Nhấp và kéo vào các sóng âm thanh bên dưới để chuyển đến bất kỳ điểm nào. Bạn cũng có thể nghe trực tiếp trên Soundcloud.

CHÓ. Lỗ hổng phần mềm ảo, lỗ hổng PHP, lỗi WordPress và phần mềm phân chia.

Tất cả những điều đó và hơn thế nữa, trên podcast Naked Security.

[CHẾ ĐỘ ÂM NHẠC]

Chào mừng mọi người đến với podcast.

Tôi là Doug Aamoth; anh ấy là Paul Ducklin…

---

VỊT. Đó là tôi!

---

CHÓ. Chúng tôi có rất nhiều thứ để trang trải ngày hôm nay.

Paul, chúng tôi muốn bắt đầu chương trình với một Sự thật thú vị… Và tôi không biết bạn đã từng là người của Nokia chưa?

---

VỊT. [SINGS THE NOKIA TUNE] Didda-loo-doo / Didda-loo-doo / Didda-loo-doo / DOOO.

---

CHÓ. Tốt quá!

---

VỊT. Bạn biết rằng “dah-dah-dah dit-dit dah-dah-dah”. âm báo cho Nokia SMS, chỉ là mã Morse cho “SMS”?

---

CHÓ. Có, mã Morse cho SMS - Tôi đã biết điều đó!

Khi tôi đang nghiên cứu những Những điều lý thú, bởi vì thực tế này sẽ gắn liền với Tuần này trong Lịch sử Công nghệ bộ phận…

… Đây là một sự thật thú vị về những chiếc điện thoại Nokia đời cũ, vốn nổi tiếng về độ bền tuyệt vời.

Và, trong số đó, chiếc điện thoại Nokia 3310, vào khoảng tháng 2000 năm XNUMX, được cho là bền nhất trong số đó.

Vì vậy, nếu bạn có một chiếc điện thoại Nokia vào khoảng thời gian đó, rất có thể đó là chiếc 3310 và nó không thể phá hủy.

Bản thân tôi là một người đàn ông của Nokia 6110 - ra mắt năm 1998.

Tôi nhớ đã mua nó - tôi đang làm việc tại một siêu thị máy tính có tên là Circuit City; Tôi đang bán máy tính và tôi đã mua nó với giá giảm cho nhân viên.

Có một gói điện thoại di động với giá 50 đô la cho bạn 70 phút vào ban ngày và 200 phút vào ban đêm và cuối tuần.

Với giá 50 đô la - và tôi nghĩ đó là một hợp đồng tuyệt vời.

---

VỊT. Tôi đã có ... nó là một trong những sau đó? 6210?

---

CHÓ. Đó là một trong những tốt.

---

VỊT. Và điều đó đã bị mất tích.

Vì vậy, tôi đã nghĩ, "Tôi sẽ chỉ có được một chiếc điện thoại giá rẻ."

Và tôi đã nhận được… Tôi nghĩ đó là chiếc 8210, một chiếc nhỏ xíu.

---

CHÓ. Vâng.

---

VỊT. Giống như 3310, nhưng thậm chí còn nhỏ hơn.

Và tôi phải nói, Doug, chiếc điện thoại đó có chất lượng thoại tốt nhất trong số những chiếc điện thoại tôi từng có trước đây hay kể từ đó.

---

CHÓ. Vâng - điều đó không lạ phải không?

Bằng cách nào đó, nó đã trở nên tồi tệ hơn.

---

VỊT. Và nó có chiếc máy ảnh kỳ lạ nhất thế giới.

Tôi nghĩ đó là 200 kilopixel, máy ảnh đó.

---

CHÓ. [LỪA DỐI]

---

VỊT. Tôi đã chụp ảnh những bãi biển mà tôi sẽ đến thăm, và sau đó tôi không thể nhận ra bức ảnh đó là gì.

Tôi suy luận rằng chúng là những bãi biển vì chúng sẽ có màu hơi nâu ở phía dưới và chủ yếu là màu xanh ở phía trên.

Thật là một chiếc máy ảnh vô vọng!

Nhưng sau đó mọi người không mua điện thoại làm máy ảnh, phải không ?.

---

CHÓ. Không.

---

VỊT. Họ mua chúng để gọi điện thoại!

Và tại, tôi phải nói rằng, đó là một siêu sao.

Và bạn phải sạc điện thoại bao lâu một lần, Doug?

---

CHÓ. Có thể mỗi tháng một lần?

Hãy nói về câu chuyện VMware này.

Điều này thật thú vị bởi vì khi tôi đang đọc nó, tôi đã nghĩ, "Chuyện lớn là gì?"

Và sau đó bạn giải thích vấn đề lớn là gì - tôi đã hoàn toàn bị dụ vào cái bẫy vì nó không phải là vấn đề lớn.

---

VỊT. Chà, vấn đề với lỗi chính mà chúng ta đang nói ở đây - hoặc các lỗi chính: CVE 2021-22040 và -22041 - là mặc dù bạn cần phải là quản trị viên cục bộ (về cơ bản, đã có quyền truy cập root) để khai thác lỗi này…

… Quyền truy cập root đó có thể nằm trong máy ảo khách trên máy tính dùng chung, không phải máy chủ.

Và tất nhiên, nếu bạn có một máy ảo trên đám mây, bạn có thể không biết ai đang chạy các máy ảo khác trên máy chủ vật lý đó.

Ngay cả khi đó là một máy chủ máy ảo không phải đám mây và nó nằm trong công ty của bạn, bạn có thể có một số bộ phận khác nhau, mỗi bộ phận được mong đợi giữ dữ liệu của họ riêng tư với nhau - vì lý do GDPR hoặc chỉ vì lý do thông thường.

Bạn cần giả sử rằng trên bất kỳ máy chủ máy ảo nào, chẳng hạn một máy chủ có 10 máy ảo đang chạy trên đó, sẽ có 11 tài khoản và mật khẩu quản trị viên khác nhau: một cho máy chủ lưu trữ và một cho mỗi khách.

Và toàn bộ ý tưởng là, với tư cách là quản trị viên chủ nhà, bạn không cần phải lo lắng về khách.

Nếu chúng không đáng tin cậy, chúng không đáng tin cậy * chỉ bên trong máy ảo riêng của chúng *.

Vì vậy, vấn đề với những lỗi này là chúng có thể dẫn đến cái được gọi là “máy ảo khách thoát ra”.

Nói cách khác, ai đó có quyền truy cập root bên trong một trong các máy chủ giả bằng cách nào đó có thể thoát khỏi nó và thao túng: các máy tính khách khác có thể không thuộc về họ hoặc tệ hơn là máy chủ lưu trữ, điều này gần như chắc chắn có nghĩa là họ có thể sau đó tiếp cận và chơi với tất cả các khách khác.

---

CHÓ. Vì vậy, chúng tôi đã có một bản vá và nếu bạn không thể vá, chúng tôi có một giải pháp tạm thời.

Vì vậy, hai cách để tránh vấn đề này vào lúc này?

---

VỊT. Vâng.

Bản vá là cách đúng đắn để làm điều đó, vì không chỉ những lỗi thoát khách này mà bạn đang vá.

Có rất nhiều lỗi khác - chúng có vẻ không quá nghiêm trọng hay nghiêm trọng, nhưng tại sao phải vá một thứ trong khi bạn có thể vá bảy thứ cùng một lúc?

Tuy nhiên, như bạn đã nói, nếu bạn chưa thể làm được điều đó, thì có một cách giải quyết đối với các lỗi thoát khách.

Thật không may, theo tôi hiểu, về cơ bản điều đó có nghĩa là bạn không nhận được mô phỏng USB hoặc không có quyền truy cập USB trong máy ảo khách của bạn.

Vì vậy, nếu bạn có một máy ảo khách, nơi bạn mong đợi có thể mô phỏng các thiết bị USB, chẳng hạn như chúng sẽ không hoạt động.

---

CHÓ. OK, đó là: VMware sửa các lỗ hổng có thể cho phép máy ảo thoát ra ngoài trên nakedsecurity.sophos.com.

Và tiếp theo, chúng tôi có một lỗ hổng PHP.

---

VỊT. Vâng, đó là một trong những điều mà bạn tự nghĩ, “Được rồi, vì vậy ai đó thực sự nghịch ngợm và lấy khái niệm bằng chứng có thể làm hỏng quy trình PHP của tôi và điều đó có thể dừng máy chủ web của tôi phản hồi cho đến khi quá trình liên quan được khởi động lại . ”

Đấy có phải là vấn đề lớn?

Nhưng sự cố thực sự là do cố tình quản lý bộ nhớ kém.

Đặc biệt là ký ức “sử dụng sau khi miễn phí”, về cơ bản bạn sẽ đi và chọc kim đan vào trí nhớ của người khác và có khả năng sửa đổi nó theo cách hoàn toàn không đáng tin cậy.

---

CHÓ. Khi Mozilla phát hành các bản vá, họ nhanh chóng chỉ ra rằng, khi một lỗi cho thấy bằng chứng về sự hỏng bộ nhớ, họ nói rằng bạn nên “cho rằng với đủ nỗ lực, một số lỗi này có thể đã bị khai thác để chạy mã tùy ý”.

---

VỊT. Vâng, điều đó khá đúng!

Bởi vì mặc dù điều đó có thể khó đạt được, nhưng bạn có thể tưởng tượng rằng khoản hoàn vốn, đối với một kẻ gian mạng tìm ra nó, có thể rất lớn.

Một khi họ biết bắt đầu tìm kiếm ở đâu, Bad Guys có thể thiết kế ngược lại cách khai thác từ bản vá sẽ dễ dàng hơn rất nhiều so với việc họ tìm ra nó như một cuộc tấn công zero-day ngay từ đầu.

Vì vậy, tôi luôn hài lòng với Mozilla khi họ đưa điều đó vào cơ bản mọi bản cập nhật bảo mật mà họ thực hiện.

Họ có thể dành nhiều ngày hoặc vài tuần cho từng thứ, để chứng minh rằng nó thực sự có thể khai thác được hay không…

.. đầu tiên, họ chỉ đi, "Bạn biết đấy, chúng tôi đã vá những thứ này và chúng tôi giả định rằng, nếu ai đó muốn và bạn không vá, chúng có thể bị khai thác trong tương lai."

Vì vậy, hãy được cảnh báo.

Và điều trớ trêu, Doug, là về cơ bản, đầu vào được quản lý không chính xác trong một quy trình được cho là tất cả về xác thực đầu vào.

---

CẢ HAI. [CON GÁI]

---

VỊT. Chúng ta thực sự không nên cười!

---

CHÓ. Không…

May mắn thay, nếu bạn là người dùng PHP, cách khắc phục cũng đơn giản như cập nhật và vá lỗi.

Chúng tôi cũng có một số lời khuyên dành cho các lập trình viên.

Chúng tôi thực sự muốn nói, “Xác thực đầu vào của Thine”, chỉ trong trường hợp… nhưng cũng có những lời khuyên khác ở đây.

---

VỊT. Trong bài viết, tôi đã đặt hai điểm khác biệt (có nghĩa là "sự khác biệt về mã") so sánh giữa phiên bản trước và phiên bản cố định.

Trong trường hợp này, hàm xử lý việc kiểm tra tính hợp lệ của những gì được gọi là số "dấu phẩy động" hoặc "số thập phân", như 2.5 hoặc 3.14159 (đó là số pi), hoặc bất cứ điều gì.

Và một điều khác bạn có thể làm là bạn có thể nói, "Ồ, và tôi muốn đảm bảo liệu con số được cung cấp có nằm trong một phạm vi nhất định hay không."

Ví dụ: khi ai đó đưa ra hệ số tỷ lệ, bạn có thể muốn hệ số tỷ lệ đó chạy từ -1 đến +1.

Và nó chỉ ra rằng, trong một số trường hợp, nếu bạn gửi đầu vào mà không kiểm tra được, thì thay vì kiểm tra không thành công, điều này sẽ xảy ra: mã giải phóng bộ nhớ mà bạn đang sử dụng để lưu trữ số, và sau đó nó phải ngay lập tức phân bổ lại bộ nhớ mới để lưu trữ số đã được xác thực.

Ở một trong những nơi, điều đó xảy ra chính xác.

Về cơ bản, lập trình viên thực hiện những gì bạn có thể gọi là “Tìm kiếm giao thông đang tới. Nếu rõ ràng, hãy bước vào con đường, và băng qua một lượt. "

Ở một trong những nơi đó là thứ tự mà họ làm.

Ở nơi khác, họ đã xoay xở để lấy sai ba dòng mã…

---

CHÓ. [LỪA DỐI]

---

VỊT. … Và về cơ bản họ đi, “Hãy bước vào con đường. Sau đó, kiểm tra xem có bất kỳ chiếc xe nào đến…

---

CHÓ. [LỪA DỐI]

---

VỊT. … Và nếu không có / bạn vẫn còn sống, hãy hoàn thành chuyến vượt biển. ”

Và tôi có vẻ như điều đã xảy ra là trong một phần của mã, kiểm tra phạm vi đã được thêm vào, và sau đó ai đó nói, "Ồ, chúng ta nên đặt điều đó vào phần khác, phần tương tự của mã."

Và họ đã sao chép dòng thực hiện kiểm tra lỗi, nhưng họ đã dán nó vào sai vị trí - * giữa * “bộ nhớ trống” và “phân bổ lại bộ nhớ”, thay vì trước cả hai hoặc sau cả hai.

(Rõ ràng là nó nên xảy ra trước đó, bởi vì ý tưởng là, nếu đó là một lỗi, bạn sẽ cứu trợ ngay lập tức.)

Vì vậy, cách khắc phục là: di chuyển một dòng mã xuống một dòng trong tệp.

Vì vậy, lời khuyên cho các lập trình viên là…

Đặc biệt trong C, rất dễ mắc lỗi phân bổ và phân bổ, và chúng * tất cả * đều quan trọng, vì vậy khi bạn đang thực hiện đánh giá mã, bạn cần phải kiểm tra tất cả chúng.

Và điều thứ hai là - tôi nghĩ nếu tôi phải cấu trúc lại hoặc viết lại đoạn mã này… bởi vì đó là một thành ngữ thường gặp trong mô-đun cụ thể này, “giải phóng bộ nhớ và cấp phát một khối mới”, tại sao lại làm như vậy trong hai dòng mã?

Tại sao không tạo một hàm có tên như “free_up_and_reallocate_in_one_go ()”?

Bằng cách đó, lập trình viên đến sau bạn không thể sao chép và dán một dòng mã vào giữa hai dòng và phá vỡ mọi thứ.

Bởi vì chỉ có một dòng., Nên họ chỉ có thể dán phía trước hoặc sau nó.

Và trong trường hợp này, một trong hai cách đó sẽ hoạt động tốt.

Vì vậy, ma quỷ ở trong các chi tiết, như họ nói. Douglas.

---

CHÓ. Rất tốt.

Được rồi, đó là: Cảnh báo trớ trêu! PHP sửa lỗi bảo mật trong mã xác thực đầu vào trên nakedsecurity.sophos.com.

Và bây giờ chúng ta có một lỗi plugin WordPress.

OK, đó là một lỗi - chúng ta có thể nói về lỗi, nhưng cách công ty * xử lý * lỗi thực sự ấn tượng, Paul.

---

VỊT. Đó không phải là lỗi ấn tượng nhất trên thế giới…

..nhưng nó có thể có vấn đề, như công ty tạo ra nó giải thích.

Và vì vậy tôi nghĩ rằng điều đáng để nhắc nhở những người là người dùng WordPress và những người có các plugin cụ thể này - có một phiên bản miễn phí có tên là Updraft và phiên bản cao cấp, phiên bản trả phí, được gọi là Updraft Plus… nếu bạn đang sử dụng chúng, họ ' lại các plugin sao lưu giúp bạn chăm sóc nội dung trang web của mình.

Vì vậy, nếu ai đó làm hỏng một cái gì đó, bạn có thể khôi phục lại nó.

Nhưng lỗi có thể gây ra hậu quả xấu.

Vấn đề là đây.

Bất kỳ ai đăng nhập vào trang web của bạn (vì vậy, đó không phải là “lỗi chưa được xác thực”, nhưng với nhiều trang web, bạn có thể có quản trị viên và bạn có thể có hàng chục hoặc thậm chí hàng trăm cộng tác viên được phép tải lên và đưa các bài viết vào đó, và sau đó người khác phải chấp thuận chúng)…

Về lý thuyết, bất kỳ người dùng nào có thể đăng nhập vào trang web của bạn, nếu họ biết lỗi này hoạt động như thế nào, có thể lấy toàn bộ bản sao lưu của toàn bộ trang web của bạn trong một lần.

Dù sao, khi tôi đọc báo cáo từ nhóm Updraft, tôi đã nghĩ, "Chúa ơi, mặc dù đây là một lỗi hơi khiêm tốn, và nó đã được sửa nhanh chóng, giá như có nhiều báo cáo bảo mật hơn như thế này!"

Thông thoáng; được viết bằng tiếng Anh đơn giản; không có lời bào chữa; và một lời xin lỗi chân thành và đáng tin cậy ở cuối.

Ngay cả khi bạn không sử dụng plugin này, bạn có thể muốn đọc báo cáo này, bởi vì tôi nghĩ đó là một ví dụ điển hình về cách bạn có thể thực hiện tốt các báo cáo bảo mật và có thể giành lại sự tin tưởng.

Với một phản hồi ít được cân nhắc, bạn có thể đã có phản ứng ngược lại và thực sự khiến khách hàng của bạn cảm thấy tồi tệ hơn.

---

CHÓ. Được rồi, đó là: Nhà sản xuất plugin sao lưu WordPress Updraft cho biết bạn “nên cập nhật”.

Và đó là thời gian trong chương trình cho Tuần này trong Lịch sử Công nghệ.

Chà, chúng ta đã nói về Nokia trước đó trong chương trình, và tuần này, vào ngày 23 tháng 2005 năm XNUMX, chúng ta đã nói lời chào với loại vi-rút trên điện thoại di động đầu tiên.

Đó là một loại sâu có tên là Cabir đã ảnh hưởng đến hệ điều hành Symbian vốn phổ biến trên điện thoại Nokia.

Loài sâu này lây lan qua Bluetooth đến các thiết bị cầm tay gần đó và không thực sự gây thiệt hại, ngoài việc ảnh hưởng đến tuổi thọ pin nhờ việc thăm dò Bluetooth liên tục.

Và người ta tin rằng nó được những người tạo ra nó phát hành nhiều hơn như một bằng chứng về khái niệm hoặc một cảnh báo rằng phần mềm độc hại trên thiết bị di động thực sự có thể xảy ra.

Vậy, Paul, anh đã ở đâu khi Cabir bùng nổ?

---

VỊT. Chà, tôi vẫn là một người dùng Nokia!

Theo sau đó là sự tràn ngập tuyệt đối của phần mềm độc hại trên điện thoại di động, có thể là nguyên nhân dẫn đến sự cứu trợ chung của ngành công nghiệp an ninh mạng và người dùng.

Nhưng đó là một lời nhắc nhở cho tất cả chúng ta rằng, “Đây là một hệ điều hành khác mà bạn phải biết về nó”.

Và, cậu bé, Symbian khá phức tạp, Doug!

---

CHÓ. Tôi nhớ, vâng!

---

VỊT. Bạn có nghĩ rằng Android có rất nhiều biến thể?

Chà, với Symbian, nó cũng giống như vậy - đó là một hệ sinh thái phức tạp và hấp dẫn, Symbian.

[QUIZZICAL] Và sau đó, tốt hơn hay tệ hơn, nó biến mất…

---

CHÓ. Tôi nghĩ rằng tôi đã đọc ở đâu đó rằng, ở thời điểm đỉnh cao, nó có trên 70% thiết bị cầm tay…

---

VỊT. Đó là lý do tại sao, khi phần mềm độc hại như Cabir xuất hiện, người ta có cảm giác đó là, "Trời ơi, nếu kẻ gian thực sự nhận ra điều này và chúng tìm ra cách kiếm tiền từ việc này, thì tất cả chúng ta đều phải chết vì ai cũng dễ bị tổn thương ! ”

Thật may mắn, chúng tôi có một vài năm để suy nghĩ về nó trước khi phần mềm độc hại di động trở thành vấn đề như ngày nay…

… Mà tôi nghĩ đã sử dụng những chiếc điện thoại mạnh mẽ hơn.

Đột nhiên, kẻ gian có thể nói, “Này, tôi không cần phải gỡ bỏ phần mềm độc hại của mình. Tôi không cần phải viết cái thứ siêu thu nhỏ không thực sự để làm gì cả. Tôi chỉ có thể sử dụng các kỹ thuật tương tự như khi viết một ứng dụng thông thường. Tôi sẽ chỉ nghịch ngợm về nó.!

---

CHÓ. Được rồi.

Nếu chúng ta ở lại "trường cũ" một thời gian ở đây, chúng ta đã có một trò lừa đảo phân đoạn mới sử dụng một chiến thuật cũ mà tôi đã không gặp trong một thời gian khá dài. Nhưng nó đã trở lại!

---

VỊT. Ý của bạn là “Hãy gửi toàn bộ văn bản của email không phải dưới dạng tệp đính kèm, không phải dưới dạng liên kết phải tải xuống mà ở dạng hình ảnh nội tuyến được kết xuất trước, có độ phân giải tốt?”

---

CHÓ. Chính xác!

---

VỊT. Đó là một kỹ thuật cũ được thiết kế để đưa ra những khó khăn, đặc biệt là đối với phần mềm quét thư hoặc quét nội dung dựa trên những thứ như phân tích ngôn ngữ.

Bạn chuyển đổi trước văn bản thành hình ảnh để bất kỳ ai muốn thực hiện bất kỳ loại quét văn bản hoặc xử lý ngôn ngữ tự nhiên nào trên đó - hoặc thực sự, để tìm kiếm bất kỳ liên kết nào trong đó - phải thực hiện một số thao tác nhận dạng văn bản đầu tiên.

Điều này không chỉ dễ xảy ra lỗi, nó còn tăng thêm độ phức tạp về tính toán để xử lý trước mọi hình ảnh thành văn bản.

Nhưng tôi nghĩ rằng nó đã chết vì kẻ gian, bởi vì khi bạn có một hình ảnh, bạn không thể dễ dàng có một liên kết có thể nhấp vào trong đó

Mặt khác, nếu điều bạn muốn làm khiến người đó sợ hãi, hãy trình bày những gì trông giống như một tài liệu chính thức và nói, “Hãy đọc cái này, nghĩ về những gì chúng tôi đang nói với bạn và gửi email lại cho chúng tôi và có thể bạn sẽ không bị buộc tội với những tội hình sự nghiêm trọng được cho là liên quan đến việc xem phim khiêu dâm trực tuyến ”…

“Liên hệ với chúng tôi: có thể bạn có một lời giải thích tốt về lý do tại sao điều này có thể xảy ra một cách ngây thơ. Tất cả chúng ta đều có tai. Ồ, nhân tiện, bạn có 72 giờ. ”

Vì vậy, đó là một thủ thuật khó chịu bởi vì, trong trường hợp này, một hình ảnh hoàn toàn ổn.

Bạn không muốn người đó nhấp vào một cái gì đó như “Tôi từ chối thông báo vi phạm bản quyền của bạn”, giống như những kẻ lừa đảo bản quyền làm.

Xung quanh là: “Đó là sự lựa chọn của bạn. Nhưng có thể có điều gì đó bạn muốn nói để bào chữa cho mình. Đây là địa chỉ email. "

Trên thực tế, bạn nên phát hiện ra trò lừa đảo này… bởi vì đối với những người trong chúng ta, những người đã từng mắc phải bất kỳ số nào trong số này trước đây, chúng đều trông giống nhau.

Tất cả họ đều có cùng một câu chuyện kịch tính trong đó.

Tất cả họ đều mắc phải những sai lầm điên rồ, nếu bạn biết mình phải tìm kiếm điều gì.

Như thế này: nhân viên điều tra mà bạn phải gửi email không chỉ là Trung sĩ So-and-so hay Thanh tra So-and-như vậy.

Đó là Tổng giám đốc Cảnh sát Pháp!

Và email, thật tuyệt vời, đến từ một người tên là Jean Luc Godard [LAUGHS].

Tôi tin rằng ông ấy bây giờ đã ngoài 90 tuổi và ông ấy là một nhà quay phim người Pháp theo trường phái tân marxist rất nổi tiếng…

---

CHÓ. [LỪA DỐI]

---

VỊT. Anh ấy rất nổi tiếng và đã thực hiện một số bộ phim tuyệt vời, vì vậy tôi rất ngạc nhiên khi thấy rằng, trong sự lãng phí của anh ấy, anh ấy đã từ một nhà làm phim kịch tính trở thành một cảnh sát phục vụ.

Nhưng bạn hiểu rồi đấy - Tôi nghĩ điều mà những kẻ lừa đảo đang tìm kiếm ở đây là: họ không muốn một triệu người trả lời, phải không, để lừa đảo như thế này?

Họ chỉ muốn gửi đi một triệu bản sao của thông điệp.

Lý do ở đây trong thông báo là, "Rõ ràng, chúng tôi không muốn đưa các chi tiết đẫm máu của bằng chứng vào email này, nhưng bạn có thể muốn liên hệ với chúng tôi để thử và làm rõ điều này."

Và bạn tưởng tượng rằng những kẻ lừa đảo… mục tiêu của họ là họ muốn lôi kéo bạn.

Họ muốn những người đủ sợ hãi, đủ tổn thương, hoặc không chắc chắn rằng họ sẽ thực sự nhập địa chỉ email dài dòng và họ sẽ trả lời.

Sau đó, họ đang tìm kiếm thứ mà bạn có thể gọi là lừa đảo "trò chơi dài", nơi họ sẽ tiếp xúc với người này nhiều lần.

Vì vậy, thiếu một liên kết kêu gọi hành động, thiếu một “nhấp chuột vào đây; nhập mật khẩu của bạn ngay bây giờ để chúng tôi có thể rút tiền thẻ tín dụng của bạn ”…

… Điều đó không quan trọng.

Kẻ gian đang tìm kiếm những người mà chúng có thể lừa đảo trong một thời gian dài, trong một cuộc tấn công do con người dẫn đầu.

Họ không muốn một triệu người trả lời!

Họ chỉ muốn những người đã tự chọn mình là những người đã từng sợ hãi tột độ.

Và, như bạn có thể tưởng tượng, vì chủ đề này, những người dễ bị tổn thương, những người dễ sợ hãi…

… Với chủ đề này, họ sẽ không nhờ đến bạn bè và gia đình để giúp đỡ, phải không?

“Này, chúng tôi đã bắt bạn vì tội tấn công mạng. Đây là điều nghiêm trọng ”.

Bạn có thể nghĩ, “Chà, tôi đã vào một số trang web mà tôi không nghĩ là tinh ranh, nhưng ai biết chúng được kết nối với cái gì? Ai biết họ đã có những gì? Tốt hơn là tôi nên tìm hiểu. ”

Có lẽ bạn sẽ nghĩ, "Có lẽ tôi nên trả lời và chỉ xem những gì đang xảy ra", thay vì, "Tôi nên hỏi cháu gái hoặc chú tôi, hoặc bố mẹ tôi, hoặc bạn thân nhất của tôi."

Và đó thực sự là những gì mà những kẻ gian này đang nhắm tới.

Và điều khác với hình ảnh, tất nhiên: nó cho phép họ làm cho nó giống như một tài liệu được quét, chính thức, được in.

Vì có một con tem "ĐÃ ĐƯỢC PHÊ DUYỆT" trên đó; có một con dấu với chữ ký của một người nào đó.

---

CHÓ. Vì vậy, chúng tôi có một số lời khuyên cho những người tốt ở đây.

Chúng ta đã nói một chút về nó…

* Thông điệp thực sự có vẻ như thế nào?

Chúng tôi đã nói về điều đó.

* Nếu nghi ngờ, đừng đưa ra!

Chúng tôi nói điều đó rất nhiều - đó có lẽ là một nơi tốt để bắt đầu.

* Đừng ngại kiểm tra với một nguồn đáng tin cậy.

Điều đó thật tốt, bởi vì nếu ai đó đến với tôi như một nguồn đáng tin cậy, tôi sẽ làm điều tiếp theo theo lời khuyên của bạn, đó là:

* Kiểm tra trực tuyến các tin nhắn tương tự do người khác báo cáo.

Vì vậy, bất cứ khi nào ai đó đến gặp tôi và nói, “Tôi đã ở trên Facebook và tôi thấy rằng điều này đang xảy ra,” tôi vào Google và Google nó và tôi nói, “Không, đó là một trò lừa đảo.”

---

VỊT. Vâng, bạn nói khá đúng, Doug!

Bởi vì lý do tại sao chúng tôi viết những câu chuyện này chính là để có loại bằng chứng mà bạn đã đề cập ở đó.

Vì vậy, nếu bạn nghĩ, “Chà, tôi tự hỏi liệu có ai khác nhận được những thứ này không?”, Và sau đó bạn tìm kiếm…

… Điều đó không nhất thiết phải bắt được kẻ gian, nhưng đôi khi nó * sẽ * bắt được chúng.

Bởi vì thường thì nó * hiển thị rằng đây rõ ràng là một chiến dịch mà ai đó đang buộc tội [AMAZED TONE] 100 triệu người cùng một lúc về cùng một tội.

Cơ hội của điều đó là gì?

Và đó là cách mà bạn có thể đặt tâm trí của mình vào trạng thái nghỉ ngơi thay vì để nỗi sợ hãi, sự không chắc chắn và nghi ngờ ăn mòn bạn.

---

CHÓ. Được rồi, đó là: Những người nói tiếng Pháp bị tấn công bởi các trò gian lận phân đoạn không có văn bản hoặc liên kết trên nakedsecurity.sophos.com.

Và, khi mặt trời bắt đầu lặn trong chương trình của chúng tôi trong tuần này, chúng tôi có Ồ! Không! phân khúc.

Chúng tôi có một câu hỏi độc giả dành cho bạn, Paul, liên quan đến bài viết của chúng tôi Google thông báo zero-day trong trình duyệt Chrome: cập nhật ngay.

Độc giả Diane MP đặt một câu hỏi công bằng:

Người dùng bình thường, thông thạo nhẹ phải làm gì? Kiểm tra phiên bản Chrome của tôi cung cấp cho tôi một số không giống với số được yêu cầu trên Google Play. Tôi chỉ nhận được 'đã được cài đặt'. Nếu các chuyên gia không thể tìm ra sự phức tạp của mối đe dọa này và cách bảo vệ chống lại nó, thì có lẽ đã đến lúc những người như tôi chuyển sang kỷ nguyên máy tính. Dù sao thì tôi vẫn muốn bắt đầu vẽ lại và điện thoại của tôi hoạt động tốt khi không phụ thuộc vào Internet. ”

Diane… Tôi sẽ nói, Diane, đừng đi!

Đừng để điều này giết chết niềm vui của bạn vì được kết nối với mọi người trên thế giới.

Nhưng, Paul, bạn nói gì với điều đó?

Sự thất vọng của việc cập nhật liên tục và biết phiên bản bạn đang chạy?

---

VỊT. Vâng, tôi rất thông cảm với nhận xét đó.

Tôi không thể nhớ chính xác mình đã trả lời như thế nào - tôi nghĩ tôi chỉ nói, "Hãy xem, đây là cách chính thức mà bạn tìm ra, và nó hoạt động trên điện thoại di động của bạn và trên một trình duyệt thông thường trên máy tính xách tay của bạn."

Vì vậy, tôi rất thông cảm với Diane… Tôi nghĩ, Diane, nếu bạn đang lắng nghe, có lẽ nên dành nhiều thời gian hơn để vẽ!

---

CHÓ. Tôi định nói, Diane, "Hãy vẽ, nhưng đừng tiếp tục từ máy tính."

---

VỊT. Tôi sẽ không ném điện thoại của bạn đi!

Nhưng thật đáng buồn, đúng là đôi khi ngay cả những công ty tự hào về việc có thể tìm thấy kim trong đống cỏ khô và đưa chúng cho chúng tôi, trước sự ngạc nhiên của chúng tôi, như “video tiếp theo” mà Google đề xuất cho bạn và bạn nghĩ, “Làm sao họ biết được ? ”…

Tuy nhiên, khi cung cấp cho bạn một số phiên bản, nó giống như cực kỳ phức tạp!

Và thật không may, đối với mọi ứng dụng bạn cập nhật và đối với mọi ứng dụng bạn sử dụng, có xu hướng có một cách khác nhau để tìm một số phiên bản thực; một cách khác để tra cứu trực tuyến số phiên bản thực, đúng, hiện tại, đã vá là gì.

Đôi khi bạn chỉ cần chạy quanh các ngôi nhà một chút, cố gắng tìm ra phiên bản phù hợp, chỉ để xem liệu bạn đã có nó hay chưa.

Hoặc truy cập vào một trang web như nakedsecurity.sophos.com… thành thật mà nói, đó là một trong những điều chúng tôi muốn làm: nơi có những câu trả lời đơn giản, chúng tôi sẽ thử và đưa chúng cho bạn - và sau đó, nếu có bất thường, hoặc ngoại lệ, hoặc những điều kỳ lạ xung quanh, bạn có thể yêu cầu nhận xét của chúng tôi trong cộng đồng Bảo mật khỏa thân.

Và chúng tôi sẽ cố gắng hết sức để trả lời cho bạn nếu chúng tôi có thể.

---

CẢ HAI. [CON GÁI]

---

VỊT. Nhưng thực tế là đôi khi chúng tôi gặp rắc rối khi tìm ra…

---

CHÓ. … Vâng, không chỉ có bạn, Diane.

Không, nó hoàn toàn gây khó chịu và khó hiểu cho tất cả mọi người!

---

VỊT. May mắn thay, bạn sẽ tìm thấy trên Naked Security, khi bạn đặt những câu hỏi như vậy, mọi người sẽ chấp nhận.

---

CHÓ. Cố lên, Diane!

Chà, nếu bạn có một Ồ! Không! bạn muốn gửi, chúng tôi muốn đọc nó trên podcast.

Bạn có thể gửi email tới tips@sophos.com; bạn có thể nhận xét về bất kỳ bài báo nào của chúng tôi như Diane đã làm; hoặc bạn có thể đánh giá chúng tôi trên mạng xã hội: @NakedSecurity.

Đó là chương trình của chúng tôi cho ngày hôm nay; cảm ơn rất nhiều vì đã lắng nghe

Đối với Paul Ducklin, tôi là Doug Aamoth, sẽ nhắc bạn, cho đến lần sau, hãy…

---

CẢ HAI. Giữ an toàn!

[CHẾ ĐỘ ÂM NHẠC]