导语:随着数字化的深入普及,业务愈加开放互联。企业的关键数据、用户信息、基础设施、运营过程等均处于边界模糊且日益开放的环境中,涉及利益流和高附加值的业务面临多样的安全隐患,随时可能遭遇损失,进而影响企业运营和发展。
一方面,业务安全隐患形式多样,在电商、支付、信贷、账户、交互、交易等形态的业务场景中,存在着各类等欺诈行为;另一方面,欺诈行为日益专业化、产业化,且具有团伙性、复杂性、隐蔽性和传染性等特点。
为了让大家更全面的了解业务安全的风险,顶象自7月起将针对每月的业务安全热点事件进行盘点总结。
国内安全热点
反电信网络诈骗法表决通过,12月 1 日起施行
十三届全国人大常委会第三十六次会议9月2日表决通过反电信网络诈骗法,该法将于2022年12月1日起施行。反电信网络诈骗法共七章50条,包括总则、电信治理、金融治理、互联网治理、综合措施、法律责任、附则等,坚持以人民为中心,统筹发展和安全,立足各环节、全链条防范治理电信网络诈骗,精准发力,为反电信网络诈骗工作提供有力法律支撑。
此外,草案三审稿还将增加更多规定,从而加强对老年人、青少年等群体的宣传教育,增强宣传教育的针对性、精准性;并要求要求有关行业企业对本领域新出现的电信网络诈骗手段及时向用户作出提醒。
西北工业大学遭网络攻击,攻击源头系美国国家安全局
9月5日,据国家计算机病毒应急处理中心披露,西北工业大学遭网络攻击事件系美国国家安全局(NSA)所为。在针对该校的网络攻击中,NSA使用了40余种专属网络攻击武器,持续开展攻击窃密,窃取该校关键网络设备配置、网管数据、运维数据等核心技术数据。
西北工业大学曾在6月22日发布声明,称遭受境外网络攻击,学校师生收到包含木马程序的钓鱼邮件,企图窃取相关师生邮件数据和公民个人信息。随后,西安警方对该事件立案侦查。
9月27日,根据最新公布的报告,美国网攻击西北工业大学一事暴露了美国对西北工业大学组织网络攻击的目的:渗透控制中国基础设施核心设备,窃取中国用户隐私数据,入侵过程中还查询一批中国境内敏感身份人员,并将用户信息打包加密后经多级跳板回传至美国国家安全局总部。
中科大给师生们发了一封钓鱼邮件,结果3000多人上当了
中科大为了提升大家的网络安全意识,给 4 万名师生发了一封 “ 钓鱼邮件 ”。内容就是学校定制的月饼礼盒供不应求,邮箱管理中心部门特地采购了一批,以抽奖的形式回馈给大家。当然,这种好事外人肯定享受不到,为了证明你是自己人,要填入身份信息。
这份邮件全部发放给中科大校内的师生,面对这份漏洞百出的邮件,有3100余位学生、400余位教职工中招。
根据中科大网络信息中心的回复,这次钓鱼演练中,还是有不少同学填写了个人真实信息,其中人数最多的是本科一年级新生,此次演练中招人数大大超过了校方预期。
知乎在用户截图中嵌入盲水印,专家表示如涉及个人信息需提前告知
9 月 8 日消息,近日,知乎被曝在 App 和网页端的用户截图中嵌入了盲水印,盲水印用肉眼难以分辨,需要在特定的图片显示效果下才能看到,经检测工具测试后,网友发现盲水印疑似包括用户 UID 等信息。
图片显示效果下才能看到,经检测工具测试后,网友发现盲水印疑似包括用户 UID 等信息。
有知乎用户称,用户在桌面端可以使用 ublock 添加静态规则 zhihu.com##div:last-of-type [class*="css-"] 消除水印。
值得一提的是,今年 2 月,豆瓣 App 也曾因给用户截图设置盲水印而引发热议。对此,豆瓣回应称这是新增的“小组内容防搬运功能”,小组组长可以在“小组管理-小组内容防搬运设置”开启或关闭,开启后,对该小组内容进行截图时,截图上将自动生成经加密的截图用户 ID、被截图帖子 ID、截图时间等信息。已开启该功能的小组,在小组帖子下方可以看到“内容出自 xxx 小组,该小组已开启防搬运功能”的提示。据了解,部分企业也会在内网设置截图盲水印,防止员工泄露内部信息。
顶象重磅发布《人脸识别安全白皮书》
9月13日,顶象发布《人脸识别安全白皮书》。该白皮书共有8章73节,系统对人脸识别的组成、人脸识别的内在缺陷、人脸识别的潜在安全隐患、人脸识别威胁产生的原因、人脸识别安全保障思路、人脸识别安全解决方案、国家对人脸识别威胁的治理等进行了详细介绍及重点分析。
《网络安全法》或迎来修改
9月14日,国家网信办发布《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,旨在进一步做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益。
继北京健康宝后,澳门健康码又遭境外势力攻击
据《澳门日报》报道,去年 5 月初,澳门健康码连续遭受境外网络攻击,严重影响珠澳出入境秩序。司警局局长薛仲明曾在公开采访中强调,澳门每天都遭到大大小小的网络攻击,去年平均每分钟约受到 3.4 次攻击。近日,澳门特别行政区保安司司长黄少泽谈及调查结果时表示,对澳门健康码的持续性攻击多达 300 多万次,来自欧美地区。
信阳师范学院曝“学信网信息泄露”,学院:已报警,涉事学生干部被撤职
据国内多家媒体报道,9月19日,河南省信阳师范学院被曝“学信网信息泄露”,导致不少学生三个月内不能享受购买苹果电脑、耳机等产品的优惠政策。根据信阳师范学院发布的通告,学校有关部门已于9月19日上午向信阳市五星乡派出所报案,并立案调查。
公安部网安局即日起开展“断号”行动,重拳打击整治网络账号黑产
9 月 23 日消息,据央视报道,公安部网络安全保卫局自即日起至 12 月底部署开展“断号”行动,集中打击整治网络账号黑色产业链。
据介绍,自 2019 年以来,公安网安部门共查处关停接码平台 140 余个,收缴手机黑卡 2200 余万张,查获网络黑账号 3 亿余个,取得阶段性显著成效。
在此次“断号”行动中,公安机关将进一步强化侦查打击,坚持打平台、追源头、断链条,依法严厉打击各类恶意注册网络账号违法犯罪行为。
官方部门将进一步强化行业整治,督促互联网企业落实主体责任,主动识别处置恶意注册、非法销售使用的网络账号,组织互联网企业对发现的网络黑号开展重新核验。
女子玩羊了个羊被骗9万元:弹窗广告有陷阱
据媒体报道,近日,江苏常州严女士在玩“羊了个羊”游戏时,为了获取道具观看广告。有资金需求的她正好看到一个贷款广告,便按指引下载并注册了一款贷款软件。她见软件显示有余额,为了提现就按照客服指引累计转账9万元,之后意识到被骗。
国外安全热点
GitHub用户注意,网络钓鱼活动冒充CircleCI窃取凭证
9月26日消息,GitHub警告称,有网络钓鱼活动冒充CircleCI DevOps平台,瞄准GitHub用户窃取证书和双因素身份验证(2FA)代码。
GitHub自9月16日发现该活动,钓鱼信息声称用户的CircleCI会话已过期,试图引导用户使用GitHub凭据登录。
点击钓鱼链接会跳转到一个类似GitHub登录页面的钓鱼网站,用户输入任何凭据都会被窃取用户输入的任何凭证。对于启用了基于TOTP的双因素认证(2FA)的用户,钓鱼网站还会将TOTP代码实时转发给威胁行为者和GitHub,以便威胁行为者侵入账户。GitHub指出,受硬件安全密钥保护的帐户不容易受到这种攻击。
俄罗斯流媒体巨头遭恶意攻击,210万中国用户数据泄露
9月1日消息,俄罗斯流媒体巨头START 在上周日表示,其客户的个人信息在一次网络攻击中被泄露。
该公司没有透露具体有多少用户受到此次事件的影响,但根据俄罗斯Telegram频道“Information Leaks”的信息(该频道率先公布了此次事件,并附上一张据称为泄露信息的截图),泄露数据库总计72 GB大小,包含4400万客户的数据(据后续分析,该数据内包含745万个唯一电子邮箱,这可能更接近受影响用户的真实数量)。
此次泄露的信息包括用户名、电子邮件地址、哈希密码、IP地址、用户注册国家、订阅起始及结束日期,以及最后一次登录记录。
据称,这起数据泄露事件已经影响到全球观众,包括俄罗斯本土的2460万用户、哈萨克斯坦的230万用户、中国的210万用户及乌克兰的170万用户。
为防钓鱼,Win11新版本在记事本、网站中输入密码时会发出警告
据Bleeping Computer网站消息,刚刚发布的Windows 11 22H2版本附带了一项名为增强网络钓鱼防护的新安全功能,当用户在不安全的应用程序或网站上输入 Windows 密码时会发出警告。
在既往的钓鱼攻击中,Windows 登录凭证往往是高价值目标,凭借这些账号,攻击者能够访问内部公司网络以进行数据盗窃或勒索软件攻击。这些密码通常是通过网络钓鱼攻击或用户将密码保存在不安全的应用程序(如文字处理器、文本编辑器和电子表格)中获得。甚至在某些情况下,在网络钓鱼登录表单中输入了密码,即使没有提交,也会被攻击者成功窃取。
虽然在Windows 11 22H2中默认启用网络钓鱼防护,但保护密码的选项需要手动开启。用户需要在开始>设置>隐私和安全> Windows 安全>应用和浏览器控制 > 基于信誉的保护中进行设置,这时用户将看到分别标有“警告我密码重用”和“警告我密码存储不安全”两种选项,都启用后,当用户在一个网站上输入Windows密码时,会提示“密码重用”的警告,无论它是一个钓鱼网站还是一个合法网站;而当用户在记事本、写字板和Microsoft Office 等应用程序中输入密码并按回车键时,会提示"密码存储不安全 "的警告。
借悼念伊丽莎白二世女王之名,攻击者发起大规模网络钓鱼攻击
9月8日,英国传奇女王伊丽莎白二世在苏格兰巴尔莫勒尔城堡去世,享年96岁。2015年,她成为历史上在位时间最长的英国君主,打破了她的曾曾祖母维多利亚女王创下的纪录。
就在大家哀悼女王之际,Proofpoint安全研究人员却发现,毫无底线的攻击者假借悼念之名,行网络攻击之实,以“女王去世”、“哀悼女王”等为诱饵的网络钓鱼攻击呈现持续上升的趋势,其目的是从受害者那里窃取 Microsoft 帐户和密码。
攻击者实施网络钓鱼攻击的具体做法是,向用户发送一封带有恶意链接的电子邮件,邮件以 Microsoft团队的名义发出,大意是微软现正在推出一款名为“伊丽莎白将记忆板”的产品,以此缅怀这位传奇女王。在这里将汇聚来自全球的各种悼念信息,包括单词、邮件、相片等。如果用户也想参与悼念活动,点击链接登录微软账户即可。
很明显,这是一个虚假恶意的钓鱼链接,重定向的域名并没有让用户提交悼念文本,而是忽悠受害者先输入其微软账号的登录面、以及多因素身份验证(MFA)等私密信息。一旦这些敏感的信息被攻击者获取,势必会对用户带来严重的影响,甚至是以用户之名进行二次网络钓鱼攻击。
数万人正在 YouTube 上被假苹果直播间骗钱
9月 8 日消息,今日凌晨,苹果 iPhone 14 / Pro 及多款配件在新品发布会上亮相。正当数码爱好者们的目光集中到苹果的直播间时,却有数万人被其他假的苹果直播间忽悠了过去。
据 The Verge 报道,今日凌晨,YouTube 上有人在直播对苹果 CEO 蒂姆・库克的旧采访,该采访似乎被用来吸引人们参与加密货币骗局。
报道称,这些直播通过在标题和描述中使用一系列苹果关键字来引起关注,比如“苹果发布会直播,库克:2022 年的苹果和元宇宙”。但是当你真正打开它时,直播间却充满了奇怪的信息,并链接到一个看起来很阴暗的加密货币网站。
