-
-
[推荐]【每日资讯】 | 信安标委发布大型互联网平台网络安全评估指南(征求意见稿) | 2023年12月27日 星期三
-
发表于: 2023-12-1 13:58 1838
-
2023年12月27日 星期三
今日资讯速览:
1、信安标委发布大型互联网平台网络安全评估指南(征求意见稿)
2、443家网店数据泄露:1.19亿张卡名单又添新受害者
3、2023年11月共有484家企业成为勒索软件受害者
1、信安标委发布大型互联网平台网络安全评估指南(征求意见稿)
信安标委近日发布《网络安全标准实践指南——大型互联网平台网络安全评估指南(征求意见稿)》公开征求意见的通知,该意见稿反馈时间至2024年1月5日。该评估指南将帮助大型互联网平台在网络安全合规基础上,进一步增强抗风险能力,意见稿对大型互联网平台提出每年组织开展相关安全评估工作,评估内容包括关键业务弹性、容灾备份能力、关键软硬件产品供应链安全性、对外提供数据的可控性、数据泄露事件发生后应急处置、平台控制权、用户权益保护。
2、443家网店数据泄露:1.19亿张卡名单又添新受害者
欧洲刑警 组织与 17 个国家的执法机构联手 警告 443 家在线商家,称其客户的支付卡数据已被泄露。这项为期两个月的行动由希腊牵头,并得到 Group-IB 和 Sansec 的支持,旨在打击数字窃取行为。
窃取的 本质是黑客将工具或恶意软件引入在线商店,以在在线支付过程中拦截客户的信用卡数据。这个问题长期以来一直影响着流行的在线商店。
感谢计算机安全事件响应小组 (CSIRT) 和欧盟网络安全局 ( ENISA ) 的工作,受影响的站点被告知它们正被用来进行窃取攻击。
欧洲刑警组织指出,此类攻击往往在很长一段时间内未被发现。被盗的支付信息通常在暗网上出售。消费者往往没有意识到他们的数据已被泄露,直到攻击者将其用于未经授权的交易,并且很难确定数据何时泄露。
执法部门向在线零售商提供技术支持,帮助删除恶意工具并确保客户安全。该行动包括美国、英国、德国、哥伦比亚、西班牙和荷兰。
根据 Recorded Future 的一份报告,暗网上交易的卡数量为 1.19 亿张,到 2023 年,这可能会给发卡机构带来 94 亿美元的损失,并给商家和买家带来 350 亿美元的潜在退款成本。2022 年,4560 万条支付卡数据记录因窃取器而 被泄露 。
出售的卡数据总数及其分为在线卡数据(CNP)和实体支付卡数据(CP)
2023年引入盗刷器的商店中,餐馆(占受害者总数的18.5%)、汽车配件销售商、服装店等最为突出。美国在暗网上可用的地图数量方面领先世界,超过 5000 万张。在任何其他国家或地区,这一数字都没有超过 250 万。
预计欺诈者将在 2024 年改进他们的方法,继续使用传统和新的卡盗窃方法。从北美和欧洲的金融机构盗取的卡将继续主导销售。该报告表明,到 2024 年,网络犯罪分子将利用先进的技术、微调的流程和社会工程技术来绕过欺诈检测系统。
3、2023年11月共有484家企业成为勒索软件受害者
根据Corvus最新的勒索威胁数据,2023年11月份共观察到484名受害者被公布于勒索组织的泄密站点,这一数量比10月增加了39.08%,与2022年11月相比增加了110.43%。Corvus评价称勒索软件组织似乎在11月卷土重来,受害者人数创下历史新高,11月的显著增长可能归因于CitrixBleed漏洞。Corvus还预测到,12月份的勒索受害者也会高于2022年12月。
2023年12月26日 星期二
今日资讯速览:
1、玩家发现《反恐精英 2》游戏 BUG:利用英伟达滤镜透视烟雾弹和闪光弹
2、小心含毒盗版游戏:通过恶意 VPN 扩展从 Google Chrome 窃取数据
3、GTA5源代码疑似泄露 R星暂无置评
1、玩家发现《反恐精英 2》游戏 BUG:利用英伟达滤镜透视烟雾弹和闪光弹
IT之家 12 月 26 日消息,《反恐精英 2》(CS2)玩家反馈,利用英伟达 GeForce 驱动程序设置中滤镜,可以透视烟雾弹和闪光弹效果。
玩家反馈经过英伟达 GeForce 驱动程序提供的滤镜,可以在《反恐精英 2》游戏中透视烟雾弹和闪光弹效果,看清隐藏在烟雾后面的敌人,从而可以瞄准攻击对方。IT之家附上演示视频如下:
《反恐精英 2》游戏自今年 9 月推出以来,出现了包括穿墙术、错误移动等诸多错误,甚至因为 AMD 的 Anti-Lag + 功能而误封玩家账号。
Valve 官方目前并未回应这个英伟达驱动漏洞,由于恰逢圣诞节假期,预估修复进度会有所放缓。
2、小心含毒盗版游戏:通过恶意 VPN 扩展从 Google Chrome 窃取数据
这些程序在 Chrome Web Store 中的下载量已超过 150 万次。
ReasonLabs 的专家 发现了Google Chrome浏览器 的三个恶意扩展程序,它们伪装成虚拟专用网络 ( VPN ) 服务。这些程序用于劫持会话、破解现金返还系统和窃取数据,从官方商店下载了超过 150 万次。
恶意扩展程序通过隐藏在流行视频游戏盗版版本中的安装程序进行分发,例如《侠盗猎车手》、《刺客信条》和《模拟人生 4》。受害者通过 torrent 网站下载游戏,这增加了感染的风险。
谷歌在收到研究人员的信息后,采取了行动,从 Chrome 网上应用店中删除了这些程序。受感染的扩展程序包括 netPlus(100 万次安装)、netSave 和 netWin(50 万次安装)。
大多数感染病例发生在俄罗斯、乌克兰、哈萨克斯坦和白俄罗斯。该活动似乎最初是针对俄语用户的。
扩展是自动安装的,没有任何注册表级别的通知。安装后,该程序会检查设备上是否有防病毒软件,然后在 Google Chrome 中下载 netSave,在 Microsoft Edge 中下载 netPlus。
从外部来看,这些扩展模仿了合法 VPN 服务的真实界面,甚至提供付费订阅。
该恶意软件的关键特征之一是使用“屏幕外”权限。它使攻击者能够通过 Offscreen API 秘密地与网页的 DOM(文档对象模型)进行交互。这使得黑客能够悄悄窃取敏感数据、操纵网络请求,甚至禁用浏览器中安装的其他工具。
恶意软件目标列表包括 Avast SafePrice、AVG SafePrice、Honey:自动优惠券和奖励、LetyShops、Megabonus、AliRadar Shopping Assistant、Yandex.Market Adviser、ChinaHelper 和 Backlit 等知名应用程序。
这些扩展还与命令和控制服务器进行通信,传输指令、受害者识别、敏感信息等。
这一事件引起了专家们对与网络浏览器扩展相关的严重安全问题的关注。其中许多程序都经过精心伪装,使它们更难以被发现。建议用户定期监控 Chrome 网上应用店上的评论,以了解任何可疑或恶意活动的报告。
3、GTA5源代码疑似泄露 R星暂无置评
根据bleepingcomputer报道,R星公司的GTA5游戏源代码在圣诞节前夕泄露,当前,下载源代码的链接在许多渠道上共享,包括Discord、暗网网站和黑客以前用来泄露被盗Rockstar数据的Telegram频道。此前,Rockstar Games于2022年被Lapsus$ 黑客组织的成员入侵,他们获得了公司内部部分服务的访问权限,而据安全组织挖掘披露,此次源代码的泄露时间比预期的要早。另据了解,R星对此次数据泄露事件暂无置评。
2023年12月25日 星期一
今日资讯速览:
1、Lapsus$主要成员被英国法官无限期判处“医院监管”
2、中央网信办举报中心依法受理处置一批仿冒企业诈骗网站:包括支付宝、淘宝、华为等
3、CVE-2023-7024:0day漏洞威胁着数百万Chrome浏览器用户安全
1、Lapsus$主要成员被英国法官无限期判处“医院监管”
据bleepingcomputer报道,Lapsus$网络犯罪和勒索集团成员Arion Kurtaj被英国法官无限期判处在“医院监管”中。现年18岁的Kurtaj是Lapsus$的主要成员,其参与了GTA6相关的资源泄露。据法官的说法,因为患有自闭症,但鉴于Kurtaj的能力和实施网络犯罪的愿望,他仍然是公众的“高风险”。因此,除非医生证明他不再构成危险,否则他应“安全”的留在医院。
2、中央网信办举报中心依法受理处置一批仿冒企业诈骗网站:包括支付宝、淘宝、华为等
IT之家 12 月 22 日消息,近段时间有不法分子仿冒境内一些企业官方网站,以相似网页标识和内容以假乱真,以“高额回报”“低价商品”“退款清算”等为诱饵,诱导网民访问非法网站或下载诈骗 App、骗取个人敏感信息、引诱打款转账,进行诈骗活动。
中央网信办举报中心及时受理网民相关举报线索,仿冒诈骗网站包括蚂蚁科技集团、支付宝、淘宝、华为等。
IT之家附仿冒网站常用欺诈手段:
盗用正规网站信息内容
不法分子冒用企业品牌名称和商标,盗用正规网站发布的公开信息,架设虚假网站,外观与正规网站基本一模一样。遇到这类网站,要仔细核实网址和备案信息的真实性。
经济利益诱惑力大
仿冒诈骗网站常通过组织退款清算、售卖低价商品、编造“高回报”投资分红项目、谎称快速理赔、提供低价充值渠道等明显超出合理利润的方式,引诱网民注册充值,参与投资消费活动。
套取个人信息
仿冒诈骗网站常以转账提现、发放补贴、登记注销等为由,诱骗网民提供身份证号、手机验证码、银行卡账户及密码等个人信息。
假冒客服诱导打款转账
仿冒诈骗网站也会设置虚假客服系统,以售后服务、协助解决订单问题为名义,与网民进一步联系,诱导网民打款转账,实施诈骗。
3、CVE-2023-7024:0day漏洞威胁着数百万Chrome浏览器用户安全
昨天,谷歌 发布了Chrome 网络浏览器的安全更新,以解决据报道已被攻击者利用的 高级零日漏洞。
该漏洞被指定为 CVE-2023-7024 ,被描述为WebRTC框架 内基于堆的缓冲区溢出错误。该漏洞可能导致程序崩溃或任意代码执行。
有关安全漏洞的其他详细信息目前尚未披露,以防止进一步滥用。Google 确认 CVE-2023-7024 的漏洞已经存在,并在实际攻击中被积极使用。
这一发现的错误成为自今年年初以来 Chrome 中第八个被积极利用的零日漏洞。之前的包括:
- CVE-2023-2033 (CVSS 评分:8.8)- V8 中的类型混淆;
- CVE-2023-2136 (CVSS 分数:9.6)——Skia 中的整数溢出;
- CVE-2023-3079 (CVSS 评分:8.8)- V8 中的类型混淆;
- CVE-2023-4762 (CVSS 评分:8.8)- V8 中的类型混淆;
- CVE-2023-4863 (CVSS 评分:8.8)- WebP 中的缓冲区溢出;
- CVE-2023-5217 (CVSS 分数:8.8)- libvpx 中 vp8 编码中的缓冲区溢出;
- CVE-2023-6345 (CVSS 评分:9.6)是 Skia 中的整数溢出。
据专家介绍,2023 年最常见的漏洞类型是:远程代码执行、安全机制绕过、缓冲区操纵、权限提升以及输入验证和处理错误。
建议任何桌面平台上的所有 Chrome 用户检查其浏览器版本并更新(如果有可用更新)。目前版本 120.0.6099.129 及更高版本被认为是安全的。
基于 Chromium 的浏览器(例如 Microsoft Edge、Brave、Opera、Vivaldi 和 Yandex Browser)的用户也应该在修复程序可用后立即应用它们。
2023年12月22日 星期五
今日资讯速览:
1、中国网络空间安全协会发布用于大模型的首批中文基础语料库
2、云被黑,上千个政府机构服务中断、数据丢失
3、美国15 亿条房地产数据泄露,波及诸多政商名人
1、中国网络空间安全协会发布用于大模型的首批中文基础语料库
12月20日下午,中国网络空间安全协会人工智能安全治理专业委员会在京召开发布会,面向社会发布用于大模型的首批中文基础语料库。首批发布的120G中文基础语料,包括1亿余条数据,500亿个token。用户登录中国网络空间安全协会网站(https: www.cybersac.cn newhome),点击“中文基础语料库”链接,通过注册、认证等程序,就能够下载相关语料。
2、云被黑,上千个政府机构服务中断、数据丢失
安全内参12月20日消息,意大利云服务提供商Westpole在12月8日遭受网络攻击,此次事件殃及Westpole的客户、政务服务商PA Digitale。后者通过旗下Urbi平台为各地地方政府机构和组织提供服务。服务对象包括1300家公共管理机构,其中有540家为市政机构。
Westpole通知了意大利个人数据保护局(隐私监管机构)和意大利警方。二者正在调查这次网络攻击事件。
据知情人士称,Westpole遭遇了勒索软件攻击,威胁行为者使用的是Lockbit 3.0变种。不过,截至本文撰写之时,Lockbit黑客团伙尚未将Westpole在Tor泄漏网站上列出。
Westpole官网上的最新公告(机器翻译)
Lockbit勒索软件攻击导致PA Digitale公司中断服务,这起安全事件导致很多公共管理部门和市政机构的服务瘫痪。为了继续提供服务,数家市政机构被迫回归人工模式。目前,意大利国家网络安全局正在努力恢复受影响机构的数据。
PA Digitale官网上的最新公告
一些意大利媒体报道称,由于此次攻击,部分受影响政府机构将无法向员工发放12月工资。
意大利国家网络安全局发布了以下声明:
“经过努力,我们恢复了遭受攻击的涉及700多家与PA Digitale公司供应链相关的国家和地方公共实体数据。”
“对于其他管理部门,约1000家公共实体与PA Digitale公司签订了各类管理服务提供合同,攻击发生当日(12月8日)之前3天至今的数据尚未恢复。”
“经PA Digitale公司确认,我们在此特别说明,经过努力,一些间接受影响的地方行政机构员工不必担忧无法领取12月工资和13薪。”
这次勒索软件攻击造成的损害程度难以评估。据意大利媒体《共和国报》报道,Westpole仅成功恢复了其系统的50%。意大利国家网络安全局表示,鉴于恢复过程缓慢且充满挑战,无法确定该公司能否完全恢复受影响系统。
专家警告称,受影响的公共管理部门可能难以履行某些服务和员工义务。
在Westpole遭受攻击的消息曝光后,这家云服务提供商声称,其系统没有数据外泄。然而,如果确定是勒索软件攻击,很难相信像Lockbit 3.0这样的老牌黑客组织会不窃取任何数据。
目前唯一确定的是,Westpole事件是意大利公共管理部门迄今为止遭受的最严重的网络攻击。
参考资料:https://securityaffairs.com/156090/cyber-crime/westpole-ransomware-attack.html
3、美国15 亿条房地产数据泄露,波及诸多政商名人
vpnMentor 报告称,属于房地产财富网络的一个不受保护的数据库在一段未知的时间内可以通过互联网进行访问。
Real Estate Wealth Network 成立于 1993 年,总部位于纽约,是一个在线房地产教育平台,为订阅者提供课程、培训材料和社区的访问权限。
网络安全研究员 Jeremiah Fowler 发现,未受保护的数据库大小为 1.16 TB,包含超过 15 亿条记录。
“数据按照以下内容组织在各种文件夹中:房产历史、积极卖家、破产、离婚、税收留置权、止赎、房主协会 (HOA) 留置权、继承、法院判决、讣告(死亡)、空置房产等, ”研究人员说。
在这些文件夹中,研究人员发现了有关业主、投资者和卖家的详细信息,以及 2023 年 4 月至 10 月期间的日志记录,其中包含用户的姓名、地址、电话号码、电子邮件地址、设备信息和文件详细信息已访问。
福勒说,暴露的信息涉及数百万人,包括名人和政客,例如“凯莉·詹纳、布莱克·谢尔顿、布兰妮·斯皮尔斯、弗洛伊德·梅威瑟、戴夫·查佩尔、埃隆·马斯克及合伙人有限责任公司、多莉·帕顿、马克·沃尔伯格、南希·佩洛西” , 和别的”。
“我能够看到他们的街道地址、购买价格和日期、抵押贷款公司、抵押贷款金额、税号、所欠、已付或到期税款以及其他信息,”福勒说。
研究人员向房地产财富网络报告了这一发现,该网络立即阻止公众访问该数据库,并在几天后确认了所有权。
福勒指出,他无法确定该数据库在互联网上暴露了多长时间以及谁可能访问了该数据库,并指出只有内部法证审计才能揭示该信息是否可能已被访问或下载。
研究人员指出,虽然美国的财产税记录被认为是半公开的,但公众通常无法完全获取所有权信息。
“在搜索数据库时,我找到了我自己的财产、我的姓名、地址、购买日期和其他详细信息。然后,我检查了当地县税务和收入办公室,看看这些数据是否公开,结果发现我当地县没有在线提供这些信息,”研究人员指出。
福勒指出,这些数据的暴露会给名人和政客的个人隐私、安全和保障带来潜在风险,但也可能导致信息滥用以及财产和抵押贷款欺诈。
“目前尚不清楚这些数据被公开暴露了多长时间,甚至是否有其他人可能访问过这些数据。我并不是说房地产财富网络数据库中的个人面临迫在眉睫的风险,我只是提供一个假设的例子,说明利用暴露的所有权记录和税务信息如何发生房地产或其他形式的欺诈,”研究人员指出。
2023年12月21日 星期四
今日资讯速览:
1、安全公司:今年全球计算机漏洞共披露 26447 个为“历史之最”,黑客仅利用其中“不到 1%”
2、Insomniac Games 攻击后 Marvel 游戏开发机密在网上泄露
3、诺基亚将以 1.85 亿欧元出售设备管理和服务管理平台业务
1、安全公司:今年全球计算机漏洞共披露 26447 个为“历史之最”,黑客仅利用其中“不到 1%”
IT之家 12 月 20 日消息,安全公司 Qualys 今日发布一份“2023 年网络威胁安全回顾”报告,该公司声称,2023 年全球共披露了 26447 个计算机漏洞,为“历年之最”,相比去年的 25050 个漏洞,多了 5.2%。
▲ 图源 Qualys 分析报告(下同)
IT之家从报告中获悉,在已披露的漏洞中,超过 7000 个漏洞具有“概念验证利用代码”,易被黑客用于实际攻击,其中更有 115 个漏洞已经被黑客“广泛利用”,虽然不及整体漏洞数量 1%,但已经十分危险。
今年黑客组织 LockBit 及 Clop 最为猖狂,两者均使用“勒索软件即服务”模式牟利,针对数千家公司进行攻击,获利价值数亿美元的虚拟货币。
2023 年高危漏洞“平均被黑客利用的时间”约为 44 天。但报告指出,25% 漏洞在公布当天就被黑客利用,75% 的漏洞在发布后 19 天内被利用。
在已发现的 206 个漏洞中,有 32.5% 的漏洞位于网络基础设施或 Web 应用程序领域,而这些领域传统上很难通过常规手段进行防护。
2、Insomniac Games 攻击后 Marvel 游戏开发机密在网上泄露
视频游戏行业最大的泄密事件之一涉及 Rhysida 勒索软件。
黑客组织 Rhysida 已在网上发布了超过 130 万份文件,其中包含从索尼旗下工作室 Insomniac Games 窃取的信息。 该公司的系统上周 遭到入侵。
正如攻击者声称的那样,他们设法获得了“独家、独特且令人印象深刻的数据”。总容量为 1.67 TB 的文件包含财务文件、员工(包括高层管理人员)的个人数据以及开发材料 – 屏幕截图、概念图、预算计划。
泄露的信息包括基于漫威宇宙的游戏的秘密材料:《蜘蛛侠 3》、《毒液》和《X 战警》。Insomniac 与漫威签订的到 2035 年开发 X 战警游戏的合同价值 6.21 亿美元。
黑客将窃取的数据放在影子拍卖中,索要 50 个比特币(约合 200 万美元)。然而,索尼无视这些要求,显然没有支付赎金。
Insomniac Games 成立于 1994 年。她的作品还包括《瑞奇与叮当》、《小龙斯派罗》和《抵抗组织》等热门系列作品。索尼于 2019 年以 2.29 亿美元收购了该工作室。
索尼公司本身及其部门已不止一次遭受黑客攻击。6 月,Cl0p 黑客通过侵入 MOVEit Transfer 服务窃取了她的数据。2011 年,黑客组织 Anonymous 对 PlayStation 网络进行了大规模 DDoS 攻击,导致 7700 万玩家无法访问自己的帐户。
Rhysida 是一个鲜为人知的组织,自 2022 年 5 月以来一直活跃。它攻击世界各地的各种公司,包括医疗机构、大学和政府机构。最大的攻击针对智利政府、美国 Prospect Medical Holdings 连锁医院以及华盛顿州和马里兰州的教育机构。
分析师估计,这一年里,Rhysida 使用勒索软件攻击了 70 多个组织。
Rhysida 还根据勒索软件即服务 (RaaS) 计划运营,向其他犯罪分子提供服务和工具。
对 Insomniac Games 的攻击是近年来视频游戏行业最大的事件之一。专家敦促开发商加强网络安全措施,防止信息泄露和经济损失。
3、诺基亚将以 1.85 亿欧元出售设备管理和服务管理平台业务
IT之家 12 月 20 日消息,诺基亚今日宣布将设备管理和服务管理平台业务以 1.85 亿欧元(IT之家备注:当前约 14.47 亿元人民币)的价格出售给 Lumine 集团,预计明年第一季度完成。
IT之家查询发现,Lumine 是今年刚刚由 Constellation Software 剥离出来的一家通信和媒体软件公司。作为交易的一部分,预计将有大约 500 名诺基亚员工会加入 Lumine。
公开资料显示,这些平台业务主要是诺基亚通过之前两次收购 Motive 和 mFormation 而形成的。Lumine 称其有意恢复 Motive 品牌,并将其作为一个独立的业务部门。
Lumine 表示,收购价格包括一笔高达 3500 万欧元(当前约 2.74 亿元人民币)的或有款项,这笔款项将根据新东家第一年的业务表现而定。
2023年12月20日 星期三
今日资讯速览:
1、伊朗发生大规模网络攻击 导致全国加油站业务中断
2、2023年十大新兴安卓银行木马
3、国际执法行动逮捕了3500名网络犯罪嫌疑人
1、伊朗发生大规模网络攻击 导致全国加油站业务中断
据外媒报道,本周一发生的大范围的网络攻击造成了伊朗全国范围内的加油站业务中断,伊朗石油部长贾瓦德·奥吉告诉伊朗国家电视台,这次袭击已经扰乱了伊朗约70%的加油站的服务。其补充说,这次袭击是由外国行为者发起的。有媒体评论称,因地缘政治问题,中东的关键基础设施正随时面临可能中断其服务的重大攻击风险。
2、2023年十大新兴安卓银行木马
2023年,10个全新的安卓银行木马恶意软件家族肆虐全球,攻击了61个国家/地区的985个银行和数字金融交易程序。
银行木马是一种“老而弥坚”的恶意软件,可窃取用户的凭证和会话cookie来绕过双因素认证(2FA)保护,有时甚至能自动执行交易来窃取用户的在线银行帐户资金。
根据移动安全公司Zimperium最新发布的2023年度移动安全报告,除了2023年新出现的10个安卓银行木马外,2022年流行的19个安卓银行木马在2023年也发生了“变异”,增加了新的功能并提高了操作复杂性。
银行木马的八个关键趋势
通过对这29个银行木马的追踪分析,Zimperium发现2023年移动恶意软件威胁呈现以下八个趋势:
银行木马的八个关键趋势添加自动转账系统(ATS),用于捕获MFA代币、发起交易并执行资金转账。
银行木马的八个关键趋势基于电话的攻击交付(TOAD):结合社会工程攻击,例如网络犯罪分子会冒充客户支持代理,引导受害者自行下载木马有效负载。
添加实时屏幕共享功能,无需物理访问即可远程控制受害者的设备。
使用域名生成算法(DGA):绕过黑名单过滤。
恶意软件即服务(MaaS):以每月3000至7000美元的价格向其他网络犯罪分子提供订阅包中的恶意软件。
标准功能完善。受调查的大多数木马提供了包括键盘记录、网络钓鱼页面和短信窃取等“标准功能”。
代码开源。恶意软件代码开源导致迭代加快,使基于签名的杀毒软件失效。
开始窃取数据。一个令人担忧的发展趋势是,银行木马不再仅仅窃取银行凭证和资金,现在还开始瞄准社交媒体、消息和个人隐私数据。
十大新兴安卓银行木马
报告重点分析了2023年诞生的十大新兴银行木马家族(其中包含超过2100个在野外传播的变种),这些木马伪装成特殊实用程序、生产力应用程序、娱乐门户、摄影工具、游戏和教育辅助工具等,在安卓应用生态和分发渠道中广为传播。
根据攻击目标的数量来看,Hook、Godfather和Teabot是2023年最具影响力的三大银行恶意软件。
传统银行应用程序仍然是银行木马主要目标,受感染的应用程序数量达到惊人的1103个,占1800个目标的61%,而新兴的金融科技和交易应用程序则占剩余的39%。
以下是这十个新木马的统计列表:
Nexus:MaaS(恶意软件即服务)模式,有498种变体,提供实时屏幕共享,针对9个国家/地区的39个应用。
Godfather:MaaS模式。有1171种已知变体,针对57个国家/地区的237个银行应用。支持远程屏幕共享。
Pixpirate:有123个已知变体,由ATS模块驱动,针对10个银行应用程序。
Saderat:有300个变体,针对23个国家/地区的8个银行应用程序。
Hook:MaaS模式。有14种已知变体,支持实时屏幕共享。其攻击目标覆盖43个国家/地区的468个应用程序,并以每月7000美元的价格租给网络犯罪分子。
PixBankBot:有三个已知变体,针对4个银行应用程序。配备了用于设备上欺诈的ATS模块。
Xenomorphv3:MaaS模式。有能够执行ATS操作的六种变体,针对14个国家/地区的83个银行应用。
Vultur:有9个变体,针对15个国家/地区的122个银行应用程序。
BrasDex:针对巴西8个银行应用程序的木马。
GoatRat:有52个已知变体,由ATS模块驱动,针对6个银行应用程序。
此外,还有很多2022年开始流行并在2023年完成更新的恶意软件家族,其中依然保持活跃的家族包括Teabot、Exobot、Mysterybot、Medusa、Cabossous、Anubis和Coper。
在安卓银行木马攻击的国家/地区统计中,排名第一的是美国(109个目标银行应用程序),其次是英国(48个银行应用程序)、意大利(44个应用程序)、澳大利亚(34)、土耳其(32个)、法国(30)、西班牙(29)、葡萄牙(27)、德国(23)和加拿大(17)。
三大缓解措施
报告指出,2023年银行木马给金融企业造成的经济损失和运营成本持续增加,同时导致消费者信任度和品牌影响力下降。金融机构应该采取主动和自适应安全方法应对不断增长的威胁,并重点实施以下三大缓解措施:
确保安全措施与威胁的复杂程度相匹配:使用先进的代码保护技术提升攻击应用程序所需的成本和精力,使其超过攻击者的潜在收益。
实现运行时可见性以进行全面的威胁监控和建模:移动应用安全领导者必须实现跨各种威胁媒介(包括设备、网络、应用程序和网络钓鱼)的运行时可见性。这种实时洞察力可以主动识别和报告风险、威胁和攻击。
部署设备上保护以实现实时威胁响应:移动应用安全领导者应优先实施设备上保护机制,使移动应用能够在检测到威胁时立即采取行动。这种能力应该是自主的,不需要依赖网络连接或后端服务器通信。
对于个人用户来说,防范安卓手机银行木马的关键措施是:避免从非官方应用商店下载应用;在应用安装过程中密切注意权限请求,切勿授予对“辅助功能服务”的访问权限;避免点击来路不明的短信或邮件中的(应用下载)链接。
报告链接:
https://get.zimperium.com/mobile-banking-heists-2023/
3、国际执法行动逮捕了3500名网络犯罪嫌疑人
据bleepingcomputer报道,代号为“海智行动IV”的国际执法行动已逮捕了3,500名不同级别网络犯罪的嫌疑人,并缴获了3亿美元的非法收益。此外,国际刑警组织已标记并冻结了34个国家的82,112个与各种网络犯罪和欺诈活动有关的银行账户。国际刑警组织相关人士表示:“缉获的3亿美元是一笔惊人的数字,清楚地说明了当今跨国有组织犯罪爆炸性增长背后的动机。“另外有数据显示,与2022年6月至11月期间进行的海智III行动相比,海智IV行动的逮捕人数增加了260%。
2023年12月19日 星期二
今日资讯速览:
1、开源漏洞共享平台及安全奖励计划正式发布
2、微软警告注意 Storm-0539 ——节日礼品卡欺诈背后逐渐崛起的威胁
3、加拿大加密货币交易所GOKUMARKET超百万用户数据曝光
1、开源漏洞共享平台及安全奖励计划正式发布
12月16日,2023开放原子开发者大会开上,开源漏洞共享平台及安全奖励计划正式发布。该平台由开放原子开源基金会联同互联网企业、网络安全企业、高校科研机构共同成立。所了解,平台将聚集于开源软件领域的0day漏洞治理工作,开源软件漏洞收集、验证、评估、报送、修复和公布等全生命周期处理流程,为漏洞修复提供所需资源和环境,全面提升国内开源软件0day漏洞发现与修复能力。
2、微软警告注意 Storm-0539 ——节日礼品卡欺诈背后逐渐崛起的威胁
微软警告称,他们正在追踪的名为 Storm-0539 的新兴威胁集群已经出现恶意活动上升趋势。这种威胁通过高度复杂的电子邮件和短信钓鱼攻击,在节假日购物季针对零售实体进行礼品卡欺诈和盗窃。
攻击的目标是传播设有陷阱的链接,将受害者引导至中间人攻击(AiTM)的钓鱼页面,这些页面能够窃取他们的凭据和会话令牌。
在 X(之前的 Twitter)的一系列帖子中,这家科技巨头表示:“在获取初始会话和令牌后,Storm-0539为随后的次要身份验证提示注册了他们自己的设备,绕过了多重因素认证(MFA)保护,并且使用完全被妥协的身份在环境中持续存在。”
通过这种方式获得的立足点进一步作为升级权限的通道,横向移动穿越网络,并访问云资源以获取敏感信息,特别是针对与礼品卡相关的服务,以进行欺诈。
另外,Storm-0539还收集电子邮件、联系人列表和网络配置,用于对同一组织进行后续攻击。这需要加强账户安全措施,以更好地保护组织的凭证和访问权限。
在上个月发布的每月 Microsoft 365 Defender 报告中,Redmond描述这个对手是一个有着经济动机的团体,至少自 2021 年以来一直活跃。
据称,“Storm-0539对目标组织进行了广泛的侦察,以制作极具欺骗性的钓鱼诱饵,并窃取用户凭证和令牌以获取初始访问权限。”
“这个攻击者对云服务提供商很熟悉,并利用目标组织的云服务资源进行攻击后活动。”
微软在宣布获得法院命令,扣押了一个名为 Storm-1152 的越南网络犯罪团伙的基础设施后发布了这一披露。该团伙售卖大约 7.5 亿个欺诈的微软账户以及其他技术平台的身份验证绕过工具。
本周早些时候,微软还警告称,多个黑客正在滥用 OAuth 应用程序,自动化进行金融动机的网络犯罪,如商业电子邮件篡改(BEC)、钓鱼、大规模垃圾邮件活动,并部署虚拟机非法挖掘加密货币。
3、加拿大加密货币交易所GOKUMARKET超百万用户数据曝光
Cybernews 研究团队发现,ByteX 旗下的集中式加密货币交易所 GokuMarket 留下了一个开放实例,泄露了几乎所有用户的详细信息。
此次泄露是在该团队发现一个未受保护的 MongoDB 实例之后发生的,该实例存储了 GokuMarket 加密货币交易所用户的信息。
企业使用 MongoDB 来组织和存储大量面向文档的信息,在 GokuMarket 的案例中,存储了超过一百万客户和管理用户的详细信息。
GokuMarket 是一家加密货币交易所,最近被加拿大加密货币交易所 ByteX 收购。此举是在当时拥有约 100 万用户的 GokuMarket 在 2022 年年中(对加密货币来说是灾难性的一年)拒绝用户提款选择后几乎破产之后发生的。
GokuMarket 暴露的数据库于 2023 年 10 月被发现,并在研究人员发送负责任的披露说明后的第二天就得到了保护。
然而,该数据库暴露在网络上一段时间了,这意味着任何人都可以访问它。与此同时,开放实例保存着超过一百万用户的大量敏感数据。数据包括:
- 用户IP
- 国家
- 电子邮件地址
- 加密密码
- 用户加密钱包地址
- 出生日期
- 名字和姓氏
- 手机号码
研究人员认为,对于持续攻击者来说,有足够的信息来开展鱼叉式网络钓鱼活动,其目的很可能是耗尽用户的加密货币资金。
此外,该团队发现该数据库拥有 35 个具有完全管理访问权限的帐户,包括私人 Telegram 频道 ID、交换平台秘密令牌、密码和其他极其敏感的信息。
虽然个人用户数据可能会被利用来通过撞库攻击来瞄准其他平台上的暴露用户,但管理访问详细信息会带来更可怕的蠕虫病毒,攻击者可以获得集体诈骗的能力,并面临未经授权的资金转移的风险。
2023年12月18日 星期一
今日资讯速览:
1、谷歌正在改变游戏规则:1月4日,Chrome将开始测试禁用第三方cookie的功能
2、Palo Alto成为首家超千亿市值的网络安全公司
3、PyPI 库发现116 个恶意软件包,感染 Windows 和 Linux 系统,已被下载1万次
1、谷歌正在改变游戏规则:1月4日,Chrome将开始测试禁用第三方cookie的功能
Google 如何开发新技术来取代第三方 cookie?它们将如何改变互联网?
谷歌此前计划于 2023 年实现这一目标,最初计划于 2022 年实现。
推迟的原因是谷歌希望给开发商、出版商和广告商更多的时间来适应新技术,以确保在展示相关广告的同时维护用户的隐私。谷歌还在寻求包括英国在内的多个国家监管机构的批准,该公司已与英国竞争与市场管理局(CMA)就其隐私沙盒项目达成协议。
Privacy Sandbox 是 Google 于 2019 年推出的一项举措,旨在开发不侵犯用户隐私的第三方 cookie 的替代解决方案。其中一种解决方案是 FLoC(群组联合学习),它根据兴趣而不是个人 ID 对用户进行分组。
第三方 cookie 的问题在于,它们允许跨不同站点跟踪用户,从而使广告商能够创建用户个人资料并向他们展示个性化广告。这引发了人们对侵犯用户隐私和安全的担忧。因此,一些浏览器(例如 Firefox、Safari、Edge 和 Brave)已经默认阻止第三方 cookie。
大部分收入来自广告的谷歌表示,它希望平衡各方——用户、出版商和广告商——的利益。该公司还担心,通过禁用第三方 cookie,广告商可能会使用更具侵入性的跟踪方法,例如浏览器指纹识别,该方法收集有关用户浏览器和设备的各种数据来识别用户。
谷歌 Privacy Sandbox 副总裁安东尼·查韦斯 (Anthony Chavez) 在一篇博客文章中写道:“这种远离第三方 cookie 的刻意方法确保了网络能够继续蓬勃发展,而无需依赖跨站点跟踪 ID 或隐藏方法。”
Google Chrome 是全球最受欢迎的浏览器,市场份额约为 66%。因此,浏览器的任何更改都可能影响全球数百万用户和许多企业。
在过去的几个月里,谷歌发布了 Chrome 新的 Privacy Sandbox API 的几个预览版本,供开发者测试,同时根据开发者、出版商、广告商和监管机构通过 W3C 等论坛提供的意见,努力完善其设计方案。
Chavez 补充道:“从 8 月初开始,Privacy Sandbox 试验将扩大到全球数百万用户,我们将在今年剩余时间和 2023 年逐步增加试验参与者数量。” “在用户加入挑战之前,他们会看到一条消息,让他们能够管理自己的参与。
2、Palo Alto成为首家超千亿市值的网络安全公司
Palo Alto Networks已经成为当前全球最为“成功”的网络安全公司,在2023年,Palo Alto Networks股价涨幅超过105%,12月初,Palo Alto Networks股价一度创出296.85的新高,成为首家市值超过1000亿美元的网络安全公司。分析师指出,Palo Alto Networks的增长是安全行业的一个重要里程碑。CTECH撰文指出,由于网络攻击范围的增加和多地区法规上的变化,整个网络安全产业正在增长。
3、PyPI 库发现116 个恶意软件包,感染 Windows 和 Linux 系统,已被下载1万次
网络安全研究人员在 Python 包索引(PyPI)仓库中识别出116个恶意软件包,这些恶意软件包通过定制后门程序感染 Windows 和 Linux 系统。
ESET 的研究人员 Marc-Etienne M.Léveillé 和 Rene Holt 在本周早些时候发布的一份报告中表示,在某些情况下,最终的有效载荷是臭名昭著的 W4SP Stealer 的变体,或者是一个用于窃取加密货币的简单剪贴板监控器,有时甚至两者兼而有之。
这些软件包自2023年5月就已经存在,目前初步估计已被下载超过1万次。
这些攻击者通过 test.py 脚本、在 setup.py 文件中嵌入 PowerShell,以及以混淆形式整合到 init.py 文件中这三种途径将恶意代码打包到 Python 包中。
不管使用哪种方法,这次行动的最终目的都是通过恶意软件,主要是一个能够远程执行命令、数据窃取和截屏的后门,来感染目标主机。这种后门模块在 Windows 上用 Python 实现,在 Linux 上则用 Go 实现。
另外,这些攻击链路也可能最终部署 W4SP Stealer 或剪贴板恶意软件,后者旨在密切监视受害者的剪贴板活动,并在原始钱包地址存在的情况下将地址替换为攻击者控制的地址。
这是攻击者放出的污染开源生态系统并传播各种供应链攻击的恶意软件的最新形式。在此之前,攻击者已经放出了一系列受损的 Python 软件包,以污染开源生态系统并分发各种恶意软件。
这也是众多虚假 PyPI 软件包中的最新案例,这些软件包被用作分发窃取恶意软件的隐蔽通道。2023年5月,ESET 揭露了另一组旨在传播 Sordeal Stealer 的库,该恶意软件借鉴了 W4SP Stealer 的特征。
接着,在上个月也发现了一些恶意软件包伪装成看似无害的混淆工具,并部署了一个名为 BlazeStealer 的恶意窃取软件。
研究人员警告:“Python 开发者在将代码下载到系统之前,特别是在安装之前,应该仔细审查代码,特别要注意检查这些技术。”
这一警告之后又发现了一些 npm 软件包,这些软件包是针对某个未命名的金融机构的“高级对手仿真演练”的一部分。为了保护机构的身份,这些包含加密数据块的模块名称被隐藏起来了。
软件供应链安全公司 Phylum 上周披露:“这个解密的有效载荷包含了一个嵌入的二进制文件,该文件能巧妙地将用户凭据外泄到目标公司内部的 Microsoft Teams webhook。
2023年12月15日 星期五
今日资讯速览:
1、国家密码管理局最新公告 支持密码科研团队开展关键技术研究
2、Apple 紧急更新:修复 0day 泄露敏感用户数据的问题
3、使用二维码盗窃数据:便利性如何变成欺诈者的工具
1、国家密码管理局最新公告 支持密码科研团队开展关键技术研究
12月13日,国家密码管理局发布第46号公告,发布《国家密码科学基金首批面上项目申报指南》和《国家密码科学基金首批重点项目申报指南》。两项研究申报时间节点均为2024年1月15日24时,其中“首批面上项目”计划对11个密码研究方向进行支持,“首批重点项目”计划对6个密码研究方向进行重点支持。安全419看到,其中包含多项量子密码领域的研究项目。
2、Apple 紧急更新:修复 0day 泄露敏感用户数据的问题
Apple发布了紧急安全更新,为旧款 iPhone 以及部分 Apple Watch 和 Apple TV 型号中两个经常被利用的零日漏洞提供备份修复程序。据 该公司称,该问题可能会在iOS 16.7.1 之前的 iOS版本 中被利用。
注意到两个漏洞:
- 越界漏洞CVE -2023-42916 (CVSS:6.5)。处理网页内容可能会导致敏感信息泄露。
- 内存损坏缺陷 CVE -2023-42917 (CVSS: 8.8)。处理网页内容可能会导致任意代码执行
这些错误是在 Apple 开发的 WebKit 浏览器引擎中发现的,并由该公司平台(例如macOS、iOS、iPadOS ) 上的 Safari 网络浏览器使用。这些缺陷可能允许攻击者访问敏感数据并使用旨在利用未修补设备上的越界错误和内存损坏的恶意网页执行任意代码。
Apple通过改进验证和输入阻止, 解决了iOS 16.7.3、iPadOS 16.7.3 、 tvOS 17.2 和 watchOS 10.2 中的零日漏洞 。
该公司表示,以下设备中的错误也已得到修复:
- iPhone 8 及更新机型、iPad Pro(所有型号)、iPad Air 第 3 代及更新机型、iPad 第 5 代及更新机型、iPad mini 第 5 代及更新机型;
- Apple TV HD 和 Apple TV 4K(所有型号);
- Apple Watch 系列 4 及更高版本。
谷歌威胁分析小组 (TAG) 的安全研究员 Clément Lesigne 发现并报告了这两个零日漏洞。
尽管苹果尚未提供有关攻击中使用缺陷的详细信息,但谷歌 TAG 研究人员经常发现并披露有关国家资助的针对知名人士、记者、反对派人士的监控软件攻击中使用的零日缺陷的信息。
3、使用二维码盗窃数据:便利性如何变成欺诈者的工具
美国联邦贸易委员会 ( FTC ) 就使用二维码的诈骗威胁日益增长发出警告 ,二维码可用于控制智能手机、进行欺诈交易或获取用户个人信息。
QR 码是一种二维条形码,当您的手机相机扫描时,它会自动打开网络浏览器或应用程序。它们广泛应用于餐馆、停车场、商店和慈善机构,以简化浏览在线菜单或付款等流程。QR 码还用于安全系统 – 例如,用于登录 YouTube、Apple TV 和其他电视应用程序上的帐户。
然而,诈骗者已经学会利用对二维码的信任来达到自己的目的。两年多来,他们一直在积极使用假二维码,用它们代替真实的二维码,例如在停车计时器上。这些代码会通往虚假网站,通过这些网站将资金转移到欺诈账户。
此外,旨在窃取密码或安装恶意软件的电子邮件会使用二维码重定向到恶意网站。由于二维码作为图像插入到电子邮件中,因此防病毒程序无法检测到欺诈链接。这种技术导致近几个月基于图像的网络钓鱼攻击有所增加。
联邦贸易委员会提醒消费者警惕此类诈骗。
“诈骗者提供的二维码可能会将您重定向到看似真实的虚假网站。如果您在此类网站上输入信息,犯罪分子将能够窃取您的信息。此外,二维码可以安装恶意软件,窃取您的信息。”联邦贸易委员会警告说。
联邦贸易委员会的警告是在联邦调查局发出类似警告 近两年后发出的 。两个机构的建议包括以下措施:
- 扫描二维码后,确保其指向网站或服务的官方URL;
- 仅在彻底检查网站后输入您的登录名和密码或付款信息;
- 在菜单、停车场或零售商处扫描二维码之前,请确保其未被篡改;
- 请特别小心电子邮件正文中嵌入的二维码;
- 除非必要,请勿在手机上安装第三方二维码扫描仪,并仔细核实应用开发商。
此外,您应该小心使用用于通过双因素身份验证系统(例如 Google Authenticator 或 Authy)注册网站的 QR 码。不要让任何人看到此类二维码,如果被盗,请重新注册该网站。
2023年12月14日 星期四
今日资讯速览:
1、网安厂商:在技术上能够支持1小时上报安全事件
2、2023年3.6亿人泄漏数据创历史新高,刺激数据加密需求
3、许多热门网站仍然坚持 1985 年以来的密码创建规则
1、网安厂商:在技术上能够支持1小时上报安全事件
至《网络安全事件报告管理办法(征求意见稿)》发布以来,安全419关注到多家网络安全企业已经发声,对发声重大安全事件1小时上报表示能够在技术上予以支持。
2、2023年3.6亿人泄漏数据创历史新高,刺激数据加密需求
根据苹果公司近日发布的数据泄露报告,2023年全球数据泄漏规模将创下历史新高,前九个月有3.6亿人的敏感数据遭泄漏,比2022年全年高出20%。苹果公司在报告中强调了使用端到端加密来保护敏感数据的重要性。
报告显示,过去两年中,勒索软件攻击和针对“可信”技术供应商的供应链攻击是导致数据泄露急剧增加的两个主要原因。
数十亿记录遭到泄露
根据报告,2021和2022年,全球泄露了惊人的26亿条个人记录,仅2022年一年就泄漏了约15亿条个人记录。
2023年将创下新的数据泄漏记录。仅2023年前9个月的数据泄露总数就已经比2022年全年总数高出20%。截至2023年8月底,企业和机构一共泄露了约3.6亿人的敏感记录。
苹果公司在报告中引用的IBM和Forrester的研究数据显示,在最近发生过数据泄露的组织中,95%之前已经发生过一次泄露。75%的受访者在过去12个月内至少经历过一次数据泄露事件。
勒索软件和针对技术厂商的供应链攻击是导致近年来数据泄露急剧增加的主要原因。2023年前9个月的勒索软件攻击数量比2022年同期增加了70%。2023年上半年遭遇勒索软件攻击的组织数量同比暴增了约50%,下半年的数据可能还会更高。
研究还发现,98%的组织与最近至少经历过一次数据泄露的技术供应商建立了合作关系。因数据泄漏事件影响众多组织和个人的主要技术供应商包括Fortra、3CX、ProgressSoftware和微软等。
苹果在报告中表示:“消费者数据面临的威胁日益增加,是企业和其他组织收集和明文存储个人数据数量不断增加的结果,特别是在云端。组织应该对网络中存储的数据进行加密,只有拥有解密密钥的人才能读取,从而降低黑客滥用或出售消费者数据的可能性。”
大规模数据泄漏刺激加密需求
组织需要对正在使用、传输和静态的数据进行加密,这是一个长期共识。各国的多项法规和行业指令(例如PCIDSS、HIPAA、GLBA和欧盟的GDPR)都要求或建议加密,特别是对于存储和传输中的数据。
即便如此,许多组织出于各种原因在数据加密方面继续拖延。Ontinue安全运营副总裁CraigJones表示,这些因素包括加密系统的复杂性、潜在成本、对性能影响的担忧以及缺乏有效管理加密系统的内部专业知识。
“实施端到端加密的难度在中等难度到非常具有挑战性之间,具体取决于组织的规模、现有基础设施以及加密数据的类型,”Jones说:“这需要仔细规划、投资正确的工具和技术,并且通常需要组织建立新的数据安全文化。此外,组织在实施加密时还经常会遇到与密钥管理和系统兼容性有关的问题。”
云计算的快速增长是组织考虑加密的另一个重要因素。苹果公司的研究数据显示,80%的数据泄露来自存储在云端的数据,加密云端数据可能比加密本地数据更具挑战性。
组织可能犯的另一个错误是仅仅依赖云提供商进行数据加密,Ben-Ari表示:“虽然云提供商提供了有价值的安全措施,但组织必须承担加密数据的直接责任。”
参考链接:
https://www.apple.com/newsroom/2023/12/report-2-point-6-billion-records-compromised-by-data-breaches-in-past-two-years/
3、许多热门网站仍然坚持 1985 年以来的密码创建规则
佐治亚理工学院的研究人员发现,大量流行网站仍然允许用户选择弱密码甚至单字符密码。
网站的密码创建规则不严格
研究人员使用自动帐户创建方法评估了Tranco 排名前 100 万的 20,000 多个网站,并评估了用户必须遵守的密码创建策略。
他们发现 75% 的网站允许密码短于建议的 8 个字符(其中 12% 允许使用单字符密码)。
他们还发现:
40% 的网站将密码长度限制在建议的 64 个字符以下
72% 的网站允许使用字典单词作为密码,88% 的网站允许用户选择已知被泄露的密码
三分之一的网站不支持所选密码中的特殊字符
39% 的人接受最流行的密码(“123456”),而近一半的人接受最常用的四个密码之一(即“123456”、“123456789”、“qwerty”和“password”)
他们还发现,大多数网站 (42.1%) 仍然遵守 NIST 2004 年的密码政策指南,尽管这些指南已于 2017 年进行了更新。相当一部分网站 (16.7%) 仍然坚持 NIST 1985 年的建议!
“我们还观察到,采用更强安全级别的情况明显较少。例如,只有 5.5% 的网站拥有满足 NIST 2004 2 级的策略,而 1 级的策略为 42.1%。我们还发现,美国 CERT、NCSC 和 OWASP 等更严格的密码准则的采用率很低。”研究人员 Suood Alroomi弗兰克·李指出。
为什么弱密码创建策略仍然如此普遍?研究人员认为,出于多种原因。
“我们的案例研究(……)发现,不安全的密码策略决策与流行网络软件(例如 WooCommerce 和 Shopify)的默认配置密切相关,”他们说。
“如果流行的网络软件默认实施推荐的密码策略配置,许多网站可能会转向更强大的密码策略。”
许多网站创建者也可能不知道更现代的密码创建策略选项,这可以通过教育和推广工作来补救。
多种多样的密码创建策略可能会造成可用性负担。他们总结道:“标准化密码策略将显着减少用户摩擦,在整个网络上提供统一的策略。 ”
网站登录规则
Alroomi 和 Li 最近还评估了Google CrUX前 100 万个域中18K 到 359K 网站(取决于所考虑的登录阶段)的网站登录策略。
他们发现:
近 2,000 个域仅通过 HTTP 提供登录页面,这意味着它们以纯文本形式传输和存储密码,并且有 21,200 个域除了 HTTPS 之外还通过 HTTP 提供登录页面。其中包括亚洲和南美洲实体的许多政府和教育领域
3,200 个网站的电子邮件/用户名或密码字段禁用了复制粘贴(现代指南实际上推动允许复制粘贴)
数百个网站部署了容错密码身份验证,这种身份验证可能在依赖密码猜测、撞库和调整攻击的攻击中被滥用
近 6,000 个网站返回登录错误消息,使用户枚举攻击变得容易
少数网站采用登录速率限制,可以防止在线暴力密码猜测攻击
570 个网站在注册时、电子邮件验证后或密码重置请求后通过电子邮件发送明文密码。
包含明文密码的电子邮件。(来源:Suood Roomi、Frank Li)
“在发现通过电子邮件发送明文密码的 570 个域名中,我们注意到很大一部分(147 个或 26%)是欧盟某个国家/地区的ccTLD域名(保加利亚 35 个域名、意大利 18 个域名、波兰 14 个域名) ,法国和德国均为 12)。这些网站存储明文密码可能违反欧盟 GDPR 第 32 条,该条要求欧洲网站对用户数据进行安全加密。”研究人员表示。
他们补充说,因此,GDPR 可以用来惩罚此类不安全行为,并激励对不安全网站行为进行补救。
外展活动可能会有效减少仍然支持 HTTP 登录页面的站点数量。而且,流行 Web 框架的变化可能会解决一些登录安全问题。
“例如,大约五分之一的容易受到用户枚举攻击的域似乎只是使用 WordPress 的默认登录失败消息。同样,最常见的错字容忍政策可能是由于流行的服务器端软件修改密码而产生的,”研究人员指出。
“虽然这些 Web 框架可能是普遍存在的身份验证问题的原因,但它们也可以成为解决方案的来源。解决身份验证问题的软件更新可以大大减少弱势群体。与此同时,如果流行的网络框架默认支持推荐的做法,例如速率限制,我们可能会观察到明显更高的采用水平。”
2023年12月13日 星期三
今日资讯速览:
1、反恐精英 2 HTML注入漏洞可暴露玩家IP地址
2、研究人员发现了一个能绕过 Android 14 和 13 锁屏的漏洞
3、执法部门捣毁臭名昭著的 BlackCat 勒索软件网站
1、反恐精英 2 HTML注入漏洞可暴露玩家IP地址
据报道,Valve 修复了 CS2 中的一个 HTML 注入漏洞,该漏洞一度被严重滥用,用于将图像注入游戏并获取其他玩家的 IP 地址。虽然该漏洞在利用方面并无实质危害,但能够轻易暴露玩家 IT 地址,其后续可导致恶意使用 DDoS 攻击以迫使玩家断开与比赛的连接,存在后续滥用可能。目前,Valve 已迅速行动修复了该漏洞。
2、研究人员发现了一个能绕过 Android 14 和 13 锁屏的漏洞
HackerNws编译,转载请注明出处:
研究人员Jose Rodriguez在 Android 14和13中发现了一个能绕过锁屏的漏洞,该漏洞可能会暴露用户 Google 帐户中照片、联系人、浏览记录等多项敏感数据。
几个月前,该研究人员在多个平台上发布消息,包括Twitter、Reddit和Telegram,询问是否可能从锁屏界面打开Google Maps链接,因为他无法在他的Pixel上锁定的情况下完成这个操作。
Rodriguez发现可以绕过锁定屏幕,并声称谷歌也意识到这个问题至少六个月,但尚未解决。
他在5月份向谷歌报告了这个问题,并指出到11月底,谷歌仍然没有计划进行安全更新的日期。
Rodriguez解释说,漏洞利用的影响因用户安装和配置谷歌地图而异。如果激活驾驶模式,严重程度会显著升级。
以下是研究人员描述的两种情况以及相关的严重性级别:
- 如果用户未激活“驾驶模式”:攻击者可以访问最近和常用的地点(如家、工作地点),同时还能够获取联系人信息,并与联系人实时分享位置,或者通过手动输入攻击者可以进入的电子邮件地址进行位置共享。
- 如果用户已激活了“驾驶模式”:除了前述访问权限外,攻击者还可以通过链接另一个漏洞访问设备的照片,将其发布或添加为账户的个人资料图片。此外,攻击者还能够访问Google账户或多个账户的广泛信息和配置,有可能从第二个设备获取对该账户的完全访问权限,以及其他尚待调查的内容。
Rodriguez敦促Android用户在手机上测试屏幕锁定绕过功能,并提供他们的评论,包括Android版本和设备的型号。
3、执法部门捣毁臭名昭著的 BlackCat 勒索软件网站
Hackernews 编译,转载请注明出处:
臭名昭著的勒索软件组织 BlackCat/Alphv 的官方网站已经离线好几天了,据信是执法部门关闭的。
自12月7日以来,位于 Tor 的 BlackCat/Alphv 泄露网站一直无法访问。威胁情报公司 RedSense 第二天报告称,该网站已被执法部门关闭。
在周日的更新中,该公司表示,“RedSense 首席研究官 Yelisey Bohuslavkiy 证实,包括 BlackCat 附属公司和初始访问经纪人在内的黑客确信关闭是由执法行动造成的。”另外,该公司补充说:“与 AlphV 直接相关的顶级组织的其他勒索软件领导层也证实了这一点,特别是 Royal/BlackSuit、BlackBasta、LockBit 和 Akira 的管理员和团队负责人。”
RedSense 还了解到,网络犯罪分子预计一切都会很快恢复,这表明对其运营和基础设施的影响有限。
截止发稿,BlackCat 网站已经关闭了四天。SOC 公司 ReliaQuest 指出,该集团的网站确实存在连接问题和中断的历史,然而,这似乎是一个最长的停机时间。
目前还没有执法机构公布针对 BlackCat 的行动信息。
在2023年1月关闭Hive勒索软件后,BlackCat 表示,这不会对其运营造成影响。
根据思科Talos最近的一份年度回顾报告,BlackCat 是今年第二活跃的黑客组织,仅次于LockBit。BlackFog 11月份的一份勒索软件报告显示,上个月BlackCat 和 LockBit 一样活跃。
BlackCat 背后的运营者似乎会说俄语,该公司于 2021 年底以勒索软件即服务的形式出现,提供高达90%的赎金,以吸引附属机构。据说,BlackCat 的许多开发人员和洗钱者都与现已不存在的 Darkside/BlackMatter 勒索软件有关。
ReliaQuest 表示,该勒索软件的泄密网站在关闭前列出了 650 多名受害者。受害者包括 Reddit、西部数据、瑞士体育、米高梅度假村和 NCR 等主要组织。前不久,BlackCat还勒索了台湾中国石化(BlackCat 声称攻击了台湾中国石化)。
2023年12月11日 星期一
今日资讯速览:
1、国家互联网信息办公室关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知
2、日产汽车位于澳大利亚和新西兰的系统遭黑客攻击:可能已发生用户数据泄露
3、90%的能源公司遭受供应商数据泄露
1、国家互联网信息办公室关于《网络安全事件报告管理办法(征求意见稿)》公开征求意见的通知
为了规范网络安全事件的报告,减少网络安全事件造成的损失和危害,维护国家网络安全,依据《中华人民共和国网络安全法》等法律法规,国家互联网信息办公室起草了《网络安全事件报告管理办法(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见:
1.登录中华人民共和国司法部 中国政府法制信息网(www.moj.gov.cn、www.chinalaw.gov.cn),进入首页主菜单的“立法意见征集”栏目提出意见。
2.通过电子邮件方式发送至:wlaqyj@cac.gov.cn。
3.通过信函方式将意见寄至:北京市海淀区阜成路15号国家互联网信息办公室网络安全协调局,邮编100048,并在信封上注明“网络安全事件报告管理办法征求意见”。
意见反馈截止时间为2024年1月7日。
附件:网络安全事件报告管理办法(征求意见稿)
国家互联网信息办公室
2023年12月8日
2、日产汽车位于澳大利亚和新西兰的系统遭黑客攻击:可能已发生用户数据泄露
该公司的客户在维护其数字身份方面面临着困难。
日本汽车制造商日产正在调查针对其位于澳大利亚和新西兰的系统的网络攻击。由于此事件,客户的个人数据可能已被访问。
该公司已向日产大洋洲部门的客户发出潜在数据泄露的警告,并指出未来几天存在欺诈活动的风险。日产大洋洲是这家标志性日本汽车制造商的区域部门,负责澳大利亚和新西兰的分销、营销、销售和服务。
Nissan.com.au 和 Nissan.co.nz 网站的主页上 发布了一份公司声明 ,称日产公司和金融服务公司的澳大利亚和新西兰分公司的系统遭受了网络事件。
根据通知,该公司已聘请其全球事件响应团队来评估网络攻击的影响。日产正在与该团队和其他利益相关者合作,调查事件的范围,并确定客户的个人信息是否被访问。
由于客户数据被泄露的风险很大,日产警告称,针对账户持有人的潜在欺诈性攻击以及账户被盗的可能性。
虽然网站功能似乎没有受到影响,但日产确认正在努力恢复受影响的系统。该公司要求客户在此过程中保持耐心。
日产还澄清其经销商网络并未受到此次事件的影响,所有车辆和服务请求都将立即得到处理。
澳大利亚和新西兰的政府机构的使命是提高网络弹性,它们已获悉该事件,但截至发稿时尚未发表正式声明。
3、90%的能源公司遭受供应商数据泄露
根据 SecurityScorecard 的最新数据,全球 48 家最大的能源公司中,几乎所有 (90%) 公司在过去 12 个月中都遭受了供应链数据泄露。该报告还强调了所谓的“第四方”违规行为的危险,即供应商的供应商违规行为。在过去的一年里,所有美国和英国公司都经历了第四方数据泄露,全球92%的能源公司都经历过此类事件。
2023年12月8日 星期五
今日资讯速览:
1、网信办发布《网络安全事件报告管理办法(征求意见稿)》
2、日产汽车位于澳大利亚和新西兰的系统遭黑客攻击:可能已发生用户数据泄露
3、最大的核设施英国塞拉菲尔遭遇黑客长期攻击
1、网信办发布《网络安全事件报告管理办法(征求意见稿)》
12月8日,国家互联网信息办公室发布《网络安全事件报告管理办法(征求意见稿)》,现向社会公开征求意见。办法要求,在中华人民共和国境内建设、运营网络或者通过网络提供服务的网络运营者在发生危害网络安全的事件时,应当按照本办法规定进行报告。国家网信部门负责统筹协调国家网络安全事件报告工作和相关监督管理工作。地方网信部门负责统筹协调本行政区域内网络安全事件报告工作和相关监督管理工作。
2、日产汽车位于澳大利亚和新西兰的系统遭黑客攻击:可能已发生用户数据泄露
该公司的客户在维护其数字身份方面面临着困难。
日本汽车制造商日产正在调查针对其位于澳大利亚和新西兰的系统的网络攻击。由于此事件,客户的个人数据可能已被访问。
该公司已向日产大洋洲部门的客户发出潜在数据泄露的警告,并指出未来几天存在欺诈活动的风险。日产大洋洲是这家标志性日本汽车制造商的区域部门,负责澳大利亚和新西兰的分销、营销、销售和服务。
Nissan.com.au 和 Nissan.co.nz 网站的主页上 发布了一份公司声明 ,称日产公司和金融服务公司的澳大利亚和新西兰分公司的系统遭受了网络事件。
根据通知,该公司已聘请其全球事件响应团队来评估网络攻击的影响。日产正在与该团队和其他利益相关者合作,调查事件的范围,并确定客户的个人信息是否被访问。
由于客户数据被泄露的风险很大,日产警告称,针对账户持有人的潜在欺诈性攻击以及账户被盗的可能性。
虽然网站功能似乎没有受到影响,但日产确认正在努力恢复受影响的系统。该公司要求客户在此过程中保持耐心。
日产还澄清其经销商网络并未受到此次事件的影响,所有车辆和服务请求都将立即得到处理。
澳大利亚和新西兰的政府机构的使命是提高网络弹性,它们已获悉该事件,但截至发稿时尚未发表正式声明。
3、最大的核设施英国塞拉菲尔遭遇黑客长期攻击
间谍软件已在该设施的网络中隐藏了 8 年。
英国塞拉菲尔德核设施的IT系统遭到黑客攻击。 《卫报》的一项调查 发现,该工厂的高级员工经常隐瞒有关袭击的信息。目前尚不清楚这些系统何时首次遭到破坏,但第一次违规行为是在 2015 年发现的。在塞拉菲尔德网络中发现了休眠的恶意软件,该恶意软件至今仍可用于间谍活动。
黑客可能已经获得了该设施中最敏感的材料。由于塞拉菲尔德未能及时向监管机构发出警报,丢失的数据和持续存在的系统风险的全部范围仍然未知。
调查还发现该设施长期存在网络安全缺陷。2013年,发现对Sellafield服务器的外部访问,引起了严重关注。据消息人士透露,塞拉菲尔德不符合高网络安全标准,目前正受到更严格的监管审查。
地图上的塞拉菲尔德
塞拉菲尔德是世界上最危险的核设施之一,占地6平方米。位于坎布里亚郡海岸数千公里处,拥有地球上最大的钚储量,以及武器计划和数十年核能生产产生的大量核废料堆。
该设施由武装警察把守,并存放着发生外国袭击或灾难时的应急计划文件。核监管办公室 (ONR) 证实塞拉菲尔德不符合网络安全标准,但拒绝就数据泄露或掩盖指控发表评论。
2023年12月7日 星期四
今日资讯速览:
1、微软将为 Win10 提供三年付费扩展安全更新,个人用户也能用
2、黑客使用虚拟键盘键盘记录器破解 iPhone
3、腾讯安全推出大模型隐私保护脱敏技术
1、微软将为 Win10 提供三年付费扩展安全更新,个人用户也能用
IT之家 12 月 6 日消息,微软公司几周前宣布,将为 Windows 10 22H2 添加新功能,包括其 Copilot 生成式 AI 助手,这在某种程度上是对其先前计划不再为操作系统添加任何新功能的一次反转。然而微软还重申,Windows 10 仍将在 2025 年 10 月 14 日结束其主流支持。
今天,微软公司宣布,对于在官方生命周期结束后仍需在其 PC 上使用 Windows 10 的公司,微软将提供为期三年的付费扩展安全更新(ESU)。值得一提的是,微软还确认也将为 Windows 10 个人消费者提供 ESU 计划,但具体细节尚未公布。
微软表示:“参加 ESU 计划的设备将每月接收安全更新,以保持这些 Windows 10 PC 的安全。Windows 10 的 ESU 计划将包括关键和 / 或重要的安全更新。ESU 不包括新功能、客户要求的非安全更新或设计更改请求。ESU 本身之外的技术支持也不可用。”
Windows 10 ESU 的定价尚未公布,不过微软表示,任何登录到运行 Windows 11 的云 PC(通过 Microsoft 365)的 Windows 10 PC 将自动免费接收这些 ESU 更新,这同样适用于 Azure 虚拟桌面中的任何 Windows 10 实例。
当然,微软更希望公司将其 PC 更新至 Windows 11。如果这些电脑能够满足 Windows 11 的系统要求,微软表示它们可以通过 Windows Autopatch 或 Microsoft Intune 进行更新。如前所述,如果他们的 Windows 10 PC 不符合 Windows 11 的系统要求,他们可以通过 Windows 365 在云 PC 上访问 Windows 11。然而微软表示,也许是时候购买预装 Windows 11 Pro 的新 PC 了。
IT之家注意到,公共利益网络最近发起的一项在线请愿活动要求微软延长 Windows 10 的寿命,该组织称 Windows 11 更高的 PC 系统要求可能意味着数百万台 PC 将无法更新,并且“可能导致有史以来最大规模的电脑报废”。
2、黑客使用虚拟键盘键盘记录器破解 iPhone
最近发现黑客找到了一种使用第三方键盘绕过 iPhone 安全性的方法。根据 Certo Software 的 Russell Kent-Payne 的一份报告,攻击者 正在使用 这些键盘记录私人消息、浏览器历史记录,甚至 iPhone 用户密码。
在许多有关网络跟踪的报道之后,人们开始对此威胁进行研究。在调查过程中,发现所有受影响的设备都安装了恶意键盘。
左侧可以看到默认的 iOS 键盘,右侧可以看到用作键盘记录器的自定义键盘
这种攻击的特殊之处在于,黑客不需要破解设备或获取 iCloud 的访问权限。相反,他们使用苹果的 TestFlight 平台来分发键盘,因为该平台上的应用程序不会像 App Store 上的应用程序那样经过严格的安全审查。
通过设备设置安装恶意键盘后,黑客将标准的iPhone键盘替换为自己的键盘,与原来的键盘没有区别。这样的键盘可以记录用户输入的所有内容并将数据发送到黑客的服务器。
如何检查和保护
要检查您的 iPhone 是否安装了恶意键盘,请打开“设置”,转到“键盘”,然后检查已安装键盘的列表。如果您发现启用了完全控制权限的陌生键盘,可能需要引起关注。在这种情况下,建议删除可疑键盘。
还值得考虑使用 Mac 防病毒软件,它可以扫描您的 iPhone 或 iPad 是否存在恶意软件,但需要通过 USB 连接到您的 Mac。
目前,苹果尚未对这种攻击方法发表评论,但我们将继续关注更新并随时向您通报情况。
3、腾讯安全推出大模型隐私保护脱敏技术
近日,腾讯安全玄武实验室披露了一项关于大模型隐私保护的安全脱敏与还原(Hide and Seek, HaS)技术,有望帮助大模型产品使用者从本地终端侧防范隐私数据泄露。据报道,这是业内首个公开发布的、能被大模型用户部署于终端侧的隐私保护脱敏技术。借助这一技术,用户可以从“源头”免除使用云端大模型带来的数据泄露方面的担忧。
2023年12月6日 星期三
今日资讯速览:
1、严重的“LogoFAIL”错误为数百万台电脑提供安全启动绕过
2、中国网络空间安全协会开展2023个人信息保护工作问卷调查
3、公安部公布打击黑客犯罪10起典型案例
1、严重的“LogoFAIL”错误为数百万台电脑提供安全启动绕过
来自不同供应商(包括英特尔、宏碁和联想)的数百种消费级和企业级 x86 和 ARM 型号可能容易受到 Bootkit 和接管的影响。
研究人员发现了“LogoFAIL”,这是PC统一可扩展固件接口 (UEFI) 生态系统中存在的一组关键漏洞。
利用这些漏洞会使基本的端点安全措施失效,并使攻击者能够对受影响的系统进行深度控制。
根据将于下周在伦敦举办的 Black Hat Europe 上正式发布的 Binarly Research 报告,这些缺陷源自启动过程中的图像解析库,影响了 x86 和基于 ARM 设备的所有主要设备制造商。
研究人员警告说,LogoFAIL 的广泛影响加剧了其严重性,并指出它影响整个生态系统,而不仅仅是个别供应商。这些发现是通过 CERT/CC VINCE 系统报告的,预计供应商补丁计划于 12 月 6 日发布,与题为“ LogoFAIL:系统期间图像解析的安全影响”的黑帽演讲同时进行。
使用LogoFAIL劫持启动过程
Binarly 研究人员发现,通过在 EFI 系统分区 (ESP) 或未签名的固件更新部分嵌入受损映像,威胁参与者可以在启动期间执行恶意代码,从而劫持启动过程。
这种利用绕过了安全启动和英特尔启动防护等关键安全措施,有助于插入在操作系统级别下运行的持久固件启动套件。
Binarly 首席执行官兼创始人 Alex Matrosov 解释道:“由于攻击者正在将特权代码执行权写入固件,因此它在设计上绕过了安全边界,就像安全启动一样。” “英特尔 Boot Guard 和其他可信启动技术不会在运行时扩展,并且在验证固件后,它只是在系统启动流程中进一步启动。”
他说,Binarly 研究团队最初是在实验室的一台联想设备上尝试修改徽标。
“有一天,它在显示启动徽标后突然开始重新启动,”他说。“我们意识到问题的根本原因是原始标志的改变,这导致了更深入的调查。”
他补充道,“在这种情况下,我们正在处理修改后的启动徽标图像的持续利用,在运行时触发有效负载交付,其中所有完整性和安全性测量都在加载固件组件之前进行。”
这并不是第一次发现安全启动绕过;2022 年 11 月,五款 Acer 笔记本电脑型号中发现固件缺陷,可用于禁用安全启动并允许恶意攻击者加载恶意软件;BlackLotus或BootHole威胁之前已经为引导进程劫持打开了大门。然而,Matrosov 表示,LogoFAIL 与之前的威胁不同,因为它不会通过修改引导加载程序或固件组件来破坏运行时完整性。
事实上,他说 LogoFAIL 是一种纯数据攻击,当恶意输入来自固件映像或在系统启动过程中从 ESP 分区读取徽标时就会发生-因此很难检测到。
“这种使用 ESP 攻击向量的方法在固件本身内部留下了零证据,因为该徽标来自外部来源,”他解释道。
大多数 PC 生态系统都很脆弱
配备来自三个主要独立 BIOS 供应商 (IBV) Insyde、AMI 和 Phoenix 的固件的设备很容易受到影响,这表明不同硬件类型和架构之间存在潜在影响。Matrosov 表示,这三者合计覆盖了 BIOS 生态系统的 95%。
事实上,Matrosov 表示,LogoFAIL 影响“全球大多数设备”,包括来自不同供应商的消费级和企业级 PC,包括宏碁、技嘉、惠普、英特尔、联想、微星、三星、超微、富士通和“许多其他供应商”。
“受影响设备的确切列表仍在确定中,但值得注意的是,所有三个主要 IBV(AMI、Insyde 和 Phoenix)都受到与图像解析器相关的多个安全问题的影响,这些安全问题是作为固件的一部分提供的”,Binarly 报告警告说。“我们估计 LogoFAIL 会以某种方式影响这些供应商提供的几乎所有设备。”
Phoenix Technologies 本周发布了一份早期安全通知(现已删除,但可作为缓存使用,直到 12 月 6 日恢复),详细说明该错误 (CVE-2023-5058) 存在于低于 1.0 的所有版本中.5 的 Phoenix SecureCore Technology 4,这是一种 BIOS 固件,可为各种设备提供高级安全功能。
通知称,“该缺陷存在于系统启动期间处理用户提供的启动屏幕中,可以被对设备进行物理访问的攻击者利用”,并指出有更新版本可用。“通过提供恶意启动屏幕,攻击者可以引发拒绝服务攻击或在 UEFI DXE 阶段执行任意代码,绕过安全启动机制并损害系统完整性。”
LogoFAIL 还被 Insyde 跟踪为 CVE-2023-40238,并被 AMI 跟踪为 CVE-2023-39539 和 CVE-2023-39538。
Matrosov 表示,该公司正在与多家设备供应商积极合作,协调整个领域的披露和缓解工作。
固件更新是最大限度降低风险的关键
为了最大限度地降低固件风险,用户应及时了解制造商的建议并及时应用固件更新,因为它们通常可以解决关键的安全缺陷。
此外,审查供应商也是必须的。Matrosov 补充道:“对您每天依赖的个人设备或跨企业基础设施的设备供应商要挑剔。” “不要盲目信任供应商,而是验证供应商的安全承诺,并找出设备库存及其他方面的差距。”
2、中国网络空间安全协会开展2023个人信息保护工作问卷调查
为加强App违法违规收集使用个人信息的治理工作,切实保护公民在网络空间的合法权益,在中央网信办网络数据管理局指导下,中国网络空间安全协会于12月组织开展面向全国网民的2023年个人信息保护工作问卷调查,为下一步深化个人信息工作提供参考。
3、公安部公布打击黑客犯罪10起典型案例
北京某热门景点被非法抢票案、四川攀枝花陈某等操纵老年机获利案、广东佛山某公司APP系统被破坏案…
1、北京某热门景点被非法抢票案。
2023年7月,针对群众反映的北京部分热门景点门票预约难、购票难等问题,北京公安机关成立专班开展相关工作。经工作发现了分别以陈某(男,27岁)和李某(男,34岁)为首的两个位于外省的非法抢票团伙,两个犯罪团伙自行制作非法抢票软件,用于抢占全国多地热门景点门票,后通过网络加价倒卖。
2023年7月至8月,在当地警方的协作下,北京公安机关抓获开发软件、非法抢票等涉案人员16名,起获作案用手机25部、电脑21台,查获各类抢票软件26款,涉案金额230余万元。
2、四川攀枝花陈某等操纵老年机获利案。
2022年9月,四川攀枝花公安机关在工作中发现,本地出现多起老年手机“自动订购”增值业务的情况,并且每月被扣除相关增值业务费用1元至10元不等,疑似手机被远程操控。
经查,犯罪嫌疑人陈某、高某与老年手机方案商、生产商勾结,在老年机生产环节中植入木马程序,后台订购“天气”“财经”等增值业务,并与增值业务商分成获利。
经核实,该团伙非法控制老年手机1440余万部,全链条非法获利一亿余元。2023年2月,攀枝花公安机关对该案集中收网,在广东、北京、海南、湖南抓获嫌疑人29名,现场扣押涉案手机43部,电脑硬盘22块、笔记本电脑5台、猫池服务器2台,冻结涉案资金6000余万元。
3、广东佛山某公司APP系统被破坏案。
2023年2月初,佛山市某科技有限公司股东杨某报案称,称其公司名下的网络商城平台APP自2022年11月份起遭到黑客入侵,损失近50万元人民币。广东佛山网安对新某潮APP进行代码分析,发现该APP存在多个系统漏洞,犯罪嫌疑人通过技术手段抓取系统传输的数据包、篡改系统数据等方式非法增加巨额商城积分,并将积分提现为人民币牟利,最终锁定30余名犯罪嫌疑人。
2月28日,广东佛山网安部门全链条打掉以王某涛为首的“黑客”网络盗窃团伙,在贵州、重庆、山东、河北等地抓获犯罪嫌疑人31名,查获涉案手机电脑64部、银行卡95张、网络账号51个,成功侦破利用APP系统漏洞实施犯罪的特大“黑客”网络盗窃团伙。
4、四川雅安陈某某等破坏疫苗预约系统案。
2023年5月,四川雅安公安机关工作发现本地一预约HPV疫苗平台被黑客破坏,导致大量HPV疫苗资源被黑客非法预约给他人。
经查,陈某某、余某等人长期利用黑客技术手段,非法获取“知苗”“约苗”等分布在国内18个省、47个市的卫健委HPV疫苗预约平台加密传输的数据包,并对其进行解密、分析后,配置到自己编写的程序中,通过配置用户信息,在未经官方授权情况下伪造数据包,绕过官方后台服务器安全策略,以毫秒级间隔向服务器发送预约疫苗指令,为用户提高疫苗预约几率。
2023年5月,雅安公安机关对该系列案集中收网,抓获犯罪嫌疑人36人,涉案金额1000余万元。
5、江苏盐城某团伙非法认证实名信息获利案。
2022年4月8日,江苏响水公安机关发现一团伙使用脚本批量对微信号进行登录以及绑定身份证的操作。
经分析研判发现,该脚本利用微信实名认证机制漏洞,实现非本人对微信号的实名认证,结合侦查期间固定的电子数据和嫌疑人的供述等材料,该团伙以钓鱼、植入木马的手段入侵航空票务、土地测绘等企业数据库,非法获取大量公民个人身份信息,用于包括微信在内的各类网络账号的实名认证。
2023年7月份至今,共抓获相关涉案人员18名,明确境外购买公民个人信息的诈骗窝点3个,查封扣押冻结涉案资金100余万元,扣押作案电子设备45个,固定木马程序3个,各类实名账号12万余个,形成对开发木马、种植木马获取数据、购买公民个人信息、诈骗犯罪团伙的全链条打击。
6、浙江杭州线上非法引流诈骗案。
2023年4月,浙江杭州公安机关在工作中发现,多个犯罪团伙在网络平台内利用木马程序对企业实施侵害。
经查,该批犯罪团伙通过线上定向对企业营销号投放木马病毒、线下商城骗取企业销售人员信任等方式,获取企业营销号控制权。最后,该批犯罪团伙假冒受害企业员工身份以“拉大群、发红包”等方式将其客户引流至境外诈骗群内,为境外诈骗团伙提供“金粉”(诈骗团伙所需的高价值人员),实施精准诈骗。
2023年5月,杭州公安机关组织开展集中收网行动,抓获犯罪嫌疑人39名,受害企业涉及全国2500余家。
7、黑龙江大庆某公司破坏加油机信息系统案。
今年3月,黑龙江大庆公安机关在联合执法检查中发现辖区内某加油站移动加油车存在偷油功能,严重侵害消费者利益。
经查,涉案作弊移动加油机系浙江某公司生产,该公司在生产移动车载加油机过程中,勾连技术人员实现遥控加油机达到“缺斤少两”功能。自2017年以来,该公司累计向全国各地销售此类作弊加油机4万余台,涉及全国24省95市。
4月9日至25日,黑龙江大庆公安机关组织在大庆市及河南郑州、浙江温州、浙江台州共3省4市开展抓捕行动,先后抓获大庆市加油机经销商、加油机使用人员,以及浙江某公司法人、财务、技术、销售等关键环节犯罪嫌疑人26人,成功打掉一作弊移动加油机生产厂商,扣押作弊移动加油机主板2000余个。
8、安徽六安姚某友提供有偿网络攻击服务案。
2023年4月,六安网安部门在工作中发现,六安霍山县居民姚某友搭建DDoS攻击平台并提供有偿攻击服务。经查,犯罪嫌疑人姚某友等人利用境外聊天工具组建群组进行勾连,通过搭建DDoS攻击平台等为他人有偿提供攻击服务,形成了一条集发单、接单、技术帮助、网络教学为一体的DDoS攻击网络黑产利益链条。
2023年6月,六安警方开展集中收网,抓获犯罪嫌疑人3名,扣押涉案电子设备4部,涉案数字货币钱包2个,查扣涉案资金48万余元。
9、广东汕头陈某财非法注册网络账号获利案。
2023年5月,汕头公安机关侦查发现1个利用境外AI软件绕过抖音人脸认证系统并非法大量注册实名认证的网络账号的线索。
广东汕头网安对该线索研判经营,发现犯罪嫌疑人陈某财等人通过在网上购买公民个人信息,利用境外AI人脸技术软件将人脸头像制作成视频,绕过了真人核验环节。
2023年7月5日,在省厅网警总队的统一指挥下,广东汕头网安在深圳、揭阳、汕头等地对该团伙开展统一收网行动,抓获犯罪嫌疑人7名,扣押涉案电脑、手机、移动硬盘、手机卡、银行卡等涉案物品一大批,查获涉案抖音账号1万余个,涉案金额60余万。成功侦破利用APP漏洞实施犯罪的“黑客”网络团伙。
10、上海嘉定新能源车“克隆”电池案。
2023年5月,上海公安机关发现辖区某新能源车企动力电池数据存在异常。
通过企业信息系统排查,有多个ID的动力电池在北京、江苏、上海、福建等多地同时出现并使用的情况。经深入分析发现,这些ID号的车辆在之前都因交通事故而被后台锁住了电池组,无法充电和行驶,相关电池组内的数据极有可能被人为盗刷篡改,破解锁定功能。
此类被锁定的故障电池重新上路行驶,极有可能引发电池短路甚至起火等高危情况,严重危害驾乘人员生命安全,造成极大交通安全隐患。
经缜密部署,2023年6月,上海警方辗转多地将4名犯罪嫌疑人悉数抓获,并缴获了一批用于盗刷电池板的电脑、硬盘、芯片读写器、超级编程器等工具,切实保障了企业和车辆使用者的利益及安全。
2023年12月5日 星期二
今日资讯速览:
1、关于国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿征求意见的通知
2、意在加强数据安全 TikTok将在欧洲投资超120亿欧元
3、金融云被勒索,超60家信用社服务中断
1、关于国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿征求意见的通知
各相关单位和专家:
经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 政务计算机终端核心配置规范》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2024年02月03日前反馈给信安标委秘书处。
联系人:王姣 13661025214 wangjiao@cesi.cn
全国信息安全标准化技术委员会秘书处
2023年12月04日
2、意在加强数据安全 TikTok将在欧洲投资超120亿欧元
据TikTok官方上周五消息,TikTok宣布未来十年将在欧洲投资超过120亿欧元,实施一项名为“三叶草”(Project Clover)的项目,该项目将为欧洲用户提供“行业领先”的数据保护计划。据介绍该120亿欧元的投资总额将被用在如下领域上的投入,他们包括:三座位于欧盟国家和地区境内的数据中心,聘请英国网络安全公司 NCC 作为数据审计、监督,以及进一步加强用户数据、隐私保护技术。
3、金融云被勒索,超60家信用社服务中断
安全内参12月4日消息,大约60家信用合作社因行业技术提供商遭受勒索软件攻击面临服务中断。
美国国家信用合作社管理局(NCUA)是联邦层面监管信用合作社的机构。该机构发言人Joseph Adamoli表示,此次勒索软件攻击对象是云服务提供商Ongoing Operations,该公司隶属信用合作社技术公司Trellance。
大量信用社出现不同程度服务中断
NCUA收到的事故报告表明,Ongoing Operations于11月26日向多家信用合作社发送消息,称公司遭到勒索软件攻击。
Ongoing Operations告知受影响的信用合作社,“发现此情况后,我们立即采取行动处理和调查此事件,包括聘请第三方专家协助确定事件的性质和范围。我们还通知了联邦执法部门。”
“目前,我们仍在展开调查,我们将继续提供必要的更新。请注意,目前我们没有掌握任何信息被滥用的证据。经过极其深重的考虑,我们决定发布通知,保持对此事件的关注。”
Adamoli确认,由于第三方服务提供商遭勒索软件攻击,目前大约有60家信用合作社面临各种程度的服务中断。
他说,“NCUA正在与受影响的信用合作社进行协调。受影响的联邦保险信用合作社的会员存款由国家信用合作社股份保险基金承保,金额最高可达25万美元。”
他补充说,NCUA已经向美国财政部、联邦调查局和网络安全与基础设施安全局通报此事件。Trellance未回应置评请求。
事件影响外溢到更大范围
此次攻击影响较大,外溢到其他信用合作社技术提供商,包括为信用合作社提供数据处理解决方案的公司FedComp。
FedComp未回应置评请求,但其网站上的通知显示,“FedComp数据中心遇到技术困难,全国性服务中断。”
声明提到,“我们无法提供服务,恢复时间未知。Trellance仍在努力解决问题。我们暂不提供电子邮件支持,技术支持电话依旧保持畅通。”
山谷联邦信用合作社(MVFCU)也受到影响。这家信用合作社发布通知,警告客户他们正在应对严重的服务中断。
这家位于纽约州佩鲁的信用合作社为克林顿县/埃塞克斯县数千人提供服务。该合作社表示,他们的数据处理商FedComp已转达Trellance遭受勒索软件攻击的消息。
山谷联邦信用合作社首席执行官Maggie Pope给会员致信,写道,“Trellance表示我们的会员信息并未受到此次事件影响。”
“由于此次攻击事件,Trellance必须迁移到新的服务器系统。这一过程涉及多个步骤,需要一些时间。这不仅仅是山谷联邦信用合作社的问题,而是全国性问题。Trellance和FedComp一直在全天候工作,帮助我们以及其他遇到同样问题的美国信用合作社重新上线系统。”
山谷联邦信用合作社表示,计划承担与此事件相关的任何费用。
针对信用社等攻击数量激增
今年8月,NCUA警告称,他们注意到针对信用合作社、信用合作社服务组织以及其他金融服务产品第三方供应商的网络攻击正在增加。
今年早些时候,多家信用合作社受到了针对MOVEit文件传输软件的网络攻击。过去三年,数十家组织向缅因州监管机构提交了数据泄露报告。
2022年,RansomHouse勒索团伙将Jefferson信用合作社列入受害者名单,而Envision信用合作社在去年宣布遭到LockBit勒索软件团伙的网络攻击。Ardent信用合作社在2020年也遭遇了一起事件。
今年2月,NCUA批准了新规定,要求联邦保险信用合作社在网络攻击发生后72小时内通知该机构。新规定于9月1日生效。
10月,NCUA主席Todd Harper表示,规定生效后30天内,NCUA收到了146份事故报告——达到了该机构过去一年内才能收到的报告数量。
他称赞信用合作社积极努力寻求政府机构帮助,提升网络安全。但是,他也指出NCUA对“整个信用合作社系统的分析能力仍然有限”。
他说,“这是因为信用合作社服务组织和信用合作社第三方服务提供商的监管水平不如银行供应商。毕竟,NCUA没有直接检查或监督这些实体的法定权限。”
“利益相关者必须认识到,由于NCUA没有对供应商的监管权限,带来了切实风险,风险在不断扩大,影响我们所有人。”
他补充说,向NCUA报告的网络事件中超过60%涉及第三方服务提供商和信用合作社服务组织。
他表示,“这个监管盲点在不断扩大。在它被解决之前,数千家联邦保险信用合作社、数以千万计信用合作社消费者以及数万亿美元的资产都面临极高风险。”
参考资料:https://therecord.media/credit-unions-facing-outages-due-to-ransomware
2023年12月4日 星期一
今日资讯速览:
1、埃及电子支付巨头遭勒索软件攻击,花费近半个月恢复正常
2、开发人员疏忽导致数百万KidSecurity用户数据泄露
3、工信部通报22款侵害用户权益行为的APP(SDK)
1、埃及电子支付巨头遭勒索软件攻击,花费近半个月恢复正常
安全内参12月1日消息,LockBit 3.0勒索软件团伙对埃及最大的电子支付提供商Fawry发动攻击。他们不仅成功加密了文件,还声称窃取了数据。
11月8日,LockBit在其专用泄漏网站发布了Fawry相关数据样本,将这次入侵行动公之于众。次日,网络安全监控平台Hackmanac声称,此次LockBit 3.0勒索软件攻击窃取了Fawry客户的个人详细信息,导致多家银行建议客户删除Fawry平台上的账户信息。
公司最初否认遭受攻击
阿拉伯非洲国际银行证实Fawry遭受了网络攻击,客户个人身份信息(PII)可能已经泄露。
该银行表示,已立即采取措施阻止访问,但入侵活动仍对客户数据的安全构成重大威胁。该银行还敦促员工从系统中删除在Fawry上注册的任何卡号,并在后续几周内密切监控交易以防潜在问题。
然而,Fawry最初发布了一份正式声明,称埃及境内没有发生任何网络入侵行为,强调其所有平台和服务都有高效、安全的电子防御措施。
Fawry声明发布之际,许多客户发现该公司网站难以访问,总是弹出服务器错误消息,也无法通过移动应用程序登录账户。
Fawry的声明称:“一些人在社交媒体上散布谣言。他们或宣扬我们遭到攻击,或表示我们的信息系统被入侵。本公司否认这些谣言。公司立即对服务器进行实时调查。根据测试结果,我们确认为客户和银行提供服务的服务器没有被破坏。公司保证客户的任何财务或银行数据都未泄露,并按照全球监管机构要求采用了最高的网络安全标准。”
确认测试环境用户个人数据遭泄露
11月26日,Fawry再次针对此次攻击发表声明:“Fawry仍然相信受攻击数据不会影响平台上的财务交易,但公司认为(泄露)数据可能包含一些客户的个人详细信息,这些信息曾作为系统迁移项目的一部分存在测试平台上。”
Fawry还确认了泄露数据的细节,包括地址、电话号码和出生日期。
11月9日,知名网络安全公司Group-IB被请来调查此事件。三天后,他们“在Fawry所有服务器基础设施上部署了新的网络安全解决方案”,并宣布“11月23日彻底清除了生产和测试环境中LockBit的存在痕迹”。
网络安全公司StrikeReady的首席产品官兼联合创始人Anurag Gurtu表示,Fawry的网络攻击之所以引人注目,一大原因是入侵发生在Fawry网络的一个隔离部分。他认为,Fawry“积极主动”地对入侵事件做出响应,该公司专门聘请了网络安全公司调查此次攻击。Gurtu建议其他金融服务实体考虑此事件的影响,并采取“预防措施,以防潜在的数据误用”。
但是,纽约州立大学宾汉姆顿分校管理学院副教授Sumatra Sarkar批评Group-IB和Fawry发布的“信息过于有限”,导致“难以评估对事件的响应是否到位”。
参考资料:https://www.darkreading.com/cyberattacks-data-breaches/fawry-recovering-from-lockbit-ransomware-attack-、https://www.thenationalnews.com/mena/egypt/2023/11/09/payments-platform-fawry-crashes-but-company-denies-cyber-attack-or-data-breaches/
2、开发人员疏忽导致数百万KidSecurity用户数据泄露
流行的家长控制应用 KidSecurity 泄露了 活动日志。攻击者可以获取数百万用户的个人数据。
KidSecurity 在 Google Play 上的下载量超过一百万次,为家长提供了跟踪孩子位置、收听设备中的音频以及设置设备使用限制的工具。
9 月 16 日,研究人员发现该应用程序未配置 Elasticsearch 和 Logstash 存储的身份验证,这些存储通常用于分析日志和事件数据。由于此错误,用户活动日志在互联网上公开保留了一个多月。
据估计,此次泄露影响了超过 3 亿条记录,其中包括 21,000 个电话号码和 31,000 个电子邮件地址。此外,有关支付卡的信息也被部分披露,包括号码的前六位和后四位数字、卡到期日期和发卡行。
此外,有迹象表明攻击者已经利用了该漏洞。应用程序服务器受到 Readme 僵尸网络的攻击,该僵尸网络经常在受感染的系统上留下勒索软件文件。尽管目前还没有关于这一特定事件的勒索数据。
将电子邮件地址、电话号码和付款信息等敏感数据暴露给儿童跟踪应用程序会构成严重威胁。在犯罪分子手中,这些信息可用于身份盗窃、欺诈和未经授权的金融交易,使儿童及其家人面临巨大风险。尽管用户的位置尚未被泄露,但数据泄露严重侵犯了他们的隐私和安全。
3、工信部通报22款侵害用户权益行为的APP(SDK)
工信部持续开展APP侵害用户权益专项整治行动,11月30日通报2023年第8批,总第34批共22款APP、SDK存在侵害用户权益行为,包括计算管家、超级手电筒、即刻相册、火线精英、WiFi加速钥匙等应用,覆盖衣食住行各方面,所涉问题集中在违规收集个人信息,强制、频繁、过渡索取权限,欺骗诱导强制用户,APP频繁自启动和关联启动,超范围收集个人信息。
2023年12月1日 星期五
今日资讯速览:
1、Ethyria: Echoes of Yore 游戏的 17,000 名粉丝因勒索软件攻击而失去了账户
2、乌克兰情报机构网攻俄罗斯民航局,称俄民航业正处于崩溃边缘
3、ChatGPT 制作了一份令人信服的虚假医疗报告
1、Ethyria: Echoes of Yore 游戏的 17,000 名粉丝因勒索软件攻击而失去了账户
开发商拒绝支付赎金,但承诺给玩家专属宠物。
11月24日上午,黑客使用勒索软件攻击了流行在线角色扮演游戏《 Ethyryal: Echoes of Yore》的服务器 。此次事件导致约17000个游戏账号数据丢失。
Ethyrial: Echoes of Yore 是一款由独立工作室 Gellyberry Studios 开发的免费大型多人在线角色扮演游戏。它在Steam平台上提供早期版本,也就是说,它正在积极开发中,并在社区支持的情况下创建。
攻击者对服务器和本地备份介质上的所有文件进行了完全加密,并要求支付比特币赎金以获得解密密钥。开发人员决定不支付赎金,而是手动恢复所有系统 – 支付赎金后犯罪分子拒绝遵守条件的风险太大。
大多数帐户与角色、收集的物品和成就一起被摧毁。在他们的官方 Discord 频道中, 业主们承诺将尽一切可能将进度返还给玩家,并给予他们一只“专属宠物”作为补偿。
该工作室计划加强安全措施——更频繁地离线备份数据库、限制对服务器的远程访问、仅允许来自特定范围IP地址的连接。
尽管之前也曾出现过针对游戏开发商的攻击案例,但这并没有像以前那样频繁地影响到用户,也没有达到如此规模。网络安全专家再次强调在在线服务和游戏平台中妥善保护个人数据的重要性。
最引人注目的勒索软件事件之一是 2021 年 2 月对 流行游戏《赛博朋克 2077》和《巫师 3》的开发商CD PROJEKT RED的攻击 。HelloKitty 组织对该事件负责。
2023 年 1 月, 《英雄联盟》和《Valorant》项目的创建者Riot Games成为勒索软件的受害者。黑客索要 1000 万美元赎金,并威胁否则将公布被盗的源代码。
2、乌克兰情报机构网攻俄罗斯民航局,称俄民航业正处于崩溃边缘
近日,乌克兰国防情报局声称,他们成功进行了网络攻击,入侵了俄罗斯政府的民航局,并获得大量机密文件,其中包括民航局长达一年半的每日报告清单。
这是乌克兰政府首次承认对俄罗斯进行网络攻击。自2022年初俄罗斯入侵以来,亲乌克兰团体和黑客组织曾声明过发起了类似不法攻击事件,包括对航空公司、银行和互联网供应商的袭击等。但国家公开承认黑客攻击还史无前例,针对此次事件,乌克兰政府将其描述为“网络空间的复杂特别行动”。
乌克兰政府称,俄罗斯的民航部门正处于崩溃的边缘。乌克兰政府还公布了几份据称泄露的文件的截图,并列出了从中了解到的一些事实。
据称,2023年1月,俄罗斯民航报告了大约185起事件,其中三分之一被宣布为危险事件。在2023年前9个月,记录了150起飞机故障案例,而2022年同期为50起。乌克兰政府声称,这表明俄罗斯航空最近记录的安全隐患强度增加了两倍。
这还不是全部。俄罗斯在飞机维护方面也遇到了问题,由于乌克兰方的制裁,备件很难外包。现在,该国正在将飞机维修转移到伊朗,但在那里进行此类工作没有相关认证,存在更高的风险和安全隐患。飞机零件的短缺在俄罗斯造成了“飞机自相残杀”,这意味着它正在拆解飞机以修理其他飞机。
目前尚不清楚黑客攻击是何时进行的。俄罗斯的民航局尚未对这些指控做出回应。值得注意的是,这是乌克兰首次承认对俄罗斯目标进行网络行动。国家自豪地宣传他们对对手的网络攻击是很反常的,但就乌克兰而言,这似乎可以理解。因为这一违规操作对俄罗斯航空业造成了重大打击,并引发了对其民用空域安全的担忧。被盗文件可能暴露该国航空交通管制系统的漏洞,并为乌克兰提供有价值的信息。此次黑客攻击的时机至关重要,因为它发生在俄罗斯和乌克兰之间的紧张局势达到顶峰的时候。
3、ChatGPT 制作了一份令人信服的虚假医疗报告
意大利研究人员最近 发现 人工智能生成的数据可能会产生误导。这项研究由卡利亚里大学眼科医生 Giuseppe Giannaccare 进行,其主要发现是 ChatGPT 可以生成令人信服但虚假的数据。
Giannaccare 指出,ChatGPT 在几分钟内创建了包含数百名患者的虚假数据集。这一发现令人担忧,特别是考虑到医学研究中伪造数据的威胁日益增加。
剑桥大学词典甚至将“hallucinate”(大型语言模型产生虚假信息)评为年度词汇。滥用 ChatGPT 的例子已经导致了制裁:两名使用 ChatGPT 准备案件材料的律师因使用虚假信息而被罚款 5,000 美元。
研究人员使用连接到高级 Python 数据分析模型的 ChatGPT 来生成治疗圆锥角膜的临床试验数据。然而,生成的数据尽管令人信服,但完全是虚构的。
Giannaccare 强调认识“人工智能的阴暗面”的重要性以及开发更好的检测欺诈方法的必要性。他还指出,充分利用人工智能可以为科学研究做出重大贡献。
这篇 发表 在《JAMA 眼科》杂志上的论文指出,对数据进行更仔细的分析可能会发现伪造的迹象,例如受试者年龄以 7 或 8 结尾的不自然数字。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!