Aşağıda müzik çalar yok mu? Dinlemek direkt olarak Soundcloud'da.

DOUG.  ATM tarayıcıları, fidye yazılımı sunucuları ve FBI'dan bir uyarı.

Hepsi ve daha fazlası Naked Security podcast'inde.

[MÜZİKAL MODEM]

Podcast'e hoş geldiniz millet.

Ben Doug Aamoth'um; o Paul Ducklin'dir.

Paul, bugün nasılsınız efendim?

ÖRDEK.  Pekala, Douglas!

DOUG.  Mükemmel.

Bu hafta: 14 Ağustos 1982 resmi olarak Ulusal Navajo Kodu Konuşanlar Günü.

O zamanki Başkan Ronald Reagan tarafından yapılan bir bildiri kısmen şöyledir:

Dünya Savaşı sırasında Pasifik'teki çatışmanın ortasında, Navajo Nation'dan bir grup cesur adam, Müttefiklerin zaferini hızlandırmak için dillerini kodlanmış biçimde kullandı.

Code Talkers, kod uzmanları tarafından daha önce hiç duyulmamış kulak dolusu sesle düşmanı şaşırttı.

Paul, şimdi bunun teknolojiyle ne ilgisi olduğunu tartışalım.

ÖRDEK.  Düzenli podcast dinleyicilerinin bileceği gibi, çünkü Avrupa savaş tiyatrosunda kullanılan Enigma makinesi ve Hitler'in genel kurmaylarıyla kendi iletişiminde kullandığı Lorenz şifre makinesi gibi şeylerden bahsetmiştik... şu otomatik şifre makinelerini kırmaktan bahsetti.

Amerikalılar, döner telefon anahtarlarına dayanan elektromekanik bir şifre olan PURPLE gibi bazı Japon şifre makinelerine karşı benzer başarılar elde ettiler.

Ancak Pasifik'teki savaşın büyük ölçüde küçük, ormanlık adalarda göğüs göğüse olduğu göz önüne alındığında, korkunç bir savaş türü...

…taşınabilirlik açısından Enigma makinesinin eşdeğerine sahip olsalar bile, onu kullanmak için zaman ve alan yoktu.

Ve böylece, belki de bir Kızılderili dilinin esasen açık metin kodu olarak kullanılabileceğine karar verildi, çünkü bu diller Avrupa'da veya Japonya'da hiç kimse tarafından geniş çapta incelenmemişti.

Ve bu nedenle, hızlı ama net konuşarak ve Navajo dilinde henüz var olmayan şeyler için önceden belirlenmiş kod sözcükleri kullanarak (çünkü tüm kapsamlı dilsel tarihleri ​​boyunca, modern savaş terimlerine hiçbir zaman ihtiyaç duymamışlardı), belki de konuşmacılara açık metin olarak iletişim kurabilirdi, ancak yine de yayınları yakalayanlar için anlaşılmaz olurdu.

Ve öyleydi!

Tüm bunların gerçekten ama çok cesurca yanı, bu adamların sadece şifre makinesi operatörleri olmaması, Doug.

Onlar ABD Deniz Piyadeleriydi; elit savaş birliklerinin bir parçasıydılar.

Bu yüzden, ABD Deniz Piyadeleri eğitimini [GÜLMEMELİYİM] yapmak zorundaydılar ve tam orada, savaşın sıcağında, korkunç koşullarda olmalılar ve yine de, bir an fark edilirse, başlarını aşağıya indirebilmelidirler. basın ve açık ve anlaşılır bir şekilde (ve yine de düşmana anlaşılmaz bir şekilde) konuşun.

Görünüşe göre, savaştan sonra üst düzey bir Japon subayı, ABD Hava Kuvvetleri şifrelerinin bazılarını kırma konusunda önemli ilerleme kaydetmiş olmalarına rağmen, bu Navajo kod konuşmacılarının ne dediğini anlamaya çalışmak konusunda kelimenin tam anlamıyla hiçbir ilerleme kaydetmediklerini itiraf etti.

DOUG.  Çok güzel bir hikaye.

Pekala, Federal Soruşturma Bürosu'ndan da açık ve dolambaçsız bir dil aldık.

Bu, mobil beta testi uygulamaları hakkında bir uyarıdır.

Bunlardan daha önce uzun uzadıya bahsetmiştik, bunlar sözde TestFlight tarzı dolandırıcılıklardır.

Gitmiyorlar, Paul.

FBI, sizi bir mobil beta testçisi olarak cezbeden dolandırıcılıklara karşı uyardı

ÖRDEK.  Hayır.

Şimdi, FBI görev bilinciyle belirli platformlardan ve teknolojilerden bahsetmedi.

Sanırım sözlerine dikkat etmesi gerekiyor çünkü belirli bir satıcının diğerlerinden daha fazla suçlu olduğunu öne sürmek istemiyor ve "Oh, pekala, eğer bir Google kullanıyorsanız bir Apple aygıtı değil, bu tür şeyler için endişelenmenize gerek yok.”

Ve gerçekten de, başlıklı kamu spotunun sonuna koydukları tavsiye Mobil beta testi uygulamaları aracılığıyla kurbanları hedefleyen siber suçlular, nereden geldikleri önemli değil, tehlikeli uygulamaları çalıştırmaya kapılmamak için kullanmanız gereken genel bir tavsiye setidir.

Ancak haklısınız, özellikle iPhone kullanıcıları için, bazı kişilerin güvenlik görünümlerinde neredeyse kendini beğenmişlik hissi olabilir, çünkü onlar yalnızca App Store'dan uygulama alabileceklerini biliyorlar.

Ve bazen piyasadan çıkıp istediklerini indirebilen Android kullanan arkadaşlarını kıskansalar da, en azından "Eh, yanlışlıkla tamamen hileli bir uygulama indirmeyeceğim" diye düşünürler.

Yine de, nakedsecurity.sophos.com'da ve news.sophos.com'da birçok kez tartıştığımız gibi, bir iPhone'unuz varsa dolandırıcıların kullanabileceği gerçekten kötü iki numara var.

Birincisi, yeni başlayan bir şirketin ilk günlerinde işe giriyormuşsunuz gibi davranabilmeleridir.

Dolandırıcılar, telefonunuzu kurumsal Mobil Cihaz Yönetimi [MDM] programına kaydetmenizi teşvik ediyor.

Diğer yol ise kişiye “Biliyor musun, bu yepyeni bir uygulama. Pek çok insan buna sahip değil. Bu yüzden bu özel beta programına kaydolmanız gerekiyor.”

Apple bunu TestFlight adlı özel bir uygulamayı indirmenizi sağlayarak yapar; ardından, App Store'da bulunan uygulamalarla tam olarak aynı kontrolden geçmeyen uygulamaları indirebilirsiniz.

Ve tabii ki, bu bir beta programı olduğu için uygulama henüz yayınlanmadı.

Bu nedenle, arayabileceğiniz tüm kanıtlar, bunun iyi mi kötü mü olduğunu söyleyebilecek tüm ek bilgiler eksik ve tamamen size "Evet, güvenebilirsiniz" diyen kişiye güveniyorsunuz. biz. Telefonunuzu 'özel şirketimize' (dev hava alıntıları kullanıyorum) kaydettirelim veya 'özel beta programımıza' yalnızca davetle katılalım.”

DOUG.  Evet, TestFlight'ın test kullanıcılarının sayısını 10,000 ile sınırlandırdığına inanıyorum, bu nedenle dolandırıcıların çok daha fazla hedeflenmesi gerekiyor.

Geçmişte bunlardan bahsettiğimizde, romantizm dolandırıcılığı kisvesi altındaydılar, belki bir flört sitesinde başlayacaksın ve eğer birini hedefliyorsam, aslında onlarla romantik bir ilişki kurmaya çalışmayabilirim, ama söyle , "Arkadaş olalım? Ne yapıyorsun? Gerçekten bir hit olacak bu yeni kripto şeyini başlatan bir şirketim var ve bu küçük özel kulübe girmenize izin vereceğim.

Yani bu tür şeyler, arkadaşlık kisvesi altında “yavaş yavaş yanma” ve “bana güvenebilirsin” olarak başlar… ve sonra sana tüm bunları telefonuna yapmanı söyleyeceğim.

ÖRDEK.  Bu durumda, sizin de dediğiniz gibi, bir tür aşk gibi ama farklı bir tür: “Bir sürü para kazanmak ister miydiniz?”

Yani dediğin gibi daha uzun süre yanıyor.

Ve meslektaşlarımız Jagadish Chandraiah ve Sean Gallagher'ın news.sophos.com'da yazdığı bu dolandırıcılıklardan bazılarında (adlarını aldılar) doğrama bloğu dolandırıcılığı or Domuz eti dolandırıcılığı, çünkü Çince'de oldukça çirkin bir adla biliniyorlar, çünkü görünüşe göre Güneydoğu Asya'da çok yaygınlar)… bu şekilde ortaya çıkıyorlar.

Birisi arkadaş olacak; bir sürü çağrı alacaklar; bir sürü mesaj alacaklar; görünüşe göre kişiselleştirilmiş iletişim kuracaklar.

Gerçekten onları bu garip yollardan biriyle bir uygulama yüklemeye teşvik edecek bir arkadaşları ve sırdaşları olacak.

Başka kimse indiremez... Uygulamayı alan tek kişiler, kalplerinde en kötü çıkarları olan dolandırıcılar tarafından bu kulübe katılmaları için önceden seçilen kişilerdir.

DOUG.  Pekala, araştırmamıza göre, bunlardan bazıları, özellikle finansal dolandırıcılıklar: Bu, biraz para yatırdığınız ve paranızın yükseldiği ve sonra birazını çektiğiniz görünen güzel, kaygan görünen bir uygulama… para çekmenize izin veriyorlar. bazı; temelde kendi paranızın bir kısmını geri veriyorlar mı?

ÖRDEK.  Evet, çünkü belli ki, gerçek dolandırıcı olsalardı, tek kuruş para çekmenize izin vermezlerdi, değil mi?

DOUG.  Kesinlikle.

ÖRDEK.  Ama dediğin gibi, tek yaptıkları sana kendi paranın birazını geri vermek.

DOUG.  Ve şimdi, “Bak, bu parayı çıkardın, ama bak ne kadar hızlı yükseliyor! Daha fazlasını koymalıydın! Onu içinde tutmalıydın!”

Sonra bir vergi beyannamesi ile peşinize düşüyorlar, “Aa bunun vergisini ödemeniz gerekiyor”.

ÖRDEK.  Kesinlikle.

Ve sondaki o “stopaj vergisi” dolandırıcılığı… İnsanların “Buna kim kanar?”

Ama asıl mesele şu ki, buraya gözlerin açık olduğunu düşündüğün şeyle girdin, çünkü bu kişiyle "tanıştın"; görünüşe göre onlarla arkadaş olmuştun; bir kripto para birimi yatırımı aramaya gitmiş gibi değildiniz.

Bir tanışma sitesinde bir kişi buldunuz, "Ah, biz sadece arkadaş olacağız. Herhangi bir romantik ilişkiyle ilgilenmiyoruz.”

Sonunda, hikaye şu: “Tamam, para çekmek için iyi bir zaman. Parayı istiyorsan alabilirsin ama ne yazık ki hükümet hesabı dondurdu ve onlara vergiyi peşin ödemek zorundasın ve ancak o zaman tüm tutarı çekebilirsin.”

"Hesap donmuş olduğu için parayı serbest bırakamayız ve stopaj vergisi denen şeyi (ki bu zaten sahip olduğunuz paradan borçlu olduğunuz vergiyi alacağınız yer) uygulayamayız."

"Seni uyarmalıyım, bu kötüye işaret - senin peşinden geliyor olabilirler, bu yüzden hemen dışarı çıkmalısın. Bize ekstra parayı gönderin; git ve arkadaşlarından ödünç al; annene sor; teyzene sor; kardeşine sor, sadece parayı topla!”

Ve elbette, iyiden sonra kötü parayı saçıyorsunuz, o yüzden bunu yapmayın!

DOUG.  Pekala, gönderide başka ipuçlarımız da var, bu yüzden buna nakedsecurity.sophos.com adresinden göz atın.

Gelelim ATM kartı sorgulamaya.

Bu hala bir şey ve o kadar uzun süredir öyle ki, Paul, yıllardır ziyaret ettiğim her benzin istasyonunda ve ATM'de kredi kartı yuvalarını çekiştiriyorum!

"Tutun ve oynatın" - ATM kartını gözden geçirmek hala bir şey

ÖRDEK.  Evet, Naked Security'de uzun zamandır bu konuda yazmıyorduk çünkü sözde ATM skimming ile ilgili haberler azaldı.

Açıkçası, en azından Amerika Birleşik Devletleri dışında, dokun ve öde ve çip ve PIN dünyasında yaşıyoruz.

Bu nedenle, nadiren veya Avrupa'da veya Birleşik Krallık'taysanız asla kartınızı kaydırmanız fikrine alışkınız.

Ama ATM'ler kartınızı her zaman doğruca içeri alır, değil mi?

Bir yuvaya koyuyorsunuz ve kartınızı hemen içine çekiyor.

Dolandırıcılar için bu, ekstra ek donanımla magstripe'ı okuma şansı elde ettikleri anlamına gelir.

Ve bir ATM ile ilgili diğer sorun, bir bankanın içinde veya bir bankanın veya banka mahkemesinin girişindeki küçük ATM lobisinde olsa bile… ATM'de bir sürü yer, yüzeyler ve tuhaf açılar ve yapışkanlar var. bir dolandırıcının kamera gibi bir tür izleme cihazını gerçekten açık olmadan ekleyebileceği bitler.

DOUG.  Evet, makaledeki bu fotoğraf vahşi.

Görünüşe göre tuş takımına doğru ateş eden kart mekanizmasında küçük bir iğne deliği var.

Sadece gerçekten küçük.

Gerçekten onu arıyor olmalısın.

ÖRDEK.  Bu hafta yazdığımız hikaye Avustralya'daki Queensland Polisinden geldi.

Bu resim, on yıldan biraz daha uzun bir süre öncesine ait bir Queensland Polisi kaymakamlık önleme tavsiyesinden.

O zamandan beri teknolojinin nasıl geliştiğini hayal edebilirsiniz: kameralar daha küçük; PIN gözden geçirme için ihtiyaç duyduğunuzdan daha fazlasını yapan, kullanıma hazır, çip üzerinde sistem gömülü bilgisayar anakartlarını satın almak kolaydır.

Dolayısıyla, bu ATM dolandırıcılarının fikri, bir web kimlik avcısı gibi sadece kart ayrıntılarınızla ilgilenmemeleridir.

Kartınızın kilidini açan PIN'i almakla ilgileniyorlar.

Ve unutmayın: ister uzun şeritli eski tarz bir kartınız, ister güvenli çipli bir kartınız olsun, bu PIN'i asla kartta saklamaz.

Bütün fikir bu.

Arkasındaki güvenlik kodu gibi kartın üzerinde yazılı bile değil.

Ve tabiri caizse, dolandırıcılara ATM'lerin avantajı da bu.

Çoğu zaman PIN'inizi yazmadığınız (sadece kartınıza dokunduğunuz) kafelerdeki cihazların aksine, ATM'ler her zaman PIN'inizi girmenizi ister.

Menülerin kilidini açmak için yaptığınız ilk şey bu ve ardından ne yapmak istediğinize siz karar veriyorsunuz.

Ve dediğin gibi, kameraların saklanabileceği bir sürü yer var.

Queensland polisinin bu baskınla ilgili hazırladığı videoya bakarsanız, dolandırıcıların umutsuzca kaçmaya çalıştıkları büyük bir kovalamaca var.

Ama şunu söylemeliyim ki [GÜLÜYOR] Queensland bakırı çok daha zindeydi!

DOUG.  [GÜLÜŞLER] Evet, polis hakkında iyi bir ipucu yakaladı ve ben de "Oh, kaçacak!"

Sonra, "Oh, hayır, kaçmayacak!" [GÜLER]

ÖRDEK.   Bu harika bir hikaye çünkü aynı zamanda tüm soruşturma sürecinin nasıl çalıştığını da gösteriyor.

Gözden geçirmenin devam ettiğini biliyorlardı, bu yüzden nelere dikkat etmeleri gerektiğini bir şekilde biliyorlardı.

Cihazlara göz kulak olan finansal kurumlarla alarm verebildiler; biri buldu.

Herhalde bankanın “Aa makinede bir arıza var” diyerek onu hizmetten çıkaracağını tahmin ediyorum.

Dolandırıcılar, “Uh oh! Birisi ATM'ye hizmet vermeye gelirse, hava temizleyiciyi fark edecekler, bu yüzden polislerin izlediğini bilmeden gidip onu bulsak iyi olur.

Bu, daha sonra bir adresi ziyaret etme ve üçüncü bir kişiyi tutuklama emrine yol açtı.

Ve güzel bir kapanışta, öyle görünüyor ki, arama emri ellerinde olduğu ve mülkü aradıkları için, polisler aynı zamanda, orijinal gözden geçirmenin yapıldığı var olmayan kişinin adına olan sahte bir kimlik kartı da bulduklarını iddia ediyorlar. soruşturmayı tetikleyen cihazlar ele alındı.

Polislerin bu tür soruşturmalarda nasıl I'lerini noktaladığını ve T'lerini nasıl çizdiğini gösteren güzel bir şey var.

Ve ayrıca polis ve finans kurumları arasındaki işbirliğinin aslında bu şeyin kökünü kazımaya nasıl yardımcı olabileceği.

Dediğin gibi, "Tutun ve oynatın."

Doğru görünmüyorsa, ATM'yi kullanmayın.

Ve bir banka şubesinde veya bir ATM lobisinde olması da yardımcı olmuyor.

Makalede, dolandırıcıların bankadaki ATM'lerin şifrelerini çekmeye karar verdikleri bir hikayeyi anlatıyorum.

Kamerayı ATM'ye yapıştıramayacaklarını biliyorlardı çünkü kameranın her sabah personel tarafından titizlikle incelendiğini biliyorlardı.

Böylece kamerayı, Doug'ı ATM'nin yanındaki bir broşür kutusuna koydular... ve banka bunu düşünmemişti!

Her sabah, personel dışarı çıkıp fazladan gizleme için broşürlerle düzgün bir şekilde dolu olduğundan emin oluyordu.

Bu nedenle, bir ATM kullandığınızda çevrenize dikkat edin.

İyi aydınlatılmış, görünüşte güvenli bir bankacılık lobisinde bir tane kullanıyor olmanız… bunu kişisel güvenliğiniz için yapabilirsiniz, ancak yine de PIN'inizi yazarken PIN kodunuzu gerçekten iyi bir şekilde korumanız gerekir. dava.

Kartta saklanmaz, bu nedenle kamera, dolandırıcıların ona ulaşmasının birkaç yolundan biridir.

DOUG.  Pekala, harika bir tavsiye.

Burada suç motifine bağlı kalalım.

Fidye yazılımı saldırıları için kullanılan kurşun geçirmez bir ana bilgisayar (kötü olanlar da - COVID-19 sırasında hastanelerin peşine düşen NetWalker fidye yazılımı) kapatıldı.

Sonuçta o kadar da kurşun geçirmez olmadığı ortaya çıktı.

NetWalker fidye yazılımı tarafından kullanılan suç yazılımı sunucusu ele geçirildi ve kapatıldı

ÖRDEK.  Nitekim: lolekhosted.net.

Siteyi hala ziyaret edebilirsiniz, yani site hala çevrimiçi, ancak Amerika Birleşik Devletleri Federal Soruşturma Bürosu'nun izniyle "Bu alan adı ele geçirildi" bildirimi alacaksınız.

Aranan taraf bir Polonya uyruklu, ancak FBI'ın kendi raporunda alaycı bir şekilde söylemek zorunda kaldığı gibi, "Grabowski hala bir kaçak."

Yani onu henüz alamadılar.

Ve görünüşe göre bu siteyi kaldırma hakkını elde etmeden önce yıllarca yönetebildi.

Her ne kadar bu bir “çok az çok geç” vakası gibi görünse de…

(A) Bence çok fazla görünmese de FBI ve diğerlerinin yapabildiklerini övmeliyiz.

(B) Bahse girerim, bu hizmeti belki bazı küçük siber suçlar için kullanmış olan ve bilgilerinin tüm soruşturmanın bir parçası olarak ele geçirilenler arasında olup olmadığını merak eden bir sürü insan vardır.

Ve (C), FBI'ın siber suçlara yardımcı olan barındırma hizmetleri gibi görünüşte küçük olan şeylerin bile nasıl çok para kazanabileceği ve çok fazla zarar verebileceği konusunda büyük bir hatırlatma koyması için bir şans.

Bunu özellikle NetWalker fidye yazılımı çetesine bağlamak istediler.

DOUG.  Peki bir sunucuyu nasıl kurşun geçirmez hale getirirsiniz?

ÖRDEK.  Aslında FBI, "kurşun geçirmez ana bilgisayarların" müşterilerine söz verdiği şeyin güzel bir özetini, bu özel şüphelinin yaptığı iddia edilen şeyi yazarak elde etti.

Bunu okuyacağım, çünkü çok faydalı:

Grabowski'nin, müşterilerinin yanlış bilgiler kullanarak hesap kaydetmelerine izin vererek, müşteri sunucularının IP adresi günlüklerini tutmayarak, müşteri sunucularının IP adresini sık sık değiştirerek (bu sizi engelleme listelerinden uzak tutar) ve kötüye kullanım şikayetlerini göz ardı ederek müvekkillerinin suç faaliyetlerini kolaylaştırdığı iddia ediliyor. üçüncü kişiler.

Oh, ayrıca polislerin peşlerinde olduğunu düşündüğünde insanlara haber verdi.

Bu nedenle, yasal olarak yapmaması gereken bir tür "gevezelik hizmeti" sağladı.

Açıkçası, en başta söylediğiniz gibi, bu hizmet, failinin ve müşterilerinin de sandığı kadar kurşun geçirmez değildi.

Bu yüzden gerçekten söylemek sana kalıyor, Doug….

DOUG.  Buna göz kulak olacağız!

ÖRDEK.  Bundan sonra ne geleceği açık olmayabilir, çünkü FBI hangi baskınlardan tam olarak hangi istihbarat parçalarını aldığını söylemek zorunda değildir, ancak çok sık olarak söyler.

Bundan sonra ne olacağını izlemek gerçekten ilginç olacak.

DOUG.  Pekala, H tarafından geçen birinden bir yorum aldık ve şöyle diyor:

Bence bu adamlardan birini yakalamak 10 yıl alırsa ve kim bilir kaç adam-saat sürerse, o zaman dolandırıcıların herhangi bir yüksek teknoloji şirketinden daha iyi bir iş modeli olur.

Bence bu muhtemelen birçok insan tarafından paylaşılan bir duygu.

Bu baskınlar için yapılacak çok iş var ve adam hâlâ firarda.

Ama işin aslı şu ki, bu bir Hydra'nın kafasını kesmek ve bu adamlar yasa dışı hareket ediyorlar.

Bu yüzden çok iyi bir “iş modeli”.

Herhangi bir kurala göre oynamıyorlar!

ÖRDEK.  Evet.

*Daha iyi* bir iş modellerine sahip olduklarından değil, *yasadışı* bir iş modellerine sahip olduklarından ve tüm amaçlarının yasa dışı yollardan para kazanmak olduğundan.

Sanırım bu polislere biraz kazık atmak içindi, değil mi?

Ah, çok uzun sürdü.

Ama Queensland Polisi'nin sıyırma baskınıyla ilgili o hikayesinde bahsettiğimiz gibi, gidip okumanızı tavsiye ediyorum, çünkü kısa, kolayca özümsüyor, ama size çark içinde kaç tane çark olduğunu gösteriyor...

...görünüşe göre basit bir soruşturmada bile, mesele sadece "Ah, deniz süpürücüyü bulduk, hadi söküp çıkaralım ve iş bitti" meselesi değildir.

DOUG.  Her zerre yardımcı olur!

Tamam, teşekkürler, H.

İletmek istediğiniz ilginç bir hikayeniz, yorumunuz veya sorunuz varsa, podcast'te okumayı çok isteriz.

Tips@sophos.com adresine e-posta gönderebilir, makalelerimizden herhangi biri hakkında yorum yapabilir veya sosyal medyadan bize ulaşabilirsiniz: @nakedsecurity.

Bugünkü programımız bu; dinlediğiniz için çok teşekkürler.

Paul Ducklin için, ben Doug Aamoth, bir dahaki sefere kadar size hatırlatıyorum…

HER İKİSİ DE.  Güvende kalın.

[MÜZİKAL MODEM]