T3 Ep100: Navegador en el navegador: cómo detectar un ataque [Audio + Texto]

Marca de tiempo: 15 de septiembre de 2022 2:50 p.m.
Nodo de origen: 1666417

by
Paul patito

ESCUCHA AHORA

Con Doug Aamoth y Paul Ducklin.

Música de introducción y final de Edith Mudge.

Haga clic y arrastre en las ondas sonoras de abajo para saltar a cualquier punto. Tú también puedes escuchar directamente en Soundcloud.

Puedes escucharnos en SoundCloud, Podcasts de Apple, Podcasts de Google, Spotify, Stitcher y en cualquier lugar donde se encuentren buenos podcasts. O simplemente suelta el URL de nuestro feed RSS en tu cazador de vainas favorito.

LEER LA TRANSCRIPCIÓN

DOUG.  Cerrojo: ¡ha vuelto!

Parches en abundancia!

Y las zonas horarias... sí, las zonas horarias.

Todo eso, y más, en el Podcast Naked Security.

[MÓDEM MUSICAL]

Bienvenidos todos al podcast.

Soy Doug Aamoth.

Conmigo, como siempre, está Paul Ducklin.

Paul, ¡un muy feliz episodio número 100 para ti, amigo mío!

PATO.  ¡Guau, Doug!

Sabes, cuando comencé mi estructura de directorios para la Serie 3, usé audazmente -001 para el primer episodio.

DOUG.  No hice. [RISAS]

PATO.  No -1 or -01.

DOUG.  Inteligente…

PATO.  ¡Tenía mucha fe!

Y cuando guarde el archivo de hoy, me regocijaré.

DOUG.  Sí, y lo temeré porque aparecerá en la parte superior.

Bueno, voy a tener que lidiar con eso más tarde...

PATO.  [RISAS] Podrías cambiar el nombre de todas las otras cosas.

DOUG.  Sé que sé.

[MURMURANDO] No tengo ganas de eso... ahí va mi miércoles.

De todos modos, comencemos el espectáculo con un poco de historia tecnológica.

Esta semana, el 12 de septiembre de 1959, Luna 2, También conocido como el Segundo cohete cósmico soviético, se convirtió en la primera nave espacial en alcanzar la superficie de la Luna y el primer objeto hecho por el hombre en hacer contacto con otro cuerpo celeste.

Muy genial.

PATO.  ¿Cuál era ese nombre largo?

“El Segundo Cohete Cósmico Soviético”?

DOUG.  Sí.

PATO.  luna dos es mucho mejor.

DOUG.  ¡Si mucho mejor!

PATO.  Aparentemente, como se puede imaginar, dado que era la era de la carrera espacial, había cierta preocupación de “¿Cómo sabremos que realmente lo han hecho? Podrían simplemente decir que aterrizaron en la Luna, y tal vez se lo estén inventando”.

Aparentemente, idearon un protocolo que permitiría la observación independiente.

Predijeron la hora en que llegaría a la Luna, para estrellarse contra la Luna, y enviaron la hora exacta en que esperaban esto a un astrónomo en el Reino Unido.

Y observó independientemente, para ver si lo que dijeron *pasaría* en ese momento *pasó*.

Entonces incluso pensaron: "¿Cómo verificas algo como esto?"

DOUG.  Bueno, hablando de cosas complicadas, tenemos parches de Microsoft y Apple.

Entonces, ¿qué es notable aquí en esta última ronda?

PATO.  Ciertamente lo hacemos: es martes de parches esta semana, el segundo martes del mes.

Hay dos vulnerabilidades en Patch Tuesday que me llamaron la atención.

Uno es notable porque aparentemente está en estado salvaje; en otras palabras, fue un día cero.

Y aunque no se trata de una ejecución remota de código, es un poco preocupante porque es una vulnerabilidad de archivo de registro [TOSE EN FORMA DE DISCULPA], ¡Doug!

No es tan malo como Log4J, donde no solo puede hacer que el registrador se comporte mal, sino que también puede hacer que ejecutar código arbitrario para ti.

Pero parece que si envía algún tipo de datos con formato incorrecto al controlador del sistema de archivos de registro común de Windows, el CLFS, entonces puede engañar al sistema para que lo ascienda a los privilegios del sistema.

Siempre es malo si ingresas como usuario invitado y luego puedes convertirte en un administrador de sistemas...

DOUG.  [RISAS] ¡Sí!

PATO.  Es decir CVE-2022-37969.

Y el otro que me pareció interesante…

… afortunadamente no en la naturaleza, pero este es el que realmente necesita parchear, porque apuesto a que es el que los ciberdelincuentes se centrarán en la ingeniería inversa:

“Vulnerabilidad de ejecución remota de código TCP/IP de Windows”, CVE-2022-34718.

Si tu recuerdas Código rojoy Lanzamiento de SQL, y esos traviesos gusanos del pasado, donde acababan de llegar en un paquete de red y se metían en el sistema...

Este es un nivel aún más bajo que ese.

Aparentemente, el error está en el manejo de ciertos paquetes IPv6.

Entonces, cualquier cosa donde esté escuchando IPv6, que es prácticamente cualquier computadora con Windows, podría estar en riesgo por esto.

Como dije, ese no está en la naturaleza, por lo que los delincuentes aún no lo han encontrado, pero no dudo que tomarán el parche y tratarán de averiguar si pueden aplicar ingeniería inversa para aprovecharlo. para atrapar a las personas que aún no han parcheado.

Porque si algo dice, “¡Guau! ¿Qué pasaría si alguien escribiera un gusano que usara esto?”… ese es el que me preocuparía.

DOUG.  DE ACUERDO.

Y luego a Apple...

PATO.  Recientemente escribimos dos historias sobre los parches de Apple, donde, de la nada, de repente, aparecieron parches para iPhones y iPads y Macs contra dos días cero salvajes.

Uno era un error del navegador, o un error relacionado con la navegación, por lo que podía entrar en un sitio web de aspecto inocente y el malware podía aterrizar en su computadora, además de otro que le daba control a nivel de kernel...

…que, como dije en el último podcast, me huele a spyware, algo que le interesaría a un proveedor de spyware o a un “ciberdelincuente de vigilancia” realmente serio.

Luego hubo una segunda actualización, para nuestra sorpresa, para iOS 12, que todos pensábamos que había sido abandonado hace mucho tiempo.

Allí, uno de esos errores (el relacionado con el navegador que permitió que los delincuentes entraran) recibió un parche.

Y luego, justo cuando esperaba iOS 16, todos estos correos electrónicos de repente comenzaron a llegar a mi bandeja de entrada, justo después de comprobar: "¿Ya salió iOS 16? ¿Puedo actualizarlo?”

No estaba allí, pero luego recibí todos estos correos electrónicos que decían: "Acabamos de actualizar iOS 15, macOS Monterey, Big Sur y iPadOS 15"...

… y resultó que había un montón de actualizaciones, además de un nuevo kernel de día cero esta vez también.

Y lo fascinante es que, después de recibir las notificaciones, pensé: "Bueno, déjame revisar de nuevo..."

(Para que puedas recordar, es Ajustes > General > actualización de software en tu iPhone o iPad).

Y he aquí, me ofrecieron una actualización a iOS 15, que ya tenía, *o* podría saltar hasta iOS 16.

Y iOS 16 también tenía esta solución de día cero (aunque en teoría iOS 16 aún no había salido), así que supongo que el error también existía en la versión beta.

No figuraba oficialmente como un día cero en el boletín de Apple para iOS 16, pero no podemos decir si eso se debe a que el exploit que vio Apple no funcionó correctamente en iOS 16, o si no se considera un día cero. día porque iOS 16 acababa de salir.

DOUG.  Sí, iba a decir: nadie lo tiene todavía. [LA RISA]

PATO.  Esa fue la gran noticia de Apple.

Y lo importante es que cuando vas a tu teléfono y dices: "Oh, iOS 16 está disponible"... si aún no estás interesado en iOS 16, aún debes asegurarte de tener ese iOS 15. actualización, debido al kernel de día cero.

Los días cero del kernel siempre son un problema porque significa que alguien sabe cómo eludir las tan cacareadas configuraciones de seguridad en su iPhone.

El error también se aplica a macOS Monterey y macOS Big Sur, esa es la versión anterior, macOS 11.

De hecho, para no quedarse atrás, Big Sur en realidad tiene *dos* errores de día cero en el núcleo.

No hay noticias sobre iOS 12, que es más o menos lo que esperaba, y nada hasta ahora para macOS Catalina.

Catalina es macOS 10, la versión anterior y, una vez más, no sabemos si esa actualización llegará más tarde o si se ha caído al borde del mundo y no recibirá actualizaciones de todos modos.

Lamentablemente, Apple no lo dice, así que no lo sabemos.

Ahora, la mayoría de los usuarios de Apple tendrán activadas las actualizaciones automáticas, pero, como siempre decimos, vaya y verifique (ya sea que tenga una Mac o un iPhone o un iPad), porque lo peor es asumir que su actualización automática las actualizaciones funcionaron y te mantuvieron a salvo...

…cuando en realidad, algo salió mal.

DOUG.  Ok muy bien.

Ahora, algo que he estado esperando, avanzando, es: "¿Qué tienen que ver las zonas horarias con la seguridad de TI?"

PATO.  Bueno, resulta que bastante, Doug.

DOUG.  [RISA] ¡Sí, señor!

PATO.  Las zonas horarias son muy simples en concepto.

Son muy convenientes para manejar nuestras vidas, de modo que nuestros relojes coincidan aproximadamente con lo que sucede en el cielo, por lo que está oscuro por la noche y hay luz durante el día. (Ignoremos el horario de verano y supongamos que solo tenemos zonas horarias de una hora en todo el mundo para que todo sea realmente simple).

El problema surge cuando en realidad mantiene registros del sistema en una organización donde algunos de sus servidores, algunos de sus usuarios, algunas partes de su red, algunos de sus clientes, están en otras partes del mundo.

Cuando escribe en el archivo de registro, ¿escribe la hora teniendo en cuenta la zona horaria?

Cuando estás escribiendo tu registro, Doug, restas las 5 horas (o 4 horas en este momento) que necesitas porque estás en Boston, mientras que yo sumo una hora porque estoy en el horario de Londres, pero es verano. ?

¿Escribo eso en el registro para que tenga sentido para *mí* cuando lo lea de nuevo?

¿O escribo una hora más canónica e inequívoca usando la misma zona horaria para *todos*, de modo que cuando compare registros que provienen de diferentes computadoras, diferentes usuarios, diferentes partes del mundo en mi red, pueda realmente alinear eventos?

Es muy importante alinear los eventos, Doug, particularmente si estás respondiendo a una amenaza en un ataque cibernético.

Realmente necesitas saber qué fue primero.

Y si dices, "Oh, no sucedió hasta las 3:3 p. m.", eso no me ayuda si estoy en Sydney, porque mis 3:XNUMX p. m. fueron ayer en comparación con tus XNUMX:XNUMX p. m.

Asique escribió un artículo en Naked Security sobre algunas formas en las que puedes lidiar con este problema cuando registra datos.

Mi recomendación personal es usar un formato de marca de tiempo simplificado llamado RFC 3339, donde colocas un año de cuatro dígitos, un guión [carácter de guión, ASCII 0x2D], un mes de dos dígitos, un guión, un día de dos dígitos, etc., de modo que tus marcas de tiempo se ordenen alfabéticamente de forma adecuada.

Y que registres todas tus zonas horarias como una zona horaria conocida como Z (zed o zee), abreviatura de Hora zulú.

Eso significa básicamente UTC o Tiempo Universal Coordinado.

Eso es casi, pero no del todo, la hora del meridiano de Greenwich, y es la hora en la que casi todos los relojes de computadoras o teléfonos están configurados internamente en estos días.

No intente compensar las zonas horarias cuando esté escribiendo en el registro, porque entonces alguien tendrá que descompensar cuando intente alinear su registro con el de todos los demás, y hay muchos deslices entre la copa y el labio, doug

Debe ser sencillo.

Use un formato de texto canónico y simple que delinee exactamente la fecha y la hora, hasta el segundo o, en estos días, las marcas de tiempo pueden incluso reducirse al nanosegundo si lo desea.

Y deshágase de las zonas horarias de sus registros; elimine el horario de verano de sus registros; y grabar todo, en mi opinión, en Tiempo Universal Coordinado…

…confusamente abreviado UTC, porque el nombre está en inglés pero la abreviatura está en francés, algo irónico.

DOUG.  Sí.

PATO.  
Estoy tentado a decir: "No es que me sienta muy fuerte al respecto, de nuevo", como suelo hacer, entre risas...

…pero realmente es importante poner las cosas en el orden correcto, especialmente cuando intenta rastrear a los ciberdelincuentes.

DOUG.  Muy bien, eso es bueno, un gran consejo.

Y si nos atenemos al tema de los ciberdelincuentes, ha oído hablar de los ataques de manipulador en el medio; has oído hablar de los ataques de manipulador en el navegador...

..ahora prepárate para los ataques de navegador en el navegador.

PATO.  Sí, este es un término nuevo que estamos viendo.

Quería escribir esto porque los investigadores de una compañía de inteligencia de amenazas llamada Group-IB escribieron recientemente un artículo sobre esto, y los medios comenzaron a hablar sobre "Oye, ataques de navegador en el navegador, ten mucho miedo", o lo que sea. …

Estás pensando: "Bueno, me pregunto cuántas personas saben realmente lo que significa un ataque de navegador en el navegador".

Y lo molesto de estos ataques, Doug, es que tecnológicamente son terriblemente simples.

Es una idea tan simple.

DOUG.  Son casi artísticos.

PATO.  ¡Sí!

No es realmente ciencia y tecnología, es arte y diseño, ¿no es así?

Básicamente, si alguna vez has hecho algo de programación JavaScript (para bien o para mal), sabrás que una de las cosas sobre las cosas que pegas en una página web es que está destinado a estar restringido a esa página web.

Por lo tanto, si aparece una ventana nueva, esperaría que obtuviera un contexto de navegador completamente nuevo.

Y si carga su página desde un sitio completamente nuevo, digamos un sitio de phishing, entonces no tendrá acceso a todas las variables de JavaScript, contexto, cookies y todo lo que tenía la ventana principal.

Entonces, si abre una ventana separada, está limitando sus habilidades de piratería si es un ladrón.

Sin embargo, si abre algo en la ventana actual, entonces está significativamente limitado en cuanto a qué tan emocionante y "similar a un sistema" puede hacer que se vea, ¿no es así?

Porque no puede sobrescribir la barra de direcciones... eso es así por diseño.

No puede escribir nada fuera de la ventana del navegador, por lo que no puede colocar una ventana que parezca un fondo de pantalla en el escritorio, como si hubiera estado allí todo el tiempo.

En otras palabras, estás acorralado dentro de la ventana del navegador con la que comenzaste.

Entonces, la idea de un ataque de navegador en el navegador es que comience con un sitio web normal y luego cree, dentro de la ventana del navegador que ya tiene, una página web que se ve exactamente como una ventana del navegador del sistema operativo. .

Básicamente, le muestras a alguien una *imagen* de la cosa real y los convences de que *es* la cosa real.

¡Es así de simple en el fondo, Doug!

Pero el problema es que con un poco de trabajo cuidadoso, particularmente si tienes buenas habilidades de CSS, *puedes* hacer que algo que está dentro de una ventana de navegador existente parezca una ventana de navegador propia.

Y con un poco de JavaScript, puede incluso hacer que cambie de tamaño y moverse por la pantalla, y puede completarlo con HTML que obtiene de un sitio web de terceros.

Ahora, puede que se pregunte... si los ladrones lo hacen bien, ¿cómo diablos puede saberlo?

Y la buena noticia es que hay algo absolutamente simple que puedes hacer.

Si ve lo que parece una ventana del sistema operativo y sospecha de ella de alguna manera (esencialmente, parecería aparecer sobre la ventana de su navegador, porque tiene que estar dentro de ella)...

… intente moverlo *fuera de la ventana real del navegador*, y si está “aprisionado” dentro del navegador, sabrá que no es real.

Lo interesante del informe de los investigadores del Grupo-IB es que cuando se encontraron con esto, los delincuentes lo estaban usando contra los jugadores de los juegos de Steam.

Y, por supuesto, quiere que inicies sesión en tu cuenta de Steam...

…y si te engañó la primera página, incluso seguiría con la verificación de autenticación de dos factores de Steam.

Y el truco era que si realmente *fueran* ventanas separadas, podrías haberlas arrastrado a un lado de la ventana principal de tu navegador, pero no lo estaban.

En este caso, afortunadamente, los cocineros no habían hecho muy bien su CSS.

Su obra de arte era de mala calidad.

Pero, como usted y yo hemos hablado muchas veces en el podcast, Doug, a veces hay delincuentes que se esfuerzan por hacer que las cosas se vean perfectas.

Con CSS, literalmente puedes colocar píxeles individuales, ¿no?

DOUG.  CSS es interesante.

Han pasado Hojas de Estilo en Cascada… un lenguaje que usa para diseñar documentos HTML, y es realmente fácil de aprender y es aún más difícil de dominar.

PATO.  [RISAS] Suena como eso, seguro.

DOUG.  [RISAS] ¡Sí, es como muchas cosas!

Pero es una de las primeras cosas que aprendes una vez que aprendes HTML.

Si estás pensando, "Quiero que esta página web se vea mejor", aprendes CSS.

Entonces, al mirar algunos de estos ejemplos del documento fuente al que se vinculó desde el artículo, puede darse cuenta de que va a ser muy difícil hacer una buena falsificación, a menos que sea realmente bueno en CSS.

Pero si lo haces bien, va a ser muy difícil darse cuenta de que es un documento falso...

… a menos que hagas lo que dices: intenta sacarlo de una ventana y moverlo por tu escritorio, cosas así.

Eso lleva a su segundo punto aquí: examine cuidadosamente las ventanas sospechosas.

Es probable que muchos de ellos no pasen la prueba de la vista, pero si lo hacen, será muy difícil detectarlos.

Lo que nos lleva a la tercera cosa...

“En caso de duda/No lo des a conocer”.

Si simplemente no se ve bien, y no puedes decir definitivamente que algo extraño está en marcha, ¡simplemente sigue la rima!

PATO.  Y vale la pena sospechar de sitios web desconocidos, sitios web que no ha usado antes, que de repente dicen: “Está bien, le pediremos que inicie sesión con su cuenta de Google en una ventana de Google o Facebook en una ventana de Facebook. ”

O Steam en una ventana de Steam.

DOUG.  Sí.

Odio usar la palabra B aquí, pero esto es casi brillante en su simplicidad.

Pero, de nuevo, va a ser muy difícil lograr una coincidencia perfecta de píxeles usando CSS y cosas por el estilo.

PATO.  Creo que es importante recordar que, debido a que parte de la simulación es el "cromo" [jerga para los componentes de la interfaz de usuario del navegador] del navegador, la barra de direcciones se verá bien.

Incluso puede parecer perfecto.

Pero la cuestión es que no es una barra de direcciones...

…es una *imagen* de una barra de direcciones.

DOUG.  ¡Exactamente!

Muy bien, ¡cuidado ahí afuera, todos!

Y, hablando de cosas que no son lo que parecen, estoy leyendo sobre el ransomware DEADBOLT y los dispositivos NAS de QNAP, y me parece que acabamos de hablar de esta misma historia no hace mucho.

PATO.  Sí, hemos escrito sobre esto varias veces en Naked Security en lo que va del año, desafortunadamente.

Es uno de esos casos en los que lo que funcionó para los ladrones una vez resultó haber funcionado dos, tres, cuatro, cinco veces.

y NAS, o Almacenamiento conectado a la red Los dispositivos son, si lo desea, servidores de caja negra que puede ir y comprar; por lo general, ejecutan algún tipo de kernel de Linux.

La idea es que en vez de tener que comprar una licencia de Windows, o aprender Linux, instalar Samba, configurarlo, aprender a compartir archivos en tu red…

…simplemente conectas este dispositivo y, “Bingo”, comienza a funcionar.

Es un servidor de archivos accesible desde la web y, desafortunadamente, si hay una vulnerabilidad en el servidor de archivos y usted (por accidente o diseño) lo hizo accesible a través de Internet, entonces los delincuentes pueden explotar esa vulnerabilidad, si hay una en ese dispositivo NAS, desde la distancia.

Es posible que puedan codificar todos los archivos en la ubicación de almacenamiento clave para su red, ya sea una red doméstica o una red de una pequeña empresa, y básicamente pedirle un rescate sin tener que preocuparse por atacar otros dispositivos individuales como computadoras portátiles y teléfonos en su la red.

Por lo tanto, no necesitan perder el tiempo con el malware que infecta su computadora portátil, y no necesitan entrar en su red y deambular como los delincuentes tradicionales de ransomware.

Básicamente codifican todos sus archivos y luego, para presentar la nota de rescate, simplemente cambian (no debería reírme, Doug)... simplemente cambian la página de inicio de sesión en su dispositivo NAS.

Entonces, cuando descubre que todos sus archivos están desordenados y piensa: "Eso es divertido", y salta con su navegador web y se conecta allí, ¡no obtiene una solicitud de contraseña!

Recibe una advertencia: “Sus archivos han sido bloqueados por DEADBOLT. ¿Qué sucedió? Todos sus archivos han sido encriptados”.

Y luego vienen las instrucciones sobre cómo pagar.

DOUG.  Y también han ofrecido amablemente que QNAP podría aportar una suma principesca para desbloquear los archivos para todos.

PATO.  Las capturas de pantalla que tengo en el último artículo en nakedsecurity.sophos.com mostrar:

1. Descifrados individuales a 0.03 bitcoins, originalmente alrededor de US$1200 cuando esto se generalizó por primera vez, ahora alrededor de US$600.

2. Una opción de BTC 5.00, en la que se informa a QNAP sobre la vulnerabilidad para que puedan solucionarla, que claramente no van a pagar porque ya conocen la vulnerabilidad. (Es por eso que hay un parche en este caso particular).

3. Como dices, hay una opción de BTC 50 (eso es $ 1 millón ahora; eran $ 2 millones cuando esta primera historia salió a la luz). Aparentemente, si QNAP paga $ 1,000,000 en nombre de alguien que podría haber sido infectado, los delincuentes proporcionarán una clave maestra de descifrado, si no le importa.

Y si miras su JavaScript, en realidad verifica si la contraseña que ingresaste coincide con uno de *dos* hashes.

Uno es exclusivo de su infección: los delincuentes lo personalizan cada vez, por lo que JavaScript tiene el hash y no revela la contraseña.

Y hay otro hash que, si puede descifrarlo, parece que recuperaría la contraseña maestra para todos en el mundo...

… Creo que solo fueron los ladrones burlándose de todos.

DOUG.  Es interesante también que el rescate de bitcoin de $600 para cada usuario es… No quiero decir “no escandaloso”, pero si miras en la sección de comentarios de este artículo, hay varias personas que no solo están hablando de haber pagado el rescate…

…pero pasemos a la pregunta de nuestro lector aquí.

El lector Michael comparte su experiencia con este ataque, y no está solo: hay otras personas en esta sección de comentarios que informan cosas similares.

En un par de comentarios, dice (voy a hacer un comentario franco sobre eso):

“He pasado por esto y salí bien después de pagar el rescate. Encontrar el código de retorno específico con mi clave de descifrado fue la parte más difícil. Aprendí la lección más valiosa”.

En su siguiente comentario, repasa todos los pasos que tuvo que seguir para que las cosas funcionaran de nuevo.

Y se desmonta con:

“Me avergüenza decir que trabajo en TI, lo he hecho durante más de 20 años y me picó este error de uPNP de QNAP. Me alegro de haberlo superado”.

PATO.  Wow, sí, eso es toda una declaración, ¿no?

Casi como si estuviera diciendo: "Me hubiera respaldado contra estos ladrones, pero perdí la apuesta y me costó $ 600 y un montón de tiempo".

Aaargh!

DOUG.  ¿Qué quiere decir con "el código de retorno específico con su clave de descripción"?

PATO.  Ah, sí, eso es muy interesante... muy intrigante. (Estoy tratando de no decir increíble-slash-brillante aquí.) [RISAS]

No quiero usar la palabra C y decir que es "inteligente", pero más o menos lo es.

¿Cómo contactas a estos ladrones? ¿Necesitan una dirección de correo electrónico? ¿Se podría rastrear eso? ¿Necesitan un sitio darkweb?

Estos ladrones no.

Porque, recuerde, hay un dispositivo, y el malware se personaliza y empaqueta cuando ataca ese dispositivo para que tenga una dirección de Bitcoin única.

Y, básicamente, te comunicas con estos ladrones pagando la cantidad especificada de bitcoins en su billetera.

Supongo que es por eso que han mantenido la cantidad comparativamente modesta...

…No quiero sugerir que todos tienen $600 para gastar en un rescate, pero no es como si estuvieras negociando por adelantado para decidir si vas a pagar $100,000, $80,000 o $42,000.

Usted les paga la cantidad... sin negociación, sin chat, sin correo electrónico, sin mensajería instantánea, sin foro de soporte.

Simplemente envíe el dinero a la dirección de bitcoin designada y, obviamente, tendrán una lista de las direcciones de bitcoin que están monitoreando.

Cuando llega el dinero, y ven que ha llegado, saben que usted (y solo usted) pagó, porque ese código de billetera es único.

Y luego hacen lo que es, efectivamente (estoy usando las cotizaciones aéreas más grandes del mundo) un "reembolso" en la cadena de bloques, usando una transacción de bitcoin por la cantidad, Doug, de cero dólares.

Y esa respuesta, esa transacción, en realidad incluye un comentario. (Recuerda el Truco de Poly Networks? Estaban usando los comentarios de la cadena de bloques de Ethereum para tratar de decir: "Estimado Sr. White Hat, ¿no nos devolverá todo el dinero?")

Así que pagas a los ladrones, les das el mensaje de que quieres interactuar con ellos, y te devuelven $0 más un comentario de 32 caracteres hexadecimales...

…que son 16 bytes binarios sin procesar, que es la clave de descifrado de 128 bits que necesita.

Así les hablas.

Y, aparentemente, lo entendieron al pie de la letra: como dijo Michael, la estafa funciona.

Y el único problema que tenía Michael era que no estaba acostumbrado a comprar bitcoins, o trabajar con datos de blockchain y extraer ese código de retorno, que es básicamente el comentario en el "pago" de la transacción que recibe por $0.

Entonces, están usando la tecnología de maneras muy tortuosas.

Básicamente, están utilizando la cadena de bloques como vehículo de pago y como herramienta de comunicación.

DOUG.  Muy bien, una historia muy interesante de hecho.

Estaremos atentos a eso.

Y muchas gracias, Michael, por enviar ese comentario.

Si tiene una historia interesante, un comentario o una pregunta que le gustaría enviar, nos encantaría leerlo en el podcast.

Puede enviar un correo electrónico a tips@sophos.com, puede comentar cualquiera de nuestros artículos o puede contactarnos en las redes sociales: @NakedSecurity.

Ese es nuestro programa de hoy, muchas gracias por escuchar.

Para Paul Ducklin, soy Doug Aamoth, les recuerdo, hasta la próxima, que...

AMBAS COSAS.  Mantente seguro.

[MÓDEM MUSICAL]

Sello de tiempo:

Mas de Seguridad desnuda