分类: 推荐阅读

新骗局:不明人士寄来快递,到付 39 元千万别收

财神上门绝对是一桩喜事,不少人还会专门请财神到家里到店中供奉起来保佑自己发财。本月 14 日,重庆沙坪坝区的张老板接到快递送来的一尊财神,货到付款 39 元。让张老板尴尬的是,木头财神不仅做工粗糙,找不到卖家退款退货,快递也拒绝对此事负责。专家分析,货到付款卖财神针对的是民众不愿把财神拒之门外的心理,又把价格定在 39 元这个不算高的门槛上,让收货人往往不去追究。所以这个把戏能反复得逞。 查阅最近两个月的相关报道可以发现,全国各地数十个城市都有类似被“ 39 元快递”诈骗的报道。这些用来诈骗的包裹多以劣质洗发水为主,包裹内的物品价值只要几块钱,但货到付款的金额均为 39 元。 有民众认为,这些包裹可能出自同一伙人,这个骗局的伎俩就是利用到付的金额远远高于包裹货品的价值,从而赚取差价。针对此类现象,邮政工作人员表示,39 元货到付款的财神到和化妆品一样,都是不法商家在获取消费者个人信息后进行的一种新型骗局。 业内人士称,类似货到付款骗局中,一些快递公司扮演的角色较为灰色。物品寄件量大,快递公司有一定利益分成,往往睁只眼闭只眼送货上门。大多数消费者遇到类似情况,抱着自认倒霉的心理不声张。遇到较真扯皮的,快递公司就把责任推到发货人头上。 稿源:cnBeta.com,封面来源:百度搜索  

2016 年工业控制系统(ICS)网络安全会议即将在美国召开

据外媒报道,美国将在 10 月 24 – 27 日召开 2016 年工业控制系统( ICS ) 网络安全会议。主办方 SecurityWeek 邀请到美国国家安全局局长(NSA)兼美国网络司令部指挥官 海军上将迈克尔·罗杰斯担任主讲人。这是一场以工业控制系统领域为重点的规模最大、持续时间最长的网络安全会议,领域涉及能源、公用事业、化工、交通、制造、军事。会议讨论主题将涵盖工业控制系统各方面,包括 SCADA 系统、工厂控制系统、工程工作站、变电设备、编程逻辑控制器( PLC )等现场控制系统设备的保护。 稿源:本站翻译整理,封面来源:百度搜索

巴基斯坦官员遭到针对性网络间谍活动、木马窃取敏感文件

据外媒报道,巴基斯坦政府官员最近遭受来自网络间谍组织的鱼叉式网络钓鱼邮件攻击。攻击者使用 .doc 和 .xls 文件利用 cve-2012-0158 漏洞,实现自动下载安装远程访问木马、窃取敏感文件。安全公司 Forcepoint 发现 代码中用来窃取数据所使用的HTTP请求,与 2013 年 11 月“ BITTER ”间谍组织使用的相同。该后门木马 AndroRAT 被伪装成克什米尔新闻应用,窃取设备中各种类型文档数据。 稿源:本站翻译整理,封面来源:百度搜索

美国防部宣布继续“攻陷五角大楼”漏洞赏金计划

据外媒报道,美国国防部门(DOD)10 月 21 日宣布将继续“攻陷五角大楼”漏洞赏金计划。美国国防部部长卡特称这次的漏洞赏金计划将扩大到国防部的其他部分。这次的活动将由 HackerOne 和 SYNACK 策划管理。之前的漏洞赏金计划从 2016 年 4 月 18 日直到 2016 年 5 月 12 日,吸引 1410 名黑客参加,修复 138 个有效漏洞,发放 75,000 美金赏金。从结果上,美国国防部门认为该项目有效并将长期进行下去。 稿源:本站翻译整理,封面来源:百度搜索

僵尸网络 TheMoon 沉寂两年“重磅”归来,目标指向华硕和 D-Link 路由器

据外媒报道,近日爆发的僵尸网络是由名叫“ TheMoon ”的蠕虫创建的,针对家庭路由器。 2014 年初 SANS 互联网风暴中心研究员发现了该蠕虫,“ TheMoon ” 曾感染大量 Linksys 路由器模型设备一度成为当时的头条新闻。值得称道的是, Linksys 反应相当迅速,及时发布了固件更新,但许多设备仍存在漏洞。 据网络安全设备供应商 Fortinet 10 月 20 日发布的报告。该蠕虫一直活跃并改进增加了针对华硕路由器的代码,其源码引入了 CVE-2014-9583 漏洞,允许蠕虫向华硕路由器发送恶意 UDP 包,绕过身份验证程序并在设备上执行代码。此外 TheMoon 添加新的防火墙规则,阻止其他恶意软件劫持设备。 从新的防火墙规则中,研究人员还发现,它“修复了” D-Link 路由器的 HNAP SOAPAction-Header 命令执行漏洞,尽管目前还没受感染,但这意味着该蠕虫还针对 D-Link 路由器。 僵尸网络 TheMoon 的大小目前是未知的,但考虑到过去的“底子”规模应该还不小。 稿源:本站翻译整理,封面来源:百度搜索

雅虎呼吁美情报机构提升获取用户数据的“透明度”

雅虎周三宣称,它已经向美国国家情报总监詹姆斯·克拉珀(James Clapper)发信,要求该机构在向科技公司发布国家安全令以便获取用户数据时更透明,国家安全令来自美国政府的具体执法部门,通过所谓的外国情报监视法案(FISA)法院发出。此举的目的是帮助美国公民了解美国政府正在寻找哪类信息。雅虎承认:“我们的目标是为我们的用户和所有受到政府索取用户数据影响的公民建立更强大的透明度先例。”此外,雅虎再次否认帮助情报机构秘密扫描用户电子邮件的传闻。 稿源:cnbeta,封面来源:百度搜索

微软调查:技术支持骗局的一半受害者是千禧一代

根据微软公司的最新调查统计,三分之二的受调查者在过去 一年间遭遇至少 1 起技术支持诈骗,他们通过隐晦的网站或者伪装成为各家公司的技术支持人员给你拨打诈骗电话。相同研究还表明五分之一的受调查者无法识破这种骗局并继续对话,最终导致根据对方的要求访问带有恶意程序的网站,在电脑中安装危险软件,给予对方权限访问自己的计算机或者向诈骗者提供个人或者金融信息。超过50%以上的技术支持骗局都是针对千禧一代,也就是 18 岁到 34 岁的群体。在受害者分布中 36 岁至 55 岁为 34 %,55岁以上占比为 17%。 稿源:cnbeta,封面来源:百度搜索

Mozilla 逐步淘汰 SHA-1 证书,明年将显示“连接不可信”

据外媒报道,Mozilla 宣布计划一年后逐步取消数字证书 SHA-1 。据 Firefox 遥测数据显示, SHA-1 的使用率已经大幅下降,使用率从 5 月份的 3.5% 降至本月的 0.8% 。为了加快淘汰 SHA-1 证书,Firefox 将从明年一月起对 SHA-1 证书展示连接不可信的错误信息。预计该政策将在 Firefox 51 上实现,Mozilla 督促 SHA-1 使用者尽可能快地迁移出。 稿源:本站翻译整理,封面来源:百度搜索

开源邮件加密软件 GPG Sync 可实时同步组员 GPG 密钥

新闻机构 First Look 发布一款 Mac 和 Linux 平台应用 GPG Sync .该应用是一款免费的开源加密和数字签名工具,大多用于加密信息的传递,可同步公司所有员工的 GPG 密钥。 GPG 是一种技术,允许用户发送加密邮件到另一个用户,收件人导入了发件人使用的 GPG 钥匙即可解密消息。对于中大型公司,由于人员流动大,很难保证所有员工都有最新的密钥。GPG Sync 允许企业的系统管理员设置每个人的 GPG 密钥列表,员工可一键获取密钥并自动更新本地电子邮件客户端。只需保证网络管理员每日及时更新密钥。 稿源:本站翻译整理,封面来源:百度搜索

知名网盘撞库 50 万账号被盗案告破,曾在用户空间塞满黄片

前不久,多名 XX 云用户发现自己的账号被盗,一夜之间网盘内所存大量文件消失,有的甚至被塞满黄片。海淀警方先后远赴河北和深圳,将嫌疑人胡某和马某抓获归案。以卖渔具为生的胡某兼职做“黑客”,一年间购买和免费获取账户密码信息近 3000 万条,网购撞库软件将这些信息批量登录云账户,筛出正确账号密码 50 余万条,并将有现金的账号在网上出售,获利 5 万余元。 稿源:cnBeta.com,封面来源:百度搜索