超4900万条Instagram名人账户数据再一次被泄漏!

根据最新的报道,Instagram位于AWS存储桶上的一个大型数据库由于保护不当,任何没有访问权限的人都可以访问它。目前,由该漏洞造成的损失和危害还在评估当中。

该大型数据库拥有4900多万条Instagram账户的个人信息,其中大部分都是网红和网络大V的个人信息,如个人经历、资料图片、粉丝数量、所在城市的位置、私人联系方式,电子邮件地址以及电话号码等信息。

据TechCrunch网站调查,该数据库属于社交媒体营销公司Chtrbox,其总部位于印度,主要业务就是让网红和网络大V发布广告。为了验证漏洞的可靠性,TechCrunch网站拿出了两个账号向Chtrbox验证其真伪,果不其然,这两个账号确实属于Chtrbox公司的。当TechCrunch向Chtrbox公司表示该数据库已经泄漏时,他们却说事情还有待核实,目前还不清楚发生了什么。目前Facebook已经宣布正在调查这一事件。

超4900万条Instagram名人账户数据再一次被泄漏!

为何名人的个人信息频繁在Instagram上大规模泄露?
说到底,这和Instagram的商业模式有关,2018年年底,Instagram还准备推出只为名人提供服务的功能。Instagram计划通过Creator帐户的形式来为用户提供一个能深刻洞察他们粉丝数据的工具。不过这些账户仅提供给明星或者其他有影响力的用户使用。这些创建者帐户的功能类似于业务的重点简介,明星或者其他有影响力的用户可以通过这个功能看到他们的粉丝每天或者每周的数据变化,来让他们了解到底是什么导致他们粉丝数目增长或者减少。

此外,Instagram用户还可以启用消息的直接传递工具来过滤来自品牌合作伙伴或者朋友的笔记,同时,普通用户也可以通过标签来找到他们想要找的明星或者其他有影响力的人。

用户的隐私对Facebook来说只是一种商品而已
Instagram数据泄露进一步证明Facebook是多么不关心用户的隐私。Facebook泄露其用户个人信息已经是家常便饭了,特别是2018年,Facebook被曝多达8700万用户的数据落入政治数据公司Cambridge Analytica的手中,该公司为特朗普2016年的总统竞选工作。

由于Facebook的用户隐私的泄露,已经触发公众对隐私保护的极限。因此,5月12日下午,Facebook的联合创始人发文呼吁监管机构拆分Facebook,将Instagram和WhatsApp从Facebook中剥离,以防止用户数据集中在一家巨头手里。扎克伯格对此回应称,该提议对解决问题毫无益处。不过此次事件的爆发,直接打脸扎克伯格,或将促使Instagram和WhatsApp业务从Facebook中剥离。

电子社保卡真的安全可靠吗?

电子社保卡以保证持卡人信息准确、安全为根本前提,用户领卡和用卡时,均需要第三方平台与全国社保卡平台进行实时校验确认,并结合电子认证、刷脸认证等互联网安全技术手段,确保是‘实人、实名、实卡’。同时,就诊买药等相关信息均由医院、药店与医保系统直接交互,数据不经过第三方平台,确保用户个人信息安全。

但实践证明,信息安全保卫战就是一场猫捉老鼠的游戏,永不停歇!

近年来,因为个人信息泄露导致的电信诈骗时有发生,骗子们知道受害者的单位、名字、身份证号、收入水平。这些个人信息是怎么泄露的,一直是个谜团。社保系统漏洞导致的个人信息泄露,可能是其中的来源之一。

例如:2013年,中石油某分中心住房公积金管理中心被入侵;2014年,北京市住房管理中心爆出漏洞,无需登录即可查看别人的公积金余额;2015年,西安市住房公积金系统设计缺陷,可绕过密码查询个人账户信息。像这些省级管理中心,管理者数百万缴纳者的个人信息,其信息泄露造成的影响不可低估。

尤其值得注意的是,类似漏洞爆出之后,管理者即使将漏洞弥补,但之前已经泄露的信息也无法追回、销毁,甚至是否有人曾经入侵过都不得而知。

社会保障号码对应的个人信息一直是黑市里的一个金矿,黑客经常会将社会保障号码列为攻击的头等目标,并动用一切手段来获取社会保障号码。

电子社保卡真的安全可靠吗?

个人信息泄露促生的电信诈骗
1、公积金账户异常、社保缴纳异常、提取公积金诈骗。骗子谎称用户的公积金账户异常,需要缴费才能恢复使用,直接骗取钱财;有的会谎称可以帮你提取公积金,但索取高额手续费。凡是遇到这种情况,用户可以直接拨打官方电话求证,或者直接去社保大厅去办理相关业务,不要凭借电话就转账、支付。
2、伪造身份证,窃取网银资金。因为在社保、医保等账户中有身份证号、头像等信息,骗子可以用这些信息伪造身份证,用假身份证去补办手机卡,通过手机尝试获取用户网银账户、第三方支付密码,转走账户中的资金。
3、通过社保资料,查找收入高的目标人群,通过短信发送手机病毒,用户点击安装后,病毒会截取用户手机的短信等信息,黑客伪造用户身份在第三方支付平台注册并绑定银行卡,凭借手机验证短信转走用户资金。由于手机病毒会截取短信,导致银行发送的账户变动短信用户无法得知,往往几天后用户才会发现账户异常。

如何防范此类安全风险
1、谨防不法分子仿冒官方申领平台的APP进行诈骗,在此提醒各位,请通过官网,以及正规应用商店下载APP。请警惕来历不明的二维码链接,不要随便点击。
2、电子社保卡的密码要设置的复杂一些,不要和其他密码重复。
3、每个人都可能成为潜在的受害者,即使电话中有人知道你的名字、单位、身份证号,也不一定是熟人或警察,很可能是骗子,应做到不轻信、不汇款。
4、对可疑短信中的链接,不点击、不下载不安装,避免受到手机病毒侵害。
5、如果发现手机短信功能异常,不能接受、发送短信,应立刻关机取出手机SIM卡插到正常手机,尽快联系银行,检查银行账户是否存在异常。

网曝福布斯网站被注入Magecart恶意脚本

Magecart组织自2015年以来一直活跃,并且入侵了许多电子商务网站,窃取了支付卡和其他敏感数据。该组织在目标网站中注入一个skimmer(信息读取)脚本来读取支付卡数据,一旦攻击者成功破坏了网站,它就会在HTML模板中添加嵌入的Javascript。

该脚本会收集支付卡卡号、到期日、信用卡CVV / CVC验证码,以及持卡人的姓名、地址、电话号码和电子邮件。Magecart组织目前仍在不断发展。它曾对Ticketmaster、British Airways、OXO和Newegg这样的知名国际公司发起过攻击,小型零售商也难逃厄运,诸如Amerisleep和MyPillow这样的公司也是受害者。

今年4月初发现2440个被入侵的网站,这些网站都被感染了Magecart的支付卡读取脚本。除Group-IB之外, Magecart发起的每一起攻击事件中,都会检测到更多未经披露的攻击,其中很大一部分涉及第三方支付平台。

4月下旬,发现数百家Magento商店被注入了在GitHub存储库上托管的支付卡读取脚本,当时Magecart组织也感染NBA球队亚特兰大老鹰队的官方网上商城。

福布斯网址被攻击
虽然目前仍然可以在福布斯网站(forbesmagazine.com)上找到经混淆处理的Magecart脚本,但攻击者用来收集被盗付款支付信息的域名已经被Freenom的API删除,此API可以立即删除恶意域名。

网曝福布斯网站被注入Magecart恶意脚本

研究人员发现的Magecart脚本的反混淆版本,该脚本显示网络犯罪分子收集的确切支付数据,以及他们接收这些窃取信息所使用的服务器地址。

网曝福布斯网站被注入Magecart恶意脚本

攻击者使用WebSocket协议对被盗的数据进行过滤,其中WebSocket协议是一种计算机通信协议,允许在受控环境中运行不受信任代码的客户端与其远程主机之间的双向通信。

对付黑客问题上,这些国家无所不用其极

以色列炸毁黑客大楼
2019 年5月5日, 以色列国防军表示,他们成功阻止了巴勒斯坦军事情报组织哈马斯上周末发起的网络攻击,并用无人机对位于加沙地带的哈马斯总部大楼进行了空袭。这也是IDF首次通过物理攻击方式来打击网络攻击。

美国除掉ISIS黑客头目
据悉,Junaid Hussain领导了ISIS一个名为Team Poison的黑客团队,曾在网上公布了英国前首相托尼·布莱尔的敏感联系信息,包括他的电子邮件地址和国民保险号。还曾连续几天对反恐热线进行了一系列恶作剧,使得电话通讯受阻。 Hussain也被指帮助ISIS获得美国中央司令部的Twitter、YouTube账号密码,冒用其发送消息。

2015年8月,美国官员表示,美国的一次空袭已成功除掉了 ISIS 网络机构领导人 Junaid Hussain;2015 年 12 月 10 日在叙利亚拉卡市的空袭中, ISIS 最主要的信息技术人员 Siful Haque Sujan 被轰炸身亡。他的死亡让 ISIS 失去了网络之间的核心联系。

对付黑客问题上,这些国家无所不用其极

俄罗斯收留斯诺登
美国中央情报局(CIA)前雇员爱德华·斯诺登因为披露美国的网络监视项目“棱镜计划”而名声大噪,这项计划的内容就是通过高科技手段对即时通讯进行监听,对即时储存进行监控。这样的手段在网络高度普及的信息化时代,无疑是将人们的绝大部分隐私都暴露于光天化日。

斯诺登无法忍受良心的谴责,选择将这个计划公之于众。美国以间谍罪等3项重罪起诉斯诺登, 斯诺登向其他国家求助,俄罗斯看接受了他的避难申请。2013年8月1日,在全球媒体的关注下,斯诺登登上了前往俄罗斯的飞机,至今都没有踏出俄罗斯的领土半步。2013年8月,斯诺登获得俄罗斯临时避难许可。2014年8月,斯诺登获得俄方3年居住许可,2017年1月斯诺登的居住许可延长至2020年。

日本以毒攻毒研发计算机病毒
自古以来,医学上就有“以毒攻毒”的说法,毒陷邪深,非攻不克,而这一方法最近被日本用到了对付网络攻击上面。

据日媒5月3日报道,日本目前正在开发一种有助于打击网络攻击的计算机病毒。这一举动使日本成为世界上第一个尝试研发应对网络攻击的病毒的国家和地区。日本研发部门希望病毒能够突破计算机系统,并起到阻止网络攻击的作用。但是该项目并非用于商业目的。

日本政府澄清道,研发这种病毒的目的是为了提高国家的防御能力。如果一切顺利,应对网络攻击的新型计算机病毒将在2020年3月份成熟。

优衣库逾46万个人信息遭泄露

关于个人信息泄露的事件一直层出不穷,近日,日本迅销公司发布声明说,旗下品牌优衣库、GU销售网站逾46万名客户个人信息遭未授权访问,可能造成信息泄露。

优衣库逾46万个人信息遭泄露

优衣库和GU两家线上店4月23日和5月10日遭黑客攻击,客户姓名、地址、电话号码和信用卡信息等个人信息可能泄露。不过目前还没有相关信息为第三方使用的报告。

迅销公司说,已经给相关程序漏洞打“补丁”,作废了受影响账户的登录密码,并要求受影响客户重新设置线上店登录密码。迅销公司为此次事件向客户致歉,承诺将防止同类事情再次发生。

优衣库方面当天对北京青年报记者表示,经调查,此次事件不涉及中国的网站及信息平台。

5月14日下午,优衣库方面向北京青年报记者发来关于迅销集团旗下电商网站遭黑客攻击事件的说明。

优衣库方面表示,关于近日迅销集团旗下日本电商网站账户遭黑客攻击事件,经调查,此次事件不涉及中国的网站及信息平台。在中国,优衣库一直以来严格遵守国家的各项法律法规,并通过严格的管理流程和技术手段保护消费者的个人信息及消费数据。优衣库将一如既往地严格遵守国家有关法律法规,为消费者提供安全的购物环境。

三星敏感源代码泄露,将影响一亿用户

据报道,三星SmartThings等应用程序的敏感源代码和密钥遭到泄露,储存的AWS账户、日志、分析数据等被公开。

多个敏感源代码泄露
SpiderSilk安全研究员发现了暴露的文件,一个项目包含的凭据允许访问正在使用的整个AWS账户,这其中包括100多个包含日志和分析数据的S3存储库。

发现问题后,SpiderSilk第一时间将情况上报了三星。三星则回复称,泄露的文件有些只是用于内部测试,不会影响到实际的用户体验。

对此,安全研究员持反对态度。他称,上述泄露的文件内容中,包含了以明文形式存储的几个员工私有GitLab令牌被暴露,这使得攻击者能够从42个公共项目获得额外的访问权限到135个项目,这其中就包括许多私人项目。

“更令人担心的是,这些文件让我拥有了几个内部员工的私人令牌。我完全可以用它访问GitLab上的全部135个项目,我甚至可以随意修改账户代码,让其变成我的东西。”

三星敏感源代码泄露,将影响一亿用户

SmartThings应用或受牵连
三星在GitLab上留下了数十个内部编码项目实例托管在三星拥有的域名Vandev Lab上,工作人员在这里分享和贡献各种三星应用程序。因为项目被设置为“公共”并且没有用密码正确保护,因此允许任何人查看每个项目,访问并下载源代码。而在这些被暴露的GitLab实例中,还包含了三星SmartThings的iOS和Android应用程序的私有证书。

“在这些被暴露的文件的文件夹中找到了包含三星SmartThings和Bixby服务的日志以及分析数据。我还在暴露的文件中发现了几个内部文档和幻灯片。所以,真正的威胁在于攻击者有可能获得对应用程序源代码的访问权限,并在公司不知情的情况下向其注入恶意代码。”

SpiderSilk分析,目前在已经泄露的存储库中已经记录了大量访问,如果被恶意行为者获得可能是“灾难性的”后果。

尽管三星称被泄露内容只用于内部测试,但安全研究员发现,实际上被泄露的GitLab存储库中的源代码包含与Android相同的代码,而该应用程序于4月10日在Google Play上发布。目前,该应用程序已更新多次,迄今安装量超过一亿。这里的应用程序,很可能指的就是基于iOS和安卓的SmartThings客户端。这是三星为智能家居和消费者物联网构建的开放平台。其构建了集线器,云平台和客户端应用程序,是目前智能家居设备的连接解决方案。

三星发言人表示:目前已经针对上报情况做了处理,但目前仍正在对此进行进一步调查。”

针对大型企业网络的新型勒索软件MegaCortex,近日攻击激增

据英国网络安全公司报告称,近日发现新型勒索软件MegaCortex的攻击激增。报告显示,该勒索软件似乎针对的是大型企业网络。

针对大型企业网络的新型勒索软件MegaCortex,攻击近日激增

MegaCortex已加入了不断增长的勒索病毒列表中,该列表中的勒索病毒不会使用垃圾邮件等方法进行大规模的部署,而是有针对性地攻击。列表中还有Ryuk、Bitpaymer、Dharma、SamSam、LockerGoga和 Matrix等。

根据该网络安全公司5月3日晚间发布的一份报告,MegaCortex最早于1月底被发现,当时有人在恶意软件扫描服务VirusTotal上上传了一个样本。此后,MegaCortex攻击的数量一直在增长,并在上周达到了峰值。目前已发现了47起攻击,占全年总数76 次攻击的三分之二。

该网络安全公司表示,他们已阻止了MegaCortex对美国、加拿大、荷兰、爱尔兰、意大利和法国的企业网络的攻击。但是,可能还有部分攻击发生在公司检测不到的地方。

现在无法确定MegaCortex是如何进入受感染的主机的,但有几名网络安全研究人员称,勒索软件似乎是通过一个名为Rietspoof的恶意软件加载程序被投放到受攻击的网络上的。MegaCortex可能和其他大型勒索软件一样危险,黑客可迅速访问域控制器,并将勒索软件部署到尽可能多的内部工作站中。网络安全研究人员建议公司对内部网络,特别是对中央管理服务器采用双因素身份验证。
用户可通过加密文件中添加的随机8个扩展字符来识别勒索软件,也可以通过勒索信来识别。

警惕GandCrab新变种勒索病毒,注意主机安全

近日,某安全团队跟踪到多起GandCrab勒索病毒最新变种感染事件。由于感染主机桌面屏幕会被设置成为深蓝色,将该变种命名为GandCrab勒索DeepBlue变种。

该勒索变种使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景。目前该勒索暂时无法解密,提醒广大用户防范该勒索变种入侵感染。

病毒名称:GandCrab勒索DeepBlue变种

病毒性质:勒索病毒

影响范围:已有多省份用户受感染,包括但不限于政府、医药、教育等行业

危害等级:高危

传播方式:漏洞利用、RDP暴力破解等方式传播

GandCrab勒索DeepBlue变种在功能代码结构上与GandCrab非常相似,同时应用了多种反调试和混淆方式,且似乎还处于不断调试的阶段,变种使用RSA+AES算法进行加密,加密文件后会使用随机字符串作为后缀,且更换桌面为深蓝色背景(标题题目会变化),具体勒索特征如下:

GandCrab

GandCrab勒索DeepBlue变种入侵方式呈现多样化,截至目前收集到以下入侵手段(不排除将来有更多入侵手段):

  • 利用Confluence漏洞(CVE-2019-3396)
  • RDP暴力破解
  • FCKeditor编辑器漏洞
  • WebLogic wls9-async反序列化远程命令执行漏洞

值得一提的是,该攻击者(团伙)近期活跃频繁,且惯用手法是利用多种可能存在漏洞传播勒索病毒来入侵用户终端,并且疑似在开发新型的勒索病毒家族变种。

解决方案

针对已经出现勒索现象的用户,由于暂时没有解密工具,建议尽快对感染主机进行断网隔离。尽快做好病毒检测与防御措施,防范该病毒家族的勒索攻击。

你最应关注的7种移动安全威胁

如今,移动安全在每个公司所的担忧的网络安全话题中处于领先位置,并且有充分的理由:几乎所有企业工作人员现在都经常从智能移动设备端访问公司数据,这意味着将敏感信息从这些行为中区分开来并严格保护是一个越来越复杂的难题。

你最应关注的7种移动安全威胁

数据泄漏
数据泄漏被广泛视为2019年企业安全最令人担忧的威胁之一。还记得那些几乎不存在感染恶意软件的可能性吗?那么,当涉及到数据泄露时,据Ponemon的最新研究,公司在接下来的两年中至少有28%的机会遇到至少一起事件,换言之,超过了1/4的可能性。

社会工程学攻击
这种经过验证的诡计策略与在移动设备前端实施攻击一样令人不安。尽管人们可以轻松地认为可以避免社会工程学攻击,但它们仍然非常有效。

根据安全报告指出,91%的网络犯罪始于电子邮件。该公司将此类事件称为“无恶意软件攻击”,因为他们依靠模仿等策略,诱骗人们点击危险链接或提供敏感信息。网络钓鱼攻击在2017年期间增长了65%,移动用户因为许多移动电子邮件客户端仅显示发件人名称的方式而面临极大的风险,特别容易欺骗消息并欺骗用户认为电子邮件是来自他们认识或信任的人。用户在移动设备上回应网络钓鱼攻击的可能性是PC端的三倍,部分原因仅仅是因为手机是人们最有可能首先看到消息的地方。

不安全的WiFi连接
移动设备的安全性与通过其传输数据的网络高度相关。在我们不断连接到公共WiFi网络的时代,这意味着我们的信息往往不像我们想象的那么安全。

未及时更新系统或补丁
物联网(IoT)对企业安全构成了新的风险,因为与传统的设备不同,它们通常不能保证及时和持续的软件更新。特别是在Android方面,绝大多数制造商在保持产品更新方面都不尽如人意,无论是操作系统(OS)更新还是每月更小的安全补丁,甚至有些设备在制造之初就从未考虑更新。其中的许多设备没有内置的补丁机制,而且现在这种威胁变得越来越大。

Cryptojacking(挖矿)攻击
作为移动安全威胁的一个相对较新的补充,cryptojacking是一种攻击,攻击者在设备所有者不知情的情况下劫持设备进行挖掘加密货币。如果这些听起来像是很技术性的,那就明白这一点:该类攻击过程是使用你们公司的设备来获取别人的收益。这可能会导致受影响的手机电池寿命减少,或者因组件过热而受损甚至报废。

弱密码
很多人认为现在弱密码已不再是个问题,但无论如何,用户仍然没有正确保护他们的帐户,特别是当他们携带包含公司帐户和个人登录的移动设备时,这可能会导致严重问题。

Google and Harris的一项调查显示,超过一半的美国人在多个账户中重复使用相同密码。同样令人担忧的是,近1/3的人没有使用双因子身份验证。只有1/4的人正在积极使用密码管理器,这表明绝大多数人可能在大多数地方都没有特别强大的密码。

黑客瞄准GitHub用户,不交赎金就曝光你的代码

勒索信

「大型程序员交友网站」也被人盯上了。这次主要针对GitHub用户的攻击大约于5月2日开始,目前已有几百个账户受到影响,黑客也将勒索范围伸向了Bitbucket和GitLab等类似代码托管网站。被攻击的似乎都是密码/安全强度较弱的账户。目前我们还不清楚在这场事件中有哪些有价值的内容被窃取。

在 GitHub 上托管代码,请保护好自己的账户。近日,一名黑客入侵了大量 GitHub 账户的行动引发了人们的关注,据称他实施的攻击已经删除了很多人们托管的代码库,并以此勒索赎金以恢复信息。

这一攻击很快被人们注意到,目前至少在 GitHub 上就已波及了至少 392 个不同的用户。「为了恢复你失去的信息并让它们免于泄露,请交给我们 0.1 比特币(BTC)给账户1ES14c7qLb5CYhLMUekctxLgc1FV2Ti9DA,并发邮件给 admin@gitsbackup.com 告知你的 Git 账户和付款凭证。」勒索信中写道。

除了 GitHub 之外,Bitbucket 和 GitLab 等类似服务也遭到了同样的攻击。几个平台官方目前均表示,黑客目前的攻击目标是那些密码简单,或者在不同平台上使用相同密码的用户。

「目前,我们发现一些用户的账户正因为未知第三方泄露而遭到侵害,」GitHub 在一份声明中表示。「我们正在与受影响的用户合作,以保护和恢复他们的帐户。」

BitBucket 拥有者,Atlassian 的一名安全研究员表示,目前至少已有 1000 名用户遭到了代码勒索,但尚不清楚是否有任何有价值的内容已被窃取。因为 GitHub 上有很多内容是公开并被鼓励传播的。而被攻击的私有代码也有可能并不是那么重要,甚至只是还未完成的内容。

虽然我们不知道代码库是否会被破坏,但它们还不能被黑客彻底删除。5 月 3 日,Bitbucket 网站表示他们计划在未来 24 小时内回滚受影响的代码库。也有用户称自己通过「访问黑客的 hash」找回了被删除的代码。

GitLab 安全负责人 Kathy Wang 对此则表示:「我们持有的证据表明被波及的账户其密码在其他相关内容库里是以明文形式存储的。我们强烈建议使用密码管理工具,并以更安全的方式存储密码。」

「我们仍然在调查这个问题,但目前已发现一些受影响的账户中,在不安全的部署应用地址里的硬编码凭据有了『更新版』脚本。」Kathy Wang 说道。如果黑客会像他所声称的一样采取行动,如不支付价值 566 美元的赎金,大量用户的代码就会被公开。但目前看来相关的比特币账户仍然没有金币入账。

电子邮件所面临的安全威胁有哪些?

电子邮件是所有类型网络攻击的理想想交付平台;它提供的机制使攻击者能够在任何目标前放置几乎任何类型威胁。

通常,攻击者会使用电子邮件向最终用户发送恶意软件攻击。即使过滤器能够过滤不必要的程序,攻击者仍然可以利用经过时间考验的社会工程策略来诱骗受害者做出对自己不利的操作。

电子邮件所面临的安全威胁有哪些?

多年来,我们看到电子邮件安全威胁的形式和意图已经发生多次变化,从通过垃圾邮件活动制造混乱和拒绝服务到现在流行的勒索软件和电子邮件欺诈威胁等,但电子邮件安全威胁本身仍然主要分为三类。

恶意软件交付
自从电子邮件应用程序开始包含附件以来,文件附件就被用于传递恶意软件。当电子邮件应用程序开始支持可执行内容时,攻击者很快就学会利用恶意代码来替换这些内容。

早期的电子邮件恶意软件会导致受害系统遭到破坏或电子邮件服务中断。而现在,勒索软件已经成为最大的电子邮件安全威胁。

尽管攻击者可通过任何类型的网络入侵传播勒索软件,但还是电子邮件最适合勒索软件攻击。因为当用户的电子邮件帐户遭到入侵后,攻击者就可利用该账户进一步将勒索软件传播到受害者组织内外的其他帐户。

网络钓鱼攻击
网络钓鱼攻击是指利用电子邮件或其他类型的消息传递应用程序来进行社会工程活动,以诱骗受害者执行某些操作。普通的网络钓鱼活动会将通用网络钓鱼电子邮件传播到广泛的潜在目标,以便通过诱使用户点击恶意链接来获取用户登陆凭据或通过勒索软件感染用户系统。

相比之下,鱼叉式网络钓鱼攻击可能更难以防范,这种攻击会专门针对特定目标,而且鱼叉式网络钓鱼电子邮件通常经过精心设计让受害者相信其合法性。另一种类似的攻击是鲸钓攻击,这种鱼叉式网络钓鱼攻击是针对高级别个人,受害者往往因其工作职能而成为目标,特别是当他们的工作职能包括向外部实体付款时。

域欺骗
欺骗域是攻击者用来攻击电子邮件用户的常见策略。被欺骗的域可能位于消息的标题中,以试图欺骗收件人相信该电子邮件来自这个已知域。例如,攻击者可能会发送钓鱼消息看似源自收件人的雇主、银行或其他可信来源。

基于域的消息认证、报告和一致性是一种协议,它允许域所有者通告他们可以对从该域发送的消息进行身份验证并使收件人能够阻止未经过身份验证的消息,从而可在一定程度阻止这种类型的攻击。

另一种类型的域欺骗活动涉及创建看似可信的域,攻击者使用具有不同ISO字符集的国际化域名来生成视觉上类似于知名域的域,而实际上受害者会被连接到受攻击者控制的网站。对于这些攻击,可能很难防御,不过,电子邮件监控系统通常可以扫描已知为恶意域的电子邮件,包括已确定关联到高级持久性威胁团伙的域。

针对Windows系统的恶意软件Qakbot有新隐藏技术

恶意软件Qakbot

恶意软件 QakBot 是一种主要通过共享驱动器或移动设备实现自我复制的网络蠕虫。该恶意软件主要针对企业银行账号窃取用户资金与私人数据,例如:数字证书、缓存凭证、HTTP(S)会话认证数据、Cookie、身份验证令牌以及 FTP 、POP3 登录凭证等。

据外媒报道,自2008年以来,Qakbot(也被称为Qbot)一直困扰着企业,利用蠕虫进行传播。该木马以微软Windows系统为目标,试图创建后门,窃取用户名和密码,从而获得金融数据。

现在Qakbot更新了持久性机制,使得计算机更难以检测和删除恶意软件。计算机通常被一个植入程序感染,植入程序会在受感染的机器上创建一个计划任务,指示它从攻击者控制的恶意域中执行 JavaScript下载程序。

今年4月,Qakbot开始变得更为活跃。新的下载程序从与被劫持域上相同的统一资源标识符请求资源,这些域是XOR加密的,以便混淆JavaScript下载程序中包含的恶意数据,并允许恶意程序执行任务。

由于恶意软件现在被分成两个单独的文件,只有当植入的可执行文件运行时,才会组装部署 Qakbot,这使得杀毒软件更难检测到。

恶意软件一旦部署到系统上,将在后台工作,窃取相关数据,以达到攻击者的目的。目前对 Qakbot最好的防御方式只能是阻止其部署到计算机上,因为即使是删除了恶意软件,也仍然会产生一系列问题。

卖二手硬盘?小心个人数据泄露!


二手硬盘

许多人升级硬件时,会将旧的电脑、各种存储设备转让给其他人。如果是转给亲戚好友,问题可能不太大,但更常见的是放在淘宝、论坛上出售给别人。此时应该提醒自己一下,里面是否曾经存有个人数据等隐私内容?

近日,英国信息专员办公室的一项调查表明,接近半数的二手硬盘中仍然存有之前用户的个人数据。因此,如何从存储设备中安全抹除个人甚至企业重要信息,成为二手设备销售过程中一个非常重要的问题。

调査中发现,48%的二手硬盘中含有残存的数据。其中11%含有各类私人信息,3%含有敏感的个人材料,例如护照扫描件、驾驶执照扫描件、岀生证明、纳税记录、银行及财务信息,以及健康、医疗相关的数据。而1%的内容已经足以构成有针对性的信息盗窃了。

这项调査从多种来源的硬盘进行了调查,包括那些负责跟踪和记录某些敏感信息的公司等。

在那些无法恢复和获取数据的硬盘中,只有38%是真正干净的硬盘(即进行过安全抹除)。剩下的14%属于受损并无法读取数据的,不过报告中没有提到受损的具体情况以及数据恢复工具是否恢复了数据。

这些数字只能告诉我们一些信息,而个人或企业用户在驱动器数据安全上真正应该注意什么呢?如何才能确保数据已被安全抹除了呢?

原则就是:一次清空或格式化效果不够,请多次抹除。比如,快速格式化等选项只会将磁盘扇区标记为“空闲空间”,而根本不会修改扇区里的已有数据。在该扇区全部被新数据覆盖以前,通过数据恢复工具都能轻松读取旧的数据。而多次抹除,也就是安全抹除则不一样,它会多次重写该扇区。

被曝泄密漏洞?你的手机用的是高通芯片吗?


高通

据EETOP论坛27日报道,英国安全业者NCC Group公布了藏匿在逾40款高通芯片的旁路漏洞,可用来窃取芯片内所储存的机密资讯,并波及采用相关芯片的Android装置,高通已于本月初修补了这一在去年就得知的漏洞。

此一编号为CVE-2018-11976的漏洞,涉及高通芯片安全执行环境(Qualcomm Secure Execution Environment,QSEE)的椭圆曲线数码签章算法(Elliptic Curve Digital Signature Algorithm,ECDSA),将允许黑客推测出存放在QSEE中、以ECDSA加密的224位与256位的金钥。

QSEE源自于ARM的TrustZone设计,TrustZone为系统单晶片的安全核心,它建立了一个隔离的安全世界来供可靠软件与机密资料使用,而其它软件则只能在一般的世界中执行,QSEE即是高通根据TrustZone所打造的安全执行环境。

NCC Group资深安全顾问Keegan Ryan指出,诸如TrustZone或QSEE等安全执行环境设计,受到许多行动装置与嵌入式装置的广泛采用,只是就算安全世界与一般世界使用的是不同的硬件资源、软件或资料,但它们依然奠基在同样的微架构上,于是他们打造了一些工具来监控QSEE的资料流与程序流,并找出高通导入ECDSA的安全漏洞,成功地从高通芯片上恢复256位的加密私钥。

Ryan解释,大多数的ECDSA签章是在处理随机数值的乘法回圈,假设黑客能够恢复这个随机数值的少数位,就能利用既有的技术来恢复完整的私钥,他们发现有两个区域可外泄该随机数值的资讯,尽管这两个区域都含有对抗旁路攻击的机制,不过他们绕过了这些限制,找出了该数值的部份位,而且成功恢复了Nexus 5X手机上所存放的256位私钥。

NCC Group早在去年就发现了此一漏洞,并于去年3月知会高通,高通则一直到今年4月才正式修补。

根据高通所张贴的安全公告,CVE-2018-11976属于ECDSA签章代码的加密问题,将会让存放在安全世界的私钥外泄至一般世界。它被高通列为重大漏洞,而且影响超过40款的高通芯片,可能波及多达数十亿台的Android手机及设备。

数据库加固可防范重要数据和公民信息泄露

数据库加固是一项纷繁复杂的工作,不但需要解决数据库存在的安全问题,更要针对每种安全问题,多种安全加固方案,权衡利弊,保证业务系统的正常和稳定。

数据库加固可防范重要数据和公民信息泄露

1、数据库漏洞加固
数据库漏洞是数据库加固的核心,也是各种检查也渗透测试的关键点。如何既消除数据库漏洞,又保证系统稳定则是摆在所有人面前的难题。
(1) 数据库版本升级加固办法
通过数据库漏洞扫描工具对数据库进行检测后,会通过识别数据库组件、版本、补丁号等关键信息过滤出数据库存在的安全漏洞列表,形成《数据库安全检测报告》,针对数据库存在的漏洞,会提供每一个漏洞的补丁链接。用户可以选择通过下载数据库补丁升级,解决存在的数据库漏洞。
(2) 第三方工具加固办法
对于比较紧急的情况,不建议通过升级数据库漏洞,解决安全问题。建议采用有虚拟补丁功能的数据库防火墙产品,以串联方式部署于数据库之前。

2、 数据库弱口令加固办法
(1) 修改弱口令加固办法
弱口令的加固最直接的办法就是把弱口令修改成强口令。直接修改数据库账号的密码并不复杂,复杂的是衍生问题。如果同时有多个业务系统使用同一数据库账号,会要求多个业务系统一起修改访问数据库的密码。过程中可能会出现遗忘而导致业务中断等问题。
(2) 第三方工具加固办法
密码桥是用来做数据库和应用系统密码映射的软件,串联在应用和数据库之间。应用使用密码访问数据库,密码桥会通过改登陆包的方式把应用的错误密码映射成数据库的正确密码,帮助应用连上数据库。

3、数据库身份认证加固办法
(1) 提高数据库自身身份认证能力
数据库身份认证的加固需要按照不同的情况进行加固。如果是数据库缺乏数据库身份认证能力,需要通过升级到有数据库身份认证功能的数据库版本。如果只是数据库身份验证功能未开启,只需要通过调整参数开启数据库身份认证功能即可。
(2) 第三方工具加固办法
如果数据库升级遇到困难,但数据库又缺乏身份认证能力。也可以退而求其次利用数据库防火墙的ip/mac绑定,锁定允许访问数据库的固定机器,在一定程度上弥补了缺乏数据库身份验证的问题。

4、数据库网络安全加固办法
(1) 提高数据库自身网络加密功能力
数据库网络安全加固需要按照不同的情况进行加固。如果是缺乏数据库网络加密功能力,需要通过升级到有网络加密功能的数据库版本。如果只是数据库网络加密功能未开启,只需要通过调整参数开启网络加密功能即可。
(2) 第三方工具加固办法
网络加密的目标是防止中间人攻击。退而求其次利用数据库防火墙的ip/mac绑定,锁定允许访问数据库的固定机器,在一定程度上弥补了网络明文引起的安全威胁。

5、数据库审计和日志安全加固办法
(1) 开启数据库审计和日志加固办法
数据库审计和日志有助于帮助客户对攻击进行溯源。所以加固的主要方式是开启审计和日志,并设置严格的策略。
(2) 第三方工具加固办法
审计日志开启会对数据库性能造成影响,除了开启数据库自身的审计和日志外。还可以通过第三方数据库审计工具完成数据库审计日志的安全加固任务。

6、数据库权限配置安全加固办法
(1) 数据库自身权限配置加固办法
基于数据库账号/角色权限配置清单和客户数据库管理员进行沟通。按照最小化权限原则削减数据库账号的权限。

(2) 第三方工具加固办法
在数据库之外在做一层数据库权限设置。这样既避免了数据库自身权限的混乱,又解决了数据库权限不符合最小化原则的问题。

7、数据库安全策略加固办法
在不影响业务的前提下,通过对数据库安全策略配置,可以完成数据库安全策略加固。

8、数据库后门/木马清理办法
发现疑似数据库后门/木马的触发器或存储过程,在DBA确认确实和业务无关后,需要进行清理和追踪。

注意这些网络安全预警提示!


网络安全

如果想保证网络基础设施的安全,企业网管必须要监控路由器、交换机和其他网络设备的状况。而这种可见性将使网管能够快速检测和调查对外围安全的威胁,然而一旦出现了下面的4个网络安全预警提示后,可千万不能将其忽略视之。

预警一:未经授权登录

虽然大多数登录到网络设备的尝试都是由网络管理员执行的有效操作,但有些则不是。异常事件包括管理员在工作时间意外或节假日对设备的访问、登录尝试失败,或修改访问权限等等。而无法及时检测到可疑的登录尝试,将导致企业容易遭受攻击者的暗算。

对可疑事件的即时警报让IT人员能够在网络受到威胁之前采取行动。这种做法也有助于合规性审计,因为它提供了证据,可对特权用户及其相关设备上行为活动受到密切监控。例如,谁登录了什么设备,以及多久登录一次等等。

预警二:随机配置设备

与网络设备相关的主要威胁还有配置的不当。一次不正确的设备调整可能会削弱网络外围的安全性,在监管审计期间引发问题,甚至会导致代价高昂的系统中断,从而使网络业务陷入困境。

例如,防火墙配置错误可以让攻击者轻松访问企业内网,进而引发持久的破坏。因此,了解谁改变了什么,将为运维人员提供对网络设备的洞察与控制。而持续的审计流程还能让员工有更好的用户责任感,并在潜在安全事件引发更大麻烦前,快速检测并消除掉到它们。

预警三:扫描出安全威胁

不法黑客常常通过网络扫描,来了解一个企业的网络架构与防御响应程度,从而对该网络实施精准打击。如果将网络设备上扫描到的安全威胁忽视掉,又没有完善的设备可视化体系,那么攻击者的恶意行径无疑会被错过,直至企业敏感数据被破坏。

因此为了加强对扫描威胁的保护,将数据泄露的风险降至最低,请确保对网络设备进行持续监控。而这种可见性将有利于运维人员了解哪个主机和子网被扫描了,他们是从哪个IP地址开始扫描的,以及进行了多少次扫描尝试等等。

预警四:异常VPN登录

虚拟专用网(VPN)接入是许多企业提高远程连线安全性的常用方法,但却存在着许多安全风险。实际上,VPN连接通常由企业中任何人在未经任何批准的情况下使用。实践表明,没有100%的安全VPN,任何VPN连接都是一种风险。

主要的风险场景包括通过公共Wi-Fi连接的用户(因为有人可能会窃取他们的登录凭证)或通常不使用VPN的用户突然开始使用它(这可能表明用户丢失了设备,而其他人正在尝试使用它登录)。而只有对网络设备保持可见性,才能有效跟踪每次VPN登录尝试。但通过网络的可见性将会提供有关尝试访问网络设备的用户、每次尝试身份验证的IP地址,以及每次VPN登录失败的原因的信息等。此外建议,只有经过适当的监管批准,并且仅向那些由于业务需要不得不使用VPN访问的员工,提供通过VPN访问的权限才行。

B站源代码泄露,你的bilibili帐号还安全吗?

4月22日下午六点,有微博用户爆料,B 站整个网站后台工程源码泄露,并且「不少用户名密码被硬编码在代码里面,谁都可以用」。

据查验在 GitHub 平台上确实存在一个由用户 openbilibili 创建的 go-common 代码库,项目描述「哔哩哔哩 bilibili 网站后台工程 源码」并获得了 6597 个标星和 6050 个fork,目前该代码库已无法查看。

在消息发布后的一个小时,bilibili弹幕网在微博回应源代码泄露,“经内部紧急核查,确认该部分代码属于较老的历史版本。”B站表示,已经执行了主动防御措施,确认此事件不会影响网站安全和用户数据安全。B站已第一时间报案,并将彻查源头。

B站回应

对于B站的回应,可能存在另外一种解释:

部分工程代码(指全部的后端代码),较老的历史版本(指六小时前),主动的防御措施(指更换了阿里云所有sso的akey)

这样很可能说明,对于此事的源代码泄露,事出突然,B站官方本身是没有预料到,也没有预想到,自身方面也没有任何应急措施或解决办法。

对于B站被泄露的源代码:

很有极大可能,B站就是靠这个工程代码部署整个网站,更因为历史久远,这段代码可能是当初构建B站的底层代码,在现在看来,可能会隐藏着根本性的漏洞,而且这些漏洞恐怕会很难去修改。

对于泄露代码会带来的危害:

最明显,也是最直观的就是B站会暴露出很多安全隐患。可能在短时间内,这些隐患还可能没法暴露出来。但在源代码泄露的这段时间,很有可能代码已经被clone,而作为B站的底层构建,修复它们应该是极其困难。

B站本身的代码水平在业界只能处于中游,所以面对底层代码所可能带来的隐患,我想说B站可能无力解决,总不能重新构架,耗时耗力的重写。

所以接下来B站要面临的就是只要有人想搞B站,那B站肯定只能被针对,而且是那种不能还手的。

哔哩哔哩股票会不会跌不知道,但能知道的这时候的哔哩哔哩一定是最难受的时候。

源代码泄露可能的原因:

据称是一个被裁员的程序员的报复。

但不管怎样,如果这件事是真的,那么这个恶意上传代码的程序员的职业生涯已经结束了。互联网再也没有他的容身之所。

水坑攻击对网络安全的威胁

“ 水坑攻击 ”是网络犯罪分子用来破坏组织在线信息系统的众多技术之一。在网络水坑攻击中,网络犯罪分子在网站上设置了陷阱,他们的目标受害者经常被发现。 通常情况下,陷阱网站是较小的,利基网站往往安全性有限。这些网站可以包括业务合作伙伴网站或向目标公司或行业提供特定产品,服务或信息的小型网站。访问时,受感染的网站会使用键盘记录程序,勒索软件和其他类型的恶意软件感染目标最终用户计算机或设备。

水坑攻击如何发挥作用

水坑攻击是经过精心设计和执行的攻击,通常包括以下阶段:

攻击者最初会分析其目标,以了解他们经常访问的网站。

然后,攻击者会对那些经常访问的网站进行探测,识别出任何有漏洞和漏洞的网站。

攻击者使用各种技术破坏易受攻击的网站。一种常见的方法是注入JavaScript或HTML代码,将受害者重定向到托管恶意软件的备用站点。

当目标用户的浏览器连接到恶意站点时,网站上运行的代码会与受害者的浏览器进行交互,并探测受害者的PC或设备,以查找未修补且易受攻击的应用程序或操作系统。

如果在受害者的设备上发现漏洞,恶意网站会在受害者的计算机上安装恶意软件。一旦被感染,用户设备上的恶意软件将根据所涉及的恶意代码类型尝试进行各种恶意活动。它可能会扰乱用户的数据并请求赎金来恢复它,或者捕获用户输入的ID,密码和支付卡数据。

水坑攻击对网络安全的威胁

水坑攻击对网络安全造成重大威胁

虽然水坑攻击不一定常见,但它们确实构成了重大威胁,因为它们很难被发现。受感染的网站通常是受信任的实体,个人和组织可能无法对其进行全面审查。在某些情况下,它们属于没有强大安全程序的业务合作伙伴。这增加了与他们交互的任何组织或个人的风险。

水坑攻击的另一个问题是难以培训员工避免受感染的网站。组织可以培训员工如何识别和避免大多数网络钓鱼电子邮件,但用户无法在没有专门设计的工具的帮助下识别受感染的网站。

防止水坑攻击

组织可以采取一些措施来保护自己免受水坑攻击。首先,每家公司都应该强制执行或至少鼓励遵守以下规定:

将所有常用软件和操作系统修补并更新到最新版本;

确保正确配置防火墙和其他安全产品;

检查员工访问的所有热门网站,并定期检查这些网站是否存在恶意软件;

立即阻止所有受感染网站的流量并通知网站所有者;

检查自己的网站,甚至内部网站,以确保它们是免费的恶意软件;

在实际可用的范围内,配置浏览器或其他工具以使用网站信誉服务来通知用户已知的坏网站;

网络安全监控至关重要

除了上述基本步骤外,为防止复杂的水坑攻击,组织必须部署先进的网络安全监控工具。

复杂的水坑攻击使用以前看不见的漏洞和战术,通常被称为零日威胁。由于传统的基于签名的控制依赖于过去的威胁知识,因此无法有效地检测复杂的水坑和其他攻击。因此,组织必须部署额外的高级威胁防护层,例如网络安全监控和行为分析。

水坑攻击是网络犯罪分子绕过典型企业安全控制并针对特定受众的有效方式。因此,他们不太可能很快消失。网络安全管理员需要预测他们的存在并采取适当的对策。

微软:可直接拔出USB存储设备

微软

经过多年不厌其烦地警告用户对USB接口要“安全拔出设备”,微软现在做了一件不可想象的事情:终于支持直接拔下USB接口上设备的行为。

自打USB成为标准配置以来,Windows告诫计算机用户要规范地移除外部硬件(如U盘和移动硬盘),方法是在拔出插入设备前将其安全弹出。

该协议已经存在多年,并且有充分的理由。在Windows的早期版本中,甚至在Windows 10中,在拔出USB存储设备(以及其他外部设备,如闪存卡)之前未安全弹出可能存在文件丢失的重大风险,尤其是在将数据写入外接存储设备时。安全弹出USB的提示,随着时间的推移已成为无数meme的素材。

值得庆幸的是,Windows 10最近的更新避免了这一繁琐步骤。更新实际上是在去年年底推出的,但是由于微软新的支持文档,它现在得到了更广泛的关注——从Windows 10的1809版开始,你现在可以随时拔下USB存储设备。

在早期版本的Windows中,处理外部媒介的默认策略被称为“更好的性能”,需要在拔出USB存储设备之前安全弹出它们。

在1809更新版本中,“快速删除”是所有驱动器格式的新默认值,可以随时保留设备,并且无需使用“安全删除硬件”进程。

尽管有了变化,但是当你在转移数据时,可能不希望通过拔出USB存储设备来考验运气。但如果U盘只是插在那里,什么事情都没有做,现在就可以直接拔下来了。

节约了几秒钟的安全弹出操作,那么这些新的空闲时间你要怎么分配?小心哦。人们说,可以自由地使用时间是幸福的关键,但只在你能合理化分配时间的情况下才是如此。

怎么避免鱼叉式网络钓鱼攻击?

网络攻击

如果您认为自己是正在被鱼叉式网络钓鱼攻击,解决非常简单:不要惊慌失措!只打开包含恶意附件或链接的电子邮件不会使您的计算机受到影响。

以下措施可以帮助您检测并尽量避免鱼叉式网络钓鱼攻击:

1、如果您认为自己确实被鱼叉式网络钓鱼活动攻击了,请立即断开计算机与网络的链接。

2、不要把它想得太简单,与同事讨论。将电子邮件标记为网上诈骗,并将潜在的网络钓鱼诈骗信息报告给企业IT团队,他们会告诉您接下来怎么做。

3、主动一点。扫描网络钓鱼/恶意软件(尤其是打开附件的时候)。

4、改密码。这是每个月都必须要做的常规工作,并鼓励其他人遵守网络安全规范,保护好个人信息。

5、尝试了解恶意电子邮件的来源。检查您的信息是否因数据泄露事件而被泄露。

6、理智一点。当发现来自“朋友”的邮件要您提供个人信息(包括密码和其它敏感数据)时,仔细检查邮件地址是否合法,或者直接联系该朋友。

传统安全措施通常无法防止鱼叉式网络钓鱼攻击,因为它们是定制的。员工犯得一个小错误错误可能会给组织带来严重后果,在不适当的时候采取适当的安全措施也会导致敏感信息泄露。

数据泄露事件发生后,通常会有攻击发起欺诈活动,企业和个人应该对此做好准备。这也是为什么必须尽早检测数据泄露的原因——通知、警告员工免受鱼叉式网络钓鱼攻击。