Geen audiospeler hieronder? Luisteren direct op Soundcloud.

DOUG.  ATM-skimmers, ransomware-servers en een waarschuwing van de FBI.

Dat alles, en meer, op de Naked Security-podcast.

[MUZIEK MODEM]

Welkom bij de podcast, allemaal.

Ik ben Doug Aamoth; hij is Paul Ducklin.

Paul, hoe gaat het vandaag, meneer?

EEND.  Heel goed, Douglas!

DOUG.  Uitstekend.

Deze week: 14 augustus 1982 werd officieel aangewezen als Nationale Navajo Code Talkers-dag.

Een proclamatie van de toenmalige president Ronald Reagan luidt gedeeltelijk:

Temidden van de gevechten in de Stille Oceaan tijdens de Tweede Wereldoorlog, gebruikte een dappere groep mannen van de Navajo Nation hun taal in gecodeerde vorm om de geallieerde overwinning te versnellen.

De Code Talkers brachten de vijand in verwarring met een oor vol geluiden die nog nooit eerder door code-experts waren gehoord.

Dus, Paul, laten we nu bespreken wat dit met technologie te maken heeft.

EEND.  Zoals regelmatige luisteraars van podcasts zullen weten, omdat we het hebben gehad over zaken als de Enigma-machine, die werd gebruikt in het Europese oorlogstheater, en de Lorenz-coderingsmachine, die werd gebruikt voor Hitler's eigen communicatie met zijn generale staf... we hebben spraken over het kraken van die geautomatiseerde codeermachines.

De Amerikanen hadden vergelijkbare successen tegen enkele Japanse codeermachines, zoals PURPLE, een elektromechanische codeermachine gebaseerd op roterende telefoonschakelaars.

Maar gezien het feit dat de gevechten in de Stille Oceaan grotendeels man tegen man waren op kleine, jungle-eilanden, een angstaanjagende vorm van oorlogvoering...

... zelfs als ze qua draagbaarheid het equivalent van de Enigma-machine hadden gehad, was er gewoon niet de tijd en de ruimte om het te gebruiken.

En dus werd besloten dat een Indiaanse taal misschien in wezen als een leesbare code kon worden gebruikt, omdat die talen door niemand in Europa of Japan uitgebreid waren bestudeerd.

En daarom, door snel maar duidelijk te spreken en vooraf bepaalde codewoorden te gebruiken voor dingen die nog niet bestonden in de Navajo-taal (omdat ze in hun uitgebreide taalgeschiedenis nooit behoefte hadden gehad aan termen van moderne oorlogsvoering), misschien kon communiceren in wat voor de sprekers duidelijke tekst was, maar toch ondoordringbaar zou zijn voor degenen die de uitzendingen onderschepten.

En zo was het!

Het echt, vreselijk moedige aan dit alles is dat deze kerels niet alleen codeermachine-operators waren, Doug.

Het waren Amerikaanse mariniers; ze maakten deel uit van het elite gevechtskorps.

Dus moesten ze de Amerikaanse marinierstraining doen [LAUGHS] (ik mag niet lachen) en daar zijn, in het heetst van de strijd, in vreselijke omstandigheden, en toch, in een oogwenk, in staat zijn om hun hoofd onder water te krijgen druk uit en praat duidelijk en verstaanbaar (en toch onontcijferbaar tegen de vijand).

Blijkbaar gaf een hoge Japanse officier na de oorlog toe dat hoewel ze aanzienlijke vooruitgang hadden geboekt bij het kraken van enkele cijfers van de Amerikaanse luchtmacht, ze letterlijk geen enkele vooruitgang hadden geboekt bij het proberen te begrijpen wat deze Navajo-codepraters zeiden.

DOUG.  Heel gaaf verhaal.

Oké, we hebben ook duidelijke en duidelijke taal van het Federal Bureau of Investigation.

Dit is een waarschuwing over mobiele bètatest-apps.

We hebben hier al uitvoerig over gesproken, deze zogenaamde TestFlight-achtige zwendel.

Ze gaan niet weg, Paul.

FBI waarschuwt voor oplichting die u naar binnen lokken als mobiele bètatester

EEND.  Nr.

Nu heeft de FBI plichtsgetrouw geen specifieke platforms en technologieën genoemd.

Ik denk dat het op zijn woorden moet letten, want het wil niet suggereren dat een specifieke leverancier meer schuld heeft dan een ander, en het wil niet suggereren dat, "O, nou, als je een Google apparaat en geen Apple-apparaat, hoef je je geen zorgen te maken over dit soort dingen.

En inderdaad, het advies dat ze aan het einde van hun openbare aankondiging hebben geplaatst, met de titel Cybercriminelen richten zich op slachtoffers via mobiele bètatesttoepassingen, is een algemeen advies dat u moet gebruiken, zodat u niet wordt meegezogen in het uitvoeren van onbetrouwbare apps, ongeacht waar ze vandaan komen.

Maar je hebt gelijk dat, vooral voor iPhone-gebruikers, er een gevoel van zelfvoldaanheid kan zijn in de beveiligingsvisie van sommige mensen, omdat ze weten dat ze alleen apps uit de App Store kunnen krijgen.

En hoe jaloers ze soms ook zijn op hun vrienden die Android gebruiken, die off-market kunnen gaan en kunnen downloaden wat ze maar willen, ze denken in ieder geval: "Nou, ik ga niet per ongeluk een totaal frauduleuze applicatie downloaden."

En toch, zoals we al vaak hebben besproken op nakedsecurity.sophos.com en op news.sophos.com, zijn er twee erg vervelende trucs die boeven kunnen gebruiken als je een iPhone hebt.

Een daarvan is dat ze kunnen doen alsof je instapt tijdens de begindagen van een gloednieuw bedrijf dat aan het opstarten is.

En dus moedigen de boeven u aan om uw telefoon aan te melden bij hun zakelijke Mobile Device Management [MDM]-programma, dat normaal gesproken is gereserveerd om een ​​IT-afdeling zeer intieme controle te geven over telefoons die zij bezit, of betaalt, en uitdeelt aan personeel.

De andere manier is om tegen de persoon te zeggen: “Weet je wat, dit is een geheel nieuwe app. Niet veel mensen hebben dit. Je moet je dus aanmelden voor dit speciale bètaprogramma.”

Apple doet dit door je een speciale app genaamd TestFlight te laten downloaden; dan kun je apps downloaden die niet precies dezelfde controle ondergaan als apps die in de App Store bestaan.

En omdat het een bètaprogramma is, is de app natuurlijk nog niet vrijgegeven.

Dus al het bewijs waarnaar u zou kunnen zoeken, alle aanvullende informatie die u zou kunnen vertellen of dit een goede of slechte app was, ontbreekt, en u vertrouwt volledig op de persoon die u vertelt: "Ja, u kunt vertrouwen ons. Laat ons uw telefoon inschrijven bij ons 'speciale bedrijf' (ik gebruik gigantische luchtquotes) of neem alleen op uitnodiging deel aan ons 'speciale bètaprogramma'.

DOUG.  Ja, ik geloof dat TestFlight het aantal testers beperkt tot 10,000, zodat de boeven veel gerichter moeten zijn.

Toen we hier in het verleden over spraken, waren ze onder het mom van romantische zwendel, waar je misschien op een datingsite zou beginnen, en als ik iemand target, probeer ik misschien niet echt een romantische relatie met hen aan te gaan, maar zeg , "Laten we vrienden zijn? Wat doe je? Ik heb een bedrijf dat dit nieuwe crypto-ding begint dat echt een hit gaat worden, en ik laat je binnen in deze kleine exclusieve club.

Dus dit soort dingen beginnen als een "slow burn" onder het mom van vriendschap en "je kunt me vertrouwen"... en dan ga ik je vertellen om al deze dingen met je telefoon te doen.

EEND.  In dit geval, zoals je zegt, is het een soort romance, maar dan van een andere soort: "Zou je heel veel geld willen verdienen?"

Dus, zoals je zegt, het is dat langer branden.

En in sommige van deze zwendelpraktijken die onze collega's Jagadish Chandraiah en Sean Gallagher hebben geschreven op news.sophos.com (ze hebben de naam oplichting met hakblokken or oplichting bij het slachten van varkens, want dat is de nogal lelijke naam waaronder ze in het Chinees bekend staan, omdat ze blijkbaar erg wijdverbreid zijn in Zuidoost-Azië) ... zo ontvouwen ze zich.

Iemand raakt bevriend; ze zullen heel veel telefoontjes krijgen; ze krijgen heel veel berichten; ze krijgen schijnbaar persoonlijk contact.

Ze zullen echt een vriend en een vertrouweling hebben die hen zullen aanmoedigen om op een van deze vreemde manieren een app te installeren.

Niemand anders kan het downloaden... de enige mensen die de app ooit krijgen, zijn mensen die vooraf zijn geselecteerd om lid te worden van deze club door de oplichters die hun slechtste belangen op het oog hebben.

DOUG.  Oké, dus uit ons onderzoek, sommige hiervan, vooral de financiële zwendel: het is een mooie, gelikte app waar je wat geld in stopt, en het lijkt erop dat je geld omhoog gaat, en dan neem je wat op... ze laten je opnemen sommige; geven ze eigenlijk een deel van je eigen geld terug?

EEND.  Ja, want als ze echte oplichters waren, zouden ze je natuurlijk geen cent laten opnemen, toch?

DOUG.  Precies.

EEND.  Maar zoals je zegt, het enige wat ze doen is je een klein beetje van je eigen geld teruggeven.

DOUG.  En nu: “Kijk, je hebt dit geld eruit gehaald, maar kijk eens hoe snel het omhoog gaat! Je had er meer in moeten stoppen! Je had het erin moeten houden!

Dan komen ze achter je aan met een belastingaanslag waarop staat: "Oh, je moet hier belasting over betalen."

EEND.  Absoluut.

En die "bronbelasting"-zwendel op het einde... Ik heb mensen horen zeggen: "Wie zou daar ooit in trappen?"

Maar het punt is, je ging hier naar binnen met wat je dacht dat je ogen wijd open waren, omdat je deze persoon had 'ontmoet'; je was blijkbaar bevriend met ze; het was niet alsof je op zoek ging naar een investering in cryptocurrency.

Je hebt een persoon gevonden op een datingsite: 'Ach, we worden alleen maar maatjes. We zijn niet geïnteresseerd in een romantische verloving.”

Dus aan het einde is het verhaal: “OK, het is een goed moment om uit te betalen. Als je het geld wilt, kun je het eruit krijgen, maar helaas heeft de overheid de rekening geblokkeerd en moet je ze de belasting vooraf betalen, en alleen dan kun je het hele bedrag opnemen.

"We kunnen het geld niet vrijgeven en een zogenaamde bronbelasting doen (waarbij je gewoon de verschuldigde belasting afhaalt van het geld dat je al hebt) omdat de rekening bevroren is."

'Ik moet je waarschuwen, dat is een slecht teken – ze zouden achter je aan kunnen komen, dus je moet nu weggaan. Stuur ons het extra geld; ga het lenen van je vrienden; vraag het aan je moeder; vraag het aan je tante; vraag het aan je broer, haal gewoon het geld bij elkaar!

En natuurlijk gooi je gewoon slecht geld naar goed geld, dus doe dat niet!

DOUG.  Oké, we hebben nog wat andere tips in de post, dus bekijk die op nakedsecurity.sophos.com.

Laten we verder gaan met het skimmen van ATM-kaarten.

Dit is nog steeds een ding, en dat al zo lang, dat ik, Paul, al jaren aan de creditcard-slots trek bij elk benzinestation en elke geldautomaat die ik bezoek!

"Grijp vast en beweeg het" - Skimming van ATM-kaarten is nog steeds een ding

EEND.  Ja, we hebben er al een hele tijd niet meer over geschreven op Naked Security, omdat het nieuws over het zogenaamde skimmen van geldautomaten is afgenomen.

Het is duidelijk dat we in een wereld van tap-to-pay en een chip-en-pincode leven, althans buiten de Verenigde Staten.

We zijn dus gewend aan het idee dat u uw kaart zelden of nooit gebruikt als u zich in Europa of het VK bevindt.

Maar geldautomaten nemen je kaart altijd meteen in, nietwaar?

Je steekt hem in een gleuf en hij zuigt je kaart er zo in.

Voor de boeven betekent dit dat ze de kans krijgen, met extra toegevoegde hardware, om de magneetstrip te lezen.

En het andere probleem met een geldautomaat, zelfs als deze zich in een bank zelf bevindt, of in de kleine geldautomaatlobby bij de ingang van een bank of een bankrechtbank... er zijn tal van plaatsen op een geldautomaat, oppervlakken en rare hoeken en uitsteeksels bits, waar een boef een soort bewakingsapparaat zoals een camera kan bevestigen zonder dat het echt opvalt.

DOUG.  Ja, deze foto in het artikel is wild.

Er zit alleen een klein gaatje in het kaartmechanisme dat ogenschijnlijk op het toetsenbord schiet.

Gewoon heel klein.

Je zou er echt naar op zoek moeten zijn.

EEND.  Het verhaal dat we deze week opschreven, kwam van de politie van Queensland in Australië.

Die foto is afkomstig van een anti-skimmingadvies van de politie van Queensland van iets meer dan tien jaar geleden.

En je kunt je voorstellen hoe de technologie sindsdien is geëvolueerd: camera's zijn kleiner; het is gemakkelijk om kant-en-klare system-on-chip embedded computer-moederborden te kopen die meer doen dan wat u nodig heeft voor het skimmen van pincodes.

Dus het idee van deze geldautomaat-skimming-boeven is dat ze niet alleen geïnteresseerd zijn in uw kaartgegevens, zoals een web-phisher zou zijn.

Ze zijn geïnteresseerd in de pincode waarmee uw kaart wordt ontgrendeld.

En onthoud: die pincode, of je nu een oude kaart met een magneetstrip hebt of een kaart met een beveiligde chip… de pincode wordt nooit op de kaart opgeslagen.

Dat is het hele idee ervan.

Het staat niet eens op de kaart gedrukt, zoals de beveiligingscode op de achterkant.

En dat is het voordeel, zo u wilt, van geldautomaten ten opzichte van skimmende boeven.

In tegenstelling tot apparaten in de coffeeshop waarbij u uw pincode meestal niet invoert (u tikt gewoon op uw kaart), moet u bij geldautomaten altijd uw pincode invoeren.

Het is het eerste wat je doet om de menu's te ontgrendelen, en daarna beslis je wat je daarna wilt doen.

En, zoals u zegt, er zijn al deze plaatsen waar camera's zich kunnen verbergen.

Als je kijkt naar de video die de politie van Queensland heeft gemaakt van deze buste, is er een grote achtervolging waar de boeven wanhopig proberen te vluchten.

Maar ik moet zeggen [LACHT] dat koper uit Queensland veel fitter was!

DOUG.  [LACHT] Ja, hij had een goed spoor naar de agent, en ik dacht: "Oh, hij gaat ontsnappen!"

Toen was het: "Oh nee, hij gaat niet wegkomen!" [LACHT]

EEND.   Het is dus een geweldig verhaal omdat het ook laat zien hoe het hele onderzoeksproces werkte.

Ze wisten dat er geskimd werd, dus ze wisten ongeveer waar ze op moesten letten.

Ze wisten alarm te slaan bij de financiële instellingen, die uitkeken naar de toestellen; een van hen vond er een.

Vermoedelijk stel ik me voor dat de bank het uit dienst zou hebben genomen en had gezegd: "Oh, er is een storing in de machine."

Dus de boeven weten: "Uh oh! Als iemand de geldautomaat komt onderhouden, zullen ze de skimmer opmerken, dus we kunnen hem maar beter gaan halen', niet wetende dat de politie toekijkt.

Dat leidde vervolgens tot een bevel om een ​​adres te bezoeken en een derde persoon aan te houden.

En als mooie afsluiting lijkt het erop dat, omdat ze het bevel hadden en het pand doorzochten, de politie beweert dat ze ook een valse identiteitskaart hebben gevonden die toevallig op naam stond van de niet-bestaande persoon aan wie de oorspronkelijke skimming apparaten die aanleiding waren voor het onderzoek waren aangepakt.

Er is dus iets leuks dat je laat zien hoe de politie te werk gaat om de puntjes op de i te zetten in dit soort onderzoeken.

En ook hoe samenwerking tussen politie en financiële instellingen daadwerkelijk kan helpen om dit uit te roeien.

Zoals je zegt: "Grijp het vast en beweeg het."

Gebruik de geldautomaat niet als het er niet goed uitziet.

En het feit dat het zich in een bankfiliaal bevindt, of in een geldautomaatlobby, helpt niet.

In het artikel vertel ik een verhaal waarin de boeven besloten dat ze pincodes van geldautomaten in de bank wilden filmen.

Ze wisten dat ze de camera niet op de geldautomaat konden plakken, omdat ze wisten dat die elke ochtend streng werd geïnspecteerd door het personeel.

Dus stopten ze de camera, Doug, in een brochurehouder naast de geldautomaat… en daar had de bank niet aan gedacht!

Elke ochtend ging het personeel erop uit om ervoor te zorgen dat het goed gevuld was met brochures, voor extra vermomming.

Houd dus rekening met uw omgeving wanneer u een geldautomaat gebruikt.

Het feit dat je er een gebruikt in een goed verlichte, ogenschijnlijk veilige banklobby... je mag dat doen voor je persoonlijke veiligheid, maar je moet je pincode nog steeds heel goed afschermen terwijl je je pincode typt, gewoon in geval.

Het is niet op de kaart opgeslagen, dus een camera is een van de weinige manieren waarop de boeven erbij kunnen.

DOUG.  Oké, goed advies.

Laten we het hier bij het misdaadmotief houden.

Een kogelvrije host, die werd gebruikt voor ransomware-aanvallen (ook slechte - de NetWalker-ransomware, die tijdens COVID-19 achter ziekenhuizen aanging) is stilgelegd.

Die bleek toch niet zo kogelvrij.

Crimeware-server gebruikt door NetWalker-ransomware in beslag genomen en afgesloten

EEND.  Inderdaad: lolekhosted.net.

U kunt de site nog steeds bezoeken, dus de site is nog steeds online, maar u krijgt een melding "Dit domein is in beslag genomen", met dank aan het Amerikaanse Federal Bureau of Investigation.

De gezochte partij heeft de Poolse nationaliteit, maar zoals de FBI wrang zei in haar eigen rapport: "Grabowski blijft voortvluchtig."

Dus ze hebben hem nog niet.

En hij was blijkbaar in staat om deze site vele jaren te runnen voordat ze het recht kregen om het te verwijderen.

Dus hoezeer dit ook lijkt op een geval van "too little too late"...

(A) Ik denk dat we moeten prijzen wat de FBI en anderen hebben kunnen doen, ook al lijkt het misschien niet veel.

(B) Ik durf te wedden dat er massa's mensen zijn die die dienst hebben gebruikt, misschien voor wat kleine cybercriminaliteit, die nu bibberend in hun schoenen staan ​​en zich afvragen of hun informatie een van de dingen was die in beslag werden genomen als onderdeel van het hele onderzoek.

En (C), het is een kans voor de FBI om een ​​grote herinnering te plaatsen over hoe zelfs ogenschijnlijk kleine dingen, zoals de hostingdiensten die helpen bij cybercriminaliteit, veel geld kunnen verdienen en veel schade kunnen aanrichten.

Ze wilden deze met name koppelen aan de NetWalker-ransomwarebende.

DOUG.  Dus hoe maak je een gastheer kogelvrij?

EEND.  Welnu, de FBI heeft eigenlijk een mooie samenvatting van wat "bulletproof hosts" hun klanten beloven, door op te schrijven wat deze specifieke verdachte zou hebben gedaan.

Ik zal dit even voorlezen, want het is erg handig:

Grabowski zou de criminele activiteiten van zijn klanten hebben gefaciliteerd door hen toe te staan ​​accounts te registreren met behulp van valse informatie, geen IP-adreslogboeken van clientservers bij te houden, regelmatig het IP-adres van clientservers te wijzigen (waardoor u van blokkeerlijsten wordt gehouden) en misbruikklachten van derden.

Oh, en hij bracht ook mensen op de hoogte als hij dacht dat de politie achter hen aan zat.

Dus zorgde hij voor een soort "kletspraatje", wat wettelijk gezien niet de bedoeling is.

Het is duidelijk dat, zoals u meteen aan het begin zei, deze dienst niet zo kogelvrij was als de dader misschien had gedacht, en zoals zijn klanten misschien dachten.

Dus het blijft echt aan jou om te zeggen, Doug….

DOUG.  We houden dit in de gaten!

EEND.  Het is misschien niet duidelijk wat er daarna komt, omdat de FBI niet precies hoeft te zeggen welke stukjes informatie ze heeft gekregen van welke arrestaties, maar dat doet ze heel vaak.

Het zal dus inderdaad interessant zijn om te zien wat er daarna gebeurt.

DOUG.  Oké, we hebben een opmerking van iemand langs H, die zegt:

Ik denk dat als het 10 jaar duurt en wie weet hoeveel manuren het kost om slechts één van deze jongens te pakken te krijgen, de boeven een beter bedrijfsmodel hebben dan welk hightechbedrijf dan ook.

Wat volgens mij waarschijnlijk een gevoel is dat door veel mensen wordt gedeeld.

Er zit veel werk in deze arrestaties en de man is nog steeds op de vlucht.

Maar het feit is dat dit het hoofd van een Hydra afhakt, en dat deze jongens illegaal handelen.

Daarom is het zo'n goed 'business model'.

Ze spelen volgens geen enkele regel!

EEND.  Ja.

Het is niet dat ze een *beter* bedrijfsmodel hebben, het is dat ze een *illegaal* model hebben, en hun hele doel is om illegaal geld te verdienen.

Ik neem aan dat dat bedoeld is als een kleine opgraving bij de politie, nietwaar?

"Oh, het duurde zo lang."

Maar zoals we al zeiden in dat verhaal van de politie van Queensland over de skimming-arrestatie, die ik je dringend verzoek om te gaan lezen, omdat het kort is, het wordt gemakkelijk opgenomen, maar het laat je zien hoeveel wielen binnen wielen er zijn...

... zelfs in een ogenschijnlijk eenvoudig onderzoek is het niet alleen een kwestie van: "Oh, we hebben de skimmer gevonden, laten we hem eraf halen en de klus is geklaard."

DOUG.  Elk kleine beetje helpt!

Oké, bedankt, H.

Als je een interessant verhaal, opmerking of vraag hebt die je wilt indienen, lezen we die graag in de podcast.

Je kunt een e-mail sturen naar tips@sophos.com, reageren op een van onze artikelen of je kunt ons bereiken op social: @nakedsecurity.

Dat is onze show voor vandaag; heel erg bedankt voor het luisteren.

Voor Paul Ducklin, ik ben Doug Aamoth, ik herinner je eraan tot de volgende keer om...

BEIDE.  Blijf veilig.

[MUZIEK MODEM]