

DOUG.  Ja, en dat deden ze niet... spoiler!

---

EEND.  "Meneer komt alleen in de voorrij."

---

DOUG.  Ja.

Dus ik had geen zin om tegen een heleboel mensen te vechten.

Al die beelden die je op het nieuws ziet… dat zal ik nooit zijn.

We beginnen de show graag met Deze week in de technische geschiedenis segment, en we hebben deze week een dubbele functie, Paul.

Op 28 november 1948 ging de Polaroid Land Camera Model 95 in de verkoop bij het warenhuis Jordan Marsh hier in Boston.

Het was de eerste commerciële instant camera, in 1948.

En een dag (en enkele jaren) later, 29 november 1972, introduceerde Atari zijn eerste product, een spelletje genaamd PONG.

---

EEND.  Toen u uw voornemen aankondigde om de Land Camera aan te kondigen als Technische geschiedenis, dacht ik… “Het was 1968”.

Misschien een beetje eerder - misschien eind jaren vijftig, een soort van "Spoetnik-tijdperk".

1948, hè?

Wow!

Geweldige miniaturisatie voor die tijd.

Als je bedenkt hoe groot computers nog waren, hadden ze niet alleen kamers nodig, ze hadden hun eigen grote gebouwen nodig!

En hier was deze bijna magische camera - chemie in je hand.

Mijn broer had er een toen ik een klein kind was, en ik herinner me dat ik er absoluut door verbaasd was.

Maar niet zo verbaasd, Doug, als hij was toen hij ontdekte dat ik een paar overbodige foto's had gemaakt, gewoon om te zien hoe het werkte.

Omdat hij natuurlijk voor de film betaalde [GELACH].

Dat is niet zo goedkoop als de film in gewone camera's.

---

DOUG.  Nee meneer!

Ons eerste verhaal is weer een historisch verhaal.

Dit was de Christmas Tree-worm in 1987, ook bekend als CHRISTMA EXEC, geschreven in de REXX-scripttaal:

De CHRISTMA EXEC-netwerkworm – 35 jaar en er komen er nog aan!

REXX… Ik had hier nog nooit van gehoord.

Het tekende een ASCII-kunstkerstboom en verspreidde zich via e-mail, veroorzaakte een enorme verstoring van mainframes over de hele wereld, en was een soort voorloper van de Ik hou van jou virus dat IBM-pc's trof.

---

EEND.  Ik denk dat veel mensen zowel de omvang van de IBM-netwerken in de jaren tachtig als de kracht van de beschikbare scripttalen, zoals REXX, hebben onderschat.

Je schrijft het programma als gewone oude tekst – je hebt geen compiler nodig, het is gewoon een bestand.

En als je de bestandsnaam acht karakters noemt, dus KERSTMIS, niet KERSTMIS (hoewel je KERSTMIS zou kunnen *typen*, omdat het gewoon de -S zou negeren)...

…en als je de bestandsnaam de extensie EXEC gaf (dus: CHRISTMA [spatie] EXEC), dan zou het lopen als je het woord "Kerstmis" typte op de opdrachtregel.

Het had een waarschuwingsschot moeten zijn voor al onze boegen, maar ik denk dat het werd gevoeld als een kleine flits in de pan.

Tot een jaar later…

… toen kwam de internetworm, Doug, die natuurlijk Unix-systemen aanviel en zich wijd en zijd verspreidde:

Herinneringen aan de internetworm – 25 jaar later

En tegen die tijd denk ik dat we ons allemaal realiseerden: "Oh, deze scène met virussen en wormen kan behoorlijk lastig worden."

Dus, ja, CHRISTMA EXEC… heel, heel simpel.

Het zette inderdaad een kerstboom neer, en dat was bedoeld als afleiding.

Je keek naar de kerstboom, dus je zag waarschijnlijk niet alle kleine bordjes aan de onderkant van je IBM 3270-terminal die alle systeemactiviteit aangaven, totdat je deze kerstboomberichten van tientallen mensen begon te ontvangen.

[GELACH]

En zo ging het maar door en door en door.

"Een heel gelukkig kerstfeest en mijn beste wensen voor het volgende jaar", stond er, allemaal in ASCII-kunst, of misschien moet ik zeggen EBCDIC-kunst.

Er staat een opmerking bovenaan de broncode: "Laat deze EXEC draaien en geniet ervan".

En iets verderop staat een briefje met de tekst: "Browsen in dit bestand is helemaal niet leuk."

Wat natuurlijk helemaal waar is als je geen programmeur bent.

En daaronder staat: "Typ gewoon Kerstmis vanaf de opdrachtprompt."

Dus, net als moderne macro-malware die tegen de gebruiker zegt: “Hé, macro's zijn uitgeschakeld, maar voor je 'extra veiligheid' moet je ze weer inschakelen... waarom klik je niet op de knop? Zo gaat het veel makkelijker.”

35 jaar geleden [LACHT] hadden malwareschrijvers al bedacht dat als je gebruikers vriendelijk vraagt ​​om iets te doen dat helemaal niet in hun belang is, sommigen van hen, mogelijk velen, het zullen doen.

Zodra je het had geautoriseerd, kon het je bestanden lezen, en omdat het je bestanden kon lezen, kon het de lijst van alle mensen met wie je normaal gesproken correspondeerde uit je zogenaamde bijnamen of NAMES-bestand halen, en zichzelf uitblazen naar allemaal.

---

DOUG.  Ik zeg niet dat ik deze keer mis, maar er was iets vreemds geruststellends, 20 jaar geleden, Hotmail opstarten en honderden e-mails zien van mensen die me in hun contactenlijst hadden ...

… en gewoon *wetend* dat er iets aan de hand was.

Zoals: "Er gaat duidelijk een worm rond", want ik krijg gewoon een stortvloed aan e-mails van mensen hier.

---

EEND.  Mensen van wie je al een paar jaar niets had gehoord… ineens zouden ze overal in je mailbox te vinden zijn!

---

DOUG.  OK, laten we meteen doorgaan naar het nieuwe, naar de moderne tijd ...

…en deze TikTok “Invisible Challenge”:

TikTok "Invisible Challenge"-porno-malware brengt ons allemaal in gevaar

Dat is eigenlijk een filter op TikTok dat je kunt toepassen waardoor je onzichtbaar lijkt... dus het eerste wat mensen deden was natuurlijk: "Waarom trek ik niet al mijn kleren uit en kijk of ik daardoor echt onzichtbaar word?"

En dan, natuurlijk, zeggen een stel oplichters: "Laten we nepsoftware uitbrengen die naakte mensen 'onzichtbaar' maakt."

Heb ik dat recht?

---

EEND.  Ja, helaas, Doug, dat is het lange en het korte ervan.

En helaas bleek dat een zeer aantrekkelijk lokaas voor een aanzienlijk aantal mensen online.

Je bent uitgenodigd om lid te worden van dit Discord-kanaal om meer te weten te komen... en om aan de slag te gaan, nou, je moet de GitHub-pagina leuk vinden.

Dus het is al deze self-fulfilling prophecy….

---

DOUG.  Dat deel ervan is (ik haat het om het B-woord [briljant] te gebruiken) ... dat aspect ervan is bijna B-woordwaardig omdat je dit onwettige project legitimeert, gewoon door iedereen erop te stemmen.
.

---

EEND.  Absoluut!

"Upvote het eerst, en *dan* vertellen we je er alles over, want het wordt natuurlijk geweldig, want 'gratis porno'."

En het project zelf is allemaal een pak leugens - het linkt gewoon door naar andere repositories (en dat is heel normaal in de open source supply chain-scene) ... ze zien eruit als legitieme projecten, maar het zijn in feite klonen van legitieme projecten met één regel gewijzigd die wordt uitgevoerd tijdens de installatie.

Wat trouwens een grote rode vlag is, zelfs als dit niet het slonzige 'mensen uitkleden die het nooit bedoeld hebben' pornothema in zich had.

Je kunt eindigen met legitieme software, echt geïnstalleerd vanaf GitHub, maar het proces van het uitvoeren van de installatie, het voldoen aan alle afhankelijkheden, het ophalen van alle bits die je nodig hebt... *dat* proces is het ding dat de malware introduceert.

En dat is precies wat hier gebeurde.

Er is één regel versluierde Python; wanneer je het verduidelijkt, is het eigenlijk een downloader die wat meer Python gaat ophalen, die supergecodeerd is, dus het is helemaal niet duidelijk wat het doet.

Het idee is in wezen dat de boeven kunnen installeren wat ze maar willen, omdat die downloader naar een website gaat die de boeven beheren, zodat ze alles kunnen downloaden wat ze maar willen.

En het lijkt erop dat de primaire malware die de boeven wilden inzetten (hoewel ze van alles hadden kunnen installeren) een gegevensstelende trojan was, gebaseerd op, denk ik, een project dat bekend staat als WASP...

... die in feite achter interessante bestanden op uw computer aangaat, met name zaken als cryptocoin-portemonnees, opgeslagen creditcards en belangrijker (u raadt waarschijnlijk al waar dit naartoe gaat!) uw Discord-wachtwoord, uw Discord-inloggegevens.

En we weten waarom oplichters dol zijn op wachtwoorden voor sociale media en instant messaging.

Omdat, wanneer ze uw wachtwoord krijgen en ze rechtstreeks contact kunnen opnemen met uw vrienden, uw familie en uw collega's op het werk in een gesloten groep...

...het is zo veel geloofwaardiger dat ze een veel beter slagingspercentage moeten behalen bij het binnenhalen van nieuwe slachtoffers dan bij spray-and-pray-dingen zoals e-mail of sms.

---

DOUG.  OK, dat houden we in de gaten – het is nog in ontwikkeling.

Maar eindelijk goed nieuws: deze "Cryptorom"-zwendel, een crypto-/romantische zwendel...

… we hebben een aantal arrestaties, grote arrestaties, toch?

CryptoRom-zwendelsites van miljoenen dollars in beslag genomen, verdachten gearresteerd in de VS

---

EEND.  Ja.

Dat maakte het Amerikaanse ministerie van Justitie [DOJ] bekend: zeven sites die verband houden met zogenaamde Cryptorom-oplichters zijn offline gehaald.

En dat rapport houdt ook verband met het feit dat er volgens mij onlangs 11 mensen zijn gearresteerd in de VS.

Nu, Cryptorom, dat is een naam die SophosLabs-onderzoekers aan dit specifieke cybercriminaliteitsplan hebben gegeven, omdat het, zoals je zegt, trouwt aan de benadering die wordt gebruikt door romantische oplichters (d.w.z. zoek je op op een datingsite, maak een nepprofiel aan, word maatjes met je) met cryptocurrency-oplichting.

In plaats van de "Hé, ik wil dat je verliefd op me wordt; laten we trouwen; stuur me nu geld voor het visum "soort oplichterij ...

... de boeven zeggen: 'Nou, misschien worden we geen item, maar we zijn nog steeds goede vrienden. [DRAMATISCHE STEM] Heb ik een investeringsmogelijkheid voor je!”

Dus het voelt ineens alsof het van iemand komt die je kunt vertrouwen.

Het is een zwendel waarbij je wordt overgehaald om een ​​off-market app te installeren, zelfs als je een iPhone hebt.

“Het is nog in ontwikkeling; het is zo nieuw; je bent zo belangrijk; je zit er middenin. Het is nog in ontwikkeling, dus meld je aan voor TestFlight, het bètaprogramma.”

Of ze zeggen: 'Oh, we publiceren het alleen voor mensen die zich bij ons bedrijf aansluiten. Dus geef ons mobiel apparaatbeheer (MDM) controle over je telefoon en dan kun je deze app installeren. [GEHEIME STEM} En vertel het aan niemand. Het komt niet in de app store; jij bent speciaal."

En natuurlijk ziet de app eruit als een app voor het verhandelen van cryptocurrency, en hij wordt ondersteund door mooie grafieken die vreemd genoeg maar blijven stijgen, Doug.

Uw investeringen gaan nooit echt omlaag... maar het zijn allemaal leugens.

En dan, als je je geld eruit wilt hebben, nou (typische Ponzi- of piramidespeltruc), soms laten ze je een klein beetje geld opnemen ... je bent aan het testen, dus je trekt een beetje terug en je krijgt het rug.

Natuurlijk geven ze je gewoon het geld dat je al terug hebt gestoken, of een deel ervan.

---

DOUG.  [SAD] Ja.

---

EEND.  En dan gaan uw beleggingen omhoog!

En dan zijn ze helemaal over je heen: “Stel je voor dat je dat geld niet hebt opgenomen? Waarom stop je dat geld er niet weer in? Hé, we lenen je zelfs wat meer geld; we leggen iets bij je neer. En waarom haal je je maatjes er niet bij? Want er komt iets groots aan!”

Dus je stopt het geld en er gebeurt iets groots, zoals de prijs schiet omhoog, en je denkt: "Wauw, ik ben zo blij dat ik het geld dat ik heb opgenomen opnieuw heb geïnvesteerd!"

En je denkt nog steeds: "Het feit dat ik het had kunnen intrekken, moet betekenen dat deze mensen legitiem zijn."

Natuurlijk zijn ze dat niet - het is gewoon een groter pakket leugens dan in het begin.

En als je dan eindelijk denkt: "Ik kan maar beter uitbetalen", zijn er plotseling allerlei problemen.

"Nou, er is een belasting," Doug, "Er is een bronbelasting van de overheid."

En jij zegt: "OK, dus ik laat 20% van de bovenkant afhakken."

Dan is het verhaal: "Eigenlijk, nee, het is * technisch gezien * geen bronbelasting." (Dat is waar ze gewoon het geld van de som halen en je de rest geven)

"Eigenlijk is uw rekening *bevroren*, dus de overheid kan het geld niet achterhouden."

Je moet de belasting betalen… dan krijg je het hele bedrag terug.

---

DOUG.  [Huiverend] Oh, God!

---

EEND.  Je zou op dit punt een rat moeten ruiken ... maar ze zijn helemaal over je heen; ze zetten je onder druk; ze wieden; als ze niet wieden, vertellen ze je: 'Nou, je zou in de problemen kunnen komen. De regering zit misschien achter je aan!”

Mensen stoppen de 20% in en dan, zoals ik schreef [in het artikel], hoop ik niet grof te zijn: GAME OVER, INSERT COIN TO BEGIN NEW GAME.

Het is zelfs mogelijk dat u daarna wordt gecontacteerd door iemand die op wonderbaarlijke wijze, Doug, zegt: “Hé, ben je opgelicht door Cryptorom-zwendel? Nou, ik ben het aan het onderzoeken en ik kan je helpen het geld terug te krijgen.'

Het is vreselijk om mee te maken, want het begint allemaal met het 'rom'-gedeelte.

Ze zijn eigenlijk niet op zoek naar romantiek, maar ze * zijn * op zoek naar genoeg vriendschap waarvan je denkt dat je ze kunt vertrouwen.

Dus je begint eigenlijk aan iets "speciaals" - daarom waren je vrienden en familie niet uitgenodigd.

---

DOUG.  We hebben het al meerdere keren over dit verhaal gehad, inclusief het advies dat hier in het artikel staat.

De afbouw [hoofditem] in de advieskolom is: Luister open naar je vrienden en familie als ze je proberen te waarschuwen.

Psychologische oorlogsvoering als het ware!

---

EEND.  Inderdaad.

En de voorlaatste is er ook een om te onthouden: Laat u niet misleiden, want u gaat naar de website van een oplichter en het ziet er net echt uit.

Je denkt: "Goh, zouden ze het zich echt kunnen veroorloven om professionele webdesigners te betalen?"

Maar als je kijkt naar hoeveel geld deze jongens verdienen: [A] ja, dat zou kunnen, en [B] dat hoeft niet eens echt.

Er zijn tal van tools die hoogwaardige, visueel vriendelijke websites bouwen met realtime grafieken, realtime transacties, magisch ogende, prachtige webformulieren...

---

DOUG.  Precies.

Het is eigenlijk heel moeilijk om tegenwoordig een *slecht* uitziende website te maken.

Je moet extra je best doen!

---

EEND.  Het heeft een HTTPS-certificaat; het zal een legitiem genoeg ogende domeinnaam hebben; en natuurlijk, in dit geval, is het gekoppeld aan een app * die je vrienden niet voor je kunnen uitchecken door zichzelf te downloaden * uit de App Store en te vragen: "Wat dacht je in hemelsnaam?"

Omdat het een "geheime speciale app" is, via "superspeciale" kanalen, die het de boeven alleen maar gemakkelijker maakt om u te misleiden door er meer dan goed genoeg uit te zien.

Dus wees voorzichtig, mensen!

---

DOUG.  Let op!

En laten we bij het onderwerp repressie blijven.

Dit is weer een groot hardhandig optreden – dit verhaal is echt intrigerend voor mij, dus ik ben benieuwd hoe je het ontrafelt:

Voice-scam-site "iSpoof" in beslag genomen, 100 mensen gearresteerd tijdens massaal hardhandig optreden

Dit is een site voor het oplichten van stemmen die iSspoof heette... en ik ben geschokt dat het mocht werken.

Dit is geen darkweb-site, dit is op het reguliere web.

---

EEND.  Ik denk dat als alles wat uw site doet, is: "We bieden u Voice Over IP-services [VoIP] met coole toegevoegde waarde, waaronder het instellen van uw eigen oproepnummers"...

…als ze niet openlijk zeggen: "Het primaire doel hiervan is om cybercriminaliteit te plegen", dan is er misschien geen wettelijke verplichting voor het hostingbedrijf om de site uit de lucht te halen.

En als je het zelf host, en jij bent de boef... Ik denk dat het vrij moeilijk is.

Er was uiteindelijk een gerechtelijk bevel voor nodig, verkregen door de FBI, geloof ik, en uitgevoerd door het ministerie van Justitie, om die domeinen op te eisen en [een bericht met de tekst] "Dit domein is in beslag genomen" op te hangen.

Het was dus een nogal langdurige operatie, zoals ik begrijp, om hier achter te komen.

Het probleem hier is dat het het heel gemakkelijk voor je heeft gemaakt om een ​​scamming-service op te starten waarbij, wanneer je iemand belt, hun telefoon verschijnt met de naam van hun High Street-bank die ze zelf in hun lijst met telefooncontacten hebben ingevoerd. *eigen website van de bank*.

Omdat er helaas weinig of geen authenticatie is in het Caller ID- of Calling Line Identification-protocol.

Die nummers die verschijnen voordat u de oproep beantwoordt?

Ze zijn niet beter dan hints, Doug.

Maar helaas beschouwen mensen ze als een soort evangeliewaarheid: 'Er staat dat het de bank is. Hoe kan iemand dat vervalsen? Het MOET de bank zijn die me belt.

Niet noodzakelijk!

Als je kijkt naar het aantal geplaatste oproepen... wat was dat dan, drieënhalf miljoen alleen al in het VK?

10 miljoen in heel Europa?

Ik denk dat het drieënhalf miljoen telefoontjes waren die ze plaatsten; 350,000 daarvan werden beantwoord en duurden daarna meer dan een minuut, wat suggereert dat de persoon de hele spoofing begon te geloven.

Dus: “Maak geld over naar de verkeerde rekening”, of “Lees uw tweefactorauthenticatiecode voor”, of “Laat ons u helpen met uw technische probleem – laten we beginnen met het installeren van TeamViewer”, of wat dan ook.

En zelfs uitgenodigd worden door de boeven: "Controleer het nummer als je me niet gelooft!"

---

DOUG.  Dat brengt ons bij een vraag die ik de hele tijd had tijdens het lezen van dit artikel, en het sluit mooi aan bij onze lezerscommentaar voor de week.

Lezer Mahnn merkt op: "De telco's zouden een behoorlijk deel van de schuld moeten krijgen voor het toestaan ​​van spoofing op hun netwerk."

Dus, in die geest, Paul, is er iets dat telco's daadwerkelijk kunnen doen om dit te stoppen?

---

EEND.  Intrigerend genoeg zei de volgende commentator (bedankt, John, voor deze opmerking!): "Ik wou dat je twee dingen had genoemd, STIR en SHAKEN."

Dit zijn Amerikaanse initiatieven – omdat jullie dol zijn op je backroniemen, nietwaar, zoals de CAN-SPAM-wet?

---

DOUG.  Wij doen!

---

EEND.  STIR is dus “veilige telefoonidentiteit herzien”.

En SHAKEN staat blijkbaar voor (schiet me niet neer, ik ben maar de boodschapper, Doug!) ... wat is het, "op handtekeningen gebaseerde verwerking van beweerde informatie met behulp van tokens".

Dus het is eigenlijk hetzelfde als zeggen: "We zijn eindelijk gewend geraakt aan het gebruik van TLS/HTTPS voor websites."

Het is niet perfect, maar het biedt tenminste enige maatstaf zodat u het certificaat kunt verifiëren als u dat wilt, en het voorkomt dat iedereen zich voordoet als iemand, wanneer ze maar willen.

Het probleem is dat dit slechts initiatieven zijn, voor zover ik weet.

We hebben de technologie om dit te doen, in ieder geval voor internettelefonie...

…maar kijk eens hoe lang het ons kostte om zoiets eenvoudigs als HTTPS op bijna alle websites ter wereld te krijgen.

Er was een enorme weerstand tegen.

---

DOUG.  Ja!

---

EEND.  En ironisch genoeg kwam het niet van de dienstverleners.

Het kwam van mensen die zeiden: “Nou, ik beheer een kleine website, dus waarom zou ik me hier druk over moeten maken? Waarom zou ik me zorgen moeten maken?

Dus ik denk dat het nog vele jaren kan duren voordat er een sterke identiteit wordt geassocieerd met inkomende telefoontjes...

---

DOUG.  OK, dus het kan even duren, [WRYLY] maar zoals je zegt, we hebben onze acroniemen gekozen, wat een zeer belangrijke eerste stap is.

Dus we hebben dat uit de weg geruimd ... en we zullen zien of dit uiteindelijk vorm krijgt.

Dus bedankt, Mahnn, voor het insturen.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

U kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of u kunt ons bereiken op social: @NakedSecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan: tot de volgende keer...

---

BEIDE.  Blijf veilig.

[MUZIEK MODEM]