S3 Ep100: Browser-in-the-Browser – como identificar um ataque [Áudio + Texto]

Clique e arraste nas ondas sonoras abaixo para pular para qualquer ponto. Você também pode ouça diretamente no Soundcloud.

DOUG.  Deadbolt - está de volta!

Patches em abundância!

E fusos horários... sim, fusos horários.

Tudo isso e muito mais no Naked Security Podcast.

[MODEM MUSICAL]

Bem-vindos ao podcast, pessoal.

Eu sou Doug Aamoth.

Comigo, como sempre, está Paul Ducklin.

Paul, um feliz 100º episódio para você, meu amigo!

---

PATO.  Uau, Doug!

Você sabe, quando comecei minha estrutura de diretórios para a Série 3, usei ousadamente -001 para o primeiro episódio.

---

DOUG.  Eu não. [RISOS]

---

PATO.  Não -1 or -01.

---

DOUG.  Inteligente…

---

PATO.  Eu tinha muita fé!

E quando eu salvar o arquivo de hoje, vou me regozijar nele.

---

DOUG.  Sim, e eu estarei temendo porque ele vai aparecer no topo.

Bem, vou ter que lidar com isso mais tarde...

---

PATO.  [risos] Você pode renomear todas as outras coisas.

---

DOUG.  Eu sei eu sei.

[RESUMINDO] Não estou ansioso por isso... lá se vai minha quarta-feira.

De qualquer forma, vamos começar o show com um pouco de história da tecnologia.

Esta semana, em 12 de setembro de 1959, Luna 2, Também conhecido como o Segundo Foguete Cósmico Soviético, tornou-se a primeira nave espacial a atingir a superfície da Lua e o primeiro objeto feito pelo homem a fazer contato com outro corpo celeste.

Muito legal.

---

PATO.  Qual era aquele nome comprido?

“O Segundo Foguete Cósmico Soviético”?

---

DOUG.  Sim.

---

PATO.  Lua Dois é muito melhor.

---

DOUG.  Sim, muito melhor!

---

PATO.  Aparentemente, como você pode imaginar, dado que era a era da corrida espacial, havia alguma preocupação de: “Como saberemos que eles realmente fizeram isso? Eles poderiam apenas dizer que pousaram na Lua e talvez estejam inventando.”

Aparentemente, eles criaram um protocolo que permitiria a observação independente.

Eles previram a hora em que chegaria à Lua, para colidir com a Lua, e enviaram a hora exata em que esperavam isso para um astrônomo no Reino Unido.

E ele observou de forma independente, para ver se o que eles disseram *acontecia* naquele momento *aconteceu*.

Então eles até pensaram: “Como você verifica algo assim?”

---

DOUG.  Bem, sobre o assunto de coisas complicadas, temos patches da Microsoft e da Apple.

Então, o que é notável aqui nesta última rodada?

---

PATO.  Nós certamente fazemos – é patch terça-feira esta semana, a segunda terça-feira do mês.

Existem duas vulnerabilidades no Patch Tuesday que foram notadas para mim.

Um é notável porque aparentemente está em estado selvagem – em outras palavras, era um dia zero.

E embora não seja uma execução remota de código, é um pouco preocupante porque é uma vulnerabilidade de arquivo de log [COUGHS APOLOGICAMENTE], Doug!

Não é tão ruim como Log4J, onde você pode não apenas fazer com que o registrador se comporte mal, mas também executar código arbitrário para você.

Mas parece que, se você enviar algum tipo de dado malformado para o driver do Windows Common Log File System, o CLFS, poderá enganar o sistema para promovê-lo a privilégios de sistema.

Sempre ruim se você entrou como usuário convidado e pode se transformar em um administrador de sistema…

---

DOUG.  [RISOS] Sim!

---

PATO.  Isto é CVE-2022-37969.

E o outro que achei interessante…

… felizmente não em estado selvagem, mas este é o que você realmente precisa corrigir, porque aposto que é o que os cibercriminosos estarão se concentrando na engenharia reversa:

“Vulnerabilidade de execução remota de código TCP/IP do Windows”, CVE-2022-34718.

Se você lembrar Código vermelho e SQL Slammer, e aqueles worms travessos do passado, onde eles acabavam de chegar em um pacote de rede, e entravam no sistema….

Este é um nível ainda mais baixo do que isso.

Aparentemente, o bug está no manuseio de certos pacotes IPv6.

Portanto, qualquer coisa em que o IPv6 esteja ouvindo, que é praticamente qualquer computador com Windows, pode estar em risco com isso.

Como eu disse, esse não está na natureza, então os bandidos ainda não o encontraram, mas não duvido que eles estejam pegando o patch e tentando descobrir se podem fazer engenharia reversa de uma exploração a partir dele, para pegar pessoas que ainda não foram corrigidas.

Porque se alguma coisa disser: “Uau! E se alguém escrevesse um worm que usasse isso?”… esse é o que eu estaria preocupado.

---

DOUG.  OK.

E depois para a Apple…

---

PATO.  Escrevemos duas histórias sobre patches da Apple recentemente, onde, do nada, de repente, havia patches para iPhones e iPads e Macs contra dois dias zero selvagens.

Um era um bug do navegador, ou um bug relacionado à navegação, para que você pudesse entrar em um site de aparência inocente e o malware pudesse pousar no seu computador, além de outro que lhe dava controle no nível do kernel…

… o que, como eu disse no último podcast, cheira a spyware para mim – algo que um fornecedor de spyware ou um “cibercriminoso de vigilância” realmente sério estaria interessado.

Então houve uma segunda atualização, para nossa surpresa, para iOS 12, que todos pensávamos ter sido abandonado há muito tempo.

Lá, um desses bugs (o relacionado ao navegador que permitia a invasão de criminosos) recebeu um patch.

E então, quando eu estava esperando o iOS 16, todos esses e-mails de repente começaram a chegar na minha caixa de entrada – logo depois que eu verifiquei, “O iOS 16 já foi lançado? Posso atualizar para ele?”

Não estava lá, mas recebi todos esses e-mails dizendo: “Acabamos de atualizar o iOS 15, o macOS Monterey, o Big Sur e o iPadOS 15″…

… e descobriu-se que havia um monte de atualizações, além de um novo dia zero do kernel desta vez também.

E o mais fascinante é que, depois que recebi as notificações, pensei: “Bem, deixe-me verificar novamente…”

(Então você pode se lembrar, é Configurações > Geral > Atualização de software no seu iPhone ou iPad.)

E eis que me ofereceram uma atualização para o iOS 15, que eu já tinha, *ou* eu poderia pular todo o caminho para o iOS 16.

E o iOS 16 também tinha essa correção de dia zero (mesmo que o iOS 16 teoricamente ainda não estivesse disponível), então acho que o bug também existia na versão beta.

Não foi listado como sendo oficialmente um dia zero no boletim da Apple para iOS 16, mas não podemos dizer se isso é porque a exploração que a Apple viu não funcionou corretamente no iOS 16, ou se não é considerado um zero-dia. dia porque o iOS 16 estava apenas saindo.

---

DOUG.  Sim, eu ia dizer: ninguém tem ainda. [RISADA]

---

PATO.  Essa foi a grande novidade da Apple.

E o importante é que quando você vai ao seu telefone e diz: “Ah, o iOS 16 está disponível”… atualização, por causa do kernel zero-day.

Os dias zero do kernel são sempre um problema porque significa que alguém sabe como contornar as tão elogiadas configurações de segurança do seu iPhone.

O bug também se aplica ao macOS Monterey e ao macOS Big Sur – essa é a versão anterior, macOS 11.

Na verdade, para não ficar para trás, Big Sur na verdade tem *dois* bugs de dia zero do kernel à solta.

Nenhuma notícia sobre o iOS 12, que é o que eu esperava, e nada até agora para o macOS Catalina.

Catalina é o macOS 10, a versão pré-anterior, e mais uma vez, não sabemos se essa atualização virá mais tarde, ou se caiu da borda do mundo e não receberá atualizações de qualquer maneira.

Infelizmente, a Apple não diz, então não sabemos.

Agora, a maioria dos usuários da Apple terá as atualizações automáticas ativadas, mas, como sempre dizemos, vá e verifique (se você tem um Mac, um iPhone ou um iPad), porque o pior é apenas supor que seu as atualizações funcionaram e mantiveram você seguro…

…quando, na verdade, algo deu errado.

---

DOUG.  Ok, muito bom.

Agora, algo que eu estava ansioso, seguindo em frente, é: “O que os fusos horários têm a ver com a segurança de TI?”

---

PATO.  Bem, bastante, ao que parece, Doug.

---

DOUG.  [RINDO] Sim senhor!

---

PATO.  Os fusos horários são muito simples no conceito.

Eles são muito convenientes para administrar nossas vidas, de modo que nossos relógios correspondam aproximadamente ao que está acontecendo no céu – por isso está escuro à noite e claro durante o dia. (Vamos ignorar o horário de verão e vamos supor que temos apenas fusos horários de uma hora em todo o mundo para que tudo seja realmente simples.)

O problema surge quando você está realmente mantendo logs do sistema em uma organização onde alguns de seus servidores, alguns de seus usuários, algumas partes de sua rede, alguns de seus clientes, estão em outras partes do mundo.

Ao gravar no arquivo de log, você grava a hora com o fuso horário incluído?

Quando você está escrevendo seu diário, Doug, você subtrai as 5 horas (ou 4 horas no momento) que você precisa porque está em Boston, enquanto eu acrescento uma hora porque estou no horário de Londres, mas é verão ?

Eu escrevo isso no log para que faça sentido para *mim* quando eu ler o log de volta?

Ou escrevo um horário mais canônico e inequívoco usando o mesmo fuso horário para *todos*, então quando comparo logs que vêm de diferentes computadores, diferentes usuários, diferentes partes do mundo na minha rede, posso realmente alinhar eventos?

É muito importante alinhar os eventos, Doug, principalmente se você estiver respondendo a ameaças em um ataque cibernético.

Você realmente precisa saber o que veio primeiro.

E se você disser: “Ah, isso não aconteceu até as 3h”, isso não me ajuda se eu estiver em Sydney, porque minhas 3h aconteceram ontem em comparação com as suas 3h.

Então eu escreveu um artigo em Naked Security sobre algumas maneiras que você pode lidar com este problema quando você registra dados.

Minha recomendação pessoal é usar um formato de carimbo de data/hora simplificado chamado RFC 3339, onde você coloca um ano de quatro dígitos, traço [caractere de hífen, ASCII 0x2D], mês de dois dígitos, traço, dia de dois dígitos e assim por diante, para que seus carimbos de data e hora sejam classificados em ordem alfabética.

E que você registre todos os seus fusos horários como um fuso horário conhecido como Z (zed ou zee), abreviação de Hora Zulu.

Isso significa basicamente UTC ou Tempo Universal Coordenado.

Isso é quase, mas não exatamente, a hora média de Greenwich, e é a hora em que o relógio de quase todos os computadores ou telefones está realmente ajustado internamente nos dias de hoje.

Não tente compensar os fusos horários quando estiver escrevendo no log, porque então alguém terá que descompensar quando estiver tentando alinhar seu log com o de todos os outros - e há muitos deslizes entre o copo e o lábio, Doug.

Mantê-lo simples.

Use um formato de texto simples e canônico que delineie exatamente a data e a hora, até o segundo – ou, hoje em dia, os carimbos de data e hora podem até chegar a nanossegundos, se você quiser.

E livre-se dos fusos horários dos seus logs; livrar-se do horário de verão de seus logs; e apenas gravar tudo, na minha opinião, em Tempo Universal Coordenado…

…confusamente abreviado UTC, porque o nome está em inglês, mas a abreviação está em francês – uma ironia.

---

DOUG.  Sim.

---

PATO.  
Estou tentada a dizer: “Não que eu tenha uma opinião forte sobre isso, de novo”, como costumo fazer, rindo…

…mas é realmente importante colocar as coisas na ordem certa, especialmente quando você está tentando rastrear criminosos cibernéticos.

---

DOUG.  Tudo bem, isso é bom – ótimo conselho.

E se continuarmos no assunto dos cibercriminosos, você já ouviu falar dos ataques do Manipulator-in-the-Middle; você já ouviu falar dos ataques do Manipulador no Navegador…

..prepare-se agora para ataques Browser-in-the-Browser.

---

PATO.  Sim, este é um novo termo que estamos vendo.

Eu queria escrever isso porque pesquisadores de uma empresa de inteligência de ameaças chamada Group-IB escreveram recentemente um artigo sobre isso, e a mídia começou a falar sobre: ​​“Ei, ataques de navegador no navegador, tenha muito medo”, ou qualquer outra coisa. …

Você está pensando: “Bem, eu me pergunto quantas pessoas realmente sabem o que significa um ataque de navegador no navegador?”

E a coisa irritante sobre esses ataques, Doug, é que tecnologicamente, eles são terrivelmente simples.

É uma ideia tão simples.

---

DOUG.  Eles são quase artísticos.

---

PATO.  Sim!

Não é realmente ciência e tecnologia, é arte e design, não é?

Basicamente, se você já fez alguma programação JavaScript (para o bem ou para o mal), você saberá que uma das coisas sobre as coisas que você coloca em uma página da web é que elas devem ser restritas a essa página da web.

Portanto, se você abrir uma nova janela, esperará que ela obtenha um novo contexto de navegador.

E se ele carregar sua página de um site totalmente novo, digamos um site de phishing, ele não terá acesso a todas as variáveis ​​JavaScript, contexto, cookies e tudo o que a janela principal tinha.

Então, se você abrir uma janela separada, estará limitando suas habilidades de hacker se for um bandido.

No entanto, se você abrir algo na janela atual, ficará significativamente limitado quanto ao quão excitante e “semelhante ao sistema” pode parecer, não é?

Porque você não pode sobrescrever a barra de endereços... isso é por design.

Você não pode escrever nada fora da janela do navegador, então você não pode colocar sorrateiramente uma janela que parece papel de parede na área de trabalho, como se estivesse lá o tempo todo.

Em outras palavras, você está encurralado dentro da janela do navegador com a qual começou.

Portanto, a ideia de um ataque de navegador no navegador é que você comece com um site normal e, em seguida, crie, dentro da janela do navegador que você já possui, uma página da Web que se parece exatamente com uma janela do navegador do sistema operacional .

Basicamente, você mostra a alguém uma *foto* da coisa real e os convence de que *é* a coisa real.

É tão simples de coração, Doug!

Mas o problema é que com um pouco de trabalho cuidadoso, especialmente se você tiver boas habilidades em CSS, você *pode* realmente fazer algo que está dentro de uma janela de navegador existente parecer uma janela de navegador própria.

E com um pouco de JavaScript, você pode até fazer com que ele possa ser redimensionado, e para que ele possa se mover na tela, e você pode preenchê-lo com HTML que você busca em um site de terceiros.

Agora, você pode se perguntar... se os bandidos acertaram, como diabos você pode dizer?

E a boa notícia é que há uma coisa absolutamente simples que você pode fazer.

Se você vir o que parece ser uma janela do sistema operacional e suspeitar dela de alguma forma (ela pareceria essencialmente aparecer na janela do seu navegador, porque tem que estar dentro dela)…

…tente movê-lo *para fora da janela real do navegador*, e se estiver “aprisionado” dentro do navegador, você saberá que não é o verdadeiro negócio!

O interessante sobre o relatório dos pesquisadores do Group-IB é que, quando se depararam com isso, os bandidos estavam realmente usando-o contra jogadores de jogos do Steam.

E, claro, ele quer que você faça login na sua conta Steam…

… e se você fosse enganado pela primeira página, ela ainda seguiria com a verificação de autenticação de dois fatores do Steam.

E o truque era que, se essas *foram* janelas realmente separadas, você poderia tê-las arrastado para um lado da janela principal do navegador, mas não eram.

Neste caso, felizmente, os cozinheiros não tinham feito muito bem o seu CSS.

Suas obras de arte eram de má qualidade.

Mas, como você e eu falamos muitas vezes no podcast, Doug, às vezes há bandidos que se esforçam para fazer as coisas parecerem perfeitas.

Com CSS, você literalmente pode posicionar pixels individuais, não é?

---

DOUG.  CSS é interessante.

Está Cascading Style Sheets… uma linguagem que você usa para estilizar documentos HTML, e é muito fácil de aprender e ainda mais difícil de dominar.

---

PATO.  [Risos] Soa como TI, com certeza.

---

DOUG.  [RISOS] Sim, é como muitas coisas!

Mas é uma das primeiras coisas que você aprende quando aprende HTML.

Se você está pensando, “Eu quero fazer esta página da web parecer melhor”, você aprende CSS.

Então, olhando para alguns desses exemplos do documento fonte que você vinculou no artigo, você pode dizer que vai ser muito difícil fazer uma falsificação realmente boa, a menos que você seja realmente bom em CSS.

Mas se você fizer certo, vai ser muito difícil descobrir que é um documento falso…

… a menos que você faça o que você diz: tente puxá-lo para fora de uma janela e movê-lo pela sua área de trabalho, coisas assim.

Isso leva ao seu segundo ponto aqui: examine cuidadosamente as janelas suspeitas.

Muitos deles provavelmente não passarão no teste do olho, mas se o fizerem, será muito difícil de detectar.

O que nos leva à terceira coisa…

“Em caso de dúvida/Não divulgue.”

Se simplesmente não parecer certo, e você não conseguir dizer definitivamente que algo estranho está acontecendo, apenas siga a rima!

---

PATO.  E vale a pena suspeitar de sites desconhecidos, sites que você não usou antes, que de repente dizem: “OK, vamos pedir para você fazer login com sua conta do Google em uma janela do Google ou Facebook em uma janela do Facebook. ”

Ou Steam em uma janela do Steam.

---

DOUG.  Sim.

Eu odeio usar a palavra B aqui, mas isso é quase brilhante em sua simplicidade.

Mas, novamente, vai ser muito difícil conseguir uma correspondência perfeita de pixels usando CSS e coisas assim.

---

PATO.  Acho que o importante a ser lembrado é que, como parte da simulação é o “chrome” [jargão para os componentes da interface do usuário do navegador] do navegador, a barra de endereço ficará correta.

Pode até parecer perfeito.

Mas o problema é que não é uma barra de endereços…

…é uma *foto* de uma barra de endereços.

---

DOUG.  Exatamente!

Tudo bem, cuidado lá fora, todo mundo!

E, falando de coisas que não são o que parecem, estou lendo sobre DEADBOLT ransomware e dispositivos QNAP NAS, e me parece que acabamos de discutir essa história exata não muito tempo atrás.

---

PATO.  Sim, nós escreveu sobre isso várias vezes no Naked Security até agora este ano, infelizmente.

É um daqueles casos em que o que funcionou para os bandidos uma vez acaba funcionando duas, três, quatro vezes, cinco vezes.

E NAS, ou Armazenamento conectado à rede dispositivos, são, se você preferir, servidores de caixa preta que você pode comprar – eles normalmente rodam algum tipo de kernel Linux.

A ideia é que ao invés de ter que comprar uma licença do Windows, ou aprender Linux, instale o Samba, configure, aprenda a fazer compartilhamento de arquivos na sua rede…

…você apenas conecta este dispositivo e, “Bingo”, ele começa a funcionar.

É um servidor de arquivos acessível pela Web e, infelizmente, se houver uma vulnerabilidade no servidor de arquivos e você (por acidente ou projeto) o tornou acessível pela Internet, os criminosos poderão explorar essa vulnerabilidade, se houver uma em aquele dispositivo NAS, à distância.

Eles podem ser capazes de embaralhar todos os arquivos no local de armazenamento de chave para sua rede, seja uma rede doméstica ou uma rede de pequenas empresas, e basicamente mantê-lo como resgate sem ter que se preocupar em atacar outros dispositivos individuais, como laptops e telefones em seu computador. rede.

Assim, eles não precisam mexer com malware que infecta seu laptop e não precisam invadir sua rede e vagar como criminosos de ransomware tradicionais.

Eles basicamente embaralham todos os seus arquivos, e então – para apresentar a nota de resgate – eles apenas mudam (eu não deveria rir, Doug)… eles apenas mudam a página de login no seu dispositivo NAS.

Então, quando você descobre que todos os seus arquivos estão confusos e pensa: “Isso é engraçado”, e você entra com seu navegador da web e se conecta lá, você não recebe uma solicitação de senha!

Você recebe um aviso: “Seus arquivos foram bloqueados pelo DEADBOLT. O que aconteceu? Todos os seus arquivos foram criptografados.”

E então vêm as instruções sobre como pagar.

---

DOUG.  E eles também ofereceram gentilmente que a QNAP poderia colocar uma quantia principesca para desbloquear os arquivos para todos.

---

PATO.  As capturas de tela que tenho no artigo mais recente no programa nakedsecurity.sophos.com:

1. Decriptações individuais a 0.03 bitcoins, originalmente cerca de US$ 1200 quando essa coisa se espalhou pela primeira vez, agora cerca de US$ 600.

2. Uma opção BTC 5.00, onde a QNAP é informada sobre a vulnerabilidade para que possa corrigi-la, o que claramente não pagará porque já conhece a vulnerabilidade. (É por isso que há um patch neste caso em particular.)

3. Como você disse, há uma opção de BTC 50 (que é $ 1 milhão agora; era $ 2 milhões quando esta primeira história foi lançada). Aparentemente, se a QNAP pagar US$ 1,000,000 em nome de qualquer pessoa que possa ter sido infectada, os bandidos fornecerão uma chave mestra de descriptografia, se você não se importar.

E se você olhar para o JavaScript deles, ele realmente verifica se a senha que você colocou corresponde a um dos *dois* hashes.

Um é exclusivo para sua infecção – os bandidos o personalizam todas as vezes, então o JavaScript tem o hash nele e não dá a senha.

E há outro hash que, se você conseguir decifrá-lo, parece que recuperaria a senha mestra de todos no mundo…

… Eu acho que eram apenas os bandidos tocando seus narizes para todo mundo.

---

DOUG.  É interessante também que o resgate de $ 600 em bitcoin para cada usuário é… Eu não quero dizer “não é ultrajante”, mas se você olhar na seção de comentários deste artigo, há várias pessoas que não estão apenas falando sobre ter pago o resgate…

…mas vamos pular para a nossa pergunta do leitor aqui.

O leitor Michael compartilha sua experiência com este ataque, e ele não está sozinho – há outras pessoas nesta seção de comentários que estão relatando coisas semelhantes.

Em alguns comentários, ele diz (vou fazer um comentário franco sobre isso):

“Já passei por isso e saí bem depois de pagar o resgate. Encontrar o código de retorno específico com minha chave de descriptografia foi a parte mais difícil. Aprendi a lição mais valiosa.”

Em seu próximo comentário, ele passa por todas as etapas que teve que seguir para realmente fazer as coisas funcionarem novamente.

E ele desmonta com:

“Tenho vergonha de dizer que trabalho em TI, tenho mais de 20 anos e fui mordido por esse bug QNAP uPNP. Feliz por ter passado por isso.”

---

PATO.  Uau, sim, isso é uma afirmação e tanto, não é?

Quase como se ele estivesse dizendo: “Eu teria apostado contra esses bandidos, mas perdi a aposta e isso me custou US $ 600 e muito tempo”.

Aaah!

---

DOUG.  O que ele quer dizer com “o código de retorno específico com sua chave de descrição”?

---

PATO.  Ah, sim, isso é muito interessante... muito intrigante. (Estou tentando não dizer incrível-barra-brilhante aqui.) [RISOS]

Eu não quero usar a palavra C e dizer que é “inteligente”, mas meio que é.

Como entrar em contato com esses bandidos? Eles precisam de um endereço de e-mail? Isso poderia ser rastreado? Eles precisam de um site darkweb?

Esses bandidos não.

Porque, lembre-se, há um dispositivo, e o malware é personalizado e empacotado quando ataca esse dispositivo para que tenha um endereço Bitcoin exclusivo nele.

E, basicamente, você se comunica com esses bandidos pagando a quantia especificada de bitcoin em sua carteira.

Acho que é por isso que eles mantiveram a quantia comparativamente modesta…

…Eu não quero sugerir que todo mundo tem $ 600 para jogar fora em um resgate, mas não é como se você estivesse negociando antecipadamente para decidir se vai pagar $ 100,000 ou $ 80,000 ou $ 42,000.

Você paga a eles o valor... sem negociação, sem bate-papo, sem e-mail, sem mensagens instantâneas, sem fórum de suporte.

Você apenas envia o dinheiro para o endereço de bitcoin designado, e eles obviamente terão uma lista dos endereços de bitcoin que estão monitorando.

Quando o dinheiro chega, e eles veem que chegou, eles sabem que você (e você sozinho) pagou, porque esse código de carteira é único.

E eles então fazem o que é, efetivamente (estou usando as maiores cotações aéreas do mundo) um “reembolso” no blockchain, usando uma transação de bitcoin no valor, Doug, de zero dólares.

E essa resposta, essa transação, na verdade inclui um comentário. (Lembre o Hack de Poly Networks? Eles estavam usando os comentários do blockchain Ethereum para tentar dizer: “Caro, Sr. White Hat, você não vai nos devolver todo o dinheiro?”)

Então você paga os bandidos, dando assim a mensagem de que você quer se envolver com eles, e eles te devolvem $0 mais um comentário de 32 caracteres hexadecimais…

…que são 16 bytes binários brutos, que é a chave de descriptografia de 128 bits que você precisa.

É assim que você fala com eles.

E, aparentemente, eles reduziram isso a um T – como Michael disse, o golpe funciona.

E o único problema que Michael tinha era que ele não estava acostumado a comprar bitcoins, ou trabalhar com dados de blockchain e extrair aquele código de retorno, que é basicamente o comentário na transação “pagamento” que ele recebe de volta por $0.

Então, eles estão usando a tecnologia de maneiras muito desonestas.

Basicamente, eles estão usando o blockchain tanto como veículo de pagamento quanto como ferramenta de comunicação.

---

DOUG.  Muito bem, uma história muito interessante.

Vamos ficar de olho nisso.

E muito obrigado, Michael, por enviar esse comentário.

Se você tiver uma história, comentário ou pergunta interessante que gostaria de enviar, adoraríamos lê-la no podcast.

Você pode enviar um e-mail para tips@sophos.com, comentar em qualquer um de nossos artigos ou entrar em contato conosco nas redes sociais: @NakedSecurity.

Esse é o nosso show de hoje – muito obrigado por ouvir.

Para Paul Ducklin, sou Doug Aamoth, lembrando a vocês, até a próxima, para…

---

AMBAS.  Fique seguro.

[MODEM MUSICAL]